Nuevas normas de ETSI para firmas digitales en la nube

El comité técnico de ETSI sobre Infraestructura de firma electrónica (TC ESI, technical committee on Electronic Signature Infrastructure) acaba de publicar un conjunto de tres Especificaciones técnicas para firmas digitales basadas en la nube que admiten dispositivos móviles: ETSI TS 119 431-1, ETSI TS 119 431-2 y ETSI TS 119 432.

Este nuevo conjunto de estándares promueve la creación de firmas digitales en la nube, lo que facilita la adopción de las tecnologías de firma electrónica al evitar la necesidad de software especializado por parte de los usuarios y la de contar con dispositivos seguros de creación de firma, tales como lectores de tarjeta chip.

El acrónimo TW4S (Trustworthy System Supporting Server Signing) se usa con frecuencia para identificar los entornos de firma electrónica en la nube.

El firmante confía en un servicio de confianza ofrecido por terceros especialistas para administrar su clave secreta de firma electrónica y para firmar digitalmente bajo su control aquellos documentos electrónicos que considere.

Para garantizar que es confiable el entorno de creación de firmas basado en la nube y que la clave privada de firma se usa bajo el control del firmante, el prestador del servicio de firma digital remota debe aplicar procedimientos seguros de gestión y utilizar sistemas y productos confiables, incluyendo canales seguros de comunicación electrónica.

Según Nick Pope, Vicepresidente del comité ESI de ETSI, “este es un gran paso en la seguridad de los despliegues de firmas digitales que tiene en cuenta la tendencia de adopción de servicios basados ​​en la nube y la generalización de los dispositivos móviles. Estas normas permiten una nueva forma de implementar los Servicios de confianza que simplifica enormemente su uso y proporciona un conjunto de herramientas importante para contrarrestar el creciente fraude de Internet dirigido a empresas y organismos».

Las normas ETSI TS 119 431 partes 1 y 2 definen requisitos de política y seguridad que los organismos de evaluación de la conformidad (Conformity Assessment Bodies) pueden utilizar para certificar que un prestador de servicios de confianza sigue las mejores prácticas para la operación de dichos servicios de creación de firmas basados ​​en la nube, en particular en el contexto del Reglamento eIDAS (UE) 910/2014. Este trabajo de ETSI complementa las publicaciones del Comité Europeo de Normalización, CEN EN 419241-1: 2018 (requisitos generales para sistemas confiables que dan soporte a la firma electrónica en servidor) y EN 419241-2: 2019 (perfil de protección para dispositivos cualificados de creación de firma electrónica (QSCD) para la firma en servidor), que proporcionan los requisitos básicos de la firma electrónica en la nube.

La norma ETSI TS 119 432 especifica el protocolo que permite a una aplicación cliente solicitar la creación de una firma digital a un servidor. Esta especificación establece un protocolo para la comunicación segura entre los diferentes componentes necesarios para crear una firma digital segura en la nube, en consonancia con los estándares de seguridad establecidos en el Reglamento eIDAS. Se especifican dos tipos de conexión para implementar este protocolo: XML, que se basa en la especificación OASIS DSS-v2.0, y JSON, que se basa en la especificación del Cloud Signature Consortium (CSC). ETSI colaboró ​​con ambs organismos de normalización, OASIS y CSC para elaborar estas especificaciones de protocolo.

TCAB, Trust Conformity Assessment Body ya está considerando esta nuevas normas para las evaluaciones de conformidad de firma en la nube de sus clientes. Estas normas no están contempladas todavía por ENAC para su uso en la evaluación de servicios cualificados. Para más información, llame a 91 388 0789 

Cambios en la Ley de Firma Electrónica (Ley 59/2003)

Aunque la técnica legislativa de mezclar «churras» con «merinas» se produce en algunas de las leyes publicadas en España, no nos acostumbramos a encontrar determinados aspectos legales de ciertos tipos en leyes que no tienen mucho que ver con el asunto.

Una de las últimas ocasiones en las que esto se produce es en la Ley 25/2015, de 28 de julio, de mecanismo de segunda oportunidad, reducción de la carga financiera y otras medidas de orden social, que modifica algunos aspectos de la Ley 59/2003 para favorecer el uso de sistemas de firma centralizada.

En mi opinión es una reforma innecesaria o insuficiente, porque aunque parafrasea alguna de sus definiciones parece ignorar la existencia del Reglamento europeo UE 910/2014, que en su exposición de motivos (considerandos 51 y 52) ya da por sobreentendido que es admisible la firma mediante sistemas de firma en la nube o firma centralizada o firma SOA, y no menciona modificaciones tan importantes como la denominación de certificados y firmas electrónicas que deben denominarse «cualificados» en vez de «reconocidos«.

Para los que solo conocen la Ley 59/2003, no obstante, resuelve la supuesta controversia de si la Ley de firma electrónica permite o no la firma a distancia con claves hospedadas por el prestador, lo que para muchos, ya permitía la redacción anterior.

Este es el texto:

Disposición final cuarta. Modificación de la Ley 59/2003, de 19 de diciembre, de firma electrónica.

La Ley 59/2003, de 19 de diciembre, de firma electrónica, queda modificada como sigue:

Uno. El apartado 2 del artículo 3, queda redactado del siguiente modo:

«2. La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede utilizar, con un alto nivel de confianza, bajo su exclusivo control.»

Dos. El apartado 2 del artículo 6, queda redactado del siguiente modo:

«2. El firmante es la persona que utiliza un dispositivo de creación de firma y que actúa en nombre propio o en nombre de una persona física o jurídica a la que representa.»

Tres. El apartado 2 del artículo 7, queda redactado como sigue:

«2. La custodia de los datos de creación de firma asociados a cada certificado electrónico de persona jurídica o, en su caso, de los medios de acceso a ellos será responsabilidad de la persona física solicitante, cuya identificación se incluirá en el certificado electrónico.»

Cuatro. La letra c) del artículo 12, queda redactada en los siguientes términos:

«c) Asegurarse de que el firmante tiene el control exclusivo sobre el uso de los datos de creación de firma correspondientes a los de verificación que constan en el certificado.»

Cinco. La letra a) del artículo 18, queda redactada en los siguientes términos:

«a) No almacenar ni copiar, por sí o a través de un tercero, los datos de creación de firma de la persona a la que hayan prestado sus servicios, salvo en caso de su gestión en nombre del firmante. En este caso, se aplicarán los procedimientos y mecanismos técnicos y organizativos adecuados para garantizar que el firmante controle de modo exclusivo el uso de sus datos de creación de firma.

Solo los prestadores de servicios de certificación que expidan certificados reconocidos podrán gestionar los datos de creación de firma electrónica en nombre del firmante. Para ello, podrán efectuar una copia de seguridad de los datos de creación de firma siempre que la seguridad de los datos duplicados sea del mismo nivel que la de los datos originales y que el número de datos duplicados no supere el mínimo necesario para garantizar la continuidad del servicio. No podrán duplicar los datos de creación de firma para ninguna otra finalidad».

Seis. El punto 1.º de la letra b), del artículo 18, queda redactado como sigue:

«1.º Las obligaciones del firmante, la forma en que han de custodiarse los datos de creación de firma, el procedimiento que haya de seguirse para comunicar la pérdida o posible utilización indebida de dichos datos, o, en su caso, de los medios que los protegen, así como información sobre los dispositivos de creación y de verificación de firma electrónica que sean compatibles con los datos de firma y con el certificado expedido.»

Siete. La letra e) del apartado 1 del artículo 20, queda redactada como sigue:

«e) Tomar medidas contra la falsificación de certificados y, en el caso de que el prestador de servicios de certificación genere datos de creación de firma, garantizar su confidencialidad durante el proceso de generación y su entrega por un procedimiento seguro al firmante. Si el prestador de servicios gestiona los datos de creación de firma en nombre del firmante, deberá custodiarlos y protegerlos frente a cualquier alteración, destrucción o acceso no autorizado, así como garantizar su continua disponibilidad para el firmante.»

Ocho. Las letras c) y d) del apartado 1 del artículo 23, quedan redactadas en los siguientes términos:

«c) Negligencia en la conservación de sus datos de creación de firma, en el aseguramiento de su confidencialidad y en la protección de todo acceso o revelación de éstos o, en su caso, de los medios que den acceso a ellos.

d) No solicitar la suspensión o revocación del certificado electrónico en caso de duda en cuanto al mantenimiento de la confidencialidad de sus datos de creación de firma o, en su caso, de los medios que den acceso a ellos.»

Nueve. Se añade un apartado 5 al artículo 29 con el siguiente contenido:

«5. Podrá requerirse la realización de pruebas en laboratorios o entidades especializadas para acreditar el cumplimiento de determinados requisitos. En este caso, los prestadores de servicios correrán con los gastos que ocasione esta evaluación.»

Al margen de estas pequeñas pautas, conviene no olvidar que la Ley 59/2003 como expresión de la transposición de la Directiva 1999/93/CE  quedará derogada en breve, y que en el marco del nuevo reglamento hay que tener en cuenta, en lo que se refiere a la firma en servidor,  la norma EN 419 241 Security requirements for trustworthy systems supporting server signing (signature generation services)

Por cierto, otra de las modificaciones de las que van cayendo gota a gota de la Ley de Firma Electrónica es la que hace unos pocos meses se encargó de extender la validez de los certificados cualificados a cinco años, para simplificar la gestión del DNI electrónico 3.0 y que ya mencioné en este blog.

Aplicabilidad del Reglamento Europeo UE 910/2014 (EIdAS)

A diferencia de la Directiva 93/1999 /CEE del Consejo, el Reglamento (UE)  nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE (denominado reglamento eIDAS por las iniciales de Electronic Identificatiom Authentication and Signature) que entró en vigor el 17 de septiembre de 2014, tendrá un impacto directo y, en algunos casos,  supondrá la derogación de las leyes nacionales vigentes en los Estados miembros.

El Reglamento se aplicará gradualmente en los próximos meses con plazos de entrada en vigor escalonados que concluirán el 01 de julio 2016, con la derogación de la Directiva 93/1999 / CEE.

Desde su entrada en vigor el 17 de septiembre de 2014, ya son de aplicación las disposiciones contenidas en los artículos 9.5, 17.8, 19.4, 20.4, 21.4, 24.5, 27.4, 28.6, 29.2, 30.3, 30.4, 31.3, 32.3, 33.2, 34.2, 37.4, 38.6, 42.2, 44.2, 45.2, 47 y 48. El resto de las disposiciones, a excepción de los artículos 7, 8.1, 8.2, 9, 10, 11 y 12.1, que se aplicará a partir del 18 septiembre de 2015, deben ser implementadas a partir del 1 de julio de 2016. Sólo el  artículo 6 se aplicará a partir del 18 de septiembre 2018.

Desde 01 de julio de 2016 en adelante:

• Los Dispositivos de Creación de Firma (denominados antes Dispositivos Seguros de Creación de Firma y ahora Dispositivos Cualificados de Creación de Firma) que tuvieran la consideración de tales según  el artículo 3.4  de la Directiva 93/1999 /CEE,  mantendrán su reconocimiento tras la nueva norma (Reglamento eIdAS).
• Los certificados reconocidos expedidos a personas físicas de acuerdo con la Directiva 93/1999 /CEE se consideran hasta su vencimiento certificados cualificados de acuerdo con la nueva norma (Reglamento eIdAS).
• Para ser considerados prestadores de servicios de confianza digital cualificados de acuerdo con el Reglamento eIDAS, los Prestadores de Servicios de Certificación que emitían  ​​certificados reconocidos de acuerdo con la Directiva 93/1999 / CEE deben presentar a partir del 01 de julio de 2017 un informe de evaluación sobre el cumplimiento de la normativa técnica y organizativa aplicable al órgano de supervisión (Minetur, en el caso de España).

La aplicación del Reglamento eIdAS, implica la puesta en marcha de 7 actos de ejecución que deben adoptarse en un  año:

• 3 actos de ejecución relativos a la identificación y autenticación digital (eID)
  • Cooperación entre los Estados miembros (artículo 12.7)
  • Marco de Interoperabilidad (Artículo 12.8)
  • Niveles de garantía de identificación electrónica (artículo 8.3)
• 4 actos de ejecución en materia de servicios de confianza digital
  • Formatos de firma electrónica (artículo 27.4)
  • Formatos de sellos electrónicos (artículo 37.4)
  • Listas de confianza (artículo 22.5)
  • Marca de confianza de la UE (artículo 23.3)

En los más de 16 años de vigencia de la Directiva 93/1999 /CEE del Consejo, cada Estado miembro la ha desarrollado en su legislación nacional adoptando, en algunos casos normas técnicas de organismos como ETSI y CEN. En España, entre otras normas la Ley 59/2003, con disposiciones sobre firmas electrónicas en la Ley 11/2007 y en la Ley 18/2011.

El impacto revolucionario del Reglamento, sin embargo, cambia todos los paradigmas existentes anteriormente, que pueden considerarse los causantes de la falta de interoperabilidad transnacional en el mercado único europeo. El nuevo modelo, destinado a facilitarla, todavía tiene que demostrar su utilidad en un contexto internacional en el que los mayores avances se han producido a partir de la adopción de incoativas de la industria a través del CAB Forum, solo para el ámbito de los certificados para servidores web, en un modelo como en norteamericano de escasa regulación.

¿En qué se diferencian SAML, OpenID y OAuth?

Aunque entrar en detalle llevará unos cuantos párrafos, la respuesta breve sería que son sistemas que facilitan el acceso unificado (single sign on) con los siguientes matices:

• OpenID – Es un «single sign» para usuarios finales, tales como consumidores.
• SAML – Es un «single sign-on» orientado a usuarios empresariales.
• OAuth – Es una API (Application Programming Interface) de autorización entre aplicaciones.

OpenID es relativamente sencillo de utilizar y muy prometedor.  EADTrut desarrolló hace unos años un piloto de servidor de autenticación OpenID, que utilizaba el DNI electrónico como base de la autenticación SSL/TLS y que luego podía heredarse de forma muy sencilla en otros servidores (páginas web) que implementaran OpenID.  Se publicaron varias referencias  sobre el piloto, que resultó un éxito.

SAML

El Lenguaje de Marcado para Confirmaciones de Seguridad, conocido como SAML, (pronunciado como «sam-el») es un estándar abierto que define un esquema XML para el intercambio de datos de autenticación y autorización. Usualmente las partes que intervienen en el intercambio son un proveedor de identidad (IdP – Identity Provider) y un proveedor de servicio. SAML es una especificación publicada por el comité OASIS (Security Services Technical Committee).

SAML inició su especificación en el año 2001, siendo su versión estable liberada en el año 2005, y es utilizado como elemento clave en sistemas centralizados de autenticación y autorización (Single Sign-On).

La especificación SAML define tres roles:

• Principal
• Proveedor de identidad
• Proveedor de servicio.

En un escenario típico, el rol principal solicita un servicio al proveedor de servicios, quien a su vez solicita y obtiene en caso de éxito, una confirmación de identidad desde el proveedor de identidad. Teniendo como base la confirmación recibida, el proveedor de servicio puede tomar decisiones acerca del acceso autorizado a un usuario.

OpenID

OpenID es un estándar de identificación digital descentralizado, con el que un usuario puede identificarse en una página web a través de una URL (o un XRI en la versión actual) y puede ser verificado por cualquier servidor que soporte el protocolo.

En los sitios que soporten OpenID, los usuarios no tienen que crearse una nueva cuenta de usuario para obtener acceso. En su lugar, solo necesitan disponer de un identificador creado en un servidor que verifique OpenID, llamado proveedor de identidad o IdP (Identity Provider).

El proveedor de identidad puede confirmar la identificación OpenID del usuario al sitio que soporte este sistema y que confíe en el.

A diferencia de otras arquitecturas Single Sign-On, OpenId no especifica el mecanismo de autenticación. Por lo tanto, la seguridad de una conexión OpenId depende de la confianza que tenga el cliente OpenID en el proveedor de identidad. Si no existe confianza en el proveedor, la autenticación no será adecuada para servicios bancarios o transacciones de comercio electrónico, sin embargo el proveedor de identidad puede usar autenticación fuerte pudiendo ser usada para dichos fines.

OAuth

OAuth (Open Authorization) es un protocolo abierto, propuesto por Blaine Cook y Chris Messina, que permite autorización segura de una API de modo estándar y simple para aplicaciones de escritorio, móviles y web.

Para desarrolladores de consumidores, OAuth es un método para interactuar con datos protegidos y publicarlos. Para desarrolladores de proveedores de servicio, OAuth proporciona a los usuarios un acceso a sus datos al mismo tiempo que protege las credenciales de su cuenta. En otras palabras, OAuth permite a un usuario del sitio A compartir su información en el sitio A (proveedor de servicio) con el sitio B (llamado consumidor) sin compartir toda su identidad.

En relación con la gestión de identidad, hay, además otras tecnologías y organizaciones que merece la pena tomar en consideración, como OATH, Liberty Alliance, Kantara, Passport, o CardSpace

OATH

OATH (Initiative for Open Authentication) es una arquitectura abierta de autenticación robusta (Open Strong Authentication) basada en tokens efímeros de autenticación, en posesión del usuario y gestionados por hardware o por software. Agrupa a más de 30 fabricantes y sus especificaciones  están basadas en diversos estándares.

Liberty Alliance

El proyecto Liberty Alliance fue una organización que operó entre 2001 y 2009 para establecer estándares y buenas prácticas para la gestión de identidad en sistemas informáticos. Llegó a agrupar más de 150 organizaciones.

Definió marcos de interoperabilidad para la federación de identidades.

La iniciativa desembocó, junto con otras en la organización Kantara.

Kantara

Kantara es una asociación profesional sin fines de lucro orientada a impulsar los avances en aspectos técnicos y legales relacionados con la gestión digital de identidad, ubicada en Delaware.

Kantara unifica inciativas anteriores como Liberty Alliance, el proyecto DataPortability, el proyecto Concordia, la Internet Society, la Information Card Foundation, OpenLiberty.org y XDI.org.  Se anunció en junio de 2009.

Kantara no es un organismo de estandarización, pero envía propuestas y recomendaciones a este tipo de organismos, tales como  OASIS (Organization for the Advancement of Structured Information Standards), IETF (Internet Engineering Task Force),   ISO (International Organization for Standardization), o  ITU-T (ITU Telecommunication Standardization Sector, uno de los sectores de la International Telecommunication Union).

Microsoft Passport

Microsoft Passport está formado por dos servicios: un servicio de inicio de sesión único que permite que los miembros utilicen un único nombre y contraseña para iniciar sesión en un número creciente de sitios Web participantes y un servicio de cartera que los miembros pueden utilizar para realizar compras en línea rápidas y cómodas.

Con el tiempo ha evolucionado a Windows Live ID.

CardSpace

Windows CardSpace (cuyo código de proyecto interno era InfoCard), es un cliente de software destinado a su uso en el metasistema de gestión de identidad (Identity Metasystem) y como iniciativa de gestión de identidades ha sido cancelado.   Su punto fuerte era la interfaz de usuario, basada en tarjetas de información que permitían gestionar de forma sencilla y segura la identidad dependiendo de la aplicación y de los sitios web a los que se acede. Además, en su diseño se tuvieron en cuenta la resistencia a los ataques de «phishing» y las denominadas «7  leyes de la Identidad» de Kim Cameron.

100 entradas gratis para el Exchange Summit el 6 y 7 de octubre de 2014 en Barcelona

El organizador de la Cumbre de las Interconexiones Empresariales (Exchange Summit) ofrece un centenar de entradas gratuitas para el evento que tendrá lugar  el 6 y 7 de octubre de 2014 en Barcelona.

Podrán optar a estas entradas los asistentes que cumplan los siguientes criterios:

• Que procedan de organizaciones con más de 250 empleados 
• Que dichas organizadciones sean remitentes o destinatarias de facturas electrónicas, o puedan llegar a serlo.
• Que tengan un papel de cierta influencia en la toma de decisiones sobre selección de prestadores
• No hayan asistido con anterioridad a un evento de los precedentes (EXPP Summit)

Nota:: No podrán optar a este tipo de entradas gratuitas  los consultores, y los prestadores de aplicaciones o de servicios de facturación electrónica. Su asignación será decidida por el organizador de 

 La distribución de las entradas gratuitas se está determinando y llevó a cabo-por el organizador de la Cumbre  de las Interconexiones Empresariales.

Más información en la Web del evento

Servicio de custodia digital «Cartulario»

Cartulario es una plataforma multiusuario, desarrollada en modo SaaS y disponible en modalidad «Cloud Computing» o «Nube TIC«, que permite una rápida puesta en marcha de las soluciones de Confianza Digital.

De esta forma, garantiza la seguridad de los intercambios, la confianza del archivo y la gestión de la prueba jurídica.

Las tecnologías que ofrece Cartulario permiten el concepto de Prueba Digital y garantizan la seguridad en el Intercambio y el Archivo.

Entre ellas están:

• Autenticación,
• Cifrado,
• Registro,
• Trazabilidad,
• Control de la integridad,
• Sellado de tiempo (interno y por un tercero de confianza).
• Metadatos de original electrónico (Completitud, Obliterabilidad, Endosabilidad)

Diferentes niveles de administración, que permiten ofrecer estas funcionalidades a las empresas, a las administraciones públicas o al público general, de forma flexible y escalable.

Cuenta con un webservice para el depósito de documentos y administra diferentes mecanismos de gestión de CSV (Código Seguro de Verificación).

Contacte con EADTrust en el 91 716 0555 para ampliar información.

Firma electrónica en zEnterprise EC12

Recientemente IBM ha lanzado el nuevo sistema «mainframe» zEnterprise EC12, con clara orientacion hacia entornos de private cloud, con disponibilidad de muchísima potencia de cómputo en entornos de múltiples tipos de procesadores, sistemas operativos y cargas de trabajo.

El zEnterprise EC12 ofrece nuevos niveles de rendimiento y capacidad para consolidación de múltiples sistemas  y crecimiento a gran escala, compatibilidad con la nueva generación de equipamiento de  seguridad para firma digital, el nuevo HSM (Hardware Security Module) Crypto Express 4S, análisis avanzado de reconocimiento de patrones para el control inteligente de la funcionalidad de los componentes del sistema, nueva opción para instalaciones en  suelo no técnico y despliegue de tecnologías híbridas de procesamiento para diferentes sistemas operativos y todo tipo de cargas de trabajo distribuidas, incluyendo las específicas de mainframe (z/OS , z/VM , z/VSE , z/TPF, y Linux on System z).

En el Mainframe se equipa la cabina de entrada salida compatible con interfaz PCIe Gen2 (Peripheral Component Interconnect Express Generation 2) al que se conecta cada adaptador Crypto Express4S que da soporte a todas las funciones del modelo de adaptador criptográfico anterior Crypto Express3.

Este adaptador se puede configurar a través de la consola HMC (Hardware Management Console) de tres formas distintas:

1. Como coprocesador CCA: IBM Common Cryptographic Architecture (CCA) coprocessor
2. Como coprocesador PKCS#11: IBM Enterprise PKCS #11 (EP11) coprocessor
3. Como Acelerador (Accelerator)

El adaptador se ha certificado de acuerdo con los estándares  FIPS 140-2 Security Level 4 y Common Criteria EAL 4+.

A través de CPACF (Central Processor Assist for Cryptographic Function) función que no implica coste al habilitarla en el sistema, puede gestionar los siguientes algoritmos criptográficos:

• Algoritmos de hash (Secure hash algorithms) SHA-1, SHA-224, SHA-256, SHA-384, y SHA-512 habilitado en todos los servidores con unidades de proceso  (PUs – processor units) definidas como  CPs, IFLs, zIIPs, or zAAPs.

• Cifrado Simétrico
  • Data Encryption Standard (DES)
  • Triple Data Encryption Standard (TDES)
  • Advanced Encryption Standard (AES) con claves de 128-bits, 192-bits, y 256-bits
• Control de Integridad (Secure Hash Algorithms)
  • SHA-1: 160 bit
  • SHA-2: 224, 256, 384, and 512 bit
• Control de Integridad (MAC)
  • Single-length key MAC
  • Double-length key MAC

El soporte  IBM Enterprise PKCS #11 (EP11) IBM Enterprise Public-Key Cryptography Standards (PKCS) #11 está basado en la especificatión v2.20 de PKCS #11 y se incluye enlos sistemas operativos  z/OS y z/VM medianteICSF (Integrated Cryptographic Service Facility).

El soporte criptográfico es de especial interés en banca, ya que permite, por ejemplo gestionar las funciones de seguridad de las tarjetas EMV, o cifrar la información relevante sobre tarjetas y titulares que exige el cumplimiento de la normativa PCI DSS.

Gracias al soporte PKCS#11 permite utilizar el sistema de firmas electrónicas zBackTrust de Albalia (con soporte para CAdES, XAdES y PAdES) en z/OS además de en Linux on System z.

La solución zBackTrust es la única disponible a nivel mundial con soporte nativo para mainframe en equipos z9, z10 z196, z114 y  zEC12 y capacidad de gestionar las citadas formas de firma, aunque IBM ofrece un tipo de unidad integrable en los bastidores zEnterprise que también permite realizar la funconalidad de firma electrónica con sus propias funciones criptográficas externalizadas del sistema principal (Datapower).

El sistema zBackTrust de Albalia se puede instalar sobre entornos de gestión de transacción para Java como WebSphere , Weblogic y Tomcat y soporta de forma nativa las diferentes funcionalidades de la norma DSS   (Digital Signature Services) de OASIS, de modo que la gestión de la firma electrónica se puede llevar a cabo de forma centralizada para toda la organización mediante webservices que se pueden invocar desde entornos Linux, Apple y Windows.

El sistema zBackTrust está disponible bajo diferentes tipos de licencias:

• System
• Site
• Enterprise
• Cloud

lo que permite que se pueda disponer de múltiples instancias de ejecución sin coste adicional.

El sistema zBackTrust puede contratarse a través de IBM, a través de INSA o directamente a través de Albalia, contactando con el 91 716 0555 de España (+34 917160555).

Otros artículos relacionados:

• Caixa Galicia, caso de éxito
• Diseño y planificación de una infraestructura de clave pública (PKI)
• Crypto Express3 en zEnterprise
• zBackTrust en Caixa Galicia
• Caixa Galicia impulsa la tecnología financiera
• 10 años de Linux en System z
• IBM 4765 Cryptographic Coprocesor
• Albalia es Advanced Partner de IBM
• Productos y servicios basados en DSS
• Características de zBackTrust
• zBackTrust, firma electrónica para System Z
• IBM 4764
• IBM 4765 Cryptographic Coprocesor
• DSS + XAdES-XL + z/OS + Websphere
• Firma electrónica con OASIS DSS
• B4E BackTrust for ERPs
• Portafirmas BackTrust disponible para descarga
• Proyecto FactOffice Add-in en Codeplex
• BackTrust en las pruebas de compatibilidad de firma electrónica XAdES en ETSI
• XAdES Plugtest en ETSI
• XAdES/CAdES ETSI Plugtest
• Compatibilidad de soluciones de firma electrónica

Burofax electrónico por e-mail

Frecuentemente se habla de “Burofax online” o “Burofax electrónico” al querer hacer referencia a un sistema de comunicación fehaciente por via electrónica, gracias a que el servicio Burofax de correos (de entrega en domicilio) se ha consolidado como uno de los pocos servicios del mundo físico que certifican el contenido de una comunicación, y a que la penetracion del mundo de internet hace presumir que existen servicios equivalentes en el mundo “on-line“.

EADTrust, prestador de servicios de certficación del que soy socio inversor, está impulsando un servicio alternativo denominado Noticeman (Notice Manager) que aporta la prueba (o evidencia electrónica) de la recepción y la certificación del contenido a los mensajes enviados a direcciones de correo electrónico.

En general, una comunicación fehaciente es aquella de la cual es posible demostrar en todo momento que se ha llevado a cabo, así como cual ha sido su contenido, por haber utilizado  un medio que pemita demostrarlo. Existen diversas posibilidades de conseguir este efecto como por ejemplo la realizda por conducto notarial.

Por supuesto, si se desea que el mensaje se entregue en una dirección física, están disponibles los clásicos servicios de Correos: el  Telegrama y el Burofax, que permiten certificar la entrega y el contenido (asumiendo costes adicionales). Y a día de hoy es posible usar estos servicios sin desplazarse a la oficina de correos, a través de su página web. También existen servicios alternativos de prestadores diferentes a Correos, ya que el servicio Burofax no está incluido entre los básicos del Prestador del Servicio Postal Universal.

Contra lo que fecuentemente  se supone, no es una comunicación fehaciente el envío de una carta certificada con acuse de recibo, ya que el acuse de recibo sólo acredita la recepción, y el certificado sólo acredita el hecho de que se ha realizado un envío, pero ni uno ni otro sirven para demostrar cuál es el contenido de la comunicación.

Sin embargo, las comunicaciones fehacientes verdaderamente “on-line” son aquellas que se entregan en la dirección “on-line” del destinatario, como por ejemplo su dirección de correo electrónico.

En este contexto destaca Noticeman, sistema de comunicación fehaciente desplegado por EADTrust, prestador de servicios de certificación que actúa como “tercero de confianza”. Se trata de una notificación certificada sobre la que se puede demostrar el intento de notificación, la recepción por el destinatario, el contenido, y, de existir, la reacción del destinatario (por ejemplo, en caso de contratos, su aceptación).

Y por tan solo 3,5 euros (o menos, si se adquieren paquetes de notificaciones). Mucho más económico que el equivalente en papel.

IE Venture Network

El pasado jueves asistí a uno de los encuentros de IE Venture Network, una de las iniciativas de impulso al emprendimiento que se están desarrollando en España (hablaré de otras próximamente), impulsada por el Instituto de Empresa, con Daniel Soriano a la cabeza, y las buenas gestiones de  Liz Fleming and Gary Stewart (ahora en Wayra) de Venture Lab.

Este tipo de eventos facilita el encuentro entre emprendedores, y el contacto entre emprendedores e inversores, dando ideas sobre la mejor forma de promover negocios, frecuentemente de base tecnológica.

IE Venture Network tiene como principal objetivo proveer recursos y asesoramiento para emprendedores y la comunidad innovadora. Una de nuestras principales misiones es aportar feedback actualizado y útil para crear una conexión entre los emprendedores incipientes, los potenciales inversores y las empresas consolidadas, para así lograr hacer realidad sueños emprendedores. Todo esto en un ambiente amigable con bebidas y aperitivos.

Voy a reflejar algunas de las iniciativas que han tenido cabida hasta la fecha:

26 de Enero 2012

Inversores:

• Rafael Garrido, Jaime Amoribieta y Gonzalo Castellano, Vitamina K
• Pablo Moreno, Corpfin Capital
• Gary Stewart, Director de Wayra España
• Liz Fleming, Deputy Director IE Venture Lab

Las 3 startups:

Jaime Amat, Respiro
Si te mueves en transporte publico, en moto o si necesitas un segundo coche, si conduces menos de 1000 km al me,Respiro es para ti. Respiro es una nueva forma de movilidad personal, divertida, economica y sostenible.

Javier Fernandez, TouristEye
TouristEye es una empresa tecnologica del sector turistico. Trabajamos diariamente con la tecnologia mas puntera en lo referente al desarrollo web y movil para poder personalizar la experiencia turistica para los viajeros.

Francisco Carrero, BrainSINS
BrainSINS- SocialGamingPlatform,S.L- es una empresa de base tecnológica que ofrece sistemas de recomendación tanto para plataformas e-commerce como otros sitios Web de contenidos.

19 de Enero 2012 

Inversores:

• Rafael Garrido, Jaime Amoribieta y Gonzalo Castellano, Vitamina K
• Gary Stewart, Director de Wayra España
• Liz Fleming, Deputy Director IE Venture Lab

Las 3 startups:

José Miguel Palou, Freetravel
Freetravel promueve libertad y participación social en la generación, el consumo y valoración de turismo activo y deporte, por sus productos basados en tecnologías geo-web

Ignacio Laribba, Airfit
La empresa TSCompany tiene por objectivo desarollar un proyecto eminentemente de I+D+I en tecnologias de la informacion para el sector de actividad fisica en fitness. Para ello presenta una linea base de productos relacionados bajo la marca airfit

Jesus Fernandez, Questionality
Questionality es una red social que te permite; encontrar contenido recomendado que te interesa; compartir  recomendar cualquier tipo de contenido; recomendar y preguntar en una manera nueva e innovador.

12 de Enero 2012 

Inversores:

• Rafael Garrido, Jaime Amoribieta y Gonzalo Castellano, Vitamina K
• Sergio López, Addquity Growth Capital
• Gary Stewart, Director of Wayra Spain
• Patricia Gabaldon, Women Entrepreneurship in Europe; Prof. Economic Environment IE

Las 3 startups:

Adoración López, Politia
Politia es una plataforma de gestión policial que permitirá la comunicación e integración de la información de este sector a nivel nacional. No sólo es un potente sistema de gestión para las comisarías (lo cual ya es una clara necesidad), sino también una eficaz y usable herramienta facilitadora del trabajo diario de todos los agentes, en la línea de la nueva cultura 2.0.

Beatriz Sigüenza, IDK-Factory
En la actualidad las empresas necesitan constantemente readaptar, repensar y rediseñar su modelo de negocio, sus productos y servicios para ser competitivos en el exigente mercado actual.  IDK (Ideas Development Kit) es una herramientain-a-box que permite a un grupo de personas generar muchas nuevas ideas sobre el foco o el problema a resolver.

Paloma Fuentes, TedCas
TedCas ofrece una nueva forma de controlar los sistemas de información en los hospitales, evitando el contacto con ordenadores y periféricos, reduciendo así el riesgo de infección.

 15 de Diciembre 2011

Inversores:

• Rafael Garrido, Jaime Amoribieta y Gonzalo Castellano, Vitamina K
• José Miguel Herrero, Big Sur Ventures
• Gary Stewart, Director de Wayra España
• Liz Fleming, Deputy Director IE Venture Lab

Las 3 startups:

Matthieu Heusch – DoctorDoctor
doctordoctor es una plataforma web de e-health que facilita la relación y comunicación entre los diferentes actores de la sanidad privada: pacientes, médicos, clínicas, aseguradoras y colegios médicos.

David Martin- Blaffin
Blaffin es una plataforma de entretenimiento donde los usuarios nos deleitan con sus habilidades en forma de vídeos y fotos y las marcas generan comunidad y visibilidad.

Diego Mariño – Ducksboard
Monitor de métricas online en tiempo real.

 1 de Diciembre 2011

Inversores:

• Rafael Garrido, Jaime Amoribieta y Gonzalo Castellano, Vitamina K
• Sergio López, Addquity Growth Capital
• Gary Stewart, Director de Wayra España
• Juan José Güemes, Presidente del Centro Internacional de Gestión Emprendedora, IE

Las 3 startups:

Ander Michelena- Evandti.com
Evandti.com es una compañía innovadora en el mundo del ticketing que da soluciones telematicas a clientes en el sur de Europa, rusia, Brasil y latam. Damos servicio tanto en el mercado primario como en el secundario a través de dos soluciones, ticketbis.com y eventbis.com

Francisco Larios- CI2T
CI2T es un empresa de base tecnológica que trata de dar una respuesta clara a la creciente demanda de introducción de las nuevas tecnologías en la agricultura. La solución permite aumentar la producción y reducir drásticamente los costes totales. El sistema ahorra energía, agua y alcanza la máxima eficacia en el mantenimiento del clima.

Antonio García Morte- Cierzo Development
Cierzo Development es una startup focalizada en el desarrollo de tecnologías de rastreo de información, análisis semántico y marketing digital, comercializadas bajo la marca SMMART. En los últimos años ha venido trabajando con grandes empresas en el ámbito de la reputación online, pero ahora pretende lanzar un ambicioso plan para comercializar a nivel internacional una aplicación para el marketing digital en las pymes llamada SMMART Social CRM.

24 de Noviembre 2011

Inversores:

• Rafael Garrido, Jaime Amoribieta y Gonzalo Castellano, Vitamina K
• Fausto Checa, Ch2Market
• Gary Stewart, Director de Wayra España
• Juan José Güemes, Presidente del Centro Internacional de Gestión Emprendedora, IE

Las 3 startups:

Alejandro Sánchez Acosta- Neurowork
Neurowork es una empresa de tecnología con amplia experiencia en soluciones de IT con fuerte knowhow en tecnologías abiertas. Actualmente dirigiendo sus objetivos a las nuevas tendencias tecnologicas (Aplicaciones Móviles).

Ramón Sastrón- eMe
eMe (event music experience) es la plataforma líder de música en directo. Realizamos y emitimos conciertos  nativos para internet, 100% online. El usuario puede colaborar creando el concierto que quiere disfrutar, votando las canciones que quieren escuchar, decidiendo la hora del concierto e interactuar con los artistas además de adquirir productos exclusivos, merchandise.

Pablo Ferrari- Tiendalista
Tiendalista es un one-stop-shop para que tu tienda online sea un éxito en internet. Hacemos que vendas en internet de forma rápida y sencilla. Nos encargamos de que tu tienda exista en la web, en facebook, en iphone, en ipad, en android…. Además te ayudamos con la logística, con el diseño gráfico, con las fotos de los artículos de tu tienda, con el marketing online… y con cualquier dificultad que te encuentres. Queremos que poner tu tienda en internet sea fácil y rentable para que puedas vender a todo el mundo.

10 de Noviembre 2011

Inversores:

• Rafael Garrido, Jaime Amoribieta y Gonzalo Castellano, Vitamina K
• Oscar Gregori, Tremosa
• Gary Stewart, Director de Wayra España
• Juan José Güemes, Presidente del Centro Internacional de Gestión Emprendedora, IE

Las 3 startups:

CLIPBOOK- David de Miguel, Ignacio Bujalance

CLIPBOOK es para los profesionales del mundo audiovisual el mercado de videos (clips) de alta definición:  Clipbook es la fábrica que proporciona a los creadores de contenido audiovisual las herramientas (clips de audio y video) que les permitirán realizar sus creaciones con un coste mínimo.

LACAMBRA– Cristina Álvarez Lacambra

LACAMBRA es una marca de bolsos y accesorios de piel que el usuario puede personalizar eligiendo y combinando colores, tanto de la piel como del forro. Las piezas se configuran en la tienda online de la marca, myLACAMBRA.com y se fabrican a medida en España con materiales de primera calidad.

EVICERTIA– Jacobo van Leeuwen

EVICERTIA (evidencia y certificación) ofrece servicios en la nube de certificación y custodia electrónica segura aportando validez legal al email y SMS. Los servicios de EVICERTIA permiten comunicarse de forma segura, confidencial, con garantía de entrega, y con acuse de recibo y generando pruebas con validez legal para evitar riesgos, combatir el fraude, el cibercrimen y la morosidad. http://www.evicertia.es

3 de Noviembre 2011

Inversores:

• Rafael Garrido, Jaime Amoribieta y Gonzalo Castellano, Vitamina K
• Jose Martín Cabiedes, Cabiedes&Partners Scr
• Gary Stewart, Director de Wayra España
• Juan José Güemes, Presidente del Centro Internacional de Gestión Emprendedora, IE

Las 3 startups:

Mario Garcés- Daxnatur
DAXNATUR es una compañía especializada en la formación, consultoría e investigación sobre emociones. Trabajamos desde del individuo, considerando las emociones y su gestión positiva y eficaz como el pilar fundamental para construir, con éxito, el resto de estructuras sociales, desde la pareja hasta las organizaciones empresariales.

Jorge Pajares – Dantex Group
Con 3D Business Solution, vamos a cambiar la forma en que las empresas se comunican con su entorno digital, no más webs planas, aburridas y estándares, la transmisión de las emociones es esencial.

Aníbal García-Almuzara – iFORTV
Plataforma de investigación basada en la utilización de dispositivos móviles, y hemos desplegado esta tecnología en los hogares de nuestro panel (miniver ®, http://www.miniver.es) representativo de la población española entre 18 y 50 años. A través de esta plataforma somos capaces de conocer en tiempo casi real la TV que cada panelista está viendo, y somos capaces de comunicarnos con el panel vía encuestas enviadas a teléfonos móviles, que los panelistas pueden responder de forma oral o escrita. Con esta información hemos desarrollado metodologías únicas para el análisis de eficacia publicitaria y para la investigación cualitativa de audiencias.

27 de Octubre 2011

Inversores:

• Rafael Garrido, Jaime Amoribieta y Gonzalo Castellano, Vitamina K
• Ian Noel, Bonsai Venture Capital
• Gary Stewart, Director de Wayra España
• Juan José Güemes, Presidente del Centro Internacional de Gestión Emprendedora, IE

Las 3 startups:

Felipe Velásquez – Meetrico
Meetrico.com es una red social que comercializa horas muertas de despachos y oficinas compartidas con un sistema que regula los precios según la ocupación.

Jorge Pajares, Lluis Cardona – Dantex Group
Pioneros a nivel mundial en la concepción de proyectos de comunicación digital (internet y otros canales) basados en la combinación entre sí de aplicaciones multimedia, el video interactivo y la simulación virtual por ordenador. Su servicio 3D Business Solution permite pasar de proyectos digitales mediante formatos tradicionales (en 2D) al marketing emocional en formato de comunicación dinámica (combinando postproducción de video y 3D).

Camilo López – Timpik
Timpik es la red social de deportistas que conecta personas para practicar deporte. Ofrece todas las herramientas de comunicación para descubrir otros deportistas a nuestro alrededor con las mismas preferencias deportivas, horarios o localización. Además, ofrece unas utilidades para que organizar un evento deportivo deje de ser una pesadilla. Timpik se ofrece en versión web así como en aplicaciones de iPhone y Android.

20 de Octubre 2011

Inversores:

• Gary Stewart, Director de Wayra España
• Rafael Garrido, Jaime Amoribieta y Gonzalo Castellano, Vitamina K
• Ana Alcaine, Going Investment
• Ricardo Pedrol, Innovate!100
• Juan José Güemes, Presidente del Centro Internacional de Gestión Emprendedora, IE

Las 3 startups:

Zubin Chagpar- Mashpan
Organiza intuitivamente tu información digital.

Enrique Andreu, Alejandro Fanjul – Palbin.com
Palbin.com is a cloud service where anyone can create their own online store in Internet and Facebook in the easiest and quickest possible way, for a low monthly subscription. It is mainly aimed to traders, freelancers and SMEs that are looking for a new business model based on Electronic and Social Commerce but do not necessarily have the technical knowledge required, large budgets or sufficient time to spare.

Mariano Torrecilla – Linkovery
Linkovery, tu escritorio en la nube. La mejor forma de organizar, descubrir y compartir todas tus aplicaciones y sitios web. Gracias a la tecnología HTML5, Linkovery es accesible desde cualquier dispositivo, plataforma y navegador. Nunca más será necesario recordar las contraseñas, con el sistema de single sign-on, Linkovery lo hará por el usuario.

13 de Octubre 2011

Inversores:

• Carlos Méndez, FIT Talent, Everis Group (www.fitalent.es)
• Rafael Garrido, Jaime Amoribieta y Gonzalo Castellano, Vitamina K
• Alberto Garrido, FIT Talent, Everis Group (www.fitalent.es)
• Juan José Güemes, Chairman del International Centre for Entrepreneurship, IE

Las 3 startups:

Judith Gil Lopez – Qdada
Qdada es un portal web que permitirá organizar de manera sencilla los planes con grupos de amigos, proponiendo actividades e incluyendo la reserva de las mismas

Roman Vinoly – Casapanal
El inovador sistema constructivo de CASAPANAL ha sido desarrollado en conjunto con Rafael Viñoly – arquitecto de renombre mundial – con el fin de comercializar una solución personalizable y asequible para las mil millones de familias que hoy en día carecen de un hogar adecuado.  Mas allá de la variedad en tipos de hogares que facilita, nuestro sistema también puede aplicarse en la construcción de refugios de emergencia, cámaras de refrigeración, escuelas, clínicas, y centros comunitarios.

Carlos Prieto – LoockAd
LoockAd es una aplicación gratuita que combina las posibilidades de la geoposición disponible en los smartphones con las funcionalidades sociales de las aplicaciones móviles para crear una herramienta de marketing móvil moderna que sea barata, eficiente y fácil de utilizar y esté al alcance de todo el mundo.

6 de Octubre 2011

Inversores:

• Almudena García Calle, Socia fundadora de Aboo Partners
• Rafael Garrido, Emprendedor y Business Angel
• Gary Stewart, Director de Wayra España
• Juan José Güemes, Presidente del Centro Internacional de Gestión Emprendedora, IE

Las 3 startups:

Eduardo Ferrín – Business & Strategy
BsC-i le ayuda a implementar su Estrategía de Negocio mediante “Mobile Business Intelligence” apps para Dispositivos tipo Tableta.

Emilio Carlos Hank – SocialBet
SocialBet es una plataforma online que tiene acceso a explotar una licencia de apuestas online y aspira a entrar en los mercados de México y Latino América.  A diferencia de la forma tradicional de apostar en Deportes y Carreras, Social Bet ofrecerá “betting exchange” en donde se conectará a clientes para que apuesten entre ellos mismos, siendo la primera compañía que ofrece esto en la región.

Diana Morato – Inyam
Inyam aplica tecnología de inteligencia colectiva al sector de recomendaciones y reservas de restaurantes online. La inversión total de 190.000€ aportará 1,73 M€ BAII en el año 5.

Hardware as a Service

Desde hace unos años EADTrust proporciona servicios DSS en modalidad SaaS (Software as a Service), o computación en la nube (Cloud Trust Services), actividad en la que ha sido pionera. Uno de los servicios prestados era el de sello de tiempo mediante el DSS Time-stamp profile, junto al más habitual servicio basado en el RFC 3161 .

El servicio funciona muy bien en usos esporádico de gestión de sellos de tiempo (por ejemplo, en el marco de la generación de firmas CAdES-XL y XAdES-XL en programas de escritorio), pero las entidades que hacen un uso intensivo del sellado de tiempo demandaron ya hace algo más de 2 años el suministro de hardware específico, instalado en sus centros de proceso de datos (equipos denominados TSU, time Stamping Unit), para disminuir la latencia de la red y manejar picos de transacciones con mejores garantías de disponibilidad. Aquellas TSU fueron las primeras unidades que concretaron el concepto de Hardware as a Service dentro de los servicios de EADTrust: Equipos desplegados en las instalaciones de los clientes pero gestionados bajo la responsabilidad del PSC (Prestador de Servicios de Certificación), en este caso la sección de TSA (Time Stamping Authority). 

Ahora, el resto de los servicios de OASIS Digital Signature Services (DSS) de EADTrust están también disponibles en modalidad DSSU (Digital Signature Services Unit), como equipamiento en las instalaciones de grandes consumidores de servicios de confianza, con funciones como VSU (Validation Service Unit), DSU (Digital Signature Unit) o EEMU (Electronic Evidence Management Unit). Ya es posible instalar una o más unidades de este tipo por centro de proceso de datos, con las ventajas de ser servicios gestionados de muy bajo impacto en la gestión de infraestructura de la entidad. Y con la ventaja de no tener que invertir en la adquisición de equipamiento y licencias, ya que se paga mediante reducidas cuotas mensuales, como corresponde a la filosofía de servicio.

Y sin riesgo de obsolescencia, ya que el prestador va renovando los equipos según evoluciona la tecnología, sin que la entidad usuaria deba preocuparse de nada.