Archivo de la categoría: Seguridad

Resiliencia frente al Coronavirus, recomendaciones de Continuam


La enfermedad por SARS-CoV-2 (COVID-19) se extiende con una velocidad de contagio sin precedentes. Ayer el Consejo de Ministros declaró el Estado de Alarma, y hoy se ha publicado en el BOE el Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19,

Desde hace varios días el Instituto de Continuidad de Negocio – CONTINUAM ha difundido un conjunto de recomendaciones orientadas a mejorar la resiliencia de las empresas y garantizar su continuidad de negocio, como se recoge en un reciente comunicado.

El portal Blockchain Economía ya se ha hecho eco de este comunicado así como de otra iniciativa por la que se constituye el Foro Resilium.

Ver la versión en PDF del comunicado de Continuam para enfrentar la situación creada por el Coronavirus; Continuam Coronavirus – Decalogo 1_20200313_Rev_PPLB_Final

Recomendaciones de Continuam

El coronavirus está en España. No se trata ya de saber si va a AFECTAR a TU NEGOCIO, sino CUÁNDO empezará a afectar a tu empresa y CÓMO PREPARARTE. Si no has definido PLANES de Continuidad y Resiliencia para asegurar que tu empresa puede enfrentarse a los impactos del coronavirus, todavía estas a tiempo de prepararte.

A continuación, algunas recomendaciones básicas desde el Instituto de Continuidad de Negocio – CONTINUAM, que se detallaran en boletines posteriores y pueden ayudarte y complementar las Directrices y Protocolos ya dados por Sanidad:

  • Identifica las ACTIVIDADES ESENCIALES de la Empresa que tienen que seguir operativas a toda costa: Identifica las actividades de tu empresa que deben seguir operativas a toda costa y cuya interrupción puede ser crítica y llegar a dejar inoperante o incluso destruir tu negocio (si tienes Planes de Continuidad de Negocio deberías tenerlas ya identificadas.)
  • Mide el IMPACTO y CONSECUENCIAS del coronavirus sobre los volúmenes de venta de tu empresa: Identifica cual puede ser el impacto y consecuencias del coronavirus sobre tus volúmenes de ventas y en productos/servicios (si baja la previsión de volumen de venta o servicio, recuerda que puedes no necesitar todo el personal que usas en la actualidad y proceder a que teletrabajen y aislarlos en su domicilio de forma preventiva.
  • Identifica el mínimo PERSONAL CRÍTICO necesario y organiza su disponibilidad en función de necesidades: Identifica dentro de tu empresa que grupos de empleados y cuantas personas tienen que estar disponibles como mínimo, en especial aquellas más críticas, y operativo en cualquier caso para realizar las actividades críticas y según tus previsiones de venta para las próximas semanas (hay departamentos que, si no están operativos durante semanas, no pasa nada y no afecta al futuro de la empresa). No te olvides de las funciones de soporte en departamentos como informática, logística… Realiza un seguimiento a diario de la disponibilidad de todo el personal interno y externo. Si pones en marcha trabajo desde casa, prioriza los recursos de conectividad para los empleados más críticos. El resto puede incluso permanecer en casa y solo conectarse cuando hay disponibilidad o en función de necesidades.
  • Identifica los PROVEEDORES CRÍTICOS y que SUMINISTROS son críticos: identifica los proveedores, suministros y servicios que tienen que estar operativos para tus actividades críticas. Identifica si hay alternativos, busca otros proveedores y asegúrate que tienes compromisos de entrega en toda circunstancia. Realiza un seguimiento a diario de sus disponibilidad y entrega para detectar cualquiera incidencia, en cualquier caso, ten preparadas posibles alternativas o como asumir posibles indisponibilidades si llega el caso, dentro del tu negocio.
  • MONITORIZA el IMPACTO a diario: asegúrate de tener un comité de crisis que hace un seguimiento diario y varias veces al día, contrastando diferentes fuentes, de la situación de la empresa. Este comité debe ser compuesto por representantes con el nivel de responsabilidad adecuado de los departamentos que participan en la producción, entrega y servicio a los clientes además del departamento jurídico, comunicación, continuidad, seguridad, etc. Ellos deben tener el poder de decisión para asegurar la continuidad de las operaciones, informando a los órganos de gobierno de la empresa. Si no tienen la suficiente responsabilidad, no serán operativos.
  • ASEGURAR la RELACIÓN con CLIENTES: Sea honesto con los clientes, si tu empresa está afectada por el coronavirus (no puedes suministrar productos o servicios como está previsto o que algún empleado en contacto con ellos está contaminado) informa el cliente de forma ágil para que pueden tomar medidas para protegerse. Realiza un seguimiento de tus clientes y empleados para identificar cualquier cliente que está afectado por el coronavirus para limitar los contactos para no afectar negativamente a tu empresa.
  • ·GESTIONA adecuadamente la COMUNICACIÓN: organiza una comunicación interna regular hacia todos los empleados de tu empresa informándolos de los planes y si procede al resto de Partes Interesadas o Externa que se relacionen con tu actividad, con las recomendaciones sanitarias e incidencias que ocurren en relación con el coronavirus, te lo agradecerán y se minimizaran riesgos y posibles contagios. Además, atento a las Instrucciones de las Administraciones Públicas al respecto, mantén vías de comunicación en todo momento y por diferentes medios.

En ESENCIA, aplica mucho Sentido Común y aplica PREVENCIÓN en todo lo posible siguiendo las recomendaciones Sanitarias y el resto que puedan complementarlas, en pro de tu Negocio, las Personas y de la propia Sociedad.

Iremos publicando más boletines en los próximos días para detallar cada uno de estos temas o cualquier otro relacionado.

Estas recomendaciones están basadas en la experiencia de los miembros y profesionales del Instituto de Continuidad de Negocio – CONTINUAM – durante más de una década en GESTIÓN de CRISIS y CONTINUIDAD de NEGOCIO en pro de la CULTURA de RESILIENCIA de la SOCIEDAD, sin menoscabo que siempre hay que atender las instrucciones de las Autoridades Públicas conforme vayan indicando en cada momento.

Marc De Schouwer, MBCI, revisado por Pedro Pablo López, Presidente

Instituto de Continuidad de Negocio – CONTINUAM – ESPAÑA

“LA RESILIENCIA SE CONSIGUE CON LA CULTURA DE SUMAR QUE MULTIPLICA” – SUMATE –

 

Material de estudio para la certificación profesional de Auditor EIdAS


Próximamente TCAB publicará más detalles sobre las jornadas de formación previstas en 2020 para la certificación profesional de Auditor EIdAS.

Ya se ha publicado el contenido previsto de la formación pero todavía no se han publicado las fechas para los exámenes de certificación y aspectos como los requisitos para ser Auditor EIdAS en el esquema de TCAB.

Quienes deseen prepararse para esta cualificación profesional pueden descargarse y utilizar como material de estudio las guías publicadas por ENISA.

Aunque el material está en inglés, a continuación se relacionan algunos de los documentos disponibles indicando también la traducción del título al español:

El portal Criptored celebra sus 20 años impulsando la seguridad de la información y la criptografía


A comienzos de diciembre del año 1999, hace ya veinte años, se iniciaba en el seno de la UPM (Universidad Politécnica de Madrid), de la mano de Jorge Ramió Aguirre, el portal Criptored, una aventura de colaboración de ámbito iberoamericano en temas relacionados con la seguridad de la información y la criptografía, usando lo que en aquellos años se denominaban redes temáticas.

Eran sitios web en los que se inscribían los interesados en la temática y desde los que podían aportar y obtener conocimiento, muchas veces en forma de documentos con licencias destinadas a compartir.

Hay que recordar que las actuales redes sociales LinkedIn (2002), Facebook (2004), YouTube (2005), Twitter (2006) o Instagram (2010) no habían nacido, si bien Hispasec,  un ilustre predecesor, ya cumplía un año de vida.

En 1996 había aparecido “PGP Magazine”, el primer boletín electrónico sobre criptología, en Internet y en castellano y un año después, sus promotores pusieron en marcha otro boletín: “Kriptópolis”.

De modo que 1999 vio el nacimiento de la “Red Temática Iberoamericana de Criptografía y Seguridad de la Información” Criptored, cuyas primeras páginas web pueden rescatarse desde Wayback Machine.

Lo que se inicia como una pionera red temática en habla hispana, con miembros a título personal, universidades e instituciones formando parte de el colectivo de inscritos de alta, con 50 miembros al finalizar diciembre de 1999, llegó en 2005 a superar los mil miembros y las 250 instituciones de investigación y educación superior de una veintena de países.

Con el paso de los años va cambiando su fisonomía y se convierte en la actual red de profesionales conectados a través de sus redes sociales en LinkedIn, Twitter y Facebook.

En estos años Criptored ha aportado a la comunidad diversos proyectos de amplia difusión de la seguridad de la información como, por ejemplo, los congresos CIBSI y TIBETS, que ya han tenido 10 ediciones, los proyectos educativos multimedia Enciclopedia de Seguridad de la Información intypedia con 862.569 visualizaciones en YouTube, las píldoras formativas Thoth con 523.228 reproducciones en YouTube, el primer MOOC Massive Open Online Course en español Crypt4you, rozando ya el millón y medio de accesos, el proyecto Mapa de Enseñanza de la Seguridad de la Información MESI y, últimamente, los Cuadernos de Laboratorio de Criptografía CLCript, también con miles de descargas.

Criptored, ha sido reconocido con diversos premios nacionales por sus proyectos y por la difusión de la seguridad, y acoge actualmente 1.700 accesos diarios al sitio web.

A comienzos del año 2020, Criptored tiene previsto cambiar su formato web para seguir impulsando la difusión de la seguridad informática y la criptografía.

Hay que felicitar a a los doctores D. Jorge Ramió Aguirre y D.Alfonso Muñoz Muñoz su empeño personal en mantener con tanta pujanza este proyecto.

Jornada ‘Tecnologías Emergentes, ciberseguridad y Blockchain’ en el Senado


El pasado 24 de octubre de 2019 se celebró en el Senado la II Jornada Tecnológica sobre Tecnologías Emergentes, Ciberseguridad y Blockchain, que ha organizado la Fundación Big Data

Durante la jornada se ha hablado acerca de la estrategia en Blockchain tanto en España como en la Comunidad Europea y su relación con la Ciberseguridad con el fin de implantar de forma coherente y estructurada acciones de prevención, defensa, detección y respuesta frente a las ciberamenazas.

El acto se ha celebrado en la sala Manuel Giménez Abad y se ha transmitido en streaming desde la página web de la Cámara Alta.

El Secretario Segundo del Senado, D. Rafael Antonio Hernando Fraile, ha sido el encargado de la apertura de la jornada.

Han intervenido en el acto ponentes destacados de primer nivel:

  • Jaime Sánchez Revenga, Presidente Director de la Fábrica Nacional de Moneda y Timbre‐Real Casa de la Moneda (FNMT);
  • Javier González Marcos, Vice President Executive Partner, Gartner Executive Programs;
  • Fabio Chesini, Gartner Research Director Banking;
  • Ángel Laín Caba, Director de Sistemas de información FNMT;
  • Jesús Fernández, Teniente Coronel. Unidad de Ciberterrorismo de la Guardia Civil;
  • José Ángel Alonso López, Director TIC del Senado;
  • Miguel Ángel Amutio en representación de Fernando de Pablo Martín, Secretario General de Administración Digital;

La Fundación Big Data estuvo representada por su Vicepresidente, Fernando Martín Moreno y por su Presidente, Francisco Javier Antón Vique.

Francisco Javier Antón Vique, ha puesto de manifiesto la importancia de la formación en materias de tecnologías emergentes y ha destacado la contribución de la Fundación en la creación de casi 80 puestos de trabajo nuevos dirigidos al empleo juvenil. En su charla ha elaborado una radiografía acerca de cómo han evolucionado las compañías multinacionales durante los últimos años y cómo las compañías tecnológicas han desplazado a las empresas tradicionales de los primeros cinco puestos en cuanto a capitalización.

“La transformación digital ha dejado de ser una opción para convertirse en una obligación que puede venir dada por diferentes ramas: Big Data, BlockChain, IoT, Inteligencia Artificial, robótica o realidad aumentada. Esas son las tecnologías en torno a las que va a girar la estrategia del mundo empresarial durante los próximos años, por lo que su conocimiento y dominio deben pasar a ser una de las prioridades en cualquier corporación”, ha comentado Antón Vique.

El Presidente Director de la Fábrica Nacional de Moneda y Timbre‐Real Casa de la Moneda (FNMT), Jaime Sánchez Revenga, destacó que la FNMT sigue elaborando los productos tradicionales en papel que requieren autenticidad como las quinielas, loterías, etc. y, al mismo tiempo, se encuentra en la vanguardia de las tecnologías de identidad digital tanto de personas como de servidores y, de cara a las generaciones de jóvenes como los llamados millenials y generación Z, están trabajando en nuevos productos del futuro como el Blockchain.

Javier González Marcos, Vice President Executive Partner de Gartner Executive Programs,  destacó el cambio continuo en el que estamos inmersos y que uno de los retos más importantes es el de concienciar a los ejecutivos sobre la importancia de la ciberseguridad. Una disciplina que necesita “un millón y medio de profesionales”, que en ocasiones se deberán preparar a partir de una estrategia de “formación del personal interno de la organización”.

Un tema que hace reflexionar sobre las contradicciones del ser humano es el de la inteligencia artificial ya que, por un lado, ya la utilizamos para temas auxiliares como los mapas para deplazamientos y, por otro, la tememos ante la expectativa de que pueda acabar con ciertos
puestos de trabajo.

Las relaciones de confianza en la vida de las personas y su extrapolación al mundo del Blockchain han tratadas por Fabio Chesini, Gartner Research Director Banking, que ha reflexionado sobre como la aparición de Internet ha revolucionado el mundo de las relaciones personales. Comparando los modelos evolutivos de Internet que ha pasado de un modelo pseudoanárquico a ser regido por unas pocas grandes organizaciones ha extrapolado con referencia a anuncios recientes sobre el posible proceso de evolución de la gobernanza en Blockchain.

El Director de Sistemas de Información de la FNMT, Ángel Laín Caba, comentó el nuevo proyecto Blockchain que la FNMT está acometiendo para proporcionar futuros servicios a las Administraciones Públicas en consonancia con el proyecto europeo cuya red estará operativa con 6 nodos durante el mes noviembre de 2019 y que prevé su implantación a principios del año 2010. En este proyecto europeo que contempla todo el ciclo Blockchain se desarrolla el “Customer Journey” de una persona virtual denominada “Eva”, de nacionalidad belga, y que va a España a estudiar, lugar donde obtiene credenciales y crea una startup incluyendo las fases de constitución notarial y financiación.

La relación entre el Blockchain y la ciberseguridad en sus diversos aspectos como el hacktivismo, el ciberdelito, el ciberterrorismo, el ciberespionaje y la ciberguerra fueron los ejes de la intervención de Jesús Fernández, Teniente Coronel de la Unidad de Ciberterrorismo de la Guardia Civil, que puso énfasis en la necesidad de logra la concienciación de losciudadanos ante las amenazas a las infraestructuras críticas y los riesgos de desestabilizacion.

Miguel Ángel Amutio, Director de la División de Planificación y Coordinación de Ciberseguridad de la Secretaria General de Administración Digital comentó la importancia de las tecnologías emergentes para los ciudadanos. Destacó un reciente informe europeo que clasifica a España en las primeras posiciones en la adopción de la administración digital, y el despliegue de servicios pra los ciudadanos, si bien reconoción que queda margen de mejora, especialmente en competencias digitales, a nivel personal y como sociedad.

José Ángel Alonso López, Director TIC del Senado, realizó el resumen de la II Jornada Tecnológica, agradeciendo a los ponentes sus aportaciones.


La Fundación Big Data es una organización privada sin ánimo de lucro que tiene como misión fundamental impulsar la innovación tecnológica y contribuir al éxito de un modelo de crecimiento económico sostenible basado en el incremento de la competitividad y la productividad, la promoción de la igualdad social y regional, el diseño para todos y la mejora del bienestar y calidad de vida de los ciudadanos y las organizaciones de España e Hispanoamérica.

Formación y certificación de auditores #EIDAS


TCAB (Trust Conformity Assessment Body) está preparando un evento formativo que tendrá lugar del 4 al 8 de mayo de 2020  y que está destinado a formar especialistas del mundo de la firma electrónica y de los servicios de confianza.

Se estructura en tres niveles:

  1. Usuarios avanzados de servicios de confianza digital (1 día)
  2. Prestador de servicios de confianza digital (2 días)
  3. Auditor de servicios de confianza digital  (2 días)

Tras la formación completa se puede optar a realizar un examen que dará acceso a la certificación profesional de Auditor EIDAS y posteriormente a la realización de auditorias como auditor junior, en el marco de las evaluaciones de conformidad desarrolladas por TCAB.

El temario tentativo es el siguiente:

Nivel 1. Formación para desarrolladores, empresas de servicios y para empleados del sector Público.

Proporciona una introducción a los sistemas de identificación y firma electrónica.

Se tratan los siguientes temas:

  • Conceptos de identificación electrónica
  • Breve historia de la criptografía
  • Algoritmos de Hash
  • Criptografía de clave simétrica y criptografía de clave asimétrica
  • Elementos de las Infraestructuras de clave pública. RA, OCSP, CA, Root, Entidad final, CRL, Timestamping, custodia digital. Listas de confianza
  • Estructura de los certificados. Normas X.509, X.520
  • SSL TSL. OCSP Stapling
  • Autenticación mediante certificados
  • Firma electrónica. Tipos de firma electrónica
  • Certificados cualificados
  • Dispositivos cualificados de Creación de Firma
  • Drivers de dispositivos. Estándares MS-CAPI y PKCS#11
  • Normativa de firma electrónica. Reglamento EIDAS
  • Firma electrónica en las administraciones públicas y en el ámbito de la Justicia. Consideraciones sobre la Ley 39/2015 y la Ley 18/2011.
  • Firmas avanzadas especiales. Firma biométrica
  • Configuración de servidores para SSL. Como solicitar certificados

Nivel 2. Formación para profesionales de Prestadores de Servicios de Confianza

Se describen los sistemas utilizados por los PSCD, los documentos a elaborar y las medidas de seguridad en el ámbito de los Prestadores de Servicios de Confianza Digital y la forma de prepararse para una auditoría EIDAS

Se tratan los siguientes temas:

  • Normativa relacionada con la gestión de identidades. Reglamento 1501/2015 y Reglamento 1502/2015
  • Normativa general para Prestadores: EN 319 401:
    • Evaluación de riesgos,
    • Políticas y prácticas: Declaración de práctica de servicio de confianza, Términos y condiciones, Política de seguridad de la información,
    • Gestión y operación de Prestadores de Servicios Electrónicos de confianza: Organización interna (Confiabilidad de la organización, Segregación de funciones), Recursos humanos, Gestión de activos (Requisitos generales, Manejo de medios), Control de accesos, Controles criptográficos , Seguridad física y ambiental, Seguridad de las operaciones, Seguridad de la red, Gestión de incidentes, Recogida de información probatoria, Gestión de la continuidad del negocio, Terminación de las actividades de Prestadores de Servicios Electrónicos de confianza y planes terminación de actividades, Cumplimiento legal.
  • OID. Como solicitar OID. Como diseñar una estructura organizada de OID para facilitar la gestión de políticas de firma
  • Perfiles de certificados. Identificación de políticas. OID necesarios según CAB Forum, OID necesarios según las normas ETSIT. Normas EN 319 412. Certificados PSD2
  • Documentación necesaria que se comprobará para expedir certificados de persona física, certificados de persona física representante de persona jurídica, certificados de persona física empleado público, certificados de persona jurídica.
  • Herramientas de parseo y de comprobación de la calidad de certificados.
  • Certificate transparency. Repositorios e integración
  • Normativa relativa a la expedición de certificados: EN 319 411-1. Recorrido detallado del contenido de una Declaración de Prácticas de Servicios de Confianza
  • Normativa relativa a la expedición de certificados cualificados en el marco de EIDAS: EN 319 411-2. Recorrido detallado del contenido de una Declaración de Prácticas de Servicios de Confianza. Certificados EIDAS: QCP-n, QCP-l, QCP-n-qscd, QCP-l-qscd, QCP-w.
  • Normativa relativa a la expedición de sellos de tiempo cualificados en el marco de EIDAS: EN 319 421 y EN 319 422
  • Normativa relativa a la prestación de servicios cualificados de notificaciones electrónicas y correo electrónico certificado cualificado (Servicio cualificado de entrega electrónica certificada) en el marco de EIDAS: EN 319 521 y EN 319 531
  • Servicio cualificado de validación de firmas electrónicas cualificadas y sellos electrónicos cualificados en el marco de EIDAS: TS 119 101 y EN 319 102-1
  • Servicio cualificado de conservación de firmas electrónicas cualificadas y sellos electrónicos cualificados en el marco de EIDAS: TS 102 573 y EN 319 102-1
  • Seguro de Responsabilidad civil. Responsabilidad contractual y extracontractual.
  • Dispositivos cualificados de creación de firma. Normas de aplicación para la evaluación de dispositivos: FIPS-140-2, CWA 14167-1, CWA 14167-2, CWA 14169, CWA 14170, EN 419 241-1, EN 419 241-2, EN 419 221-5.
  • Listas de dispositivos de creación de firma: NIST, Common Criteria Portal, Lista del artículo 31 (Compilation of Member States notification on SSCDs and QSCDs). Procedimientos especiales del art. 30-2-b. Vigencia de dispositivos anteriores al EIDAS por art. 51.1
  • Aspectos a tener en cuenta para la expedición de certificados de sitio web y firma de código ejecutable en contextos de CAB Forum: Baseline Requirements, Extended Validation (EV) Guidelines.
  • Criterios de verificación de identidad en las actividades de RA según el artículo 24-1-b y 24-1-d. Criterios de videoidentificación publicados por SEPBLAC en el marco de la Ley 10/2010.
  • Listas TSL (Trusted Lists). Norma TS 119 612. Información que se refleja en las listas. Comprobación de validez de certificados cualificados emitidos en fase válida de prestadores a los que se les ha retirado la cualificación.
  • Reglas de uso del signo distintivo europeo de cualificación EIDAS

Nivel 3. Formación para Auditores y evaluadores de conformidad de Servicios de Confianza

Se describe el marco de evaluación de la conformidad, los organismos de acreditación, los requisitos para los organismos de evaluación de conformidad y los requisitos para los auditores.

Los estudiantes que hayan asistido a la formación de los 3 niveles podrán presentarse a un examen de certificación profesional que los habilitará como auditores EIDAS en el Esquema de Trust Conformity Assessment Body. Los alumnos que superen el examen obtendrán un nivel de cualificación profesional para participar como auditores junior en auditorías de evaluación de conformidad y podrán optar a acompañar a auditores senior en auditorías de TCAB. Tras participar en 3 auditorías recibirán la cualificación de auditores senior.

En la formación el tercer nivel se utilizarán el inglés y el español como lenguas vehiculares a lo largo de las exposiciones.

Se tratan los siguientes temas:

  • Evolución del marco de evaluación de conformidad para servicios de confianza. Orden de 21 de febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica.
  • Modelo de supervisión EIDAS. Lista de supervisores de los Estados miembros.
  • Modelo de acreditación EIDAS. Lista de organismos de acreditación de los Estados miembros.
  • Modelo de evaluación EIDAS. Lista de organismos de evaluación de los Estados miembros.
  • Requisitos aplicables a los CAB para lograr la acreditación. EN 319 403, ISO 17065, Criterios y proceso de acreditación específico para la certificación de servicios electrónicos de confianza regulados en el Reglamento (UE) nº 910/2014 (eIDAS) (Norma ENAC RDE-16)
  • Recomendaciones para planificar una auditoría: Fase de revisión documental, fase presencial, identificación de evidencias, pautas de información a reflejar en el informe de Evaluación (CAR, Conformity Assessment Report).
  • Procedimiento de evaluación. Revisión del informe, aprobación de la certificación.
  • Seguimiento de las entidades evaluadas. Ampliación de alcances de evaluación.
  • Requisitos generales para los auditores y condiciones previas para la acreditación. Principios éticos para los auditores. Criterios de independencia e imparcialidad.
  • Partes involucradas y pautas de interacción.
  • Curso típico de un proyecto de auditoría.
  • Recomendación para la acción y el enfoque durante las auditorías.
  • Requisitos y esquema de informes de evaluación.
  • Modelo de CAR para auditores
  • Condiciones para la Emisión de Certificado. Fases del proceso de certificación.
  • Reglas de uso del signo distintivo europeo de cualificación EIDAS, y de otras marcas asociadas a la evaluación, ENAC, CAB,…
  • Estructura general de aprobación de certificaciones. Organización de TCAB para la aprobación de certificaciones. Comité de partes interesadas.

Para más información llamar a TCAB al +34 91 3880789

Directiva PSD2 y certificados #eIdAS de Proveedores de Servicios de Pago


Ya se han tratado en este blog algunos aspectos relevantes sobre la Directiva (UE) 2015/2366 sobre servicios de pago en el mercado interior, también conocida como Directiva PSD2 (Segunda Directiva de Servicios de Pago).

En uno de los artículos del blog, de marzo de 2017 dedicado al Borrador Final de los Estándares Técnicos Regulatorios  (Final Draft Regulatory Technical Standards) y #eIdAS me atreví a vaticinar  como serían los perfiles de los certificados cualificados de los PISP (Servicios de iniciación de pagos) y de los AISP (Servicios de información sobre cuentas), y en especial la asignación del número identificativo al que se refiere la norma EN 319 412.

En la actualidad ya se ha publicado una norma técnica en estado de borrador que aterriza los conceptos necesarios para emitir los certificados cualificados a las Fintech que operen en el contexto de la PSD2. Se trata de la norma TS 119 495 titulada en inglés:

Sector Specific Requirements; Qualified Certificate Profiles and TSP Policy Requirements under the payment services Directive (EU) 2015/2366

Y unos pocos Prestadores de Servicios Electrónicos de Confianza están considerando su emisión.

La Segunda Directiva de Servicios de Pago favorecerá el crecimiento del mercado europeo de pagos electrónicos y armonizará el marco legislativo europeo aún fragmentado, tras la publicación de diferentes normas emitidas por cada Estado miembro en la transposición de la Primera Directiva de Servicios de Pago (Directiva 2007/64 / CE), que conlleva riesgos potenciales para la seguridad de los pagos y para la protección de los consumidores.

En el despliegue armonizado de la Segunda Directiva, los servicios de confianza definidos por el Reglamento UE 910/2014 (EIDAS)  no han recibido suficiente atención.

Uno de los aspectos clave de la Directiva PSD2 es la identificación electrónica confiable de los actores involucrados en una transacción de pago electrónico. En este marco regulatorio se ha definido por la Autoridad Bancaria Europea (EBA) un reglamento técnico específico que hace necesaria la “Autenticación fuerte del cliente” (SCA, Strong Customer Authentication) del pagador, que debe identificarse de manera confiable. Para este requisito, todos los proveedores de servicios de pago (PISP y AISP) deben acceder a las cuentas de pago o ejecutar órdenes de pago solo después de una autenticación fuerte del cliente en base a técnicas de doble factor de autenticación (2FA). 

Esta medida ha tenido una fría acogida por parte de los proveedores de servicios de pago que la ven como una amenaza para la experiencia de usuario del ordenante de pagos, frente a variantes que simplifican la interfaz añadiendo un simple botón de  “pago con un  clic” y la mínima fricción en la autenticación.

Aunque volveré sobre el tema de la autenticación de usuarios, hoy quería tratar sobre la identificación de los Prestadores de Servicios de Iniciación de Pagos y de Información sobre cuentas, para actualizar mi sugerencia de 2017 con lo que finalmente se ha plasmado en la norma de ETSI:

El atributo organizationIdentifier contendrá la información de identificación de la entidad  utilizando la siguiente estructura:

  • “PSD” como referencia de tipo de identidad de persona jurídica de 3 caracteres;
  • código de país de 2 caracteres ISO 3166 que representa el país del organismo supervisor;
  • guión-signo menos “-” (0x2D (ASCII), U + 002D (UTF-8)); y
  • Identificador de organismo supervisor de 2-8 caracteres (mayúscula A-Z solamente, sin separador)
  • guión-signo menos “-” (0x2D (ASCII), U + 002D (UTF-8)); y
  • Identificador de PSP (número de autorización según lo especificado por el organismo supervisor).

EJEMPLO: El identificador de organización “PSDES-BDE-0182” significa un certificado emitido a un PSP para el que el número de entidad es 0182, otorgada por el Banco de España. España (el identificador después del segundo guión lo establece el sistema de numeración español).

Vulnerabilidades de entornos Blockchain


Aunque los entornos Blockchain gozan de mecanismos  de “seguridad por diseño” para algunas funcionalidades, son un queso de gruyere para otras, especialmente cuando los usuarios no conocen bien cuales son sus responsabilidades en el mantenimiento de prácticas de uso seguras.

Uno de los aspectos críticos es la protección de la clave privada de la “cartera” o del mecanismos para solicitar transacciones al sistema, que se basa en criptografía de clave pública, pero con mecanismos mucho más primitivos que los que se usan en los contextos de “firma electrónica cualificada”.

Eso sin contar con que en muchos proyectos se introducen vulnerabilidades por defectos en la implementación.

Bitcoin y Ethereum, por ejemplo, han experimentado importantes episodios de explotación de vulnerabilidades que han tenido cierto eco y que han revelado debilidades inherentes de seguridad de blockchain que deben ser entendidas.

Los mecanismos de incorporación de código fuente a Github crean un vector de ataque que se puede abrir intencionadamente o por descuido cuando se hace necesario añadir una funcionalidad o corregir un error. Aunque hay muchos ojos comprobando que el software “está limpio”, también hay otros que identifican vulnerabilidades y no las comunican a la comunidad pensando en explotarlas más adelante.

Cada nuevo proyecto puede reaprovechar trabajos ya realizados y añadir nuevas funcionalidades pero la complejidad crece tan deprisa que es muy difícil cubrir todos los flancos, y, a veces se producen errores de regresión porque vuelven a aparecer vulnerabilidades identificada que ya se parchearon en ocasiones anteriores. No puede darse por sentado que las funcionales del punto de partida ya eran seguras en todos sus aspectos.

Aspectos de implementación como carteras autónomas (con copia propia de la cadena de bloques y protección de claves privadas) o servicios de cartera en web (delegando a un servidor remoto el almacenamiento de la copia propia de la cadena de bloques o de la clave privada) presentan retos diferentes sobre la forma de gestionar la seguridad y su implementación y administración deberían ser revisadas.

Estos son solo algunos de los problemas que una empresa debe considerar para garantizar la seguridad de blockchain. Existen grandes diferencias de funcionamiento entre las implementaciones, no solo en los detalles de la tecnología, sino también en el entorno de seguridad general de la empresa de la organización. Estas preocupaciones deben ser consideradas cuidadosamente.