Lightweight Online Certificate Status Protocol (OCSP) en entornos de alto volumen de certificados


OCSPEl Protocolo de consulta en linea del estado de certificados (Online Certificate Status Protocol – OCSP) permite determinar el estado de vigencia o revocación de los certificados digitales sobre los que se consulta, como mecanismo alternativo al uso de listas de revocación de certificados (Certificate Revocation List – CRL).

Desde su definición en 1999, se ha desplegado en múltiples entornos y ha demostrado su utilidad hasta el punto de que se ha convertido en el mecanismo preferido de verificación de vigencia de certificados establecido en el Reglamento EIDAS.

En efecto, el  Art 24 indica:

(…)

3.   Cuando los prestadores cualificados de servicios de confianza que expidan certificados cualificados decidan revocar un certificado, registrarán su revocación en su base de datos de certificados y publicarán el estado de revocación del certificado oportunamente y, en todo caso, en un plazo de 24 horas después de la recepción de la solicitud. La revocación será efectiva inmediatamente después de su publicación.

4. Con respecto a lo dispuesto en el apartado 3, los prestadores cualificados de servicios de confianza que expidan certificados cualificados proporcionarán a cualquier parte usuaria información sobre el estado de validez o revocación de los certificados cualificados expedidos por ellos. Esta información deberá estar disponible al menos por cada certificado en cualquier momento y con posterioridad al período de validez del certificado en una forma automatizada que sea fiable, gratuita y eficiente.

Un servidor OCSP debe responder en “tiempo real”, generando una respuesta de información de vigencia por cada consulta relativa a un certificado.

A medida que el uso de tecnologías PKI continúa creciendo y cubre nuevos requerimientos, la necesidad de comprobar la vigencia de los certificados debe adaptarse a nuevos escenarios.

Al pensar en despliegues de dispositivos ubicuos en contextos de IoT (Internet de las cosas) con menores capacidades de proceso y quizá menor ancho de banda  se requiere un uso cuidadoso de OCSP para minimizar el uso de ancho de banda y la complejidad de procesamiento del lado del cliente. Si a eso se añade que pueden existir millones o cientos de millones de certificados expedidos para otros tantos dispositivos, el potencial consumo de ancho de banda destinado a OCSP cuando las entidades que confían en los certificados consultan su validez hacer recomendable contar con mecanismos optimizados. De ahí la conveniencia de contar con una versión ligera de OCSP que con el tiempo pueda ser adoptada por los diferentes intervinientes en estos contextos de despliegues masivos de certificados.

Estas consideraciones han dado lugar a la publicación del estándar RFC 5019, que simplifica el protocolo OCSP manteniendo la compatibilidad con versiones anteriores.

Certified Digitization


The possibility to scan paper documents in a way that guarantees the exact image of paper original  and allows to destroy it appeared in 2007, after Order EHA 962/2007 was published.

At that moment only tax related documents were allowed to be scanned using this option. To perform the scanning, a special kind of software named “Certified Scanning Software” was needed.

The following are the requirements that the “Certified Scanning Software” must fulfill to guarantee that the digitized image is a good representation of paper original:

  • The digitization process should be carried out automatically in its entirety, from the moment the system take the picture till the final file including the electronic signature is generated and stored.
  • The possible image optimization process guarantees that all fields and data in the document are perfectly legible and valid for its management. Digital image must respect the original geometry of the document in paper format.
  • The software generates metadata information (in XMP format) in every file with the digitized image including identification reference of the approval granted by the Tax Agency and a timestamp, as well as the name and the version number of the scanning software.
  • The software should register the digitization process in a special database which links the image files with additional information (described in article 64 of Royal Decree 1624/1992) and includes security features to behave as an “append only log” inluding electronic signatures for every accounting period (usually, monthly or quaterly)

Two documents are to be provided for the homologation: “Technical Description” and “Quality Management Manual “. Users are mandated to comply with the usage rules set forth in the “Software Quality Management Manual ”

Other requirements, are:

  • Minimun  resolution of 200 ppi.
  • A limited list of file formats are allowed: ISO 19005 (PDF / A); PNG; JPEG 2000; PDF 5.0 or higher; TIFF 6.0 or higher. (only lossless compression algorithms are allowed, such as LZW)
  • The management and storage system of the digitized documents, must guarantee access and full search of the digitized documents for audit purposes

More information:

 

Confusión en torno a los dispositivos cualificados de creación de firma y sello electrónicos


He detectado un error difundido entre especialistas en firma electrónica y certificación en relación con los requisitos que existen en el marco del EIDAS (Reglamento UE 91/2014) para que un dispositivo de creación de sello electrónico o de firma electrónica tenga la consideración de cualificado.

El error probablemente procede de una respuesta a preguntas frecuentes publicada en la página web de la Secretaría de Estado de Avance Digital, Organismo Supervisor del sector de los servicios de confianza y de la certificación.

La pregunta es:

¿Qué es un dispositivo cualificado de creación de firma / de sello electrónico?

Y la respuesta publicada por la SEAD dice:

Un dispositivo de creación de firmas electrónicas que cumple los requisitos enumerados en el anexo II del Reglamento (UE) 910/2014. Asimismo, un dispositivo cualificado de creación de sello electrónico es aquel que cumple, mutatis mutandis, los requisitos indicados en el anexo II del Reglamento (UE) 910/2014.

De acuerdo con el artículo 30 del Reglamento (UE) 910/2014, la certificación es una condición sine qua non para la consideración de un dispositivo de creación de firma o sello electrónico como cualificado. La citada certificación obligatoria, que atestiguará el cumplimiento de los requisitos establecidos en el anexo II del citado Reglamento, podrá ser únicamente llevada a cabo por los organismos europeos designados al efecto de acuerdo con su artículo 30.2, en concreto en España, el Centro Criptológico Nacional.

La lista de dispositivos cualificados que han sido notificados a la Comisión Europea por parte de los Estados miembros en virtud del artículo 31 del Reglamento (UE) 910/2014 contiene, en consecuencia, todos aquellos dispositivos que han sido certificados, por lo que cualquier otro dispositivo que no figure en la citada lista no tiene la consideración de dispositivo cualificado.

Puede encontrar información actualizada sobre la lista de organismos europeos de certificación y la lista de dispositivos cualificados de creación de firma y sello en la página de la Comisión Europea.

Sin embargo, si leemos detalladamente el Reglamento EIDAS, lo que dice es bien distinto:

Artículo 29

Requisitos de los dispositivos cualificados de creación de firmas electrónicas

1.   Los dispositivos cualificados de creación de firmas electrónicas cumplirán los requisitos establecidos en el anexo II.

2.   La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas a los dispositivos cualificados de creación de firmas electrónicas. Se presumirá el cumplimiento de los requisitos establecidos en el anexo II cuando un dispositivo cualificado de creación de firmas electrónicas se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

Artículo 30

Certificación de los dispositivos cualificados de creación de firmas electrónicas

1.   La conformidad de los dispositivos cualificados de creación de firmas electrónicas con los requisitos que figuran en el anexo II será certificada por los organismos públicos o privados adecuados designados por los Estados miembros.

2.   Los Estados miembros notificarán a la Comisión los nombres y direcciones de los organismos públicos o privados a que se refiere el apartado 1. La Comisión pondrá la información a disposición de los Estados miembros.

3.   La certificación contemplada en el apartado 1 se basará en los elementos siguientes:

a) un proceso de evaluación de la seguridad llevado a cabo de conformidad con las normas para la evaluación de la seguridad de los productos de tecnología de la información incluidos en la lista que se establecerá de conformidad con el párrafo segundo, o

b) un proceso distinto del proceso contemplado en la letra a), con tal de que ese proceso haga uso de niveles de seguridad equivalentes y que los organismos públicos o privados a los que se refiere el apartado 1 notifiquen ese proceso a la Comisión. Podrá recurrirse a ese proceso únicamente a falta de las normas a que se refiere la letra a) o cuando esté en curso el proceso de evaluación de la seguridad a que se refiere la letra a).

La Comisión establecerá, por medio de actos de ejecución, la lista de las normas para la evaluación de la seguridad de los productos de tecnología de la información a que se refiere la letra a). Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

4.   La Comisión estará facultada para adoptar actos delegados, de conformidad con el artículo 47, en lo que respecta al establecimiento de criterios específicos que deben satisfacer los organismos designados a que se refiere el apartado 1 del presente artículo.

Como puede apreciarse, lo que dice el Reglamento (art 29) es que se presumirá el cumplimiento de los requisitos establecidos en el anexo II cuando un dispositivo cualificado de creación de firmas electrónicas se ajuste a dichas norma, no que sea una condición “sine qua non”. Es decir, puede haber otras formas de demostrar los requisitos establecidos en el anexo II. De  hecho, los requisitos del Anexo II son esencialmente los mismos que se incluían en el Anexo III de la Directiva 1999/93:

ANEXO III – Directiva 1999/93

Requisitos de los dispositivos seguros de creación de firma electrónica

1. Los dispositivos seguros de creación de firma garantizarán como mínimo, por medios técnicos y de procedimiento adecuados, que:

a) los datos utilizados para la generación de firma sólo pueden producirse una vez en la práctica y se garantiza razonablemente su secreto;

b) existe la seguridad razonable de que los datos utilizados para la generación de firma no pueden ser hallados por deducción y la firma está protegida contra la falsificación mediante la tecnología existente en la actualidad;

c) los datos utilizados para la generación de firma pueden ser protegidos de forma fiable por el firmante legítimo contra su utilización por otros.

2. Los dispositivos seguros de creación de firma no alterarán los datos que deben firmarse ni impedirán que dichos datos se muestren al firmante antes del proceso de firma.

REQUISITOS DE LOS DISPOSITIVOS CUALIFICADOS DE CREACIÓN DE FIRMA ELECTRÓNICA (Reglamento EIDAS)

1.

Los dispositivos cualificados de creación de firma electrónica garantizarán como mínimo, por medios técnicos y de procedimiento adecuados, que:

a) esté garantizada razonablemente la confidencialidad de los datos de creación de firma electrónica utilizados para la creación de firmas electrónicas;

b) los datos de creación de firma electrónica utilizados para la creación de firma electrónica solo puedan aparecer una vez en la práctica;

c) exista la seguridad razonable de que los datos de creación de firma electrónica utilizados para la creación de firma electrónica no pueden ser hallados por deducción y de que la firma está protegida con seguridad contra la falsificación mediante la tecnología disponible en el momento;

d) los datos de creación de la firma electrónica utilizados para la creación de firma electrónica puedan ser protegidos por el firmante legítimo de forma fiable frente a su utilización por otros.

2.

Los dispositivos cualificados de creación de firmas electrónicas no alterarán los datos que deben firmarse ni impedirán que dichos datos se muestren al firmante antes de firmar.

3.

La generación o la gestión de los datos de creación de la firma electrónica en nombre del firmante solo podrán correr a cargo de un prestador cualificado de servicios de confianza.

4.

Sin perjuicio de la letra d) del punto 1, los prestadores cualificados de servicios de confianza que gestionen los datos de creación de firma electrónica en nombre del firmante podrán duplicar los datos de creación de firma únicamente con objeto de efectuar una copia de seguridad de los citados datos siempre que se cumplan los siguientes requisitos:

a) la seguridad de los conjuntos de datos duplicados es del mismo nivel que para los conjuntos de datos originales;

b) el número de conjuntos de datos duplicados no supera el mínimo necesario para garantizar la continuidad del servicio.

La similitud de requisitos entre el Anexo III de la Directiva y el Anexo II del Reglamento se ha reflejado en el artículo 51.1 del EIDAS:

1.   Los dispositivos seguros de creación de firma cuya conformidad se haya determinado con arreglo a lo dispuesto en el artículo 3, apartado 4, de la Directiva 1999/93/CE se considerarán dispositivos cualificados de creación de firma electrónica con arreglo al presente Reglamento.

En el contexto de la Directiva, inicialmente los dispositivos considerados dispositivos seguros de creación de firma electrónica eran los certificados en el ámbito del NIST. Inicialmente los FIPS-140-1 y posteriormente los FIPS 140-2 desde el 25 de mayo de 2001.

Hasta el año 2001 no existió una norma equivalente en el contexto europeo. En esa fecha se crearon en el CEN (Comité Europeo de Normalización) los borradores de las normas CWA 14167, CWA 14168 y CWA 14169 que finalmente se aprobaron en su versión final en el 2004. En el año 2003 se publicó la Decisión 2003/511/CE:de la Comisión, de 14 de julio de 2003, relativa a la publicación de los números de referencia de las normas que gozan de reconocimiento general para productos de firma electrónica, de conformidad con lo dispuesto en la Directiva 1999/93/CE del Parlamento Europeo y del Consejo

Estos son los dispositivos a los que hace referencia el artículo 3, apartado 4, de la Directiva 1999/93/CE

Y en todo el  tiempo desde la publicación de la Directiva (1999) hasta la publicación de esta Decisión el cumplimiento del Anexo III se suponía que se llevaba a cabo por dispositivos certificados  FIPS-140-1 y s FIPS 140-2.

Tras la entrada en vigor del Reglamento EIDAS (publicado en 2014) pasó un tiempo sin que se aprobaran los nuevos estándares, por lo que siguieron siendo válidos los dispositivos seguros de creación de firma de la Directiva 1999/93.

En aplicación del apartado 3-b del artículo 30 cabía definir un proceso distinto del proceso contemplado en la letra a), con tal de que ese proceso hiciera uso de niveles de seguridad equivalentes y que los organismos públicos o privados a los que se refiere el apartado 1 notificaran ese proceso a la Comisión. Solo podía recurrirse a ese proceso  a falta de las normas a que se refiere la letra a) o cuando esté en curso el proceso de evaluación de la seguridad a que se refiere la letra a).

España definió un proceso propio al amparo del apartado 3-b que se recogió en la “List of alternative processes notified to the Commission in accordance with Article 30.3(b) and 39.2 of the eIDAS Regulation (EU) No 910/2014

El documento de metodología definido por le Centro Criptológico Nacional “IT-009 – Remote Qualified Electronic Signature Creation Device Evaluation Methodology” se publicó en Enero de 2017, cuando ya empezaban a estar disponibles los borradores de las normas de evaluación de QSCD (Qualified Signature Cretion Device)

En 2016 se publicó la DECISIÓN DE EJECUCIÓN (UE) 2016/650 DE LA COMISIÓN de 25 de abril de 2016 por la que se fijan las normas para la evaluación de la seguridad de los dispositivos cualificados de creación de firmas y sellos con arreglo al artículo 30, apartado 3, y al artículo 39, apartado 2, del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior

Una vez publicados los estándares quedaban sin efecto las normas transitorias.

Por resumir:

Hay varias circunstancias por las que un dispositivo tenga la consideración de cualificado:

Porque cumplía con el Anexo III de la Directiva:

  • FIPS-140-1 y FIPS-140-2
  • Common Criteria EAL4 (y EAL4+, o superior) en base a la norma CWA 14169, Según la Decisión 2003/511/CE:de la Comisión,

Porque cumple con el anexo II del Reglamento:

  • Common Criteria EAL4 (y EAL4+, o superior) en base a la norma EN 419211 (partes 1 a 6) Según la DECISIÓN DE EJECUCIÓN (UE) 2016/650 
  • Normas transitorias en aplicación del art. 30 2 b del EIDAS (como la IT-009 del CCN)
  • Normas transitorias en aplicación del art. 51.1 del EIDAS: Common Criteria EAL4 (y EAL4+, o superior) en base a la norma CWA 14169, Según la Decisión 2003/511/CE:de la Comisión,

 

Spanish Tax Agency software certification: Digitized invoices with legal value


A truly comprehensive Accounts Payable solution should support all invoice incoming channels (including both electronic and paper invoices) while benefiting from electronic invoices archiving.

To allow electronic archiving of paper invoices (with the option to destroy the paper originals), invoice scanning must be compliant with legal requirements, so that digital copies have full legal validity.

Maybe in the future, the requirements for certified scanning will be unified across the European Union, but nowadays only a small number of countries have legal requirements to allow paper documents to be digitized preserving their legal value.

Agencia Estatal de Administración Tributaria (AEAT), the Spanish Tax Agency, has the required regulation in place and holds the authority to approve homologation of Certified Digitization software.

The AEAT homologation process requires the application developer to present an audit report  and other documents to allow AEAT experts to assess the validity of the proposed solution. Call 902 365 612 or +34 91 716 0555 if you need additional information regarding the audit process.

With approved solutions all digitized invoices or other equivalent documents such as tickets or simplified invoices have the same legal validity as paper originals. This allows companies relying on a certified scanning approved solution to destroy paper versions, and benefiting from easier management and cost reductions.

Te basic regulation for certified scanning is defined in Article 7 of Order EHA / 962/2007 of 10th April 2007 and related Tax Agency Resolution of 24th October 2007.

The Certified Digitization process converts the image on a paper document into a digital image secured with an electronic siganture. To comply with Tax oriented digitization regulation, the process must ensure integrity by fully unattended scanning, inserting required metadata and automatically signing the generated files with a valid electronic certificate.

The invoice has to be stored in a digital repository that also fulfills strong integrity requirements (write once, read many) and digitization process control and all invoices should be available without undue delay in case of an audit.

Proper certified digitization systems allow to redesign, streamline and automate processing of documents. These solutions eliminate additive inefficiency by automated data capture from multi-channel (paper, email, OCR, EDI), electronic routing, passing collected data through the process, integration with ERPs solutions.

Advantages of integrated solutions:

  • Reduction of administrative work thanks to automation
  • Reduction of costs related to paper processing and storage.
  • Easy access and quick search results thanks to the document management
  • Streamlining the approval process of the Invoices, benefiting providers with faster payments

 

 

Manufirmatio


Al tratar la firma electrónica con espíritu enciclopédico, es inevitable referirse a diferentes etapas históricas en las que los usos y costumbres eran otras, pero en las que se sentaron las bases de la evolución de la firma.

Una de las referencias puede ser la que, en el Fuero Juzgo, trataba sobre la forma de comprobar las firmas o signos en caso de controversia.

Otra, sin duda, el concepto de Manufirmatio con el que en la Antigua Roma se dotaba de solemnidad la vinculación del firmante con lo firmado, simbolizando la autenticidad del documento y de su voluntad de suscribirlo.

El Manufirmatio era una ceremonia en la que un documento se extendía sobre la mesa del escribano y el autor intelectual lo leía en presencia de otras personas. Tras la lectura, el autor pasaba la mano abierta sobre el documento a modo de juramento, aceptación o reconocimiento de su contenido y se le estampaba nombre, signo, y una o tres cruces por el autor, notarius y escribano. A continuación testigos presenciales hacían lo mismo.

 

Cambios en la normativa de facturación por el Real Decreto 1512/2018, de 28 de diciembre


El Real Decreto 1496/2003, de 28 de noviembre, recogia las obligaciones de facturación y bajo su auspicio se publicó la importante Orden EHA 962/2007, todavía vigente.

Posteriormente se publicó el Real Decreto 1619/2012, de 30 de noviembre, que introdujo importantes cambios, especialmente en lo relativo a las facturas simplificadas. Este RD fue necesario para transponer la Directiva 2010/45/UE.

Con el Real Decreto 1075/2017, de 29 de diciembre se introdujeron cambios en el RD 1619/2012 por la entrada en vigor del deminado “suministro inmediato de información” para la llevanza digital de libros registro de facturas expedidas y recibidas y ciertos aspectos de las facturas rectificativas.

Recientemente se ha publicado el Real Decreto 1512/2018, de 28 de diciembre, que modifica varias normas, entre las que se encuentra el RD 1619/2012.

Las modificaciones introducidas en este RD 1512/2018, de 28 de diciembre, son las siguientes:

  1. Normativa aplicable en las prestaciones de servicios prestados por vía electrónica, de telecomunicaciones y de radiodifusión y televisión (art 2.3 del Reglamento de Obligaciones de Facturación ROF).Se modifica este artículo para dar cumplimiento a lo establecido en la Directiva (UE) 2017/2455, respecto a los servicios prestados por vía electrónica, de telecomunicaciones y de radiodifusión y televisión. De esta forma, en consonancia con la modificación del artículo 61 quinquiesdecies del Reglamento del IVA (RIVA), que dispone que desde su entrada en vigor el 1 de enero de 2019, la normativa aplicable a la factura expedida por los sujetos pasivos acogidos a los regímenes especiales de ventanilla única para la declaración y gestión del Impuesto devengado por estos servicios, que hasta la fecha era la del Estado miembro de consumo, pasa a ser la del Estado miembro de identificación.

    La modificación del artículo 2 del ROF, regula las operaciones que quedan sujetas a dicha normativa, con lo que la nueva redacción establece que no será aplicable dicha normativa a las operaciones que, aunque se entiendan realizadas en el territorio de aplicación del Impuesto, se correspondan con prestaciones de servicios en las que el prestador se encuentre acogido a alguno de los regímenes especiales de ventanilla única.

    También se introduce la excepción a la regla general, de que la normativa española relativa a las obligaciones de facturación será aplicable a operaciones realizadas por sujetos pasivos establecidos en el territorio de aplicación del Impuesto, aunque sus operaciones no se entiendan realizadas en dicho territorio, cuando el prestador del servicio se encuentre acogido a los referidos regímenes especiales de ventanilla única y sea España el Estado miembro de identificación.

    Lo anterior será también de aplicación, cuando el prestador que no esté establecido en la Comunidad, se encuentre acogido a este régimen especial de ventanilla única y sea también España el Estado miembro de identificación.

  2. Obligación de expedir factura en las operaciones realizadas por los partidos políticos (art 3.1.a ROF).Se incluye un caso especial de obligatoriedad de facturación en caso de operaciones exentas del artículo 20, de la Ley del IVA (Ley 37/1992, de 28 de diciembre, del Impuesto sobre el Valor Añadido.). La exención indicada en la sección Uno, enumeración 28º referente a partidos políticos se añade a las ya existentes.
  3. Excepciones a la obligación de expedir factura. Sociedades gestoras de instituciones de inversión colectiva, entidades gestoras de fondos de pensiones, fondos de titulización y sus sociedades gestoras. (art 3.2 ROF)Esta modificación, resuelve un problema que se habá creado a ciertas entidades del sector financiero y de seguros (como las sociedades gestoras de instituciones de inversión colectiva y los fondos de pensiones, entre otras) que, por no tener la calificación de entidad de crédito o entidad de seguros propiamente dichas, habían quedado obligadas a expedir factura por las operaciones financieras o de seguros exentas del Impuesto, cuando dicha obligación suponía un carga administrativa adicional respecto a la de los bancos y entidades aseguradoras que no tenía justificación técnica ni de control tributario.

    Para generalizar este tratamiento especial a los casos justificados, se autoriza que la Agencia Estatal de Administración Tributaria, pueda eximir de dicha obligación a otros empresarios o profesionales distintos de los señalados expresamente en el Reglamento, previa solicitud del interesado, cuando quede justificado por las prácticas comerciales o administrativas del sector de actividad de que se trate, o bien por las condiciones técnicas de expedición de estas facturas.

  4. Aplicación de la Disposición adicional cuarta del ROF a los servicios incluidos en el régimen especial de las agencias de viajes (apartado 1.c letra h ´ Disposición Adicional Cuarta ROF)Se modifica la disposición adicional cuarta del Reglamento de Facturación para incluir, dentro del procedimiento especial de facturación regulado en dicha disposición, aplicable a las agencias de viajes que intervengan en nombre y por cuenta de otros empresarios o profesionales en la comercialización de servicios de viajes prestados directamente al viajero, a los servicios de viajes sujetos al régimen especial de las agencias de viajes, servicios que habían quedado excluidos de dicha disposición adicional cuando se amplió su ámbito de aplicación en el año 2017 y que comportan la misma naturaleza que los servicios de viajes incluidos.

¿Cual es el marco legal de la Digitalización certificada?


Inicialmente la Digitalización Certificada se refería al proceso que permite realizar  copias digitales de facturas en papel preservando el valor equivalente al original.

La norma que la define es la Orden EHA/962/2007:

En la actualidad, además de estar regulada la Digitalización Certificada de interés tributario, también existe normativa para la digitalización de documentos en las administraciones públicas y para para la digitalización de documentos susceptibles de ser remitidos por Lexnet y utilizables en la administración de justicia.

Un video de 9 minutos que explica lo esencial de la Digitalización Certificada (incluso los requisitos de auditoría) se incluye a continuación.