Los prestadores de servicios de confianza deben evaluarse cada 2 años

Posted in Auditoría, EIDAS, Evaluación, TCAB | No Comments »

Según la normativa eIdAS (Reglamento UE 910/2014) los PSEC (Prestadores de Servicios Electrónicos de Confianza) deben auditar sus sistemas e instalaciones cada 2 años.

Para ello recurren a entidades de evaluación de conformidad (en inglés «Conformity Assessment Bodies») acreditadas ante alguna de las entidades de acreditación competentes (de las que existe una por país).

A continuación se recoge la lista de organismos de evaluación de conformidad ya operativos y que cumplen lo dispuesto  en el punto 18 del artículo 3 del Reglamento eIDAS (UE) 910/2014. También se incluye la entidad de acreditación que ha otorgado el sello a cada «Conformity Assessment Body».

La lista ofrece la información disponible a la fecha, y no tiene en cuenta las entidades de evaluación de conformidad que en estos momentos se encuentren en proceso de acreditación.

Esta lista se actualizará según esté disponible la información proporcionada por los Organismos Nacionales de Acreditación de los Estados Miembros.

Si detecta un error, indíquelo por favor, al objeto de proceder a su subsanación.

Lista de organismos de evaluación de la conformidad definidos en el punto 13 del artículo 2 del Reglamento (CE) nº 765/2008 y acreditados como competentes para llevar a cabo las evaluaciones de conformidad de prestadores de servicios electrónicos de confianza cualificados y de los servicios de confianza que prestan, según lo dispuesto en el Reglamento eIDAS (UE) 910/2014

AUSTRIA (AT)

  • Name: AA (Akkreditierung Austria)
  • URL to body: www.bmwfw.gv.at/akkreditierung
  • Contact email: akkreditierung@bmwfw.gv.at
  • URL to eIDAS accreditation scheme:

Conformity Assessment Body

  • Name: Zentrum für sichere Informationstechnologie – Austria (A-SIT)
  • URL to body: www.a-sit.at
  • Date of accreditation: 21.12.2016
  • URL to accreditation certificate: https://www.bmwfw.gv.at/TechnikUndVermessung/Akkreditierung/Documents/product%20certification%20bodies.pdf
  • ‘de’ BMWFW-92.321/0180-I/12/2016 A-SIT_17065 (listed as Nr 23) ‘de’
  • Scope of accreditation:  https://www.bmwfw.gv.at/TechnikUndVermessung/Akkreditierung/Documents/AA_0929_17065_A-SIT.pdf
  • QTSP/QTS type(s) for which accreditation is granted: All
  • Accreditation scheme: ISO/IEC 17065 URL to eIDAS conformity assessment scheme:
  • URL to CAB’s Directory of assessed QTSP/QTS:

CZECH REPUBLIC (CZ)

  • Name: CAI (Czech Accreditation Institute)
  • URL to body: www.cai.cz
  • Contact email: mail@cai.cz
  • URL to eIDAS accreditation scheme:

Conformity Assessment Bodies

  • Name: Elektrotechnický zkušební ústav (Electrical Testing Institute)
  • URL to body: www.ezu.cz
  • Date of accreditation: 20.01.2017 (until 08.11.2018)
  • URL to accreditation certificate: ‘cz’ Certificate No .: 42/2017
  • QTSP/QTS type(s) for which accreditation is granted:
    • The issuance of qualified electronic certificates for electronic signatures
    • The issuance of qualified electronic certificates for electronic seals
    • The issuance of qualified electronic certificates for websites authentication
    • The issuance of qualified electronic timestamps
    • Qualified validation of qualified electronic signatures and/or qualified electronic seals
    • Qualified preservation of qualified electronic signatures and/or qualified electronic seals
  • Accreditation scheme: ISO/IEC 17065 – ETSI EN 319 403
  • URL to eIDAS conformity assessment scheme:
  • URL to CAB’s Directory of assessed QTSP/QTS: http://ezu.cz/en/about-us/valid-certificates/

 

  • Name: Tayllor & Cox s.r.o.
  • Registration number: –
  • URL to body: https://www.tayllorcox.com
  • Date of accreditation: 06.02.2017 (until 06.02.2020)
  • URL to accreditation certificate: ‘cz’ Certificate No.: 67/2017
  • QTSP/QTS type(s) for which accreditation is granted:
    • The issuance of qualified electronic certificates for electronic signatures
    • The issuance of qualified electronic certificates for electronic seals
    • The issuance of qualified electronic certificates for websites authentication
    • The issuance of qualified electronic timestamps
    • Qualified validation of qualified electronic signatures and/or qualified electronic seals
  • Accreditation scheme: ISO/IEC 17065 – ETSI EN 319 403
  • URL to eIDAS conformity assessment scheme:
  • URL to CAB’s Directory of assessed QTSP/QTS: https://www.tayllorcox.com/en/certification

GERMANY (DE)

  • Name: DAkkS (Deutsche Akkreditierungsstelle GmbH)
  • URL to body: www.dakks.de
  • Contact email: contact@dakks.de
  • URL to eIDAS accreditation scheme: –

Conformity Assessment Bodies

  • Name: datenschutz cert GmbH
  • URL to body: https://www.datenschutz-cert.de/
  • Date of accreditation: 28.07.2016 (until 27.07.2021)
  • URL to accreditation certificate: ‘de’ http://www.dakks.de/as/ast/d/D-ZE-16077-01-00.pdf
  • QTSP/QTS type(s) for which accreditation is granted: All
  • Accreditation scheme: ISO/IEC 17065 – ETSI EN 319 403
  • URL to eIDAS conformity assessment scheme: –
  • URL to CAB’s Directory of assessed QTSP/QTS: https://www.datenschutz-cert.de/zertifikatsliste/zertifikate/produkt-bestaetigung-sigg.html

 

  • Name: T-Systems International GmbH
  • URL to body: http://www.t-systems-zert.com/service/ser_impressum_e.html
  • Date of accreditation: 29.06.2016 (until 28.06.2021)
  • URL to accreditation certificate: ‘de’ http://www.dakks.de/as/ast/d/D-ZE-12025-01-00.pdf
  • QTSP/QTS type(s) for which accreditation is granted: All
  • Accreditation scheme: ISO/IEC 17065 – ETSI EN 319 403
  • URL to eIDAS conformity assessment scheme: http://www.t-systems-zert.com/service/ser_service_e.html#cps
  • URL to CAB’s Directory of assessed QTSP/QTS: http://www.t-systems-zert.com/einzelne/ein_05_zer_gesch_e.html

 

  • Name: TÜV Informationstechnik GmbH
  • URL to body: https://www.tuvit.de/en/index.htm
  • Date of accreditation: 24.06.2016 (until 17.07.2018)
  • URL to accreditation certificate: ‘de’ http://www.dakks.de/as/ast/d/D-ZE-12022-01-01.pdf
  • QTSP/QTS type(s) for which accreditation is granted: All
  • Accreditation scheme: ISO/IEC 17065 – ETSI EN 319 403
  • URL to eIDAS conformity assessment scheme: –
  • URL to CAB’s Directory of assessed QTSP/QTS: https://www.tuvit.de/en/certification-overview-1265-4512.htm

ITALY (IT)

  • Name: ACCREDIA (Ente Italiano di Accreditamento)
  • URL to body: www.accredia.it
  • Contact email: trifil@accredia.it
  • URL to eIDAS accreditation scheme: Circolare DC N° 17/2016 (PRD) http://www.accredia.it/extsearch_documentazione.jsp?area=55&ID_LINK=331&page=87&IDCTX=5149&id_context=5149

 

Conformity Assessment Bodies

  • Name: BUREAU VERITAS Italia S.p.A.
  • URL to body: http://www.bureauveritas.it
  • Date of accreditation: 21.07.2016 (until 24.05.2019)
  • URL to accreditation certificate: ‘it’ Accreditation Certificate N.009B
  • QTSP/QTS type(s) for which accreditation is granted:
    • Qualified certificates for electronic signatures
    • Qualified electronic time stamps
  • Accreditation scheme: ISO/IEC 17065 – ETSI EN 319 403 – PRD
  • URL to eIDAS conformity assessment scheme: –
  • URL to CAB’s Directory of assessed QTSP/QTS: http://www.bureauveritas.it/home/clients/registro+aziende+certificate

 

  • Name: CSQA Certificazioni srl
  • URL to body: http://www.csqa.it/
  • Date of accreditation: 28.06.2016 (until 30.03.2018)
  • URL to accreditation certificate: ‘it’ Accreditation Certificate N.014B
  • QTSP/QTS type(s) for which accreditation is granted:
  • Qualified certificates for electronic signatures
  • Qualified electronic time stamps
  • Accreditation scheme: ISO/IEC 17065 – ETSI EN 319 403 – PRD
  • URL to eIDAS conformity assessment scheme: –
  • URL to CAB’s Directory of assessed QTSP/QTS: https://www.csqa.it/Services/aziende-certificate

 

  • Name: IMQ S.p.A.
  • URL to body: http://www.imq.it/
  • Date of accreditation: 20.12.2016 (until 09.03.2021)
  • URL to accreditation certificate: ‘it’ Accreditation Certificate N.005B
    • QTSP/QTS type(s) for which accreditation is granted:
    • Qualified certificates for electronic signatures
  • Qualified electronic time stamps
  • Accreditation scheme: ISO/IEC 17065 – ETSI EN 319 403 – PRD
  • URL to eIDAS conformity assessment scheme: –
  • URL to CAB’s Directory of assessed QTSP/QTS: http://www.imq.it/opencmsIMQ/opencms/it/banca_dati/aziende.html

Fuente: EIDAS Conformity Assessment Bodies

Contacto para consultas +34 902 365 612

Normas Técnicas Reglamentarias (RTS) en la Directiva sobre servicios de pago revisada (PSD2)

Posted in Autenticación fuerte, EIDAS, Firma electrónica, PSD2, RTS | No Comments »

El pasado 23 de febrero de 2017 la Autoridad Bancaria Europea (European Banking Authority, EBA) publicó su borrador final de Normas Técnicas de Reglamentación (Regulatory Technical Standards, RTS) sobre la autenticación fuerte de los clientes y la comunicación común y segura. Estas RTS, establecidas en virtud de la Directiva sobre servicios de pago revisada (PSD2) y desarrolladas en estrecha cooperación con el Banco Central Europeo (BCE).

Draft Regulatory Technical Standards on Strong Customer Authentication and common and secure communication under Article 98 of Directive 2015/2366 (PSD2)

La EBA recibió 224 respuestas a su documento de consulta, en el que se plantearon más de 300 consideraciones o solicitudes de aclaraciones. En la tabla de comentarios publicada como parte de la RTS, la EBA ha resumido cada uno de ellos y ha proporcionado su evaluación sobre si se han realizado cambios en la RTS como resultado de tales consideraciones.

En particular, una de las principales preocupaciones tratadas en este proyecto final de RTS se refiere a las exenciones de la aplicación de la autenticación fuerte de los clientes en función del nivel de riesgo que implica el servicio prestado; la cantidad y recurrencia de la transacción; y el canal de pago utilizado para la ejecución de la transacción. A este respecto, la ABE ha introducido dos nuevas exenciones: una basada en el análisis de riesgo de transacción basada en niveles definidos de fraude y la otra en pagos en las denominadas «terminales sin vigilancia» para las tarifas de transporte o estacionamiento. La exención sobre el análisis del riesgo de transacción está vinculada a un nivel predefinido de fraude y está sujeta a una cláusula de revisión de 18 meses después de la fecha de solicitud de la RTS.

Además, la ABE ha aumentado también el umbral de las transacciones de pago a distancia de 10 a 30 euros y ha suprimido las referencias anteriores a la norma ISO 27001 ya otras características específicas de la autenticación fuerte de los clientes para garantizar la neutralidad tecnológica de la RTS y para facilitar futuras innovaciones.

Con respecto a la comunicación entre proveedores de servicios de pago de cuentas (ASPSP), proveedores de servicios de información de cuentas (AISP) y proveedores de servicios de iniciación de pagos (PISPs), la ABE ha decidido mantener la obligación de que los ASPSP ofrezcan al menos una interfaz para AISPs y PISP para acceder a la información de la cuenta de pago. Esto está vinculado al hecho de que el PSD2 ya no permite el acceso de terceros sin identificación (a veces denominado “simulación de usuario” o, en inglés”screen scraping”) una vez transcurrido el período de transición previsto en el PSD2 para la aplicación de las Normas Técnicas Regulatorias  Regulatory Technical Standards.

La Directiva PSD2 establece que las RTS se aplicarán 18 meses después de su adopción por la Comisión de la UE como un acto delegado, por lo que es preciso que estas RTS se referencien oficialmente en una norma publicada en el Diario Oficial de la Unión Europea.

En el desarrollo de las tecnologías de Strong Customer Authentication claramente juegan un rol relevante los Prestadores de Servicios Electrónicos de Confianza que como EADTrust (European Agency of Digital Trust) aplican lo previsto en el Reglamento EIDAS.

El artículo 25 del proyecto de norma técnica de regulación publicado por la EBA en cumplimiento del mandato de la Comisión Europea de desarrollo de la PSD2 (Segunda Directiva de Pagos) se refiere a los requisitos de identificación y el 29 al mecanismo específico de los certificados.

En este último artículo queda patente la importancia de los servicios de confianza definidos por el EIDAS (Reglamento UE 910/2014).

  1. Para el propósito de identificación, a que se refiere el artículo 21, apartado 1, letra a), los proveedores de servicios de pago  confiarán en certificados cualificados para generación de sellos electrónicos tal como se definen en el apartado 30 del artículo 3 del Reglamento (UE) n ° 910/2014 4 o en los certificados de autenticación de sitio webpara según se definen en el en el apartado 39 del artículo 3 de dicho Reglamento.
  2. A los efectos del presente Reglamento, el número de registro contemplado en la letra C del anexo III del Reglamento (UE) no 910/2014 se referirá al número de autorización correspondiente a los proveedores de servicios de pago que emiten instrumentos de pago basados en tarjetas (payment service provider issuing card-based payment instruments),  a los proveedores de servicios de información de cuenta (account information service provider) y a los proveedores de servicios de iniciación de pagos (payment initiation service provider), así como los prestadores de servicios
    de pagos de gestión de cuenta (account servicing payment service provider) que proporcionen dichos servicios, según consten  en el registro público del Estado miembro de origen del prestador, de conformidad con el artículo 14 de la Directiva (UE) 2015/2366 o según resulte de la notificación de cada autorización concedida al amparo del artículo 8 de la Directiva 2013/36 / EU de conformidad con el artículo 20 de dicha Directiva.
  3. A efectos del presente Reglamento, los certificados cualificados para generación de sellos electrónico  o para la autenticación del sitio web a que se refiere el párrafo 1 del presente artículo, deberán incluir varias menciones en lengua inglesa para reflejar los siguientes atributos específicos adicionales:
    (a) el papel del prestador de servicios de pago, que podrá ser uno o más  uno o más de los siguientes:  “account servicing payment service provider”; “payment initiation service provider”;  “account information service provider”;  “payment service provider issuing card-based payment instruments”, respectivamente “proveedor de servicios de pago de gestión de cuenta”, “proveedor de servicios de iniciación de pago”, “proveedor de servicio de información de cuenta” y “proveedor de servicios de pago que emite instrumentos de pago basados en tarjetas”.
    (b) la denominación de las autoridades competentes en las que el prestador de servicios está registrado.
    4. Los atributos mencionados en el apartado 3 no afectarán a la interoperabilidad y
    reconocimiento de certificados calificados para sellos electrónicos o autenticación de sitios web.

En el marco de #eIdAS es de aplicación el estándar EN 319 412 en sus partes 1, 3 y 4 (EN 319 412-1, EN 319 412-3 y EN 319 412-4) por lo que la mención del registro de entidades financieras correspondería a las siglas BA (Banking Authority).

eadt-logoPor ejemplo, el “serial number” del certificado cualificado del BBVA a los efectos de la autenticación como “Prestador de servicios de gestión de cuentas” en el marco de la segunda directiva de pagos (PSD2) debería identificarse con el valor  BA:ES0182

EADTrust ya está en condiciones de emitir certificados cualificados para prestadores de servicios amparados por la PSD2 y alineados con la versión publicada a finales de febrero de 2017 de los “Regulatory Technical Standards” de la European Banking Association

18.850 organismos públicos

Posted in Estructura administrativa | No Comments »

En España había a principios de 2016 cerca de 19.000 organismos públicos.

En el ámbito local hay 8.123 corporaciones locales (ayuntamientos) . Hay además:

  • 3.706 entidades de ámbito inferior al municipio;
  • 961 mancomunidades;
  • 77 agrupaciones;
  • tres áreas metropolitanas;
  • 82 comarcas;
  • 52 diputaciones provinciales, consejos y cabildos.

Las corporaciones disponen de

  • 1.560 sociedades mercantiles
  • 55 empresas públicas empresariales.
  • 314 fundaciones;
  • 1.042 organismos autónomos administrativos y comerciales;
  • 56 instituciones sin ánimo de lucro
  • 82 consorcios.

Empresas públicas

En su conjunto, incluyendo las 1.560 de los municipios, España tiene 2.210 sociedades mercantiles y 111 empresas públicas empresariales.

En total, hay 2.321 (161 del Estado, 545 de las CCAA y 1.615 de los municipios).

Las sociedades mercantiles se rigen por el ordenamiento privado o público y su actividad se orienta a la producción de bienes o prestación de servicios.

Por su parte, las entidades empresariales se dedican a la realización de actividades prestacionales, la gestión de servicios o producción de bienes públicos.

Sin embargo, en muchos casos compiten con el sector privado o no se entiende su función.

Por ejemplo, entre éstas figuran en las CCAA y en los municipios: la Agencia Pública de Radio y TV de Andalucía; Aparcamientos Municipales del Lleida; Acueducto, Alcantarillado y Aseo Dominicana S.A., y de Venezuela y Ecuador, de la Comunidad de Madrid; Aeronáutica del Guadarrama, también de Madrid; Cementerios de Barcelona; Xerez 21 Speed Festival; Centro Navarro de Aprendizaje de Idiomas; Centro de Alto Rendimiento de Murcia; Viviendas de Córdoba; Ciudad de la Luz de la Comunidad Valenciana; estación de esquí El Formigal (Aragón); Circuito de Motocross de Cataluña; Centro Superior de Idiomas de Alicante; Agencia Andaluza de Promoción Exterior; Almería Alta Velocidad; o Gestión Ambiental de Castilla-La Mancha.

A ello hay que sumar los aeropuertos de Ciudad Real y de Castellón.

En el ámbito estatal, además de los aparcamientos de la Zona Franca, figuran: Cesce Servicios de Chile; Alimentos y Aceites;Puerto Seco de Madrid; y, por ejemplo, las participadas de Renfe, Navantia y la Agencia Efe. La IGE (Intervención General del Estado) no facilita datos de la composición de sus consejos de administración ni de sus cuadros directivos.

Fundaciones

Son organizaciones constituidas sin ánimo de lucro que dedican su patrimonio público a fines de interés general.

Hay 876 (40 del Estado, 522 de las CCAA y 314 de los ayuntamientos).

En las autonomías ha crecido su número, ya que en 2014 había 490.

Entre ellas figuran: la Academia Europea de Yuste; Cultura y Deporte de Castilla-La Mancha; la Fundación Don Juan de Borbón en Castilla y León; Creación de las Artes en Alcorcón; Barcelona Mobile World Capital; la residencia de ancianos Asilo Hospitalillo de Galicia; Canaria de Puertos; Ferrocarriles; Teatro Real; Aena, o la del Centro de Estudios Monetarios y Financieros.

También aparecen fundaciones en auditorios o centros etnográficos.

Consorcios

Se trata de entidades cuya finalidad es «la realización o prestación de servicios de forma asociativa sobre asuntos de interés común», señala su denominación oficial.

Hay 935 consorcios (497 son de las CCAA; 416 de los ayuntamientos; y 22 de la Administración central). En 2014 había 863, es decir hay ahora 72 más.

Los hay de todo tipo y para cualquier función: audiovisuales; abastecimientos; desarrollo tecnológico;calidad universitaria; normalización lingüística; aeródromos; salvamento e incendios; y hasta para la celebración de años jubilares. El Estado incluye Casa Asia, el Centro Sefarad-Israel o la Ciudad de Santiago o de Toledo.

Agencias

Son entes creados para el cumplimiento de programas plurianuales con un presupuesto flexible.

Hay 23 (13 de las CCAA y 10 del Estado).

Entre ellas, figuran la Agencia Tributaria de Galicia (en otras aparece este organismo bajo otra denominación administrativa); el Servicio de Empleo Andaluz; la Agencia de Cooperación Internacional para el Desarrollo; la Agencia Española de Medicamentos; la del BOE; o la de Meteorología.

Organismos autónomos

Disponen de patrimonio y tesorería propios para la realización de «determinadas actividades, normalmente de fomento, prestaciones o de gestión de servicios públicos».

Hay 1.250. Abundan en los ayuntamientos (1.040).

Las CCAA tienen 149 y 59 el Estado.

La mayor parte son administrativos, aunque los hay comerciales.

Aquí se encuentran el Instituto Aragonés de la Mujer; la Orquesta Sinfónica de Asturias; la Agencia Tributaria de Murcia; el Patronato de Tauromaquia de Badajoz; las confederaciones hidrográficas; Biblioteca Nacional; Instituto de Prestación Médica al personal municipal de Cataluña; Academia Galega de Seguridad Pública; Centro de Estudios de Opinión de Cataluña; Consejo de la Juventud de Extremadura; Auditorio de Galicia; Agencia de la Vivienda Social de Madrid; o la Fundación de Desarrollo de la Artesanía canaria.

También hay residencias de ancianos, museos, auditorios y centros culturales.

Órganos diferenciados

Las seis instituciones del Estado aparecen bajo esta denominación porque tienen una dotación diferenciada en los Presupuestos Generales.

Aquí se encuentra la Casa Real, que en contabilidad nacional consta como unidad no residente-resto del mundo; las Cortes; el CGPJ; tribunales de Cuentas y Constitucional; y el Consejo de Estado.

Entes públicos

Todas las entidades que no se pueden catalogar en las anteriores tienen esta denominación.

Hay 161 y todos ellos corresponden a las CCAA.

Aquí constan, por ejemplo, la Academia de la Lengua de la Comunidad Valenciana; Agencia para la Tutela de Adultos en Madrid; Agencia de Migraciones de Cataluña; Ente Vasto de la Energía; Televisión Murciana; o el Servicio Tributario de Asturias.

A esta cifra hay que sumar las cinco gestoras de servicios comunes de la Seguridad Social (entre ellos el Imserso) y las 24 mutuas colaboradoras, así como los 25 fondos sin personalidad jurídica del Estado (ICO o Fondo de Aseguramiento Colectivo de Cooperantes o de Garantía de Alimentos).

Además, hay 91 instituciones sin ánimo de lucro (35 de las CCAA y 56 de los ayuntamientos como: el Club Deportivo Universidad de Salamanca; Conferencia de Rectores de Universidad; Feria de Zaragoza; Asociación de Coleccionistas de Arte Siglo XX de la Comunidad Valenciana; Sierra Nevada Sports Club; o la Asociación de Pueblos Olvidados de Burgos.

En esta amalgama constan también 60 entidades de derecho público del Estado, por ejemplo, las autoridades portuarias, Agencia Tributaria; CNMV; Banco de España o el FROB.

Y hay que añadir las 48 universidades adscritas a las CCAA.

Cecabank consigue la certificación ISO 9001 por su sistema de reporting financiero

Posted in Uncategorized | No Comments »

Cecabank ha obtenido el certificado del Sistema de Gestión de la Calidad conforme a la Norma UNE-EN ISO 9001 tras superar la auditoría de AENOR.

El alcance de la certificación comprende los servicios integrales de reporting a las autoridades supervisoras y reguladoras del sector financiero, incluyendo el análisis normativo, los desarrollos informáticos y el soporte técnico necesarios para la gestión del ciclo de notificaciones, así como la intermediación en la presentación de la información a organismos reguladores.

Se trata del servicio Pyramid de Cecabank, compatible con las últimas exigencias de la Autoridad Bancaria Europea.

Las entidades financieras que usan los servicios de CECABANK perciben una menor presión de los organismos supervisores a pesar del incremento de los requerimientos regulatorios, gracias al alto grado de automatización de la solución, reduciendo la carga administrativa asociada.

En la actualidad, Pyramid se consolida como un servicio líder en el ámbito del reporting, con una significativa cuota de mercado en el segmento de bancos comerciales, y con creciente presencia en otros sectores, como seguros o establecimientos financieros de crédito.

El número de Registro del certificado ISO 9001 adjudicado por AENOR al servicio de reporting de CECABANK es el nº ER-0003/2016. Acredita que Cecabank ha implantado un Sistema de Gestión de la Calidad que cumple con los requisitos de la Norma ISO 9001, apostando por la mejora continua.

Entre los puntos fuertes del servicio, los auditores de AENOR han destacado del servicio su “enfoque al cliente con distintos canales de retroalimentación y su participación como por ejemplo en la determinación de objetivos”; además, resaltan el uso intensivo de la encuestas de calidad “como información útil para impulsar la mejora” y la satisfacción de los clientes.

Esta certificación ISO 9001 se suma a la ya obtenida para los servicios de Valores, Depositaría de Fondos y los servicios de cobros y pagos y se inscribe en la cultura de excelencia y calidad de servicio por la que apuesta el banco y que recoge su plan estratégico.

Además, Cecabank cuenta con la certificación AENOR de Seguridad de la Información conforme a la norma ISO 27001.

Para Juan Carlos Valero, Jefe de la Plataforma Tecnológica de Reporting de Cecabank, “el reconocimiento que otorga este certificado consolida uno de los pilares de nuestro servicio: el compromiso de trabajar por la mejora continua, intentando ser un referente de calidad e innovación en el ámbito del reporting financiero». Asiente con satisfacción  Jaime Manzano, Jefe de los Servicios de Reporting, Gestión Operativa y Formación Bancaria de Cecabank.

Certificados admitidos por el Banco de España

Posted in Banco de España, EIDAS | No Comments »

El Banco de España restringe los certificados electrónicos emitidos por Prestadores de Servicios de Certificación (PSCs) admitidos para el intercambio de información con el Banco de España.

Aclara en su página web que para cada servicio electrónico concreto ofrecido por el Banco de España, podrá admitirse sólo algunos de los certificados indicados. Se recomienda la lectura de la documentación asociada a cada servicio para conocer las particularidades del mismo.

Este planteamiento restrictivo tendrá que cambiar con la entrada en vigor del EIDAS (Reglamento UE 910/2014) ya que todos los organismos deberán admitirlos prestadores incluidos en la TSL.

Certificados de persona física

  • Infraestructura de Clave Pública del Banco de España (PKIBDE)
    • 1.3.6.1.4.1.19484.2.2.6 – Certificado de autenticación incluido en la tarjeta de identificación de Banco de España
    • 1.3.6.1.4.1.19484.2.2.12 – Certificado de firma incluido en la tarjeta de identificación de Banco de España
    • 1.3.6.1.4.1.19484.2.2.13 – Certificado provisional personal de autenticación
    • 1.3.6.1.4.1.19484.2.2.10 – Certificado provisional personal de firma
  • Dirección General de la PolicíaAbre en nueva ventana
    • 2.16.724.1.2.2.2.3 – Certificado de firma incluido en el Documento Nacional de Identidad Electrónico (DNIE)
    • 2.16.724.1.2.2.2.4 – Certificado de autenticación incluido en el Documento Nacional de Identidad Electrónico (DNIE)
  • Fábrica Nacional de Moneda y Timbre – Real Casa de la Moneda (CERES)Abre en nueva ventana
    • 1.3.6.1.4.1.5734.3.5 – Certificado de identidad de persona física de Clase 2 (certificado de ciudadano)
    • 1.3.6.1.4.1.5734.3.10.1 – Certificado de identidad de persona física de FNMT usuarios (certificado de ciudadano)
    • 1.3.6.1.4.1.5734.3.3.4.4.1 – Certificado en tarjeta para empleado público
    • 1.3.6.1.4.1.5734.3.3.4.4.2 – Certificado en formato software para empleado público
  • Infraestructura de Clave Pública del Sistema Europeo de Bancos Centrales (ESCB-PKI)Abre en nueva ventana
    • 0.4.0.127.0.10.1.2.2.1 – Certificado avanzado de autenticacion para usuario del SEBC
    • 0.4.0.127.0.10.1.2.2.2 – Certificado archivado avanzado de cifrado para usuario del SEBC
    • 0.4.0.127.0.10.1.2.2.3 – Certificado avanzado de cifrado para usuario del SEBC
    • 0.4.0.127.0.10.1.2.2.4 – Certificado avanzado de firma basado en un SSCD para usuario del SEBC
    • 0.4.0.127.0.10.1.2.2.5 – Certificado avanzado de firma para usuario del SEBC
    • 0.4.0.127.0.10.1.2.2.6 – Certificado estándar para usuario del SEBC
    • 0.4.0.127.0.10.1.2.3.1 – Certificado avanzado de autenticación para usuario externo al SEBC
    • 0.4.0.127.0.10.1.2.3.2 – Certificado avanzado de cifrado para usuario externo al SEBC
    • 0.4.0.127.0.10.1.2.3.4 – Certificado avanzado de firma basado en un SSCD para usuario externo al SEBC
    • 0.4.0.127.0.10.1.2.3.5 – Certificado avanzado de firma para usuario externo al SEBC
    • 0.4.0.127.0.10.1.2.3.6 – Certificado estándar para usuario externo al SEBC
  • Ministerio de Empleo y Seguridad SocialAbre en nueva ventana
    • 1.3.6.1.4.1.27781.2.4.4.1.3 – Certificado de firma de empleado público
    • 1.3.6.1.4.1.27781.2.4.4.2.3 – Certificado de autenticación de empleado público
  • CamerfirmaAbre en nueva ventana
    • 1.3.6.1.4.1.17326.10.9.2.1 – Certificado en formato software de pertenencia a entidad
    • 1.3.6.1.4.1.17326.10.9.2.2 – Certificado en tarjeta de pertenencia a entidad
    • 1.3.6.1.4.1.17326.10.9.3.1 – Certificado en formato software de representante
    • 1.3.6.1.4.1.17326.10.9.3.2 – Certificado en tarjeta de representante
    • 1.3.6.1.4.1.17326.10.9.5.1 – Certificado en formato software de apoderamiento especial
    • 1.3.6.1.4.1.17326.10.9.5.2 – Certificado en tarjeta de apoderamiento especial
    • 1.3.6.1.4.1.17326.1.3.4.1 – Certificado de firma en tarjeta de empleado público
    • 1.3.6.1.4.1.17326.1.3.4.2 – Certificado de autenticación en tarjeta de empleado público
    • 1.3.6.1.4.1.17326.1.3.4.4 – Certificado en formato software de empleado público
  • FirmaprofesionalAbre en nueva ventana
    • 1.3.6.1.4.1.13177.10.1.2.1 – Certificado en tarjeta corporativo de persona física
    • 1.3.6.1.4.1.13177.10.1.2.2 – Certificado en formato software corporativo de persona física
    • 1.3.6.1.4.1.13177.10.1.11.1 – Certificado en tarjeta de representante legal
    • 1.3.6.1.4.1.13177.10.1.1.1 – Certificado en tarjeta de colegiado
    • 1.3.6.1.4.1.13177.10.1.1.2 – Certificado en formato software para colegiado
    • 1.3.6.1.4.1.13177.10.1.22.1 – Certificado en tarjeta de empleado público
    • 1.3.6.1.4.1.13177.10.1.22.2 – Certificado en formato software de empleado público
  • ANF Autoridad de CertificaciónAbre en nueva ventana
    • 1.3.6.1.4.1.18332.3.4 – Certificado de persona física
  • Registradores de EspañaAbre en nueva ventana
    • 1.3.6.1.4.1.17276.0.1.1.1 – Certificado de registrador
    • 1.3.6.1.4.1.17276.0.1.2.1 – Certificado de personal interno de los Registros
    • 1.3.6.1.4.1.17276.0.2.1.1 – Certificado personal
    • 1.3.6.1.4.1.17276.0.2.3.1 – Certificado de cargo administrativo
    • 1.3.6.1.4.1.17276.0.2.4.1 – Certificado de administración local
    • 1.3.6.1.4.1.17276.0.2.5.1 – Certificado de profesional
  • Autoridad de Certificación de la AbogacíaAbre en nueva ventana
    • 1.3.6.1.4.1.16533.10.2.1 – Certificado de colegiado
    • 1.3.6.1.4.1.16533.10.3.1 – Certificado de personal administrativo
  • IzenpeAbre en nueva ventana
    • 1.3.6.1.4.1.14777.2.2 – Certificado corporativo privado
    • 1.3.6.1.4.1.14777.2.6 – Certificado de ciudadano
    • 1.3.6.1.4.1.14777.4.1 – Certificado de personal de las Entidades Públicas
    • 1.3.6.1.4.1.14777.4.2 – Certificado corporativo
    • 1.3.6.1.4.1.14777.7.1 – Certificado de personal del Gobierno Vasco
  • Autoritat de Certificació de la Comunitat Valenciana (ACCV)Abre en nueva ventana
    • 1.3.6.1.4.1.8149.3.6.6.0 – Certificado en tarjeta de ciudadano
    • 1.3.6.1.4.1.8149.3.7.5.0 – Certificado en formato software de ciudadano
    • 1.3.6.1.4.1.8149.3.13.4.0 – Certificado en tarjeta de empleado público
    • 1.3.6.1.4.1.8149.3.18.2.0 – Certificado en formato software de empleado público

Certificados de persona jurídica

Certificados de componente informático

ABANCE. PKI para el sector financiero

Posted in Abance history, Bank oriented PKI | 1 Comment »

Desde el año 2004 el promotor de la plataforma ABANCE la está impulsando en colaboración con diferentes entidades prestadoras de servicios de confianza digital, originalmente Camerfirma y posteriormente EADTrust (European Agency of Digital Trust).

Con su experiencia en Banca, inicialmente en Banesto y en entidades del Grupo Santander y del Grupo BBVA, veía como un concepto lógico el de la vinculación de la gestión de identidades y la firma electrónica, propia de los Prestadores de Servicios Electrónicos de Confianza con las infraestructuras tecnológicas que despliegan las entidades financieras, singularmente las tarjetas de crédito basadas en tecnología chip, útiles como soporte técnico de los medios de pago, y polivalentes al soportar la firma electrónjca como Dispositivo Cualificado de Creación de Firma.

IIR Organizaba anualmente el Congreso Internacional de Tarjetas (CIT). El evento ha sido testigo de la evolución y transformación del sector de las tarjetas y los medios de pago. Desde hace varios ańos. ABANCE se ha presentado o comentado en estos eventos:

Además, se ha mencionado en:

Además se ha mencionado en los siguientes artículos:

  • Red Seguridad (noviembre 2006)
  • PC PYMES (ver)
  • VNU NET (ver)
  • Tribuna PC PYMES (ver)
  • Financial Tech Magazine (ver)

Y en el Blog de Julián Inza

El objetivo del proyecto es contribuir a la creación de una infraestructura de certificación común para la banca, que permita poner en valor inversiones anteriores y aprovechar las ventajas creadas por los desarrollos legislativos y la madurez de la tecnología.

Parte de los logros de iniciativas como Consorcio Iberion, GTA (Global Trust Authority) e Identrus, intentando aprovechar sus mejores aportaciones y soslayar los problemas por los que dichos proyectos no fueron un éxito.

Contribuye a ello el marco de desarrollo de servicios de firma electrónica, especialmente con el DNI electrónico que está siendo una realidad en Espańa, y el despliegue de tarjetas EMV a partir de 2008 como compromiso de de despliegue SEPA (SEPA Card Framework).

Iniciativas internacionales en las que participaron entidades espańolas son GTA e Identrus:

GTA (Global Trust Authority)

Identrus (ahora Identrust)

Identrus (now called Identrust) had been a so-called root certificate authority, selling digital certificates to financial services companies. Under its new ownership, Indentrust will also be selling a managed, turnkey certificate capability to order-to-pay companies and their customers.

Indentrust was created in 1999 as the Global Trust Organization by a group of large banks, including CitiGroup and ABN AMRO, to be their root certificate authority, or basic issuing organization. In 2002, it bought the Digital Certificate Trust Company from Zions BanCorporation and the American Bankers Association. Fifty-five financial institutions use Indentrust digital certificates.The company was supposed to have been profitable, but never really got there, despite its long reach into the financial services community and the companys later expansion into issuing certificates to the U.S. government. They just couldnt figure out how to be profitable, says Klein. Their expertise is in how to do the business of banking, not in launching entrepreneurial companies.

The new ownershipall entrepreneurial business peoplemay change that. Last summer, an investor group including Rho Capital Partnerswhere Sculley is a venture partnerand Enterprise Partners bought the company for $20 million from the original owners. Sculley is chairman, and Karen Wendel, Identrusts long-time CEO, kept her office. Enterprise is represented by managing director Carl Eibl. Jean Levine, an independent investor, is also involved, and Zions retains a stake in the firm

 

 

 

 

Autenticación en Banca – ABANCE

Posted in Uncategorized | No Comments »

El sector bancario ha sido, junto con el académico, el que más tempranamente acogió los conceptos de criptografía de clave pública y certificación digital como componentes de seguridad de soluciones por desplegar. Lo cierto es que también el sector financiero ha sido promotor de la criptografía de clave simétrica desde mucho antes, adoptando el DES (Data Encryption Standard) como  base de sus sistemas de cifrado en todos los dispositivos relacionados con los medios de pago, como TPVs y Cajeros automáticos.

Sin embargo, iniciativas tan prometedoras como “Negocios Cibernéticos”, ACE, Iberion, GTA o Identrus han quedado por el camino como testimonios de “failure case” : soluciones para problemas que no existían. Y como corolario la sentencia “Las PKI no funcionan en banca”.

En banca, ha sido frecuente justificar la escasa adopción de técnicas seguras de identificación con argumentos como “el usuario no lo demanda”, “añade complejidad al sistema”, “no hay casos de fraude”, “es complejo de gestionar” o “es caro”.

Todos esos argumentos, que en realidad son falaces, no han sido óbice para que la banca impulsara en el pasado el despliegue de canales, productos y servicios de gran aceptación por los usuarios, lo que se ha demostrado años después de que se “impusieran” a los clientes sin que existiera demanda, sin que importara la complejidad añadida, o el coste de despliegue. En particular el rentable (hasta hace unos meses) mundo de la tarjeta de crédito  se ha desarrollado con un nivel razonable de seguridad en el mundo físico (muy basado en los servicios de autorización en tiempo real) hasta el punto que, en España,  hacían poco necesaria la adopción de medidas adicionales.

En cambio, en el despliegue  del canal Internet, el relajamiento excesivo en la adopción de medidas de seguridad, tras el argumento de que “otras entidades están peor”, “se frena el crecimiento de usuarios” , “genera llamadas al call center”, ha retrasado el consenso en la adopción de estándares comunes hasta que se ha producido una avalancha de incidentes asociados a téminos como “phishing”, “pharming” “keyloggers” y “troyanos” que están creando una verdadera alarma social y ponen en peligro no solo la credibilidad del nuevo canal, sino incluso el buen nombre de la banca en su conjunto, con quiebra de conceptos como el de “confianza” que son la base del negocio bancario.

Todos estos incidentes eran previsibles, y de hecho algunas voces llevan años advirtiéndolo. Sin embargo, ahora son una realidad y hay que tomar medidas. Y las medidas las está tomando cada entidad a su manera, unas con mensajes a móviles, otras con tarjetas de coordenadas, algunas con teclados en pantalla (afortunadamente, las menos), otras con dispositivos de clave fungible (OTP, One Time Password) y las más sofisticadas con Certificados Electrónicos.

La primera crítica a todas estas soluciones proviene de que los usuarios son clientes de varias entidades y diferentes “experiencias de usuario” son caldo de cultivo para que puedan producirse intentos de fraude basados en “ingeniería social” engañando a los usuarios, como de hecho sucede en técnicas como el Phishing. De modo que una recomendación sería consensuar aspectos comunes en la operativa de las distintas entidades para que las excepciones a la operativa (lo que suponen las técnicas de ingeniería social) al menos sea “sospechoso” para los usuarios.

Si se llega a consensuar la operativa, se estará muy cerca de disponer de infraestructuras comunes de autenticación. Aquí se puede limitar el coste de iniciativas que, desarrolladas individualmente por cada entidad, podrían ser muy caras. Por ejemplo, cabe pensar en disponer de servidores comunes de autenticación OATH de forma que los tokens OTP desplegados por todas las entidades sean compatibles, y no exijan que los usuarios carguen con varios dispositivos anillados a su llavero. O que las “calculadoras” generadoras de claves OTP  a partir de tarjetas EMV (Europay Mastercard, VISA, tarjetas con chip) sean compatibles, de forma que se pueda aprovechar el despliegue de tarjetas EMV impuesto por las condiciones de gestión SEPA (Single Euro Payment Area) en el sentido de que la operatividad y el coste de uso de las tarjetas sea equivalente a operaciones domésticas (las que llevan a cabo las entidades en su propio país).

El consenso tendría efectos beneficiosos, por ejemplo, en el despliegue de la firma electrónica a partir del DNI y otros certificados cualificados. En efecto, uno de los retos que supone aceptar firmas electrónicas respaldadas por sus correspondientes certificados electrónicos es que, según la Ley 59/2003 y la Directiva 93/1999, cualquier firma electrónica cualificada (la que se expide cumpliendo ciertos requisitos entre los que destaca la verificación presencial de la identidad del solicitante del certificado asociado) tiene equivalencia funcional con  la firma manuscrita, y por tanto impone la obligación de verificar su validez al tercero que confía en los certificados.

En la práctica cualquier prestador de servicios de certificación europeo puede cumplir los requisitos y esto implica que las entidades financieras deben ser capaces de acceder a los servicios de información de validez de los certificados (a través de diferentes modalidades como OCSP – Online Certificate Status Protocol, CRL – Certificate Revocation List , o SCVP – Server-based Certificate Validation Protocol )  de CUALQUIER prestador de servicios de certificación. De modo que la gran oportunidad que representa el DNI electrónico (cuyo despliegue, que supone un gran esfuerzo, ha sido asumido por la Administración) se amplía y se complica por la necesidad de aceptar cualquier certificado emitido por cualquier PSC (Prestador de Servicios de Certificación)  español o europeo.  Esta tarea puede ser compleja para una sola entidad pero puede ser resuelta fácilmente desde  un organismo común que permita compartir sus costes. En el fondo no es muy distinto de lo que supone el sistema de validación “SARA” (Sistema de Aplicaciones y Redes para las Administraciones) desplegado por el Ministerio de Administraciones Públicas  para cualquier organismo de la administración.

Otra ventaja del consenso: la unificación en la estrategia de despliegue de EMV. Es obligatorio el despliegue completo de tarjetas EMV por parte de las entidades emisoras de tarjetas VISA y MasterCard (entre otras) antes de fin del año 2010 como consecuencia de los requisitos impuestos por la iniciativa SEPA. Dentro de las especificaciones EMV hay dos modalidades principales de funcionamiento que determinan la tecnología de la tarjeta chip: autenticación estática y autenticación dinámica. Sin tomar en cuenta algunos puntos débiles de los sistemas de autenticación estática, preferidos por los delincuentes, los de autenticación dinámica incluyen por un coste adicional poco significativo la posibilidad de gestionar claves privadas en la tarjeta, dentro de un infraestructura de clave asimétrica (PKI, Public Key Infrastructure). Hay algunas tarjetas que permiten su uso de forma simultánea como tarjeta EMV y como Dispositivo Seguro de Creación de Firma  (DSCF, SSCD, Secure Signature Creation Device), y son aptas, por tanto para que las propias entidades financieras puedan desplegar sus propios certificados cualificados. Entre estas tarjetas, cabe citar, por ejemplo la Advantis Crypto de SERMEPA y la M.MAR de Microelectrónica, aunque todos los fabricantes están desarrollando tecnologías convergentes.

El hecho de unificar la estrategia de despliegue de la tarjeta (incluso sin unificar su tecnología), permite compartir estrategias en la distribución del driver CSP o PKCS#11, que pueden facilitarse desde un organismo de comunicación común. Aquí convendría hacer algunos esfuerzos adicionales: la unificación del perfil de los certificados adoptando OID comunes y consensuando el significado de estos allí donde no hay un estándar, la colaboración en la gestión de una autoridad de certificación raíz común para los certificados de todas las entidades, que facilite el establecimiento de la cadena de confianza, el desarrollo común del Web Service de la AEAT para facilitar la generalización del uso en el ámbito tributario…

Con un coste marginal, respecto al que tiene el despliegue de tarjetas EMV convencionales, se puede conseguir la completa disponibilidad de certificados cualificados para los titulares de tarjetas, a un ritmo más rápido que el que puede lograr el DNI electrónico. De esta forma las entidades podrían establecer estrategias de comunicación que enfatizaran la disponibilidad de múltiples servicios (los mismos que se vayan desarrollando para el DNI) por el solo hecho de tener una tarjeta de crédito de la entidad.

La estrategia de colaboración en certificación ha recibido el nombre de “ABANCE” (Autoridad BANcaria de CErtificación) durante los  últimos años, pero en la actualidad es solo una de las múltiples áreas de colaboración de  bancos y cajas más allá de la interconexión de redes de medios de pago. Efectivamente, la posibilidad de colaboración en sistemas de claves de un solo uso (OTP) compartiendo el servidor de autenticación bajo el modelo OATH (Initiative for Open Authentication), amplía el alcance de ABANCE.

Pero hay más. Las entidades están preocupadas ahora por el phishing, el pharming, los keyloggers o los troyanos, porque son amenazas muy claras que ya se han hecho presentes en nuestros días y se contabilizan en las estadísticas. Pero saben que cada nuevo paso que se da en la securización de las transacciones lleva aparejado una nueva modalidad de ataque o de fraude, la posibilidad de explotar una nueva vulnerabilidad  o de idear un nuevo tipo de engaño. Y es necesario un grupo de especialistas que permita reaccionar ante cada nueva situación. Sin restar mérito a las ofertas de empresas privadas que resuelven algunos de los retos o aportan soluciones parciales, sigue haciendo falta una acción integradora que sea un recurso de las entidades financieras. Es necesario un CERT (Computer Emergency Response Team) o, por usar un término más actual, un CSIRT (Computer Security Incident Response Team), es decir, un Equipo de Respuesta ante Incidentes de Seguridad Informática Bancario.

Desde hace algunos meses esta es una idea que he intentado promover, y finalmente parece que ya existe un grupo de entidades que están dispuestas a acometer su creación. Este órgano se está estructurando como una de las líneas de actuación de una nueva Fundación que tiene objetivos adicionales. En efecto, otra las líneas de actividad identificada como esencial ha sido la que lleve a término la determinación de luchar contra la impunidad en la red. Ha llegado el momento de pasar de una situación defensiva, en la que la máxima aspiración de una entidad es minimizar el quebranto y posicionarse en seguridad sólo un poco mejor que los competidores (la gacela no pretende correr más que el león, sólo más que la víctima, otra gacela) a otra ofensiva en la que sea posible localizar al delincuente y que este pague por el delito, restituyendo la confianza al medio.

La iniciativa, aunque novedosa, tiene un antecedente notable en la BSA (Business Software Alliance). Esta institución de carácter multinacional, con presencia en 80 países,  propugna el uso legal del software y promueve diferentes iniciativas adaptadas a la situación del país en el que actúa. De forma similar, la Fundación para la Confianza Digital promueve un uso seguro de la red actuando contra los delincuentes en cualquier lugar del mundo, apoyándose en abogados e investigadores que actúen en los países en los que esté presente. Permitiendo una reacción ágil ante ataques internacionales, apoyándose en la legislación y los medios del país desde el que actúa, colaborando con la policía y la justicia hasta lograr la condena y el cumplimiento de la pena de los atacantes. Proporcionando medios y formación a la policía y a los miembros de las diferentes instancias jurídicas, de todos los países. Reforzando la seguridad de las redes, la idemnidad de los usuarios y la confianza en el medio y en las instituciones. Las entidades Fundadoras están en estos momentos revisando los estatutos y estructurando su participación con la idea de constituirla a lo largo de 2007. Si se cumplen las previsiones, se habrá dado forma al adagio “La mejor defensa, el ataque”.

Las tarjetas EMV VISA y Mastercard como Dispositivos Seguros de Creación de Firma Electrónica

Posted in Bank oriented PKI, Firma electrónica, Tarjeta chip | No Comments »

Hace muchos años que propugno la convergencia de EMV y PKI. Para mi es una oportunidad el hecho de que una de las obligaciones que se imponen a las entidades financieras en el marco del desarrollo de SEPA (Single Euro Payment Area), sea la de emitir tarjetas EMV a todos sus titulares a partir del 1 de enero de 2008.

Si todas las entidades financieras adoptan esta idea, emitirán tarjetas mixtas que además de ser EMV (con autenticación dinámica) son DSCF (Dispositivo Seguro de Creación de Firma, en inglés SSCD, Secure Signature Creation Device, denominación de la Directiva y de la Ley de Firma Electrónica) e incluyen un certificado cualificado.

Esto aporta el que todos los titulares de tarjeta de crédito puedan contar con firma cualificada tan pronto como toque renovar la tarjeta. Y con ella, el acceso a todas las aplicaciones on-line o presenciales que se desarrollan tanto en el ámbito privado como en la administración pública para el DNIe y para otros certificados cualificados.

Veo grandes posibilidades de comunicación comercial y nuevos servicios que pueden desarrollar las entidades financieras.

También llevo años proponiendo el desarrollo en banca del sistema ABANCE (Autoridad BANcaria de CErtificación) que ponga en valor las iniciativas de desarrollo de PKI que muchas entidades financieras han llevado a cabo a lo largo de los años, y que entronca directamente con este uso mixto de las tarjetas EMV.

Rescatando las mejores ideas que se intentaron adoptar en el proyecto Iberion y eliminando las causas que acabaron con aquel proyecto, puede desarrollarse una infraestructura de clave pública que permita compartir la root, las políticas de certificación, los perfiles de los certificados y los servicios de gestión de revocación, haciendo que el proyecto sea de bajo coste para las entidades financieras, y con ventajas claras para ellas y para sus clientes.

Y posiblemente ha vuelto a madurar esta idea con todo el potencial que se desarrolla en torno al DNIe, y que algunas entidades financieras como Banesto y SCH están ensayando.

Hoy por hoy, pienso que una de las pocas barreras que existen para lanzar en serio el proyecto es que los criterios de homologación de EMV impiden que una tarjeta pueda presentar simultáneamente esta homologación y la correspondiente al cumplimiento de las normas CWA 14168 y CWA 14169). Por eso, es decisión de la entidad financiera si acepta tarjetas mixtas sin homologación que sepa que vienen de un fabricante que tiene tarjetas homologadas en cada estándar.

En mi opinión debe ser así, pero los responsables no se quieren arriesgar a no ser que un consultor externo se lo diga.

En estos momentos, por mi información, las tarjetas que cumplen las exigencias de DSCF y EMV son las de Microelectrónica (empresa española adquirida por msystems, y que al ser adquirida esta por Sandisk, ha pasado a su órbita) y las de SERMEPA (Advantis Crypto, basada en la TIBC 3.0) que desarrolla con ST Microelectronics. La Advantis Crypto la personalizan la FNMT-RCM, G&D y Oberthur.

Sé que hay otros proveedores que también las tienen, por lo que invito a añadir comentarios señalando más proveedores.

La firma electrónica en banca

Posted in Firma electrónica | No Comments »

Factura electrónica y DNI electrónico son conceptos unidos por algo más que por el «apellido» electrónico. Ambos son dos expresiones de la importancia que está adquiriendo la firma electrónica.

Los primeros proyectos de firma electrónica españoles se llevaron a cabo en el ámbito de las universidades y de las entidades financieras en 1995.

Sin embargo, tras el tropiezo que sufrieron proyectos como GTA o Identrus, o las abortadas iniciativas PKI de Iberion, las entidades financieras han adoptado una actitud de wait and see.

Algunas de ellas advierten el potencial que la nueva normativa (Ley 59/2003) otorga a la firma electrónica cualificada y empiezan a pensar en cómo adaptar las tarjetas de crédito EMV (tarjetas con chip que, según la normativa de Visa y Mastercard deberán sustituir a las actuales con banda magnética) para que permitan llevar a cabo todo tipo de trámites frente a las administraciones públicas.

Sin embargo, quizá el reto más importante y para el que pocas entidades están preparadas, es para el despliegue de servicios que se tiene que asociar al DNI electrónico.

A partir del segundo trimestre de 2006, y a un ritmo de seis millones de documentos al año, los ciudadanos españoles dispondrán de un mecanismo que no sólo permitirá acreditar su identidad a distancia, sino firmar electrónicamente con el DNI y con su PIN, también en entornos presenciales.

Y las casi 40.000 oficinas bancarias espańolas no están preparadas para esto.

En lo que sí empiezan a estar preparadas es en el despliegue de estructuras de gestión de facturas electrónicas, con lo que pueden ser el verdadero motor del éxito de la facturación electrónica en España.

Aunque la normativa europea que generalizará la validez de la factura electrónica es de 2001, las autoridades tributarias españolas adoptaron tempranamente medidas que aceleraran su adopción en España ya en el año 2002.

La Agencia Tributaria publicó un nuevo Reglamento de facturación en 2003, que contempla la factura electrónica,  y ha simplificado en 2005 los requisitos de la factura rectificativa (que sustituye a la nota de abono, con grandes quebraderos de cabeza para las pymes).

Varias entidades financieras han comenzado a dar pasos en el uso propio de la factura electrónica y en el despliegue de plataformas para sus clientes que se enmarcarán en sus sistemas de banca electrónica para empresas.

Gracias a las facilidades que la nueva norma otorga a los mecanismos de facturación a través de terceros, la posible complejidad del uso de la firma electrónica queda escondida en una simplificada interfaz de usuario que se centra en lo esencial: emitir y recibir facturas, y gestionar su cobro o su pago o el anticipo de crédito a través de la entidad financiera.

Unicaja, Caja Madrid o Eurobits son interesantes exponentes de las mejores prácticas en el despliegue de plataformas de factura electrónica que, en manos de las empresas, mejorarán la eficiencia y la competitividad y conllevarán ahorros de hasta 4 euros por factura gestionada.

La Agencia de Certificación Electrónica dará soporte a Identrus

Posted in Bank oriented PKI, Identrus | No Comments »

La Agencia de Certificación Electrónica (ACE) está invirtiendo 12 millones de euros en en la adecuación de su centro de procesos mediante la incorporación de la versión actualizada del software Processing Center 3.5 de Verisign

Identrus, es una asociación de instituciones financieras creada en 1999 en Estados Unidos y de la que forman parte 60 miembros para asegurar las transacciones que los bancos realizan con sus empresas clientes a través de Internet mediante el uso de tecnologia de PKI y el desarrollo de estándares tecnológicos comunes capaces de ser utilizados por todas las entidades incluidas en la misma.

El Identrus Global ID Verification System (el Sistema Identrus), diseñado para que el sector financiero adopte las tecnologías PKI habilitadoras del comercio electrónico seguro B2B, implica un esfuerzo de implementación para las entidades financieras.

Aunque al principio Identrus LLC se ha dirigido a los bancos más grandes del mundo, el resto de entidades financieras deberían estar pendientes de la evolución de esta iniciativa.

Con la adaptación acometida por ACE, podrá dar soporte a la plataforma Identrus y dar cobertura a un ajuste del modelo de Identrus a la normativa europea.

Processing Center 3.5 es una plataforma compartida de servicios de PKI que cumple con la directiva europea y con la reciente normativa sobre firma electrónica desarrollada en España.