Archive for the Bank oriented PKI Category

ABANCE. PKI para el sector financiero

Posted in Abance history, Bank oriented PKI | 1 Comment »

Desde el año 2004 el promotor de la plataforma ABANCE la está impulsando en colaboración con diferentes entidades prestadoras de servicios de confianza digital, originalmente Camerfirma y posteriormente EADTrust (European Agency of Digital Trust).

Con su experiencia en Banca, inicialmente en Banesto y en entidades del Grupo Santander y del Grupo BBVA, veía como un concepto lógico el de la vinculación de la gestión de identidades y la firma electrónica, propia de los Prestadores de Servicios Electrónicos de Confianza con las infraestructuras tecnológicas que despliegan las entidades financieras, singularmente las tarjetas de crédito basadas en tecnología chip, útiles como soporte técnico de los medios de pago, y polivalentes al soportar la firma electrónjca como Dispositivo Cualificado de Creación de Firma.

IIR Organizaba anualmente el Congreso Internacional de Tarjetas (CIT). El evento ha sido testigo de la evolución y transformación del sector de las tarjetas y los medios de pago. Desde hace varios ańos. ABANCE se ha presentado o comentado en estos eventos:

Además, se ha mencionado en:

Además se ha mencionado en los siguientes artículos:

  • Red Seguridad (noviembre 2006)
  • PC PYMES (ver)
  • VNU NET (ver)
  • Tribuna PC PYMES (ver)
  • Financial Tech Magazine (ver)

Y en el Blog de Julián Inza

El objetivo del proyecto es contribuir a la creación de una infraestructura de certificación común para la banca, que permita poner en valor inversiones anteriores y aprovechar las ventajas creadas por los desarrollos legislativos y la madurez de la tecnología.

Parte de los logros de iniciativas como Consorcio Iberion, GTA (Global Trust Authority) e Identrus, intentando aprovechar sus mejores aportaciones y soslayar los problemas por los que dichos proyectos no fueron un éxito.

Contribuye a ello el marco de desarrollo de servicios de firma electrónica, especialmente con el DNI electrónico que está siendo una realidad en Espańa, y el despliegue de tarjetas EMV a partir de 2008 como compromiso de de despliegue SEPA (SEPA Card Framework).

Iniciativas internacionales en las que participaron entidades espańolas son GTA e Identrus:

GTA (Global Trust Authority)

Identrus (ahora Identrust)

Identrus (now called Identrust) had been a so-called root certificate authority, selling digital certificates to financial services companies. Under its new ownership, Indentrust will also be selling a managed, turnkey certificate capability to order-to-pay companies and their customers.

Indentrust was created in 1999 as the Global Trust Organization by a group of large banks, including CitiGroup and ABN AMRO, to be their root certificate authority, or basic issuing organization. In 2002, it bought the Digital Certificate Trust Company from Zions BanCorporation and the American Bankers Association. Fifty-five financial institutions use Indentrust digital certificates.The company was supposed to have been profitable, but never really got there, despite its long reach into the financial services community and the companys later expansion into issuing certificates to the U.S. government. They just couldnt figure out how to be profitable, says Klein. Their expertise is in how to do the business of banking, not in launching entrepreneurial companies.

The new ownershipall entrepreneurial business peoplemay change that. Last summer, an investor group including Rho Capital Partnerswhere Sculley is a venture partnerand Enterprise Partners bought the company for $20 million from the original owners. Sculley is chairman, and Karen Wendel, Identrusts long-time CEO, kept her office. Enterprise is represented by managing director Carl Eibl. Jean Levine, an independent investor, is also involved, and Zions retains a stake in the firm

 

 

 

 

Las tarjetas EMV VISA y Mastercard como Dispositivos Seguros de Creación de Firma Electrónica

Posted in Bank oriented PKI, Firma electrónica, Tarjeta chip | No Comments »

Hace muchos años que propugno la convergencia de EMV y PKI. Para mi es una oportunidad el hecho de que una de las obligaciones que se imponen a las entidades financieras en el marco del desarrollo de SEPA (Single Euro Payment Area), sea la de emitir tarjetas EMV a todos sus titulares a partir del 1 de enero de 2008.

Si todas las entidades financieras adoptan esta idea, emitirán tarjetas mixtas que además de ser EMV (con autenticación dinámica) son DSCF (Dispositivo Seguro de Creación de Firma, en inglés SSCD, Secure Signature Creation Device, denominación de la Directiva y de la Ley de Firma Electrónica) e incluyen un certificado cualificado.

Esto aporta el que todos los titulares de tarjeta de crédito puedan contar con firma cualificada tan pronto como toque renovar la tarjeta. Y con ella, el acceso a todas las aplicaciones on-line o presenciales que se desarrollan tanto en el ámbito privado como en la administración pública para el DNIe y para otros certificados cualificados.

Veo grandes posibilidades de comunicación comercial y nuevos servicios que pueden desarrollar las entidades financieras.

También llevo años proponiendo el desarrollo en banca del sistema ABANCE (Autoridad BANcaria de CErtificación) que ponga en valor las iniciativas de desarrollo de PKI que muchas entidades financieras han llevado a cabo a lo largo de los años, y que entronca directamente con este uso mixto de las tarjetas EMV.

Rescatando las mejores ideas que se intentaron adoptar en el proyecto Iberion y eliminando las causas que acabaron con aquel proyecto, puede desarrollarse una infraestructura de clave pública que permita compartir la root, las políticas de certificación, los perfiles de los certificados y los servicios de gestión de revocación, haciendo que el proyecto sea de bajo coste para las entidades financieras, y con ventajas claras para ellas y para sus clientes.

Y posiblemente ha vuelto a madurar esta idea con todo el potencial que se desarrolla en torno al DNIe, y que algunas entidades financieras como Banesto y SCH están ensayando.

Hoy por hoy, pienso que una de las pocas barreras que existen para lanzar en serio el proyecto es que los criterios de homologación de EMV impiden que una tarjeta pueda presentar simultáneamente esta homologación y la correspondiente al cumplimiento de las normas CWA 14168 y CWA 14169). Por eso, es decisión de la entidad financiera si acepta tarjetas mixtas sin homologación que sepa que vienen de un fabricante que tiene tarjetas homologadas en cada estándar.

En mi opinión debe ser así, pero los responsables no se quieren arriesgar a no ser que un consultor externo se lo diga.

En estos momentos, por mi información, las tarjetas que cumplen las exigencias de DSCF y EMV son las de Microelectrónica (empresa española adquirida por msystems, y que al ser adquirida esta por Sandisk, ha pasado a su órbita) y las de SERMEPA (Advantis Crypto, basada en la TIBC 3.0) que desarrolla con ST Microelectronics. La Advantis Crypto la personalizan la FNMT-RCM, G&D y Oberthur.

Sé que hay otros proveedores que también las tienen, por lo que invito a añadir comentarios señalando más proveedores.

La Agencia de Certificación Electrónica dará soporte a Identrus

Posted in Bank oriented PKI, Identrus | No Comments »

La Agencia de Certificación Electrónica (ACE) está invirtiendo 12 millones de euros en en la adecuación de su centro de procesos mediante la incorporación de la versión actualizada del software Processing Center 3.5 de Verisign

Identrus, es una asociación de instituciones financieras creada en 1999 en Estados Unidos y de la que forman parte 60 miembros para asegurar las transacciones que los bancos realizan con sus empresas clientes a través de Internet mediante el uso de tecnologia de PKI y el desarrollo de estándares tecnológicos comunes capaces de ser utilizados por todas las entidades incluidas en la misma.

El Identrus Global ID Verification System (el Sistema Identrus), diseñado para que el sector financiero adopte las tecnologías PKI habilitadoras del comercio electrónico seguro B2B, implica un esfuerzo de implementación para las entidades financieras.

Aunque al principio Identrus LLC se ha dirigido a los bancos más grandes del mundo, el resto de entidades financieras deberían estar pendientes de la evolución de esta iniciativa.

Con la adaptación acometida por ACE, podrá dar soporte a la plataforma Identrus y dar cobertura a un ajuste del modelo de Identrus a la normativa europea.

Processing Center 3.5 es una plataforma compartida de servicios de PKI que cumple con la directiva europea y con la reciente normativa sobre firma electrónica desarrollada en España.

GTA, PKI europea orientada al sector financiero

Posted in Bank oriented PKI, GTA, Identrus | No Comments »

La GTA (Global Trust Authority) es una asociación de 800 entidades con sede en Bruselas y operativa desde septiembre de 2001 que despliega infraestructuras de clave pública y servicios de certificación como marco operativo para las entidades miembro.

Varias entidades financieras españolas son miembros de esta asociación.  Por ejemplo, Banesto, BBVA, BSCH, la Caixa y Sermepa.

Entre los potenciales usos de los certificados cabe citar los teléfonos móviles y las tarjetas EMV (Europay-Mastercard-Visa), que serán los medios de pago habituales de acceso o autenticación de operaciones B2C.

La Directiva Europea para Firmas Digitales 1999/93 y las indicaciones de la EESSI (European Electronic Signature Standardization Iniciative) constituyen la base sobre la que se apoya la actividad de GTA, iniciativa diferente a Identrus en tanto que esta ultima es especifica para entidades bancarias y transacciones de alto valor en B2B.

La arquitectura PKI de GTA corresponde a una organizacin jerarquica de una estructura con tres niveles.

El primer nivel de la jerarquía es la Raíz (GTA Root), responsable de la generación y revocación de certificados para el siguiente nivel.

GTA Root trabaja off line para evitar ataques externos y su servicio lo suministra InterPay, uno de los fundadores de GTA, con tecnologia de Entrust Technologies.

El siguiente nivel lo constituyen las MTA (Master Trust Authority), entidades regionales que registran a las STA (Scheme Trust Authority), que configuran el tercer nivel y generan los certificados para los usuarios finales.

Cada una de las TA (Trust Authority) se debe alinear con las normas de GTA, realizar el registro de sus subscriptores, garantizar la exactitud de la información presente en los certificados que emitan y atender las peticiones de revocación y su publicación.

El marco de uso de los certificados se establece en la Politica de Firma.

Puede comprobarse la validez del certificado en el momento de ejercitar la firma digital mediante los servicios OCSP (On Line Certificate Status Protocol) o las CRLs (Certificate Revocated List).