Archive for the Firma electrónica Category

Normas Técnicas Reglamentarias (RTS) en la Directiva sobre servicios de pago revisada (PSD2)

Posted in Autenticación fuerte, EIDAS, Firma electrónica, PSD2, RTS | No Comments »

El pasado 23 de febrero de 2017 la Autoridad Bancaria Europea (European Banking Authority, EBA) publicó su borrador final de Normas Técnicas de Reglamentación (Regulatory Technical Standards, RTS) sobre la autenticación fuerte de los clientes y la comunicación común y segura. Estas RTS, establecidas en virtud de la Directiva sobre servicios de pago revisada (PSD2) y desarrolladas en estrecha cooperación con el Banco Central Europeo (BCE).

Draft Regulatory Technical Standards on Strong Customer Authentication and common and secure communication under Article 98 of Directive 2015/2366 (PSD2)

La EBA recibió 224 respuestas a su documento de consulta, en el que se plantearon más de 300 consideraciones o solicitudes de aclaraciones. En la tabla de comentarios publicada como parte de la RTS, la EBA ha resumido cada uno de ellos y ha proporcionado su evaluación sobre si se han realizado cambios en la RTS como resultado de tales consideraciones.

En particular, una de las principales preocupaciones tratadas en este proyecto final de RTS se refiere a las exenciones de la aplicación de la autenticación fuerte de los clientes en función del nivel de riesgo que implica el servicio prestado; la cantidad y recurrencia de la transacción; y el canal de pago utilizado para la ejecución de la transacción. A este respecto, la ABE ha introducido dos nuevas exenciones: una basada en el análisis de riesgo de transacción basada en niveles definidos de fraude y la otra en pagos en las denominadas «terminales sin vigilancia» para las tarifas de transporte o estacionamiento. La exención sobre el análisis del riesgo de transacción está vinculada a un nivel predefinido de fraude y está sujeta a una cláusula de revisión de 18 meses después de la fecha de solicitud de la RTS.

Además, la ABE ha aumentado también el umbral de las transacciones de pago a distancia de 10 a 30 euros y ha suprimido las referencias anteriores a la norma ISO 27001 ya otras características específicas de la autenticación fuerte de los clientes para garantizar la neutralidad tecnológica de la RTS y para facilitar futuras innovaciones.

Con respecto a la comunicación entre proveedores de servicios de pago de cuentas (ASPSP), proveedores de servicios de información de cuentas (AISP) y proveedores de servicios de iniciación de pagos (PISPs), la ABE ha decidido mantener la obligación de que los ASPSP ofrezcan al menos una interfaz para AISPs y PISP para acceder a la información de la cuenta de pago. Esto está vinculado al hecho de que el PSD2 ya no permite el acceso de terceros sin identificación (a veces denominado “simulación de usuario” o, en inglés”screen scraping”) una vez transcurrido el período de transición previsto en el PSD2 para la aplicación de las Normas Técnicas Regulatorias  Regulatory Technical Standards.

La Directiva PSD2 establece que las RTS se aplicarán 18 meses después de su adopción por la Comisión de la UE como un acto delegado, por lo que es preciso que estas RTS se referencien oficialmente en una norma publicada en el Diario Oficial de la Unión Europea.

En el desarrollo de las tecnologías de Strong Customer Authentication claramente juegan un rol relevante los Prestadores de Servicios Electrónicos de Confianza que como EADTrust (European Agency of Digital Trust) aplican lo previsto en el Reglamento EIDAS.

El artículo 25 del proyecto de norma técnica de regulación publicado por la EBA en cumplimiento del mandato de la Comisión Europea de desarrollo de la PSD2 (Segunda Directiva de Pagos) se refiere a los requisitos de identificación y el 29 al mecanismo específico de los certificados.

En este último artículo queda patente la importancia de los servicios de confianza definidos por el EIDAS (Reglamento UE 910/2014).

  1. Para el propósito de identificación, a que se refiere el artículo 21, apartado 1, letra a), los proveedores de servicios de pago  confiarán en certificados cualificados para generación de sellos electrónicos tal como se definen en el apartado 30 del artículo 3 del Reglamento (UE) n ° 910/2014 4 o en los certificados de autenticación de sitio webpara según se definen en el en el apartado 39 del artículo 3 de dicho Reglamento.
  2. A los efectos del presente Reglamento, el número de registro contemplado en la letra C del anexo III del Reglamento (UE) no 910/2014 se referirá al número de autorización correspondiente a los proveedores de servicios de pago que emiten instrumentos de pago basados en tarjetas (payment service provider issuing card-based payment instruments),  a los proveedores de servicios de información de cuenta (account information service provider) y a los proveedores de servicios de iniciación de pagos (payment initiation service provider), así como los prestadores de servicios
    de pagos de gestión de cuenta (account servicing payment service provider) que proporcionen dichos servicios, según consten  en el registro público del Estado miembro de origen del prestador, de conformidad con el artículo 14 de la Directiva (UE) 2015/2366 o según resulte de la notificación de cada autorización concedida al amparo del artículo 8 de la Directiva 2013/36 / EU de conformidad con el artículo 20 de dicha Directiva.
  3. A efectos del presente Reglamento, los certificados cualificados para generación de sellos electrónico  o para la autenticación del sitio web a que se refiere el párrafo 1 del presente artículo, deberán incluir varias menciones en lengua inglesa para reflejar los siguientes atributos específicos adicionales:
    (a) el papel del prestador de servicios de pago, que podrá ser uno o más  uno o más de los siguientes:  “account servicing payment service provider”; “payment initiation service provider”;  “account information service provider”;  “payment service provider issuing card-based payment instruments”, respectivamente “proveedor de servicios de pago de gestión de cuenta”, “proveedor de servicios de iniciación de pago”, “proveedor de servicio de información de cuenta” y “proveedor de servicios de pago que emite instrumentos de pago basados en tarjetas”.
    (b) la denominación de las autoridades competentes en las que el prestador de servicios está registrado.
    4. Los atributos mencionados en el apartado 3 no afectarán a la interoperabilidad y
    reconocimiento de certificados calificados para sellos electrónicos o autenticación de sitios web.

En el marco de #eIdAS es de aplicación el estándar EN 319 412 en sus partes 1, 3 y 4 (EN 319 412-1, EN 319 412-3 y EN 319 412-4) por lo que la mención del registro de entidades financieras correspondería a las siglas BA (Banking Authority).

eadt-logoPor ejemplo, el “serial number” del certificado cualificado del BBVA a los efectos de la autenticación como “Prestador de servicios de gestión de cuentas” en el marco de la segunda directiva de pagos (PSD2) debería identificarse con el valor  BA:ES0182

EADTrust ya está en condiciones de emitir certificados cualificados para prestadores de servicios amparados por la PSD2 y alineados con la versión publicada a finales de febrero de 2017 de los “Regulatory Technical Standards” de la European Banking Association

Las tarjetas EMV VISA y Mastercard como Dispositivos Seguros de Creación de Firma Electrónica

Posted in Bank oriented PKI, Firma electrónica, Tarjeta chip | No Comments »

Hace muchos años que propugno la convergencia de EMV y PKI. Para mi es una oportunidad el hecho de que una de las obligaciones que se imponen a las entidades financieras en el marco del desarrollo de SEPA (Single Euro Payment Area), sea la de emitir tarjetas EMV a todos sus titulares a partir del 1 de enero de 2008.

Si todas las entidades financieras adoptan esta idea, emitirán tarjetas mixtas que además de ser EMV (con autenticación dinámica) son DSCF (Dispositivo Seguro de Creación de Firma, en inglés SSCD, Secure Signature Creation Device, denominación de la Directiva y de la Ley de Firma Electrónica) e incluyen un certificado cualificado.

Esto aporta el que todos los titulares de tarjeta de crédito puedan contar con firma cualificada tan pronto como toque renovar la tarjeta. Y con ella, el acceso a todas las aplicaciones on-line o presenciales que se desarrollan tanto en el ámbito privado como en la administración pública para el DNIe y para otros certificados cualificados.

Veo grandes posibilidades de comunicación comercial y nuevos servicios que pueden desarrollar las entidades financieras.

También llevo años proponiendo el desarrollo en banca del sistema ABANCE (Autoridad BANcaria de CErtificación) que ponga en valor las iniciativas de desarrollo de PKI que muchas entidades financieras han llevado a cabo a lo largo de los años, y que entronca directamente con este uso mixto de las tarjetas EMV.

Rescatando las mejores ideas que se intentaron adoptar en el proyecto Iberion y eliminando las causas que acabaron con aquel proyecto, puede desarrollarse una infraestructura de clave pública que permita compartir la root, las políticas de certificación, los perfiles de los certificados y los servicios de gestión de revocación, haciendo que el proyecto sea de bajo coste para las entidades financieras, y con ventajas claras para ellas y para sus clientes.

Y posiblemente ha vuelto a madurar esta idea con todo el potencial que se desarrolla en torno al DNIe, y que algunas entidades financieras como Banesto y SCH están ensayando.

Hoy por hoy, pienso que una de las pocas barreras que existen para lanzar en serio el proyecto es que los criterios de homologación de EMV impiden que una tarjeta pueda presentar simultáneamente esta homologación y la correspondiente al cumplimiento de las normas CWA 14168 y CWA 14169). Por eso, es decisión de la entidad financiera si acepta tarjetas mixtas sin homologación que sepa que vienen de un fabricante que tiene tarjetas homologadas en cada estándar.

En mi opinión debe ser así, pero los responsables no se quieren arriesgar a no ser que un consultor externo se lo diga.

En estos momentos, por mi información, las tarjetas que cumplen las exigencias de DSCF y EMV son las de Microelectrónica (empresa española adquirida por msystems, y que al ser adquirida esta por Sandisk, ha pasado a su órbita) y las de SERMEPA (Advantis Crypto, basada en la TIBC 3.0) que desarrolla con ST Microelectronics. La Advantis Crypto la personalizan la FNMT-RCM, G&D y Oberthur.

Sé que hay otros proveedores que también las tienen, por lo que invito a añadir comentarios señalando más proveedores.

La firma electrónica en banca

Posted in Firma electrónica | No Comments »

Factura electrónica y DNI electrónico son conceptos unidos por algo más que por el «apellido» electrónico. Ambos son dos expresiones de la importancia que está adquiriendo la firma electrónica.

Los primeros proyectos de firma electrónica españoles se llevaron a cabo en el ámbito de las universidades y de las entidades financieras en 1995.

Sin embargo, tras el tropiezo que sufrieron proyectos como GTA o Identrus, o las abortadas iniciativas PKI de Iberion, las entidades financieras han adoptado una actitud de wait and see.

Algunas de ellas advierten el potencial que la nueva normativa (Ley 59/2003) otorga a la firma electrónica cualificada y empiezan a pensar en cómo adaptar las tarjetas de crédito EMV (tarjetas con chip que, según la normativa de Visa y Mastercard deberán sustituir a las actuales con banda magnética) para que permitan llevar a cabo todo tipo de trámites frente a las administraciones públicas.

Sin embargo, quizá el reto más importante y para el que pocas entidades están preparadas, es para el despliegue de servicios que se tiene que asociar al DNI electrónico.

A partir del segundo trimestre de 2006, y a un ritmo de seis millones de documentos al año, los ciudadanos españoles dispondrán de un mecanismo que no sólo permitirá acreditar su identidad a distancia, sino firmar electrónicamente con el DNI y con su PIN, también en entornos presenciales.

Y las casi 40.000 oficinas bancarias espańolas no están preparadas para esto.

En lo que sí empiezan a estar preparadas es en el despliegue de estructuras de gestión de facturas electrónicas, con lo que pueden ser el verdadero motor del éxito de la facturación electrónica en España.

Aunque la normativa europea que generalizará la validez de la factura electrónica es de 2001, las autoridades tributarias españolas adoptaron tempranamente medidas que aceleraran su adopción en España ya en el año 2002.

La Agencia Tributaria publicó un nuevo Reglamento de facturación en 2003, que contempla la factura electrónica,  y ha simplificado en 2005 los requisitos de la factura rectificativa (que sustituye a la nota de abono, con grandes quebraderos de cabeza para las pymes).

Varias entidades financieras han comenzado a dar pasos en el uso propio de la factura electrónica y en el despliegue de plataformas para sus clientes que se enmarcarán en sus sistemas de banca electrónica para empresas.

Gracias a las facilidades que la nueva norma otorga a los mecanismos de facturación a través de terceros, la posible complejidad del uso de la firma electrónica queda escondida en una simplificada interfaz de usuario que se centra en lo esencial: emitir y recibir facturas, y gestionar su cobro o su pago o el anticipo de crédito a través de la entidad financiera.

Unicaja, Caja Madrid o Eurobits son interesantes exponentes de las mejores prácticas en el despliegue de plataformas de factura electrónica que, en manos de las empresas, mejorarán la eficiencia y la competitividad y conllevarán ahorros de hasta 4 euros por factura gestionada.