jump to navigation

Dispositivos seguros de creación de firma 2 mayo, 2011

Posted by Gregorio García in Julián Inza, Radio, Seguridad.
Tags: , , ,
3 comments

HSM (Hardware Security Module)

Confianza en la red 087

En Confianza en la red hemos hablado con Julián Inza, Presidente de  Albalia Interactiva.

Puede escuchar la entrevista completa con el siguiente reproductor:

votar

¿Qué son los dispositivos seguros de creación de firma?

Se define en la Directiva y en la Ley de Firma Electrónica y es un dispositivo que garantiza la seguridad de las claves privadas que se emplean en la Firma Electrónica. En realidad se ha convertido en un requisito para que las firmas electrónicas que se generan en determinados contextos tengan el máximo valor real.

¿Dónde se emplean los dispositivos seguros de creación de firma?

En general y dependiendo del tipo de dispositivo se pueden emplear en usos personales o en usos empresariales o corporativos, por ejemplo, en las Administraciones Publicas. Te pongo un ejemplo, el chip del DNI electrónico (DNIe) es un dispositivo seguro de creación de firma, pero también lo es un aparato que se denomina HSM (Hardware Security Module) que se instala en los CPD (Centros de procesamiento de datos) de ayuntamientos, entidades financieras… y con los que se realizan, muchas veces de forma automatizada, firmas electrónicas.

¿Por qué es importante disponer de un dispositivo seguro de creación de firma?

Porque en la Ley y en la Directiva de Firma Electrónica, se establece que las firmas electrónicas avanzadas que se realizan con un certificado cualificado y con un dispositivo seguro de creación de firma, tiene el mismo valor que las firmas manuscritas. Esto es importante cuando las firmas las hacen personas pero es más importante cuando las realizan las instituciones de manera automatizada pero también dándole el valor de que lo firmen las personas.

En estos casos el dispositivo seguro de creación de firma, por sí solo, no es suficiente porque también hay que garantizar que las claves que se gestionan con ese dispositivo están bajo control exclusivo del titular, y para eso, conviene redactar unos textos legales que refrenden esa actividad tanto para la entidad, empresa o Ayuntamiento, y para la persona que figura como titular de los certificados.

¿Qué deben hacer las empresas y los organismos para gestionar los dispositivos seguros de creación de firma?

Nosotros recomendamos desarrollar una política de firma, esto empieza a ser cada vez más importante porque, en las empresas y los organismos empieza a haber muchos certificados para tratar con hacienda, con las notificaciones, con la seguridad social… Hay muchas personas que tienen que usarlos en sus actividades y recomendamos que haya una política de firma.

De hecho nosotros asesoramos a varias empresas en desarrollo de estas políticas, pero especialmente en relación con la custodia de los certificados en nuestros dispositivos, recomendamos que se haga un peritaje cuando se solicitan los certificados a las autoridades de certificación para que esta información del dispositivo quede grabada en los certificados desde su momento de emisión.

Anuncios

Comisión de Factura Electrónica de AMETIC 7 abril, 2011

Posted by jimenezshaw in Julián Inza, Radio.
Tags: , , , , , , , ,
3 comments

 

AMETIC

Confianza en la red 075

Julián Inza, Presidente del Grupo Interactiva, acaba de ser nombrado presidente de la Comisión de Factura Electrónica de AMETIC.

 

¿Qué es AMETIC?

AMETIC es la mayor asociación de empresas tecnológicas del país, es una organización que se inscribe dentro de la CEOE (Confederación Española de Organizaciónes Empresariales) y representa a todo el sector de las tecnologías de la información. Tiene vínculos también con otras asociaciones a nivel regional, como por ejemplo AGESTIC en Galicia. Pretende ser el interlocutor con todas las instancias del gobierno para impulsar el desarrollo de la sociedad de la información y las tecnologías. Esperamos que contribuya a cambiar el modelo de sociedad que hasta fechas muy recientes se basaba en el ladrillo pero que cada vez más tiene que basarse en el conocimiento y en la tecnología.

¿Qué supone para ti este cargo?

Primero supone un reconocimiento a la labor realizada en el grupo de factura electrónica de ASIMELEC que fue el precedente de este nuevo grupo. En particular, en esta nueva etapa, hemos creado una candidatura conjunta el que fue el presidente del grupo de trabajo de la asociación anterior AETIC y yo que lo era en la asociación ASIMELEC, que son las dos asociaciones que se han fusionado para crear AMETIC, de manera que las propuestas que impulsamos son propuestas de consenso, de unificación y en última instancia representan coincidencias de todo el sector tecnológico en lo que pensamos que puede ser necesario para impulsar la factura electrónica.

Teniendo en cuenta que AMETIC, es la mayor asociación de empresas tecnológicas del país, ¿cuales son las iniciativas que vas a acometer? ¿Por dónde vas a empezar?

Hay varios temas muy importantes que repasamos en la reunión del otro día, a parte de hacer una especie de programa de actuaciones, que de alguna manera, es una conclusión lógica de las actividades que ya se llevaban a cabo. La reflexión que hicimos en el grupo de trabajo es que es necesario transmitir a las PYMES la ventaja que supone la factura electrónica, no se ha producido todavía consenso en lo que significa la obligatoriedad, nosotros tenemos claro que con la normativa actual, la factura electrónica es obligatoria cuando se factura a los organismos del estado; pero todavía hay algunas incertidumbres sobre la forma en que esto se va a llevar a cabo. Sin embargo, nosotros pensamos que la adopción de la factura electrónica no tiene que ser sólo porque sea una obligación impuesta desde las autoridades, sino que sobre todo debe ser algo que las empresas adopten como una mejora sustanciosa en sus procesos, grandes ahorros de costes y mejora en eficiencia, que desde luego, sobre todo en épocas como la actual de crisis, donde cualquier cosa que signifique ahorro y que signifique mejorar efectividad, pues es una necesidad que las empresas tienen que adoptar. No hace falta la obligación para que las ventajas de la factura electrónica se manifiesten en las actividades empresariales.

¿Vas a hacer Julián Inza que todas las empresas del país aprendan a utilizar la factura electrónica?

El tema de la difusión es algo que nos preocupa mucho, que la gente entienda todas estas ventajas y eso fue unos de los puntos claves, el enfoque en las PYMES y en la difusión. A veces nos parece, a los que llevamos mucho tiempo en los temas de factura electrónica, que ya se ha dicho todo de la factura; sin embargo cada día vemos que hay empresas que cuando se lo cuentas les parece todo nuevo. Es cierto, que hay algunos desarrollos tecnológicos en curso muy importantes que van a facilitar la interoperabilidad y desde luego en ello vamos a trabajar. Vamos a dar pautas para que los programadores de soluciones de contabilidad y de facturación para empresas, adopten estas prácticas y estas tecnologías para que los usuarios no tengan que preocuparse de la tecnología que está detrás, tiene que quedar oculta y tiene que ser sencillo.

Vemos que hay posibilidades también de colaborar con otras instancias, por ejemplo los grupos de trabajo que se organizan en la administración pública para adoptar prácticas comunes, vemos que también tenemos ámbitos de colaboración con el Comité Europeo de Normalización donde hay algunas iniciativas para facilitar la interoperabilidad europea.

Vemos que tenemos iniciativas importante desarrolladas a lo largo de muchos años como el Congreso de Factura Electrónica que organizaba ASIMELEC que el el futuro organizará AMETIC. Tenemos importantes iniciativas que proponer a las Administraciones Públicas para que cuando desarrollen la legislación complementaria tengan en cuenta la necesidades de las empresas tecnológicas y de las PYMES, que son en última instancia los destinatarios de todos estos esfuerzos.

Tenemos algunas ideas respecto a como debe contabilizarse la adopción de la factura electrónica, una de las grandes carencias que sentimos es que no hay un verdadero conocimiento del uso de la factura electrónica, vemos que las estadísticas del INE que empezaron a tenerlo en cuenta muy recientemente, no distingue entre modalidades de factura que son las que realmente traen eficiencia y las que no. No se puede saber con la estadística del INE las facturas que van firmadas electrónicamente, las que son con formatos reutilizables, la que no lo son. Vamos a constituir entre las diferentes iniciativas, un observatorio que permita saber como estamos, que permita medir, porque si no sabemos medir lo que estamos haciendo, difícilmente podremos valorar la mejora o el empeoramiento que se vaya produciendo. Tenemos muchas iniciativas y un importante reto por delante.

También un comentario porque el que está de vicepresidente Emilio García de Sage, tiene además un rol muy importante en esta actividad y en particular su empresa Sage, es también muy relevante entre las PYMES porque su producto es uno de los más utilizados por ellas, así que confiemos en que esta participación permita que las PYMES cada vez sean más conscientes de la importancia de la factura electrónica.


Puede escuchar la entrevista completa con el siguiente reproductor:

votar

Pagos por móvil 22 marzo, 2011

Posted by jimenezshaw in Julián Inza, Radio.
Tags: , , , , , , ,
3 comments

 

Mobipay

Confianza en la red 063

En Confianza en la red hemos hablado con Julián Inza, Presidente del Grupo Interactiva, sobre los pagos por móvil.

Hace unos años se creó en España el sistema Mobipay, sistema en el cual Julián Inza fue director técnico.

¿Cómo está el sistema Mobipay en estos momentos?

El sistema Mobipay cerró en diciembre del 2009.

Durante un tiempo estuvo activo a nivel nacional e internacional, con un sistema que era fantástico y que permitía utilizar cualquier teléfono móvil mediante el protocolo USSD.
Actualmente esta claro que terminaremos pagando con el móvil ya sea mediante Mobipay o con cualquier otra tecnología.

¿Porqué crees que falló, porqué la gente no se adaptó a este modo de pago?

Posiblemente radique en que el producto salio demasiado pronto a la calle, que pese al apoyo de las entidades financieras y de los operadores, pues fue un proyecto modélico de colaboración entre los diferentes players.
El principal problema fue que los usuarios finales no utilizaron este medio.

¿Qué otros medios de pago por móvil existen en estos momentos?

El más importante es el de iTunes de Apple, que permite comprar aplicaciones, música… para los dispositivos de la compañía. Pero también existen sistemas como B-Cash, algunos que usan códigos de barras… y el tema toma especial atención con iniciativas como la de la japonesa FeliCA.

¿Qué futuro le ves al pago por móvil?

Estoy convencido de que sí. Me da pena que un invento español que además era muy prometedor con patentes internacionales y acuerdos con las entidades de medios de pago, no haya sido lo suficientemente interesante para sus promotores y no aportase los resultados esperados. Estoy convencido que acabaremos pagando por el móvil.
Hay un tema novedoso y es que Samsung acaba de lanzar un teléfono móvil inteligente que incorpora la tecnología NFC.

¿Porqué se habla estos días del NFC?

Sobre todo por este lanzamiento. La tecnología realmente lleva mucho tiempo, en la época de Mobipay ya estábamos pensando en utilizarla. El hecho de que los teléfonos incorporen  NFC por parte del fabricante importantes posibilidades, la tecnología que aporta Samsung es que el teléfono puede comportarse como una etiqueta o un sensor de esta tecnologías.

Puede escuchar la entrevista completa con el siguiente reproductor:

votar

Diplomática Digital 17 marzo, 2011

Posted by Gregorio García in Albalá, Julián Inza, Radio.
Tags: , , , , , , , , , ,
3 comments

Diplomática Digital

Confianza en la red 060

En el programa hemos hablado con Julián Inza, Presidente del Grupo Interactiva.

¿Qué es la Diplomática Digital?

Es la actualización de la diplomática, una ciencia que se remonta a 1681, y que consiste en estudiar la autenticidad de los documentos. Pues ya en el siglo XIII existía la preocupación de si un documento era original o una falsificación.

¿En que se basa la autenticidad de los documentos electrónicos?

Se basa en dos componentes esenciales, la Firma Electrónica y la Custodia Digital que entre ambos conceptos avalan la autenticidad de un documento electrónico.

¿Qué partes tiene un documento?

Las partes de un documento, atendiendo a la Diplomática Digital, son tres:

  • Protocolo: Parte inicial con la información de quién la envía o porqué.
  • Cuerpo: Con lo esencial del documento.
  • Escatocolo: Todo aquello que certifica la autenticidad, como la firma.

¿Qué es el Albalá?

También es un antiguo concepto que significaba originalmente Carta de merced con rango real. En la actualidad este concepto se ha rescatado para referirse a los documentos en papel que representan un documento electrónico. Esto es muy útil pues se puede utilizar, por ejemplo, en un juicio haciendo referencia al documento electrónico que sería el original.

¿Dónde se puede encontrar más información sobre Diplomática Digital?

Se puede encontrar información general en el blog de Todo es electrónico.

Pero si lo que se desea es profundizar en los conceptos, usos y legislación vigente se recomienda asistir al curso  de Diplomática Digital impartido por Atenea Interactiva, el próximo 24 de marzo en Hotel Nuevo Madrid.

 

Puede escuchar la entrevista completa con el siguiente reproductor:

 

votar

Todo es electrónico 10 marzo, 2011

Posted by jimenezshaw in Julián Inza, Radio.
Tags: , , , , , , , , , , , , ,
3 comments

Julián Inza

Confianza en la red 055

En Confianza en la red hemos hablado con Julián Inza, Presidente de Albalia Interactiva sobre su blog.

Tanto el  Grupo Interactiva como sus miembros tienen varios blogs:

Julián Inza creo el suyo en 2006, para hablar de tecnología y temas afines. Se llama Todo es electrónico por su convencimiento de que todo lo que hacemos hoy en día en papel o en otros medios, acabaremos haciéndolo por vía electrónica. Su intención es escribir en él diariamente aunque muchas veces recurre a los fines de semana para preparar entradas para varios días.

Julián Inza coordinaba el foro de las evidencias electrónicas y escribía en sitios web de otras personas o foros, y su hijo que ya entonces tenía un blog, le convenció de que su forma de escribir se prestaba muy bien para los blogs.

El blog de Julián Inza trata de nuevas tecnologías, de la banca, de la despapelización, de los documentos electrónico, siendo la firma electrónica el temas más importante por encima de otros, convirtiendo a Todo es electrónico,  en una referencia sobre la misma.

Empezó siendo una iniciativa personal; pero ha escrito sobre productos nuevos que ha hecho, de anécdotas vividas en la empresa, ideas de emprendimiento, siendo muy difícil separar lo personal de lo profesional. Ésto a la larga ha sido positivo, porque parte del reconocimiento que tiene Albalia Interactiva proviene de lo que Julián Inza ha escrito en su blog. Éste recibe entre 1.000 y 2.000 visitas diarias, habiéndose sobrepasado 1.600.000 visitas.

 

Puede escuchar la entrevista completa con el siguiente reproductor:

Técnicas de cifrado 18 febrero, 2011

Posted by jimenezshaw in Julián Inza, Radio.
Tags: , , , , , , ,
5 comments

CCN

Confianza en la red 041

En el programa hemos hablado con Julián Inza, Chairman de EADTrust, para hablar de las recomendaciones del Centro Criptográfico Nacional (CCN) sobre técnicas de cifrado para el Esquema Nacional de Seguridad.

El Centro Criptográfico Nacional (CCN) ha publicado entre otras las Guía 807 – Criptología de empleo en el Esquema Nacional de Seguridad. En este documento se describen distintas tecnologías de cifrado y se hacen algunas recomendaciones sobre el tamaño de las claves.

Julián Inza nos habla de la importancia de este documento, de los principales algoritmos que recomienda y de porqué las entidades públicas han de cumplir estas recomendaciones.

Para finalizar destacamos los certificados de servidor que comercializa EADTrust, que siguen la recomendaciones del Centro Criptográfico Nacional (CCN), entre cuyas características destaca:

  • Son certificados duales, se entregan dos certificados uno RSA y otro ECC
  • Se entregan en formato PKCS#12
  • Mayor seguridad
  • Permanecen vigentes durante 3 años

Las juntas de accionistas en la sociedad de la información 16 febrero, 2011

Posted by Gregorio García in Julián Inza, Radio.
Tags: , , , ,
6 comments

Las juntas de accionistas en la sociedad de la información

Confianza en la red 039

En el programa hemos hablado con Julián Inza, Presidente del Grupo Interactiva, sobre el uso de las herramientas informáticas en las juntas.

La primera normativa surgió en el 2003, donde se informaba que las entidades que cotizan en bolsa debían adaptar sus normativas al voto electrónico, o, de forma más amplia, al voto a distancia.

Lo que se persigue es asegurar el derecho a poder votar electrónicamente a todos los accionistas que componen una entidad si este es su deseo.

Por ello ha surgido el voto electrónico societario que tiene la misma validez que el voto tradicional y con una gran flexibilidad para permitir el voto secreto o no según el tipo de punto del orden del dia. Además, en el voto societario, los votos se ponderan según el número de acciones del accionista.

Para potenciar el sistema en 2010 ha surgido el Real Decreto Legislativo 1/2010, de 2 de julio, que exige a las sociedades que implanten el foro electrónico de accionistas con los siguientes objetivos:

  • Publicar propuestas que pretendan presentarse como complemento  del orden del día anunciado en la convocatoria
  • Solicitudes de adhesión a tales propuestas
  • Iniciativas para alcanzar el porcentaje suficiente para ejercer un  derecho de minoría previsto en la LSC
  • Ofertas o peticiones de representación voluntaria

Finalizamos recalcando que esta tecnología potencia la relación con los inversores y mejora la eficiencia de su gestión, así como aporta transparencia a la gestión societaria, lo que a largo plazo implica un potencial incremento del valor de la acción.

Albalia Interactiva colabora con la sociedades cotizadas para gestionar el voto electrónico en la Junta con su plataforma Innovoto, y también colabora en la definición y gestión del foro electrónico de accionistas, definiendo el reglamento del foro, o dando soporte técnico para su implementación tanto en las instalaciones de la entidad, como en modalidad de servicios externalizados.

La seguridad de los servidores web en banca y administraciones públicas 8 febrero, 2011

Posted by Gregorio García in Julián Inza, Radio, Seguridad.
Tags: , , , , , , , , , , , ,
7 comments

Certificado de servidor web

 

Confianza en la red 033

En el programa hemos hablado con Julián Inza, Presidente del Grupo Interactiva, sobre el funcionamiento de los servidores web en modo seguro.

Los servidores de los bancos y de las administraciones públicas, tienen la opción de utilizar criptografía de clave simétrica junto con la criptografía de clave asimétrica. Al instalar un certificado relacionado con su clave, el ordenador del usuario, donde está un navegador, se conecta con el servidor. Si  la dirección empieza con https, sabemos que la conexión es segura. Cuando se hace este tipo de conexión, el navegador del usuario le pregunta al servidor si es capaz de mantener conexiones seguras y el servidor le contesta que sí y le entrega su certificado al navegador. Con la información del certificado, el navegador extrae la clave pública, y cifra con la clave pública una clave de sesión, se lo envía al servidor, que es el único que lo puede descifrar con su clave privada, a partir de ese momento, mantienen una sesión cifrada con clave simétrica.

Los servidores web seguros  tienen interés para el sector ABC, Administración electrónica, Banca electrónica y Comercio electrónico, porque en estos contextos es muy importante que la información que pasa por muchos nodos vaya cifrada: números tarjetas de crédito, datos confidenciales, datos personales protegidos por la LOPD, …

Los que tienen este tipo de servicios tienen que instalar un certificado de servidor y tiene que ir al mercado para buscarlos.  Entre las entidades proveedoras de los certificados de servidor necesarios para utilizar esta tecnología se ha de destacar la norteamericana VeriSignThawte en Sudáfrica. En España EADTrust ha empezado a emitir certificados para servidores web.

La tecnología de curvas elípticas permite que con tamaños de clave menores se tenga una robustez criptográfica superior. El Instituto Nacional de Normas y Tecnología de EE.UU. (NIST)  y la Unión Europea recomiendan el uso de curvas elípticas para proteger a los servidores de una manera más robusta.

 

Entradas relacionadas

Curvas elípticas

 

Curvas elípticas 3 febrero, 2011

Posted by Gregorio García in Julián Inza, Radio, Seguridad.
Tags: , , , , , , ,
6 comments

Curvas elípticas

 

Confianza en la red 030

En el programa hemos hablado con Julián Inza, Presidente del Grupo Interactiva, sobre sistemas criptográficos.

Destacan entre estos sistemas los de curvas elípticas que ofrecen mayor protección que los sistemas RSA al ser más robusto con claves más pequeñas, siendo mucho más eficientes.

Es imprescindible que los bancos, las instituciones y demás organismos utilicen claves seguras, por ejemplo desde hace 5 años el Departamento Norteamericano que regula el uso de estándares (NIST, National Institute of Standards and Technology) recomienda usar claves de al menos 2.048 bits, mientras que las autoridades de certificación nuevas recomiendan que sean de 4.096. Todos coinciden en que se han de empezar a usar las técnicas de cifrado SC.

Finalizamos con las utilidades de estos sistemas y como se han de aplicar mediante entidades de certificación que utilicen sistemas de curvas elípticas.

Publicación fehaciente 26 enero, 2011

Posted by jimenezshaw in Julián Inza, Radio.
Tags: , , ,
7 comments

Servicios de publicacion fehaciente

Confianza en la red 024


El sistema informático que soporte el perfil de contratante deberá contar con un dispositivo que permita acreditar fehacientemente el momento de inicio de la difusión pública de la información que se incluya en el mismo.

Artículo 42.3 LEY 30/2007, de 30 de octubre, de Contratos del Sector Público.

 

En Radio Líder hemos hablado con Julián Inza, Presidente del Grupo Interactiva, sobre la Publicación Fehaciente y su utilidad para los contratos en el Sector Publico. En una licitación pública, el organismo adjudicador ha de publicar en el perfil del contratante y de forma fehaciente las condiciones de licitación, es decir, los pliegos de condiciones técnicas y administrativas.

También tiene sentido el uso de este servicio en entidades privadas como los bancos, cuyas tarifas las publican en los tablones de anuncios y estos deberían utilizar criterios de publicación fehaciente.

La Publicación Fehaciente se ha de realizar a través de un tercero de confianza como puede ser EADTrust.