En la actualidad la Diplomática es una rama fundamental de la Historia, ya que permite corroborar la autenticidad y la fecha del documento, los métodos de producción y los propósitos por los cuales se emplearon formas específicas de producción.

En 1675, el jesuita Daniel Papenbröeck publicó una obra, en la que denunciaba la falsedad de muchos documentos de la época merovingia, principalmente los de la célebre abadía de San Dionisio de París.  En 1681, el benedictino Juan Mabillón refutó las afirmaciones de Papenbröeck en `De Re Diplomática` y estableción los principios de la Diplomática. El propio Papenbröeck acabó por retractarse.

Durante más de cincuenta años, la obra de Mabillón fue considerada como el código más completo en la materia. Se mantuvo una guerra diplomática entre las congregaciones de los jesuitas y la de los benedictinos que finalizó con una obra titulada `El Nouveau traité de Diplomatique`, que se utilizó en toda Europa.

Para su tiempo, la diplomática estableció los criterios científicos de la autenticidad de los documentos con técnicas que hoy consideraríamos policiales. Por cierto, en el ámbto de la prueba policial o forense, el estudio de los documentos se denomina “documentoscopia”.

Con el advenimiento de las técnicas digitales, uno de los elementos claves que permitía establecer la autenticidad de los documentos electrónicos era la firma electrónica, pero podían existir otros documentos electrónics auténticos no avalados por una firma electrónica.

Además, ciertas propiedades de los documentos auténticos en papel no se gestionaban sólo con la firma electrónica. Por ejemplo, la unicidad del documento, lo que conlleva aspectos como la obliterabilidad, la endosabilidad y la completitud.

Al desaparecer en el mundo digital el concepto de original en sentido estricto (aunque se crean presunciones de efectos de original de ciertos documentos electrónicos en algunas normas legales), es preciso determinar los mecanismos que permiten esas funciones adicionales y que, en general, se basan en entornos de custodia digital fiables.

Históricamente, la custodia ordenada de documentos auténticos o copias de otros documentos auténticos (incluso, a veces falsas transcripciones, que requerían análisis críticos), se llevaba a cabo en “cartularios·, “tumbos” y “becerros”, de forma semejante a lo que en el ámbito de la fe pública es el “protocolo notarial”.

Por eso en el ámbito de la “diplomatica digital”, en el que gestionamos documentos electrónicos auténticos, nuestras herramientas son la “firma electrónica” y el “cartulario digital”. La base de los proyectos de “despapelización” de procesos.

El concepto de “Diplomática Digital” lo acuñó Julián Inza, Presidente de Albalia, en 2010, con ideas desarrolladas por más de 20 años (como los conceptos de endosabilidad y obliterabilidad digitales). Permite amoldar conceptos que, en ocasiones se utilizan en las normas de gestión documental electrónica de las administraciones públicas (por ejemplo, en España, los Esquemas Nacionales de Seguridad e Interoperabilidad), pero que mantienen su validez en el marco de la gestión documental privada, incluso en ausencia de legislación específica, al basarse en evidencias electrónicas aplicables en cualquier jurisdicción  y cualquier legislación.

Julián Inza ha publicado artículos relacionados con la “Diplomática Digital“en su blog:

• Diplomática Digital
• Autenticidad de documentos electrónicos con CSV (Código Seguro de Verificación)
• Albalá
• Copia Constatable
• Documentos electrónicos en papel y viceversa
• Documentos Electrónicos que conviven con los de Papel (UPM TASSI 2008 Conferencia 5)
• Como traducir “record”
• Digital curation
• Seminario sobre autenticidad de los documentos electrónicos
• “La red Made in Europe” tiene un trasfondo legal característico
• La Diplomática Digital presentada a los archiveros
• Publicacion fehaciente en el “Perfil del Contratante”
• Perfil del Contratante en Contratación Pública Electrónica
• Completitud de los documentos electrónicos, sin original
• Completitud documental a través del CVE o localizador
• Indistinguibilidad del original
• Ejemplo de obliteración.
• Sinónimos de Código de Verificación Electrónica (CVE)

Albalia Interactiva ayuda a las organizaciones a optimizar la gestión documental, eliminando el papel incluso en los procesos en los que se mantenía por su valor probatorio. Los proyectos de “despapelización” permiten recuperar la inversión en breve plazo, entre 6 y 12 meses, dependiendo de su dimensión. En entornos bancarios, mejora la eficiencia de la entidad en más de 10 puntos porcentuales, de forma estable y permanente.

Contacte con nosotros en el 902 365 612 o el 91 7160555 y valore qué documentos puede “despapelizar”

El candidato debe ser un especialista en firma electrónica con profundos conocimientos de Java y XML.

Ha de tener visión de arquitecto de sistemas.

En el contexto se utiliza Java, HTML, XML, JavaScript, J2EE, OCSP, certificados, PKI, DNIe

Se valoran conocimientos de desarrollo seguro, seguridad informática, OWASP, PCI-DSS, Pen-testing, UML, WS-Trust, WS-Security, SAML, CSS, RIA, Ajax, JSF

El candidato debe tener disponibilidad para realizar guardias.

Contra la creencia de que añadir seguridad a la gestión de la documentación de una empresa es sinónimo de añadir complejidad a la actividad de los usuarios y a ralentizar su  trabajo, es posible utilizar herramientas que demuestran lo contrario, que aumentan la eficiencia y ahorran costes.

Una de estas herramientas es  ECOASESORÍA

Las gestorías y asesorías laborales, fiscales, jurídicas se caracterizan por intensiva gestión de documentación de las empresas para las que trabajan, y las beneficiadas por el uso de ecoAsesoría. Se trata de un producto informático capaz de enviar los documentos fiscales, laborales, del registro mercantil, facturas y cualquier otro (en formato PDF o en otras modalidades) a los distintos  clientes de la entidad.

De un modo sencillo, puede enviar en una hora cientos de documentos por correo electrónico o depositarlos en un repositorio web de documentos. Su flexibilidad es tal que no importa si se trata de un documento de IVA, IRPF, Nóminas, Facturas, Seguros Sociales, Circulares, Contratos, Finiquitos,…

Al gestionar los documentos de forma electrónica se evita la impresión y se ahorran costes de consumibles, de sobres y de franqueo.

ecoAsesoria:

• Puede separar el documento PDF por cliente.
• Puede insertar otro documento PDF en el original (idóneo para los finiquitos que adjuntan información).
• Firma digitalmente el documento.
• Cifra el documento con la contraseña del cliente.
• Incluye una marca de agua (ideal para incluir el sello del Colegiado en el TC2).
• Envía el documento por correo electrónico al cliente.
• Envía un alerta por SMS al cliente informándole que tiene un documento a su disposición.
• Sube el documento al repositorio externo de la asesoría (vía FTP), en la carpeta del cliente.
• Guarda el documento en el servidor de datos, en la ruta del cliente.
• Puede extraer información del documento. Por ejemplo: Importe del impuesto para informar al cliente en el SMS.

Todo ello configurable pudiendo elegir todas las opciones o sólo las que sean de interés.

El objetivo de ecoAsesoria es el ahorro de tiempo, la mejora de la eficiencia, pero, con una importante base de seguridad en su forma de funcionar. El añadir la firma digital y el cifrado del documento se incorpora una capa de seguridad fundamental en la gestión de la  documentación que puede tener un alto valor.

Y todo ello de forma sencilla y rápida, con un click de ratón.

La automatización de la información, aportando seguridad y consiguiendo importantes ahorros en el proceso e incluso con a posibilidad de prestar nuevos servicios al cliente.

La norma unificada se creó como evolución de las normas de auditoría específicas de cada marca.

A principios del año 2000, Visa creó el Account Information Security (AIS) Program en Europa y el Cardholder Information Security Program (CISP) en Estados Unidos, que se impusieron a nivel mundial a los bancos miembros, a sus proveedores y grandes comercios en el 2001.

De forma similar, MasterCard impuso el Site Data Protection (SDP) Program junto con otros equivalentes de las grandes marcas de tarjetas American Express (Data Security Operating Policy – DSOP), Diners Club y JCB.

Aunque motivados por las mismas razones, los procedimientos de validación de cada marca para establecer su cumplimiento eran específicos, lo que desencadenó una demanda de unificación de criterios.

Por ello nació el Payment Card Industry (PCI) Data Security Standard (DSS), que se anunció en enero de 2005 como esfuerzo conjunto de Visa y MasterCard, al que se sumaron el resto de marcas.

Su adopción es obligatoria desde  junio de 2007 y las marcas pueden imponer sanciones a las entidades que no realicen las auditorías prescritas.

En el estándar se establecen 6 dominios y 12 requisitos que señalo a  continuación (como no me gusta la traducción oficial, yo he hecho la mia).

• Cree y Mantenga una Red Segura
  • R. 1: Proteja los datos con un Firewall cuya configuración se mantenga correctamente
  • R. 2: Nunca utilice valores por defecto en claves y parámetros de seguridad
• Proteja los Datos de los Titulares (Tarjetahabientes)
  • R. 3: Proteja los datos almacenados
  • R. 4: Cifre las transmisiones de información sensible como datos de los titulares en Redes Públicas
• Mantenga un Programa de Gestión de Vulnerabilidades
  • R. 5: Utilice un anti-virus permanentemente actualizado
  • R. 6: Desarrolle y mantenga sistemas y aplicaciones seguros
• Despliegue Medidas de Control de Acceso Robustas
  • R. 7: Restrinja el acceso a los datos a quienes lo tengan atribuido por su actividad.
  • R. 8: Asigne identificadores (códigos de usuario) únicos a cada persona que disponga de acceso informático.
  • R. 9: Restrinja el acceso físico a los datos de los titulares
• Monitorice y Compruebe las Redes regularmente
  • R. 10: Registre y monitorice cualquier acceso a recursos de red y a datos de titulares
  • R. 11: Compruebe regularmente los sistemasy los procesos  de seguridad.
• Mantenga una Política de Seguridad de la Información
  • R. 12: Mantenga una política que contemple la seguridad de la información

En la actualidad, Albalia presta servicios de Consultoría de Medios de Pago, Consultoría de Adecuación para el cumplimiento de PCI DSS y Soporte a la preparación de los informes SAQ y otros, de PCI DSS.

Vea otras referencias a PCI DSS  publicadas por nuestros consultores y auditores:

• Dominios y Requisitos PCI-DSS
• Chip-and-PIN in VISA USA relaxes PCI DSS requirements
• Las tres redes españolas de tarjetas de crédito premiadas internacionalmente
• Aclaraciones relativas a PCI DSS
• HSM y UPT en PCI-DSS
• Payment Card Industry (PCI) Data Security Standard
• Adopción de PCI Security Standard en España
• Bajo cumplimiento de los requisitos PCI DSS
• PCI DSS empieza a interesar
• SABECO introduce el EMV y se prepara para SEPA
• PCI DSS en España

En aplicación de este estándar del CEN, se verifca el cumplimento de las normas:

• ETSI TS 101 456 v1.4.3 Policy requirements for certification authorities issuing qualified certificates.
• ETSI TS 102 042 V2.1.1 Policy requirements for certification authorities issuing public key certificates

Estas auditorías, adaptadas a la normativa europea son semejantes a WebTrust (ajustada a Estados Unidos y Canadá).

Debe tenerse en cuenta que las entidades que producen navegadores (browsers) pueden requerir la presentación anual de un informe de auditoría a los prestadores de servicios de certificación y CAs (Certification Authorities) para mantener sus certificados raíz incluidos en la lista de CAs de confianza:

• Opera
• Mozilla
• Microsoft
• Apple
• Adobe

El requerimiento se intensifica para CAs que expiden certifcados EV (Extended Validation).

Esta nueva capacidad se incluye tanto dentro del modelo z196, como del equipo z114, que a partir de ahora, permitirán a las empresas gestionar también aplicaciones Windows desde una única arquitectura. Los nuevos equipos z114 suponen, por su coste competitivo, la opción de adopción de estos sisteas en empresas medias.

El soporte para Windows en IBM System z, sobre Blades x86, se traduce en que los clientes pueden ampliar las posibilidades a la hora de elegir la plataforma para una aplicación concreta, desde ERP, hasta la analítica empresarial o el procesamiento de transacciones; permitirá que las aplicaciones del interfaz de Windows accedan a información en el mainframe o se integren con otras aplicaciones de éste; y, se podrá consolidar más cargas de trabajo en el mainframe.

Hasta ahora, los blades daban soporte a la gestión de cargas de trabajo basadas en IBM Power (con soporte también para los sistemas operativos z/OS, AIX y Linux), así como una solución de analítica de negocio y una aplicación multifuncional para System z (IBM Websphere DataPower XI50 para zEnterprise).

De acuerdo con IBM, “este anuncio constata la vitalidad que sigue teniendo el mundo del mainframe dentro de un mercado tan competitivo y dinámico como es el de los servidores”. Y es que, aún sigue siendo una pieza fundamental de negocios como la banca, los seguros, las administraciones centrales o los grandes retailers, entre otros. Aunque la heterogeneidad de las plataformas que existen en la actualidad, también exigen una adaptación al mundo del mainframe si quiere seguir siendo competitivo.

IBM respalda su negocio zEnterprise invirtiendo 1.500 millones de dólares en I+D, según asegura la propia compañía.

Albalia Interactiva cuenta con la única solución homologada por IBM para la gestión de firmas electrónicas XAdES y PAdES con soporte de Webservices OASIS DSS, tanto en entornos zLinuz como z/OS, con altos rendimientos y comportamientos RAS (reliability, availability, and serviceability) gracias al entorno de ejecución de Mainframe. Con zBackTrust las entidades públicas y grandes entidades pueden gestionar la firma electrónica de acuerdo con la legislación.

El servicio permite enviar con el coste de un correo certificado una comunicación electrónica fehaciente a una dirección de correo electrónico o a un móvil, facilitando la descarga de los adjuntos (de los cuales queda constancia en el sistema) en la página web del gestor del sistema. El servicio es equivalente al de un burofax con certificación de contenido pero a un coste que supone un 80% de descuento.

El valor legal de los emails certificados es superior al de los correos certificados (en los que no se certifica el contenido) y equivalente al de los burofax.

Estos servicios se utilizan en las comunicaciones dirigidas a las comunidades de vecinos, en las convocatorias de juntas de accionistas, en las reclamaciones de deudas, en las renovaciones o extinciones de contratos, en comunicaciones relacionadas con divorcios y custodia de niños, en envíos de facturas,…

La ley de Administración Electrónica y las normas que la desarrollan como el Esquema Nacional de Seguridad y el Esquema nacional de Interoperabilidad imponen una serie de requerimientos a los organismos públicos para facilitar el acceso electrónico de los ciudadanos a los servicios públicos y la seguridad de los documentos electrónicos.

En este contexto, la firma electrónica y la seguridad de la custodia digital son dos elementos fundamentales que deben desplazar las administraciones, que, en aplicación del ENS, normalmente requiera disponer de dispositivos seguros de creación de firma, como los Hardware Security Modules (HSM) para custodiar las claves criptográficas.

Albalia Interactiva y SafeNet, organizan el próximo miércoles 19 de octubre un desayuno de trabajo con los responsables de Sistemas de Información de los principales organismos públicos de la Comunidad de Madrid para hablar de la Firma Electrónica en la Administración Electrónica.

Programa

• 9:30 Recepción de los participantes

• 9:35 Introducción a la jornada

• 9:40 Ponencia “La Firma Electrónica y la Administración Pública” con Julián Inza y Alfonso Martínez

- ¿Qué es la firma electrónica en el marco de la Ley 11/2007?

- Normativa sobre la firma electrónica en la Administración Pública

- Gestión de firmas electrónicas en entidades publicas

- Dispositivos seguros de creación de firma

- Hardware Secure Module (HSM)

- Certificados y prestaciones de servicios de certificación

• 11:00 Debate sobre firma electrónica en la Administración Pública

• 11:55 Conclusiones y cierre de la jornada

Si pertenece a las Administraciones Públicas, puede confirmar su asistencia en el teléfono 902 365 612.

El aforo es limitado.

Se trata de una tecnología de comunicación inalámbrica, de corto alcance y alta frecuencia (13,56 MHz) que permite el intercambio de datos entre dispositivos a menos de 10cm. Es una simple extensión del estándar ISO 14443 (RFID).

Soporta dos modos de funcionamiento, todos los dispositivos del estándar NFCIP-1 deben soportar ambos modos:

• Activo: ambos dispositivos generan su propio campo electromagnético, que utilizarán para transmitir sus datos.
• Pasivo: sólo un dispositivo genera el campo electromagnético y el otro se aprovecha de la modulación de la carga para poder transferir los datos. El iniciador de la comunicación es el encargado de generar el campo electromagnético.

El protocolo NFCIP-1 puede funcionar a diversas velocidades como 106, 212, 424 o 848 Kbit/s. Según el entorno en el que se trabaje, las dos partes pueden ponerse de acuerdo de a que velocidad trabajar y reajustar el parámetro en cualquier instante de la comunicación.

En 2010 el número de usuarios que hizo algún pago a través del móvil superó los 108 millones, un 2,1% de los usuarios totales de dispositivos móviles a nivel mundial.  Según Gartner, hubo un incremento de un 55% con respecto a 2009 en pagos vía móvil y se calcula que éste generará 175.000 millones de euros en transacciones en 2014. De todas maneras, la consultora prevée que hasta 2015 el pago móvil no alcanzará la mayoría de edad.

Albalia Interactiva, especialista en Medios de Pago Avanzado, ha diseñado un workshop que permite analizar desde un punto de vista estratégico y táctico la adopción de NFC por las entidades financieras, los operadores móviles y otras grandes empresas, bien en el marco de proyectos cooperativos con otras entidades o como base de servicios propios. En tan solo dos días, los participantes de diferentes departamentos discuten con ayuda  del facilitador de Albalia las implicaciones de la adopción de NFC por la entidad y sus conclusiones se recogen en un informe para la dirección que se entrega al cabo de 15 días.

Las posibilidades de la tecnología NFC en los smartphones, son enormes:

• Acceso a edificios.
• Pago con el móvil.
• Acceso a medios de transporte
• Reservas de entradas
• Información a partir de la localización o situación
• Intercambio de información personal
• Promociones, descuentos ofertas.
• Marketing móvil personalizado
• Métricas de hábitos de uso y de consumo
• Museos, Exposiciones

Esta norma impone explícitamente ciertos requisitos a la facturación en papel que puede  considerarse que implicítamente estaban incluidos en la normativa anterior, pero sobre la que anteriormente no se exigía ninguna necesidad de prueba.

La nueva norma compensa la exigencia de documentar los procedimientos de gestión de envío y recepción de factura para demostrar que se cumplen las exigencias de autenticidad e integridad, con la posibilidad de que esta documentación sea suficiente tanto para acreditar la correcta facturación en papel como la facturación electrónica, incluso si no se basa en una firma electrónica o en EDI.

El texto del artículo 233 de la norma es el que marca estas exigencias, y su transcripción es la siguiente:

1. Se garantizará la autenticidad del origen, la integridad del contenido y la legibilidad de una factura, ya sea en papel o en formato electrónico, desde el momento de su expedición hasta el final del período de conservación de la factura.

Cada sujeto pasivo determinará el modo de garantizar la autenticidad del origen, la integridad del contenido y la legibilidad de las facturas. Podrá realizarse mediante controles de gestión que creen una pista de auditoría fiable entre la factura y la entrega de bienes o la prestación de servicios.

Se entenderá por “autenticidad del origen” la garantía de la identidad del proveedor de los bienes o del prestador de los servicios o del emisor de la factura.

Se entenderá por “integridad del contenido” que el contenido requerido con arreglo a lo dispuesto en la presente Directiva no ha sido modificado.

2. Además de los tipos de control de la gestión contemplados por el apartado 1, otros ejemplos de tecnologías que garantizan la autenticidad del origen y la integridad del contenido de una factura electrónica son:

a) la firma electrónica avanzada en el sentido del artículo 2, punto 2, de la Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica (*), basada en un certificado reconocido y creada mediante un dispositivo seguro de creación de firma, en el sentido del artículo 2, puntos 6 y 10, de la Directiva 1999/93/CE;

b) el intercambio electrónico de datos (EDI), tal como se define en el artículo 2 del anexo 1 de la Recomendación 94/820/CE de la Comisión, de 19 de octubre de 1994, relativa a los aspectos jurídicos del intercambio electrónico de datos (**), si el acuerdo relativo al intercambio contempla el uso de procedimientos que garanticen la autenticidad del origen y la integridad de los datos.

Albalia ha diseñado un servicio de auditoría de soluciones de facturación, que permite acreditar fehacientemente el cumplimiento de los requisitos de facturación de la citada directiva, tanto para sistemas de facturación en papel como para sistemas de facturación electrónica que no empleen EDI ni firma electrónica. La posibilidad de contar con un informe acreditativo del correcto cumplimiento de los requisitos de la directiva “a priori” es una garantía de que no aparecerán problemas “a posteriori” si en el futuro una entidad que ha adoptado un sistema que considera adecuado se encuentra con que su criterio es diferente al de un inspector tributario.

En este sentido, Albalia aporta su experiencia en la auditoría de soluciones de Digitalización Certificada, que han logrado en un 100% de los casos la homologación de la Agencia Tributaria.

Aunque la directiva no será de aplicación directa hasta el 1 de enero de 2013, es previsible que las autoridades tributarias españolas adapten la normativa antes del 31 de diciembre de 2012.

Las empresas españolas pueden anticiparse a la entrada en vigor de la norma haciendo uso de la posibilidad que brinda el Artículo 3. de la Orden EHA/962/2007, de 10 de abril, por la que se desarrollan determinadas disposiciones sobre facturación telemática y conservación electrónica de facturas, contenidas en el Real Decreto 1496/2003, de 28 de noviembre, por el que se aprueba el reglamento por el que se regulan las obligaciones de facturación y que indica la posibilidad de obtener Autorización de sistemas de facturación electrónica a propuesta del contribuyente.

El servicio de auditoría de soluciones de facturación de Albalia, permite  comprobar los servicios de emisión o de recepción de facturas de una empresa o ambos. Estos informes pueden intercambiarse con los equivalentes con los de las empresas con las que una dada mantenga relaciones de facturación, para facilitarse mutuamente la aportación de evidencias a los inspectores tributarios, de ser necesario.