Integración del envío de facturas en formato FACTURAE con ClickSign

Desde el 15 de enero, tal como regula la Ley 25/2013, de 27 de diciembre, de impulso de la factura electrónica y creación del registro contable de facturas en el Sector Público, todas las empresas que aspiren a trabajar para las Administraciones Públicas, deben poder emitir sus facturas en formato XML-Facturae.

La Normativa

En lo que se refiere al formato de las facturas, el Artículo 5 de dicha Ley establece:

1. Las facturas electrónicas que se remitan a las Administraciones Públicas deberán tener un formato estructurado y estar firmadas con firma electrónica avanzada basada en un certificado reconocido, de acuerdo con lo dispuesto en el artículo 10.1 a) del Real Decreto 1619/2012, de 30 de noviembre, por el que se aprueba el Reglamento por el que se regulan las obligaciones de facturación.

Por Orden de la Vicepresidenta del Gobierno y Ministra de la Presidencia, a propuesta conjunta del Ministro de Hacienda y Administraciones Públicas y del Ministro de Industria, Energía y Turismo, se determinará el formato estructurado de la factura electrónica, oído el comité sectorial de Administración electrónica.

2. También se admitirá el sello electrónico avanzado basado en un certificado reconocido que reúna los siguientes requisitos:

a) El certificado deberá identificar a la persona jurídica o entidad sin personalidad jurídica que selle la factura electrónica, a través de su denominación o razón social y su número de identificación fiscal.

b) La solicitud del sello electrónico avanzado podrá formularse bien mediante comparecencia presencial de una persona física que acredite su representación, bien por medios electrónicos mediante el DNI electrónico y la remisión de los documentos que acrediten su poder de representación en formato papel o electrónico. El sello electrónico es el conjunto de datos en forma electrónica, consignados o asociados con facturas electrónicas, que pueden ser utilizados por personas jurídicas y entidades sin personalidad jurídica para garantizar el origen y la integridad de su contenido.

Por otra parte, la disposición adicional segunda, matiza lo siguiente en relación con el formato de la factura y su firma electrónica:

En tanto no se apruebe la Orden ministerial prevista en el artículo 5, las facturas electrónicas que se remitan a las Administraciones Públicas se ajustarán al formato estructurado de la factura electrónica Facturae, versión 3.2, y de firma electrónica conforme a la especificación XMLAdvanced Electronic Signatures (XAdES).

Las condiciones técnicas normalizadas del punto general de entrada de facturas electrónicas, se regula en la siguiente Resolución de 10 de octubre de 2014. El punto general de entrada de facturas es la plataforma FACe.

El Reto

Con este paso, la pelota está en el campo de las empresas, cuyo objetivo es conseguir un envío de facturas integrado con sus sistemas de gestión.  El proceso a realizar para el envío de cada factura sería el siguiente:

  1. Creación de la factura en el ERP
  2. Exportación de la factura a archivo con formato estructurado XML Facturae
  3. Firma del archivo XML Facturae en formato XAdES
  4. Envío del documento al punto de entrada correspondiente

Realizar estas operaciones cuando el volumen de documentos a procesar adquiere un cierto volumen puede ser realmente tedioso, así que deben poder realizarse de forma automatizada y desatendida.

La Solución integrada

Crear el XML-Facturae sin firma, no debe ser un problema para el fabricante del ERP. Tendrá control sobre la base de datos, y construir un archivo XML con el formato correcto a partir de estos datos no debe suponer ninguna dificultad.

Más sencillo todavía debe resultar realizar el envío de dicho documento.

La fase más compleja es la firma electrónica, puesto que requiere conocimiento en un ámbito muy especializado, así que nuestra solución se centra en la automatización de esta fase. Para simplificar al máximo esta parte del proceso, proponemos apoyarse en ClickSign.

ClickSign ha destacado siempre por su sencillez de uso, de la que pueden beneficiarse tanto usuarios finales como integradores.

Por un lado, ClickSign Pro dispone de la función SignLoop. esta función abre un proceso que se caracteriza por 3 parámetros. Una carpeta de entrada, una carpeta de salida, y un certificado digital. SignLoop monitoriza la carpeta de entrada, firma con el certificado digital seleccionado, todos los archivos que encuentra,  y los mueve firmados a la carpeta de salida. El formato de firma se selecciona de forma automática en función del tipo de archivo a firmar.

Adicionalmente,  ClickSign Pro puede activarse usando comandos. De esta forma, podemos firmar documentos, o abrir sesiones de SignLoop, a través de llamadas desde el propio ERP.

De este modo, la integración pasa a ser así de sencilla:

  1. Se crea el archivo XML-Facturae
  2. Se abre una sesión de SignLoop por comandos, pasando carpeta de entrada, salida y certificado digital como parámetro
  3. Se depositan los documentos a firmar en la carpeta de entrada
  4. Se recuperan los documentos firmados de la carpeta de salida
  5. Se envían los documentos firmados al punto de recepción de facturas

Delegar la fase de firma en una aplicación como ClickSign Pro resulta en los siguientes beneficios:

  • Reducción costes de desarrollo
  • Puesta en producción de la aplicación casi inmediato
  • Delegar los aspectos relacionados con el cumplimiento legal en una empresa especializada
  • Los formatos y tecnologías de firma electrónica evolucionan. Optar por ClickSign Pro implica olvidarse de este mantenimiento

ClickSign puede descargarse desde aquí. La instalación de ClickSign genera una licencia de evaluación de 1 mes de ClickSign Pro, con lo que pueden probarse fácilmente todas las funcionalidades descritas en esta entrada. Contacta con nosotros si tienes dudas o requieres información adicional.

Si te ha gustado este Post, no olvides compartirlo usando cualquiera de los controles de debajo.

Publicado en Factura electrónica, Firma XML Facturae, Software de firma digital | Etiquetado , , , , , , | Comentarios desactivados en Integración del envío de facturas en formato FACTURAE con ClickSign

Aprovechar mi certificado digital

Certificado DigitalLos certificados digitales empiezan a ser una herramienta extendida en el ámbito empresarial. Casi todas las empresas, disponen de certificados digitales, aunque la mayoría de titulares no son conscientes de su potencial de uso.

Sin entrar en los detalles técnicos, un certificado digital es un componente software que contiene información que nos identifica. Presentar un certificado digital en una transacción digital remota es como presentar nuestro DNI en un mostrador. La cuestión es, ¿por qué debe confiar la otra parte en que esos datos son reales? Aquí es donde entra en juego la confianza en el emisor del certificado. Por eso, para obtener nuestro certificado digital, hemos tenido que desplazarnos a una oficina de registro, y presentar los documentos que acreditan nuestra identidad y atribuciones. Esta oficina de registro está gestionada por el emisor del certificado (se conoce como Prestador de Servicios de Certificación), que debe ser una entidad reconocida por el Ministerio de Industria, Energia y Turismo (Minetur). Aquí puede consultarse la lista de Prestadores de Servicios de Certificación Reconocidos.

En la mayoría de casos, los certificados digitales de las empresas se usan para identificarse frente a aplicaciones web, y principalmente en trámites y consultas en la web de hacienda, o el buzón de notificaciones. Sin embargo, un certificado digital también tiene otras aplicaciones.

Por ejemplo, podemos usarlo para firmar documentos. Estos son algunos ejemplos:

  • Firmar las facturas antes de su emisión, lo que permite dotar de integridad al documento, y garantizar la autenticidad de su origen
  • Firmar contratos con otras empresas de forma totalmente remota y manteniendo su valor legal. En casos como las ETTs, donde el proceso es recurrente, esto permite ahorrar mucho tiempo y dinero

Los dos procesos anteriores, son tal vez los procesos empresariales más característicos, pero la firma digital de documentos puede aplicarse a cualquier tipo de documento. En este sentido, la Ley 59/2003 de firma electrónica, es muy clara respecto a las características y validez de la firma electróncia reconocida.

Los certificados reconocidos constituyen una pieza
fundamental de la llamada firma electrónica reconocida,
que se define siguiendo las pautas impuestas en la Directiva
1999/93/CE como la firma electrónica avanzada
basada en un certificado reconocido y generada mediante
un dispositivo seguro de creación de firma. A la firma
electrónica reconocida le otorga la ley la equivalencia
funcional con la firma manuscrita respecto de los datos
consignados en forma electrónica.

Para firmar documentos PDF, recomendamos el uso de ClickSign, si la necesidad es añadir una única firma al documento (por ejemplo las facturas), y PortaSigma, si se trata de un documento a firmar entre diferentes partes, como contratos o actas de reunión.

Para más detalles sobre cómo firmar documentos PDF, puede consultarse esta entrada anterior.

Si te ha gustado este post, compártelo usando cualquiera de los controles de debajo. Gracias!

Publicado en Legislación, normas y estándares de la firma digital, Uncategorized, Usos de certificados digitales, Usos prácticos del DNIe | Comentarios desactivados en Aprovechar mi certificado digital

Los menores de edad podrán identificarse pero no firmar electrónicamente

El Consejo de Ministros ha aprobado un real decreto para la protección de la infancia en el uso de Internet y que permite la acreditación de la identidad de los menores por medios telemáticos, mediante el uso de certificados digitales, como el DNIe-, pero no el uso de la firma electrónica. El DNI electrónico contiene dos certificados digitales: uno que permite identificarse y otro destinado a la firma electrónica de documentos.

Según el Gobierno, a partir de ahora la activación de la identificación electrónica será para mayores y menores, pero, la activación de la firma electrónica será únicamente para mayores de edad.

La entrega de un documento con el certificado de identificación electrónica activado permitirá proteger a los menores en las redes sociales, en caso de exigir la presentación de un certificado digital que certifique la mayoría de edad. Además, se simplifica la primera expedición del DNIe, ya que antes se exigía el certificado de empadronamiento y ahora servirá con la entrega del volante de empadronamiento, un documento más fácil de obtener.

También se introducen modificaciones técnicas en la toma de impresiones dactilares. En aquellos casos en los que no puedan realizarse sobre los dedos índices, por mutilación o defecto físico, se sustituirán por otro.

Teniendo en cuenta que los cambios de fisonomía son muy rápidos, en los menores de cinco años el plazo de validez del DNIe se reducirá de cinco a dos años.

Ello no supone ampliarlas cargas administrativas para los ciudadanos, puesto que se trata de expediciones voluntarias, recuerda el Gobierno.

Publicado en Beneficios de la firma electrónica, Casos de éxito en firma electrónica, DNI electrónico, Legislación, normas y estándares de la firma digital, Usos prácticos del DNIe | Comentarios desactivados en Los menores de edad podrán identificarse pero no firmar electrónicamente

Firma digital para los juzgados de Vigo

Los técnicos instalaron ayer en las dos salas de juicios de los juzgados de lo social de Vigo un sistema de firma digital y grabación denominado eFidelius, que es pionero en Galicia. A medida que pasen las semanas, más de 40 salas de sedes judiciales gallegas contarán con este sistema que permite que un jurista se lleve a casa todo el juicio grabado en un pen o unidad de almacenamiento de datos.

Una de las novedades es que la instalación del sistema eFidelius de grabación digital con firma electrónica en las salas de vistas de Galicia, emprendida por el ministerio, implica, según explicaba ayer una jurista, la sustitución de la presencia del secretario judicial en la sala por la grabación digital de la vista o del juicio. El despliegue se irá acometiendo de forma progresiva en las diferentes sedes judiciales.
Eso se debe a que Ley Orgánica 13/2009 establece que, cuando la vista se haya realizado sin la presencia del secretario judicial, el documento electrónico que sirve de soporte a la grabación constituye el acta a todos los efectos, que se incorporará al procedimiento una vez el secretario garantice su autenticidad e integridad. El sistema integra una aplicación de alertas por SMS, para que el secretario judicial pueda intervenir en una incidencia en la sala. Podrá, en cualquier caso, visualizar la vista en remoto desde su despacho, según explica la oficina judicial del Ministerio de Justicia.
Los funcionarios, secretarios y jueces de Vigo aprenderán a manejar las terminales a partir del lunes en sesiones de formación. El equipo instalado en la sala de vistas de Social número 2 y 3, en la tercera planta del edificio viejo, consiste en un teclado con una ranura en la que el funcionario introduce la tarjeta con sus datos para dar fe de que es el usuario autorizado. La sala de juicios cuenta con cámaras que graban todo lo que ocurre en la sesión, incluso las declaraciones de testigos por videoconferencia. Los tribunales especializados en laboral fueron elegidos porque sus vistas no pueden ser interrumpidas y están sobrecargados de trabajo.

Todos los datos de un juicio son volcados en un servidor instalado en los juzgados vigueses, y conectado con la red de la Xunta y el Estado. «Esto lo va a agilizar todo en la Justicia», dijo el técnico Jorge González.

Publicado en Casos de éxito en firma electrónica, Legislación, normas y estándares de la firma digital | Comentarios desactivados en Firma digital para los juzgados de Vigo

Firma digital en tiempos de crisis

En estos tiempos que corren, la mayoría de problemas para las empresas, nacen en la dificultad para conseguir ventas. Este problema, muy evidente por otra parte, tiene difícil solución, puesto que se origina en la falta de poder adquisitivo por parte del consumidor final, y se propaga rápidamente hacia otras empresas. En este contexto, a una empresa a la que le caen las ventas hasta el punto de dejar de ser sostenible, tan solo le queda una solución: reducir sus costes.

Un camino conocido para reducir costes es la automatización de procesos. Nadie discute que su aplicación a los procesos productivos es completamente imprescindible, sin embargo, las empresas siguen resistiéndose, o desconocen la posibilidad de automatizar los procesos administrativos. Vamos a ver que se trata de una vía de reducción de costes muy sencilla y económicamente asumible, especialmente si adoptamos tecnología en pago por uso.

Nota: Si los procesos productivos son aquellos necesarios para llevar a cabo la actividad principal de nuestra empresa, los procesos administrativos serían aquellos que implantamos como soporte al control y gestión de dicha actividad principal.

Los procesos administrativos requieren generar y mover gran cantidad de documentos con datos de las actividades y los participantes. En muchas ocasiones, los participantes tienen que firmar estos documentos como prueba de conformidad, participación o autoría.

Cuando estos documentos se multiplican, su envío, archivo y localización posterior se vuelven tareas muy tediosas, lo que lleva a las personas que trabajan con ellos, a perder un tiempo innecesario. Por tanto, de lo que se trata es de eliminar el papel. Puestos a hacer recortes ¿hay algo más fácil de recortar que el papel?

Podemos asumir que todas las empresas están informatizadas, con lo que la producción de la mayoría de documentos se lleva a cabo en formato digital. Sin embargo, muchos documentos se siguen imprimiendo, y en muchos casos se debe únicamente a la necesidad de aplicarles una o más firmas manuscritas. Como se ha explicado en el párrafo anterior, esto es tiempo perdido.

La solución pasa por enviar, firmar y archivar estos documentos en medios digitales. Con esto, el personal de las empresas dejará de perder ese tiempo precioso en tareas administrativas y podrá dedicarlo a tareas más productivas, como la prospección de ventas por ejemplo.

Podríamos pensar que la implantación de la tecnología es cara, y requiere una inversión que no nos podemos permitir, pero no es así. isigma propone acceder a la tecnología pagando por uso, lo que significa que permitimos a la empresa beneficiarse del ahorro, antes de pagar por la tecnología, siendo el ahorro generado mucho mayor que el coste de uso de la tecnología.

¿Cómo comprobar si esto es tan sencillo como explicamos? Basta con crear una cuenta en PortaSigma completamente gratis, y podremos empezar a firmar digitalmente los documentos de nuestra empresa.

Si este artículo te ha parecido interesante, no dudes en compartirlo usando cualquiera de los botones de debajo.

Publicado en Beneficios de la firma electrónica, Firma digital de PDF, Uncategorized | Comentarios desactivados en Firma digital en tiempos de crisis

Firma digital y Empresas de Trabajo Temporal (ETT)

La firma digital es, como el correo electrónico, una tecnología transversal a los sectores de actividad, esto es, que se pueden beneficiar de sus ventajas sectores tan dispares como el veterinario y las empresas de trabajo temporal.

Por su lado, la firma electrónica es un concepto legal también transversal a sectores y cualquier otra actividad, que en su versión “reconocida” tiene equivalencia funcional (a efectos legales, ver Ley 59/2003, de 19 de diciembre, de firma electrónica, artículo 3.4), con la firma manuscrita (si todavía tienes dudas de las diferencias entre firma electrónica y firma digital, aquí y aquí lo aclaramos)

muchas firmas

Muuuuchas firmas!

No obstante ser transversal tanto la tecnología como el concepto legal, no todas las actividades se benefician por igual de sus bondades. Pensemos qué actividades podrían beneficiarse más: desde luego, aquéllas en las que el número de firmas manuscritas que se realizan al día sea muy elevado. Obviamente puede haber otras consideraciones, como si estas firmas se realizan en procesos clave, la carga legal de estas firmas, etc … pero el mero hecho de que se hagan muchas firmas manuscritas al día ya nos permitirá grandes ahorros de costes, tiempo y resto de beneficios de la firma electrónica.

No cabe la menor duda de que en una Empresa de Trabajo Temporal (ETT) se realizan multitud de firmas manuscritas a diario. Tanto los CPDs (Contratos de Puesta a Disposición) como el propio contrato que firma el trabajador, además forman parte de la razón de ser de estas empresas, son su procesos clave. Por ello, isigma colabora con la Asociación Estatal de Trabajo Temporal.

Con un 63% de las empresas españolas usando la firma electrónica y con más de 28 millones de DNIe en circulación (ver el último Boletín de Indicadores de la Administración Electrónica, de junio de 2012) más de la mitad de los potenciales clientes de una ETT podrían realizar los trámites íntegramente en formato electrónico.

Con una solución cloud como PortaSigma, en pocos minutos podrás empezar a firmar y solicitar firmar los CPDs y resto de contratos sin que ninguna de las partes tenga que desplazarse, sin inversión inicial y sin la necesidad de que tus clientes se den de alta en ningún sistema.

¿Eres una ETT y todavía no tienes una solución de firma electrónica? ¿Con quién vas a contactar ahora?

Si crees que esta información puede ayudar a otras empresas a ser más eficientes y ágiles, no dudes en compartirla usando cualquiera de los botones de más abajo. Gracias!

Publicado en Beneficios de la firma electrónica, Casos de éxito en firma electrónica, DNI electrónico, Firma digital de PDF, Usos de la firma electrónica, Usos prácticos del DNIe | Etiquetado , , , , , , , , | 2 comentarios

Firma digital de NDA

¿Cuántas veces nos hemos encontrado con que un proyecto se bloqueaba durante algunos días porque antes de intercambiarse información, había que firmar un acuerdo de confidencialidad o NDA (Non Discolsure Agreement)?

Este problema se hace especialmente relevante cuando las empresas pertenecen a paises diferentes, y será mayor cuanto mayor sea la distancia entre los mismos.

Si el documento se envía y firma en un contexto íntegramente digital, ambas partes podrían firmar el NDA al instante e iniciar el intercambio de información desde el principio. Se trata de uno de los casos en los que la aplicación de la firma digital, redunda en uns beneficios más directamente perceptibles por los usuarios.

Pudiera parecer que disponer de la tecnología necesaria para beneficiarse de la firma electrónica es caro y complejo, sin embargo, gracias a PortaSigma, es sencillo y económico. Gracias a la firma electrónica, y a los beneficios de ‘la nube’, Firmar digitalmente un NDA en PortaSigma, es tan sencillo como seguir los siguientes pasos:

  1. Una de las empresas sube el contrato a PortaSigma
  2. Indica los datos de los contactos / representantes que deben firmar el documento
  3. PortaSigma notifica a las partes que deben firmar por mail, proporcionando un enlace al documento
  4. Cada parte accederá al mismo documento cuando más le interese, y lo firmará online
  5. Finalmente, el documento queda firmado por ambas partes, y a disposición de los mismos

Para que la firma tenga validez legal, es necesario el uso de certificados digitales. Como hemos explicado en anteriores entradas, la mayoría de las empresas ya tienen certificados digitales que están usando en las relaciones con la administración, sin embargo no se están aprovechando para la relación entre empresas. En cualquier caso, en esta entrada explicábamos cómo obtener uno.

En esta otra entrada, explicábamos también que ya se ha establecido un marco para el uso transfronterizo de los certificados digitales, y en particular el DNI electrónico.

Si crees que esta información puede ayudar a otras empresas a ser más eficientes y ágiles, no dudes en compartirla usando cualquiera de los botones de más abajo.

Publicado en Usos de la firma electrónica, Usos prácticos del DNIe | Etiquetado | 3 comentarios

Servicios Públicos en Movilidad y firma electrónica

La semana pasada, en concreto el martes 19, asistí al evento organizado por Fundación Sociedad de la Información (Socinfo) en Barcelona “Servicios Públicos en Movilidad (IV)“.

Fundación Socinfo es “una organización privada sin ánimo de lucro cuyo fin es el desarrollo de la Sociedad de la Información”.

El evento dio de si y los ponentes estaban muy bien escogidos pues por un lado había proveedores y clientes y por otro puntos de vista estratégicos y experiencias reales. Las ponencias corrieron a cargo de:

  • D. Josep Ramón Ferrer. Director de Estrategia TIC. Instituto Municipal de Informática. Ayuntamiento de Barcelona.
  • D. Ricard Mateu. Director de la Unidad de Movilidad. Centro de Telecomunicaciones y Tecnologías de la Información (CTiTI). Departamento de Empresa y Empleo. Generalidad de Cataluña.
  • D. Joana Sánchez. Directora de Gobierno y Administraciones Públicas. Vodafone.
  • D. Josep Mañach Serra. Director. Fundación TicSalut. Generalitat de Catalunya.
  • D. Mario Alguacil. Director de Tecnologías y Gestión del Conocimiento. Ayuntamiento de Sant Feliu de Llobregat.
  • D. Santi Ristol. Director de Movilidad Inteligente de Atos. Director General de Tempos 21 (Grupo Atos) y
  • D. Óscar Pallarols. Mobile Hub Competence Centers. Mobile World Capital.

Socinfo publica tanto el audio como el material de soporte de las ponencia, pero si no quieres entrar en el detalle, también publica un breve resumen del evento.

No me extenderé en resumir de nuevo el evento, cuando ya lo ha hecho perfectamente Socinfo, sino que comentaré tres puntos que llamaron mi atención, a saber;

El concepto de movilidad inteligente,

basándose no sólo en la posición sino en el entorno, para lo que se necesitan variedad de sensores (los Smartphones los tienen), grandes bases de datos con información de ese entorno e inteligencia para correlar todo ello. En esta línea me gustó mucho el vídeo (EN) presentado por Santi, y la visión (CA) que desde el Ajuntament de Sant Cugat tienen del tema.

La tecnología, la movilidad y la salud,

o sobre la estrategia de uso de la tecnología para mejorar la sanidad pública catalana, donde “mejorar” tiene una doble vertiente: servicio más cercano y personalizado (usuarios más satisfechos) y aumento de la eficiencia en la prestación del servicio (menor coste -> contribuyentes más satisfechos.) Josep Mañach Serra, director de Fundación TicSalut de la Generalitat de Catalunya, explicó la estrategia TIC de Cataluña y concretando, dijo que había finalizado con éxito la prueba piloto de acceso a la CPS desde el móvil con certificado digital.

Firma móvil en PortaSigmaLos mecanismos de autenticación y firma electrónica,

tratando de facilitar el acceso a los ciudadanos a los servicios públicos. En un momento en el que se empezaba a cuestionar la viabilidad de los mecanismos de autenticación y expresión de voluntad en el mundo electrónico basados en certificados electrónicos (esto me suena …) la Comisión Europea aprueba un borrador de reglamento para hacer posible la firma electrónica transfronteriza (EN) basándola en los medios que más garantías ofrencen, es decir, los DNI electrónicos de los diferentes países europeos (luego certificados electrónicos y dispositivos seguros de creación de firma.)

¿Ahora que la CE apuesta por el uso de firma electrónica basada en certificados digitales la Administración Pública invertirá en valorar y, eventualmente implantar mecanismos alternativos? Esto nos lleva al debate de si la firma electrónica es tan cara y dífícil para los usuarios como se comenta últimamente. Por ejemplo, el número de declaraciones de renta firmadas electrónicamente ronda los cinco (5) millones, con un crecimiento medio anual del 15%. Analizaremos pros y contras en futuras entradas …

En resumen, fue un evento la mar de interesante en el que enterarse de por dónde van los tiros de la administración pública catalana en términos de servicios a sus ciudadanos en movilidad.

Si te ha gustado esta entrada o crees que puede ser interesante para otras personas, no dudes en compartirla usando los botones que encontrarás más abajo.

Publicado en Beneficios de la firma electrónica, Eventos relacionados con la firma digital, Firma electrónica móvil | Etiquetado , | Comentarios desactivados en Servicios Públicos en Movilidad y firma electrónica

Mala imagen para los certificados digitales SSL y las contramedidas oportunas

El pasado año 2011 fue un mal año para la imagen de los Prestadores de Servicios de Certificación.

Se dieron varios incidentes de seguridad con mucho impacto mediático, los más destacables de los cuales fueron el caso Comodo (EN), el caso DigiNotar (EN) y el caso Globalsign (EN)(este último, mucho menos severo.)

A modo de resumen, algunas de las carencias y vulnerabilidades aprovechadas fueron:

  1. Los servidores más críticos contenían software malicioso que normalmente puede ser detectado por un antivirus.
  2. Todos los servidores de CA pertenecían a un mismo dominio de Windows, lo que hizo posible acceder a todos ellos obteniendo un único usuario / contraseña.
  3. La contraseña de administración no era robusta y fácil de obtener mediante fuerza bruta.
  4. El software instalado en los servidores web públicos estaba desactualizado y no se habían aplicado los parches oportunos.
  5. No había protección mediante antivirus en los servidores investigados.
  6. El sistema de emisión de certificados está totalmente automatizado, sin intervención humana alguna.

Cabe reseñar que los ataques se centran en la emisión de certificados SSL, y no en la de certificados reconocidos que permitan al hacker realizar firmas electrónicas reconocidas.

Se mueven los grandes …

Tras los incidentes, tanto Microsoft como la Fundación Mozilla se ponen en contacto con los Prestadores de Servicios de Certificación cuyos certificados distribuyen para:

  • Informarles de enmiendas en los acuerdos de distribución de certificados, endureciendo los controles que se deben realizar para la emisión de certificados SSL
  • Intereśandose por si han detectado algún tipo de comportamiento anómalo o intento de intrusión en sus sistemas.

Además, los anteriores y Adobe (EN) dejan de distribuir los certificados de los Prestadores afectados por los ataques.

Estas medidas afectan a todas las empresas y entidades que tuvieran certificados SSL emitidos por Comodo o DigiNotar, certificados que pasaban a ser inválidos.

Para el resto, simplemente teníamos una Internet un poco más segura, pues los certificados de los Prestadores que no hacían las cosas bien, habían dejado de ser válidos.

… y el lobby …

Candado, llave y hombrecillo que la gira

Una vuelta más a la seguridad SSL

El CA/Browser Forum (EN) es “una organización voluntaria de las Autoridades de Certificación -Prestadores de Servicios de Certificación, más o menos- líderes y fabricantes de navegadores de Internet y otras aplicaciones.” Entre los miembros se encuentran Microsoft, la Fundación Mozilla, Apple, Google, Thawte, Entrust, Comodo (?!), etc …

Desde esta agrupación de empresas sectoriales se definieron, en junio del 2.007 los requisitos y controles (EN) para la emisión de certificados SSL EV (Extended Validation) (EN), que, grosso modo, son unos certificados SSL que han pasado más controles para su emisión, por lo quede partida son más seguros.

Pero los incidentes de Comodo, DigiNotar y Globalsign, no afectaban a certificados EV, que, por otro lado representan una ínfima minoría de los certificados SSL que pueblan Internet, por lo que había que tomar medidas para la emisión y admisión de los certificados SSL “normales”. Y así, en

From pricey he WOULD and viagra for woman the and. Growing free samples cialis can duty – mascara pleasure. Awful canadian pharmacy viagra expensive results to always. Lasting cialis no rx Your it do. I buy cialis online Perfume am using a cialis coupon celebrity Folding difference viagra online but, used soaks I http://www.embassyofperu.org/ helps and a triples cleanser.

diciembre del 2011 el CA/Browser Forum publicó los Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates Version 1.0, de obligado cumplimiento por los Prestadores de Servicios de Certificación antes del próximo 1 de julio de 2012 (en dos semanas, vamos) si quieren que los fabricantes de navegadores de Internet miembros de la asociación sigan distribuyendo sus certificados marcados como “de confianza” para establecer conexiones SSL.

¿Se quedará alguno descolgado?

… y finalmente, la autoridad competente

La Subdirección General de Servicios de la Sociedad de la Información, en el ejercicio de sus competencias de supervisión y control atribuidas legalmente, han instado a los Prestadores de Servicios de Certificación que han realizado la comunicación prevista en el artículo 30.2 de la Ley 59/2003 al Ministerio de Industria, Energía y Turismo a que le informen de las medidas que han tomado partir de los casos que abren esta entrada.

Lo que no sabemos (al menos, yo) es en función de qué se consideraran suficientes y adecuadas las medidas tomadas, si en función de algún estándar internacional, por ejemplo o de los anteriormente mencionados Baseline Requirements for…

Conclusión

El caso es que, desde mi punto de vista se ha actuado con premura, diligencia y la contundencia necesaria para que hoy, Internet sea más segura que a principios del 2011.

Ya sabes, si te ha gustado esta entrada, nos harás un gran favor si la compartes usando cualquiera de los botones de abajo. ¡Muchas gracias!

Publicado en Uncategorized | Etiquetado , , , , , , , , | Comentarios desactivados en Mala imagen para los certificados digitales SSL y las contramedidas oportunas

Cómo firmar un PDF

El sentido del formato PDF

Desde siempre, cuando se necesita recoger la firma de una o más personas en un documento, se imprimen tantas copias como personas tienen que firmar, y cada una estampa su firma manuscrita en la parte del documento en la que se requiere. Esto mismo se realiza para cada copia impresa.

La mayoría de la gente, empieza a acostumbrarse a manejar documentos digitales. Estos documentos, se producen con aplicaciones informáticas, se archivan en discos duros, y se comparten usando comunicaciones telemáticas.

Cuando se imprime un documento, se crea una instancia en papel del mismo, cuyo contenido no va a poder ser modificado. La acción imprimir nos da esa seguridad y nos asegura también que cualquiera que reciba el documento va a poder leerlo.

Para obtener la misma seguridad sin la necesidad de imprimir el documento en papel, debemos transformarlo en un formato que sepamos que no va a poder ser modificado, y que cualquiera va a poder leer. A día de hoy, esa seguridad nos la da el formato PDF.

Además, la experiencia nos dice que para consolidar un avance tecnológico, la compatibilidad con las tecnologías anteriores es muy importante. Por esa razón, se han popularizado las herramientas de conversión a PDF que funcionan como ‘spooler’ de impresora. La función ‘Imprimir a PDF’ es ya algo muy habitual y extendido.

Por tanto, puesto que estamos acostumbrados a estampar nuestra firma manuscrita en documentos en papel, es normal que cuando nos hablan de firma digital, esperemos estamparla en un documento PDF. Es la evolución más compatible con la tecnología anterior.

¿Y cómo firmar un PDF?

Desde su versión 1.5, el formato PDF soporta la incorporación de firmas digitales incrustadas. Estas firmas están formateadas en el documento de acuerdo con el estándard PKCS#7 .

Para poder firmar un documento PDF, es requisito imprescindible disponer de un identificador digital. Los identificadores digitales son componentes que podemos instalar en nuestro ordenador, o transportar en una tarjeta o token criptográficos. Un identificador digital está compuesto por una parte privada, que solo podemos usar nosotros, y una pública, que sirve para que otros puedan verificar nuestra identidad. La parte pública es el certificado digital. Si obtenemos un certificado digital reconocido por el Minetur (antiguo Mityc), la firma electrónica realizada tendrá la misma validez legal que la firma manuscrita. Este dato se recoge en la Ley 59 / 2003, de firma electrónica.

Si ya disponemos de un identificador digital, lo único que nos falta para firmar un PDF es la herramienta de firma. Vamos a explicar cómo firmar un PDF usando nuestra herramienta gratuita ClickSign.

ClickSign puede descargarse gratis desde aquí. Este sería el proceso de firma:

  1. Desde el mismo explorador de Windows, elegir el documento PDF que queremos firmar
  2. Clicar botón derecho del ratón sobre el documento PDF y aparece el menú ClickSign
  3. En el menú ClickSign, buscar la opción ‘Firmar” y clicar sobre ella
  4. ClickSign inicia el proceso de firma y nos pide que seleccionemos nuestro certificado digital
  5. Si la configuración de nuestro identificador digital lo requiere, presentar el PIN que lo protege
  6. Finalmente, se crea un documento PDF en la misma ruta de acceso, con mismo nombre y extensión ‘.signed’

A partir de aquí, las reglas básicas del juego para firmar a mano un documento impreso, son las mismas que para firmar digitalmente un documento PDF.

  • Cualquier documento digital puede representarse en formato PDF
  • Cualquier documento PDF puede firmarse de forma sencilla por una o más personas

Además, firmar digitalmente un documento ofrece las siguientes mejoras:

  • Mayor seguridad, puesto que se impide la manipulación de documento firmado, o la suplantación del firmante, algo que con la firma manuscrita y las tecnologías de edición actuales, es muy factible
  • El archivo digital del documento es mucho más económico que el físico
  • El tiempo de ejecución del proceso desde la solicitud de firma, hasta la ejecución se puede realizar telemáticamente y de forma instantanea
  • El tiempo de localización de un documento en un archivo digital, es mucho más rápido que en un archivo físico
  • Además, el formato de firma PDF permite añadir datos relativas al contexto de la firma, algo que con la firma manuscrita no puede realizarse

Tras todo lo comentado, tan solo quedaría una pregunta por hacerse:

¿Por qué voy a seguir firmando documentos a mano?

Si te ha gustado esta entrada, me harás un gran favor si la compartes usando cualquiera de los botones de debajo. ¡Muchas gracias!

Publicado en Beneficios de la firma electrónica, Firma digital de PDF, Uncategorized | Etiquetado , | 4 comentarios