All Posts By

Pamela Molero

Blockchain keeps growing in Spain

By AMETIC, BlockchainNo Comments

As stated in a recent study published by AMETIC, blockchain and related investments in Spain will reach 2020 a volume near 103,5 million dollars, and that trend will be maintained through 2023, growing at a rate of 53% until it will amount to 378 million dollars.

The financial sector will be the leader investing in blockchain projects, while the industrial sector will be where the major players, playing a major role in applying the technology.

According to the study, nowadays in Spain, one of every ten companies uses blockchain in some of their projects or products, and the best-regarded features of the technology are the security in the transactions (when correctly used and maintain) and the possibility to use it in strong digital identity verification.

Finally, 41% of the companies not using blockchain technology in any project nor product states that they do not know how blockchain technology can make any difference in their activity. Another 32% states that even knowing the technology, implementing it would clash with their current operations.

A little bit about the ISO 27001 standard

By Sin categoríaNo Comments

Si hablamos de normativas fundamentales en nuestra labor digital, la ISO 27001 es el eje central. Su objetivo es proteger la confidencialidad, integridad y disponibilidad de la información en una empresa. Este tipo de actividad se realiza mediante la investigación de cuáles son los potenciales problemas que podrían afectar a la información, es decir, una evaluación de riesgos. 

Por otra parte define en fondo y forma que elementos son necesarios para evitar que estos problemas se produzcan.

Esta norma puede ser implementada en cualquier tipo de organización ya que proporciona una metodología de cara a implementar una gestión de la seguridad de la información en una organización. Una vez solventado ese camino, permite que una empresa sea certificada por una entidad de certificación como la nuestra, confirmando así su seguridad en lo que a información se refiere.

Por tanto, podemos definir que la norma ISO 27001 basa su funcionamiento principal en  gestionar riesgos, investigar su procedencia y ser tratados de forma adecuada.

TCAB, además de evaluar servicios de confianza cualificados (de acuerdo al Reglamento eIDAS), ofrece servicios de certificación de soluciones de identificación remota mediante vídeo, firma electrónica avanzada no basada en certificados electrónicos (como es la biométrica) y digitalización certificada.

Electronic notices and registered e-mail are essential in long-distance relationships.

By #eIdAS, Auditoría, Conformity Assessment, Conformity Assessment Body, electronic delivery, Electronic Trust Services, Entrega certificada, notificacionesNo Comments

As streets, businesses, and public buildings emptied, other places took center stage. Electronic notifications were already doing so, but they are another of the protagonists of this period of State of Alarm due to the COVID-19 pandemic.

An electronic system of notifications allows any type of natural or legal person to receive the different notices and documents that the Public Administrations have issued in digital format.

The Tax Agency, the Directorate General of Traffic, and the Social Security are the main issuing bodies of this type of notification that allow public entities to make significant savings in terms of messaging and users to save travel time as they no longer have to be present when the notification is delivered.

The private sector has also developed reliable notification systems, which can now be adapted to the requirements of EU Regulation 910/2014 (EIDAS) and can thus be converted into certified delivery systems. This is provided for in Articles 43 and 44 of the EIDAS Regulation:

Article 43 – Legal effect of an electronic registered delivery service

1.   Data sent and received using an electronic registered delivery service shall not be denied legal effect and admissibility as evidence in legal proceedings solely on the grounds that it is in an electronic form or that it does not meet the requirements of the qualified electronic registered delivery service.

2.   Data sent and received using a qualified electronic registered delivery service shall enjoy the presumption of the integrity of the data, the sending of that data by the identified sender, its receipt by the identified addressee and the accuracy of the date and time of sending and receipt indicated by the qualified electronic registered delivery service.

Article 44 – Requirements for qualified electronic registered delivery services

1.   Qualified electronic registered delivery services shall meet the following requirements:

(a)

they are provided by one or more qualified trust service provider(s);

(b)

they ensure with a high level of confidence the identification of the sender;

(c)

they ensure the identification of the addressee before the delivery of the data;

(d)

the sending and receiving of data is secured by an advanced electronic signature or an advanced electronic seal of a qualified trust service provider in such a manner as to preclude the possibility of the data being changed undetectably;

(e)

any change of the data needed for the purpose of sending or receiving the data is clearly indicated to the sender and addressee of the data;

(f)

the date and time of sending, receiving and any change of data are indicated by a qualified electronic time stamp.

In the event of the data being transferred between two or more qualified trust service providers, the requirements in points (a) to (f) shall apply to all the qualified trust service providers.

2.   The Commission may, by means of implementing acts, establish reference numbers of standards for processes for sending and receiving data. Compliance with the requirements laid down in paragraph 1 shall be presumed where the process for sending and receiving data meets those standards. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 48(2).

Although the Commission has not published standards that provide a presumption of compliance, ETSI has published the following evaluation standards:

  • EN 319 521 – Policy & security requirements for electronic registered delivery service providers
  • EN 319 531 – Policy & security requirements for registered electronic mail (REM) service providers

At TCAB, we are in a position to assess trustworthy registered electronic delivery service providers. according to EIDAS and ETS Standards. Call us at +34 91 388 0789 to clarify your doubts.

 

Electronic or digital signature and seal

By #eIdAS, Advanced Signature, Electronic Certificates, electronic delivery, EN 319 412, Firma cualificada, Qualified Seal, Qualified Signature, Secure Signature Creation Devices, Sello cualificadoNo Comments

Electronic signatures and electronic seals are cryptographic operations that associate a document (the signed or sealed document) with the identity of a natural or legal person.

Both operations are technically similar. Their main difference is that the electronic signature is associated with a natural person and the electronic seal is associated with a legal person.

When the electronic signature is carried out with an electronic certificate and its associated private key, there can be different variants:

  • Advanced Signature. There are no special requirements regarding the certificate.
  • Semi-qualified Signature. The certificate must be qualified. That is to say, it must contain the OID “id-etsi-qcs-QcCompliance” 0.4.0.1862.1.1 qcs-QcCompliance(1)
  • Qualified Signature. The certificate must be qualified and based on a qualified device. I.e. it must contain the OID “id-etsi-qcs-QcCompliance” 0.4.0.1862.1.1 qcs-QcCompliance(1) and the OID “id-etsi-qcs-QcSSCD” 0.4.0.1862.1.4 qcs-QcCompliance(4).

Similarly, when the electronic seal is performed with an electronic certificate and its associated private key, the same variants may occur:

  • Advanced Seal. There are no special requirements regarding the certificate.
  • Semi-qualified Seal. The certificate must be qualified. I.e. it must contain the OID “id-etsi-qcs-QcCompliance” 0.4.0.1862.1.1 qcs-QcCompliance(1)
  • Qualified Seal. The certificate must be qualified and based on a qualified device. i.e. it must contain the OID “id-etsi-qcs-QcCompliance” 0.4.0.1862.1.1 qcs-QcCompliance(1) and the OID “id-etsi-qcs-QcSSCD” 0.4.0.1862.1.4 qcs-QcCompliance(4)

Further technical details can be found in ETSI standard EN 319 412-5.

Biometric signature in e-learning

By Biometric signature, Firma biométricaNo Comments

Once again, the health crisis we are experiencing as a result of the COVID-19 pandemic has led to major changes and increased adoption of digital transformation processes.

In the context of the closure of schools, institutes, universities, academies and business schools, online training or e-learning has been promoted so that students of all ages and areas can continue their studies.

In employment training, the Resolution of 15 April 2020, of the State Public Employment Service, has been published, establishing, in its area of management, extraordinary measures to address the impact of COVID-19 in terms of vocational training for employment in the workplace.

Articles 8 and 9 of the Resolution establishes:

Article 8. Digitalised or biometric signature.

For the purposes of the provisions of this resolution, in face-to-face training, the electronic signature of the persons responsible for training, trainers and students is permitted by means of digitalised signature capture or with biometric data in any of the documents that require their signature, which must be associated with the corresponding N.I.F. or N.I.E. (National Identity Number).

The digitalised signature capture system must in all cases guarantee the authenticity of the data corresponding to the signature.

The use of electronic means to guarantee the attendance of the participants shall be permitted, provided that the identity of the signatories is duly verified and meets the requirements of legal security.

Article 9. Monitoring and control.

The following shall be taken into account in the monitoring and control actions carried out:

a) In the case of training whose learning process is carried out by means of a virtual classroom, the information and technical instruments necessary for the exercise of the monitoring and control actions of the training activity, both in real time and ex post, shall be provided at the request of the control bodies.

To this end, the necessary means must be made available to the control bodies that request it in order to be able to make the connection during the delivery of the training, with the aim of verifying the execution of the training activity and the fulfilment of the legally foreseen requirements. Likewise, the technical system used shall be able to generate activity records available to the control bodies, in order to check, after the end of the training, the detailed connection times of each participant and to allow identification of the participants.

b) During the monitoring actions, in order to document them, the control bodies may request the signatures of the persons responsible for training, trainers and trainees, on the data collection documents, by means of a digitalised signature capture with biometric data, in accordance with the provisions of article 8.

TCAB can audit biometric signature systems to guarantee their suitability. Call us on +34 91 388 0789 if you sell biometric signature systems and need to demonstrate that the digitalized signature capture system guarantees in any case the authenticity of the data corresponding to it.

La firma electrónica reina en confinamiento por COVID19

By Sin categoríaNo Comments

Sorry, this entry is only available in European Spanish. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language.

Las nuevas tecnologías han disparado su protagonismo en este periodo de cuarentena vivido por la crisis sanitaria del COVID19. Después de años ad

aptando muchos elementos de nuestra vida a estos avances, quien realmente ha visto cómo se situaba en la cumbre del auge es la firma electrónica.

Y es que se ha convertido en el salvavidas de muchas empresas que no han parado su actividad con actividades de teletrabajo y que gracias a ella ha cumplido con la documentación administrativa diaria de forma correcta.

Esta firma nos permite firmar cualquier documentación vía telemática, en tiempo real y con una validez legal total. Contratos, nóminas, acuerdos, ventas…son muchas las actividades que nos permite llevar a cabo durante este periodo tan complicado para muchas empresas y actividades comerciales.

Quizás este impacto del COVID19 deje a la firma electrónica totalmente asentada ya en muchos escenarios en los que el distanciamiento social va a derivar toda la responsabilidad documental y legal a una firma telemática.

A título individual también podemos aplicar la misma reflexión, numerosos contratos laborales, ventas seguras o alquileres quizás vivan una nueva etapa en nuestra “nueva normalidad”.

En TCAB ofrecemos servicios de certificación para firma electrónica biométrica, digitalización certificada, ISO 27001 y EN 319 411.

La directiva PSD2 y su impacto en los pagos de la actualidad.

By Sin categoríaNo Comments

Sorry, this entry is only available in European Spanish. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language.

Desde el pasado 14 de septiembre de 2019, la forma en la que compramos en internet ha cambiado gracias a la entrada en vigor en Españ de la normativa europea PSD2, que promete reforzar la seguridad en los pagos electrónicos y la entrada de nuevos operadores en el comercio online. Sustituye a la regulación anterior (PSD) de 2007.

Las entidades financieras son las que más han sentido el cambio por el open banking (banco abierto), que les obliga a dar acceso a las cuentas de sus clientes a terceras empresas buscando homogeneizar las condiciones en las que operan todos los proveedores de servicios de pago (TTPS, por sus siglas en inglés).

Para los usuarios, con la PSD2 autorizamos al comercio para que ejecute pagos en nuestro nombre a través de la cuenta bancaria. Así, el comercio y el banco se comunicarán ahora a través del móvil con un aplicación de tipo API que garantiza la protección de nuestros datos bancarios mediante un sistema de autenticación reforzada que pretende evitar operaciones fraudulentas.

Seguridad web y estafas en tiempos de confinamiento

By Sin categoríaNo Comments

Con motivo del Estado de alarma, la actividad de compras por internet se ha disparado y con ella, también, las estafas de numerosos sitios web. Es por esto que la seguridad en Internet se ha convertido en una prioridad.

SSL/TLS y HTTPS son los estándares de seguridad que hoy se utilizan para asegurar la transferencia y la gestión de la información.

Cuando hablamos de las siglas SSL (Secure Socket Layers) nos referimos a la tecnología que se utiliza para cifrar y verificar el tráfico de datos en Internet. En lo que a las páginas web se refiere este protocolo asegura la comunicación entre el navegador y el servidor web. En estos aspectos, toma especial relevancia su uso en el eCommerce así como la banca online, donde el manejo de datos sensibles al igual que confidenciales no puede llevarse a cabo sin implementar un certificado SSL o TSL (Transport Layer Security), su sucesor.

El certificado SSL/TLS es capaz de garantizar que la comunicación no se podrá leer ni manipular así como que la información personal y más sensible no caerá en las manos equivocadas.

El voto electrónico y su auditoría

By Sin categoríaNo Comments
Vote Now Election Polling Political Concept

La Orden ICT/140/2019, de 14 de febrero, por la  que se regulan las condiciones para el ejercicio del voto electrónico en  el proceso electoral para la renovación de los plenos de las Cámaras Oficiales de Comercio, Industria, Servicios y Navegación prevé el despliegue de sistemas de voto electrónico que deberán ser auditables y auditados.

El sistema de voto electrónico deberá contar con un régimen de auditoría y verificación totalmente independientes que permita examinar los procesos utilizados para reunir y contar los votos y recontar los mismos, a fin de confirmar la exactitud de los resultados.

Además debe como mínimo permitir que los observadores independientes puedan supervisar las elecciones sin revelar el posible resultado o conteo final así como detectar posibles fraudes y dar garantías de la autenticidad de votos.TCAB es una entidad de evaluación de conformidad pionera en prestar servicios de auditoría de plataformas de voto electrónico. Contáctenos para solicitar la realización de auditorías previas de plataformas de voto electrónico y para asistir en los procesos electorales que hagan uso de este tipo de plataformas.

La PKI a fondo

By Sin categoríaNo Comments

Sin duda podemos decir que el método de cifrado más común es posiblemente el cifrado de clave pública. Con esto, el conjunto de soluciones técnicas basadas en este método se llama infraestructura de clave pública (PKI).

La función de este conjunto de soluciones no es otra que proporcionar certificados digitales los cuales permiten llevar adelante operaciones criptográficas como el cifrado y la firma electrónica. Todas estas operaciones permiten una garantía en la confidencialidad y autenticación en las transacciones electrónicas.

Un método como el de cifrado con clave pública permite el acceso a todos los miembros de una organización. Por un lado posibilita la transmisión de los mensajes de forma confidencial a su único propietario y por otro autenticar los mensajes que han sido emitidos por el dueño.

Por lo tanto esta infraestructura ofrece a sus usuarios un alto nivel de protección de la privacidad así como control de acceso a la información, la integridad, la autenticación y el no repudio durante las transacciones electrónicas.