1 tecnología y mercados de valores cifrado y firma electrónica: la implantación en españa celia...

1

Tecnología y Mercados de ValoresTecnología y Mercados de Valores

Cifrado y Firma Electrónica: la Cifrado y Firma Electrónica: la Implantación en EspañaImplantación en España

Celia Tenés García

Dirección General del Tesoro y Política Financiera

2

Indice

ENTORNO TECNÓLÓGICO ENTIDADES DE CERTIFICACIÓN ESPAÑOLAS MARCO JURÍDICO APLICACIÓN DE LA FIRMA ELECTRÓNICA INICIATIVAS ACTUALES

3

Entorno Tecnológico

Comunicación: puntos débiles

Línea: lectura/modific.

Extremo 2: suplantación

Extremo 1: suplantación

Cifrado: datos ininteligibles

4$%&32!”·$%%&

Firma electrónica: solo

un poseedor

Clave privada

Firma electrónica: solo

un poseedor

Clave privada

Claves públicas E1 y E2

4

Entorno Tecnológico Firma electrónica Firma manuscrita

formato electrónico formato papel asociado a datos electrónicos asociada a datos en papel autenticación autenticidad

Protocolos: SSL, X.509, S/MIME

Clave privada

Clave pública

cifrado

Clave pública

firmado

Clave privada

$%&/

$”/() $%&/

$”/() $%&/

$”/()

Texto cifrado

Texto en claro

Texto originalFirma digital del documento

154782

248759

5


Certificado digital Una o más parejas de claves que autentican la relación de una clave pública con un

participante objetivos

• garantizar la identidad de una persona cuando actúa a través de una red y no hay presencia física características

• emisor del certificado

• receptor

• fecha emisión

• caducidad

• fin para el que se genera el certificado soporte

• disco duro

• diskette

• tarjeta inteligente

• tarjeta inteligente con características biométricas

6


Entidad de certificación: organización que expide el certificado Política de certificación

• definición del tipo de certificados: personales, empresa, …• distribución del certificado: mano, correo, sw..• gestión interna: entorno tecnológico, almacenamiento, acceso• revocación: caducidad, anulación,..• conservación de los certificados: forma y tiempo• procedimientos de renovación: personal, sw,...• acuerdos con otras CA

Entidad de registro: recoge la solicitud Política de registro

• forma de solicitud• presencia física• horarios

7


Requerimientos técnicos para la emisión del certificado Sw RA: recoger datos personales y generar la petición en el sistema informático: ftp,

Internet, etc. Sw CA: gestión de los certificados: librerías claves, caducidad, renovación, etc. Sw API con las aplicaciones que harán uso de los certificados

Alternativas Misma organización Organizaciones separadas

• delegación del registro• delegación de la certificación• delegación de la gestión de los SI

Combinaciones de ambas

Cómo Adquisición a externos <-> Desarrollo propio

8

InternetFireWall

Navegadorsw certificaciónLectorTarjeta i.

Servidor web

Servidor CA-RA

Servidores aplicaciones y BD

Entorno tecnológico

Infraestructura

9

Entidades de Certificación Españolas

Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda y Correos y Telégrafos: proyecto CERES

RD 1290/1999 de 23 de Julio desarrolla la Ley 66/1997 artículo 81 RDL 14/1999 de 17 de septiembre sobre firma electrónica Ley 55/99 de 29 de diciembre sobre medidas fiscales, administrativas y del orden

social. Artículo 51.• Establecer una entidad pública de certificación que permita autentificar y garantizar la

confidencialidad de las comunicaciones entre los ciudadanos y la Administración Pública a través de las redes abiertas de comunicaciones. Para OOPP con medios de comunicación electrónicos o telemáticos

Registro: Correos y Telégrafos CA FNMT-RCM : totalmente operativa Desarrollo: “time-stamping”

www.cert.fnmt.es

10

ADMINISTRACIÓN PÚBLICA

PIN

tarjeta

UNIDAD DE REGISTRO

Cobertura legal: Real Decreto-Ley 14/1999, de 17 de diciembre, sobre firma electrónica. El artículo 3.1 de este texto legal afirma que “la firma electrónica avanzada, siempre que esté basada en un certificado reconocido y que haya sido producida por un dispositivo seguro de creación de firma tendrá, respecto de los datos consignados en forma electrónica, el mismo valor jurídico que la firma manuscrita en relación con los consignados en papel y será admisible como prueba en juicio…”

UNIDAD DE CERTIFICACIÓN

FNMT

Entidades de Certificación Españolas. CERES

11


ACE Creada en Mayo-97

– Telefónica 40%– CECA 20%– 4B 20%– Sermepa 20%

• www.ace.es

FESTE Fundación para el Estudio de la Seguridad de las Telecomunicaciones

– Consejo General del Notariado de España– Consejo General de los Colegios Corredores de Comercio de España– Universidad de Zaragoza– Intercomputer SA

• www.feste.org

12


Colegio de Registradores Mercantiles y de la Propiedad– Acuerdo con FNMT-RCM

– Para usuarios en representación de una empresa

– Conexión de la CA con los Registros

– Operaciones referentes a los Registros de forma remota

Camerfirma– servicio de certificación digital de las Cámaras de Comercio

– promoción comercio en general, incluido e-c

– solo empresas: valor añadido

– tarjeta física

– RA: Cámaras 85 Cámaras y 150 puntos de atención

– CA: Consejo Superior de Cámaras

– 2 tipos certificados: con poderes y sin poderes

– certificados de servidor seguro

– 3 fase: fines enero; fines marzo resto 2000

– acuerdos internacionales

– www.camerfirma.es

13

Marco Jurídico

Real Decreto-Ley 14/1999, de 17 de septiembre, sobre firma electrónica

firma electrónica avanzada -> mismo valor jurídico que la firma manuscrita firma electrónica no avanzada -> no se le negarán efectos no será excluida

como prueba en juicio Distinción: en base al soporte: tarjeta inteligente claves + algoritmo registro de prestadores de servicios validez 4 años garantías

Directiva 1999/93/CE del Parlamento Europeo y del Consejo de 13 de diciembre de 1999 por la que se establece un marco comunitario para la firma electrónica

14

Marco jurídico

Real Decreto-Ley 14/1999, de 17 de septiembre, sobre firma electrónica Artículo 2.b.- firma electrónica avanzada. Es la firma electrónica que permite la

identificación del signatario y ha sido creada por medios que éste mantienen bajo su exclusivo control, de manera que está vinculada únicamente al mismo y a los datos a los que se refiere, lo que permite que sea detectable cualquier modificación de estos

Artículo 2.f.- dispositivo seguro de creación de firma. Artículo 19.exige:

• 1. que los datos puedan producirse solo una vez y que se asegure razonablemente su secreto

• 2. seguridad razonable de que dichos datos no pueden ser derivados de los de verificación de firma

• 3. los datos de la firma puedan ser razonablemente protegidos por el signatario

• 4. el dispositivo no altere los datos o el documento a firmar ni impida que el documento se muestre al signatario

15

Marco Jurídico

Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal

RD 994/1999 de 11 de junio por el que se aprueba el reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal

artículo 4• nivel básico: datos carácter personal• nivel medio: c p + infracciones adtvas., penales, Hac. Pública, etc.• nivel alto: ideología, creencias, origen racial, etc.• básico + medio: identificación y autentificación de usuario con acceso a

los ficheros• alto: además, cifrado de datos en transmisión telemática

16

Marco Jurídico

Orden de 21 de Febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica

Solicitud a la Secretaría General de Comunicaciones. Ministerio de Fomento

Solicitud a la entidad de evaluación de informe preceptivo• Entidad Nacional de Acreditación autoriza a las entidades de evaluación

6 meses con silencio positivo La entidad de certificación está obligada a mantener en todo momento el

nivel de seguridad por el que obtuvo el certificado 4 años exige renovación con nuevo informe ent. ev. Extinción: fin plazo, renuncia, cese actividad CA

17

Marco Jurídico

Real decreto 1906/1999, de 17 de diciembre, por el que se regula la contratación telefónica o electrónica con condiciones generales en desarrollo del artículo 5.3 de la Ley 7/1998, de 13 de abril, de condiciones generales de contratación.

18

Aplicación de la firma electrónica

Objetivos de negocio: siempre presentes mejora competitividad frente a competidores aumenta el servicio ofrecido a clientes: plazos y calidad disminuye costes mejora los intercambios business-to-business: intercambios normalizados de

documentos con proveedores o entidades financieras aprovecha conexiones tecnológicas existentes operativas: integración instantánea en aplicaciones contables, financieras, etc.

Objetivos de seguridad esencial en el e-commerce mercado avanza hacia entornos más seguros problema: confianza de los clientes, freno avance protección de movimientos de capitales elevados por la red

19


Características seguridad: razones para cifrar y firmar Autentificación o identificación: clave privada Integridad: firma con clave privada Confidencialidad: cifrado No repudio: garantiza la identidad

Usuario + clave: insuficiente no

identifican plenamente al usuario

Certificado y firma electrónica

Incorporación caract. biométricas

20


Areas pedidos: ahorro 10%-50% gestión; 50%-95% tiempo procesos almacén: 25% costes de almacenaje distribución: 50% costes distribución hasta el 90% sw por la red gestión interna: 60% inversión en inmovilizado AAPP: tasas, impuestos, certificados, notas oficiales, renovación de documentos, correo

oficial, expedientes,... seguridad en Intranet e-mail seguro: identidad en integridad, confidencialidad transacciones comerciales: firma y cifrado de contratos on-line

• empresa-cliente• empresa-empresa

protección de ficheros: cifrado y firma firma de sw para distribución autenticación servidores web

21

Iniciativas actuales

Informaket• Generalitat Valenciana + Consejo Superior Cámaras de Comercio valencianas• dirigido a empresas para e-comerce o e-business to business• servidor e-mail seguro• transacciones electrónicas• telefinanzas• tarjeta inteligente• www.informaket.org

ADRIANO• securización de procesos judiciales• jueces y secretarios de juzgado• intercambio de información entre juzgados con la máxima seguridad• jueces y secretarios: firman doc judiciales; cifran doc. confidenciales

22

Iniciativas actuales

Banca Gran número ofrecen Banca on-line: Banesto, Bankinter, BBA,... Banco Sabadell: InfoBancNet

• banca virtual para empresas• realización de transacciones entre empresas en Internet• servicios de Banca:

– consulta de saldo

– movimientos, transferencias en tiempo real

– líneas de descuento

– créditos, financiación, etc.

– compra/venta de Bolsa y fondos de inversión y pensiones

• certificado X.509 + tarjeta• www.bancsabadell.com/empresa• solicita en las oficinas BS: entrega tarjeta y contrato

23

Iniciativas actuales CERES

AYUNTAMIENTOS• Ayuntamiento de Sabadell: Pago del padrón de vehículo y vados,

conjuntamente con el Banco de Sabadell.

• Ayuntamiento de Gijón: Remisión de escritos o solicitudes para registro de entrada. Correo electrónico, interno y externo. Solicitud de volantes/certificados del Padrón de Habitantes.

COMUNIDADES AUTÓNOMAS• Xunta de Galicia: Tramitación de expedientes de casas regionales para

petición de subvenciones. Licencias de caza y pesca. Tramitación de los partes de accidentes que remiten las mutuas patronales. Consulta on-line de las empresas que colaboran con la Xunta para ver su situación en el registro.

• Gobierno Canario: Solicitud de licencias de explotación de máquinas recreativas a través de Web.

24


DIPUTACIONES PROVINCIALES• Diputación de A Coruña: Acceso seguro al Registro Oficial de

documentación de Contratistas. Mensajería electrónica segura.

MINISTERIOS• Ministerio de Economía y Hacienda: • Agencia Tributaria para declaración de la renta a través de Internet. Solicitado

certificados y presentado declaraciones desde todos los puntos de España, y los más diversos colectivos.– 1999 se solicitaron más de 30.000 certificados

– se utilizaron de forma efectiva más de 15.000,

– entregándose más de 21.000 declaraciones

– Abril-Mayo1999 más de 140.000 accesos a la página web que la FNMT-RCM para obtener el certificado necesario para la entrega de la declaración, contestándose más de 2.200 correos electrónicos.

25


MINISTERIOS

• Ministerio de Economía y Hacienda:

• Dirección General del Tesoro: Compra/Venta de Deuda Pública a través de la web.

• Ministerio de Industria y Energía: Securización del correo electrónico y web para la relación con los proveedores.

• Oficina Española de Patentes y Marcas: Presentación electrónica de órdenes de pago. Securización del acceso al registro de usuarios de la OEPM.

26

Tecnología y Mercados de ValoresTecnología y Mercados de Valores

Cifrado y Firma Electrónica: la Cifrado y Firma Electrónica: la Implantación en EspañaImplantación en España

Celia Tenés García

Dirección General del Tesoro y Política Financiera

1 tecnología y mercados de valores cifrado y firma electrónica: la implantación en españa celia...

Documents