cerrar-sesion editar-perfil marker video calendario monitor periodico fax rss twitter facebook google-plus linkedin alarma circulo-derecha abajo derecha izquierda mover-vertical candado usuario email lupa exito mapa email2 telefono etiqueta

3002008080501. Entrevista Rodolfo Lomascolo, Director General de ipsCA

Escrito por Redacción en Entrevista
no hay comentarios Haz tu comentario
Imagen de logotipo de facebook Imagen de logotipo de Twitter Imagen de Logotipo de Google+ Imagen de logotipo de Linkedin

A?CA?mo introducir a los desarrolladores acerca de la importancia de los certificados digitales?A?Hay una base importante para ello?

Creo que no hace falta explicar los detalles acerca de los certificados digitales, asA� que no entraremos sobre el tema, que estA? relacionado principalmente con conceptos matemA?ticos. Partimos pues de la base de que los certificados digitales estA?n entre nosotros desde hace varios aA�os, y se estA?n utilizando, por ejemplo en las declaraciones de la Renta, relaciones con las administraciones pA?blicas, asA� como empresas que requieren de certificados para mA?ltiples operaciones, como comercio electrA?nico o telebanca.

Esto hace que haya una gran base instalada, a lo cual se ha sumado recientemente el despliegue masivo del DNI electrA?nico, el DNIe, que cuenta ya con mA?s de cuatro millones y llegarA? a mA?s de seis millones antes de final de aA�o. Como se aprecia, un elevado nA?mero que ofrece una base instalada realmente importante.

Y todo ello A?cA?mo afecta o en quA� se puede emplear para los desarrolladores? A?para quA� puede aprovecharse le tema de los certificados digitales?

Pues hay mA?ltiples campos. Fundamentalmente para resumir podemos indicar que el certificado digital ofrece ventajas en tres A?reas: AutentificaciA?n, Firma y Cifrado.

La autentificaciA?n es la caracterA�stica que asegura que, desde el punto de vista de un servidor, que estamos tratando con la persona adecuada. BA?sicamente se controla y comprueba que el usuario es quien dice ser.

((Todas las tecnologA�as Web actuales permiten utilizar mA?dulos que en lugar de pedirle al usuario un nombre y su contraseA�a, miran el certificado digital para autentificar a la persona))

Todas las tecnologA�as Web actuales, ya sean Java, .NET, PHP, Ruby, la que sea, permiten utilizar mA?dulos que en lugar de pedirle al usuario un nombre o identificador y su contraseA�a, miran el certificado digital para autentificar a la persona. De esta forma, si estamos seguros de que el certificado estA? en poder de ese usuario, y en este caso el DNI electrA?nico es un caso claro ya que no se presta a ninguna persona, tenemos la seguridad de que estamos tratando con el individuo adecuado.

Esto genera una gran diferencia con lo que estA?bamos haciendo hasta ahora, que era confiar en que un nombre de usuario y una contraseA�a identificaban A?nicamente a un usuario. Todos sabemos lo fA?cil que es compartir esa informaciA?n, que, a veces, incluso estA? escrita en un post-it junto al monitor del usuario. Con el certificado esto se evita, y cambiamos no solo la certeza en cuanto a la confianza sino la forma de lograrla. Gracias a las autoridades de certificaciA?n, como nosotros mismos (ipsCA), la FNMT, Camerfirma, Verisign y otros, la tarea de garantizar esa confianza se traspasa a otros, con lo que los usuarios, y las empresas, evitan el mantenimiento de costosas y complejas infraestructuras propias para ello.

Las empresas no deben mantener en sus sistemas los mecanismos de confianza, sino que se traspasan al usuario, que guarda su propio certificado digital, y a quien genera ese certificado, es decir a las autoridades de certificaciA?n. No hay que olvidar que con ello el usuario adquiere la responsabilidad de guardar conveniente ese certificado, para evitar un uso indebido, asA� como de avisar para invalidar ese certificado y evitar que alguien actA?e con A�l usurpando la identidad.

Ello tambiA�n nos lleva al concepto de autorA�a, que implica que los sitios donde nos autenticamos nos podrA?n exigir la oportuna responsabilidad sobre las operaciones que realizamos, ya que no podremos negar haber realizado dichas operaciones. Esto tiene gran importancia en operaciones como banca online, compras online, firmas de contratos, comprobaciA?n de cA?maras de seguridad on line. Es decir, todo lo que requiera en el mundo online de Internet estar seguros, con un nivel alto de certeza, de que la persona que estA? al otro lado es quien dice ser. En estos casos, el certificado digital es una buena herramienta que es fA?cilmente integrable con cualquier tipo de tecnologA�a o lenguaje de desarrollo.

A?Y quA� se puede decir de la propiedad o cualidad de firma, asociada al certificado digital?

En cuanto a la firma, que normalmente es el paso posterior, sirve para que no se pueda repudiar posteriormente una acciA?n realizada con el certificado digital. La firma se relaciona con herramientas que permiten verificar que un usuario, una vez autentificada, ha realizado una acciA?n voluntaria para dar su consentimiento a una operaciA?n. De nueva la tecnologA�a de firma es aplicable a todo tipo de desarrollos, sea cual sea su tecnologA�a.

Aparte de firmar operaciones, tambiA�n se pueden firmar documentos, y esto resulta todavA�a mA?s interesante. Cualquier documento electrA?nico, sea contrato, pedido, factura, etc, puede ser firmado mediante uno de los certificados digitales que tenga el usuario. E incluso con mayor seguridad.

En EspaA�a la firma digital tiene el mismo valor que la firma manuscrita y de hecho resulta mA?s segura, ya que con la firma tradicional no hay forma de comprobar si efectivamente el garabato en el papel corresponde a la persona a diferencia de la firma digital. AsA�, raramente se comprueba si la firma corresponde a la que figura en el DNI, e incluso es fA?cil enviar una fotocopia trucada con una firma falsa.

La seguridad que aporta la firma electrA?nica se relaciona con muchas cosas, aplicables a operaciones y documentos realizados o transmitidos online o gestionados de forma electrA?nica.

En EspaA�a, ademA?s hay una gran ventaja. En nuestro paA�s hay un gran despliegue de certificados digitales de personas, lo que facilita que hoy mismo la tramitaciA?n de contratos, pedidos, etc. En los A?ltimos 18 meses me he dedicado a viajar por muchos paA�ses analizando el mercado para ver la posibilidad de vender este tipo de herramientas relacionadas con los certificados digitales, como firma, autentificaciA?n y cifrado, y he podido comprobar la gran diferencia que existe entre EspaA�a y otros paA�ses.

((Hace 13 aA�os era complicado ya que habA�a que darle al cliente la herramienta y el certificado, mientras que hoy con darle la herramienta es mA?s que suficiente))

Simplemente el hecho de tener un DNI, que otros paA�ses, como por ejemplo Gran BretaA�a, no tienen asA� como el gran nA?mero de certificados desplegados hacen que sea muy fA?cil implementar este tipo de soluciones. Hace 13 aA�os cuando nosotros empezamos era complicado ya que habA�a que darle al cliente la herramienta y el certificado, mientras que hoy con darle la herramienta es mA?s que suficiente.

AdemA?s conviene destacar que se puede tener un gran mercado fuera, ya que contamos con unos 4 o 5 aA�os de ventaja sobre otros muchos paA�ses, incluso de los que estA?n en la categorA�a de paA�ses avanzados en el campo de la tecnologA�a. AsA� que los desarrollos y herramientas que aprovechen los certificados tendrA?n una importante ventaja competitiva en otros paA�ses.

((Se puede tener un gran mercado fuera, ya que contamos con unos 4 o 5 aA�os de ventaja sobre otros muchos paA�ses en este tema))

Por lo que hemos podido comprobar en nuestros viajes por diversos continentes, nuestras herramientas han llegado incluso un paso mA?s, ya que en muchos paA�ses todavA�a ni se estA?n planteando quA� es eso de la firma digital ni cA?mo aplicarlo.

Y la parte de cifrado asociada a un certificado digital, A?quA� implicaciones y aplicaciones tiene?

En lo relativo a cifrado, se aporta mayor seguridad, ya que los documentos viajan cifrados y sA?lo pueden ser leA�dos por A�l mismo y por el destinatario. Contando siempre con que se cuiden adecuadamente las claves de cifrado. El cifrado tiene un problema y es que se pierden las claves no se puede recuperar nunca la informaciA?n cifrada con dicha clave. Y eso es aplicable a cualquier certificado. Un punto que debe ser tenido por los desarrolladores a la hora de aplicar el cifrado de documentos. Sobre todo segA?n el tipo de soporte o mecanismo que almacene las claves.

Hay que tener cuidado en el uso de cifrado, ya que algunos certificados digitales, admiten copia y otros no, algo aplicable a las tarjetas con chip. Por ejemplo, el DNIe no admite exportaciA?n o copia del certificado, con lo cual su empleo para cifrado queda bajo total responsabilidad del usuario. Si este revoca el certificado o lo pierde, se rompe la tarjeta o la roban, serA? incapaz de recuperar todo el contenido cifrado previamente con su DNIe, con lo que ello significa de pA�rdida de la informaciA?n cifrada.

En el caso del DNIe no estA? prevista la opciA?n de cifrar A?es asA�?

Efectivamente. Al menos en teorA�a el DNIe no te lo dan para cifrar, aunque el titular lo puede emplear para ello, bajo su responsabilidad. No te prohA�ben que cifres, pero no hay un certificado (especA�fico) para cifrar, ya que ello significa que el emisor tendrA�a guardada una copia que se podrA�a recuperar en caso de pA�rdida. Como no es el caso, el titular puede aplicar cualquiera de los certificados presentes en el DNIe para cifrar pero bajo su entera responsabilidad. Sobre todo porque si pierdes ese DNIe y te lo tienen que rehacer, pierdes las claves, con lo que ello significa.

((El DNIe no te lo dan para cifrar, aunque el titular lo puede emplear para ello, bajo su responsabilidad))

AsA� que, en caso de certificados que no admitan la exportaciA?n o copia de los mismos, ya sea local o por parte del emisor, hay que tener precauciA?n sobre el uso para cifrado. El cifrado no es una operaciA?n complicada en sA� misma, pero si tiene importantes complejidades en cuanto a asegurar la copia del certificado, para asegurar la recuperaciA?n a posteriori de las claves y los datos cifrados.

A?CuA?l es el nA?mero de certificados digitales en EspaA�a?

En EspaA�a hay unos 7 millones de certificados digitales, aproximadamente, incluyendo los cuatro millones del DNIe y los suministrados por la FNMT (FA?brica Nacional de Moneda y Timbre), Hacienda, Seguridad Social, mA?s los asignados a particulares pueden dar una cifra mA?s cercana a los 10 millones de certificados. Aunque, claro, en este nA?mero hay que contar con las personas que tienen mA?s de un certificado. Yo mismo, por ejemplo, tengo tres, dos de empresa mA?s el DNIe.

Los principales emisores de certificados, hasta la fecha, han sido la FNMT y ahora el DNIe.

A?QuA� interA�s puede tener un desarrollador en emplear certificados digitales en sus creaciones?

Pues fundamente en los tres aspectos asociados a los certificados digitales, como son la autentificaciA?n, la firma y el cifrado. La autentificaciA?n y firma electrA?nica son requisitos obligatorios en la relaciA?n con la AdministraciA?n PA?blica. Todo programa utilizable por la AdministraciA?n PA?blica y que tenga una vertiente de relaciA?n con el ciudadano a travA�s de medios telemA?ticos, necesita contemplar los certificados digitales. Les va a ser obligatorio que su aplicaciA?n sepa identificar y aceptar una firma electrA?nica a travA�s de certificados.

((Comienza a ser habitual que las herramientas de gestiA?n de negocio contemplen y soporten el empleo de certificados digitales))

De igual forma, lo mismo ocurre en las aplicaciones Web para grandes empresas, ya que es obligatorio que tengan un canal telemA?tico con autentificaciA?n del usuario, como exige la Ley de Medidas de Impulso de la Sociedad Digital. Y tambiA�n, banca seguros, tasaciones, las utilities (agua, gas, electricidad), necesitan contemplar la autentificaciA?n segura del cliente. Y esto es aplicable a otros campos. AsA� que comienza a ser habitual que las herramientas de gestiA?n de negocio contemplen y soporten el empleo de certificados digitales.

Un punto importante que conviene destacar es que la implementaciA?n de los certificados digitales no es compleja y se puede integrarse fA?cilmente en las aplicaciones, sea cual sea la tecnologA�a con la que estA�n realizadas.

A?QuiA�n aplica los certificados digitales?

Pues los primeros en aplicarlo fueron los organismos oficiales, comenzando por los Ministerios, temas de la declaraciA?n de la renta, Seguridad Social, y todos ellos han sido el catalizador que ha empujado el uso d los certificados. Luego los a�?early adoptera�? de la tecnologA�a (estamos hablando del aA�o 97-98), como grandes empresas y algunas pequeA�as que, por su economA�a de empresa, han descubierto sus ventajas. Por ejemplo las que se han dedicado a venta por Internet, que, siendo empresas pequeA�as han encontrado un amplio campo de comercializaciA?n que generaba buenos beneficios.

Pero no estA? restringido a ningA?n tamaA�o de empresa. En algunos casos hay empresas que no son grandes, son medianas o incluso pequeA�as, pero que han descubierto que supone un gran ahorro, como las tasadoras o las Empresas de Trabajo Temporal. Y desde luego las grandes empresas. A dA�a de hoy se usa, o se puede aplicar, en todos los entornos.

((No es una tecnologA�a de nicho, como era hace aA�os, sino que se ha convertido actualmente en una tecnologA�a de uso comA?n))

Luego hay otras operaciones, como el envA�o de cuentas al registro que ya se hace telemA?ticamente, asA� como peticiones de datos, y un largo etc. Desde luego no es una tecnologA�a de nicho, como era hace aA�os, sino que se ha convertido actualmente en una tecnologA�a de uso comA?n. Hoy hablas de firma electrA?nica y la gente conoce el concepto. Cada vez hay mA?s gente que hace la declaraciA?n por Internet, entre otras cosas porque asA� te devuelven el dinero mA?s rA?pidamente.

Hay ciertos entornos en los cuales nosotros que la firma electrA?nica es imprescindible. Entre estos cabrA�a citar, por no citar mA?s que algunas:
– Colegios profesionales (arquitectura e ingenieros, principalmente) para relacionarse con el colegio y realizar visados
– Tasadoras (hay una gran penetraciA?n, con un 80 a 90% de empresas que lo tienen implementado) para presentar el informe al banco o aseguradora.
– FacturaciA?n electrA?nica, aplicable a todo tipo de empresas, ya sean grandes, pequeA�as o medianas.
– Empresas de trabajo Temporal, ETT, para firmas de contratos,
– Receta electrA?nica

A?CA?mo pueden aprovecharlo los desarrolladores?

Los ISVs tienen que ir incorporando esta funcionalidad en sus creaciones. Una empresa, e incluso un programador que decide lanzar una aplicaciA?n para tasadoras, y en EspaA�a hay un gran nA?mero de empresas pequeA�as en este campo, tiene que contemplar el empleo de certificados digitales. Y no se puede permitir el lujo de no hacerlo, porque comienza a ser un estA?ndar de mercado. Fabricante de ERP y CRM, facturaciA?n, sistema de ingenierA�a, son candidatos, pero no los A?nicos.

((Los desarrolladores tienen que contemplar el empleo de certificados digitales. Y no se puede permitir el lujo de no hacerlo, porque comienza a ser un estA?ndar de mercado))

En muchos casos comienza a ser un requisito aunque el cliente no lo pida, ya que supone un importante ahorro de coste. Por ejemplo en las aplicaciones relativas a proyectos, no solo hay un tema de responsabilidades, sino que existe todo un ciclo de aprobaciones y firmas que requieren mA?ltiples pasos. Y con ello existen unos costes elevados en mover en papel cada bloque del proyecto, como el cA?lculo de estructuras, el diseA�o general, etc y firmarlo. Incluso mover internamente el proyecto basado en papel tiene un valor importante, con lo tambiA�n supone un importante ahorro de costes al afrontar el proyecto con empleo de certificados digitales.

A?DA?nde pueden implementarse los certificados digitales en una aplicaciA?n? A?CA?mo se afronta un proyecto para incluirlos?

Pues bA?sicamente en todos los procesos que tienen consecuencias fiscales o legales, como certificaciA?n, firma, pedidos, contratos, admiten la relaciA?n con los certificados. Nosotros trabajamos mucho con partners, que en su mayor parte son ISVs, para unir los certificados digitales a todo tipo de aplicaciones. Por ejemplo, ahora estamos en un proyecto con un partner que tiene una herramienta de digitalizaciA?n, bastante conocida en el mercado, que tiene mucha difusiA?n, y vio la oportunidad de crear una funcionalidad de digitalizaciA?n certificada.

Se trata de una interesante aplicaciA?n que va a crear mucha movimiento en el mercado. El objetivo es transformar en formato electrA?nico documentos que llegan en papel de los proveedores, como facturas, albaranes, notas de entrega, en fin, todo aquello que tiene consecuencia fiscal. Todo aquello que un inspector podrA�a solicitar en una inspecciA?n. Mediante procesos de digitalizaciA?n certificada se puede almacenar la informaciA?n, firmarla y destruir el papel, justificante o documento original, con el consiguiente, y elevado, ahorro de coste al evitar la posterior manipulaciA?n del papel, como clasificaciA?n y almacenaje. Adicionalmente, se gestiona mejor la informaciA?n, por la ausencia de papel.

Este partner estA? convirtiendo su herramienta de digitalizaciA?n y OCR a un sistema con digitalizaciA?n y OCR con digitalizaciA?n certificada y almacenamiento seguro de esa informaciA?n.

A?CA?mo afecta la implementaciA?n del certificado digital a los desarrolladores de aplicaciones?

Hay varios pasos a dar. Hay que transformar las herramientas utilizando conocimientos conjuntos. Nos hemos reunido con el desarrollador que nos ha explicado cA?mo funciona su herramienta. Lo primero es analizar el proyecto en su conjunto, mirando el desarrollo software. Luego hay que analizar la normativa vigente aplicable, para ver que el proyecto contempla las leyes y normas apropiadas.

((Todo lo que estA? relacionado con firma debe estar basado en las leyes de firma electrA?nica asA� como reglamentos y normativas especA�ficas y no se puede hacer de cualquier manera))

Todo lo que estA? relacionado con firma debe estar basado en las leyes de firma electrA?nica asA� como reglamentos y normativas especA�ficas. Esto implica contar con un buen conocimiento de la normativa. No se pueden hacer las cosas de cualquier manera, sino que hay que estar acorde con las normas y leyes. En caso contrario podemos estar engaA�ando a nuestro cliente, o la cliente final,

MA?s adelante, cuando ambos entendemos la otra parte, y comenzamos a hablar de igual a igual. Cuando antes hablamos por una parte de digitalizaciA?n y por otra de firma, ahora hablamos de ambas al unA�sono. A partir de ahA� comenzamos con la recomendaciA?n sobre el mecanismo que debe seguir su aplicaciA?n, para trabajar con digitalizaciA?n certificada. Es decir los diversos pasos de cA?mo tomar la informaciA?n, cA?mo firmarla, almacenarla, etc dentro de su aplicaciA?n.

El siguiente paso es que nosotros proporcionamos las librerA�as adecuadas para la integraciA?n de la certificaciA?n dentro de la aplicaciA?n. Disponemos de una amplia variedad de librerA�as que contemplan prA?cticamente todos los lenguajes de desarrollo mA?s comunes de la actualizada (Java, .NET, C#, etc,). Y mA?s adelante le dimos soporte durante el periodo de desarrollo y pruebas.

Por A?ltimo hay un anA?lisis posterior para verificar que la implementaciA?n se ha hecho de acuerdo a unos criterios de calidad. Hay que evitar que, por ejemplo, se haya hecho un proceso de facturaciA?n que tA�cnicamente es brillante, pero que no estA? acorde con la normativa, porque eso es engaA�ar al cliente. Hay que certificar, o al menos comprobar, que efectivamente se realizan los procesos acorde con la normativa.

Para ello lo mA?s apropiado es pasar una auditorA�a externa que verifique la correcciA?n del proceso y emita un certificado de que la herramienta cumple los criterios adecuados y cumple con las normativas. Para ello nada mejor que acudir a una empresa especializada que de manera forma o informal compruebe cA?mo se han implementado los procesos y que, eventualmente, emita un certificada que indique quA� normativas, tanto legales como tA�cnicas, se han cumplido en la herramienta creada.

Por ejemplo, en el caso del empleo del DNIe hay una normativa del Ministerio de Industria para homologar que se hace un uso correcto de la informaciA?n suministrada por el DNIe, y que el usuario recibe la informaciA?n correcta y apropiada para saber quA� estA? firmando exactamente y que no haya engaA�os posteriores o cambios. Es decir implementar una serie de perfiles de protecciA?n del DNIe, que estandarizan la forma en la que las aplicaciones utilizan los datos obtenidos de los certificados del DNIe.

Una preocupaciA?n de los ISVs es el tiempo y coste de los desarrollos A?podrA�as indicar una referencia en cuanto a plazos y costes?

Siempre es difA�cil indicar con exactitud estos datos, ya que dependen de la complejidad del proyecto. Pero de forma orientativa podemos hacer referencia a un proyecto reciente, con una aplicaciA?n basada en SAP, con almacenamiento de documentos y transformaciA?n a archivos PDF, en el cual se ha necesitado como unos dos meses, y la empresa desarrolladora ha empleado a 2 o 3 personas durante ese tiempo, destinados a la implantaciA?n de la certificaciA?n digital en la aplicaciA?n.

En este caso se ha transformado en un producto estA?ndar, en el A?rea de facturaciA?n, de manera que se pueda incorporar en otras aplicaciones basadas en SAP. Para ello se utilizaron los conocimientos del partner y nuestro appliance de firma. El resultado ha sido la creaciA?n de un producto estA?ndar para SAP con firma electrA?nica incorporada.

La firma electrA?nica no es un problema tA�cnico, sino que se trata de un proyecto de negocio, de empresa. Por ello se necesitan conocimientos, o al menos soporte, tanto tA�cnicos, como legales y de negocio.

A?Y el nivel de complejidad?

La firma no es una tecnologA�a altamente compleja. La problemA?tica de la firma electrA?nica y los certificados siempre ha recaA�do en la disponibilidad de los certificados por parte de individuos y empresas. Una vez que la gente tiene certificados, deja de ser complicado, al menos a nivel de tecnologA�a.

Realmente, usando mecanismos estA?ndar del mercado, a travA�s de las librerA�as adecuadas, es sencillo leer los certificados y usarlo. El empleo de la firma electrA?nica en una aplicaciA?n es tan sencillo como el soporte para enviar correo electrA?nico. Es decir, tienes que contar con las librerA�as apropiadas y seguir simplemente unos protocolos.

Y estas librerA�as estA?n disponibles para los principales lenguajes de programaciA?n. Afortunadamente hay un elevado nivel de normalizaciA?n sobre los certificados. Una de las ventajas es que se pueden emplear librerA�as estA?ndar para manejar los certificados estA?ndar, sea cual sea su emisor, con lo que no se necesita aA�adir mA?s librerA�as en caso de necesitar validaciones o certificados adicionales. 

Etiquetas

Noticias relacionadas

Comentarios

No hay comentarios.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Debes haber iniciado sesión para comentar una noticia.