Consultoría de firma biométrica

Aspectos legales

Muchos proyectos de firma digitalizada atraviesan largos períodos de evaluación interna mientras se desbrozan los retos y las posibilidades, y se lidia con conceptos jurídicos que incluyen los medios de prueba en caso de litigio o la tipificación que corresponde según la tipología de firmas electrónicas de la legislación aplicable.

Los servicios de EADTrust, resuelven todas las dudas en unas pocas sesiones, y ayudan a diseñar el modelo de implantación más eficiente para cada entidad. Incluso puede colaborar en la auditoría que permite caracaterizar una determinada solución o un despliegue como respetuoso con las mejores prácticas y garantista para los firmantes.

Entre las entidades que ya han confiado en EADTrust para el análisis conjunto de las posibilidades de la firma digitalizada caben citar:

  • IECISA (Informática El Corte Inglés)
  • INDRA
  • RCI Banque
  • Citibank
  • Orange
  • Correos
  • VASS
Leer más >
EADTrust Firma electrónica vocal

Firma electrónica vocal

Aspectos legales

A partir del procedimiento de gestión de firma electrónica manuscrita digitalizada avanzada definido por EADTrust, ahora es posible gestionar firmas electrónicas que emplean la voz como mecanismo de autenticación, y que además dan la certeza de la prestación del consentimiento.

La firma electrónica avanzada vocal queda embebida en un fichero PDF que se gestiona como un simple documento electrónico pero que permite cumplir el requerimiento de soporte duradero requerido en la recientemente aprobada Ley 3/2014 de reforma de la Ley de Consumidores y Usuarios.

Los sistemas cumplen principios semejantes a los definidos para la firma digitalizada y pueden ser auditados por especialistas. Llame al 91 7160555 para pedir más información sobre la Firma Vocal.

Leer más >
EADTrust Actualización del estándar ISO IEC 19794-72014

Actualización del estándar ISO/IEC 19794-7:2014

Biometría

La norma ISO / IEC 19794-7:2014 especifica los formatos de intercambio de datos capturados en base a la realización de firmas manuscritas en forma de una serie temporal de varios parámetros utilizando dispositivos como tabletas digitalizadoras o sistemas bolígrafo inteligente. Los formatos de intercambio de datos son de carácter genérico, ya que se pueden utilizar en una amplia gama de áreas de aplicación que estén en juego signos escritos a mano o firmas manuscritas. No se consideran requisitos o características específicos de laaplicación  en la norma ISO / IEC 19794-7:2014 .

La norma ISO / IEC 19794-7:2014 contiene

  1. una descripción de los datos  que se pueden capturar,
  2. tres formatos de datos para describir la información capturada:
    1. un formato completo para uso general
    2. un formato que permite recoger la información de forma comprimida y
    3. un formato compacto, sin compresión, orientado a su uso con tarjetas inteligentes cuando se puede prescindir de cierta información
  3. ejemplos de contenido de los registros de datos y de las mejores prácticas en materia de captura de información biométrica.

La norma no entra a precisar los tipos de formato y las opciones definidas en la norma ISO / IEC 19794-7:2014 que han de aplicarse en una aplicación particular.

Aunque es aconsejable emplear técnicas criptográficas  para proteger la autenticidad, integridad y confidencialidad de los datos biométricos almacenados y transmitidos,  la norma ISO / IEC 19794-7:2014 no establece ninguna orientación al respecto.

La norma ISO / IEC 19794-7:2014 especifica también elementos de la metodología de pruebas de conformidad, declaraciones de pruebas y métodos de prueba aplicables a otros aspectos de la norma ISO / IEC 19794-7:2014. Establece las secuencias de prueba sobre la estructura y la coherencia interna de los formatos de datos de firma y de las series temporales de parámetros derivados de la captura de la firma o de otros signos establecidos en la norma ISO / IEC 19794-7:2014 ( tipo A de niveles 1 y 2 de los definidos en la norma ISO / IEC 19794 1:2011 / enm.1 ), y las declaraciones semánticas de prueba ( tipo A nivel 3 tal como se define en la norma ISO / IEC 19794 1:2011 / enm.1 ).

La metodología de las pruebas de conformidad de la norma ISO / IEC 19794-7:2014 no establece:

  • pruebas de otras características de los productos biométricos u otros tipos de pruebas de productos biométricos ( como por ejemplo, aceptación , rendimiento , robustez o seguridad),
  • pruebas de conformidad de sistemas que no producen registros de datos que se declaren como ajustados a la norma ISO / IEC 19794-7:2014 .
Leer más >
EADTrust Extensiones CBF y EBF para información biométrica

Extensiones CBF y EBF para información biométrica

Aspectos técnicos

Aunque la información incluida en el documento electrónico está cifrada (habitualmente mediante una variante del forma HAdES MAdES propuesto por EADTrust), cuando se realiza la extracción de la información biométrica de la firma controvertida  para el análisis pericial comparándola con las firmas indubitadas en el entorno del Tercero de Confianza que gestiona la clave privada, la información biométrica se vuelca a un fichero para el transporte.

Distintos fabricantes de soluciones han definido sus propias extensiones de ficheros (file extensions) en función de la herramienta pericial que han diseñado.

Sin embargo, cuando se busca la interoperabilidad, de forma que la información biométrica pueda ser exportada de una herramienta e importada en otra, se recurre a extensiones comunes.

Las cuatro más importantes son las siguientes:

  • CBFCommon Biometric Format. El formato se basa en CBEFF 2.0 (Common Biometric Exchange Formats Framework).
  • EBF, Extended Biometric Format. El formato añade al CBF ciertas cabeceras de seguridad y cifrado de transporte (S/MIME) para limitar el tipo de entornos en los que se puede abrir el fichero, requiriendo un certificado en el cifrado y una clave asociada en el descifrado. Además permite incluir ampliaciones semánticas al formato.
  • CBFX, XML Common Biometric Format. La extensión CBFX se refiere a la especificación XML correspondiente XCBF 1.1 (OASIS XML Common Biometric Format)
  • EBFX, XML Extended Biometric Format. La extensión EBFX se refiere a la especificación XML correspondiente XCBF (OASIS XML Common Biometric Format), con posibles ampliaciones semánticas al formato, y utilizando para el cifrado la especificación XML Encryption de W3C.

Biometric file extensions: CBF, CBFX, EBF, EBFX

Leer más >
EADTrust Despapelización

Despapelización

Aspectos legales

El reto actual de empresas y administraciones públicas incluye la reducción de costes que se beneficia del empuje de disposiciones legales como la Ley 18/2011, la Ley 11/2007, la Ley 56/2007.

A nivel europeo se acaba de consensuar el texto final del nuevo Reglamento europeo para los servicios de identificación y confianza electrónicos (eIDAS), que supone la unificación de reglas respecto a la firma electrónica en todos los países de la unión europea, y se espera que la norma se publique en abril de 2014, en el Diario Oficial de las Comunidades Europeas (DOCE).

Uno de los aspectos más influyentes en la reducción de costes es el de la “despapelización” de procesos, que promueve la realización de proyectos que conducen  a una transformación progresiva de los procesos de gestión  del modelo tradicional basado en el uso del papel a otros centrados en una gestión electrónica integral.

Es por tanto una reducción de costes asociada a una mejora notable de la eficiencia de los sistemas y una significativa optimiza los recursos disponibles.

El uso de firmas digitalizadas es un aspecto relevante de los proyectos pensados para eliminar el papel en los procesos que siguen dependiendo de su valor probatorio.

La normativa ya está madura para eliminar el uso de papel en muchos contextos en los que hasta hace poco tiempo no parecía posible.

Junto con la firma digitalizada, surgen múltiples posiblidades para «despapelizar» empresas y organismos y en los proyectos más avanzados, EADTrust puede asesorar y proporcionar interesantes herramientas TIC, desplegables «in house» o «en la nube» para facilitar la ejecución exitisa de los proyectos.

EADTrust recomienda que las empresas contacte en una fase temprana de los proyectos para sacar el máximo partido de su asesoramiento para identificar los procedimientos que requieren de un estudio más profundo respecto a su “desmaterialización” y que se completan con propuestas concretas de mejora y el apoyo en la implantación de soluciones tecnológicas diversas, como la asistencia en la definición de modelos de firma digitalizada con valor probatorio, el despliegue de soluciones de firma electrónica automatizada, la digitalización certificada,  la recogida de evidencias electrónicas de las transacciones realizadas o la materialización práctica de conceptos tecnológicos englobados en la denominada “Diplomática Digital”.

En el ámbito bancario EADTrust está llevando a cabo este servicio en entidades financieras con un doble objetivo, uno particular con la definición del procedimiento más adecuado para la optimización de procesos tradicionalmente gestionados en soporte papel, como la contratación de productos y servicios en oficinas y otro general con el establecimiento de las bases y conceptos básicos de gestión de documentos electrónicos, normalización de procesos y proyectos actuales y la definición de las bases necesarias para afrontar un proyecto de tratamiento de documentos electrónicos basado en el valor probatorio de las evidencias obtenidas.

Se pretende dar, en resumen, una visión novedosa sobre la preservación de evidencias electrónicas, basadas principalmente en la experiencia de los consultores y en los nuevos modelos de Administración electrónica aplicables también al sector privado. Conceptos como los de sede electrónica, cartulario o Códigos Seguros de Verificación sentarán la base sobre una nueva forma de “crear”, «procesar»,“conservar” y “acceder” a los documentos electrónicos.

Leer más >
EADTrust Actualización del estándar ISO IEC 19794-72014

ISO/IEC 29109-7:2011

Aspectos técnicos

Information technology — Conformance testing methodology for biometric data interchange formats defined in ISO/IEC 19794 — Part 7: Signature/sign time series data

La norma ISO/IEC 29109-7:2011 especifica elementos de metodología de comprobación de conformidad, directivas de prueba y procedimientos de comprobación de aplicación a la norma sobre codificación de información procedente de la captura de secuencias de datos de firma manuscrita sobre dispositivo idóneo, con indicación de coordenadas de trazado, presión e indicación de tiempo y otros parámetros. Es decir la forma de comprobar la información identificada en la norma ISO/IEC 19794-7.

La norma ISO/IEC 19794-7 define dos formatos de intercambio para series temporales que reflejan la información dinámica de una firma manuscrita, uno de uso general y otro más compacto para optimizar la capacidad de almacenamiento de dispositivos con limitaciones en este aspecto, como las tarjetas inteligentes.

La norma ISO/IEC 29109-7:2011 establece:

  • directivas de comprobación de la estructura de los formatos de datos de la firma y sus series temporales según se indican en la norma ISO/IEC 19794-7 (Tipo A Nivel 1 según la denominación recogida en la norma ISO/IEC 29109-1),
  • directivas de comprobación de la consistencia interna a través de la verificación de los tipos de valores que pueden incluirse en cada campo (Tipo A Nivel 2 según la denominación recogida en la norma ISO/IEC 29109-1), y
  • directivas de comprobación del contenido de los formatos de datos de los registros de información de la firma y sus series temporales recogidos en la norma ISO/IEC 19794-7 (Tipo A Nivel 3 según la denominación recogida en la norma ISO/IEC 29109-1).

La norma ISO/IEC 29109-7:2011 deja fuera de su alcance:

  • comprobaciones de otras características de productos biométricos y otras comprobaciones de productos biométricos como aceptación, rendimiento, robustez, seguridad, …
  • comprobaciones de conformidad de sistemas que no generan registros conforme a la norma ISO/IEC 19794-7.
Leer más >
EADTrust Por qué debería auditarse una entidad financiera que despliegue un sistema de firma digitalizada

¿Por qué debería auditarse una entidad financiera que despliegue un sistema de firma digitalizada?

Auditoría

En estos momentos muchas entidades financieras (y también de otro tipo) están desplegando sistemas de captura de firma manuscrita en tabletas y dispositivos móviles.

Podría suponerse que las entidades financieras, cuando despliegan un sistema de este tipo ya han considerado las opciones, y que los sistemas desplegados son perfectamente adecuados.

Sin embargo, esta suposición es incorrecta. Como auditores, nos sorpende que en algunas reuniones de preventa, y también en algunas de las reuniones iniciales de proyecto, nos da la impresión de que las versiones iniciales de los sistemas que emplean las entidades financiera se diseñan para proteger a la propia entidad y dejan más indefenso al usuario cuya firma se gestiona.

Nuestros principios «rascan» al principio en las reuniones preparatorias porque propugnamos el despliegue de sistemas que «sobreprotegen» al usuario, e insistimos en algunos principios como la «simetria probatoria» que sorprenden a nuestros interlocutores.

Según este principio el firmante cuya firma se gestiona en un sistema de firma manuscrita avanzada digitalizada debe estar en igual posición que la entidad que lo gestiona para demostrar si la firma capturada es o no la suya. Cuando se emplea el papel, nadie duda de que el usuario tiene que tener la opción de tener su copia. Sorprende que se dificulte la prueba al usuario si el medio utilizado es electrónico.

En nuestra opinión, un sistema que proteja adecuadamente al firmante, a la larga es una garantía para la propia entidad ya que nunca podrá ser acusada de «mala praxis», y será más viable ante los órganos jurisdiccionales si finalmente es preciso recurrir a ellos por alguna de las partes.

Y esa es una de las misiones de la auditoría: dar confianza a los usuarios de la propia entidad, de que su firma se gestiona adecuadamente y se cuida de que no sean «la parte débil» en el empleo de las tecnologías.

Para ello, en EADTrust hemos creado una metodología de auditoría y todo un ecosistema de soporte a las firmas manuscritas digitalizadas avanzadas, para transmitir confianza:

  • Un certificado de cumplimiento
  • Un sello de calidad,
  • Un informe de auditoría

Y la posibilidad de contar con terceros de confianza y peritos especialistas, a disposición de cualquiera de las partes para valorar la firmas en el marco de un proceso litigioso (Cotejo de firmas, formación de cuerpo de escritura en soporte informático,…).

El sello de calidad, utilizado por las entidades auditadas, es una garantía para los usuarios.

Afortunadamente ya hay entidades financieras que están haciendo los deberes y auditando sus sistemas en el marco de la Metodología de EADTrust. Puede confiar en ellas.

Leer más >
EADTrust Probática

Probática

Aspectos legales

La ciencia y la tecnología ofrecen nuevos medios de investigación y prueba de la actividad delictiva.

Las pruebas electrónicas no estructuradas, los sistemas de firma manuscrita digitalizada avanzada, los documentos electrónicos, los sistemas de información geográfica, la videovigilancia, las bases de datos de ADN, la lofoscopia, los registros on-line, la progresiva utilización de la telefonía móvil en la persecución de los delitos,… se revelan como modernas y eficaces herramientas en la lucha contra la criminalidad o en la demostración de hechos o actos en diferentes órdenes como el civil, el social o el administrativo.

No obstante, su uso e introducción en los procesos jurisdiccionales plantea problemas de insuficiencia de regulación en algunos casos, conflictos con la intimidad y la protección de datos personales y disonancias respecto a la aplicación de principios y pautas procesales.

También son fuente de controversia su documentación en el proceso, el libre acceso al material probatorio por las partes, o su contradicción en el plenario.

La prueba científica augura  nuevos desafíos y límites, y aunque está clara su eficacia como valioso instrumento en la lucha contra la criminalidad nacional e internacional o como soporte de una amplia casuística de demostración de hechos y sus autores, en los diferentes órdenes jurisdicionales, en ocasiones plantea dificultades respecto a su apreciación que puede provocar la necesidad de tomar en consideración un cálculo de probabilidad o la valoración de un indicio de forma previa su inclusión en el cuerpo probatoria, en base a un análisis de admisibilidad judicial.

Dentro de las contextos de prueba pueden citarse:

  • El interrogatorio de partes
  • El interrogatorio de testigos
  • La prueba pericial
  • La prueba documental
  • La prueba electrónica
  • La prueba de reconocimiento judicial

La probática es una epistemología de la prueba. Como tal es una teoría del conocimiento que se ocupa de problemas tales como las circunstancias históricas, psicológicas y sociológicas que llevan a la obtención del conocimiento, y los criterios por los cuales se le justifica o invalida, así como la definición clara y precisa de los conceptos epistémicos más usuales, tales como verdad, objetividad, realidad o justificación.

Pretende lograr  la reconstrucción de los hechos en el proceso judicial al objeto de poder sentar su evidencia,  partiendo de una previa actividad investigadora.

Su relación con el derecho procesal, y en particular con el derecho probatorio es instrumental ya que este facilita o limita los medios para que la probática pueda cumplir su objetivo.

Rara vez la probática, e incluso el derecho probatorio, se tratan como disciplinas desvinculadas del derecho procesal convencional, en cuyo marco se consideran meras habilidades cuyo conocimiento se adquiere en las pasantías o en algunas escuelas de práctica jurídica.

Considerando métodos alternativos de resolución de conflictos y controversias, como la mediación y el arbitraje, la probática admite usos adicionales a la mera gestión procesal.

La probática facilita la búsqueda y hallazgo de las diferentes fuentes de prueba y ayuda al mejor empleo de los medios que el derecho probatorio pone a disposición de abogados, jueces y peritos.
Cabe distinguir entre:

  • probática temática orientada a la exposición y manejo de las pruebas más idóneas para demostrar diversos supuestos de hecho normativos, y que en el caso de la prueba presuncional, la más abundante, consistirá en la exposición de los indicios habituales al tema, aflorados a través de la jurisprudencia, y
  • probática analítica destinada a explorar el buen uso y aprovechamiento de cada uno de los medios de prueba ofreciendo el listado, definición y aplicación de toda la cadena de indicios generalmente empleados en la praxis judicial.

En el desarrollo de la probática se definido una Taxonomía Indiciaria que cabe desglosar de la siguiente manera:

  1. Indicios intimistas o de personalidad
  2. Indicios reacciónales
  3. Indicios de evasión
  4. Indicios situacionales
  5. Indicios utilitaristas
  6. Indicios dimensionales
  7. Indicios sociales
  8. Indicios materiales
  9. Indicios de relación
Leer más >
EADTrust De BioAPI 1.1 a BioAPI 2.3

De BioAPI 1.1 a BioAPI 2.3

Aspectos técnicos

La especificación BioAPI 1.1 es la especificación con la que se inició la normalización de los sistemas biométricos, recogiendo iniciativas concurrentes como «Biometric API» (BAPI) de «I/O Software» respaldada por el «BAPI Working Group».

El estándar BioAPI 1.1 favoreció la normalización de la interacción entre sus diferentes componentes, y estableciendo de la forma de codificar la información biométrica captada, de forma que pudieran crearse bases de datos de información biométrica con la que cotejar los intentos de identificación o autentificación de los usuarios, incluso cuando se empleaban entornos diferentes para un mismo tipo de parámetro biométrico.

La especificación BioAPI se ha desarrollado en el marco de los organismos  internacionales de normalización evolucionando hasta la BioAPI 2.0 (ISO/IEC 19784-1:2005) a partir de los trabajos de la American National Standard Institute (ANSI/INCITS 358-2002, BioAPI 1.1), que básicamente aprobó la especificación del BioAPI Consortium.

En la actualidad, la norma evoluciona gracias al trabajo del Subcomité SC37 Biometrics, dentro del  Comité Técnico Conjunto 1, de ISO .

La primera versión internacional fue la BioAPI 2.0, que introdujo, mejoras sobre la BioAPI 1.1. La definición de la estructura de datos, las funciones principales y el marco básico son muy similares, pero hay muchas diferencias en aspectos de detalle. Por esta razón, no hay interoperabilidad entre las dos versiones, ni a nivel binario, ni a nivel de código fuente.

La BioAPI 2.0 tiene dos partes:

ISO/IEC 19784-1:2006
BioAPI Part 1: BioAPI specification – BioAPI 2.0
ISO/IEC 19784-2:2007
BioAPI Part 2: Biometric archive function provider interface (BAFPI)

Una versión posterior contiene extensiones de las características de la interfaz gráfica de usuario y otras mejoras relacionadas y se denominó BioAPI 2.1

ISO/IEC 19784-1:2006/Amd 1:2007
BioGUI specification – BioGUI

La siguiente versión, BioAPI 2.2 establece un subconjunto de funciones independientes del marco general de BioAPI.

ISO/IEC 19784-1:2006/Amd 2:2009
Framework-free BioAPI Specification

Permite a los implementadores saltarse el marco de referencia y realizar llamadas directamente desde la capa de aplicación a la capa de proveedor de servicios biométricos.

La BioAPI 2.3 incluirá aspectos de seguridad pero aun no está disponible.

El propósito de la especificación BioAPI es definir una arquitectura y las interfaces necesarias para permitir que las aplicaciones biométricas puedan integrarse con módulos proporcionados por diferentes proveedores.

La capacidad para integradores de sistemas para producir sistemas completos utilizando componentes de múltiples proveedores es esencial en una tecnología que cambia tan rápidamente como la biometría.

Los módulos pueden ser componentes de software que contienen dispositivos de captura, tales como lectores de huellas digitales, cámaras de reconocimiento facial, iris escáneres, dispositivos de reconocimiento de firma, sistemas de imágenes vasculares, etc

También pueden proporcionar apoyo para el procesamiento de la imagen de datos biométricos, o extracción de características así como  el archivado y la recuperación de  registros biométricos.

Leer más >
EADTrust La firma digitalizada es una firma electrónica avanzada

La firma digitalizada ¿es una firma electrónica avanzada?

Aspectos legales

La respuesta corta es «depende».

La captación del grafo de la firma, y su incorporación a un documento, ya sea por la digitalización o escaneo de la firma procedente de un soporte en papel, ya sea por su captura en una tableta digitalizadora o en un dispositivo especializado, tiene, según la ley de firma electrónica el carácter de «firma simple».

En efecto, la Ley 59/2003 señala en su artículo 3:

1. La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.

Sin embargo, la definición de firma avanzada en el mismo artículo es tecnológicamente neutra:

2. La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control.

Por regla general, esta definición se ha explicado con soluciones basadas en tecnología criptográfica de clave pública.

El titular de un certificado utiliza la clave privada que mantiene bajo su exclusivo control (por ejemplo, la del DNI electrónico), para realizar el proceso de cifrado asimétrico sobre el resultado de una función resúmen (hash) aplicada al documento. El resultado de la operación matemática (descrita en la norma PKCS#1) se incorpora al documento junto con el certificado. La comprobación de la firma parte de obtener el hash, por un lado, a partir de la firma, aplicando la clave pública del firmante extraída del certificado con una operación de descifrado asimétrico, y por otro aplicando la función resumen al documento original. Si los hashes no coinciden, eso quiere decir que el documento se ha modificado, por lo que este tipo de firma permite detectar cualquier cambio ulterior de los datos firmados. Dado que se usa un certificado, con datos del titular, permite identificar al firmante, y puesto que la firma codificada en PKCS#1 (o de cualquier otra forma) es una operación matemática de un elemento vinculado al firmante (su clave privada)  y el hash, vinculado al documentose cumple que esta firma está vinculada al firmante de manera única y a los datos a que se refiere.

Pero también puede aplicarse a sistemas de firma manuscrita digitalizada que captan información dinámica de la generación de firma asociándola  de manera indisoluble al documento:

Si se capta la información biométrica de la firma en el momento en que se realiza, por ejemplo, en una tableta de digitalización, y se concatena con el resultado de una función resúmen (hash) aplicada al documento, y se cifra todo ello con una clave pública cuya privada asociada la custodia un tercero de confianza, y esta información se añade al documento junto con la imagen plana de la firma se logra el mismo resultado de firma avanzada.

Veamos: la firma la realiza el propio firmante, por lo que utiliza una habilidad que mantiene bajo su exclusivo control. Al ser su propia firma, permite identificar al firmante, como lo hace la firma manuscrita convencional aplicada en soporte papel. Al estar el hash del documento y la información dinámica de creación de la firma  vinculados indisolublemente dentro del bloque cifrado, la firma está vinculada al firmante de manera única y a los datos a que se refiere. Y puesto que si se modificara el documento el hash cambiaría y no sería igual que el incluido en el bloque cifrado, esta firma permite detectar cualquier cambio ulterior de los datos firmados.

Por lo tanto, podemos concluir que la firma digitalizada, realizada con el apoyo de la criptografía y teniendo en cuenta ciertas precauciones de codificación y gestión, es una firma electrónica avanzada.

no obstante aflora una interesante cuestión, ¿como un firmante puede tener la certeza de que una solución de firma digitalizada en base a la que se le pide que firme en una tableta tiene en cuenta estos requisitos técnicos y operativos?

Leer más >