EADTrust Electronic Signature Capture Technology (ESCT)

Electronic Signature Capture Technology (ESCT)

Captura de firma

En el ámbito de los sistemas de gestión de tarjetas de crédito y de débito (los llamados TPV – Terminal Punto de Venta- o POS -Point of Sale- Terminal) es aceptable confirmar la operación con una firma manuscrita digitalizada (o capturada electrónicamente), con sujeción a ciertos principios generales:

  • Adequate electronic data processing (EDP) controls and security measures are established, so that digitized signatures are recreated on a transaction-specific basis. Processors may recreate the signature captured for a specific transaction only in response to a retrieval request for the transaction.
  • Sufficient controls exist over employees with authorized access to digitized signatures maintained in the processor’s or merchant’s computers. Employees and agents should be allowed to access the stored, electronically captured signatures only on a “need to know” basis.
  • Digitized signatures are accessed and used in compliance with applicable industry regulations.

La correcta aplicación de estos principios se deriva igualmente de la establecida para la firma avanzada digitalizada, aunque no a la inversa. La firma avanzada digitalizada permite el cumplimiento de los requisitos ESCT, pero los criterios ESCT no son suficientes para que una firma captada electrónicamente tenga el carácter de firma avanzada digitalizada.

  • Se establecen controles y medidas de seguridad adecuados en el proceso electrónico de datos (EDP), por los que las firmas digitalizadas se reconstruyen solo en base a transacciones específicas. Los procesadores de medios de pago pueden recrear la firma capturada para una transacción específica sólo en respuesta a una solicitud de recuperación de dicha operación.
  • Existen suficientes controles sobre los empleados con acceso autorizado a las firmas digitalizadas gestionadas en los sistemas informáticos del procesador de medios de pago o del comerciante. Se restringirá el acceso a las firmas digitalizadas almacenadas solo a empleados y agentes que verdaderamente lo requieran (principio «need to know»).
  • Se accederá a las firmas digitalizadas y estas se gestionarán con sometimiento a la normativa aplicable.

VISA y MasterCard están abriendo sus especificaciones para que la firma se pueda capturar en los TPV de nueva generación, que ya cumplen algunas especificaciones de las adeministradas por el consorcio PCI.

Los servicios de EADTrust incluyen la auditoría de dispositivos TPV con mecanismos de captura digitalizada de firmas manuscritas y también la de los entornos de gestión de firmas digitalizadas de comerciantes y de procesadores de medios de pago. Llámenos al 902 365 612 y añada este nivel de cumplimiento a sus dispositivos diferenciándose de la competencia.

Leer más >
EADTrust Firma digital biométrica de trazo escrito

Firma digital biométrica de trazo escrito

Biometría

Una firma digital es un mecanismo de asociación de una identidad a un documento digital, que puede o no usar funciones criptográficas y que permite entender al receptor de un documento firmado digitalmente que dicho documento se asocia presuntamente con la identidad que aparentemente se vincula con el.

Según los procedimientos de aseguramiento de la identidad y de manejo de la integridad del documento, la firma digital será más o menos robusta, y la presunción más o menos respaldable con las evidencias digitales gestionadas.

Es aconsejable que un tercero de confianza con rol de auditor audite, analice y valore las técnicas utilizadas en un sistema que gestione firmas digitales para certificar que sea un mecanismo idóneo según el contexto de uso y las necesidades probatorias de las partes.

Si en los sistemas de gestión de identidad se utiliza la biometría, el sistema de firma digital se asocia a personas físicas y podrá ser especialmente adecuado para vincular los documentos electrónicos a actuaciones personales.

Para que el empleo de técnicas biométricas no se lleve a cabo sin conocimiento y control del firmante, es preferible elegir sistemas que permitan acreditar la prestación del consentimiento y la voluntariedad de la firma. Entre las más adecuadas pueden estar las firmas vocales y las de trazo escrito. Y entre ellas, la de trazo escrito puede ser la más adecuada en contextos en los que el usuario deba ser consciente de su vinculación al documento, por la similitud con las tradicionales firmas sobre documentos en papel.

En todo caso, la información captada debe quedar adecuadamente protegida para evitar falsificaciones y exposición de información que merezca la protección que impone la LOPD (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal)

Contacte con EADTrust en el 91 7160555 si quiere saber como incorporar la firma digital biométrica de trazo escrito a sus procesos de contratación.

Leer más >
EADTrust Servicios asociados a la firma avanzada digitalizada

Servicios asociados a la firma avanzada digitalizada

Cifrado

La gestión de la firma avanzada digitalizada requiere de servicios de «tercero de confianza».

Los servicios más importantes son de 3 tipos:

  1. Cifrado de la información biométrica asociada a la firma electrónica. Para ello se utiliza la clave pública del «tercero de confianza» que podrá revelarla en caso de controversia, aplicando su clave privada.
  2. Custodia digital. La información sensible se custodia por un «tercero de confianza», de forma que no exista ni posibilidad ni sospecha de que la entidad que capta la firma tenga acceso a la información que permite suplantarla en documentos diferentes del que originalmente se asoció a la captura.
  3. Informe pericial. Un tercero valora la forma de gestionar las evidencias electrónicas y lo refleja en un informe pericial que puede ratificar en sede judicial. De ser necesario realiza análisis caligráficos con soporte de gestión de biometría dinámica de la firma y aporta sus conclusiones como perito en el correspondiente informe y la subsecuente ratificación en sede jurisdiccional.

EADTrust (European Agency of Digital Trust) proporciona todos los servicios relacionados con el cifrado y la custodia necesarios para la gestión adecuada de los sistemas de firma avanzada digitalizada. También presta servicios periciales de informática forense gracias a sus expertos informáticos que actúan como peritos (en sus áreas de competencia) de ser necesario. Llámenos al 902 365 612, y salga de dudas.

Leer más >
EADTrust Nuevo folleto de servicios asociados a la Firma Avanzada Digitalizada

Nuevo folleto de servicios asociados a la Firma Avanzada Digitalizada

Custodia Digital

Ya está disponible el nuevo folleto de «Firma avanzada digitalizada» con los servicios de EADTrust – European Agency of Digital Trust.

Entre ellos están:

  • Generación de claves para software y dispositivos
  • Custodia de claves
  • Custodia de documentos a largo plazo (Cartulario Digital)
  • Servicios periciales (informática forense, pericia caligráfica)
  • Auditorías y consultorías de firma digitalizada
  • Venta de dispositivos y módulos de software

Contacte llamando al 902 365 612 o al 91 7160 0555

Leer más >
EADTrust Dispositivos para captura de firmas

Dispositivos para captura de firmas

Captura de firma

Hasta el momento están identificados 2 tipos de dispositivo que se pueden utilizar para la captura digital de firmas manuscritas:

  • Tabletas digitalizadoras de firma
  • Bolígrafos inteligentes

Las variantes sobre ellos son significativas ya que para cada categoría se utilizan diferentes tecnologías, lo que da lugar a una amplia gama de opciones.

A la hora de seleccionar dispositivos para proyectos empresariales, adquieren importancia aspectos que no se suelen considerar cuando se piensa en un uso individual de este tipo de periféricos.

Por ejemplo:

  • Nivel de inteligencia del dispositivo. ¿Es programable o requiere software más potente del lado del driver?
  • ¿Cómo le afecta el desgaste a la punta del puntero o la superficie de la pantalla?
  • ¿Es facil de robar o extraviar el puntero?
  • ¿Cual es el coste de reparaciones y mantenimiento?
  • ¿Requiere cambio de pila o de consumibles (por ejemplo, recambio de tinta)?
  • ¿como afecta al negocio el que la pantalla sea en blanco y negro o en color?
  • ¿como afecta al negocio el hecho de que quede un documento escrito? Por ejemplo, ¿interesa que se lo pueda llevar el cliente?

Por otro lado, cuando se trata de captar firmas, son relevantes parámetros como la resolución horizontal y vertical, así como el rango de niveles de presión que detecta el dispositivo y el número de muestras por segundo que se capturan.

Si existe la posibilidad de personalizar el dispositivo con una firma electrónica o con un indicador de ubicación, la calidad de las evidencias digitales se refuerza en el marco del proyecto completo.

Leer más >
EADTrust Igualdad de armas o simetría probatoria

BAPI – Biometric Application Programming Interface

Aspectos técnicos

BAPI es una especificación desarrollada en torno a 1997,  inicialmente por la empresa americana «I/O Software» secundada en el «BAPI Working Group» por las empresas y entidades Amano Cincinnati, Association for Biometrics, Biometric Sciences, DelSecur, Harris/AuthenTek, I/O Software, International Biometric Group, Kent Ridge Digital Labs, Miros, Prologex, Sagem Morpho, Siemens, Singapore Centre for Signal Processing, Sony, StarTek Engineering, TEC (Toshiba), Thomson-CSF, Veridicom, y Viisage Technology.

I/O Software fue una entidad pionera en el mundo de la biometría impulsada por dos precoces emprendedores William Saito y Tas Dienes, mientras finalizaban sus estudios de bachillerato (Secundaria).

En 1998 I/O Software se incorporó al BioAPI Consortium y su especificación BAPI pasó a formar parte de la documentación de base que dio lugar a la especificación BioAPI.

La especificación consideraba un protocolo de software y un API (application programming interface) para facilitar la comunicación entre el software de aplicación y los dispositivos biétricos.

El año 2000, Microsoft adquirió a I/O Software la tecnología BAPI con la idea de incluirla en futuras versiones de Windows. I/O Software también licenció elementos de BAPI a Intel para su inclusión en la plataforma de seguridad PC de la entidad.

En el año 2004 Microsoft adquirió la propia compañía I/O Software.

En el marco de BAPI se definió el siguiente glosario (en inglés):

  • BAPI Device Module Interface (BDMI). This is the interface between BAPI and the physical biometric device. The device manufacturer provides a BDM, which is an instance of BDMI, to support BAPI on a given operating platform for their device.
  • BAPI Device Module (BDM). This is essentially a device driver provided by the device manufacturer that maps a particular device’s capabilities into the functionality provided by BAPI and defined by BDMI.
  • Biometric Application Programming Interface (BAPI). This is an API that allows the programmer to develop applications for a broad range of virtual biometric devices (VBDs) without knowing the specific capabilities of the device. The API is comprised of three distinct levels of functionality from high device abstraction to low (device specific) abstraction.
  • Biometric device. A biometric device is a physical device that is typically attached to a microcomputer (in our paradigm) that can obtain and process distinctive human characteristic data such as fingerprint scanners, retina pattern analyzers or voice analyzers.
  • Biometric element. A biometric element is the physical portion of a biometric device that is used to actively or passively acquire biometrics data from a biometrics sampling source.
  • Biometric sample/data. The biometric sample is the information obtained from a biometric device that contains the encoded information that is the distinctive human characteristic data such as a finger print, retina pattern or voice prints.
  • Biometric sampling source. This is the target entity which the biometric device is designed to sample, scan or read.
  • Channel. A channel is the method by which a component processes data, whether that process is creation, transformation or comparison. Each component type is expected to contain one or more standard channels. In addition, any number of extended channels may be defined in order to fully enumerate the capabilities of a particular biometrics device.
  • Comparison. This is the act of matching sampled biometric data against another set of data for verifying and/or identifying an individual. Comparison is always done between comparison data and template data. Comparison returns a score that indicates the degree to which comparison data and template data match.
  • Comparison data. This is the data sampled from a biometric sampling source and is typically used for comparison to stored template data.
  • Component. A component is a logical classification of one particular step in the biometrics authentication/identification process. There are five categories of components: Samplers, Filters, Engines, Storage and OEM defined components.
  • Control. Controls can affect the way data is processed by the channels, or supply BAPI functions with important information regarding the status of a channel or device.
  • Engine component. An engine component provides the processing functionality in order to verify or identify an individual. An ENGINE component drives a particular process.
  • Event. An event is the occurrence of an incident such as a mouse click or key press.
  • Event driven. Describing something as event driven indicates that a process is controlled and/or communicates using events. These events are used as signals to inform any or all processes of thread, hardware or software status and other information that is needed by a process to continue, pause or terminate execution.
  • Filter component. This component functions to reduce or optimize raw biometric data to be later be used in comparison or verification functions.
  • Hardware Abstraction Layer (HAL). This is the logical portion of a system that separates the OS from the modules of the system that make use of any OS-provided functionality.
  • High Level BAPI (HBAPI; Level 3). High level BAPI is intended for use in writing applications that are expected to utilize an arbitrarily selected BAPI compliant physical biometric device. At this level, the applications programmer must use the standard VBD programming model.
  • Identify. This is a one-to-many comparison of sampled comparison data to the template data stored in a template database. In this case, it is not necessary for the user to identify himself to the system before beginning the identification process. Identification is often slower than verification (because of the need to search a large database), and many biometric systems cannot perform this function. This can mean the same as to verify but may often have an optimized and separate processing mechanism associated with it on a biometric device.
  • Low Level BAPI (LBAPI; Level 1). The lowest level of BAPI allows the applications programmer to utilize the special features of a biometric device from a known manufacturer. This level allows for complete control of a specific biometric device.
  • Middle Level BAPI (MBAPI; Level 2). The mid level of BAPI is used when the programmer knows the categorical type of biometric device that will be used. This level is best used when the category is known but the physical device is still arbitrary.
  • Multithreaded. Multithreaded denotes the capability to execute multiple executables or portions of an executable simultaneously. BAPI is multithreaded and supports multithreaded BAPI applications by ensuring that each application executes within its own execution context within BAPI. BAPI manages this context as well as resource and device access and contention.
  • Profile data. Profile data is general information regarding an individual that can be stored in the user’s database within VBD.
  • Raw data. This is the initial biometric data obtained from a sampling source before any reduction, processing or optimizing occurs.
  • S-Process. This is the process of sampling biometric data from a biometric sampling source so that it can be reduced into template data and then used directly for comparison functionality.
  • S-template. An s-template is functionally equivalent to «comparison data» (described above). Stands for comparison «sample – template.»
  • Sampling. Sampling is the act of acquiring biometric data from a sampling source.
  • Score. The score is the numerical result of a comparison function. It indicates to what degree the sampled biometric data matches the stored template data for an individual.
  • Sensor. A sensor is the mechanism on a biometric device for checking for the presence of a biometric sampling source ready to be sampled.
  • Status report. A status report is the means by which a biometric device can report its operational status. LEDs and LCD displays on the physical devices are examples of status indicators.
  • Storage component. Storage components provide access to nonvolatile memory areas within the VBD model.
  • Template data. This is the result of reducing or optimizing the raw data obtained during a sampling process (T–Process) for use in identifying or verifying an individual. In most cases, the idea behind a template is to reduce the size of the raw data into the smallest size possible while still retaining the data’s inherent uniqueness.
  • T-Process. This is the process of obtaining biometric data from a biometric sampling source so that it can be reduced into template data and then, typically, stored for use in future comparison functions.
  • T-template. A t-template is functionally equivalent to «template data» (described below). Stands for comparison «target – template.»
  • User Database. This is a database of USER records internally maintained by the VBD.
  • USER record. A USER is a database record containing information about an individual and their template and or profile data.
  • Verify. This is a one-to-one comparison of stored template data to sampled comparison data. This can mean the same as identify, but may often have an optimized and separate processing mechanism associated with it on a biometric device. The verification process simply certifies that the user is who he says he is.
  • Virtual Biometric Device (VBD). A VBD provides an abstraction layer between the BAPI application and a physical biometric device which contains the common core functionality and components which are shared by all biometric devices. By targeting the VBD model, a BAPI programmer can write an application that targets all BAPI compliant biometric devices.
Leer más >
EADTrust Evidencias electrónicas

Firma digitalizada avanzada

Firma digitalizada

Empieza a extenderse la posibilidad de firmar sobre una tableta digitalizadora al recoger envíos en Correos, al retirar efectivo en algunas entidades financieras y al pagar con tarjeta en algunos comercios.

Al usar la firma manuscrita en estos contexto podemos cuestionarnos si estamos haciendo lo adecuado, porque son muchas las voces que han identificado los problemas que plantean. Entre ellas:

En general, no es tan sencillo saber si un sistema de captura digital de firmas manuscritas es seguro y es legítimo que los usuarios intenten obtener de las entidades todas las garantías para ello.

EADTrust ha definido un servicio de auditoría de soluciones de firma digitalizada que aplica los principios que la Ley 59/2003 para las firmas avanzadas.

Los sistemas auditados y con un informe positivo presentan las mayores garantías jurídicas tanto para la entidad solicitante como para sus clientes o usuarios. A estas firmas las llamamos firmas digitalizadas avanzadas aunque se podrían llamar firmas avanzadas digitalizadas. Las entidades auditadas pueden utilizar el logo diseñado por EADTrust para ello transmitiendo confianza a sus usuarios.

Los principios básicos que según EADTrust debe cumplir un sistema de firma digitalizada avanzada son:

  1. Captura de elementos biométricos asociados a sus datos de producción (presión, velocidad de trazo, …)
  2. Vinculación biunívoca de los elementos biométricos con el documento firmado
  3. Imposibilidad de incrustar una firma en otro documento
  4. Integridad de los datos firmados
  5. Autenticidad del documento y vinculación con el firmante
  6. Confidencialidad de los datos biométricos
  7. Validación de firmas
  8. Posibilidad de comprobar la firma por el titular
  9. Posibilidad de demostrar la validez de la firma en un proceso litigioso
  10. Protección de la información conforme a la LOPD

A la auditoría se puede añadir un estudio de aplicabilidad de las firmas digitalizadas avanzadas considerando la normativa aplicable

  • Código Civil. Derecho de obligaciones.
  • Código Mercantil.
  • Ley de Enjuiciamiento Civil.
  • Directiva 1999/93/CE de firma electrónica.
  • Ley 59/2003, de 19 de diciembre, de firma electrónica.
  • Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal.
  • Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información.
  • Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información.
  • Ley 22/2007, de 11 de julio, sobre comercialización a distancia de servicios financieros destinados a los consumidores.
  • Ley 7 / 1998, de 13 de abril, sobre condiciones generales de la contratación.
Leer más >