Este documento introduce conceptos clave sobre firma electrónica y facturación electrónica. Explica los certificados digitales, incluyendo su función para autenticar identidades y garantizar la integridad de los documentos. También describe los tipos de certificados y los roles de las autoridades de certificación y registro en el proceso de emisión de certificados.
3. 3
Introducción
Conceptos
Previos
Facturación
Electrónica
Alberto Urquiza
– Socio Consultor de edatalia data solutions, s.l.
– Experto en proyectos de facturación electrónica
Pedro Bastarrica
– Socio Consultor de edatalia data solutions, s.l.
– Experto en soluciones de firma y facturación electrónica
www.edatalia.com
Introducción
Ponentes
introducción
5. 5
Introducción
Conceptos
Previos
Facturación
Electrónica
Autenticación
¿La información ha sido enviada por la
persona que dice que la ha enviado?
¿Quién accede a mi red es efectivamente
quién dice ser?
Confidencialidad
¿La información ha sido leída por terceros?
Integridad
¿Alguien ha podido modificar el contenido?
Repudio (Negación de envío)
Si hay algún problema ¿podría el remitente
negar la autoría del documento?.
“Lo bueno de Internet es que
nadie sabe que eres un perro”
Algunas preguntas…
Introducción
introducción
7. 7
Introducción
Conceptos
Previos
Facturación
Electrónica
Certificados Digitales
Introducción
Conceptos
Previos
Es un archivo electrónico que identifica a un usuario
Es el equivalente electrónico a un Documento de Identidad.
Asocia una clave única a una identidad,
– Cada certificado está identificado por un número de serie único y tiene un
periodo de validez que está incluido en el certificado
– De tal forma que ésta queda fehacientemente ligada a los documentos
electrónicos sobre la que se aplica.
8. 8
Introducción
Conceptos
Previos
Facturación
Electrónica
Certificados Digitales
Introducción
Conceptos
Previos
Un certificado electrónico consta de dos partes diferenciadas:
Clave pública: es la que le posibilita al destinatario verificar quien es el
autor del mensaje y la integridad de los datos enviados.
Contiene datos del titular (nombre, apellidos, razón social, CIF, e-mail…) y del
propio certificado (caducidad, nº serie…)
Esta clave se comparte (al enviar documentos firmados) y es conocida por
otras Personas
Clave privada: nivel de seguridad para posibilitar el uso del certificado
– Debe permanecer bajo el exclusivo control de su propietario.
– Esta característica permite que una firma digital identifique en forma unívoca al
firmante.
Conocida una NO se obtiene la otra
9. 9
Introducción
Conceptos
Previos
Facturación
Electrónica
Certificados Digitales
Confianza en el certificado
Conceptos
Previos
Podremos confiar en el certificado digital de una persona a la que no
conocemos, si dicho certificado está avalado por una entidad en la
que sí confiamos; es decir, si está avalado por un Prestador de
Servicios de Certificación en el que confiemos.
– El Prestador de Servicios de Certificación garantiza que el certificado es de
fiar mediante su firma digital en el mismo.
10. 10
Introducción
Conceptos
Previos
Facturación
Electrónica
Certificados Digitales
Datos que contiene el certificado
Conceptos
Previos
Cada certificado contiene información:
Del Titular: la identidad y su clave pública
De la autoridad certificadora: la identidad y la firma
Del propio certificado: número de serie, periodo de
validez, restricciones básicas, declaración de certificado
reconocido, etc.
Construidos según el estándar X.509 v3
11. 11
Introducción
Conceptos
Previos
Facturación
Electrónica
Certificados Digitales
Certificado digital / Firma electrónica
Conceptos
Previos
Sistema de seguridad, cuyo objetivo es establecer confianza en las
relaciones electrónicas.
Los certificados digitales, por tanto, son una herramienta imprescindible
para garantizar:
– La identidad de una persona/empresa.
– La no modificación de la información.
– La confidencialidad de la información.
13. 13
Introducción
Conceptos
Previos
Facturación
Electrónica
Certificados Digitales
Usos
Conceptos
Previos
Clave de acceso a áreas restringidas
– Áreas físicas: para acceder a una Empresa, un Departamento, un PC,
máquina de café o para “fichar” a la entrada y salida de la Persona
– Acceso a web: Mayor seguridad que “usuario y contraseña”
Firma de documentos
– El emisor del documento se asegura que el documento no puede ser
modificado (integridad)
– El receptor puede comprobar de forma inequívoca la identidad del
firmante, y este no puede negar su autoría.
– Se puede firmar cualquier tipo de documento o mensaje (e-mail)
Cifrar una comunicación
– Garantiza que el documento sólo puede ser leído por su destinatario
(confidencialidad)
14. 14
Introducción
Conceptos
Previos
Facturación
Electrónica
Certificados Digitales
Acceso restringido a webs
Conceptos
Previos
Se utiliza para controlar el acceso a un sitio Web o a determinadas páginas
del mismo
Mayor seguridad que login+password
Al intentar acceder, se solicita un certificado a quien visita la página
Se puede filtrar el acceso según los datos que contenga el certificado, si está
revocado,…
En el sitio Web es necesario tener instalado un certificado de servidor Web
seguro
*SSL (Secure Sockets Layer)
16. 16
Introducción
Conceptos
Previos
Facturación
Electrónica
Certificados Digitales
Quien interviene en la emisión de un certificado
Conceptos
Previos
Autoridad de Certificación (AC)
– Es quién emite el certificado digital y quién interviene como tercero de
confianza.
Autoridad de Registro (AR)
– Persona o entidad delegada por la AC para la verificación de la identidad
de los solicitantes y otras funciones dentro del proceso de expedición y
manejo de certificados digitales.
Suscriptor
– Es la persona/entidad para la cual se expide el certificado.
Solicitante
– Quién solicita la expedición del certificado que puede ser distinta que el
suscriptor ya que, por ejemplo, el solicitante puede ser la empresa y el
suscriptor un empleado.
17. 17
Introducción
Conceptos
Previos
Facturación
Electrónica
Certificados Digitales
Proceso de emisión
Conceptos
Previos
Ministerio
de Interior
Dirección General
de Policía
ComisaríaComisaría Comisaría
Ministerio
de Industria
DNI Certificado Digital
Ejemplo ilustrativo
Autoridad
Certificación
Autoridad
Certificación
Autoridad
Certificación
Autoridad
de Registro
Autoridad
de Registro
Autoridad
de Registro
18. 18
Introducción
Conceptos
Previos
Facturación
Electrónica
Certificados Digitales
Qué es una Autoridad de Certificación (CA)
Conceptos
Previos
– Las Autoridades de Certificación mantienen la responsabilidad de
verificar la identidad de un usuario, emitiendo certificados digitales y
verificando la validez de los mismos.
– Las Autoridades de Certificación otorgan a las distintas partes la
confianza necesaria para interactuar en un entorno en el que nadie
se conoce. Son el elemento imprescindible para la existencia de una
firma electrónica legal.
19. 19
Introducción
Conceptos
Previos
Facturación
Electrónica
Certificados Digitales
Funciones de la Autoridad de Certificación
Conceptos
Previos
Gestionar el servicio de certificación digital
Definir las Políticas de certificación
Gestionar el directorio de certificados emitidos
Gestionar las listas de revocación (CRL)
Cubrir la responsabilidad Civil.
Inscripción en el registro de entidades de certificación
Auditar las Autoridades de Registro (RA)
Gestionar la seguridad del sistema
Negociar el reconocimiento de los certificados mediante acuerdos
con otras entidades de certificación
Definir la estrategia del servicio de certificación actual y futuro.
Proporcionar un servicio de Hot-line 24/horas* 365días, de
información, gestión y revocación.
21. 21
Introducción
Conceptos
Previos
Facturación
Electrónica
Certificados Digitales
Características de las Autoridades
Conceptos
Previos
Precios de solicitud y uso de CRL
– Ceres: Solicitud gratuita, uso de CRL previo pago
– Izenpe: Solicitud gratuita pero restringida, acceso gratuito a CRL
– Camerfirma: Solicitud de pago, acceso gratuito a CRL
Ámbito de aplicación
– Ceres: Estatal
– Izenpe: Autonómico
– Camerfirma: Internacional (iniciativa ChamberSign)
Reconocimientos
– Ceres: Organismos estatales (Ministerios)
– Izenpe: Organismos autonómicos CAPV y AEAT
– Camerfirma: AEAT, Forcem (Formación Continua), Correos, Ministerio de
Industria, gobiernos autonómicos (Cataluña, Galicia, Baleares, Valencia,
etc…), Administración País Vasco
22. 22
Introducción
Conceptos
Previos
Facturación
Electrónica
Certificados Digitales
Funciones de una Autoridad de Registro
Conceptos
Previos
Identificar y autenticar correctamente al Suscriptor y/o Solicitante y/o
a la Organización que represente, conforme a los procedimientos que
se establecen en las Prácticas de Certificación específicas para cada
tipo de Certificado, utilizando cualquiera de los medios admitidos en
derecho.
Validar las solicitudes de revocación y suspensión respecto a
aquellos Certificados en cuya emisión hayan participado.
Formalizar los contratos de expedición de Certificados con el
Suscriptor en los términos y condiciones que establezca la CA.
Almacenar de forma segura y por un periodo razonable la
documentación aportada en el proceso de emisión del Certificado y en
el proceso de suspensión/revocación del mismo.
23. 23
Introducción
Conceptos
Previos
Facturación
Electrónica
Certificados Digitales
Procedimientos asociados a la emisión
Conceptos
Previos
Renovación
– Cuando llega su fecha de caducidad
Revocación
– Anulación definitiva de un certificado antes de que caduque
– P.ej. Baja en la empresa, seguridad comprometida por pérdida o robo,…
– Cada autoridad de certificación mantiene una lista de certificados
revocados (CRL)
– Ésta puede o no ser accesible públicamente (vía Web o
automáticamente con el software de firma usado)
Suspensión
– Invalidación temporal de un certificado digital como consecuencia de la
petición del suscriptor, o por propia iniciativa de la Autoridad de
certificación, en caso de duda sobre la seguridad de las claves.
24. 24
Introducción
Conceptos
Previos
Facturación
Electrónica
Certificados Digitales
Validez de un certificado
Conceptos
Previos
Tiempo
Vigencia del certificado
Firma No Repudio
Tiempo
Vigencia del certificado
Firma Repudio
La capacidad de revocar un certificado es un derecho que asiste al
titular del mismo, o a las entidades que representa,
– Si el certificado es obtenido por terceros en conocimiento del PIN, podrían
quedar comprometidos por firmas no realizadas bajo su voluntad.
25. 25
Introducción
Conceptos
Previos
Facturación
Electrónica
Certificados Digitales
Validez de un certificado
Conceptos
Previos
La validez de un Certificado depende primeramente de la
credibilidad de quien lo emite, es decir de la Autoridad de
certificación.
Depende también del método y los recursos utilizados para
su emisión: soporte, identificación, seguridad, etc.
Finalmente la validez también depende del ámbito de
reconocimiento de este certificado.
26. 26
Introducción
Conceptos
Previos
Facturación
Electrónica
Personal: el Titular siempre será una persona física
– DNI electrónico
De Persona Jurídica: Similar a un “sello de empresa”
De pertenencia a empresa: Certificado de Persona Física con Atributos de
Persona Jurídica
– Contiene información sobre el Titular (DNI) como de la Empresa (CIF)
– Puede contener información sobre el cargo, unidad organizativa…
– Tanto la Persona Física como la Empresa podrán revocar el certificado
Específico para facturación electrónica
Otros tipos de certificados digitales:
– De Representante
– Para actos notariales
– De servidor seguro
– Firma de Correo electrónico
– De firma de código
Tipos de Certificados Digitales
Certificados Digitales
Conceptos
Previos
27. 27
Introducción
Conceptos
Previos
Facturación
Electrónica
Certificados Digitales
Tipos de Certificados Digitales: DNI electrónico
Conceptos
Previos
Acredita a una persona, no a su vinculación con una entidad
El chip electrónico contiene los mismos datos que aparecen impresos en la
tarjeta (datos personales, fotografía, Firma Electrónica, huella dactilar
digitalizada) junto con los certificados de Autenticación y de Firma
Electrónica.
Capacidad de autenticación y firma pero no de cifrado
Únicamente en soporte tarjeta
El nuevo DNI electrónico estará disponible en toda España en otoño de 2007.
La Policía Nacional alcanza los 1.000.000 DNI electrónicos en 38 ciudades españolas,
y llegará a 2.500.000 a final de 2007 (Fuente: www.dnielectronico.es – Septiembre 2007).
29. 29
Introducción
Conceptos
Previos
Facturación
Electrónica
Certificados Digitales
Tipos de Certificados Digitales: para factura electrónica
Conceptos
Previos
A nombre de una entidad, no de una persona
– Similar a un “sello de empresa”
En la solicitud ha de figurar una persona física, titular del certificado,
con capacidad de representación dentro de la empresa ó autorizado
por un representante de la empresa para realizar facturación
electrónica en nombre de la misma.
Uso exclusivo para facturación electrónica
30. 30
Introducción
Conceptos
Previos
Facturación
Electrónica
Llaves biométricas
Opciones adicionales a la de almacenar certificados digitales.
Identifican al usuario mediante medidas biométricas.
Certificado Digital
Soportes para certificados
Tarjetas
Permiten realizar una personalización
Requieren un lector USB o PCMCIA
Acceso protegido mediante PIN
Llaves USB
Diseñado para aplicaciones portátiles,
Conectividad sin cables adicionales.
Posibilidad de incorporar otros certificados, passwords,..
Software
El certificado está instalado dentro del equipo. Se pueden proteger mediante PIN.
Se permite la exportación a otros equipos
34. 34
Introducción
Conceptos
Previos
Facturación
Electrónica
Firma Electrónica
Firma Electrónica
Conceptos
Previos
La firma electrónica es un conjunto de datos en forma electrónica,
consignados junto a otros o asociados con ellos, que pueden ser utilizados
como medio de identificación del firmante.
La firma electrónica avanzada es la firma electrónica que permite
identificar al firmante y detectar cualquier cambio ulterior de los datos
firmados, que está vinculada al firmante de manera única y a los datos a que
se refiere y que ha sido creada por medios que el firmante puede mantener
bajo su exclusivo control.
Se considera firma electrónica reconocida la firma electrónica avanzada
basada en un certificado reconocido y generada mediante un dispositivo
seguro de creación de firma.
– La firma electrónica reconocida tendrá respecto de los datos consignados en
forma electrónica el mismo valor que la firma manuscrita en relación con los
consignados en papel.
35. 35
Introducción
Conceptos
Previos
Facturación
Electrónica
Firma Electrónica
Firma electrónica avanzada
Conceptos
Previos
Clave
privada
Documento
Certificado
Documento
Firmado
Herramienta
de Firma
La firma electrónica identifica al firmante y garantiza la integridad
del contenido del documento
– El emisor requiere el documento, un certificado y una herramienta de firma
– El receptor, software para visualizar del documento y verificar la firma
Visualización del
Documento
Validación
de la firma
Proceso de Firma Lectura del documento
y Verificación de la Firma
36. 36
Introducción
Conceptos
Previos
Facturación
Electrónica
Firma Electrónica
La firma digital de un documento es el resultado de aplicar cierto
algoritmo matemático (hash) a su contenido y, seguidamente, aplicar
el algoritmo de firma
– El algoritmo de firma requiere la clave privada del certificado
Firma electrónica avanzada: Proceso de firma
Documento
010… 001001011Hash
encriptar con la llave
privada del emisor
010… 001001011
Info. Clave Pública
Documento Firmado Electrónicamente
010… 001001011
Info. Clave Pública
Conceptos
Previos
37. 37
Introducción
Conceptos
Previos
Facturación
Electrónica
Firma Electrónica
El receptor verifica la firma aplicando el mismo algoritmo al documento
y desencriptando la firma (para lo que se emplea la clave pública)
Firma electrónica avanzada: Verificación de firma
Documento
010… 001001011Hash
el hash firmado se desencripta
con la clave pública
010… 001001011
Se vuelve a calcular el
hash del documento
El nuevo hash calculado coincidirá con el resultado de la firma digital desencriptada.
Si no son exactamente iguales, será porque:
-o existen modificaciones en el documento posteriores a la firma
-o la firma no fue generada con la clave privada del emisor del documento
Se comprueba que sean idénticos
Documento Firmado Electrónicamente
010… 001001011
Info. Clave Pública
Nuevo hash Firma desencriptada
Conceptos
Previos
38. 38
Introducción
Conceptos
Previos
Facturación
Electrónica
Los modos de firma más habituales son:
Ambos modos son válidos en el sistema de firma electrónica.
Detached
La firma queda separada del
documento firmado
Para la validación, se deben
gestionar los dos archivos
Attached
La firma se “integra” en el
documento firmado
Para validar la firma, sólo se
requiere el documento firmado
Firma Electrónica
Modos de Firma
Conceptos
Previos
FirmaFirma
41. 41
Introducción
Conceptos
Previos
Facturación
Electrónica
Firma Electrónica
Ejemplos de usos empresariales
Conceptos
Previos
Factura electrónica
Firma de actas
Acceso restringido a una página web:
– Trámites con la Administración
– Identificación en Intranet y Extranet
Firmas de documentación de sistemas de calidad
Firma de ofertas y pedidos
– Formulario Electrónico
Ejemplo: Visado Electrónico
43. 43
Introducción
Conceptos
Previos
Facturación
Electrónica
Marco Jurídico
– Ley 30/92, de 26 de noviembre, de Régimen Jurídico de las
Administraciones Públicas y del procedimiento administrativo común.
– Directiva 1999/93/CE del parlamento europeo y del consejo, de 13 de
diciembre de 1999, por la que se establece un marco comunitario para
la firma electrónica.
– Real decreto-ley 14/1999 de 17 de septiembre, sobre firma electrónica, el
reconocimiento de su eficacia jurídica y la prestación al público de servicios
de certificación.
– Orden de 21 de febrero de 2000 por la que se aprueba el reglamento de
acreditación de prestadores de servicios de certificación y de certificación
de determinados productos de Firma Electrónica.
Firma Electrónica
Conceptos
Previos
44. 44
Introducción
Conceptos
Previos
Facturación
Electrónica
– Orden de 21 de febrero de 2000 por la que se aprueba el reglamento de
acreditación de prestadores de servicios de certificación y de certificación
de determinados productos de Firma Electrónica.
– Ley 59/2003, de 19 diciembre, de firma electrónica.
– Reglamentos posteriores del Estado: Real Decreto 209/2003, de 21 de
febrero, por el que se regulan los registros y las notificaciones
telemáticas, así como la utilización de medios telemáticos para la
sustitución de la aportación de certificados por los ciudadanos.
– Legislación de las Administraciones Públicas (Autonomías).
Marco Jurídico
Firma Electrónica
Conceptos
Previos
A pesar de su creciente influencia en la vida cotidiana, la desconfianza en Internet como medio para comerciar o realizar trámites administrativos que exijan acreditar inequívocamente la identidad de una persona está aún hoy muy extendida. Los internautas utilizan la Red para buscar información o para entretenerse pero si se trata de dar el número de la tarjeta de crédito o datos de carácter personal, la cosa cambia. Internet es comunicación, pero uno de sus mayores problemas es la identificación segura y veraz de personas y entidades. La firma electrónica viene para tratar de solucionar estos problemas y dinamizar la Administración y el comercio electrónicos.
Sin embargo, en esta relación no sólo intervienen el emisor y el receptor. Un tercer actor entra en juego: la Autoridad Certificadora (AC) o prestador de servicios de certificación. Es lo que la Ley de Firma Electrónica, aprobada en diciembre de 2003, denomina "tercera parte de confianza". Este prestador de servicios de certificación puede ser un organismo público o una empresa privada. La AC expide un certificado digital que da fe de la vinculación entre una clave pública y una persona física o jurídica: establece, en definitiva, la identidad del emisor y del receptor, sin tener acceso a la información que se intercambian.
El DNI electrónico podría esta disponible en toda España en 2007, según fuentes de la Policía Nacional Son ya más de 320.000 españoles los que disponen de este nuevo documento con firma electrónica incorporada | 26 de febrero de 2007 Con el propósito de que todos los ciudadanos puedan disponer del DNI electrónico en 2007, la Policía Nacional quiere acelerar la implantación del nuevo documento en todo el territorio español, según dio a conocer Joan Mesquida, director general de la Policía y la Guardia Civil. Esta iniciativa se debe al interés y a "la gran acogida" que ha suscitado el nuevo DNI entre ciudadanos, empresas y administraciones, "y a su importancia en el desarrollo de la Administración electrónica y el impulso de la Sociedad de la Información", detalló Mesquida, que recordó que ya son más de 320.000 españoles los que disponen de DNI con firma electrónica incorporada. El nuevo documento, disponible ya en 36 ciudades, pertenecientes a 22 provincias, destaca por la seguridad, la utilidad y la comodidad, entre otras ventajas, enumeró el director general. El nuevo DNI "nos sitúa en la vanguardia tecnológica mundial", según aseguró Mesquida. "Este proyecto ha supuesto un esfuerzo de primera magnitud" y en él han intervenido los ministerios de Interior, Administraciones Públicas, Industria, Economía y Hacienda, Trabajo y Justicia, coordinados por la vicepresidenta del Gobierno, señaló el responsable policial. La inversión prevista supera los 315 millones de euros. "El DNI electrónico se obtiene con más rapidez y comodidad, ya que antes se tardaba un mes y se requería de dos visitas a la Oficina de Expedición, y ahora todo se resuelve en menos de un cuarto de hora", resaltó Mesquida al hablar de este nuevo documento. Además, dispone de "una nueva utilidad incorporada: la firma electrónica", añadió. El DNI electrónico tiene la máxima seguridad, tanto en su aspecto físico como telemático, así como en todo su proceso de registro, certificación y expedición, subrayó el director general de la Policía y la Guardia Civil, que explicó que el documento incorpora las más sofisticadas y avanzadas medidas de seguridad.
El DNI electrónico podría esta disponible en toda España en 2007, según fuentes de la Policía Nacional Son ya más de 320.000 españoles los que disponen de este nuevo documento con firma electrónica incorporada | 26 de febrero de 2007 Con el propósito de que todos los ciudadanos puedan disponer del DNI electrónico en 2007, la Policía Nacional quiere acelerar la implantación del nuevo documento en todo el territorio español, según dio a conocer Joan Mesquida, director general de la Policía y la Guardia Civil. Esta iniciativa se debe al interés y a "la gran acogida" que ha suscitado el nuevo DNI entre ciudadanos, empresas y administraciones, "y a su importancia en el desarrollo de la Administración electrónica y el impulso de la Sociedad de la Información", detalló Mesquida, que recordó que ya son más de 320.000 españoles los que disponen de DNI con firma electrónica incorporada. El nuevo documento, disponible ya en 36 ciudades, pertenecientes a 22 provincias, destaca por la seguridad, la utilidad y la comodidad, entre otras ventajas, enumeró el director general. El nuevo DNI "nos sitúa en la vanguardia tecnológica mundial", según aseguró Mesquida. "Este proyecto ha supuesto un esfuerzo de primera magnitud" y en él han intervenido los ministerios de Interior, Administraciones Públicas, Industria, Economía y Hacienda, Trabajo y Justicia, coordinados por la vicepresidenta del Gobierno, señaló el responsable policial. La inversión prevista supera los 315 millones de euros. "El DNI electrónico se obtiene con más rapidez y comodidad, ya que antes se tardaba un mes y se requería de dos visitas a la Oficina de Expedición, y ahora todo se resuelve en menos de un cuarto de hora", resaltó Mesquida al hablar de este nuevo documento. Además, dispone de "una nueva utilidad incorporada: la firma electrónica", añadió. El DNI electrónico tiene la máxima seguridad, tanto en su aspecto físico como telemático, así como en todo su proceso de registro, certificación y expedición, subrayó el director general de la Policía y la Guardia Civil, que explicó que el documento incorpora las más sofisticadas y avanzadas medidas de seguridad.
La firma electrónica es un conjunto de datos generados mediante un algoritmo matemático y basado en técnicas criptográficas que se añade al documento que se quiere enviar por Internet y que permite vincular ese documento a una determinada persona o entidad. Toda la información que un usuario que disponga de un certificado con firma electrónica mande a través de la Red estará asociada a su clave pública.