FIRMA Y FACTURACION ELECTRONICA EN ESPAÑA. GUIA PRÁCTICA (TODO LO QUE QUISO SABER Y NUNCA SE ATREVIÓ A PREGUNTAR) JUAN JIMÉNEZ ROCABERT 1
Para Nuria, por su continua paciencia y generosidad. Mayo 2008 Ver 1.0 2
INDICE DE CONTENIDOS 1. RESUMEN... 6 2. INTRODUCCION... 7 3. ALCANCE.. 8 4. OPORTUNIDADES Y JUSTIFICACION DEL ESTUDIO... 8 5. METODOLOGÍA UTILIZADA.. 8 6. LA CRIPTOGRAFIA.. 9 7. LA FIRMA ELECTRONICA.. 10 7.1 Entidades de certificación.... 12 7.2 Directivas y Leyes a tener en cuenta en España.. 13 7.3 Tipos de firma, sello de tiempo, validación de firmas. 14 7.4 Certificados de representante y de persona jurídica. 16 7.5 El DNI electrónico... 17 8. DOCUMENTOS ELECTRONICOS... 18 8.1 Archivado. 19 8.2 Autenticación de los documentos electrónicos por la Administración 19 8.3 Autenticación de un documento electrónico 19 8.4 Normativa relativa a los documentos electrónicos en la Administración y en el sector privado 8.4.1 Introducción. 20 8.4.2 El documento electrónico en la Ley 11/2007 de Acceso electrónico de los ciudadanos a los Servicios Públicos (LAECAP). 21 8.4.3 El documento electrónico como medio de prueba... 22 8.4.4 Los documentos electrónicos en la Ley 59/2003, de Firma Electrónica..... 22 8.4.5 El e-documento en relación con la contratación electrónica... 23 8.4.6 Formatos estándar en los Documentos Electrónicos.... 23 8.4.7 La compulsa electrónica de documentos (Orden ITC/1475/2006)..... 23 9. LA REGULACION DE LA FACTURACION ELECTRÓNICA.. 25 9.1 La factura. Marco Normativo.. 25 9.1.1 Obligación Tributaria Formal (LGT).. 25 9.1.2 La obligación de facturar (LIVA, Ley de Impuesto sobre el Valor añadido).. 26 9.1.3 Real Decreto 1496/2003, Reglamento de Facturación (RF).... 26 9.2 La regulación de la Facturación Electrónica 3
9.2.1 Normativa Europea ( Directiva 2006/112/CE) 27 9.2.2 Ley del IVA: La regulación del IVA y la factura electrónica. 27 9.2.3 Regulación de la facturación electrónica en el Real Decreto 1496/2003 (RF). 28 9.2.4 Orden Ministerial EHA/962/2007,...... 29 9.2.4.1 Digitalización Certificada de facturas... 29 9.2.4.2 Impresión y almacenaje en papel de las facturas electrónicas..... 30 9.2.5 Ley de Contratación con las Administraciones Públicas en relación con la facturación....... 31 9.2.6 Orden PRE/2971/2007, de 5 de octubre. 31 10. EFECTOS DE LA NORMATIVA DE FACTURACION ELECTRONICA EN LAS ORGANIZACIONES 10.1 Requisitos de la factura electrónica. 32 10.2 Facturas electrónicas Facturas en papel.... 33 10.3 Deberes del emisor y receptor de facturas.. 34 11. IMPLANTACION DE LA FACTURACION Y FIRMA ELECTRONICA EN LAS ORGANIZACIONES.. 35 11.1 Justificación de la implantación de la factura electrónica... 35 11.2 Consideraciones de los proyectos de factura electrónica 36 11.3 Modelos de Implantación 40 11.4 Proyectos de factura electrónica 11.4.1 Integración de firma electrónica.. 42 11.4.2 Gestión del cambio.. 43 11.4.3 Plan de Proyecto de factura electrónica.. 44 12. DISPOSITIVO SEGURO DE CREACION DE FIRMA (TARJETAS, LECTORES Y APIs)... 12.1 Tarjeta Inteligente 45 12.2 Lectores de Tarjeta..... 46 13. PRESTADORES DE SERVICIO DE CERTIFICACION (CSP)... 47 13.1 ACA: Autoridad de Certificación de la Abogacía... 49 13.2 ACCV: Autoritat de Certicació de la Comunitat Valenciana.. 50 13.3 ANCERT: Agencia Notarial de Certificación. 53 13.4 Autoridad Certificadora de BANESTO... 59 13.5 CICCP: Colegio de Ingenieros de Caminos Canales y Puertos... 62 4
13.6 CAMERFIRMA.. 63 13.7 DGP (DNIe): Dirección General de la Policía.... 70 13.8 CERES: Certificación Española (FNMT).. 73 13.9 Conclusiones (PSC, Certificados, facturación electrónica) 13.9.1 Certificados recomendados en el ámbito de la facturación electrónica... 74 13.9.2 Certificados para firmar facturas. 74 13.9.3 Conclusiones y Cuadro resumen... 75 14. APLICACIONES EN LA PROPIA EMPRESA. 78 15. CONCLUSIONES.. 78 16. BIBLIOGRAFÍA Y FUENTES ON LINE.. 79 17. TÉRMINOS EMPLEADOS EN EL INFORME. 80 18. NORMAS TÉCNICAS Y DISPOSICIONES LEGALES DE APLICACIÓN. 83 5
1. RESUMEN El presente proyecto quiere servir como primera guía de aproximación al mundo de la firma y facturación electrónica en España, donde se definen los conceptos necesarios ( firma, certificado, documento electrónico, formatos, etc ), se presentan a todos los personajes que proporcionan las Condiciones de Dominio ( Prestador de Servicios de Certificación, de Validación, de Facturación, etc.. ) y se detallan las responsabilidades que en el comercio electrónico el emisor y el receptor tienen que cumplir con el fin de garantizar que se cumple con la legislación Española, de la cual igualmente se detallarán las diferentes leyes según corresponda. 6
2. INTRODUCCION A lo largo de la historia de la humanidad ha sido y es fundamental que las comunicaciones tengan determinadas garantías: Garantía de que solo el destinatario escuche o lea un mensaje (Confidencialidad) Garantía de saber que el emisor del mensaje es quién dice ser (autenticación) Garantía de que el mensaje no ha sido modificado (integridad) Hasta finales del siglo pasado la base de medios escritos en la que se ha trabajado ha sido exclusivamente el papel, siendo la firma manuscrita (permite certificar el reconocimiento o conformidad sobre un documento por parte del firmante, teniendo gran importancia desde el punto de vista legal) la principal señal de autenticación. En los próximos capítulos desarrollaremos como estás garantías se obtienen en el mundo electrónico a través de la firma electrónica y estudiaremos aplicaciones de la misma enfocadas al futuro de la facturación, la facturación electrónica, todo ello irá acompañado de las condicionantes legales que tienen que cumplirse acorde con la legislación vigente. Por último se profundizará en detalle con respecto a todos los Prestadores de Servicios de Certificación que hoy día existen en España. 7
3. ALCANCE Proyecto enfocado para todos los públicos cuya principal finalidad es servir de guía de bolsillo a cualquier empresario neófito en el mundo de Internet y más concretamente de la firma electrónica, de forma que sepa el potencial que tiene y todo lo que lleva consigo, sabiendo que tiene plenas garantías legales equiparables a la de la firma manuscrita. 4. OPORTUNIDADES Y JUSTIFICACIÓN DEL ESTUDIO Permite una mayor aproximación del mundo empresarial con la factura electrónica y por lo tanto sirve como primer paso de introducción al comercio electrónico para muchas de ellas, además permite la aparición de nuevas empresas o bien la consolidación o ampliación de las existentes que servirán de soporte para el cumplimiento legal de las transacciones ( Prestadores de Servicio de Certificación, de Validación, etc..) Existe una justificación en las empresas que traten directamente con las Administraciones debido a la obligatoriedad inminente a tener que realizar la facturación solo por medios electrónicos. 5. METODOLOGÍA UTILIZADA Se parte como base del texto del curso Experto en Firma y Facturación electrónica, con el fin de establecer los conceptos y el marco legal y se completa con un estudio detallado de los Prestadores de Servicios de Certificación homologados en España. 8
6. LA CRIPTOGRAFÍA Antes de proceder a la definición de la firma electrónica conviene desarrollar los siguientes conceptos: Criptología: disciplina que engloba a la Criptografía y al Criptoanálisis Criptografía: técnica consistente en la ocultación de un mensaje mediante la transformación de un texto inteligible en otro ininteligible valiéndose de unas claves con la finalidad de proteger la información que el mismo contiene Criptoanálisis: es la operación contraria, es decir averiguar la información oculta mediante técnicas criptográficas La Criptografía se ayuda de algoritmos (lista de operaciones) que permitan garantizar la inviolabilidad de los mensajes protegidos. Por ejemplo: Julio César diseño un cifrado que sigue el siguiente principio: Cada letra del texto en claro se sustituye por la letra que hay a k posiciones detrás de ella en el alfabeto, luego el algoritmo sería esa operación de sustituir cada letra por la que hay a k posiciones En la actualidad se manejan dos tipos de cifrados según las claves que se utilicen: a) Cifrado simétrico o de clave secreta: utiliza la misma clave para cifrar como para descifrar. El principal problema que tiene es garantizar la confidencialidad de la clave a utilizar, en la primera comunicación entre emisor y receptor. Un caso real sería las tarjetas de crédito y débito haciendo uso del PIN (Personal Identification Number) como clave secreta. Entre los algoritmos simétricos destacar: Triple DES, IDEA, Blowfish, RC5, SAFER, AES. El RC5 se utiliza en SSL en los navegadores b) Cifrado asimétrico o de clave pública: utiliza dos claves diferentes para cada usuario, una para cifrar (clave pública) y otra para descifrar (clave privada) de esta forma se resuelve el problema del cifrado simétrico respecto a la transmisión de las claves a utilizar. Entre los algoritmos asimétricos destacar: RSA ( utilizado por el DNI electrónico), Diffie-Hellman, Elgamal, Rabin-Williams, DSS, Curvas elípticas. En la actualidad se utiliza una combinación de ambos sistemas ya que aunque el cifrado asimétrico resuelve el problema del simétrico (confidencialidad de la clave a utilizar), el asimétrico es muy lento a la hora de ejecutar los procesos de cifrado y descifrado. c) Funciones Hash: también llamadas digest o funciones resumen, permiten hallar la huella dactilar de un mensaje o archivo, se utiliza para garantizar la integridad de la información. Entre los algoritmos Hash que se emplean tenemos: Ripend-160, MD5 y SHA1 En el siguiente enlace se tiene un video explicando todos estos conceptos: http://nexmedia.com.ar/index.php?option=com_content&task=view&id=77&itemid=47 9
7. LA FIRMA ELECTRONICA Se basa en los sistemas criptográficos de clave pública, donde la clave de cifrado es única para cada persona (clave privada) y la de descifrado la conoce todo el mundo y por tanto lo que cifre esa persona será utilizado como su firma electrónica. Volviendo con las tres garantías que nos interesan en las comunicaciones la confidencialidad, la integridad y la autenticación, su aplicación práctica en los sistemas criptográficos de clave pública se traduce en: - Autenticación: Si el emisor cifra un mensaje con su clave privada cualquier receptor podrá descifrarla con la clave pública del emisor y dado que el emisor es el único que conoce su clave privada se puede afirmar que solo el emisor pudo haber firmado el mensaje. - Confidencialidad: si el emisor cifra un mensaje con la clave pública del receptor, únicamente el receptor podrá descifrarlo con su clave privada, lo que garantiza que el mensaje solo lo podrá leer el receptor. - Integridad: si el emisor aplica un algoritmo a un mensaje obteniendo un código corto (resultado de la función hash) y le envía al receptor el mensaje propiamente dicho, junto con el código corto cifrado con su clave privada, el receptor puede comprobar si el resultado de aplicar el algoritmo al mensaje del emisor coincide con el del código corto cifrado, tras descifrarlo con la clave pública del emisor. Por tanto la firma electrónica permite garantizar mediante el cifrado con la clave privada tanto la autenticación del emisor como la integridad del mensaje. Vemos que para comprobar que la persona que firma el mensaje se corresponde con la persona física que dice ser, hay que garantizar la fuente de la cual obtengamos la clave pública del emisor, para ello están las entidades de certificación ( Certification Authority, CA) actuando como tercera parte confiable. Las entidades de certificación tras confirmar la identidad del peticionario emiten un certificado digital que garantiza que su clave pública es precisamente la suya. En dicho certificado están los datos de identificación del peticionario junto con su clave pública. En el certificado todos estos datos van cifrados con la clave privada de la Entidad de Certificación y cualquiera es capaz de extraer los datos del certificado ya que es conocida por todos la clave pública de la Entidad de Certificación. Normalmente la clave pública de la Entidad de Certificación está incorporada al software de realización y verificación de firmas electrónicas o se puede obtener mediante servidores Web.( p.e. enlace para obtener el certificado raíz de la FNMT http://www.cert.fnmt.es/content/pages_std/certificados/fnmtclase2ca.cer) Un certificado electrónico o digital es por tanto un documento electrónico que contiene información relativa al usuario tenedor y a la entidad de certificación que lo emite y cuya función es relacionar la clave pública del tenedor con estos datos de identificación. Sirva como ejemplo práctico que a la hora de mandar un mensaje por correo electrónico se puede decidir si se firma y/o se cifra. Al mandar un mensaje firmado electrónicamente, el receptor recibirá: el documento, el hash firmado y el certificado, a partir del certificado se puede extraer la clave pública del remitente, pudiendo descifrar el mensaje firmado Por tanto con nuestro certificado lo único que se puede hacer es firmar un documento, ya que enviará al destinatario el documento con el hash encriptado con nuestra clave privada y el certificado de la CA, es 10
decir podrá dar autenticación del remitente e integridad del documento. No puede dar confidencialidad al no tener la clave pública del destinatario. Una vez recibido el mensaje, el destinatario aunque no tenga un certificado propio podría reenviar al remitente una contestación que sería confidencial ya que podría cifrar el texto con una clave simétrica y a su vez encriptar la clave simétrica con la clave pública que recibió anteriormente del remitente. 11
7.1. ENTIDADES DE CERTIFICACION (CA) La entidad de Certificación debe ser una entidad de confianza (Trusted Third Party, TTP), conocida ampliamente, con una política de certificación que permita: la verificación de identidad, proporcione información sobre Uso y Validez de los certificados, gestione los certificados revocados, ofrezca lista de certificados expedidos, etc. Los parámetros que definen a una Entidad de Certificación (CA) son su dirección de red (nombre distinguido) y su clave pública. La selección de las autoridades de certificación (CA) adecuadas para cada uso vendrá dada por las características de su política de certificación, o por el reconocimiento de alguna de ellas por parte de entidades que acepten sus certificados. Las funciones de una Autoridad de Certificación (CA) se resumen en: Servicio de Registro (Autoridad de Registro, Registration Authority RA) Generación de certificados Servicios de publicación: políticas de certificación, CPS, CRL Servicio de revocación de certificados Servicio de estado de los certificados Política de Certificación es el conjunto de reglas que, describen los criterios mínimos que se deben considerar a la hora de emitir un certificado, definiendo la aplicabilidad de un certificado en una comunicada y/o en alguna aplicación Declaración de Prácticas de Certificación (CPS, Certification Practice Statement) es el conjunto de prácticas adoptadas por una Autoridad de Certificación para la emisión de certificados. Una política define que requerimientos de seguridad son necesarios para la emisión de los certificados y la CPS nos dice como se cumplen los requerimientos de seguridad impuestos por la política CRL: documento con un formato similar al de un certificado digital con los números de serie de los certificados revocados y la fecha y hora en la que se produjo la revocación, así como la causa que lo provocó. Entre los tipos de certificados que existen los principales son: personales, de atributos, Web, de firma de código, VPN, de componente, de sello de tiempo. El certificado Web es el utilizado en conexiones SSL permitiendo confidencialidad y autenticación por parte de la Web, es la que utiliza en Internet el protocolo http de seguridad: https. Obtener un certificado es tan sencillo como p.e el de la FNMT (FABRICA NACIONAL DE MONEDA Y TIMBRE, http://www.cert.fnmt.es/index.php?cha=cit&sec=obtain_cert&lang=es ), tras solicitarlo online indicando nuestro DNI, el software del usuario creará automáticamente sus propias claves, enviando a la FNMT una solicitud de generación de certificado que contiene su clave pública generada junto con los datos personales que se mostrarán en el certificado, tras acreditarnos físicamente en alguna de las siguientes oficinas (http://www.cert.fnmt.es/popup_frame.php?p=34&l=es) se generará el certificado, teniendo por tanto nuestra clave privada y pública, esta último en el propio certificado. 12
7.2. DIRECTIVAS Y LEYES A TENER EN CUENTA EN ESPAÑA. Directiva 1999/93/CE: establece el marco comunitario para la firma electrónica, otorgando, siempre que se cumplan unos requisitos mínimos en relación con los certificados, los prestadores de servicios de certificación y los dispositivos de creación de firma electrónica, eficacia jurídica equivalente a las firmas electrónica y manuscrita. http://www.mityc.es/nr/rdonlyres/90fb4d75-ebff-470c-8b3e-a55b0ed0a57d/0/doce_131299.pdf Ley 59/2003 (19 de diciembre) de firma electrónica en la que se regula, su eficacia jurídica y la prestación de servicios de certificación. Se introduce el marco normativo del DNI Electrónico y los certificados de persona jurídica y su consideración como certificados reconocidos http://www.boe.es/g/es/bases_datos/doc.php?coleccion=iberlex&id=2003/23399 Destacar en la Ley 59/2003 el artículo 3, donde se define importantes conceptos: Artículo 3 - Se define la firma electrónica simple, avanzada y reconocida Firma electrónica (simple): conjunto de datos en forma electrónica que pueden ser utilizados como medio de identificación del firmante.( p.e. firma gráfica digitalizada o el PIN de las tarjetas de crédito) Firma electrónica avanzada: firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control. (Se lleva a cabo con criptografía de clave pública y con el respaldo de un certificado electrónico) Firma electrónica reconocida: firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma y tendrá la misma equiparación legal que la firma manuscrita. ( La identidad se comprueba de forma rigurosa, e.j.: certificado FNMT) - Se define el concepto de documento electrónico: el redactado en soporte electrónico que incorpore datos que estén firmados electrónicamente. Se deja fuera la información digital relevante: imágenes, sonido, etc - Se reconoce la admisión como prueba en juicio del soporte en que se hallen los datos firmados electrónicamente - Se tendrá en cuenta la firma electrónica utilizada conforme a las condiciones acordadas por las partes para relacionarse entre sí, es decir que se podrán emplear firmas no reconocidas en sus relaciones con la misma validez que las reconocidas, si así se manifiesta entre ellas Nota: En un juicio se puede admitir como prueba la firma electrónica avanzada, pero el firmante tendrá que demostrar su validez, si fuese firma reconocida se presupone la validez, siendo el que alega su invalidez el encargado de demostrarlo. Para identificar los certificados reconocidos (Qualified Certificate, QC) deben incluir una declaración dentro del apartado de Extensiones con un identificador de objeto (OID) 1.3.6.1.5.5.7.1.3 (QCstatment) Nota: Los dispositivos seguros de creación de firma es muy recomendable que cumplan las especificaciones CEN CWA 14169 Y CEN CWA 14170 13
7.3. TIPOS DE FIRMA, SELLOS DE TIEMPO, VALIDACION DE FIRMAS Profundizando en los tipos de firma tratados anteriormente decir que a las firmas básicas definidas anteriormente se le pueden dar valores añadidos, obteniendo: La firma fechada: añade información temporal sobre el momento de la firma o de su verificación La firma validada o completa (ES-XL): añade información sobre la vigencia del certificado empleado en el momento de la firma o de su verificación. Por tanto permite comprobar que el certificado utilizado por el firmante estaba vigente en el momento de la firma Los formatos de firma más empleados son CMS, XML, EDI y documentos PDF: CMS/PKCS#7: formato básico de firmas al que estamos acostumbrados (p.e. es el formato de los certificado de la FNMT) a utilizar en el correo electrónico (.p7b) (http://www.ietf.org/rfc/rfc3369.txt ). El formado de firma completa se denomina CAdES (poco utilizado frente al XAdES). XML: se puede utilizar en cualquier tipo de documento no solo en los de formato XML. Destacar el formato XMLDsig como firma básica y al XAdES como firma completa ( http://www.w3.org/tr/xades ) Nota: Ambas firmas se pueden verificar con el software gratuito Acrobat Reader Dos aplicaciones interesantes basadas en el formato CMS: Visor gratuito que permite ver certificados X.509 (extensiones.cer,.p7b y.crl) http://homepage.mac.com/aramperez/berviewer.html Nota: Hay que cargar este fichero de identificación de OID http://www.cs.auckland.ac.nz/~pgut001/dumpasn1.cfg Software de firma de escritorio para crear y verificar firmas electrónicas de cualquier fichero o directorio alojado en el disco duro con sólo pulsar el botón derecho del ratón http://www.albalia.com/descargas/profirma.zip Por último decir que los formatos AdES (Advanced Electronic Signatura) son extensiones de formatos, en capas, que dan valores añadidos a las firmas tanto XAdES como CAdES: AdES-BES (basica), AdES-T (sello de tiempo), AdES-C (completa), AdES-X (extendida), AdES-X-L (extendida a largo plazo), AdES-A (archivo) La extensión de formato AdES-X-L necesita de un sello de tiempo y una validación a largo plazo: Los Sellos de tiempo son marcas temporales que se le imponen a un documento, para demostrar la existencia de un documento firmado en un momento de tiempo dado, realizadas por una tercera parte de confianza (Time Stamping Authority TSA, Ver RFC3161 de IETF). En las firmas AdES se sella la propia firma, por tanto el sello de tiempo puede ser realizado tanto por quien realizó la firma como por el receptor o incluso un tercero. En España el tiempo oficial lo da el ROA (Real Observatorio de la Armada) La Validación a largo plazo significa poder comprobar si un certificado digital se encuentra revocado en el momento de la firma. La forma en que un certificado debe ser validado esta contenida en la Política de Certificación de la CA. Se tienen dos métodos de validación: 14
Offline: se analiza en modo local, esta formado por las Listas de Certificados Revocados (Certificate Revocation List, CRL) publicadas por las autoridad de certificación CA del certificado On-Line: tenemos dos posibles métodos 1. OCSP (Online Certificate Status Protocol), se basa en la existencia de un Responder que recibe del cliente las peticiones relativas al estado de los certificados (a través de http). La CA de la Policía Nacional lo utiliza para el DNI Electrónico. 2. SCVP (Server-based Certificate Validation Protocol), poco empleado. La empresa Ascertia tiene implementaciones de SCVP Existe una tercera opción mediante un tercero confiable con las Autoridades de Validación (Validation Authority, VA). La VA se encarga de recoger la información sobre las revocaciones de los distintas CA y hacer de Responder OCSP ante las peticiones de sus clientes. Como VA en el ámbito público tenemos al MAP (Ministerio de Administraciones Públicas) y en el privado a Certiver 15
7.4. CERTIFICADO DE REPRESENTANTE Y DE PERSONA JURIDICA (Ley 59/2003) Certificado de persona jurídica: emitido a favor de una entidad que actuará por medio de un representante. En el ámbito Tributario aquellos actos en los que el obligado sea una empresa solo podrán ser tramitados con un certificado de persona jurídica. El certificado de persona jurídica esta limitado su uso a únicamente tratar con las Administraciones Públicas y cuando estas los admitan, o para la contratación privada dentro de su ámbito, siempre dentro de su tráfico ordinario. En la práctica se emplean para trámites con la AEAT y para la generación de facturas electrónicas. Estos certificados lo pueden solicitar los Administradores o representantes legales de la entidad y los apoderados, siendo necesario para estos últimos un poder específico que permita la solicitud del certificado. En España la representación es la figura jurídica por excelencia, rompiendo los certificados de persona jurídica esta representación: una persona jurídica nunca podría actuar por si misma, sino a través de sus representantes. Esta figura creada es excepcional no existiendo en el resto del ordenamiento jurídico español. La normativa comunitaria descartó esta opción a la hora de establecer el marco comunitario para la firma electrónica. Además desde el punto de vista técnico el certificado reconocido esta limitado a las personas físicas o naturales. Certificado de representante: emitido a favor de una persona física que actuará representando a su empresa. Contendrán la mención expresa del documento público acreditativo de las facultades del firmante. Estos certificados son idóneos para el usos y desarrollo de sistemas de facturación electrónica. Certificados recomendados en el ámbito de la facturación electrónica Como regla general utilizar los certificados personales, para que sean válidos en toda Europa. Siendo preferible que incluyan una referencia a la empresa en la que la persona presta sus servicios. Lo ideal sería utilizar certificados de representante que se hayan obtenido en base a un poder notarial (ANCERT, Agencia Notarial de Certificación) que restrinja su uso a firma de facturas. Camerfirma emite un certificado de persona física con indicación de la empresa a la que pertenece, así como un certificado específico para facturación electrónica. Respecto a la FNMT aunque la AEAT reconoce expresamente la validez de estos certificados. La declaración de Prácticas de certificación CPS de la FNMT da a entender que se exime de cualquier responsabilidad por daños, perjuicios o conflictos provenientes del uso o confianza en este tipo de certificados. Para evitar esto los receptores deberían contratar el servicio de consulta de certificados revocados de la FNMT. 16
7.5. EL DNI Electrónico El chip de la tarjeta almacena los siguientes certificados electrónicos: Certificado de Componente: permite el establecimiento de un canal cifrado y autenticado entre la tarjeta y los drivers. Certificado de Autenticación: su finalidad es garantizar electrónicamente la identidad del ciudadano al realizar una transacción telemática. No esta habilitado en operaciones que requieran no repudio de origen, por tanto los terceros aceptantes y los prestadores de servicios no tendrán garantía del compromiso del titular del DNI con el contenido firmado. Su uso principal será para generar mensajes de autenticación y de acceso seguro a sistemas informáticos. Certificado de firma: se utilizará para la firma de documentos garantizando la integridad de los documentos y el acuerdo con el contenido. Al ser el certificado expedido como reconocido y creado en un Dispositivo Seguro de Creación de Firma, convierte a las firmas electrónicas en reconocidas. La Autoridad de Certificación CA será el Ministerio del Interior concretamente la Dirección General de Policía Las Autoridades de Validación VA pueden ser: La FNMT que prestará sus servicios a ciudadanos, empresas y Administraciones públicas El Ministerio de Administraciones Públicas MAP que prestará sus servicios al conjunto de las Administraciones Públicas (su plataforma de validación se denomina @firma) La Entidad Pública Red.es en un futuro próximo La validación se realiza a través del protocolo OCSPs 17
8. DOCUMENTOS ELECTRONICOS Acorde al Artículo 5 de la LISI (Ley de Impulso de la Sociedad de la Información) se considera documento electrónico a la información de cualquier naturaleza en forma electrónica, archivada en un soporte electrónico según un formato determinado y susceptible de identificación y tratamiento diferenciado. Para que un documento electrónico tenga función probatoria debe ser auténtico, fiable, integro, disponible y legible Clases Legales de Documentos Electrónicos 1. Públicos: estarán firmados electrónicamente por funcionarios que tengan legalmente atribuida la facultad de dar fe pública, judicial, notarial o administrativa. 2. Administrátivos: documentos expedidos y firmados electrónicamente por funcionarios. Deberán incluir una referencia temporal cuando la naturaleza del documento así lo requiera. LA A.G.E. (Administración General del Estado) especificará que PSC estarán admitidos para prestar servicios de sellado de tiempo 3. Privados: deberán estar firmados con firma electrónica reconocida amparada en un certificado reconocido. Las Administraciones Públicas podrán obtener imágenes electrónicas de documentos privados, con igual validez, a través de procesos de digitalización que garanticen su autenticidad, integridad y la conservación del documento imagen. La obtención podrá hacerse e forma automatizada, mediante el correspondiente sello electrónico. 4. Otras clasificaciones Según su estructura pueden ser de tipo texto, multimedia, e incluso Web, para calificar estos últimos como documentos legales o administrativos se tendrá que valorar el contexto y contenido, que una vez identificados deberán conservarse con sus características esenciales. Según su formato pueden ser de todo tipo como procesadores de texto, bases de datos, documentos de hipertexto, imágenes, hojas de cálculo, correos electrónicos, vídeo, mensajes de voz, etc. Según su conservación puede ser Documentos Activos que están en trámite (3 a 5 años); Semiactivos de consulta esporádica (3/6 a 25 años) y Documentos Inactivos de valor histórico ( a partir de 25 años) Los documentos electrónicos de naturaleza legal requieren una conservación permanente o semipermanente Para los documentos electrónicos en un entorno Web: La localización se limitará a la URL del documento Se recomienda transcribir la fecha y guardar las diferentes versiones Una vez un contenido Web se identifique como documento legal o administrativo se deberá conservar con sus características esenciales (páginas, estáticas, dinámicas, etc...) debiendo guardar todo el site y anexar los logs de cambios (documentos modificados, eliminados, etc...). Además habrá que documentar el contenido con metadatos de fecha y hora de visionado, perfiles de usuario, URL, dominio, etc... 18
Nota: Se recomienda utilizar un sistema de almacenamiento ampliamente aceptado y de tecnología neutral como XHTML Los sistemas de gestión de documentos los formatos utilizados son PDF (Portable Document Format ) y ODF (Open Document) este último como estándar son los que están implantándose. El formato TIFF (Tagged Image File Format) permite crear imágenes en formato digital a partir de documentos impresos 8.1 ARCHIVADO El archivado es una parte muy importante de cualquier organización ya que permite la conservación de todos los documentos de sus operaciones para dar respuesta tanto a sus necesidades operativas como al cumplimiento de los requisitos legales. El principal objetivo de los sistemas de archivo del documento electrónico es conservar los documentos manteniendo la autenticidad e inteligibilidad 8.2 AUTENTICACIÓN DE LOS DOCUMENTOS ELECTRÓNICOS POR LA ADMINISTRACIÓN La autenticación de los documentos electrónicos por parte de las Administraciones Públicas podrá realizarse mediante: Sistemas de firma electrónica basados en la utilización de certificados de dispositivo seguro Sistemas de firma electrónica para la actuación administrativa automatizada. Firma electrónica del personal al servicio de las Administraciones Públicas 8.3 AUTENTICACIÓN DE UN DOCUMENTO ELECTRÓNICO Para que un documento electrónico tenga función probatoria debe ser auténtico, fiable, integro, disponible y legible Con la firma electrónica y sus aplicaciones obtenemos la autenticación del firmante (conocer el origen del mensaje aun incluso cuando no tenemos a la persona identificada, pues la garantía de la identidad la ofrece el propio certificado, no la firma) y la integridad del mensaje, es decir que no esta alterado. Se refuerza la autentificación mediante la intervención de un tercero de confianza que actúe como federatario electrónico. Las aplicaciones relacionadas con la firma electrónica son: S/MIME aplicación para el correo electrónico (pedidos comerciales por correo) SSL aplicación para el protocolo HTTP para hacer seguras las conexiones Web ( elemento de seguridad para el comercio electrónico) SSH aplicación para emplear un terminal de ordenado a distancia de forma segura La propia firma electrónica 19
8.4 NORMATIVA RELATIVA A LOS DOCUMENTOS ELECTRÓNICOS EN LA ADMINISTRACIÓN Y EN EL SECTOR PRIVADO 8.4.1 Introducción Legislativamente los hitos más relevantes son: Ley 59/2003 de Firma Electrónica; Ley de Acceso Electrónico de los ciudadanos a las Administraciones Públicas (LAECAP); DNI electrónico; Ley de servicios de la Sociedad de la Información y Comercio electrónico (LSSI-CE); Orden ITC/1475/2006, de 11 de mayo, sobre utilización del procedimiento electrónico para la compulsa de documentos en el ámbito del Ministerio de Industria, Turismo y Comercio Es prioritaria la normalización de las Tecnologías de la Información y la Comunicación (TIC) entre todos los organismos ya que fomenta la interoperabilidad. Interesa por tanto estándares abiertos como el formato de codificación XML que permite estructurar la información y el intercambio de información a todos los medios. Existe un plan de normalización eeurope (i2010) bajo el que trabajan las organizaciones de normalización europeas como CEN y ETSI El programa IDA de la Comisión Europea con el Modelo de Requisitos para la gestión de documentos de archivo electrónicos (MoReq) recoge las especificaciones que deben reunir los programas informáticos de gestión de documentos Las Normas UNE-ISO 15489 impulsan la definición de políticas de gestión de documentos Respecto a la conservación de los documentos electrónicos el Consejo Superior de Administración Electrónica (CSAE) ha realizado un documento Los Criterios de Seguridad, normalización y conservación de las aplicaciones utilizadas en el ejercicio de potestades que recoge los requisitos criterios y recomendaciones para la conservación de la información en soporte electrónico generada por las aplicaciones informáticas que utiliza la Administración General del Estado (AGE) El documento electrónico debe contener metadatos necesarios para su contextualización y recuperación, donde la firma electrónica garantizará los requisitos de autenticación e integridad. La copia certificada del documento contendrá: la imagen el documento electrónico y la diligencia de autenticidad y de cotejo, incluyendo el sello o la firma electrónica reconocida correspondiente de la persona certificante que emite la copia. La notificación electrónica de documentos electrónicos se entenderá practicada a todos los efectos legales en el momento en que se produzca el acceso a su contenido en la dirección electrónica, de modo que pueda comprobarse fehacientemente por el remitente tal acceso. La orden ORDEN EHA/1307/2005 (04/05): regula el empleo de medios electrónicos en los procedimientos de contratación 20