Firma y Facturacion electrónica en España. Guia Práctica ...€¦ · 3 Todo lo que quiso saber y...

1

Todo lo que quiso saber y nunca se atrevió a preguntar acerca de la firma y facturación electrónica | Juan Jiménez Rocabert

Curso Experto «Firma y Facturación Electrónica»

FIRMA Y FACTURACION ELECTRONICA EN ESPAÑA. GUIA PRÁCTICA

(TODO LO QUE QUISO SABER Y NUNCA

SE ATREVIÓ A PREGUNTAR)

JUAN JIMÉNEZ ROCABERT

2



Para Nuria, por su continua paciencia y generosidad.

Mayo 2008

Ver 1.0

3



INDICE DE CONTENIDOS

1. RESUMEN………………………………………………………………..…. 6

2. INTRODUCCION…..………………………………………………….…… 7

3. ALCANCE……..…………………………………………………………… 8

4. OPORTUNIDADES Y JUSTIFICACION DEL ESTUDIO….…………….. 8

5. METODOLOGÍA UTILIZADA……..……………………………………… 8

6. LA CRIPTOGRAFIA..……………………………………………………… 9

7. LA FIRMA ELECTRONICA………………………………..……………… 10

7.1 Entidades de certificación…………………………………..……………….. 12

7.2 Directivas y Leyes a tener en cuenta en España…….………………………. 13

7.3 Tipos de firma, sello de tiempo, validación de firmas………………….…… 14

7.4 Certificados de representante y de persona jurídica…………………….…… 16

7.5 El DNI electrónico…………………………………………………………... 17

8. DOCUMENTOS ELECTRONICOS……………..…………………….…… 18

8.1 Archivado……………………………………………………………….…… 19

8.2 Autenticación de los documentos electrónicos por la Administración……… 19

8.3 Autenticación de un documento electrónico………………………………… 19

8.4 Normativa relativa a los documentos electrónicos en la Administración

y en el sector privado

8.4.1 Introducción…………………………………………………………………. 20

8.4.2 El documento electrónico en la Ley 11/2007 de Acceso electrónico de los ciudadanos a los Servicios Públicos (LAECAP)……………………………. 21

8.4.3 El documento electrónico como medio de prueba…………………………... 22

8.4.4 Los documentos electrónicos en la Ley 59/2003, de Firma Electrónica...….. 22

8.4.5 El e-documento en relación con la contratación electrónica……………….... 23

8.4.6 Formatos estándar en los Documentos Electrónicos.…...…………………… 23

8.4.7 La compulsa electrónica de documentos (Orden ITC/1475/2006)...……….. 23

9. LA REGULACION DE LA FACTURACION ELECTRÓNICA….………. 25

9.1 La factura. Marco Normativo………….……………………………………. 25

9.1.1 Obligación Tributaria Formal (LGT)……………………………………….. 25

9.1.2 La obligación de facturar (LIVA, Ley de Impuesto sobre el Valor añadido).. 26

9.1.3 Real Decreto 1496/2003, Reglamento de Facturación (RF)...………………. 26

9.2 La regulación de la Facturación Electrónica

4



9.2.1 Normativa Europea ( Directiva 2006/112/CE)…………………………… 27

9.2.2 Ley del IVA: La regulación del IVA y la factura electrónica……………. 27

9.2.3 Regulación de la facturación electrónica en el Real Decreto 1496/2003 (RF)………………………………………………………………………. 28

9.2.4 Orden Ministerial EHA/962/2007,………………………………...……... 29

9.2.4.1 Digitalización Certificada de facturas.............…………………………… 29

9.2.4.2 Impresión y almacenaje en papel de las facturas electrónicas...………….. 30

9.2.5 Ley de Contratación con las Administraciones Públicas en relación con la facturación…………………………………………….………...……... 31

9.2.6 Orden PRE/2971/2007, de 5 de octubre ……………….………………… 31

10. EFECTOS DE LA NORMATIVA DE FACTURACION ELECTRONICA EN LAS ORGANIZACIONES

10.1 Requisitos de la factura electrónica………………………………………. 32

10.2 Facturas electrónicas – Facturas en papel..…………..…………………… 33

10.3 Deberes del emisor y receptor de facturas……………………………….. 34

11. IMPLANTACION DE LA FACTURACION Y FIRMA ELECTRONICA EN LAS ORGANIZACIONES……………………….. 35

11.1 Justificación de la implantación de la factura electrónica………………... 35

11.2 Consideraciones de los proyectos de factura electrónica………………… 36

11.3 Modelos de Implantación………………………………………………… 40

11.4 Proyectos de factura electrónica

11.4.1 Integración de firma electrónica…………………….……………………. 42

11.4.2 Gestión del cambio………………………………….……………………. 43

11.4.3 Plan de Proyecto de factura electrónica ………………………………….. 44

12. DISPOSITIVO SEGURO DE CREACION DE FIRMA (TARJETAS, LECTORES Y APIs)……………………………………………………...

12.1 Tarjeta Inteligente………………………………………………………… 45

12.2 Lectores de Tarjeta……………...……………………………………….. 46

13. PRESTADORES DE SERVICIO DE CERTIFICACION (CSP)………... 47

13.1 ACA: Autoridad de Certificación de la Abogacía………………….…….. 49

13.2 ACCV: Autoritat de Certicació de la Comunitat Valenciana…….………. 50

13.3 ANCERT: Agencia Notarial de Certificación………………….………… 53

13.4 Autoridad Certificadora de BANESTO…………………….…………….. 59

13.5 CICCP: Colegio de Ingenieros de Caminos Canales y Puertos………..…. 62

5



13.6 CAMERFIRMA………………………………………………………….. 63

13.7 DGP (DNIe): Dirección General de la Policía...…………………………. 70

13.8 CERES: Certificación Española (FNMT)……………………………….. 73

13.9 Conclusiones (PSC, Certificados, facturación electrónica)

13.9.1 Certificados recomendados en el ámbito de la facturación electrónica…... 74

13.9.2 Certificados para firmar facturas…………………………………………. 74

13.9.3 Conclusiones y Cuadro resumen………………………………................. 75

14. APLICACIONES EN LA PROPIA EMPRESA…………………………. 78

15. CONCLUSIONES……………………………………………………….. 78

16. BIBLIOGRAFÍA Y FUENTES “ON LINE”…………………………….. 79

17. TÉRMINOS EMPLEADOS EN EL INFORME…………………………. 80

18. NORMAS TÉCNICAS Y DISPOSICIONES LEGALES DE APLICACIÓN……………………………………………………………. 83

6



1. RESUMEN

El presente proyecto quiere servir como primera guía de aproximación al mundo de la firma y facturación electrónica en España, donde se definen los conceptos necesarios ( firma, certificado, documento electrónico, formatos, etc…), se presentan a todos los personajes que proporcionan las Condiciones de Dominio ( Prestador de Servicios de Certificación, de Validación, de Facturación, etc.. ) y se detallan las responsabilidades que en el comercio electrónico el emisor y el receptor tienen que cumplir con el fin de garantizar que se cumple con la legislación Española, de la cual igualmente se detallarán las diferentes leyes según corresponda.

7



2. INTRODUCCION A lo largo de la historia de la humanidad ha sido y es fundamental que las comunicaciones tengan determinadas garantías:

• Garantía de que solo el destinatario escuche o lea un mensaje (Confidencialidad) • Garantía de saber que el emisor del mensaje es quién dice ser (autenticación) • Garantía de que el mensaje no ha sido modificado (integridad)

Hasta finales del siglo pasado la base de medios escritos en la que se ha trabajado ha sido exclusivamente el papel, siendo la firma manuscrita (permite certificar el reconocimiento o conformidad sobre un documento por parte del firmante, teniendo gran importancia desde el punto de vista legal) la principal señal de autenticación. En los próximos capítulos desarrollaremos como estás garantías se obtienen en el mundo electrónico a través de la firma electrónica y estudiaremos aplicaciones de la misma enfocadas al futuro de la facturación, la facturación electrónica, todo ello irá acompañado de las condicionantes legales que tienen que cumplirse acorde con la legislación vigente. Por último se profundizará en detalle con respecto a todos los Prestadores de Servicios de Certificación que hoy día existen en España.

8



3. ALCANCE Proyecto enfocado para todos los públicos cuya principal finalidad es servir de guía de bolsillo a cualquier empresario neófito en el mundo de Internet y más concretamente de la firma electrónica , de forma que sepa el potencial que tiene y todo lo que lleva consigo, sabiendo que tiene plenas garantías legales equiparables a la de la firma manuscrita. 4. OPORTUNIDADES Y JUSTIFICACIÓN DEL ESTUDIO Permite una mayor aproximación del mundo empresarial con la factura electrónica y por lo tanto sirve como primer paso de introducción al comercio electrónico para muchas de ellas, además permite la aparición de nuevas empresas o bien la consolidación o ampliación de las existentes que servirán de soporte para el cumplimiento legal de las transacciones ( Prestadores de Servicio de Certificación, de Validación, etc..) Existe una justificación en las empresas que traten directamente con las Administraciones debido a la obligatoriedad inminente a tener que realizar la facturación solo por medios electrónicos. 5. METODOLOGÍA UTILIZADA Se parte como base del texto del curso “Experto en Firma y Facturación electrónica”, con el fin de establecer los conceptos y el marco legal y se completa con un estudio detallado de los Prestadores de Servicios de Certificación homologados en España.

9



6. LA CRIPTOGRAFÍA Antes de proceder a la definición de la firma electrónica conviene desarrollar los siguientes conceptos: Criptología: disciplina que engloba a la Criptografía y al Criptoanálisis Criptografía: técnica consistente en la ocultación de un mensaje mediante la transformación de un texto inteligible en otro ininteligible valiéndose de unas claves con la finalidad de proteger la información que el mismo contiene Criptoanálisis: es la operación contraria, es decir averiguar la información oculta mediante técnicas criptográficas La Criptografía se ayuda de algoritmos (lista de operaciones) que permitan garantizar la inviolabilidad de los mensajes protegidos.

Por ejemplo: Julio César diseño un cifrado que sigue el siguiente principio: “Cada letra del texto en claro se sustituye por la letra que hay a “k” posiciones detrás de ella en el alfabeto”, luego el algoritmo sería esa operación de sustituir cada letra por la que hay a “k” posiciones

En la actualidad se manejan dos tipos de cifrados según las claves que se utilicen:

a) Cifrado simétrico o de clave secreta: utiliza la misma clave para cifrar como para descifrar. El principal problema que tiene es garantizar la confidencialidad de la clave a utilizar, en la primera comunicación entre emisor y receptor. Un caso real sería las tarjetas de crédito y débito haciendo uso del PIN (Personal Identification Number) como clave secreta. Entre los algoritmos simétricos destacar: Triple DES, IDEA, Blowfish, RC5, SAFER, AES. El RC5 se utiliza en SSL en los navegadores

b) Cifrado asimétrico o de clave pública: utiliza dos claves diferentes para cada usuario, una para cifrar (clave pública) y otra para descifrar (clave privada) de esta forma se resuelve el problema del cifrado simétrico respecto a la transmisión de las claves a utilizar. Entre los algoritmos asimétricos destacar: RSA ( utilizado por el DNI electrónico), Diffie-Hellman, Elgamal, Rabin-Williams, DSS, Curvas elípticas. En la actualidad se utiliza una combinación de ambos sistemas ya que aunque el cifrado asimétrico resuelve el problema del simétrico (confidencialidad de la clave a utilizar), el asimétrico es muy lento a la hora de ejecutar los procesos de cifrado y descifrado. c) Funciones Hash: también llamadas digest o funciones resumen, permiten hallar la “huella dactilar de un mensaje o archivo”, se utiliza para garantizar la integridad de la información.

Entre los algoritmos Hash que se emplean tenemos: Ripend-160, MD5 y SHA1 En el siguiente enlace se tiene un video explicando todos estos conceptos: http://nexmedia.com.ar/index.php?option=com_content&task=view&id=77&Itemid=47

10



7. LA FIRMA ELECTRONICA Se basa en los sistemas criptográficos de clave pública, donde la clave de cifrado es única para cada persona (clave privada) y la de descifrado la conoce todo el mundo y por tanto lo que cifre esa persona será utilizado como su firma electrónica. Volviendo con las tres garantías que nos interesan en las comunicaciones la confidencialidad, la integridad y la autenticación, su aplicación práctica en los sistemas criptográficos de clave pública se traduce en:

- Autenticación: Si el emisor cifra un mensaje con su clave privada cualquier receptor podrá descifrarla con la clave pública del emisor y dado que el emisor es el único que conoce su clave privada se puede afirmar que solo el emisor pudo haber firmado el mensaje.

- Confidencialidad: si el emisor cifra un mensaje con la clave pública del receptor, únicamente el receptor podrá descifrarlo con su clave privada, lo que garantiza que el mensaje solo lo podrá leer el receptor.

- Integridad: si el emisor aplica un algoritmo a un mensaje obteniendo un código corto (resultado de la función hash) y le envía al receptor el mensaje propiamente dicho, junto con el código corto cifrado con su clave privada, el receptor puede comprobar si el resultado de aplicar el algoritmo al mensaje del emisor coincide con el del código corto cifrado, tras descifrarlo con la clave pública del emisor.

Por tanto la firma electrónica permite garantizar mediante el cifrado con la clave privada tanto la autenticación del emisor como la integridad del mensaje.

Vemos que para comprobar que la persona que firma el mensaje se corresponde con la persona física que dice ser, hay que garantizar la fuente de la cual obtengamos la clave pública del emisor, para ello están las entidades de certificación ( Certification Authority, CA) actuando como tercera parte confiable.

Las entidades de certificación tras confirmar la identidad del peticionario emiten un certificado digital que garantiza que su clave pública es precisamente la suya. En dicho certificado están los datos de identificación del peticionario junto con su clave pública. En el certificado todos estos datos van cifrados con la clave privada de la Entidad de Certificación y cualquiera es capaz de extraer los datos del certificado ya que es conocida por todos la clave pública de la Entidad de Certificación.

Normalmente la clave pública de la Entidad de Certificación está incorporada al software de realización y verificación de firmas electrónicas o se puede obtener mediante servidores Web.( p.e. enlace para obtener el certificado raíz de la FNMT http://www.cert.fnmt.es/content/pages_std/certificados/FNMTClase2CA.cer)

Un certificado electrónico o digital es por tanto un documento electrónico que contiene información relativa al usuario tenedor y a la entidad de certificación que lo emite y cuya función es relacionar la clave pública del tenedor con estos datos de identificación.

Sirva como ejemplo práctico que a la hora de mandar un mensaje por correo electrónico se puede decidir si se firma y/o se cifra. Al mandar un mensaje firmado electrónicamente, el receptor recibirá: el documento, el hash firmado y el certificado, a partir del certificado se puede extraer la clave pública del remitente, pudiendo descifrar el mensaje firmado

Por tanto con nuestro certificado lo único que se puede hacer es firmar un documento, ya que enviará al destinatario el documento con el hash encriptado con nuestra clave privada y el certificado de la “CA”, es

11



decir podrá dar autenticación del remitente e integridad del documento. No puede dar confidencialidad al no tener la clave pública del destinatario. Una vez recibido el mensaje, el destinatario aunque no tenga un certificado propio podría reenviar al remitente una contestación que sería confidencial ya que podría cifrar el texto con una clave simétrica y a su vez encriptar la clave simétrica con la clave pública que recibió anteriormente del remitente.

12



7.1. ENTIDADES DE CERTIFICACION (CA)

La entidad de Certificación debe ser una entidad de confianza (Trusted Third Party, TTP), conocida ampliamente, con una política de certificación que permita: la verificación de identidad, proporcione información sobre Uso y Validez de los certificados, gestione los certificados revocados, ofrezca lista de certificados expedidos, etc. Los parámetros que definen a una Entidad de Certificación (CA) son su dirección de red (nombre distinguido) y su clave pública.

La selección de las autoridades de certificación (CA) adecuadas para cada uso vendrá dada por las características de su política de certificación, o por el reconocimiento de alguna de ellas por parte de entidades que acepten sus certificados.

Las funciones de una Autoridad de Certificación (CA) se resumen en:

• Servicio de Registro (Autoridad de Registro, Registration Authority RA) • Generación de certificados • Servicios de publicación: políticas de certificación, CPS, CRL • Servicio de revocación de certificados • Servicio de estado de los certificados

Política de Certificación es el conjunto de reglas que, describen los criterios mínimos que se deben considerar a la hora de emitir un certificado, definiendo la aplicabilidad de un certificado en una comunicada y/o en alguna aplicación Declaración de Prácticas de Certificación (CPS, Certification Practice Statement) es el conjunto de prácticas adoptadas por una Autoridad de Certificación para la emisión de certificados. Una política define “que” requerimientos de seguridad son necesarios para la emisión de los certificados y la CPS nos dice “como” se cumplen los requerimientos de seguridad impuestos por la política CRL: documento con un formato similar al de un certificado digital con los números de serie de los certificados revocados y la fecha y hora en la que se produjo la revocación, así como la causa que lo provocó.

Entre los tipos de certificados que existen los principales son: personales, de atributos, Web, de firma de código, VPN, de componente, de sello de tiempo. El certificado Web es el utilizado en conexiones SSL permitiendo confidencialidad y autenticación por parte de la Web, es la que utiliza en Internet el protocolo http de seguridad: https.

Obtener un certificado es tan sencillo como p.e el de la FNMT (FABRICA NACIONAL DE MONEDA Y TIMBRE, http://www.cert.fnmt.es/index.php?cha=cit&sec=obtain_cert&lang=es ), tras solicitarlo online indicando nuestro DNI , el software del usuario creará automáticamente sus propias claves, enviando a la FNMT una solicitud de generación de certificado que contiene su clave pública generada junto con los datos personales que se mostrarán en el certificado, tras acreditarnos físicamente en alguna de las siguientes oficinas (http://www.cert.fnmt.es/popup_frame.php?p=34&l=es) se generará el certificado, teniendo por tanto nuestra clave privada y pública, esta último en el propio certificado.

13



7.2. DIRECTIVAS Y LEYES A TENER EN CUENTA EN ESPAÑA. Directiva 1999/93/CE: establece el marco comunitario para la firma electrónica, otorgando, siempre que se cumplan unos requisitos mínimos en relación con los certificados, los prestadores de servicios de certificación y los dispositivos de creación de firma electrónica, eficacia jurídica equivalente a las firmas electrónica y manuscrita. http://www.mityc.es/NR/rdonlyres/90FB4D75-EBFF-470C-8B3E-A55B0ED0A57D/0/doce_131299.pdf Ley 59/2003 (19 de diciembre) de firma electrónica en la que se regula, su eficacia jurídica y la prestación de servicios de certificación. Se introduce el marco normativo del DNI Electrónico y los certificados de persona jurídica y su consideración como certificados reconocidos http://www.boe.es/g/es/bases_datos/doc.php?coleccion=iberlex&id=2003/23399 Destacar en la Ley 59/2003 el artículo 3, donde se define importantes conceptos: Artículo 3 - Se define la firma electrónica simple, avanzada y reconocida

• Firma electrónica (simple): conjunto de datos en forma electrónica que pueden ser utilizados como medio de identificación del firmante.( p.e. firma gráfica digitalizada o el PIN de las tarjetas de crédito)

• Firma electrónica avanzada: firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control. (Se lleva a cabo con criptografía de clave pública y con el respaldo de un certificado electrónico)

• Firma electrónica reconocida: firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma y tendrá la misma equiparación legal que la firma manuscrita. ( La identidad se comprueba de forma rigurosa, e.j.: certificado FNMT)

- Se define el concepto de documento electrónico: el redactado en soporte electrónico que incorpore datos que estén firmados electrónicamente. Se deja fuera la información digital relevante: imágenes, sonido, etc… - Se reconoce la admisión como prueba en juicio del soporte en que se hallen los datos firmados electrónicamente - Se tendrá en cuenta la firma electrónica utilizada conforme a las condiciones acordadas por las partes para relacionarse entre sí, es decir que se podrán emplear firmas no reconocidas en sus relaciones con la misma validez que las reconocidas, si así se manifiesta entre ellas Nota: En un juicio se puede admitir como prueba la firma electrónica avanzada, pero el firmante tendrá que demostrar su validez, si fuese firma reconocida se presupone la validez, siendo el que alega su invalidez el encargado de demostrarlo. Para identificar los certificados reconocidos (Qualified Certificate, QC) deben incluir una declaración dentro del apartado de Extensiones con un identificador de objeto (OID) 1.3.6.1.5.5.7.1.3 (QCstatment)” Nota: Los dispositivos seguros de creación de firma es muy recomendable que cumplan las especificaciones CEN CWA 14169 Y CEN CWA 14170

ftp://ftp.cenorm.be/PUBLIC/CWAs/e-Europe/eSign/cwa14170-00-2004-May.pdf

ftp://ftp.cenorm.be/PUBLIC/CWAs/e-Europe/eSign/cwa14169-00-2004-Mar.pdf

14



7.3. TIPOS DE FIRMA, SELLOS DE TIEMPO, VALIDACION DE FIRMAS Profundizando en los tipos de firma tratados anteriormente decir que a las firmas básicas definidas anteriormente se le pueden dar valores añadidos, obteniendo:

• La firma fechada: añade información temporal sobre el momento de la firma o de su verificación • La firma validada o completa (ES-XL): añade información sobre la vigencia del certificado

empleado en el momento de la firma o de su verificación. Por tanto permite comprobar que el certificado utilizado por el firmante estaba vigente en el momento de la firma

Los formatos de firma más empleados son CMS, XML, EDI y documentos PDF:

• CMS/PKCS#7: formato básico de firmas al que estamos acostumbrados (p.e. es el formato de los

certificado de la FNMT) a utilizar en el correo electrónico (.p7b) (http://www.ietf.org/rfc/rfc3369.txt ). El formado de firma completa se denomina CAdES (poco utilizado frente al XAdES).

• XML: se puede utilizar en cualquier tipo de documento no solo en los de formato XML. Destacar el formato XMLDsig como firma básica y al XAdES como firma completa ( http://www.w3.org/TR/XAdES )

Nota: Ambas firmas se pueden verificar con el software gratuito Acrobat Reader Dos aplicaciones interesantes basadas en el formato CMS:

• Visor gratuito que permite ver certificados X.509 (extensiones .cer, .p7b y .crl)

http://homepage.mac.com/aramperez/berviewer.html Nota: Hay que cargar este fichero de identificación de OID http://www.cs.auckland.ac.nz/~pgut001/dumpasn1.cfg

• Software de firma de escritorio para crear y verificar firmas electrónicas de cualquier fichero o directorio alojado en el disco duro con sólo pulsar el botón derecho del ratón http://www.albalia.com/descargas/profirma.zip

Por último decir que los formatos AdES (Advanced Electronic Signatura) son extensiones de formatos, en capas, que dan valores añadidos a las firmas tanto XAdES como CAdES: AdES-BES (basica), AdES-T (sello de tiempo), AdES-C (completa), AdES-X (extendida), AdES-X-L (extendida a largo plazo), AdES-A (archivo) La extensión de formato AdES-X-L necesita de un sello de tiempo y una validación a largo plazo: Los Sellos de tiempo son marcas temporales que se le imponen a un documento, para demostrar la existencia de un documento firmado en un momento de tiempo dado, realizadas por una tercera parte de confianza (Time Stamping Authority TSA, Ver RFC3161 de IETF). En las firmas AdES se sella la propia firma, por tanto el sello de tiempo puede ser realizado tanto por quien realizó la firma como por el receptor o incluso un tercero. En España el tiempo oficial lo da el ROA (Real Observatorio de la Armada) La Validación a largo plazo significa poder comprobar si un certificado digital se encuentra revocado en el momento de la firma. La forma en que un certificado debe ser validado esta contenida en la Política de Certificación de la “CA”. Se tienen dos métodos de validación:

http://www.armada.mde.es/ArmadaPortal/appmanager/ArmadaPortal/ArmadaPortal;jsessionid=mQyrHl3GZRXRT2SDxvs0G2qYQJmbyM9XkhBZVByryD7hvTGTlc6y!1425013920?_nfpb=true&_pageLabel=ap_page_observatorio_iframe&paginaiframe=http://150.214.94.3/hora&height=525px

15



• Offline: se analiza en modo local, esta formado por las Listas de Certificados Revocados (Certificate Revocation List, CRL) publicadas por las autoridad de certificación “CA” del certificado

• On-Line: tenemos dos posibles métodos

1. OCSP (Online Certificate Status Protocol), se basa en la existencia de un “Responder” que

recibe del cliente las peticiones relativas al estado de los certificados (a través de http). La “CA” de la Policía Nacional lo utiliza para el DNI Electrónico.

2. SCVP (Server-based Certificate Validation Protocol), poco empleado. La empresa Ascertia tiene implementaciones de SCVP

Existe una tercera opción mediante un tercero confiable con las Autoridades de Validación (Validation Authority, VA). La “VA” se encarga de recoger la información sobre las revocaciones de los distintas “CA” y hacer de “Responder” OCSP ante las peticiones de sus clientes. Como “VA” en el ámbito público tenemos al MAP (Ministerio de Administraciones Públicas) y en el privado a Certiver

http://www.ascertia.com/Products/tf_scvp/?topbar=false

http://www.csi.map.es/csi/pg5a12.htm

http://www.certiver.org/

16



7.4. CERTIFICADO DE REPRESENTANTE Y DE PERSONA JURIDICA (Ley 59/2003) Certificado de persona jurídica: emitido a favor de una entidad que actuará por medio de un representante. En el ámbito Tributario aquellos actos en los que el obligado sea una empresa solo podrán ser tramitados con un certificado de persona jurídica. El certificado de persona jurídica esta limitado su uso a únicamente tratar con las Administraciones Públicas y cuando estas los admitan, o para la contratación privada dentro de su ámbito, siempre dentro de su tráfico ordinario. En la práctica se emplean para trámites con la AEAT y para la generación de facturas electrónicas.

Estos certificados lo pueden solicitar los Administradores o representantes legales de la entidad y los apoderados, siendo necesario para estos últimos un “poder” específico que permita la solicitud del certificado.

En España la representación es la figura jurídica por excelencia, rompiendo los certificados de persona jurídica esta representación: una persona jurídica nunca podría actuar por si misma, sino a través de sus representantes.

Esta figura creada es excepcional no existiendo en el resto del ordenamiento jurídico español. La normativa comunitaria descartó esta opción a la hora de establecer el marco comunitario para la firma electrónica. Además desde el punto de vista técnico el certificado reconocido esta limitado a las personas físicas o naturales. Certificado de representante: emitido a favor de una persona física que actuará representando a su empresa. Contendrán la mención expresa del documento público acreditativo de las facultades del firmante. Estos certificados son idóneos para el usos y desarrollo de sistemas de facturación electrónica. Certificados recomendados en el ámbito de la facturación electrónica Como regla general utilizar los certificados personales, para que sean válidos en toda Europa. Siendo preferible que incluyan una referencia a la empresa en la que la persona presta sus servicios. Lo ideal sería utilizar certificados de representante que se hayan obtenido en base a un poder notarial (ANCERT, Agencia Notarial de Certificación) que restrinja su uso a firma de facturas. Camerfirma emite un certificado de persona física con indicación de la empresa a la que pertenece, así como un certificado específico para facturación electrónica. Respecto a la FNMT aunque la AEAT reconoce expresamente la validez de estos certificados. La declaración de Prácticas de certificación “CPS” de la FNMT da a entender que se exime de cualquier responsabilidad por daños, perjuicios o conflictos provenientes del uso o confianza en este tipo de certificados. Para evitar esto los receptores deberían contratar el servicio de consulta de certificados revocados de la FNMT.

17



7.5. EL DNI Electrónico El chip de la tarjeta almacena los siguientes certificados electrónicos: Certificado de Componente: permite el establecimiento de un canal cifrado y autenticado entre la tarjeta y los drivers. Certificado de Autenticación: su finalidad es garantizar electrónicamente la identidad del ciudadano al realizar una transacción telemática. No esta habilitado en operaciones que requieran “no repudio de origen”, por tanto los terceros aceptantes y los prestadores de servicios no tendrán garantía del compromiso del titular del DNI con el contenido firmado. Su uso principal será para generar mensajes de autenticación y de acceso seguro a sistemas informáticos. Certificado de firma: se utilizará para la firma de documentos garantizando la integridad de los documentos y el acuerdo con el contenido. Al ser el certificado expedido como reconocido y creado en un Dispositivo Seguro de Creación de Firma, convierte a las firmas electrónicas en reconocidas. La Autoridad de Certificación “CA” será el Ministerio del Interior concretamente la Dirección General de Policía Las Autoridades de Validación “VA” pueden ser:

• La FNMT que prestará sus servicios a ciudadanos, empresas y Administraciones públicas • El Ministerio de Administraciones Públicas “MAP” que prestará sus servicios al conjunto de las

Administraciones Públicas (su plataforma de validación se denomina @firma) • La Entidad Pública Red.es en un futuro próximo

La validación se realiza a través del protocolo OCSPs

18



8. DOCUMENTOS ELECTRONICOS Acorde al Artículo 5 de la LISI (Ley de Impulso de la Sociedad de la Información) se considera documento electrónico a “la información de cualquier naturaleza en forma electrónica, archivada en un soporte electrónico según un formato determinado y susceptible de identificación y tratamiento diferenciado”. Para que un documento electrónico tenga función probatoria debe ser auténtico, fiable, integro, disponible y legible Clases Legales de Documentos Electrónicos

1. Públicos: estarán firmados electrónicamente por funcionarios que tengan legalmente atribuida la facultad de dar fe pública, judicial, notarial o administrativa.

2. Administrátivos: documentos expedidos y firmados electrónicamente por funcionarios. Deberán

incluir una referencia temporal cuando la naturaleza del documento así lo requiera. LA A.G.E. (Administración General del Estado) especificará que PSC estarán admitidos para prestar servicios de sellado de tiempo

3. Privados: deberán estar firmados con firma electrónica reconocida amparada en un certificado

reconocido.

Las Administraciones Públicas podrán obtener imágenes electrónicas de documentos privados, con igual validez, a través de procesos de digitalización que garanticen su autenticidad, integridad y la conservación del documento imagen. La obtención podrá hacerse e forma automatizada, mediante el correspondiente sello electrónico.

4. Otras clasificaciones

• Según su estructura pueden ser de tipo texto, multimedia, e incluso Web, para calificar estos

últimos como documentos legales o administrativos se tendrá que valorar el contexto y contenido, que una vez identificados deberán conservarse con sus características esenciales.

• Según su formato pueden ser de todo tipo como procesadores de texto, bases de datos, documentos de hipertexto, imágenes, hojas de cálculo, correos electrónicos, vídeo, mensajes de voz, etc.

• Según su conservación puede ser Documentos Activos que están en trámite (3 a 5 años); Semiactivos de consulta esporádica (3/6 a 25 años) y Documentos Inactivos de valor histórico ( a partir de 25 años) Los documentos electrónicos de naturaleza legal requieren una conservación permanente o semi-permanente

Para los documentos electrónicos en un entorno Web:

• La localización se limitará a la URL del documento • Se recomienda transcribir la fecha y guardar las diferentes versiones • Una vez un contenido Web se identifique como documento legal o administrativo se deberá

conservar con sus características esenciales (páginas, estáticas, dinámicas, etc...) debiendo guardar todo el “site” y anexar los”logs” de cambios (documentos modificados, eliminados, etc...). Además habrá que documentar el contenido con metadatos de fecha y hora de visionado, perfiles de usuario, URL, dominio, etc...

19



Nota: Se recomienda utilizar un sistema de almacenamiento ampliamente aceptado y de tecnología neutral como XHTML Los sistemas de gestión de documentos los formatos utilizados son PDF (Portable Document Format ) y ODF (Open Document) este último como estándar son los que están implantándose. El formato TIFF (Tagged Image File Format) permite crear imágenes en formato digital a partir de documentos impresos

8.1 ARCHIVADO El archivado es una parte muy importante de cualquier organización ya que permite la conservación de todos los documentos de sus operaciones para dar respuesta tanto a sus necesidades operativas como al cumplimiento de los requisitos legales. El principal objetivo de los sistemas de archivo del documento electrónico es conservar los documentos manteniendo la autenticidad e inteligibilidad 8.2 AUTENTICACIÓN DE LOS DOCUMENTOS ELECTRÓNICOS POR LA ADMINISTRACIÓN La autenticación de los documentos electrónicos por parte de las Administraciones Públicas podrá realizarse mediante:

• Sistemas de firma electrónica basados en la utilización de certificados de dispositivo seguro • Sistemas de firma electrónica para la actuación administrativa automatizada. • Firma electrónica del personal al servicio de las Administraciones Públicas

8.3 AUTENTICACIÓN DE UN DOCUMENTO ELECTRÓNICO Para que un documento electrónico tenga función probatoria debe ser auténtico, fiable, integro, disponible y legible Con la firma electrónica y sus aplicaciones obtenemos la autenticación del firmante (conocer el origen del mensaje aun incluso cuando no tenemos a la persona identificada, pues la garantía de la identidad la ofrece el propio certificado, no la firma) y la integridad del mensaje, es decir que no esta alterado. Se refuerza la autentificación mediante la intervención de un tercero de confianza que actúe como federatario electrónico. Las aplicaciones relacionadas con la firma electrónica son:

• S/MIME aplicación para el correo electrónico (pedidos comerciales por correo) • SSL aplicación para el protocolo HTTP para hacer seguras las conexiones Web ( elemento de

seguridad para el comercio electrónico) • SSH aplicación para emplear un terminal de ordenado a distancia de forma segura • La propia firma electrónica

20



8.4 NORMATIVA RELATIVA A LOS DOCUMENTOS ELECTRÓNICOS EN LA ADMINISTRACIÓN Y EN EL SECTOR PRIVADO 8.4.1 Introducción Legislativamente los hitos más relevantes son: Ley 59/2003 de Firma Electrónica; Ley de Acceso Electrónico de los ciudadanos a las Administraciones Públicas (LAECAP); DNI electrónico; Ley de servicios de la Sociedad de la Información y Comercio electrónico (LSSI-CE); Orden ITC/1475/2006, de 11 de mayo, sobre utilización del procedimiento electrónico para la compulsa de documentos en el ámbito del Ministerio de Industria, Turismo y Comercio Es prioritaria la normalización de las Tecnologías de la Información y la Comunicación (TIC) entre todos los organismos ya que fomenta la interoperabilidad. Interesa por tanto estándares abiertos como el formato de codificación XML que permite estructurar la información y el intercambio de información a todos los medios. Existe un plan de normalización “eEurope (i2010)” bajo el que trabajan las organizaciones de normalización europeas como CEN y ETSI El programa IDA de la Comisión Europea con el Modelo de Requisitos para la gestión de documentos de archivo electrónicos (MoReq) recoge las especificaciones que deben reunir los programas informáticos de gestión de documentos Las Normas UNE-ISO 15489 impulsan la definición de políticas de gestión de documentos Respecto a la conservación de los documentos electrónicos el Consejo Superior de Administración Electrónica (CSAE) ha realizado un documento “Los Criterios de Seguridad, normalización y conservación de las aplicaciones utilizadas en el ejercicio de potestades” que recoge los requisitos criterios y recomendaciones para la conservación de la información en soporte electrónico generada por las aplicaciones informáticas que utiliza la Administración General del Estado (AGE) El documento electrónico debe contener metadatos necesarios para su contextualización y recuperación, donde la firma electrónica garantizará los requisitos de autenticación e integridad. La copia certificada del documento contendrá: la imagen el documento electrónico y la diligencia de autenticidad y de cotejo, incluyendo el sello o la firma electrónica reconocida correspondiente de la persona certificante que emite la copia. La notificación electrónica de documentos electrónicos se entenderá practicada a todos los efectos legales en el momento en que se produzca el acceso a su contenido en la dirección electrónica, de modo que pueda comprobarse fehacientemente por el remitente tal acceso. La orden ORDEN EHA/1307/2005 (04/05): regula el empleo de medios electrónicos en los procedimientos de contratación

http://www.csi.map.es/csi/pg5c10.htm

http://www.boe.es/g/es/bases_datos/doc.php?coleccion=iberlex&id=2005/07774

21



8.4.2. El documento electrónico en la Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (LAECAP) La identificación de las sedes electrónicas (sede administrativa con la que se establecen las relaciones) en la actuación administrativa automatizada se puede realizar con los sistemas de firma electrónica como el sello electrónico o bien un código seguro de verificación (que permite la comprobación de la integridad del documento mediante el acceso a la sede electrónica correspondiente) Mediante los sellos electrónicos se pueden obtener imágenes electrónicas de los documentos privados de los ciudadanos con la misma validez que estos, a través de procesos de digitalización. La notificación de los documentos electrónicos en las administraciones publicas se llevara a cabo mediante medios electrónicos siempre que el interesado haya señalado o consentido expresamente dicho medio de notificación como preferente mediante la identificación de una dirección electrónica al efecto. Los ciudadanos tienen derecho a

• A no aportar los datos y documentos que obren en poder de las Administraciones Públicas • A obtener copias electrónicas de los documentos electrónicos que formen parte de procedimientos

en los que tengan la condición de interesado • A la conservación en formato electrónico por las A.A.P.P. de los documentos electrónicos que

formen parte de un expediente • A obtener los medios de identificación electrónica necesarios

Documentos electrónicos: a) Los registros electrónicos se precisan para la recepción y remisión de solicitudes, escritos y comunicaciones, debiendo tener las Administraciones Públicas al menos un sistema de registro electrónico. Los registros electrónicos emitirán automáticamente un recibo consistente en una copia autenticada del escrito, solicitud o comunicación de que se trate, incluyendo la fecha y hora de presentación y el número de entrada de registro b) Los documentos administrativos electrónicos incluirán referencia temporal cuando la naturaleza del documento así lo requiera c) Las copias electrónicas son las copias realizadas por medios electrónicos de documentos electrónicos emitidos por el propio interesado o por las Administraciones Públicas, manteniéndose o no el formato original tendrán inmediatamente la consideración de copias auténticas siempre que el documento electrónico original se encuentre en poder de la Administración y que la información de la firma electrónica y, en su caso, de sellado de tiempo permitan comprobar la coincidencia con dicho documento. Las copias realizadas por las Administraciones Públicas, utilizando medios electrónicos, de documentos emitidos originalmente por las Administraciones Públicas en soporte papel tendrán la consideración de copias auténticas, pudiéndose proceder a la destrucción de los originales en los términos y con las condiciones que cada Administración Pública establezca. Las copia realizadas en soporte papel de documentos públicos administrativos emitidos por medios electrónicos y firmados electrónicamente tendrán la consideración de copias autenticas siempre que incluyan la impresión de un código generado electrónicamente u otro sistema de verificación que permita contrastar su autenticidad, mediante el acceso a los archivos electrónicos de la Administración Pública.

22



d) Expediente electrónico es el conjunto de documentos electrónicos correspondientes a un asunto determinado, o procedimiento administrativo, cualquiera que sea el tipo de información que contengan. El foliado de los expedientes electrónicos se llevará a cabo mediante un índice electrónico, firmado por la Administración. Este índice garantizará la integridad del expediente electrónico siendo admisible que un mismo documento forme parte de distintos expedientes electrónicos. Este índice se asemeja al tradicional “extracto” de los expedientes en papel (resumen de toda la documentación contenida en el expediente administrativo) por tanto permitirá implementar las tareas de recuperación y archivo del expediente electrónico. El expediente administrativo es lo fundamental del proceso y de la gestión documental en el seno de una administración pública. Por último decir que los interesados podrán aportar al expediente copias digitalizadas de los documentos, garantizando la fidelidad con el original mediante firma electrónica avanzada. 8.4.3 El documento electrónico como medio de prueba Un documento electrónico es admisible como medio de prueba si se asegurase a través de los medios pertinentes su autenticidad, su integridad, su autoría y la asunción de su contenido. En Europa la prueba electrónica es equivalente a la prueba documental, aunque carece de marco normativo europeo que la regule y la armonice. Si se impugnare la autenticidad de la firma electrónica reconocida, con la que se hayan firmado los datos incorporados a un documento electrónico, se procederá a comprobar que por el PSC, se cumplen todos los requisitos establecidos en la Ley en cuanto a la garantía de los servicios que presta en la comprobación de la eficacia de la firma electrónica, así como de las obligaciones de garantizar la confidencialidad del proceso y la autenticidad, conservación e integridad de la información generada y la identidad de los firmantes. Si se impugna la autenticidad de la firma electrónica avanzada se estará a lo establecido en el apartado 2 del artículo 326 de la Ley de Enjuiciamiento Civil, es decir “Cuando se impugnare la autenticidad de un documento privado, el que lo haya presentado podrá pedir el cotejo pericial de letras o proponer cualquier otro medio de prueba que resulte útil 8.4.4 Los documentos electrónicos, en la Ley 59/2003, de 19 de Diciembre, de firma electrónica Destacar los siguientes conceptos:

• La firma electrónica reconocida tiene el mismo valor que la firma manuscrita. • Se considera documento electrónico al que incorpora datos firmados electrónicamente. El

documento electrónico será soporte tanto de documentos públicos como privados. • No se negarán efectos jurídicos a una firma electrónica que no sea reconocida. • Cuando una firma electrónica se utilice conforme a las condiciones acordadas por las partes para

relacionarse entre si, se tendrá en cuenta lo estipulado entre ellas.


23



8.4.5 El e-documento en relación con la contratación electrónica Un Prestador de Servicios de la Sociedad de la Información antes de iniciar la contratación deberá:

• Poner a disposición del destinatario las condiciones generales a que deba sujetarse el contrato, pudiendo ser almacenadas y reproducidas por el destinatario.

• Deberá informar al destinatario de manera clara si el documento electrónico donde se formalice el contrato se va a archivar y va a ser accesible, esto no será necesario si ambos contratantes así lo acuerden o bien que el contrato se celebre exclusivamente mediante intercambio de correo electrónico.

La contratación del sector público esta regulada por la Directiva Europea 2004/18/CE (coordinación de los procedimientos de adjudicación de los contratos públicos de obras, de suministro y de servicios) La ley 30/2007, de 30 de octubre, de Contratos del Sector Público indica que los contratos que celebren las Administraciones Públicas deberán formalizarse en documento administrativo dentro del plazo de diez días hábiles , a contar desde el siguiente al de la notificación de ka adjudicación definitiva, constituyendo dicho documento título suficiente para acceder a cualquier registro público (Art. 140). En dicha Ley se indica que todos los actos y manifestaciones de los participantes que tengan efectos jurídicos, sea desde la preparación hasta la ejecución del contrato, deben ser autenticados mediante firma electrónica reconocida. El envío de las ofertas por medios electrónicos puede hacerse en dos fases:

• 1ª) Transmitiendo primero la firma electrónica de la oferta, con cuya recepción se considerará presentada

• 2ª) Después la oferta propiamente dicha en un plazo máximo de 24 horas 8.4.6 Formatos estándar en los Documentos Electrónicos Las Administraciones Públicas tienen que utilizar estándares abiertos y como forma complementaria estándares que sean de uso generalizado por los ciudadanos de tal forma que se respeten los principios de accesibilidad y usabilidad cuyo objetivo final es obtener la mayor interoperabilidad posible. El formato de Documento Abierto (ODF, Open Document) (ISO/IEC 26300:2006) es el formato de documentos estándar. Destacar la aparición recientísima y muy polémica de un nuevo formato estándar de documentos creado por Microsoft OOXML (Open Office XML). 8.4.7 La compulsa electrónica de documentos ( Orden ITC/1475/2006) Permite que los documentos que no estén en formato electrónico garantizado, puedan convertirse a este formato. Para ello se digitalizan los originales en papel, tras lo cual con el fin de garantizar que es un clon del original se firma electrónicamente por personal autorizado. Exactamente se le añade al documento digitalizado:

http://europa.eu/scadplus/leg/es/lvb/l22009.htm


http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=43485

http://www.ecma-international.org/news/TC45_current_work/ISO_and_IEC_approve_Office_Open_XML.htm

http://es.wikipedia.org/wiki/Microsoft_Office_Open_XML


24



• La firma del funcionario (firma electrónica reconocida) • Un localizador Universal • Fecha y hora de la compulsa • Identificación del firmante

Los documentos compulsados electrónicamente de acuerdo al MITYCse almacenarán utilizando el formato XAdES (XML-Advanced Electronic Signaturas, ETSI TS 101 903 v1,2,2 (2004-04)) Los documentos compulsados electrónicamente tendrán la misma validez que el documento original. Las copias electrónicas de los documentos originales electrónicos válidamente emitidos por el MITYC serán auténticas si están firmadas electrónicamente por funcionarios competentes para ello, e incluyen un localizador universal que permita comprobar la integridad y autenticidad de las mismas. Los documentos compulsados electrónicamente se almacenarán en el Archivo de Constancias Electrónicas (ARCE), conforme al procedimiento creado en la Orden ITC/3298/2004, de 12 de Noviembre, por la que se crea un registro telemático en el MITYC, debiéndose conservar durante el plazo establecido en la Ley 30/1992 (26/11), de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, para los documentos en papel. (Orden ITC/1475/2006 Art. 7-1)

http://uri.etsi.org/01903/v1.2.2/ts_101903v010202p.pdf


http://www.boe.es/boe/dias/2006/05/16/pdfs/A18749-18751.pdf

25



9. LA REGULACIÓN DE LA FACTURACIÓN ELECTRÓNICA Factura electrónica: documentos electrónicos que alcanzan los mismos efectos tributarios que el ordenamiento, reserva para sus equivalentes en papel aportando ventajas en la gestión y niveles superiores de seguridad. Marco regulatorio vigente en España para la facturación Normas fundamentales para la regulación de la emisión y recepción de facturas por medios electrónicos:

• Reglamento de Facturación (RD 1496/2003) • Orden EHA/962/2007

Plan AVANZA 9.1 LA FACTURA. MARCO NORMATIVO La firma electrónica permite en los sistemas de facturación electrónica al receptor identificar al emisor de la factura, así como la integridad y autenticación en origen. LA legislación española permite generar, enviar y recibir facturas en formato electrónico utilizando documentos firmados electrónicamente Los pilares de la regulación de la factura electrónica en España son:

• Normativa del Impuesto sobre Valor Añadido 1 • Reglamento de facturación (Real Decreto 1496/2003)

La factura es un documento privado, justificante documental de las operaciones realizadas, siendo considerada una obligación tributaria formal (obligaciones establecidas por el legislador con el fin de garantizar la seguridad jurídica y disciplinar de la actuación de la Administración Tributaria). Al tratarse de un documento privado, tiene su eficacia probatoria condicionada a que la parte contraria la reconozca. No existe un modelo específico para la elaboración de las facturas, luego la validez de su contenido esta a expensas del cumplimiento de los requisitos que la normativa recoge al respecto. Ley 28/2003 General Tributaria, de 17 de diciembre (LGT): regula las relaciones entre la Administración tributaria y los contribuyentes 9.1.1 Obligación tributaria formal y prueba de operaciones ( Art. 29 y 106 LGT) Desde el punto de vista tributario, factura es el justificante documental de las operaciones realizadas. Entre las obligaciones destacar “la obligación de expedir y entregar facturas o documentos sustitutivos y de conservar las facturas, documentos y justificantes que tengan relación con sus obligaciones tributarias” Por tanto la factura es una prueba de las operaciones y para ello debe ser autentico. Al ser documento privado esta autenticidad debe ser probada, a lo cual se adapta perfectamente la facturación electrónica.

26



9.1.2 La obligación de facturar en el Impuesto sobre el Valor Añadido (LIVA) Ley 37/1992 (LIVA), de 28 de diciembre. Ver artículos 88.2, 97.1 y 164 IVA: impuesto indirecto que grava el consumo final de bienes y servicios prestados por empresarios y profesionales, así como las importaciones y adquisiciones intracomunitarias de bienes. La repercusión del impuesto debe realizarse mediante factura o documento sustitutivo. Es obligatorio expedir y entregar factura por las operaciones efectuadas por lo empresarios o profesionales, debiendo existir un acuerdo previo entre ambas partes formalizado por escrito. Las facturas expedidas podrán ser transmitidas por medios electrónicos siempre que el destinatario de las facturas haya dado su consentimiento y los medios electrónicos utilizados en su transmisión garanticen la autenticidad de su origen y la integridad de su contenido 9.1.3 Real Decreto 1496/2003, por el que se regulan las obligaciones de facturación Las obligaciones a destacar del reglamento de facturación (RF) son: a) Obligación de emitir factura Están obligados a emitir factura los empresarios o profesionales por las entregas de bienes y prestaciones de servicios que lleven a cabo. No existirá obligación de emitir factura cuando no existe operación a efectos de IVA o cuando el empresario o profesional actúe en condición particular. Las facturas o documentos sustitutivos deberán ser expedidos en el momento de realizarse la operación. Se establece el plazo de un mes para su expedición siempre que el destinatario de la misma sea un empresario o profesional. En todo caso deberán ser expedidas antes del día 16 del mes siguiente al periodo de liquidación del impuesto. El expedidor de la factura esta obligado a remitir los originales de las facturas conservando copia de las facturas emitidas. b) Obligación de conservar factura Al igual que existe obligación de emitir factura existe obligación de conservación tanto para el receptor como para el emisor. Como norma general su duración abarcará todo el plazo de prescripción del derecho de la Administración a inspeccionar el ejercicio de que se trate, es decir durante cuatro años ( 8 años para los bienes de Inversión sujetos a Regularización en general y 13 años para los edificios y terrenos a contar desde el año en el que entran en funcionamiento), a los efectos de determinar las obligaciones tributarias derivadas del IVA. Por otro lado conforme al artículo 30 del código de Comercio los empresarios tienen el deber de conservar los libros, correspondencia, documentación y justificantes, concernientes a su negocio durante seis años, a partir del último asiento realizado en los libros. Se deberán conservar durante el plazo establecido en la Ley General Tributaria las:

• Facturas y documentos sustitutivos recibidos • Las copias de las facturas expedidas • Las facturas expedidas así como sus justificantes contables

El sujeto pasivo (obligado tributario) estará obligado a facilitar las facturas en relación con las obligaciones tributarias de terceros, durante el periodo previsto para sus propias obligaciones formales.



27



Los documentos mencionados deben conservarse con su contenido original, en forma ordenada y en los plazos y con las condiciones fijados por el Reglamento. Existe la posibilidad de que las obligaciones de conservación puedan cumplirse por un tercero, que actuará en todo caso en nombre y por cuenta el empresario o profesional os sujeto pasivo, el cual será siempre responsable del cumplimiento de todas las obligaciones que se están definiendo. Por último decir que el obligado podrá determinar el lugar de cumplimiento de conservación de las facturas ( incluso fuera de España) siempre que ponga a disposición de la Administración Tributaria, ante cualquier solicitud y sin demora injustificada, toda la documentación conservada. 9.2 LA REGULACION DE LA FACTURACION ELECTRONICA El marco regulador de la factura electrónica se basa en cuatro pilares fundamentales: 9.2.1 Normativa Europea: Directiva 2006/112/CE Directiva que regula a nivel europeo la factura electrónica, destacar: Las facturas expedidas podrán ser transmitidas en papel o, en caso de aceptación del destinatario, transmitidas o suministradas por vía electrónica.(Art. 232) Artículo 233 Las facturas transmitidas o suministradas por vía electrónica serán aceptadas por los Estados miembros a condición de que se garantice la autenticidad de su origen y la integridad de su contenido mediante uno de los siguientes métodos:

• Por medio de una firma electrónica avanzada con arreglo al punto 2 del artículo 2 de la Directiva 1999/93/CE

• Mediante un intercambio electrónico de datos (EDI) A efectos de aplicación los Estados miembros podrán exigir también que la firma electrónica avanzada se base en un certificado reconocido y haya sido creada mediante un dispositivo seguro de creación de firmas, de acuerdo a los puntos 6 y 10 del artículo 2 de la Directiva 1999/93/CE 9.2.2. Ley del IVA: La regulación del IVA y la factura electrónica Para que a los medios electrónicos se les considere medios válidos de facturación se tiene que cumplir:

• Que el destinatario haya dado su consentimiento • Que los medios electrónicos utilizados en la transmisión garanticen la autenticidad del origen y la

integridad del contenido

Respecto a la conservación de la factura por medios electrónicos se deberá garantizar a la Administración Tributaria tanto el acceso en línea a dichas facturas como su carga remota y utilización. Esto es independiente del lugar de conservación (Art. 165 LIVA)

http://www.aeat.es/AEAT/Contenidos_Comunes/La_Agencia_Tributaria/Normativas/Ficheros_Asociados_a_Las_Normativas/IVA/Dir2006112CE.pdf


28



9.2.3. Regulación de la facturación electrónica en el Real Decreto 1496/2003 (RF) Art 8. Las facturas y los documentos sustitutivos podrán emitirse en papel o en formato electrónico siempre y cuando el documento resultante permita la constatación de:

• La fecha de expedición • Su consignación en el libro de registro de facturas expedidas (Art. 63 R.D. 1624/1992, RIVA)

(Actualizado 1466/2007) • Su adecuada conservación

Art. 17. Formas admitidas de remisión de facturas electrónicas Se recoge lo que dice la Directiva 2001/115/CE y la LIVA para la utilización de medios electrónicos, detallando lo que se entenderá por transmisiones electrónicas (por medio de equipos electrónicos de tratamiento, compresión numérica, y almacenamiento de datos, utilizando el teléfono, la radio, los medios ópticos u otros medios magnéticos): Para que a los medios electrónicos se les considere medios válidos de facturación se tiene que cumplir:

• Que el destinatario haya dado su consentimiento • Que los medios electrónicos utilizados en la transmisión garanticen la autenticidad del origen y la

integridad del contenido Art. 18. Medidas admitidas para la remisión electrónica de facturas Se recoge lo que dice el artículo 233 de la Directiva 2006/112/CE: la garantía de autenticidad del origen y de la integridad del contenido de las facturas emitidas por medios electrónicos se acreditará:

a) Mediante firma electrónica avanzada basada en un certificado reconocido b) Mediante un intercambio electrónico de datos (EDI) Art.2 1994/820/CE

Y se añade:

c) Mediante los elementos propuestos a tal fin por los interesados, una vez que sean autorizados por la AEAT, debiendo solicitar autorización a la AEAT indicando los elementos que garanticen la autenticidad del origen e integridad del contenido de las facturas

Art. 20 Obligación genérica de conservar facturas, donde se admite la utilización de medios electrónicos Art. 21 Requiere que la conservación por medios electrónicos asegure la legibilidad del formato original, en el que se han recibido o remitido, de los datos que componen la factura, así como de los datos asociados a los mecanismos de verificación de firma que garanticen la autenticidad e integridad del contenido. Los medios de conservación deberán garantizar también un acceso “en línea” a los datos y su carga remota por parte de AEAT en cualquier momento. Nota: El RF entiende por “acceso completo” al que permite la visualización, búsqueda selectiva, copia o descarga en línea e impresión.




http://www.davara.com/documentos/relacionados/fiscalidad/D2001115CE.pdf

http://www.aeat.es/AEAT/Contenidos_Comunes/La_Agencia_Tributaria/Normativas/Ficheros_Asociados_a_Las_Normativas/IVA/Dir2006112CE.pdf

http://www.inteco.es/wikiAction/Seguridad/Observatorio/area_juridica/Enciclopedia_Juridica/Articulos_1/EDI;jsessionid=491465627708B56029D1A20E6F7A06CC#Legislaci%C3%B3n%20aplicable

29



9.2.4 Orden Ministerial EHA/962/2007, de 10 de abril Desarrolla determinadas disposiciones sobre facturación telemática y conservación electrónica de facturas, así como procesos de Digitalización Certificada. Antes solo se admitían los sistemas de firma electrónica admitidos por la AEAT a partir de su promulgación cualquier certificado que cumpla con los requerimientos que en ella se recogen será válido a efectos de facturación electrónica. Puntos a destacar:

a) Establece que cualquier firma electrónica avanzada, basada en un certificado reconocido y generada mediante un dispositivo seguro de firma de las reguladas en el artículo 3.3 de la Ley 59/2003, de firma electrónica, es plenamente válida para la emisión de facturas

b) Enumera los requisitos exigibles para las facturas electrónicas recibidas desde el extranjero, siendo

estos los mismos que para las facturas expedidas en España: uso de firma electrónica reconocida y además se establece la obligación del destinatario de aceptar la recepción y cerciorarse de la validez de dicha firma.

c) Desarrolla la obligación de conservación de las facturas ( Art. 19.1 RF ) regulando la utilización de

sistemas de Digitalización Certificada 9.2.4.1 Digitalización certificada de facturas Proceso que permite convertir la imagen contenida en papel a una imagen digital codificada conforme a algunos de los formatos estándares de uso común y con un nivel de resolución que sean admitidos por la AEAT. Este proceso nos permitirá destruir las facturas en papel. La ley del IVA (Art. 97) disponía la obligatoriedad del documento original, no permitiéndose su imagen digitalizada, para el derecho a la deducción del IVA. Mediante el Art. 7 de la EHA/962/2007 se permite que se pueda proceder a la digitalización certificada de las facturas de los documentos que se conserven en papel que tengan el carácter de originales. Una vez digitalizados se puede prescindir de los originales en papel. Los requisitos exigidos son: a) La digitalización puede ser realizada por el obligado tributario o por un tercer Prestador de Servicios de Digitalización, en nombre y por cuenta de aquél. b) Deberá utilizarse un software de digitalización certificado, los requisitos a cumplir para la homologación del software se definen en la Resolución del 24 de octubre de 2007, de la AEAT. Destacar:

• Se admitirán los formatos estándares publicados en la página web de la AEAT, como PNG, JPEG200, PDF 5.0 ó superior , TIFF 6.0 ó superior

• El nivel de resolución de la imagen obtenida como mínimo será de 200 p.p.p. (píxel por pulgada) • El software debe ofrecer garantías de que la imagen obtenida es fiel al original e íntegra: se debe

respetar la geometría del original en tamaños y proporciones


http://www.boe.es/g/es/bases_datos/doc.php?coleccion=iberlex&id=2007/18911http://www.boe.es/g/es/bases_datos/doc.php?coleccion=iberlex&id=2007/18911

http://www.aeat.es/wps/portal/Navegacion2?channel=ebeefe2cc8dc6110VgnVCM1000004ef01e0a____&ver=L&site=56d8237c0bc1ff00VgnVCM100000d7005a80____&idioma=es_ES&menu=0&img=0

30



• La imagen se obtendrá en un proceso informático automático, donde sin interrupción del mismo y sin intervención el operador se realice: la digitalización, optimización, introducción de información exigida por la AEAT y por último firma electrónica avanzada del fichero generado.

• El resultado de la digitalización certificada se organizará en torno a una base de datos documental, la cual también deberá ser firmada electrónicamente, garantizando la integridad de datos e imágenes al cierre de cada periodo de liquidación al que este sometido el obligado tributario.

• Por cada documento digitalizado se conservará un registro de datos con todos los campos, los exigibles en la llevanza de los libros de registros (Art. 62 y siguientes RIVA), además de un campo en el que se contenga la imagen binaria del documento digitalizado o que enlace al fichero que la contenga, en ambos casos con la firma electrónica de la imagen del documento.

• El sistema deberá garantizar el acceso completo y sin demora a los datos por parte de la AEAT y a su requerimiento

Enlace con los proveedores de software que han solicitado la homologación: http://www.digitalizacioncertificada.es/ Enlace con los Software homologados para la digitalización certificada: http://www.aeat.es/wps/portal/Navegacion2?channel=fcfefe2cc8dc6110VgnVCM1000004ef01e0a____&ver=L&site=56d8237c0bc1ff00VgnVCM100000d7005a80____&idioma=es_ES&menu=0&img=0

9.2.4.2. Impresión y almacenaje en papel de las facturas electrónicas

Los documentos remitidos por medios electrónicos pueden conservarse por los receptores de forma impresa en papel después de haber verificado la firma electrónica.

La conversión debe cumplir:

• El software que permita la impresión a papel deberá añadir dos conjuntos de código, en formato

PDF-417, por un lado los datos de la factura y por otro lado la firma electrónica del fichero junto con todos los elementos que permitan la verificación de la firma

• Si la firma electrónica estuviera embebida en el documento que contiene la factura o si los datos del documento están contenidos en el formato de firma electrónica, bastará con la impresión de un solo conjunto de código que incluya los datos del fichero o formato de la firma electrónica.

http://inza.wordpress.com/2006/09/14/pdf-417-que-es-y-para-que-sirve/

31



9.2.5. Ley de Contratación con las Administraciones Públicas en relación con la facturación

La Ley 30/2007, de 30 de octubre de Contratos del Sector Público (LCSP) incorpora los medios electrónicos en los procesos de contratación pública.

Destacar:

• Utilización de medios electrónicos en los procesos de información, accesos a pliegos, proyectos,

presentación de ofertas y licitaciones, etc • Internet será el cauce que permita dar publicidad a las licitaciones, a la presentación de ofertas,

así como el acceso inmediato a pliegos, proyectos, etc.. • Se regula la subasta electrónica (Art. 132 LCSP)

Fechas a tener en cuenta:

- 30/04/08: entrada en vigor de la LCSP - 30/04/09: plazo máximo para aprobar las normas* de desarrollo que hacen posible el uso de las facturas

electrónicas en los contratos que se celebren por las entidades del sector público estatal - 30/10/09: plazo máximo para el uso obligatorio de la factura electrónica en todos los contratos del sector público estatal La presentación de facturas electrónicas será obligatoria en la contratación con el sector público estatal para las grandes empresas transcurridas tres meses desde la aprobación de las normas de desarrollo.

Los medios electrónicos deberán permitir la acreditación de la fecha y hora de emisión o recepción, la integridad de su contenido y el remitente o destinatario de las mismas. La firma electrónica permitirá estos condicionantes siendo por tanto de uso obligatorio para los actos y manifestaciones de voluntad de los órganos administrativos o de las empresas licitadoras o contratistas que tengan efectos jurídicos y se emitan tanto en la fase preparatoria como en las fases de licitación, adjudicación y ejecución del contrato. *: En la Orden PRE/2971/2007, de 5 de octubre, se definen las normas aprobadas, el problema es que esta orden se aprobó antes de que entrará en vigor la LCSP, razón por la que existe la confusión, estandose a la espera de que aprueben las normas. A la vista de estos datos el plazo realmente ha empezado a contar desde el 30/04/08 por lo que las grandes empresas deberían empezar a presentar facturas a partir del 30/07/08 y por tanto a partir del 30/10/08 debería empezar a utilizarse la factura electrónica en todos los contratos del sector público estatal. 9.2.6 Orden PRE/2971/2007, de 5 de octubre Determina las condiciones técnicas en las que deberán remitirse a la Administración General del Estado y a sus organismos públicos las facturas electrónicas. Destacar:

- El formato de firma electrónica a utilizar en la remisión de facturas es el denominado “facturae” ( XAdES, ETSI TS 101 903) http://www.facturae.es

- Se revisará el formato en un plazo de dos años con el objetivo de adecuarlo al formato UBL ( Universal Business Language) utilizado en varios Estados miembros de la UE.



32



10. EFECTOS DE LA NORMATIVA DE FACTURACIÓN ELECTRÓNICA EN LAS ORGANIZACIONES

10.1 REQUISITOS DE LA FACTURA ELECTRÓNICA

1. Autenticidad del origen y la integridad del contenido 2. Consentimiento expreso del destinatario de la factura electrónica, simplemente puede ser una

aceptación verbal. La Orden EHA/962/2007 dice que “será prueba suficiente del consentimiento si existe intercambio entre el emisor y receptor de facturas electrónicas con habitualidad. Hay que tener en cuenta que el destinatario tiene que estar preparado para poder recibir o transformar el formato en el que le enviamos la factura, ser capaz de validar los certificados de las firmas electrónicas de las facturas recibidas y tener dado de Alta en la Agencia de Protección de Datos el fichero de clientes o el de facturas electrónicas, ya que en los certificados de persona física, se reflejan datos personales.

3. a) La forma de conservación de las facturas electrónicas emitidas debe hacerse en su formato original, ya sea mediante:

• Almacenamiento electrónico de una copia de los ficheros de cada una de las facturas generadas con las firmas electrónicas (extensiones .fir, .pb7 )

• La conservación de las Bases de Datos y los programas o aplicaciones que permitan al expedidor la generación de las facturas y la obtención de copias y de duplicados Nota: En caso de querer imprimir las facturas electrónicas interesa imprimir la “dirección url” en la que puede verse el original, y que además aparezca la palabra copia.

b) La forma de conservación de las facturas electrónicas recibidas será también electrónica, excepcionalmente pueden conservarse en papel (PDF-417). En caso de recibirse las facturas en papel se pueden conservar en formato electrónico mediante un procedimiento de Digitalización Certificada, pudiéndose prescindir de los originales en papel

4. Comprobación de la validez de la firma.

Las facturas firmadas con certificados caducados, revocados o suspendidos en el momento de su expedición no se considerarán validamente remitidas a sus destinatarios ni recibidas por estos. Se analizará dentro de cada certificado o bien en la Declaración de Prácticas del PSC que métodos se utilizan para la CRL y estableceremos en nuestro software las reglas de consulta según el tipo de certificados, guardando: la respuesta a la consulta junto con la factura firmada y la información del certificado

5. Acceso a la Inspección Tributaria en el caso de facturación electrónica

Tanto para el obligado tributario emisor como al receptor deberán facilitar el acceso completo y sin demora injustificada a las facturas expedidas/recibidas. El acceso completo debe entenderse como aquel que posibilite una consulta en línea a los datos que permita:

- La visualización de los documentos - La búsqueda selectiva de los datos que deban reflejarse en los libros de registro - La copia o descarga en línea en los formatos originales - La impresión a papel de aquellos documentos que sean necesarios

Nota: Esta obligación puede cumplirse facilitando a la Inspección un ordenador en nuestra propia empresa con permisos de acceso y posibilidades de búsqueda.

33



10.2 FACTURAS ELECTRÓNICAS - FACTURAS EN PAPEL a) Ventajas y beneficios de la factura electrónica:

• Agiliza el que la factura llegue al destino • Seguridad y Control ( firma electrónica) • Reducción de los costes asociados al proceso de facturación ( en la emisión como en la recepción) • Eficacia y Eficiencia (automatización de procesos)

Los sistemas, programas informáticos y procesos a utilizar tanto para la emisión de facturas como para la contabilización de las facturas recibidas tienen que soportar tanto la versión electrónica como la de papel. b) Proceso de emisión de facturas:

1. Preparación de la Base de Datos ( garantizar que las facturas son legalmente válidas) 2. Establecimiento de controles necesarios, procesos de conciliación y contabilización 3. Envío de datos para la confección de la factura a la impresora eligiéndose formato papel o electrónico. (formato de intercambio “EDIFACT, XML, PDF”, firma electrónica” XAdES, CAdES, Firma PDF” y forma de envío o almacenamiento)

3.1 Independientemente de la utilización de un fichero de configuración de nuestra aplicación, para la transformación a los formatos de intercambio podemos utilizar o ayudarnos de la serie. De los elementos de la factura electrónica la serie es el único que no se encuentra totalmente regulado en su contenido. La serie es un buen sistema para “trazar” la ruta de adecuación de los datos de la factura al formato de intercambio. Los formatos de intercambio más generales en España son:

• EDI: utilizado por las grandes empresas del sector de la distribución y automoción • Facturae: formato de intercambio para la administración del Estado • XML/UBL: formato más utilizado en los paises nórdicos • PDF: formato más utilizado si nuestro cliente es un particular

Además dentro de cada formato podemos aportar nuevos componentes creando a su vez diferentes subformatos dentro del cual se numerarán correlativamente las facturas ( p.e.: Nuestro cliente es DRAGADOS y trabaja con el formato XML, las facturamos que le enviemos su serie vendrá definida por XML/DRA)

c) Proceso de recepción de facturas electrónicas:

a) Almacenaje de facturas electrónicas ( en el mismo formato en que las recibimos), con un sistema “on line” de acceso b) Validación de los certificados (CRL, OCSP, LDAP,..) c) Transformación de los formatos recibidos al interno de facturación (ERP) incluidos los recibidos en papel (Digitalización certificada) d) Procesos de Conciliación y Contabilización para la gestión de pagos

34



10.3 DEBERES DEL EMISOR Y RECEPTOR DE FACTURAS

a) Obligaciones del emisor de la factura electrónica • Tiene que tener el consentimiento de forma expresa del destinatario de la factura por cualquier

medio, verbal o escrito, para poder emitirla, sabiendo que en cualquier momento puede comunicar su deseo de recibirlos en papel

• Firmar electrónicamente las facturas emitidas con un certificado reconocido o delegar esta acción en un tercero (subfacturación) o en el receptor (autofacturación)

• Deberán conservar, durante el plazo que resulte de lo dispuesto por la LGT, 6 años, las copias ( con su correspondiente firma electrónica) o matriz de las emitidas. Esta conservación deberá permitir el acceso completo, consulta en línea de los datos, y sin demora a la Administración Tributaria

b) Obligaciones del receptor de la factura electrónica • Validación de la firma: debiendo disponer de dispositivos de verificación de firma. Las entidades

expedidoras de certificados reconocidos están obligadas a facilitar las consultas de las listas de certificados revocados o suspendidos. El destinatario no estará obligado si la firma electrónica avanzada esta acompañada de un sello de tiempo que acredite la validez de dicho certificado

• Deberán conservar con su contenido original, durante el plazo que resulte de lo dispuesto por la LGT, mínimo 6 años, los documentos a que se refiere el artículo 19.1 del reglamento de facturación (RF). Incluyendo las firmas electrónicas asociadas a las facturas en caso de no estar incluidas en el propio fichero.

• El obligado tributario debe facilitar el acceso completo y sin demora a las facturas recibidas, permitiendo su consulta directa

35



11. IMPLANTACION DE LA FACTURACION Y FIRMA ELECTRONICA EN LAS ORGANIZACIONES Antes de afrontar un proyecto de factura electrónica hay que encontrar los motivos que lo justifiquen. Por ello es importante conocer el escenario actual respecto a la factura electrónica. Una vez conocido el escenario debemos estudiar que papel puede jugar nuestra organización, que motivaciones justifican la adopción de la factura electrónica y en que condiciones. 11.1 JUSTIFICACION DE LA IMPLANTACION DE LA FACTURA ELECTRONICA 1. CONOCER EL ESCENARIO

• Desarrollo Normativo • Los estándares (UN/EDIFACT, OASIS/UBL, UN/CEFACT) • Los grupos de expertos (CEN/ISSS, Grupo Facturación electrónica ASIMELEC) • Las “plataformas” de facturación (Prestadores de servicios de facturación electrónica, procedentes de

Entidades financieras, prestadores de EDI, Prestadores B2B y Asociaciones sectoriales) Desarrollo Normativo:

Otras normas de especial interés: Ley 30/2007 de Contratos del Sector Público (LCSP), Orden PRE/2971/2007 y Ley 56/2007 (LISI) 2. MOTIVOS DE JUSTIFICACION Se puede plantear la adopción de la factura electrónica como emisores, como receptores o ambos a la vez, Como receptor el principal motivo suele ser el económico. Como emisor, cabe destacar:

36



• Motivaciones Estratégicas: imagen de empresa moderna y mejorar la relación con nuestros clientes o proveedores

• Motivaciones Organizativas: aumentar la eficacia (desaparición del papel), aumentar la seguridad • Motivaciones Legales: legalización de situaciones anómalas ( envíos de facturas en PDF sin firmar)

y apagón de la factura papel en la Administración General del Estado. 3. JUSTIFICACION ECONOMICA

• Ahorro de costes tanto como emisor y como receptor • Agilización de pagos ( remisión más segura y rápida) • Facilidades financieras ( Servicios de “Factoring” y ”Confirming”) • Subvenciones y ayudas

11.2 CONSIDERACIONES DE LOS PROYECTOS DE FACTURA ELECTRONICA 1. Consentimiento del destinatario 2. Firma electrónica en las facturas

• Certificados para firmar facturas: Quien firma las facturas se responsabiliza del proceso, autenticidad e integridad, no del contenido. En cada organización deberá identificarse quienes son las personas responsables del proceso de facturación, siendo conveniente que la organización ofreciera a la persona física un documento en el que la exonera de cualquier responsabilidad personal. En caso de firmarse las facturas con certificados de persona física es conveniente que estos identifiquen la relación de la persona física con la empresa. Los certificados que podemos utilizar para firmar facturas electrónicamente son: a) Certificados cualificados de persona física representando a la organización (es la mejor opción: utilizando Dispositivo Seguro de Creación de Firma, es un certificado de persona física, son reconocidos en cualquier ámbito aparte del tributario y define la vinculación entre la persona física y la organización) b) Certificados cualificados de persona jurídica (solo son admitidos en el ámbito español) c) Certificados cualificados de persona física (son adecuados para la firma en caso de profesionales y autónomos) d) Sistemas de firma electrónica no cualificada (serán válidos en nuestra factura si están homologados por AEAT, pero hay que tener en cuenta que no serán admitidos por defecto en otros países y que puede tener problemas si se presentan como prueba fuera del ámbito tributario)

PSCs que emiten certificados cualificados en España: http://www.mityc.es/DGDSI/Servicios/FirmaElectronica/Prestadores/relaPrestadores.htm

PSCs en Europa: http://ec.europa.eu/information_society/eeurope/2005/all_about/security/esignatures/index_en.htm

PSCs homologados por la Agencia Tributaria: http://www.aeat.es/aeat/aeat.jsp?pg=ayuda/certificado/ent_emi/es_ES

37



• Los dispositivos y formatos de firma: En función del volumen de firmas los Dispositivos Seguros de

Creación de Firmas (DSCF) que podemos tener son “Tarjetas criptográficas y Tokens USB Criptográficos” para poco volumen y “Dispositivos HSM (Hardware Security Modules)” para un gran volumen de firmas. En función del nivel de seguridad los DSCF tienen nivel EAL 4 (CWA14168) o nivel EAL4+

(CWA14169)

• La firma por Política ( formato XAdES-EPES): el emisor de las firmas electrónicas diseña y hace pública una política de firma electrónica, detallando en que condiciones se realiza la firma. La política quedará identificada en la propia firma.

• La Firma Completa (formato XAdES-X-L): firma que incorpora los datos de validación del

certificado y con sello de tiempo (TimeStamping) que fija el momento de la firma, permitiendo comprobar la firma durante el periodo de conservación de la factura.

3. Formatos estructurados de Facturas Es fundamental que el emisor y receptor entiendan el mismo lenguaje, lo que permite un mayor automatismo de los procesos y por tanto eficiencia. Por tanto aunque pueden usarse formatos no estructurados (PDF, Word,..) este automatismo se obtendrá con el uso de datos de formato estructurado. Entre las iniciativas de estandarización/normalización de formatos estructurados tenemos:

• XML (eXtensible Markup Language): se esta convirtiendo en el formato universal para datos y documentos estructurados

• UN/CEFACT: destacar el proyecto UNeDocs, método para intercambiar datos basados en documentos y el proyecto UN/EDIFACT, estándar internacional EDI (Electronic Data Interchange). En las facturas nos referiremos a EDI más como un formato estructurado de datos que como un mecanismo válido en si mismo para la factura electrónica. Hoy día se esta transformando los mensajes EDI a XML teniendo una estructura EDI pero basados en esquemas XML. No olvidar tener en cuenta los sistemas EDI para un proyecto de Factura Electrónica.

• OASIS UBL (Universal Business Language, Lenguaje Universal de Negocios): Biblioteca de uso libre de los documentos de negocio electrónico en XML http://www.oasis-open.org/committees/ubl UBL representa la sexta generación de lenguajes B2B en XML (UBL 2.0), esta destinado a convertirse en el estándar de documentos XML para el negocio electrónico

• FACTURAE (http://www.facturae.es): formato estructurado de datos adecuado para la factura electrónica creado por la AEAT y el CCI (Centro de Cooperación Interbancaria) para el ámbito español. La Orden PRE/2971/2007 amplia su ámbito de aplicación para toda la A.G.E. e indicando que transcurridos dos años desde la entrada en vigor de la Orden el formato se adecuará al UBL.

Nota: EDI o UBL cubren diferentes documentos de los procesos de negocios ( pedidos, albaranes, facturas,..) y FACTURAE solo cubre el documento factura.

ftp://ftp.cenorm.be/PUBLIC/CWAs/e-Europe/eSign/cwa14169-00-2004-Mar.pdf

38



4. Integración e Interoperabilidad

• Adaptaciones en el entorno del emisor

Los pasos básicos en que se puede dividir la emisión de facturas son: Generación de facturas, Impresión o generación de PDF, Manipulación y Envío.

Los pasos básicos en que se puede dividir la emisión de facturas electrónicas son:

• Generación de facturas • Transformación (formato electrónico de nuestros clientes:PDF, UBL, EDI, facturae,..) • Firma electrónica integrada o no en nuestro ERP (debe permitir la validación y conservación para el receptor) • Envío electrónico (email, portales web, servidores FTP, …)

Directorios de empresas y organismos que aceptan recibir facturas electrónicas: http://www.facturae.es/Aspectos/Directorio (Servicio de recepción de facturas de la A.G.E.) http://efacturae.asimelec.es

• Adaptaciones en el entorno del receptor

Los pasos básicos en que se puede dividir la recepción de facturas son: Recepción (correo), Selección, Aprobación, Cotejar (cantidades y condiciones acorde albaranes), Completar, Grabación (en el ERP), Archivo

Los pasos básicos en que se puede dividir la recepción de facturas electrónicas son:

• Recepción electrónica (email, portales web, servidores FTP, …), todos los canales de recepción deben dejar las facturas en un mismo repositorio. • Validar Firma y en consecuencia el certificado con el que se ha firmado ( lo adecuado es

automatizar el proceso) • Validar Contenido (formato aceptado) • Archivo • Transformación : si el formato de recepción no puede interpretarlo nuestro ERP ( No olvidar

que la factura “legal” es la conservada en formato original) • Workflow: aprobación, cotejar y completar la factura • Inserción en el ERP

Lo ideal es un proceso automático de recepción de facturas electrónicas que nos permita: validación de firmas, de formatos con herramientas de transformación, control de flujo e inserción

5. Conservación de las facturas

El receptor debe conservar la factura electrónica original (firmada) y el emisor la copia o matriz (sistema ERP y sus bases de datos que permitan volver a generar las facturas). En las facturas electrónicas la copia es un fichero idéntico al original, si el original esta firmado electrónicamente la copia se refiere al fichero firmado.

Como norma general el plazo de conservación de las facturas es de seis años, salvo para las referentes a los bienes de inversión, en que debe añadirse los años de amortización.

39



El archivo de las facturas electrónicas debe organizarse en base a una base de datos documental que permita la búsqueda selectiva en base a los datos de los libros de registro de IVA, así como la transcripción en papel de las facturas originales en caso de ser necesario.

Las labores de emisión y/o recepción de facturas así como de conservación pueden contratarse a un tercero. Este deberá poner a disposición de sus clientes aplicaciones informáticas que gestionen un repositorio de facturas junto con la firma electrónica generada o verificada proporcionando un código de autenticación de mensajes asociado a cada documento. A través de este código se accede al documento asociado en el repositorio. Los documentos impresos a papel con este código serán igualmente válidos siempre que se mantenga el repositorio electrónico con el documento, su firma electrónica, etc..

Respecto a la impresión de facturas, ver punto 9.2.4.2.

Existen dos métodos de conservar las facturas electrónicas en papel:

• Que el receptor, después de verificar la firma, imprima en papel los datos de la factura

electrónica mediante la conversión a PDF-417 • Cuando la factura electrónica la conserva un tercero, el obligado tributario puede conservar en

papel la factura con el código de autenticación del tercero. 6. Facturas internacionales (UE) En el ámbito europeo existe un marco común definido por la Directiva 2001/115/CE. Para emitir facturas a otros países de la UE, deberíamos:

• Realizar firmas completas (XAdES-X-L) • Utilizar certificados de persona física (de representante), los de persona jurídica no son reconocidos. • Utilizar firma electrónica cualificada o reconocida • Utilizar formatos estándares internacionales (EDI, UN/CEFACT, UBL,..)

Para recibir facturas, solo hay que aceptar las facturas que:

• Tecnológicamente seamos capaces de procesar • Serán aceptadas por la AEAT

Fuera de la UE todavía es temprano para el reconocimiento de los sistemas de facturación

http://www.davara.com/documentos/relacionados/fiscalidad/D2001115CE.pdf

40



11.3 MODELOS DE IMPLANTACIÓN A) Modelo Gran Comprador Su adopción se debe al incremento de eficiencia y ahorros de costes en los procesos de gestión de aprovisionamiento de los grandes compradores. Mientras no existía normativa de facturación electrónica el circuito electrónico se complementaba con el circuito en papel de las facturas para mantener su valor legal. Por tanto, en la mayoría, los proyectos de facturación electrónica se han reducido a implementar simplemente la firma electrónica. Los sistemas utilizados para la facturación se han basado en le mundo EDI, aunque en los últimos años están apareciendo sistemas parecidos basados en Internet: “Portales de proveedores”. Dentro de este modelo se utilizan sistemas basados en la “autofactura” o “prefactura” Conclusión: tenderá a dejar de jugar un papel preponderante una vez se desarrollen otros modelos que faciliten la adopción de la factura electrónica. B) Modelo Portal de clientes Utilizado por las empresas que generan muchas facturas (Endesa, Telefónica, Iberdrola, Gas Natural, ..), su ventaja se concentra en los ahorros en impresión, papel y envío. El modelo se basa en que la empresa a través de su portal web ofrece acceso a determinadas gestiones a sus clientes entre ellas la descarga de la factura electrónica. Es un modelo centrado en el usuario final y con uso de formatos no estructurados (PDF). Con la LISI deben mejorar el servicio ofreciendo facturas en formatos estructurados Conclusión: el gran beneficiado es el emisor, es un modelo que se mantendrá, pero que tenderá a dejar de jugar un papel preponderante una vez se desarrollen otros modelos que faciliten la adopción de la factura electrónica. C) Modelo Punto a Punto (P2P) El vendedor desea emitir facturas electrónicas para evitar la impresión, manipulación y envío de las facturas. Requiere de acciones manuales por parte del receptor (validación, casación de las facturas con los pedidos). El formato utilizado suele no estructurado (Pdf, Word, Html,…) Es el modelo utilizado para “legalizar” el envío de facturas por correo electrónico mediante la incorporación de firma electrónica a las facturas. Conclusiones: no ofrece claros beneficios, sobre todo para el receptor. Es un modelo que una vez se consoliden estándares en formatos estructurados y sistemas de remisión, se irá consolidando ya que evita depender de un tercero para la remisión/recepción de facturas electrónicas D) Modelo Consolidador (HUB, B2B) - Plataforma Aparece la figura del tercero dando lugar a la constitución de los Prestadores de Servicios de Facturación (PSF). Entre las entidades que optan a ser PSF tenemos:

a) Los prestadores que existían del mundo EDI, siendo la factura electrónica una oportunidad para ampliar sus mercados

41



b) Las entidades financieras, la mayoría de las facturas se pagan a través de ellas. Tienen productos como el “factoring” y el “conforming” que la factura electrónica facilita su gestión.

c) Prestadores que vienen del mundo de la firma electrónica d) Prestadores con voluntad de servicio sectorial

Este modelo permite enlazar organizaciones que utilizan diferentes redes, protocolos de comunicaciones o formatos. Con estos terceros las empresas minimizan sus necesidades de integración a una única con el consolidador, encargándose estos terceros de ofrecer distintos sistemas de comunicación, formatos y las transformaciones necesarias. Servicios que ofrecen:

• De firma electrónica: firmar(emisor) y verificar la firma de las facturas (receptor) • Transmisión y seguimiento • Custodia de facturas (conservación del documento electrónico original) • Transformación de formatos • Servicios financieros: “factoring” a los emisores y “confirming” a los receptores • Circuito único de facturación (incluyendo las facturas en papel, digitalización certificada)

Conclusiones: es el único modelo que cubre adecuadamente las necesidades de la mayoría de las empresas. Su principal inconveniente es la dependencia de un tercero (confidencialidad, confianza,..), aunque en menor escala para las PYMES si el tercero es una entidad financiera. El reto fundamental a conseguir por parte de los PSF es la interoperabilidad, actualmente salvo el caso EDI la mayoría de plataformas funcionan como islas independientes. Mientras la estandarización de los elementos de la factura electrónica (formatos, formas de remisión) no se consolide, los terceros jugarán un papel fundamental, tras lo cual los otros modelos irán ganando terreno. La aplicación “faccil” es un ejemplo de este modelo: http://www.faccil.com/

42



11.4 PROYECTOS DE FACTURA ELECTRÓNICA Tras la decisión de poner en marcha el proyecto de implantación de facturación electrónica, el siguiente paso es su planificación. Puntos a tener en cuenta: 11.4.1 Integración de Firma Electrónica

No basta con tener y hacer uso de la firma electrónica en las organizaciones, es necesario disponer de sistemas de firma electrónica integrados en los sistemas de nuestra organización. En caso de que la organización disponga de la capacidad de generar documentos electrónicos con el contenido de las facturas en formatos aceptados por nuestros clientes, únicamente restará por escoger la herramienta de firma electrónica, que utilice los formatos de firma adecuados, y los certificados electrónicos, para la firma y validación. Modelos:

a) Firma electrónica sin integración Nuestra aplicación genera los documentos, previos a la firma, posteriormente a través de la herramienta de firma los recogemos de donde estén almacenados y los firmamos, estando listos para ser entregados al receptor o bien a través de e-mail o de sitios de Internet (FTP). Entre las herramientas de firma tenemos:

• Herramientas de ofimática: Adobe Acrobat V6.0 o superior, Microsoft Office (Versión 200 o superior)

• Herramientas específicas de escritorio: Dfirma Desktop (Camerfirma), Profirma (Albalia) • Componentes de firma en web: herramientas que hacen uso de componentes de firma en web (

Componentes ActiveX o Java Applets) permiten la firma de documentos a través de un portal web (Ej. Declaración de la Renta). (CryptoApplet, de la Universidad Jaume I)

Estas herramientas no generan formatos de firma completas y las que validan suelen ser muy básicas siendo del receptor la responsabilidad de verificación del certificado. Una excepción es el Adobe Acrobat Reader que es capaz de validar las firmas, en PDF, de una forma adecuada.

b) Integración en aplicaciones mediante APIs

En este caso nuestra aplicación controlaría y gestionaría los documentos firmados, para ello lo más común es utilizar “librerias criptográficas” que realizan las funciones de firma electrónica y que ofrecen dichas funciones a través de APIs a las aplicaciones.

La aplicación genera los documentos y directamente, a través del API, los firma. Se pueden generar firmas completas e igualmente se puede implementar los sistemas necesarios para realizar todo tipo de validaciones (por tipos de firma, sellos de tiempo, validación de certificados de distintos PSC). Librerías de Firma Electrónica: http://www.bouncycastle.org http://jce.iaik.tugraz.at http://www.microsoft.com/spanish/msdn/netframework/default.mspx

http://www.albalia.com/descargas/profirma.zip

http://proyectostic.uji.es/cryptoapplet/index_es.html

43



c) Integración en aplicaciones mediante SOA Se ofrecen servicios relacionados con la firma electrónica a las aplicaciones, no dependiendo de tecnología concreta (APIs) siendo accesibles de forma estándar. Un ejemplo son las “Plataformas de Firma” que engloban funciones relacionadas con la firma electrónica ofreciéndolas a las aplicaciones como servicios. Son las “Plataformas” las que gestionarán toda la complejidad de la firma electrónica (firmas completas, distintos formatos, sellos de tiempo y PSCs). Como ejemplo de “plataforma de firma” tenemos Backtrust Como ejemplos de plataformas tenemos: @firma (Ministerio de Administraciones Públicas) para la A.G.E. y PSIS (Generalitat de Catalunya) para las adinistracines autonómicas y locales. OASIS ha estandarizado la llamada a dichos servicios a través de OASIS DSS TC y OASIS DSS-X TC.

11.4.2. Gestión del cambio Pasar de la factura en papel a la factura electrónica es un cambio importante, es probable que durante un tiempo convivan las facturas en papel con las facturas electrónicas. El factor clave en el proceso de cambio son las personas. El cambio no solo afectará a nuestra organización sino también a nuestros clientes y proveedores La implantación de la factura electrónica es un proyecto que afecta a todas las áreas de la empresa, debiendo estar consensuado y arropado por todos especialmente por la Dirección General. Elementos a tener en cuenta:

• La dirección de la compañía tiene que estar directamente implicada y absolutamente convencida • Proyecto justificado adecuadamente e identificadas las personas que serán su Impulsor y Sponsor • Los objetivos y el alcance del proyecto deben estar claramente definidos y ser realistas • Realizar una planificación adecuada: elección del momento, recursos necesarios, plazos realistas,… • La comunicación y formación deben ser permanentes con nuestro personal así como con nuestros

clientes y proveedores • Hacer participar a los actores implicados en la definición de objetivos, alcance y planificación

En resumen hay que conseguir que todos los participantes se impliquen el proyecto con el fin de reducir la resistencia al cambio.

http://www.backtrust.net/

http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=dss

http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=dss-x

44



11.4.3. Plan de Proyecto de factura electrónica Fases que deben, como mínimo, formar parte de un plan proyecto de factura electrónica: a) FASE de DEFINICION de objetivos y alcance del proyecto. Tareas a realizar:

• Definir el Rol, el de emisor o el de receptor (no ambos simultáneamente) • Analizar los interlocutores, deben estar de acuerdo el emisor y receptor • Analizar el entorno: marco normativo, estándares, PSF,.. • Analizar la situación actual, tecnologías y procedimientos • Definir el modelo de implantación: Gran comprador, Portal de clientes, HUB • Dictamen Jurídico que exponga los requisitos para la fase de diseño

b) FASE de DISEÑO

• Decisiones de diseño: • Sobre la firma electrónica ( tipos de certificado, formatos de firma, dispositivos de firma) • Sobre formatos de factura ( estructurados, estándares, sistemas de transformación) • Sobre medios de comunicación ( envío y recepción de facturas) • Sobre conservación (garantizar validez a largo plazo, facturas papel-electrónicas)

• Cambios en los procedimientos, tanto internos como externos • Cambios en los sistemas informáticos: implantación de la firma electrónica en nuestras aplicaciones,

gestión de los formatos estructurados de datos, herramientas de Workflow, sistemas de conservación • Cambios en la documentación, con terceros (contratos) • Diseñar el prototipo (juego de pruebas) • Diseñar la comunicación (difusión y comunicación)

c) FASE de IMPLEMENTACIÓN

• Desarrollo e Integración de la solución (desarrollos y tareas de integración tecnológicas) • Documentar los nuevos procedimientos • Generar la nueva documentación ( cambios en los documentos de relación con terceros) • Generar las herramientas de comunicación (documentación,….)

d) FASE de PRUEBAS

• Desplegar el prototipo • Ejecutar el juego de pruebas • Ajustes de las deficiencias detectadas

e) FASE de DESPLIEGUE (completo o por fases )

• Comunicación y formación (garantizará el éxito del proyecto: el porqué, funcionamiento, ventajas) • Despliegue en producción

45



12. DISPOSITIVO SEGURO DE CREACION DE FIRMA (TARJETAS, LECTORES Y APIs) 12.1 TARJETA INTELIGENTE Tarjeta convencional de plástico, que incorpora un chip en su interior. Este chip está formado por un microprocesador, una memoria de programa y una memoria de trabajo. Opcionalmente puede contener un criptoprocesador el cual permite realizar operaciones criptográficas dentro de la tarjeta inteligente como pueden ser generación de claves RSA, firma digital, cifrado simétrico y/o asimétrico, resumen digital (hash), generación de números aleatorios etc.... La tarjeta inteligente tiene métodos de autenticación del usuario, como pueden ser un PIN de usuario o una huella digital. Una tarjeta inteligente se puede usar como elemento seguro para almacenar los certificados digitales generados por una CA y sus claves asimétricas asociadas.

El uso de este dispositivo permite generar el par de claves RSA, almacenar el certificado digital, generar firmas digitales, y/o el cifrado de datos dentro de la tarjeta inteligente protegiendo el acceso a las operaciones sensibles (por ejemplo que hagan uso de la clave privada) mediante métodos de autenticación, incrementando la seguridad al realizar estos dentro de un dispositivo seguro.

El uso de tarjeta inteligente también garantiza la portabilidad de esta información al estar almacenado en esta.

A partir de Windows 2000 Microsoft integra la tarjeta inteligente en las distribuciones de su sistema operativo, permitiendo autenticación de usuario (Smart Card Logon ), mediante el certificado digital almacenado en la tarjeta inteligente y acceso telefónico a Redes usando la tarjeta inteligente, entre otras funcionalidades. Para poder interaccionar adecuadamente con las tarjetas criptográficas en general y con el DNI electrónico en particular, el equipo ha de tener instalados unas "piezas" de software denominadas módulos criptográficos. En un entorno Microsoft Windows, el equipo debe tener instalado un servicio que se denomina "Cryptographic Service Provider" (CSP) o bien el módulo PKCS#11. En los entornos UNIX / Linux o MAC podemos utilizar el DNI electrónico a través de un módulo criptográfico denominado PKCS#11. La librería para hacer uso del DNIe (CSP), que se integra completamente en el CryptoAPI de Microsoft, gestiona de forma automática los certificados entre la tarjeta y el sistema cuando lo requiera el sistema operativo. La Crypto API permite la conexión a las URIs y puertos indicados en el propio certificado para obtener los certificados intermedios de la cadena de validación

46



12.2 LECTORES DE TARJETAS Las características técnicas que tienen que cumplir son:

• Cumplir el Estándar ISO 7816 (1, 2 y 3) • Soportar tarjetas asíncronas basadas en protocolos T=0 (y T=1) • Soportar velocidades de comunicación mínimas de 9.600 bps. • Soportar los estándares:

- API PC/SC (Personal Computer/Smart Card) - CSP (Cryptographic Service Provider, Microsoft) - API PKCS#11

47



13. PRESTADORES DE SERVICIOS DE CERTIFICACION (PSC) CERTIFICATION SERVICE PROVIDERS (CSP)

A nivel europeo se tiene que cumplir por parte de los Estados Miembros la Directiva 1999/93/CE de Firma Electrónica, y concretamente el artículo 11 dice:

1. Los Estados miembros interesados notificarán a la Comisión y a los demás Estados miembros lo siguiente:

a) Información sobre los sistemas voluntarios de acreditación de ámbito nacional, incluidos cualesquiera requisitos adicionales con arreglo al apartado 7 del artículo 3;

b) El nombre y dirección de los organismos nacionales competentes en materia de acreditación y supervisión, así como de los organismos a que se refiere el apartado 4 del artículo 3; y

c) El nombre y dirección de todos los proveedores nacionales de servicios de certificación acreditados.

El repositorio europeo con todos los Prestadores de Servicios de Certificación que operan bajo la Directiva 1999/93/CE, se puede encontrar en: http://ec.europa.eu/information_society/eeurope/2005/all_about/security/esignatures/index_en.htm

En dicho repositorio la información concerniente a España dice:

A) Información sobre los sistemas voluntarios de acreditación nacional, incluidos cualesquiera requisitos adicionales con arreglo al artículo 3 (7):

España no tiene sistemas gubernamentales nacionales de acreditación voluntaria ( debería actualizarse indicando que la AEAT si realiza labores de acreditacion)

No obstante, existe una iniciativa privada de un sistema voluntario de acreditación administrado por la "Asociación Multisectorial de Empresas Españolas de Electrónica y Comunicaciones (ASIMELEC - www.asimelec.es)

La legislación española sobre firma electrónica aplica el artículo 3 (7) de la Directiva. Por lo tanto, las Administraciones Públicas podrán imponer requisitos adicionales en consecuencia.

B) Los nombres y direcciones de los organismos nacionales competentes en materia de acreditación y supervisión, así como de los órganos mencionados en el artículo 3 (4):

- Organismo responsable de la supervisión:

Ministerio de Industria, Turismo y Comercio. http://www.mityc.es (Español / Inglés)

- Organismo de acreditación: NO HAY

48



Organismos de Certificación: En proceso de ser designados (Actualmente ya están designados): Centro Nacional de Criptología - Centro Nacional de Inteligencia. http://www.oc.ccn.cni.es/index_es.html

C) Los nombres y direcciones de todos los prestadores de servicios de certificación nacionales acreditados:

Los prestadores de servicios de certificación que hayan notificado (no acreditado) de sus actividades en España en la actualidad se presentan en la siguiente URL: http://www11.mityc.es/prestadores/busquedaPrestadores.jsp

A fecha 6/03/08 se tiene en España 15 prestadores de servicios de certificación operativos, habiendo realizado la comunicación prevista en el artículo 30.2 de la Ley 59/2003, de 19 de diciembre, de firma electrónica.

AC ABOGACÍA , ACCV, ANCERT- Agencia Notarial de Certificación , ANF-AC, BANESTO, CAMERFIRMA, CATCERT, CERES, CICCP, Colegio Oficial de Arquitectos de Sevilla (COAS), Dirección General de la Policía (DGP), FIRMAPROFESIONAL, IPSCA, IZENPE, TELEFONICA EMPRESAS,

Se tiene 4 prestadores de servicios de certificación a los que se les ha solicitado información adicional:

SERVICIO DE CERTIFICACIÓN DE LOS REGISTRADORES (SCR), NETFOCUS, Banco Santander Central Hispano (BSCH), Negonation

Y 1 prestadores de servicios de certificación al que se esta estudiando la información aportada: CertiVeR

Listado de los prestadores de servicios de certificación: http://www.mityc.es/DGDSI/Servicios/FirmaElectronica/Prestadores/relaPrestadores.htm

A continuación pasamos a estudiar detalladamente los distintos PSC que existen en ESPAÑA:

Nota: Se tiene problemas para navegar con firefox en los siguientes PSC: AC ABOGACÍA, ANCERT- Agencia Notarial de Certificación, ANF-AC.

49



13.1 ACA: AUTORIDAD DE CERTIFICACION DE LA ABOGACIA Es el Consejo General de la Abogacía Española (CGAE) Los certificados que emite ACA garantizan la condición de abogado del poseedor, permitiendo el ejercicio de la profesión a través de Internet de forma segura y con plena validez jurídica Se firman sobre documentos de OfficeXP 1) URL AUTORIDAD CERTIFICADORA (PSC) http://www.acabogacia.org 2) POLITICAS DE CERTIFICACION

- Política de Certificación de Certificados Corporativos de Servidor Seguro https://documentacion.redabogacia.org/docushare/dsweb/Get/Document-42598/CP3_ACA_001.pdf

- Política de Certificación de Certificados Corporativos reconocidos de Colegiado https://documentacion.redabogacia.org/docushare/dsweb/Get/Document-42599/CP1_ACA_005.0.pdf - Política de Certificación de Certificados Corporativos reconocidos de Persona Jurídica https://documentacion.redabogacia.org/docushare/dsweb/Get/Document-53494/CP5_ACA_001.pdf https://documentacion.redabogacia.org/docushare/dsweb/Get/Document-36770/CP4_ACA_001.pdf - Política de Certificación de Certificados Corporativos reconocidos de Personal Administrativo https://documentacion.redabogacia.org/docushare/dsweb/Get/Document-42600/CP2_ACA_005.0.pdf

3) DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN (CPS) https://documentacion.redabogacia.org/docushare/dsweb/Get/Document-53493/CPS_ACA_006.0.pdf 4) CERTIFICADOS

• Certificado Raíz: https://documentacion.redabogacia.org/docushare/dsweb/Get/Document-21255/ACA_raiz_csrs.crt

• Certificado de la AC Intermedia

https://documentacion.redabogacia.org/docushare/dsweb/Get/Document-21254/ACA_corporativos_csrs.crt

5) CRL

- Autoridad de Certificación Raíz: http://www.acabogacia.org/crl/acabogacia.crl - Autoridad de Certificación de Certificados corporativos de la Abogacía

http://www.acabogacia.org/crl/acacorporativos.crl

6) OCSP: - URL del OCSP : No tiene

50



13.2 AUTORIDAD DE CERTIFICACION DE LA COMUNIDAD VALENCIANA (ACCV)

Su objetivo es Ofrecer a los ciudadanos, las empresas, las Administraciones Públicas, las Universidades y los Colegios Profesionales los instrumentos necesarios para garantizar la seguridad y la validez legal de las transacciones telemáticas.

Los certificados digitales de la ACCV se pueden utilizar en aplicaciones de, entre otros, la Generalitat, la Administración Local (Ayuntamientos, Diputaciones y otras entidades locales, la Administración General del Estado, los Colegios Profesionales (Visado electrónico de proyectos) y las Universidades de la Comunidad Valenciana. Sus aplicaciones se recogen en: http://www.accv.es/aplicaciones_c.htm

La Autoritat de Certificació de la Comunitat Valenciana (ACCV) tiene el Sello Webtrust para Autoridades de Certificación.

Los certificados que puede emitir son:

A) Certificados Reconocidos para Ciudadanos (Personas físicas) y de Entidad que se pueden dar en soporte de software (disquete) o de tarjeta criptográfica y se pueden utilizar para:

- Firmar y cifrar mensajes de correo electrónico seguro. - La identificación de usuarios ante servicios telemáticos (Oficina Virtual de la Agencia Tributaria, Oficina Virtual de la Seguridad Social, Oficina Virtual del Catastro, etc.) y la firma electrónica y el cifrado de documentos en estas aplicaciones.

B) Certificados de inicio de sesión y los de Controlador de Dominio regula la emisión de certificados para el servidor contra los que se autentican los usuarios al inicio de la sesión y que debe autorizar o no su acceso en base a su certificado.

C) Certificados no personales:

- Certificados para servidor con soporte SSL: permiten identificar en Internet y de forma fiable a los servidores web que establecen comunicaciones seguras mediante el protocolo SSL (Secure Socket Layer). Se pueden identificar porque se accede a ellos a través de direcciones del tipo https://.

- Certificados para servidores de VPN: permiten identificar en Internet y de forma fiable a los servidores que establecen conexiones seguras vía VPN (Virtual Private Network).

- Certificados de aplicación: Son certificados que nos permiten recibir información firmada desde una aplicación y comprobar su integridad.

- Certificados para firma de código: Nos aseguran que el código que ejecutamos ha sido firmado por quien lo ha desarrollado y no es malicioso. Su emisión y uso está sujeta a la Política de Certificación de Certificados para firma de código.

https://aeat.es/

http://www.seg-social.es/inicio/?MIval=cw_usr_view_Folder&LANG=1&ID=10432

http://ovc.catastro.meh.es/

51



1) URL PSC (Autoridad certificadora) http://www.accv.es 2) POLITICAS DE CERTIFICACION

- Política de Certificación de certificados reconocidos en soporte software para ciudadanos: http://www.accv.es/pdf-politicas/ACCV-CP-07V4.0-c.pdf

- Política de Certificación de certificados reconocidos en dispositivo seguro para ciudadanos: http://www.accv.es/pdf-politicas/ACCV-CP-06V5.0-c.pdf

- Política de Certificación de certificados reconocidos de entidad: http://www.accv.es/pdf-politicas/ACCV-CP-10V1.0-c.pdf

- Política de Certificación de certificados de inicio de sesión en Windows: http://www.accv.es/pdf-politicas/ACCV-CP-11V1.0-c.pdf

- Política de Certificación de certificados para controlador de dominio: http://www.accv.es/pdf-politicas/ACCV-CP-12V1.0-c.pdf

- Política de Certificación de Certificados para servidores con soporte SSL: http://www.accv.es/pdf-politicas/PKIGVA-CP-03V1.1-c.pdf

- Política de Certificación de Certificados para servidores de VPN: http://www.accv.es/pdf-politicas/PKIGVA-CP-08V1.0-c.pdf

- Política de Certificación de Certificados de aplicación: http://www.accv.es/pdf-politicas/PKIGVA-CP-05V2.0-c.pdf

- Política de Certificación de Certificados para firma de código: http://www.accv.es/pdf-politicas/PKIGVA-CP-04V1.1-c.pdf

- Política de Sellado de Tiempo: http://www.accv.es/pdf-politicas/PoliticaSelladoTiempo-V3.4.pdf

- Política de Certificación de certificados reconocidos de empleado público: http://www.accv.es/pdf-politicas/ACCV-CP-EMPLEADOPUBLICO.pdf

3) DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN CPS HTTP://WWW.ACCV.ES/PDF-POLITICAS/ACCV-CPS-V1.7-C.PDF Política de Privacidad de la ACCV: http://www.accv.es/pdf-politicas/PoliticaPrivacidad-c-V1.3.pdf 4) CERTIFICADOS

• Certificado Raíz de ACCV: http://www.accv.es/gestcert/rootca.crt • Certificados para personas físicas y otros usos (servidor con soporte SSL, servidor VPN, código y

aplicación): - CAGVA: http://www.accv.es/gestcert/ca.crt - ACCV-CA2: http://www.accv.es/gestcert/accv-ca2.crt

• Certificado para personas jurídicas (de entidad), ACCV-CA1: http://www.accv.es/gestcert/accv-ca1.crt

• Certificado de inicio de sesión: ACCV-CA3: http://www.accv.es/gestcert/accv-ca3.crt • Certificado de Sellado de Tiempo: http://www.accv.es/gestcert/tsa.cer

52



5) CRL:

- Root CA Generalitat Valenciana (Autoridad de Certificación Raíz): http://www.accv.es/gestcert/rootgva_der.crl

- La Autoridad de Certificación de certificados para personas físicas y otros usos (servidor con soporte SSL, servidor VPN, código y aplicación):

- CAGVA: http://www.accv.es/gestcert/cagva_der.crl - ACCV-CA2: http://www.accv.es/gestcert/ciudadanos.crl

- Autoridad de Certificación de certificados para personas jurídicas (de entidad), ACCV-CA1: http://www.accv.es/gestcert/cagva-entidad_der.crl

6) OCSP:

- URL del OCSP : http://ocsp.pki.gva.es/

- Certificado del servidor OCSP: http://www.accv.es/gestcert/ocsp-gva_pem.crt

53



13.3. ANCERT- AGENCIA NOTARIAL DE CERTIFICACION

Su objetivo es poner en práctica el ambicioso plan de modernización tecnológica del notariado español, dedicados a la implantación y explotación de los sistemas telemáticos corporativos para unos 3.000 notarios y 16 Colegios Notariales.

ANCERT, antes el Instituto Notarial para las Tecnologías de la Información (INTI), es titularidad del Consejo General del Notariado, emite certificados electrónicos reconocidos ante notario a personas físicas, personas jurídicas, corporaciones privadas y corporaciones de Derecho Público, ofreciendo además productos y servicios relacionados con PKI.

1. CERTIFICADOS NOTARIALES

Los certificados que puede emitir son:

a) Los Certificados Notariales Personales son emitidos a personas, se utilizan tarjetas criptográficas como único soporte de los certificados. Los atributos que puede incorporar al certificado son: Autónomo, Pertenencia a un Colegio Profesional, Estado Civil, Titulación Académica, Circunstancias de Salud, Cargos honoríficos, y cualquier información que se desee que conste en su certificado.

b) Los Certificados Notariales Corporativos son emitidos a personas jurídicas, se utilizan tarjetas criptográficas y módulos Hardware de Seguridad (Hardware Security Modules HSM) como únicos soportes de los Certificados.

c) Los Certificados Notariales Corporativos de Representación son emitidos a representantes de personas jurídicas, se utilizan tarjetas criptográficas como único soporte de los certificados. A fin de permitir que los usuarios tengan conocimiento de las facultades que van a poder ser objeto de contratación y representación por el representante el Certificado contiene un campo que incluye uno de los dos tipos de representante siguientes: ¡Error! Referencia de hipervínculo no válida. o ¡Error! Referencia de hipervínculo no válida..

En este certificado es posible incluir la siguiente información:

• Límite de cuantía en las transacciones realizadas con el certificado. • Atributo del Representante: es opcional (por ejemplo, pertenencia a un Colegio profesional,

circunstancias personales, minusvalías, circunstancias de salud, cargos honoríficos, etc...). • Límite de uso del certificado.

d) Los Certificados Notariales Personales de Representación Personal son emitidos a representantes de personas, se utilizan tarjetas criptográficas como único soporte de los certificados. A fin de permitir que los usuarios tengan conocimiento de las facultades que van a poder ser objeto de contratación y representación por el representante el Certificado contiene un campo que incluye uno de los dos tipos de representante

54



siguientes: ¡Error! Referencia de hipervínculo no válida. o ¡Error! Referencia de hipervínculo no válida..

En este certificado es posible incluir la siguiente información:

• Límite de cuantía en las transacciones realizadas con el certificado. • Atributo del Representante: es opcional (por ejemplo, pertenencia a un Colegio profesional,

circunstancias personales, minusvalías, circunstancias de salud, cargos honoríficos, etc...). • Límite de uso del certificado.

e) Los Certificados Notariales de Servidor Seguro son emitidos a servidores informáticos, destinados a establecer comunicaciones seguras y autenticadas entre servidor y cliente SSL. Permitiendo asegurar al usuario la autenticidad del sitio web al que se ha conectado.

2. OTROS SERVICIOS

a) ¡Error! Referencia de hipervínculo no válida. permitiendo a cualquier empresa privada, pública, o colegio profesional crear su propia Autoridad de Certificación o disponer de una Autoridad de Registro para la gestión de sus certificados electrónicos. Tipos:

a.1) Los Certificados para Corporaciones de Derecho Público se pueden usar para la Firma electrónica reconocida de documentos electrónicos o mensajes electrónicos, garantizando la autenticidad del emisor, el no repudio de origen y la integridad del contenido. Son aceptados para realizar transacciones con la Agencia Tributaria.

Las Corporaciones de Derecho Público, como por ejemplo los Colegios Profesionales, pueden emitir para sus miembros certificados electrónicos sin necesidad de convertirse en una Autoridad de Certificación. La tarjeta criptográfica sería el soporte de esos certificados.

a.2) Certificados para Redes Privadas se denominan certificados Corporativos Personales, en lo que a través de ANCERT como Autoridad de Certificación cualquier corporación privada puede convertirse en su propia Autoridad de Registro. Se pueden utilizar Tarjetas Criptográficas o en soporte convencional de almacenamiento de software (ficheros en formato PKCS#12) como soporte de los Certificados.

La propia empresa sería la responsable del registro e identificación de sus usuarios emitiendo los certificados en conexión con la Autoridad de Certificación de ANCERT.

Se pueden usar para la firma electrónica reconocida de documentos o mensajes, garantizando la autenticidad del emisor, el no repudio de origen y la integridad del contenido.

a.3) Hosting de CA, donde se ofrece a empresas o instituciones que deseen ser Autoridad de Certificación servicios que permitan desarrollar íntegramente el proyecto de creación de una CA a medida y hospedada en las instalaciones de ANCERT.

Entre los servicios que pueden ofrecer están:

• Definición y Desarrollo de la Declaración de Prácticas de Certificación (CPS) y las Políticas de Certificación de cada tipo de certificado que se cree (CP's).

• Explotación de las CA's.

• Personalización de la aplicación de Autoridad de Registro (RA).

55



• Subcontratación de servicios de certificación: Directorio de certificados, CRL's, etc.

b) Servicio de Sellado de Tiempo, actuación de ANCERT como Autoridad de Sellado de Tiempo, permitiendo: Incrementar la confianza en el comercio electrónico, proteger la propiedad intelectual y soportar la infraestructura de PKI existente

1) URL AUTORIDAD CERTIFICADORA (PSC)

http://www.ancert.com/ 2) POLITICAS DE CERTIFICACION

- Política de Certificación de Certificados Notariales Personales: http://www.ancert.com/?do=productos.getDocument&group=certificados_notariales&option=personal&id=222

- Política de Certificación de Certificados Notariales Corporativos:

http://www.ancert.com/?do=productos.getDocument&group=certificados_notariales&option=corporativo&id=221

- Política de Certificación de Certificados Notariales Corporativos de Representación:

http://www.ancert.com/?do=productos.getDocument&group=certificados_notariales&option=representacion&id=241

- Política de Certificación de Certificados Notariales Personales de representación personal:

http://www.ancert.com/?do=productos.getDocument&group=certificados_notariales&option=representacion_personal&id=223

- Política de Certificación de Certificados Notariales de Servidor Seguro:

http://www.ancert.com/?do=productos.getDocument&group=certificados_notariales&option=servidor_seguro&id=42

- Política de Certificación de Certificados Corporativos de Corporaciones de Derecho Público:

http://www.ancert.com/?do=productos.getDocument&group=hosting&option=derecho_publico&id=57

- Política de Certificación de Certificados Corporativos Personales:

http://www.ancert.com/?do=productos.getDocument&group=hosting&option=redes_privadas&id=141

3) DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN (CPS) HTTP://WWW.ANCERT.COM/?DO=SOPORTE.GETDOCUMENT&GROUP=DOCUMENTACION&OPTION=CPS&ID=121

56



4) CERTIFICADOS

Los certificados electrónicos reconocidos están emitidos bajo una jerarquía de dos niveles, luego la cadena de confianza que hay que tener instalada en el equipo informático tiene dos certificados: el raíz y el de la CA subordinada.

a) Certificado de la CA Raíz de Certificados Notariales: http://www.ancert.com/?do=productos.getDocuments&group=certificados_notariales&option=personal&id=163

- Certificado de la CA subordinada de certificados Notariales Personales y de certificados Notariales Personales de representación Personal: http://www.ancert.com/?do=productos.getDocuments&group=certificados_notariales&option=personal&id=164

- - Certificado de la CA subordinada de certificados Notariales Corporativos y de certificados

Notariales Corporativos de representación: http://www.ancert.com/?do=productos.getDocuments&group=certificados_notariales&option=corporativo&id=170

- - Certificado de la CA subordinada de certificados Notariales de Sistemas:

http://www.ancert.com/?do=productos.getDocuments&group=certificados_notariales&option=servidor_seguro&id=165

b) Certificado de la CA Raíz de Certificados para Corporaciones de Derecho Público: http://www.ancert.com/?do=productos.getDocuments&group=hosting&option=derecho_publico&id=166

- Certificado de la CA subordinada de Certificados para Corporaciones de Derecho Público: http://www.ancert.com/?do=productos.getDocuments&group=hosting&option=derecho_publico&id=167

c) Certificado de la CA Raíz de Certificados para Redes Privadas: http://www.ancert.com/?do=productos.getDocuments&group=hosting&option=redes_privadas&id=168

- Certificado de la CA subordinada de Certificados Corporativos personales: http://www.ancert.com/?do=productos.getDocuments&group=hosting&option=redes_privadas&id=169

57



58



5) CRL

a) CRL de la CA Raíz de Certificados Notariales: http://www.ancert.com/crl/ANCERTNOT.crl

- CRL de la CA subordinada de certificados Notariales Personales y de certificados Notariales Personales de representación Personal: http://www.ancert.com/crl/ANCERTCP.crl

- - CRL de la CA subordinada de certificados Notariales Corporativos y de certificados

Notariales Corporativos de representación: http://www.ancert.com/crl/ANCERTCNC.crl - - CRL de la CA subordinada de certificados Notariales de Sistemas:

http://www.ancert.com/crl/ANCERTCS.crl

b) CRL de la CA Raíz de Certificados para Corporaciones de Derecho Público: http://www.ancert.com/crl/ANCERTPUB.crl

- CRL de la CA subordinada de Certificados para Corporaciones de DerechoPúblico: http://www.ancert.com/crl/ANCERTCDP.crl

c) CRL de la CA Raíz de Certificados para Redes Privadas: http://www.ancert.com/crl/ANCERTPRIV.crl

- CRL de la CA subordinada de Certificados Corporativos personales: http://www.ancert.com/crl/ANCERTCCP.crl

6) OCSP

- URL del OCSP : NO TIENE - Certificado del servidor OCSP: NO TIENE

7) OID Certificados Notariales Corporativos de Representación OID 1.3.6.1.4.18920.10.1.5 “Límite de uso”: para las Grandes Empresas que otorgan a sus apoderados diferentes modelos de poderes con diversas limitaciones de uso por razón de la materia y de cuantía. OID 1.3.6.1.4.18920.10.1.2 “Límite de cuantía”: se consignará el mismo indicativo “GE - código de empresa - modelo de poder “ Los Certificados Notariales Corporativos de Representación que utilicen la modalidad anteriormente descrita lo indicarán en: OID “1.3.6.1.4.18920.10.1.1 – Clase de Apoderamiento: mediante el valor “ Gran Empresa ”.

59



13.4. AUTORIDAD CERTIFICADORA DE BANESTO

Emite certificados digitales X.509 v.3 de carácter reconocido. Estos certificados permiten efectuar de manera segura cualquier operación de banca electrónica, los certificados digitales reconocidos se pueden utilizar para realizar cualquier operación de banca electrónica en la extranet del Grupo Banesto, votar electrónicamente en las Juntas de Accionistas de Banesto, realizar trámites administrativos con aquellas Administraciones que acepten certificados reconocidos de Banesto (p.e. con la Agencia Tributaria, AEAT) y firmar contratos privados celebrados por medios electrónicos.

La nueva jerarquía se compone de una Autoridad de Certificación raíz y dos Autoridades de Certificación subordinadas. PSC Banesto Clientes será empleada para generar certificados finales:

- Certificados de Autenticación Clientes para los usuarios de la banca electrónica - Certificados SSL (Secure Socket Layer) para servidores externos que tienen relación directa

con Banesto.

Tipos de certificados:

• Certificados SSL: Certificado de Servidor Web Seguro que permite activar el protocolo SSL en su servidor, ofreciendo la capacidad de comunicarse de forma segura con terceros a través de Internet.

• Certificados Autenticación Cliente-S/MIME: certificado Autenticación Cliente-S/MIME que permite firmar y cifrar el correo electrónico, garantizando la confidencialidad de las comunicaciones realizadas y autenticarse ante un servidor Web seguro.

60



• Certificados Firma Objetos: permite firmar los códigos de las aplicaciones desarrolladas y distribuirlos de manera segura entre sus destinatarios, garantizando la autenticación de los objetos firmados y aumentando la confianza de los destinatarios.

1) URL AUTORIDAD CERTIFICADORA (PSC): http://ca.banesto.es 2) POLITICAS DE CERTIFICACION

• Política de Certificación de certificados: http://ca.banesto.es/Repositorio/PoliticaCertificadosBanesto_v2.doc

• Política de Certificación de certificados reconocidos: http://ca.banesto.es/Repositorio/PCReconocidos_v1.doc

3) DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN (CPS) Banesto Raiz: http://ca.banesto.es/Repositorio/DPC/DPC_BanestoRoot_v1.doc Banesto Clientes: http://ca.banesto.es/Repositorio/DPC/DPCClientes_v2.3.doc 4) CERTIFICADOS

• Certificado Banesto Raíz: http://ca.banesto.es/Repositorio/PSCRootBanesto.crt • Certificado Banesto Clientes (personas físicas):

http://ca.banesto.es/Repositorio/PSCBanestoClientes.crt • Certificado Banesto Corporativos (persona jurídica):

http://ca.banesto.es/Repositorio/PSCBanestoCorporativos.crt

5) CRL

- Autoridad de Certificación de certificados Banesto Raíz: http://ca.banesto.es/CRL/PSCRootBanesto.crl

- Autoridad de Certificación de certificados Banesto Clientes: http://ca.banesto.es/CRL/PSCBanestoClientes.crl - Autoridad de Certificación de certificados Banesto Corporativos: http://ca.banesto.es/CRL/PSCBanestoCorporativos.crl

6) OCSP:

- URL del OCSP: No tiene - Certificado del servidor OCSP: No tiene

61



7) O.I.D.

a) OID Banesto Root:

• DPC : 1.3.6.1.4.1.11076.1.1

• Algoritmos criptográficos utilizados:

sha1RSA: 1.2.840.113549.1.1.5

md5RSA: 1.2.840.113549.1.1.4

b) OID Banesto Clientes DPC : 1.3.6.1.4.1.11076.1.2.2

c) OID Certificados:

• Política de certificados: 1.3.6.1.4.1.11076.2.2.2

Los certificados de autenticación cliente pueden ser utilizados con los siguientes propósitos (precisados en la extensión Keyusage del certificado):

autenticación en cliente: clientAuth (OID: 1.3.6.1.5.5.7.3.2)

S/MIME: emailProtection (OID: 1.3.6.1.5.5.7.3.4)

OID Certificados Reconocidos:

• Política de certificados reconocidos 1.3.6.1.4.1.11076.2.5.1

• DPC : 1.3.6.1.4.1.11076.1.2.2

62



13.5. CICCP ( COLEGIO DE INGENIEROS DE CAMINOS, CANALES Y PUERTOS)

CA CICCP emite certificados digitales X509 v3 clase 3 y se utiliza principalmente para firmar electrónicamente documentos en formato PDF, se pueden utilizar también para autenticación web (SSL 3.0) y para enviar correos electrónicos firmados. Se permite a los Ingenieros colegiados firmar los proyectos electrónicamente (documentos pdf) y a su vez el colegio confirma electrónicamente la viabilidad de los proyectos electrónicamente mediante el Visado Digital. El soporte para el almacenamiento de las claves y el certificado está basado en tarjeta criptográfica "smart card". El acceso a la tarjeta, dónde se encuentra la clave privada, se realiza a través de contraseña (PIN). Para realizar una firma electrónica es necesario introducir el PIN que únicamente debe conocer el suscriptor. En la generación de las claves no se permite realizar una copia de seguridad de las mismas. 1) URL AUTORIDAD CERTIFICADORA (PSC): http://pki.ciccp.es/ 2) POLITICAS DE CERTIFICACION http://pki.ciccp.es/descarga/repositorio/CP_CACICCP_CLASE3_rev02.pdf 3) DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN (CPS) http://pki.ciccp.es/descarga/repositorio/CPS_rev03.pdf 4) CERTIFICADOS

• Certificado Raíz: http://pki.ciccp.es/descarga/repositorio/CA2%20CICCP.crt

5) CRL

• Autoridad de Certificación Raíz: http://pki.ciccp.es/pki/CA2CICCPC3.crl 6) OCSP:

• URL del OCSP : No tiene • Certificado del servidor OCSP: No tiene

63



13.6 CAMERFIRMA

Camerfirma es la autoridad de certificación de las Cámaras de Comercio reconocida por el Ministerio de Industria como Autoridad de Certificación.

Su objetivo es aportar soluciones reales a las necesidades de las empresas, las Cámaras de Comercio ofrecen una herramienta imprescindible con la que puedan realizar todo tipo de transacciones telemáticas con total confianza, elemento clave para desarrollar, con garantías de éxito, el uso de estas nuevas tecnologías y sus aplicaciones más prácticas: cifrado de mensajes y firma electrónica de documentos, tramitaciones con la administración central y autonómicas, etc.

La jerarquía de Camerfirma “Chambers of Commerce Root” esta diseñada para construir una red de confianza donde las Autoridades de Registro son gestionadas por las Cámaras de Comercio, Industria y Navegación de España, teniendo como objetivo fundamental la emisión de certificados digitales de identidad empresarial. AC Camerfirma Certificados Camerales, es una AC delegada de la Jerarquía de Chambers of Commerce Root, con registro presencial ante los administradores de las Cámaras de Comercio

Camerfirma tiene el Sello Webtrust para Autoridades de Certificación.

CERTIFICADOS QUE EMITE CAMERFIRMA

Todos los certificados pueden emitirse tanto en software como en Hardware (tarjetas)

1. Certificado de pertenencia a empresa “Certificado cameral de persona física”

El certificado digital de pertenencia a empresa garantiza la identidad de la persona física (titular del certificado/firmante/suscriptor), así como su vinculación a una determinada Entidad o Persona Jurídica (campo organización del certificado) en virtud del cargo que ocupa en la misma. Lo puede solicitar la propia persona física titular del certificado siempre que este autorizado por un representante de la entidad o bien la propia empresa a favor de sus empleados.

2. Certificado de Representante "Certificado cameral de representante"

El certificado digital de representante es emitido a favor de una persona física (titular del certificado/firmante/suscriptor) representante de un determinada entidad o Persona Jurídica (descrita en el Campo Organización). El titular del certificado se identifica no únicamente como persona física perteneciente a una empresa sino que añade su cualificación como representante legal ó apoderado general de la misma.

64



La solicitud de un certificado de representante está limitada únicamente a los representantes legales (administradores) ó a quienes ostentan un poder notarial general para actuar en nombre y representación de la entidad.

3. Certificado de persona jurídica

Se trata de un certificado digital emitido a favor de una entidad jurídica que podrá ser utilizado cuando se admita en las relaciones que mantenga la persona jurídica con las Administraciones públicas o en la contratación de bienes o servicios que sean propios o concernientes a su giro o tráfico ordinario, o en las relaciones tributarias de las empresas, o para la emisión de factura electrónica.

El solicitante del certificado deberá tener capacidad para representar a la entidad titular del certificado. Esta representación puede ser legal (administradores de la entidad) o voluntaria (apoderados generales ó especiales). En el caso de los representantes voluntarios (apoderados generales ó especiales) es necesario que ostenten un poder notarial especial para solicitar un certificado de persona jurídica.

Camerfirma considera a estos certificados similares al sello de empresa y el Tercero que confía deberá valorar el uso de la firma asociada a este tipo de certificado como tal." 4. Certificado para factura electrónica (e-Factura)

Certificado reconocido para personas físicas exclusivo para facturación electrónica, no permitiendo realizar ningún otro tipo de trámite distinto a la facturación electrónica.

Lo puede solicitar una persona física, titular del certificado, con capacidad de representación dentro de la empresa ó autorizado por un representante de la empresa para realizar facturación electrónica en nombre de la misma. Puede ser instalado en servidor

5. Certificado de Servidor Seguro “Camerfirma Express Corporate Server”

Certificados en software que identifican que una determinada página web pertenece a una determinada empresa (un determinado dominio ha sido registrado a nombre de la entidad identificada en el certificado) y que la información transmitida entre el usuario de la página y el servidor está cifrada, de forma que no pueda ser vista ni manipulada por terceros. Soporta encriptación fuerte de 128bits.

SERVICIOS COMPLEMENTARIOS

Consultoría y desarrollo Ayuda a las empresas a adaptar sus aplicaciones para la integración de los certificados digitales en sus aplicaciones o bien trabajar conjuntamente en la elaboración de un proyecto común. El servicio de consultoría se centra en las tecnologías de PKI , englobando todo tipo de necesidades a nivel técnico, pero también jurídico o de procedimientos.

65



Outsourcing PKI Una empresa podrá tener su propia CA sin incurrir en la fuerte inversión inicial. Entre los servicios que ofrecen: Definición y Desarrollo de las CP y CPS. Operación de las CA's y RA's. HotLine revocación, Jurídico e instalación. Formación de las personas responsables dentro del proyecto, de actuar como CA's, RA's, Técnicos, Comerciales, etc. Seguro de responsabilidad civil. Packaging, personalización tarjetas, etc. Auditoria de los servicios de certificación digital. Subcontratación de servicios de certificación: Directorio de certificados, CRL's, etc. Ca's llave en mano. Hosting y Housing Posibilidad de utilizar hardware propio para almacenaje de diferentes aplicaciones como publicación de CRL´s y todo tipo de conexiones de alta disponibilidad.

Instalaciones que están disponibles para empresas que tengan la necesidad de una PKI pero no deseen hacer las fuertes inversiones necesarias en este tipo de instalaciones.

OTROS PRODUCTOS Dfirma Desktop: Herramienta Desktop para firma y cifrado de ficheros y Directorios desde el explorador de Windows Dfirma Website: conjunto de Applets de firma electrónica que, incrustados directamente en una página web, permite firmar electrónicamente, verificar las firmas y enviar por correo electrónico documentos desde la página Web. Dfirma WebSecure: paquete que permite la autentificación mediante certificados digitales en cualquier web que disponga de tecnología de servidor (PHP, JSP, ASP, .NET). Dfirma PKI-Corporate: solución completa para la implantación de un sistema de gestión de certificados digitales Dfirma Java toolkit: Librerías Java para el desarrollo e integración de los certificados digitales en aplicaciones informáticas. Dfirma Writer: Aplicación de escritorio, que le permitirá disponer de un respositorio confidencial de documentos. DFirma BatchServer: aplicación de firma de documentos, que se ejecuta de forma desantendida, como un servicio o una tarea programada. DFirma PDA: Solución completa de firma electrónica para dispositivos móviles. DFirma Signer: Solución completa para la integración de la firma electrónica avanzada en su organización. DFirma Addin: Solución completa de firma electrónica en su Outlook. DfirmaACAD: Solución tecnológica para la gestión segura del ciclo de vida de un plano.

http://www.camerfirma.com/mod_web/dfirma/desktop.html

66



1) URL AUTORIDAD CERTIFICADORA (PSC) http://www.camerfirma.es/ 2) POLITICAS DE CERTIFICACION

JERARQUIA CHAMBERS OF COMMERCE ROOT

Política de Certificación de certificados Chambers of Commerce Root (OID 1.3.6.1.4.1.17326.10.6.1): http://docs.camerfirma.com/mod_web/usuarios/pdf/PC_Chambers_of_Commerce_Root_1_0_.pdf Política de Certificación de certificados Camerfirma Express Corporate Server (OID:1.3.6.1.4.1.17326.10.11.2): https://www.camerfirma.com/mod_web/usuarios/pdf/PC_Camerfirma_Express_Corporate_Server_1_0_1.pdf Política de Certificación de certificados Camerfirma de Sello Electrónico (OID:1.3.6.1.4.1.17326.10.11.3.1 en soporte PKCS#12 / 1.3.6.1.4.1.17326.10.11.3.2 en soporte PKCS#7): http://www.camerfirma.com/mod_web/usuarios/politicas/PC_Camerfirma_Sello_Electronico_1_1_2.pdf Política de Certificación de certificados Cameral de Persona Física (OID 1.3.6.1.4.1.17326.10.9.2): https://www.camerfirma.com/mod_web/usuarios/pdf/PC_CAM_PF_1_1_4.pdf Política de Certificación de certificados Cameral de Representante (OID 1.3.6.1.4.1.17326.10.9.3): https://www.camerfirma.com/mod_web/usuarios/pdf/PC_CAM_PR_1_1_3.pdf Política de Certificación de certificados Cameral de Persona Jurídica (OID 1.3.6.1.4.1.17326.10.9.4): https://www.camerfirma.com/mod_web/usuarios/pdf/PC_CAM_PJ_1_1_4.pdf

67



Política de Certificación de certificados Cameral de Persona Física para facturación electrónica (OID 1.3.6.1.4.1.17326.10.9.7): https://www.camerfirma.com/mod_web/usuarios/pdf/PC_CAM_PFF_1_1_3.pdf Política de Certificación de certificados Cameral de Apoderado de Empresa (OID 1.3.6.1.4.1.17326.10.9.5): https://www.camerfirma.com/mod_web/usuarios/pdf/PC_CAM_AP_1.1.3.pdf Política de Certificación de certificados Cameral de cifrado (OID 1.3.6.1.4.1.17326.10.9.6): https://www.camerfirma.com/mod_web/usuarios/pdf/PC_Camerfirma_Cifrado_1_1.pdf Política de Certificación de certificados Camerfirma de Firma de Código (OID 1.3.6.1.4.1.17326.10.12.1): https://www.camerfirma.com/mod_web/usuarios/pdf/PC_Camerfirma_CodeSign_1_0_1.pdf Política de Certificación de certificados Camerfirma de Sello de tiempo (OID 1.3.6.1.4.1.17326.10.13.1): http://camerfirma.es/mod_web/usuarios/politicas/PC_Camerfirma_Sello_de_Tiempo_1_0.pdf

JERARQUIA GLOBAL CHAMBERSIGN ROOT

CAR: Autoridad de Certificación Raíz CAI: Autoridad de Certificación Intermedia o delegada RA: Autoridad de Registro SUS: Suscriptor TTP: tercera parte confiante o usuario

68



Política de Certificación de certificados Global Chambersign Root (OID 1.3.6.1.4.1.17326.10.8.1): http://docs.camerfirma.com/mod_web/usuarios/pdf/PC_Global_Chambersign_Root_1.0.pdf Comunidad de usuarios: CAR y CAI

Política de Certificación de certificados RACER (OID 1.3.6.1.4.1.17326.10.8.2, 1.3.6.1.4.1.17326.10.8.3, 1.3.6.1.4.1.17326.10.8.4, 1.3.6.1.4.1.17326.10.8.5, 1.3.6.1.4.1.17326.10.8.6): https://www.camerfirma.com/mod_web/usuarios/pdf/PC_RACER_1_2_1.pdf

3) DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN (CPS) HTTPS://WWW.CAMERFIRMA.COM/MOD_WEB/USUARIOS/PDF/CPS_3.1.1.PDF 4) CERTIFICADOS • Certificado Raíz Chambers of Commerce Root: http://www.camerfirma.com/certs/ROOT-

CHAMBERS.crt • Certificados Camerfirma Express Corporate Server: http://www.camerfirma.com/certs/cmfecs.crt • Certificados Camerfirma Camerales: http://www.camerfirma.com/certs/ac_camerfirma_cc.crt • Certificados Camerfirma de Firma de Código: http://www.camerfirma.com/certs/codesign.crt • Certificado Camerfirma TSA (Autoridad sellado de Tiempo):

http://www.camerfirma.com/certs/AC_CAMERFIRMA_TSA_CA.crt o http://www.camerfirma.com/mod_web/servicios/Cert-TSA.cer

• Certificado Camerfirma TSU (Unidad sellado de Tiempo): http://www.camerfirma.com/mod_web/servicios/Cert-TSU.cer

• • Certificado Global Chambersign Root: http://www.camerfirma.com/certs/ROOT-CHAMBERSIGN.crt • Certificado AC Camerfirma: http://www.camerfirma.com/certs/ac_camerfirma.crt • Certificado RACER: http://www.camerfirma.com/certs/racer.crt

5) CRL

- Autoridad de Certificación Raíz Chambers of Commerce Root: http://crl.chambersign.org/chambersroot.crl

- Autoridad de Certificación Camerfirma Express Corporate Server: http://crl.camerfirma.com/cmfecs.crl

- Autoridad de Certificación Camerfirma de certificados Camerales: http://crl.camerfirma.com/ac_camerfirma_cc.crl

- Autoridad de Certificación Camerfirma de Firma de Código: http://crl.camerfirma.com/codesign.crl - Autoridad de Certificación Camerfirma TSA (sellado de Tiempo):

http://crl.camerfirma.com/tsa_camerfirma.crl

- Autoridad de Certificación Global Chambersign Root: http://crl.chambersign.org/chambersignroot.crl - Autoridad de Certificación AC Camerfirma: http://crl.camerfirma.com/ac_camerfirma.crl - Autoridad de Certificación RACER: http://crl.camerfirma.com/racer.crl

69



6) OCSP: Camerfirma utiliza la plataforma de CERTIVER para ofrecer sus servicios de validación OCSP. - URL del OCSP : http://ocsp.camerfirma.com 7) SELLADO DE TIEMPO El servicio de sellado de tiempo tiene la siguiente estructura:

Chambersof

Otras TSU

CommerceRoot TSA

AC Camerfirma TSU-1AC Camerfirma

Sellos 1.3.6.1.4.1.17326.10.10.2.0 1.3.6.1.4.1.17326

1.3.6.1.4.1.17326.10.10.2

.10.13.1

TSU-2AC Camerfirma

Sellos 1.3.6.1.4.1.17326.10.13.1.2.1

1.3.6.1.4.1.17326.10. 13.1.2

:

Chambersof

Otras TSU

CommerceRoot TSA

AC Camerfirma TSU-1AC Camerfirma

Sellos 1.3.6.1.4.1.17326.10.10.2.0 1.3.6.1.4.1.17326

1.3.6.1.4.1.17326.10.10.2

.10.13.1

TSU-2AC Camerfirma

Sellos 1.3.6.1.4.1.17326.10.13.1.2.1

1.3.6.1.4.1.17326.10. 13.1.2

:

Se compone de una autoridad TSA y una o más Unidades de Sellado de Tiempo (TSU). Esta última tiene asociada una clave privada que utiliza para la firmar de los sellos de tiempo. Existe una autoridad de Sellado de tiempo TSA que emite certificados a TSU. Las TSU (Unidades de Sellado de Tiempo) pueden emitir sellos de tiempo en nombre de la TSA bajo condiciones distintas en lugares distintos y con recursos independientes.

La TSU-1 emite sellos de tiempo desde unas claves gestionadas en software y sin garantías de disponibilidad y rendimiento. La TSU-2 emite sellos de tiempo desde claves gestionadas en dispositivo hardware y con las garantías de servicio descritas en la Política de certificación de Sellado de Tiempo. Los sellos de tiempo se distinguirán por las TSU emisora y por el OID de política descrito en el.

Servicio Activo TSU 1(para software anónimo): Punto de acceso http://tsa.camerfirma.com:15004/TSUSoftware Politica de sello 1.3.6.1.4.1.17326.10.10.2.0 Descripción : Sellos de tiempos TEST

Servicio Activo TSU 2 (para software anónimo): Punto de acceso http://tsa.camerfirma.com:15005/TSU-2_AC_CAMERFIRMAhttp://tsa.camerfirma.com:15005/TSU-2_AC_CAMERFIRMA Politica de sello 1.3.6.1.4.1.17326.10.13.1.2.1 Descripción: Sellos de tiempo anónimo con claves de 512 bytes en software

70



13.7 DIRECCION GENERAL DE LA POLICIA (DGP)

La Dirección General de la Policía (Ministerio del Interior) actúa como Autoridad de Certificación (AC) para el DNI electrónico. El objetivo del DNIe es otorgar identidad personal a los ciudadanos para su uso en la nueva Sociedad de la Información, permitiendo ofrecer en el mundo digital: Autenticación y No Repudio de las partes e Integridad de la información. La Confidencialidad no es una funcionalidad directamente proporcionada por el DNI electrónico, sino que debe ser realizada mediante las aplicaciones de cifrado. El DNI electrónico no facilitará en ningún caso los denominados "sobres" (sistemas de cifrado, sellos de tiempo, etc.). El DNI electrónico contiene dos certificados (X509v3 estándar) de usuario: Certificado de Autenticación: Tiene como finalidad garantizar electrónicamente la identidad del ciudadano al realizar una transacción telemática. El Certificado de Autenticación (Digital Signature), que tiene activo en el Key Usage el bit de Digital Signature (Firma Digital), asegura que la comunicación electrónica se realiza con la persona que dice que es. El titular podrá a través de su certificado acreditar su identidad frente a cualquiera. Es el que utilizaremos para el establecimiento del Canal Seguro con autenticación de Cliente y Servidor. Certificado de Firma: El propósito de este certificado es permitir al ciudadano firmar trámites o documentos. Este certificado, que tiene activo en el Key Usage el bit de ContentCommitment (No Repudio), permite sustituir la firma manuscrita por la electrónica en las relaciones del ciudadano con terceros. Es este Certificado expedido como certificado reconocido el que convierte la firma electrónica avanzada en firma electrónica reconocida. Lo utilizaremos para la firma de documentos garantizando la integridad del Documento y el No repudio de origen. Cada uno de los certificados tiene asociado un par de claves pública y privada, generadas en el interior del CHIP del DNIe. Servicios disponibles con el DNIe: http://www.dnielectronico.es/servicios_disponibles/index.html

Autoridades de Validación

Se ha optado por asignar las funciones de Autoridad de Validación a entidades diferentes de la Autoridad de Certificación, a fin de aislar la comprobación de la vigencia de un certificado electrónico de los datos de identidad de su titular.

Así, la Autoridad de Certificación (Ministerio del Interior – Dirección General de la Policía) no tiene en modo alguno acceso a los datos de las transacciones que se realicen con los certificados que ella emite y las

71



Autoridades de Validación no tiene acceso a la identidad de los titulares de los certificados electrónico que maneja, reforzando –aún más si cabe- la transparencia del sistema.

Para la validación del DNI electrónico se dispone de dos prestadores de Servicios de Validación: Fábrica Nacional de Moneda y Timbre – Real Casa de la Moneda y Ministerio de Administraciones Públicas, este último únicamente prestará los servicios de validación al conjunto de las Administraciones Públicas. Adicionalmente, la Entidad Pública Empresarial Red.es podría completar los servicios de validación en un futuro próximo.

Las Autoridades de Certificación que componen la PKI del DNIe son:

• “AC Raíz": Autoridad de Certificación de primer nivel. Esta AC sólo emite certificados para sí misma y sus AC Subordinadas (Key Usage: Firma de certificados, Firma CRL sin conexión, Firma CRL).

• “AC Subordinadas": Autoridades de Certificación subordinadas de “AC Raíz”. Su función es la emisión de certificados para los titulares de DNIe (Key Usage: Firma de certificados, Firma CRL sin conexión, Firma CRL).

1) URL AUTORIDAD CERTIFICADORA (PSC): http://www.dnielectronico.es/ 2) y 3) DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN (CPS) Y POLITICAS DE CERTIFICACION Prácticas y Política de Certificación de los certificados de autenticación y de firma (O.I.D. 2.16.724.1.2.2.2.1.0.6): http://www.dnie.es/PDFs/politicas_de_certificacion.pdf 4) CERTIFICADOS Certificado Raíz: Certificado pkcs1-sha1WithRSAEncryption (*): http://www.dnielectronico.es/ZIP/ACRAIZ-SHA1.zip Certificado pkcs1-sha256WithRSAEncryption : http://www.dnielectronico.es/ZIP/ACRAIZ-SHA2.zip Certificado Subordinada 001 Certificado pkcs1-sha1WithRSAEncryption (*): http://www.dnielectronico.es/ZIP/ACDNIE001-SHA1.zip Certificado pkcs1- sha256WithRSAEncryption: http://www.dnielectronico.es/ZIP/ACDNIE001-SHA2.zip Certificado Subordinada 002 Certificado pkcs1-sha1WithRSAEncryption (*): http://www.dnielectronico.es/ZIP/ACDNIE002-SHA1.zip Certificado pkcs1- sha256WithRSAEncryption: http://www.dnielectronico.es/ZIP/ACDNIE002-SHA2.zip http://www.dnielectronico.es/certs/ACDNIE002-SHA2.crt Certificado Subordinada 003 Certificado pkcs1-sha1WithRSAEncryption (*): http://www.dnielectronico.es/ZIP/ACDNIE003-SHA1.zip Certificado pkcs1- sha256WithRSAEncryption: http://www.dnielectronico.es/ZIP/ACDNIE003-SHA2.zip

72



Certificado de firma de código en formato CRT (X509v3): http://www.dnielectronico.es/seccion_integradores/CertCodeSigning.crt

(*) El certificado con algoritmo de firma pkcs1-sha1WithRSAEncryption se publica por razones de interoperabilidad, para facilitar a aquellos sistemas y aplicaciones que no soporten pkcs1-sha256WithRSAEncryption, construir la cadena de confianza en los procesos de validación de certificados y firma. Estos sistemas y aplicaciones tienen un plazo máximo de dos años para realizar las adaptaciones que sean necesarias para soportar dicho algoritmo. A partir de esa fecha la DPC se revisará para indicar de forma expresa que dicho certificado deja de tener efecto.

5) CRL

El acceso a las CRL es a través de sistemas on line: Validación del certificado de autentificación: http://av-dnie.cert.fnmt.es/validayfirma/validar_cert.jsp Verificación de la firma: http://av-dnie.cert.fnmt.es/validayfirma/verificar_firma.jsp

6) OCSP: URL del OCSP : http://ocsp.dnie.es/ Nota: Para consultas manuales: https://av-dnie.cert.fnmt.es/compruebacert/compruebacert

73



13.8 CERES (CERtificación ESpañola)

Es un proyecto, a iniciativa de la Administración, que lidera la Fábrica Nacional de Moneda y Timbre, y que en líneas generales, consiste en establecer una Entidad Pública de Certificación, que permita autentificar y garantizar la confidencialidad de las comunicaciones entre ciudadanos, empresas u otras instituciones y administraciones públicas a través de las redes abiertas de comunicación.

El objetivo principal de CERES es la securización de las comunicaciones electrónicas con la Administración, siendo un intermediario transparente al usuario que garantizará a ciudadanos y Administraciones la identidad de ambos partícipes en una comunicación, así como la confidencialidad e integridad del mensaje enviado.

1) URL AUTORIDAD CERTIFICADORA (PSC): http://www.cert.fnmt.es/ 2) DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN (CPS): HTTP://WWW.CERT.FNMT.ES/CONTENT/PAGES_STD/DOCS/00034_CIT_OBTAIN_CERT_0000000000%20-%20DECLARACION%20DE%20PRACTICAS%20DE%20CERTIFICACION.PDF 3) POLITICAS DE CERTIFICACION Prácticas y Política de Certificación de los certificados de autenticación y de firma (O.I.D. 2.16.724.1.2.2.2.1.0.6): 4) CERTIFICADOS Certificado Raíz: http://www.cert.fnmt.es/content/pages_std/certificados/FNMTClase2CA.cer Certificado Subordinada 001

5) CRL

El acceso a las CRL es a través de sistemas de PAGO

6) OCSP: URL del OCSP : NO HAY

74



13.9 CONCLUSIONES (PSC, CERTIFICADOS, FACTURACIÓN ELECTRÓNICA) 13.9.1 Certificados recomendados en el ámbito de la facturación electrónica Quien firma las facturas se responsabiliza del proceso, autenticidad e integridad, no del contenido. En cada organización deberá identificarse quienes son las personas responsables del proceso de facturación, siendo conveniente que la organización ofreciera a la persona física un documento en el que la exonera de cualquier responsabilidad personal. Como regla general utilizar los certificados personales (persona física), para que sean válidos en toda Europa. Siendo conveniente que los certificados identifiquen la relación de la persona física con la empresa, incluyendo una referencia a la empresa en la que la persona presta sus servicios. Lo ideal sería utilizar certificados de representante que se hayan obtenido en base a un poder notarial (ANCERT, Agencia Notarial de Certificación) que restrinja su uso a firma de facturas. Camerfirma emite un certificado de persona física con indicación de la empresa a la que pertenece, así como un certificado específico para facturación electrónica. Respecto a la FNMT aunque la AEAT reconoce expresamente la validez de estos certificados. La declaración de Prácticas de certificación “CPS” de la FNMT da a entender que se exime de cualquier responsabilidad por daños, perjuicios o conflictos provenientes del uso o confianza en este tipo de certificados. Para evitar esto los receptores deberían contratar el servicio de consulta de certificados revocados de la FNMT. Desde el punto de vista técnico el certificado reconocido esta limitado a las personas físicas o naturales. Para identificar los certificados reconocidos (Qualified Certificate, QC) deben incluir una declaración dentro del apartado de Extensiones con un identificador de objeto (OID) 1.3.6.1.5.5.7.1.3 (QCstatment)” 13.9.2 Certificados para firmar facturas Los certificados que podemos utilizar para firmar facturas electrónicamente son:

a) Certificados cualificados de persona física representando a la organización (es la mejor opción: utilizando Dispositivo Seguro de Creación de Firma, es un certificado de persona física, son reconocidos en cualquier ámbito aparte del tributario y define la vinculación entre la persona física y la organización) b) Certificados cualificados de persona jurídica (solo son admitidos en el ámbito español) c) Certificados cualificados de persona física (son adecuados para la firma en caso de profesionales y autónomos) d) Sistemas de firma electrónica no cualificada (serán válidos en nuestra factura si están homologados por AEAT, pero hay que tener en cuenta que no serán admitidos por defecto en otros países y que puede tener problemas si se presentan como prueba fuera del ámbito tributario)

75



13.9.3 Conclusión y Cuadro Resumen Como conclusión del análisis detallado de los distintos Prestadores de Servicios de Certificación que operan en España decir que:

• Existen Prestadores de uso restringido con certificados muy específicos (AC Abogacía, CICCP y COAS) cuya utilización esta muy acotada. Su utilización como certificado para firmar facturas electrónicas no esta recomendada salvo en el caso de ser Autónomos.

• Existe otro grupo de Prestadores que ofrecen servicios de identificación y firma, principalmente para gestiones con las Administraciones Públicas (ACCV, CATCERT, CERES, DGP). Su utilización para firmar facturas electrónicas estaría recomendada únicamente en el caso de ser Autónomos.

• Banesto es la única entidad Bancaria que emite certificados, su uso esta restringido a gestiones con el Banco, así como para algunas gestiones con la Administración Pública. Su utilización como certificado para firmar facturas electrónicas no esta recomendado

• Camerfirma ofrece un amplio abanico de certificados todos ellos enfocados al ámbito empresarial, incluyendo entre ellos uno específico para la factura electrónica. Su utilización para firmar facturas electrónicas esta recomendada independientemente de la relación laboral (Autónomo, Cuenta ajena, representación, etc..)

• ANCERT podríamos definirlo como el Prestador “Comodín” ya que permite la realización de certificados a medida, se pueda indicar en el certificado cualquier cosa que consideremos oportuno: DNI, Titulo Universitario, Empresa a la que pertenece, ... Su utilización para firmar facturas electrónicas esta recomendada independientemente de la relación laboral (Autónomo, Cuenta ajena, representación, etc..)

Se observa que se existen muchos Prestadores de Servicios de Certificación pero que básicamente ofrecen lo mismo, es decir, ¿Merece la pena crear un PSC como el del AC Abogacía o el del CICCP cuando se podría subcontratar con FirmaProfesional o con ANCERT la creación de los certificados específicos para sus colegiados? Por otro lado, con la aparición y difusión a nivel nacional del DNIe ¿Qué ventajas ofrecen ACCV, CATCERT e incluso CERES en sus certificados de persona física frente al DNIe? Únicamente he encontrando una, que en sus certificados se incluye la dirección de correo electrónico del usuario, permitiendo de esta forma firmar y descifrar mensajes de correo electrónico.. Respecto a Banesto como única entidad bancaria, próximamente se le unirá BSCH, aunque actualmente su certificado esta muy limitado, tienen un gran potencial para ocupar una posición preferente para ser Prestador de Servicio de Facturación, potencial que considero no será aprovechado ya que siendo los primeros en España (1995) en poner un marcha un proyecto de “Autoridad de Certificación” apenas han evolucionado en comparación con otras autoridades de certificación que se formaron a posteriori. Por tanto con los certificados de Camerfirma o de ANCERT se puede recoger todo el abanico de posibilidades de uso: de colegiado, de representante, de pertenencia a empresa, para facturación electrónica, etc... Además, ambos Prestadores ofrecen servicios de Sellado de Tiempo, no hay que olvidar que un valor añadido de la firma en las facturas electrónicas es que estas sean completas, es decir que permita al receptor durante el tiempo de conservación de la factura comprobar su validez. A la hora de elegir un certificado para facturación electrónica me decantaría por el de “pertenencia a empresa” de Camerfirma, ya que cumple con las condiciones necesarias y su coste es de 30€, su renovación es cada dos años, frente al de “factura electrónica” cuyo coste es de 400€.

76



La otra opción sería contratar un certificado de ANCERT a medida, donde se indicase: empresa a la que se pertenece, puesto que se ocupa y que su uso es para la facturación electrónica, su coste es de 120€, con una renovación cada 3 años. Por último mencionar los pasos que van dando algunos PSC con el fin de dar un servicio lo más completo posible: ANF-AC ha sido la primera empresa en tener un software de digitalización homologado y Certiver (Autoridad de Validación, VA) próximamente será PSC. Se adjunta un cuadro resumen con las características y los certificados de los principales Prestadores de Servicio de Certificación que operan en España.

77



78



14. APLICACIONES EN LA PROPIA EMPRESA Permite que se pueda proceder a un estudio del sistema de facturación actual, junto con una encuesta a los clientes y proveedores de forma que se evalué los ” pros” y los “contras” de cambiar el sistema de facturación al mundo electrónico permitiendo cuanto menos establecer un plan de trabajos a medio plazo. 15. CONCLUSIONES Con la presente mini-guía se da el primer paso para que tanto el ciudadano de a pie como el empresario sepan que la firma digital tiene el mismo valor legal que la manuscrita, sirviendo como ejemplo su aplicación en la facturación electrónica. Junto con ello se presentan los Prestadores de Servicios a los que se les puede subcontratar todos o parte de los servicios relacionados con la firma y facturación electrónica. En definitiva cualquier empresa puede establecer un plan a futuros para la implantación de la facturación electrónica en el mundo digital ya que sabe las reglas, conoce las herramientas y a los participantes del juego.

79



16. BIBLIOGRAFIA Y FUENTES “ON LINE” LIBROS

• Curso Experto “Firma y Facturación Electrónica” (Atenea Interactiva, CEPADE, Universidad Politécnica)

BLOGS

• Todo es electrónico. Blog de Julián Inza www.inza.com • Procedimientos telemáticos. Blog de Bartolomé Borrego http://bartolomeborrego.wordpress.com • Sociedad en red. Blog de Rafael Chamorro http://www.sociedadenred.info

WEBS

• Isigma, La referencia en firma electrónica http://www.isigma.es/esp/index.php?id=firma.php • CEN workshops Agreement (CWA):

http://www.cen.eu/cenorm/businessdomains/businessdomains/isss/cwa/electronic+signatures.asp

• RedIris. OID: http://www.rediris.es/si/oidregister/

• Electronic Signatures Directive 1999/93/CE: http://ec.europa.eu/information_society/eeurope/2005/all_about/security/esignatures/index_en.htm

• Ministerio de Industria, Turismo y Comercio: http://www.mityc.es

• Agencia Tributaria ( Entidades Emisoras de certificados de usuario):

http://www.aeat.es/wps/portal/DetalleContenido?&content=c60501ae9dc89010VgnVCM1000004ef01e0aRCRD&channel=2c5f127452c41110VgnVCM1000004ef01e0a____&ver=L&site=56d8237c0bc1ff00VgnVCM100000d7005a80____&idioma=es_ES

• OCSP (RF2560): http://www.ietf.org/rfc/rfc2560.txt?number=2560

http://www.rediris.es/si/oidregister/

80



17. TÉRMINOS EMPLEADOS EN EL INFORME (GLOSARIO) API (Application Programming Interface – Interfaz de Programación de Aplicaciones): conjunto de funciones y procedimientos (o métodos si se refiere a programación orientada a objetos) que ofrece cierta librería para ser utilizado por otro software como una capa de abstracción. Autofacturación: el cliente se factura a sí mismo. CA (Certification Authority): Autoridad de Certificación (Ver PSC) Confirming: servicio que ofrece una entidad financiera con tal de facilitar a sus clientes la gestión del pago de sus compras (facturas). Se ofrece para cobrar las facturas con anterioridad a la fecha de vencimiento de estas. CP ( Política de Certificación ): Ver Política de Certificación CPD: Centro de Proceso de Datos CPS (Declaración de Prácticas de Certificación): establece las normas y condiciones generales de los servicios de certificación. Las CPS están dirigidas y será de aplicación a las Autoridades de Certificación y de Registro del PSC y a todas aquellas personas físicas o jurídicas, Solicitantes, Suscriptores, Representado, o en general Terceros que confíen en los certificados emitidos por el susodicho PSC CRL( Lista de Certificados Revocados ): contiene el número de serie de todos los certificados emitidos por una Autoridad de Certificación y que, por algún motivo han dejado de ser válidos de manera previa a la expiración de su periodo de validez original. Para saber si un certificado es de confianza debe comprobar si el número de serie del mismo está incluido en la CRL publicada por la Autoridad de Certificación emisora. Si es así, el certificado ha sido revocado y no es de confianza. CSP (Certification Service Provider): Ver PSC (Prestador de Servicios de Certificación) CSP (Cryptographic Service Provider): interfaz de software, basado en la librería CryptoAPI, definido por Microsoft que permite, de forma opcional, el uso de tarjetas inteligentes con una gran variedad de aplicaciones criptográficas con el sistema operativo Windows como: servicios de Web segura, correo seguro, cifrado asimétrico y simétrico, operaciones con certificado entre otros.

DN (Distinguished Name): esta contenido en los certificados de autenticación de clientes conforme al estándar X.500. Contiene los datos que el PSC posee en su base de datos de clientes, distribuido en los siguientes campos (p.e. E = e-mail usuario, CN = Nombre usuario, OU = Autenticacion cliente, O = PSC, C = ES, SubjectAltName = e-mail usuario)

ERP (Enterprise Resource Planning, Planificación de Recursos Empresariales): Sistema de información gerencial que integra prácticas de los negocios asociados con las operaciones de producción y gestión (contabilidad, facturación, personal). En este proyecto nos referiremos a ERP como los sistemas informáticos responsables de emitir y recibir facturas.

Factoring: la empresa vendedora cede sus créditos comerciales (sus facturas) a una entidad financiera para que sean administradas y financiadas sus ventas

GTA (Global Trust authority) : primera infraestructura en materia de PKI en el ámbito europeo http://www.globaltrustauthority.org

81



Identrust: proyecto de certificación digital que proporciona identificaciones a los trust (consorcios empresariales) que operan en Internet http://www.identrust.com Matriz de una factura: conjunto estructurado de datos, tablas, base de datos o sistema de ficheros que contienen todos los datos reflejados en las facturas junto a los programas o aplicaciones que permiten al expedidor la generación de las facturas (EHA/962/2007) OASIS (Organization for the Advancement of Structured Information Standards): Comite técnico desarrollador del formato UBL ( http://www.oasis-open.org) OID (Object Identifier Digital) Identificador Digital de Objetos es el valor numérico (distinto de cualquier otro valor) asociado con un objeto OCR (Optical Carácter Recognition – Reconocimiento Óptico de Caracteres ): software que extrae de una imagen los caracteres que componen un texto para almacenarlos en un formato con el cual puedan interactuar programas de edición de texto. OCSP (Online Certificate Status Protocol): definido en el estándar RFC-2560, proporciona a los usuarios y las aplicaciones un método ágil y rápido de obtener el estado de un certificado, evitando tener que descargar la Lista de Certificados Revocados (CRL). El certificado del servidor OCSP es necesario para la comprobación de la firma de las respuestas

PDF-417: formato que se emplea para almacenar facturas electrónicas en papel. Ha dejado de usarse ya que para garantizar el acceso al documento original hay que contar con un scanner y software apropiado.

PKCS#7 (Cryptographic Message Syntax Standard) es un conjunto de normas para firmar y encriptar documentos, normalmente usado en el mail para lograr la autenticidad y privacidad de los datos contenidos en ellos.

PKCS#11: interfaz de software definido por RSA Data Security, comúnmente denominado "Cryptoki" que facilita el acceso a la tarjeta inteligente con una gran variedad de aplicaciones criptográficas entre las que se encuentran productos como Netscape, proporcionando servicios de Web segura, correo seguro, cifrado asimétrico y simétrico, operaciones con certificado entre otros.

PKCS#15: especificación definida por RSA Data Security que pretende estandarizar el acceso a la información PKI y del método o métodos de autenticación almacenada en una tarjeta inteligente.

PKI (Public Key Infraestructure): Infraestructura de Clave Publica constituida por Prestadores de Servicios de Certificación (PSC), Autoridades de Registro (AR), suscriptores de certificados y terceros que confían en los certificados. Esta Jerarquía aporta confianza, integridad, no repudio y confidencialidad a las relaciones telemáticas entre los participantes de la jerarquía debido a que todos los miembros de la PKI se encuentran autenticados fehacientemente con los certificados digitales emitidos por los PSC de la Infraestructura. Video con explicación: http://nexmedia.com.ar//index.php?option=com_content&task=view&id=328&Itemid=47

Política de certificación: documento elaborado por el emisor de los certificados, donde se describe su uso, la comunidad a la que va dirigido, las declaraciones de responsabilidad de los agentes implicados en la gestión del certificado y los requerimientos de seguridad que el emisor define como necesarios para su emisión.


82



La política de certificación es un elemento que nos indicará el nivel de seguridad asociado al certificado, es por lo tanto un documento esencial para poder valorar y así equiparar certificados de emisores diferentes (RFC2527; http://www.camerfirma.com/mod_web/repositorio/politicas.html)

Portales de Facturación: Permiten simplificar y controlar la transmisión de las facturas electrónicas de una empresa a otra a través del uso de impresoras virtuales. Prefacturación: sistema similar a la “autofacturación” donde el cliente prepara la autofactura y el proveedor solo debe aceptarla y añadir los datos suficientes para emitirla. PSC (Prestador de Servicios de Certificación, CA): Persona física o jurídica que expide certificados electrónicos o presta otros servicios en relación con la facturación electrónica. PSDC: Prestador de Servicios de Digitalización Certificada PSF (Prestador de Servicios de Facturación Electrónica): Compañías que ofrecen a las empresas y otras entidades la posibilidad de externalizar los procesos de facturación PSV (Prestador de Servicios de Validación,VA): Entidad que permite poder comprobar si un certificado digital se encuentra revocado en el momento de la firma. PSST (Prestador de Servicios de Sello de Tiempo, TSA): Entidad que garantiza el momento de tiempo concreto en el que una transacción u operación por medios electrónicos (p.e. la firma electrónica) fue realizada. Sellado de tiempo (Timestamping) es un mecanismo on-line que permite demostrar que una serie de datos han existido y no han sido alterados desde un instante específico en el tiempo. En la existente Infraestructura de Clave Publica (PKI), una firma digital indica quien ha firmado un documento electrónico. No obstante, la firma puede aún ser repudiada si el documento no incluye una fuente fiable de tiempo. Un sello de tiempo sobre la firma digital proporciona tiempo preciso de una tercera parte confiable, mostrando cuando el documento se ha firmado. En ese caso, el documento tiene la propiedad de no-repudio.

S/MIME (Secure / Multipurpose Internet Mail Extensions) es un protocolo que añade firmas digitales y encriptación a los mensajes MIME. MIME es el formato estándar propuesto para correo electrónico. Este formato, que define cómo se estructura el cuerpo de un mensaje, permite incluir texto enriquecido: gráficos, audio, etc. Sin embargo MIME por sí mismo no proporciona ningún servicio de seguridad; el propósito de S/MIME es proporcionar estos servicios de seguridad siguiendo la sintaxis definida en PKCS#7

SOA (Service Oriented Architecture – Arquitectura Orientada a Servicios): arquitectura de software que define la utilización de servicios para dar soporte a los requerimientos de software del usuario. En un ambiente SOA, los nodos de la red hacen disponibles sus recursos a otros participantes en la red como servicios independientes a los que tienen acceso de un modo estandarizado. Normalmente se utilizan “Web Services” en su implementación.

TSA (Time Stamping Authority): Autoridad de Sellado de Tiempo (Ver PSST)

UBL ( Universal Business Language): estándar Internacional, desarrollado por OASIS, para la definición de datos de negocio estructurados

VA (Validation Authority - Autoridad de Validación (AV)): Ver PSV

http://www.ietf.org/rfc/rfc2527.txt

83



WebTrust es un sello de confianza, calidad y seguridad que se concede a las entidades que obtienen un Informe Favorable de Auditoría Independiente. El sello WebTrust está mundialmente reconocido y aceptado por la comunidad internacional y se ha convertido en el método más efectivo de transmitir confianza para los usuarios de Internet.

X.500 es un protocolo que define el modelo de conexión de servicios de directorio locales para crear un directorio global distribuido en Internet. La información que contiene se encuentra repartida en lugares diferentes, pero el usuario se relaciona con el directorio como si la información estuviese centralizada accediendo a los datos a través de un servidor local denominado DSA (Directory System Agent).

El servicio X.500 se utiliza principalmente para buscar información de personas (dirección, número de teléfono, e-mail, etc.) o datos relativos a otras entidades (u objetos) como recursos de red o aplicaciones.

X.509 es un estándar para definir el formato de los certificados digitales. En este formato se incluye, además del par de claves del certificado, información adicional que permite delimitar el tiempo de validez, información sobre la Autoridad de Certificación que lo ha generado y otros datos que permiten aplicar directivas para su gestión y control.

84



18. NORMAS TECNICAS Y DISPOSICIONES LEGALES Directiva 1999/93/CE: Directiva Europea que establece un marco comunitario para la firma electrónica Directiva 2000/31/CE: Directiva europea sobre Comercio Electrónico Ley 30/1992 (26/11): Ley de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo común (LRJPA) (modificada por la Ley 4/1999 de 13 de enero): regula la validez de los documentos electrónicos por las Administraciones Públicas Ley 14/1999 (17/09): RDLFE ( Real Decreto Ley de Firma Electrónica) ORDEN 21/02/2000: PSC (Prestadores de Servicios de Certificación) Ley 1/2000 de 7 de enero: Ley de Enjuiciamiento Civil Real Decreto 209/2003 (21/02): por el que se regulan los registros y las notificaciones telemáticas, así como la utilización de medios telemáticos para la sustitución de la aportación de certificados por los ciudadanos (tramites telemáticos) Directiva 2004/18/CE: coordinación de los procedimientos de adjudicación de los contratos públicos de obras, de suministro y de servicios ORDEN HAC/1181/2003 (12/05): por la que se establecen normas específicas sobre el uso de la firma electrónica en las relaciones tributarias por medios electrónicos, informáticos y telemáticos con la Agencia Estatal de Administración Tributaría. Ley 59/2003 (12/2003): Ley de Firma electrónica (LFE), firmas de PSC distintas de FNMT R.D. 1496/2003 (28/11): Se aprueba el reglamento por el que se regulan las obligaciones de facturación, y se modifica el Reglamento del impuesto sobre el Valor Añadido (RF) ORDEN EHA/1307/2005 (04/05): regula el empleo de medios electrónicos en los procedimientos de contratación. Ley 24/2005, de 18 de noviembre: de reformas para el impulso a la productividad.(BOE de 19 de noviembre de 2005) Real Decreto 1553/2005 (12/05): regula la expedición del DNIe y sus certificados de firma electrónica, estableciéndose que dicha firma tendrá el mismo valor que la firma manuscrita Orden ITC/1475/2006 (05/06): Utilización del procedimiento electrónico para la compulsa de documentos en el ámbito del Ministerio de Industria, Turismo y Comercio Ley 11/2007 (22/06): Ley de acceso electrónico de los ciudadanos a las Administraciones Públicas (LAECAP) Real decreto 84/2007 ( 26/01) regula la implantación en la Administración de Justicia del sistema informático de telecomunicaciones LEXNET para la presentación de escritos y documentos, el traslado de copias y la realización de actos de comunicación procesal por medios telemáticos.

http://www.cert.fnmt.es/legsoporte/directiva.PDF

http://ca.banesto.es/documentos/dComElect.pdf




http://www.uaipit.com/multilingue/documentos.jsp?len=es

http://www.ehu.es/ruizjimenez/docencia/upv/2007-08/Xlegis/procesal_civil/lec_2000.pdf

http://www.mityc.es/NR/rdonlyres/BF2C1D6C-1254-47DA-8823-8F68656F89F4/0/20rd209_2003MP.pdf

http://europa.eu/scadplus/leg/es/lvb/l22009.htm

http://www.ipsca.com/es/Legislacion/orden_1181.pdf

http://www.mityc.es/NR/rdonlyres/998FB572-6A40-4902-8A4C-306F35E33502/0/LEY59_03.pdf



http://www.mtas.es/empleo/polemple/areaempleo/docs/Ley24_2005.htm




http://www.derecho.com/legislacion/boe/206230

85



Ley 34/2002 (07/02): Ley de Servicios de la Sociedad de la Información y Comercio Electrónico(LSSI-CE) Orden Ministerial EHA/962/2007 (10/04): Desarrolla disposiciones sobre facturación telemática y conservación electrónica de facturas, así como procesos de Digitalización Certificada. Real Decreto 1065/2007 (27/07): Perteneciente a la Ley 58/2003, General Tributaria, se aprueba el Reglamento General de las actuaciones y procedimientos de gestión e inspección tributarias y de desarrollo de las normas comunes de los procedimientos de aplicación de los tributos ORDEN PRE/2971/2007, de 5 de octubre: sobre la expedición de facturas por medios electrónicos cuando el destinatario de las mismas sea la Administración General del Estado ( estableciendo el formato “facturae” como el formato admitido para las facturas electrónicas) Resolución de 24 de octubre de 2007: de la Agencia Estatal de Administración Tributaria sobre procedimiento para la homologación de software de digitalización contemplado en la Orden EHA/962/2007. Ley 30/2007, de 30 de octubre: de Contratos del Sector Público (LCSP) que establece la obligatoriedad de remitir facturas en formato electrónico a la Administración General del Estado (A.G.E.) Ley 56/2007 (28/12): Ley de Impulso de la sociedad de la información (LISI)








Firma y Facturacion electrónica en España. Guia Práctica ...€¦ · 3 Todo lo que quiso saber y...

Documents

Transcript of Firma y Facturacion electrónica en España. Guia Práctica ...€¦ · 3 Todo lo que quiso saber y...