header image

Onboarding digital en EIDAS

El término Onboarding digital hace referencia al proceso de identificación no presencial que permite a los usuarios darse de alta a distancia como nuevos clientes, utilizando medios digitales, como la interacción por audio y vídeo y la obtención de copias de alta calidad de los documentos de idenificación.

La vía de contratación telemática e identificación a distancia se usa en los sistemas de identificación previstos en el artículo 8 del Reglamento UE 910/2014 (EIDAS), en los sistemas de obtención de certificados electrónicos para firma y autenticación que se señala en el articulo 24-1-d del mismo Reglamento y en los sistemas de contratacion de productos y servicios bancarios.

En el ámbito financiero, la normativa que desde el 1 de junio de 2017 detalla el procedimiento de video onboarding procede de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.

En virtud de lo dispuesto en el artículo 21.1.d) del Reglamento de la Ley 10/2010, de 28 de abril, el Sepblac ha autorizado el empleo de procedimientos de vídeo-identificación de clientes en operaciones no presenciales con sujeción a las especificación mínimas establecidas en el documento de Autorización de procedimientos de vídeo-identificación.

La autorización de procedimientos de vídeo-identificación se suma a las autorizaciones de procedimientos de identificación no presencial y de identificación no presencial a través de videoconferencia en vigor desde el 1 de junio de 2015 y el 1 de marzo de 2016 respectivamente.


Category:  EIDAS ,Electronic ID ,PDS2 ,PKI ,Video onboarding     

Spanish Alastria: the first national multi-sector blockchain ecosystem in the world

Spain’s multi-sector Alastria consortium brings together banks, telecom providers, energy companies, universities, smart city organizations, developers and more for the world’s first regulated national network based on blockchain with an initial focus on digital identity.

It seems as if there is a new blockchain initiative virtually every day as we approach the end of 2017.

Spain already had some blockchain initiatives. In May 2017 Cecabank and Grant Thornton launched Spain’s first Blockchain Banking Consortium, aiming to lay the foundations for the usage of blockchain in the financial industry, more specifically banking.

One of the first applications on the agenda was a tool to better prevent money laundering processes with secure digital identification of customers using a blockchain-based ‘Know Your Customer Recognition System’.

The Alastria consortium, however, goes a few steps further. The presentation of the ‘first Blockchain multi-sector Consortium’ in Spain was announced to take place on October 2017 on several cities Madrid, Madrid, Barcelona, ​​Bilbao, Valencia and Malaga.

On the agenda of the launch of the Alastria network, on top of the launch: topics such as digital identity

At the occasion of the launch the Alastria consortium sent out a press release in which it calls Alastria ‘the world’s first national multi-sector network using blockchain technology, which aims to enable and accelerate the digital transformation of the various industrial or business sectors’ with a focus on the benefits of secure and verified information that distributed ledger technology offers to all participants.

The Alastria consortium brings together some of Spain’s major banking, energy and telecommunications companies. But other sectors are present as well and are invited to join “the world’s first regulated national network based on blockchain”, which goes by the name of Red Alastria.

To enable Red Alastria, the Alastria Consortium is a non-profit, self regulated national effort that is not just open to large companies but also to small firms, start-ups and developers. In other words: a true ecosystem of various stakeholders.

Several  members of the Alastria Consortium have been confirmed such as  Repsol, BBVA, Gas Natural Fenosa, Grant Thornton, Banco Santander and Banco Sabadell, to name a few. In the list of roundabout 70 companies and associations there are also some well known  names: Accenture, CaixaBank, Deloitte, Fujitsu, Kutxabank, MásMóvil, Orange, SAP, Sopra steria, Telefónica, various universities, a few blockchain groups and specialists, smart city initiatives and so forth, indeed a cross-industry group.

Julio Faura, president of Alastria runs blockchain R&D at Banco Santander and says “it is not easy for so many important companies to decide to bet a project together from the very beginning. That’s the best proof of the incredible potential that this technology and the consortium have”.

Among the founders of the Alastria consortium are also professionals who will ensure the security and veracity of information through the identification of natural and legal persons. Think notaries and lawyers indeed. It again emphasizes the main initial focus of Alastria on digital identity or digital ID, under the name ID Alastria.

With ID Alastria mobile identification challenges could be solved (now it’s done with paper work, document capture, facial recognition, video conferencing and so forth).  The digital ID could also enable citizens to control their personal data in a transparent way in accordance with the rules of the EU GDPR.

Alex Puig, CEO of the Digital Currency Summit, Founder of Fintech Barcelona, is CEO of the executive board of Alastria (formerly known as RedLyra).

Puig: “With blockchain the Internet is being reinvented so that we can share and do business in a verified and secure way, but it is necessary to have a standard that allows all industries and the developer community to work with the same base”.

The Alastria network will offer a shared platform on which the participants, mainly large firms, can create digital representations of the assets with which they work in their usual economic activity, in other words tokenization.

With the tokens the development of new/innovative products and services is enabled and current processes can be developed faster, safer and more efficiently. Digital transformation, collaboration and innovation are some of the goals of the consortium.

Category:  Associations ,Blockchain     

Spanish ‘Red Lyra’ Blockchain Consortium foresee a multistakeholder tool

A group of Spanish banks, law firms and corporations have formed a new blockchain consortium. Lyra Network (Red Lyra in spanish) will help companies of different sectors to achieve authentic transactions, smart contracts and identity management.

It is the second group effort launched in Spain in recent days, though some of the new members, which include law firms and utilities, signify a wider scope than one that is purely financial.

The newly minted consortium members are: Banco Sabadell, Banco Santander, Bankia, BBVA, BME, Caja Rural, Cajamar, Cepsa, Correos, Ejaso, Endesa, Everis, Garrigues, Gas Natural Fenosa, Grant Thornton, Iberdrola, Icade, MásMóvil, Momopocket, Notarnet, Roca Junyent and Scytl.

The consortium is tackling a “multi-sector” strategy in the kinds of projects they focus on.

As explained by some of its founders, the first major undertaking will be centered around digital identity:

“The first project of the Lyra Network will focus on the development of a digital identification system that can be safely shared and comply with the requirements of Spanish regulation by all members of the network. Lyra will develop legal identification services or support contracts (smart contracts), hence it is particularly important that its founders include recognized law firms and legal experts.”

In the case of banks, there is another consortium created recently, a week ago.

Wholesale bank Cecabank announced the effort in which other banks are involved. The group’s membership includes Abanca, Bankia, CaixaBank, Kutxabank, Ibercaja, Liberbank and Unicaja, partnering with professional services firm Grant Thornton, that also is involved in Red Lyra consortium.

Cecabank fostered consortium is oriented to anti-money laundering fight and the improvement of KYC (Know Your Customer) policies.

One Cecabank spokesperson stated:

“the new consortium will provide us with a privileged position on the market, since we will be the first in effect to work with this technology, in a cross-sectoral and multidisciplinary environment. Employees of all our functional areas are not only going to gain an in-depth understanding of the technology, but also of all the new features that arise, which is indispensable, considering the momentum for constant progress maintained by blockchain”.

Category:  Blockchain ,Trust sevice     

How to identify Services Providers in #PSD2 acording to #eIDAS

On February 13th 2017 the EBA published its final draft on  Regulatory Technical Standards on strong customer authentication and secure communication under PSD2 The official status of the document is “Final draft adopted by the EBA and submitted to the European Commission”. This document is the basis of the one published by the Parliament after some parts of it will be ammended, but we still don´t know what will remain.

In this RTS draft, Article 29 states:

  1. For the purpose of identification, as referred to in point (a) of Article 21(1), payment service providers shall rely on qualified certificates for electronic seals as defined in Article 3(30) of Regulation (EU) No 910/2014  or for website authentication as defined in Article 3(39) of that Regulation.
  2. For the purpose of this Regulation, the registration number as referred to in the official records in accordance Annex III (C) of Regulation (EU) No 910/2014 shall be the authorisation number of the payment service provider issuing card-based payment instruments, the account information service providers and payment initiation service providers, including account servicing payment service providers providing such services, available in the public register of the home Member State pursuant to Article 14 of Directive (EU) 2015/2366 or resulting from the notifications of every authorisation granted under Article 8 of Directive 2013/36/EU in accordance with Article 20 of that Directive.
  3. For the purposes of this Regulation, qualified certificates for electronic seals or for website authentication referred to in paragraph 1 of this Article shall include in English additional specific attributes in relation to each of the following:
    1. the role of the payment service provider, which maybe one or more of the following: an account servicing payment service provider; a payment initiation service provider; an account information service provider; a payment service provider issuing card-based payment instruments
    2. the name of the competent authorities where the payment service provider is registered.
  4. The attributes referred to in paragraph 3 shall not affect the interoperability and recognition of qualified certificates for electronic seals or website authentication.

In general, such register is maintained by the Bank Authority (BA)  of every country. In Spain, the Registry is the Bank of Spain, which identifies every provider with a four digit number.

EADTrust is now ready to issue certificates for legal persons working in Fintech environments including identification acording with the above mentioned RTS draft and ETSI EN 319 412 standard.

According with these rules, the certificate serial number wil have this aspect: BA:COnumber. BA stands for Bank Authority, and CO is the 2-letters country identifier in ISO 3166-1 alpha-2 format. The number is the official registration number in the Bank Authority  for the payment related service provider.

For instance, BBVA will have this identification number accoding to #eIDAS and #PSD2: BA:ES0182 since it has the 0182 registration number as spanish bank in the Bank of Spain registry.

Category:  EIDAS ,Electronic ID ,PDS2 ,Qualified Services ,Regulatory Technical Standards     

Blockchain como libro de contabilidad

En el ámbito de la contabilidad, el libro diario (journal en inglés)  es uno de los principales libros contables, donde se recogen, por orden cronológico, todas las operaciones de la actividad económico empresarial, según se van produciendo en el tiempo. La anotación de un hecho económico en el libro diario se denomina “asiento“.

Cada asiento debe reflejar la información referida a un hecho económico completo y debe estar compuesto al menos por dos apuntes o anotaciones en dos cuentas diferentes. Los asientos por definición deben estar cuadrados, lo que significa que la suma de las cantidades anotadas en un asiento en el debe han de ser iguales a las cantidades anotadas en el haber de ese mismo asiento. El que un asiento esté cuadrado manifiesta que se han tenido en cuenta todas las consecuencias del hecho económico. Este es el concepto esencial de la contabilidad por “partida doble”.

El libro mayor (en inglés general ledger) recoge la información ya incluida en el diario, pero reordenada por cuentas, para recoger los movimientos que afectan solo a cada cuenta, ya sean al “debe”, ya sean al “haber”. Por cada movimiento se indica el concepto del movimiento o “asiento” la fecha y la cuenta de contrapartida en la que encontrar la transacción simétrica a la realizada y que consta para la cuenta en cuestión.

La tecnología Blockchain es un sistema que permite que múltiples nodos conectados entre sí se actualicen los movimientos contables en tiempo real de forma que todos reflejen la misma información, garantizándolo por técnicas criptográficas basadas en algoritmos de hash combinados (los algoritmos de hash producen una función numérica de resumen cuando se aplican a cuaquier archivo).

Normalmente el uso de Blockchains se asocia con cibermonedas, aunque existen otros usos para la tecnología. Cada usuario de blockchain estaría representado en una cuenta del libro mayor (ledger) en la cual constan sus movimientos y su saldo de forma similar a una cuenta bancaria. Internamente el sistema gestiona el libro diario (journal) en el que los usuarios inican sus operacines a partir de una tecnología complementaria (la cartera) desde la que ordenan los movimientos (por ejemplo, transferencia de parte de su saldo a otra cuenta) respaldándola con su firma electrónica.

El sistema se mantiene en marcha gracias a los “mineros” personas o entidades que aportan ordenadores que guardan la información y resuelven retos  criptograficos (POW, Proof of Work) que se utilizan para replicar los movimientos entre nodos y para calcular las funciones resumen (hashes) que protegen las transacciones. Los mineros reciben como retribución el hallazgo de resultados criptográficos que se traducen en unidades de la cibermoneda.

EADTRUST (European Agency of Digital Trust) lleva trabajando en el ámbito de Blockchain y de las cibermonedas desde 2014, cuando ya anunció la admisión de pagos con Pesetacoin y Spaincoin, en concreto en su servicio Noticeman.

Posteriormente, puso en marca un nodo Blockchain en 2016 como mecanismo complementario para respaldar la custodia de documentos electrónicos auténticos en su servicio Cartulario.

El sistema Blockchain es una herramienta para gestión de derechos asociados a documentos cuando se transfieren de unos titulares a otros. El término “double spending” se refiere a uno de los retos de los documentos electrónicos asociados a un valor, y consiste en evitar que el poseedor de un valor representado en términos digitales pueda transferirlo por duplicado (o más veces) a diferentes destinatarios. En el marco de Cartulario, la solución al reto se denomina “endosabilidad” y consiste en anotar el nuevo dueño del documento tras cada transferencia. Con ayuda de Blockchain, la anotación se realiza en los registros de EADTrust, y, además en el sistema Blockchain que genera un rastro de auditoría complementario.

Cartulario aporta dos prestaciones adicionales a los documentos elecrónicos: la obliterabilidad y la completitud, por lo que extiende la funcionalidad de Blockchain más allá de la posibilidad de gestionar “smart contracts”.

Puede contactar con EADTrust llamando al +34 917160555



Category:  Blockchain ,Pesetacoin ,Spaincoin     

Poderes “apud acta” electrónicos

La Ley 42/2015 de 5 de octubre de reforma de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil, establece la creación de un archivo electrónico de apoderamientos apud acta, otorgados de forma presencial o electrónicamente, al efecto de acreditación en el ámbito exclusivo de la Administración de Justicia que ha entrado en vigor el 1 de enero de 2017.

El apoderamiento apud acta es un acto jurídico de carácter gratuito, mediante el cual se otorga la facultad de representación en un procedimiento judicial.

Con anterioridad a la Ley 42/2015, sólo se podía otorgar un poder “apud acta” (a un abogado o a un procurador, para la representación del litigante) mediante comparecencia presencial ante el fedatario judicial (denominado anteriormente Secretario Judicial y en la actualidad Letrado de la Administración de Justicia).

Desde el 1 de enero de 2017 puede obtenerse igualmente por comparecencia presencial ante el letrado de Administración de Justicia de cualquier oficina judicial o, por “comparecencia digital”, a través de la Sede Judicial Electrónica.

El desarrollo de un archivo electrónico de apoderamientos con independencia del medio, electrónico o presencial empleado para su otorgamiento y el desarrollo de la funcionalidad relacionada con el otorgamiento o revocación de poderes ha sido el resultado de la colaboración entre el Ministerio de Hacienda y Función Pública y el Ministerio de Justicia.

Sirve de modelo el sistema de Registro Electrónico de Apoderamientos (REA) de la Administración General del Estado, al que se introducen modificaciones para adaptarlo a las necesidades específicas del Ministerio de Justicia.

El resultado es la creación de un archivo en el que se inscriben y se pueden consultar los poderes de representación otorgados y sus alteraciones, bien realizados mediante comparecencia electrónica desde las sedes electrónicas judiciales, bien desde las oficinas judiciales de cualquier orden jurisdiccional, mediante comparecencia presencial.

Los ciudadanos y profesionales interactúan con el Archivo Electrónico de Apoderamientos Judiciales (AEAJ) a través de la Sede Judicial Electrónica.

En el caso de la Sede Electrónica Judicial del Ministerio de Justicia, se admite la autenticación a través del sistema cl@ve  desplegado por la AGE, o mediante certificado electrónico. El rol de la persona que accede puede ser  como poderdante en caso de que sea quien va a otorgar los poderes, o como compareciente, (término correspondiente en el ámbito procesal al representante del interesado) si van a actuar como representante de una tercera persona.

El personal de la Administración de Justicia accede bien a través de la Red SARA (Red IP específica de las administraciones públicas), bien a través de la Nueva Red Judicial, a la interfaz específica del Archivo Electrónico de Apoderamientos Judiciales.

Los letrados de la Administración de justicia podrán gestionar los usuarios de su oficina judicial que pueden acceder al Registro Electrónico de Apoderamientos de la Administración General del Estado.

Los ciudadanos interesados o afectados por un proceso contencioso, los “poderdantes” pueden autorizar de forma electrónica a sus representantes (“apoderados”) para que actúen en su nombre en los procedimientos judiciales. En el sistema de gestión de poderes pueden:

  • Otorgar un poder de representación, fijando, en su caso un límite temporal hasta que estará vienete el poder.
  • Consultar los poderes otorgados
  • Revocar o prorrogar un poder
  • Descargar un certificado descriptivo de los poderes otorgados

Los Profesionales del ámbito de la Justica serán así “apoderados” o representantes de sus clientes compareciendo por ello ante las instancias judiciales, tal como regulan las leyes procesales. Se trata principalmente de abogados, procuradores y graduados sociales. En el sistema de gestión de poderes pueden:

  • Consultar sus poderes
  • Renunciar expresamente a un poder
  • Descargar un certificado descriptivo del alcance de la representación que ostentan

El Personal de la Administración de la Justicia, básicamente  Letrados de la Administración de Justicia, gestores, tramitadores y personal del Ministerio de Justicia, realiza el registro y gestión de los apoderamientos, pudiendo:

  • Registrar, prorrogar o revocar un apoderamiento a petición del poderdante o de su representante
  • Consultar y certificar la inscripción de un apoderamiento

Category:  Facultades ,Justicia Digital ,Poderes      Tagged:

Certification Authorities and Certificate Transparency

A certification authority (CA) or Trust Service Provider (TSP) is a trusted entity that issues electronic documents that assocites a digital entity’s identity to a cryptographic key. The electronic documents, which are called digital certificates, are an essential part of secure communication and play an important part in the public key infrastructure (PKI).

Certificates typically include the holder’s public key, the expiration date of the certificate, the holder’s name and other information about the public key owner. Operating systems and browsers maintain lists of trusted CA root certificates to verify certificates that a CA has issued and signed.

Although any entity can issue digital certificates for secure communications, there are so many requirements to do it properly that it is better for e-commerce websites to buy certificates issued by commercial CAs.

Typically, the longer the CA has been operational, the more browsers and devices will trust the certificates a CA issues.

As a way to harden the security of certificates some CA implement certificate transparency.

Certificate Transparency fixes several structural flaws in the SSL certificate system, which is the main cryptographic system that underlies all HTTPS connections.

These flaws weaken the reliability and effectiveness of encrypted Internet connections and can compromise critical TLS/SSL mechanisms, including domain validation, end-to-end encryption, and the chains of trust set up by certificate authorities.

Category:  Certificación ,PKI ,SSL/TLS ,Web sites certificates     

ARIES project will enhance personal mobile identity management in Europe

Minimizing identity theft by deriving secure virtual identities from official identity and breeder documents and biometric data

Madrid, 2nd October 2016

Atos, an international leader in digital services with expertise on end-to-end security and personal data protection, coordinates a Project Consortium of nine partners for the implementation of the ARIES project.

ARIES stands for reliAble euRopean Identity EcoSystem and is a two and a half-year multi-disciplinary, Research and Innovation Action co-funded by the European Commission under the Fight Against Crime and Terrorism (FCT) theme of the H2020 framework programme.

There are three ways to commit crimes related to Identity: Identity theft, when a criminal uses a real person’s details to impersonate them, usually to gain products or services; Identity fraud, when a criminal uses a stolen or a made up identity – often involving forged documents – to get products or services; and facility takeover fraud, when a fraudster has enough details (like passwords) to bypass security on existing accounts and take them over.

ARIES Project main goal is to deliver a comprehensive framework and holistic approach of technologies, processes and security features for reliable e-identity ecosystem to improve identity, trust and security, and to better support the law enforcement in addressing the new cybersecurity threats while achieving positive, far-reaching socio-economic impacts.

ARIES multi-disciplinary team will address all key legal, ethical, socio-economic, technological and organisational aspects of identity-related crimes in both virtual (i.e. misuse of information, cyber-mobbing) and physical places (i.e. people trafficking, organized crime).

By strengthening the link between trustworthy physical ID documents, online identities and biometric identity, ARIES Project will ensure the highest levels of quality in secure credentials for extremely secure and privacy-respecting physical and virtual identity management.

Data protection best practices will be adopted to provide digital privacy-preserving features.

The objective is the widespread and user-friendly use and adoption of elements ensuring first-class identity assurance, including biometric verification, in order to reduce levels of wrong identity and associated crimes. For that objective, ARIES Project will propose harmonized credential issuance and authentication processes and at the same time mechanisms to allow better law enforcement on identity management, efficient control and threats detection.

Alicia García, Atos Director of Research & Innovation, said: “ARIES Project will support more effective fight against identity theft and identity-related crimes, through better prevention and detection of this kind of crimes. It will also contribute to the Digital Single Market economy and Digital Agenda for Europe by increasing trust and confidence in electronically delivered services”.

The results of ARIES Project will  address three complementary target markets. First,  citizens owning smart devices who wish to use their physical and official identities conveniently and securely. Second, service providers that suffer economical losses derived from identity crimes who can leverage ARIES Project results to minimize the losses amounts or limi tthe impact of identity fraud incidents. Last, ARIES Project proposal of virtual identities and its verification and protection technologies can be deployed in physical access control scenarios, minimizing the need for complex biometric readers.

ARIES Project will demonstrate its outcomes and the levels of identity prevention reduction achieved in two use case demonstrators, secure eCommerce and identity virtualization for secure travel, covering a comprehensive vision of virtual id ecosystem and its practical application.

ARIES Project has received funding from the European Union’s Horizon 2020 research and innovation programme under grant agreement No 700085.

The project started on September the 1st 2016, coordinated by Atos and with relevant partners such as Universidad de Murcia University (Spain), Gemalto SRO (Czech Republic), Morpho (France), Saher UK LTD (United Kingdom), Police and Crime Commissioner for West Yorkshire (United Kingdom), Ertzaintza Basque Police (Spain), Belgian Federal Police (Belgium) and Sonae. (Portugal).

Category:  Biometric ,Electronic ID ,Identidades ,Interoperabilidad transfronteriza ,Virtual identity     

EADTrust renueva su certificación ISO 27001

Con la renovación de esta certificación (obtenida por primera vez en 2013), EADTrust ha revisado todos sus sistemas y operaciones para prepararse para la evaluación EIDAS que deberá superar como entidad prestadora de servicios electrónicos cualificados.

También ha superado las auditorías de certificación correspondiente a las normas ISO 9001 e ISO 20000-1.

De esta forma EADTrust se confirma como una de las entidades que más invierte para ofrecer a sus clientes las mayores garantías en la transformación digital de los procesos de negocio.

Recientemente EADTrust ha superado con éxito la auditoría de certificación de la prestigiosa Norma Internacional ISO/IEC 27001, relativa al Sistema de Gestión de la Seguridad de la Información (“SGSI”), considerando el siguiente alcance:

El Sistema Integrado de Gestión de la Información que da soporte a consultoría, auditoría, desarrollo y provisión de los siguientes servicios electrónicos de confianza: Autoridades de Certificación (PKI) que cumplen los requerimientos de las normas EN 319 401 v2.1.1, EN 319 411-1 v1.1.1, EN 319 411-2 v2.1.1, EN 319 421 v1.1.1 para Sellado de Tiempo, Emisión de Certificados, Validación de OCSP, Firma Electrónica Centralizada, Extensión de Firma Electrónica, Notificación Electrónica Fehaciente (Correo Electrónico Certificado), Publicación Electrónica Fehaciente, Comprobación fehaciente de contenidos digitales, Foro Electrónico de Accionistas, Emisión y Gestión de Claves, Cartulario (Custodia Digital de Documentos Electrónicos), Custodia de Evidencias Electrónicas (Retención de Datos), Voto Electrónico, Facturación Electrónica, Digitalización Certificada, Gestión de firma manuscrita digitalizada y Gestión de firma avanzada vocal, para garantizar la validez legal de todo tipo de gestiones que las utilizan, de acuerdo a la declaración de aplicabilidad vigente.

El SGSI es un conjunto de políticas, procedimientos, guías, y recursos y actividades asociados a los anteriores, gestionados de forma colectiva por EADTrust, con el objetivo de proteger los activos de información de los clientes que confían en la compañía para la gestión del ciclo de vida de las pruebas electrónicas gestionadas en su condición de Prestador de Servicios de Confianza, para lo que se ha realizado una aproximación sistemática al establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora de la seguridad de la información de una organización.

La información, como activo, es independiente del formato o del soporte en que se contiene; por tanto, un SGSI aplica a información en papel y en forma electrónica, preservando la confidencialidad, integridad y disponibilidad de la información mediante la aplicación de un proceso de gestión de riesgos y otorgando a las partes interesadas – como los accionistas, los clientes y los terceros que confían  – la máxima confianza sobre la adecuada gestión de los riesgos que afectan a la información, en especial cuando la misma es sensible, como en el caso de la gestión de pruebas electrónicas robustas y la prestación de servicios de confianza digital.

El esfuerzo de crear la metodología de una gestión diligente, documentarla en un SGSI integrado (en opinión del auditor, el único sistema que ha visto que integra la gestión de 4 normativas: ISO 9001, ISO 20000-1, ISO 27001 y EIDAS) y superar la evaluación de un especialista aporta múltiples beneficios directos a los clientes y al negocio, entre los que se pueden citar la mejora en la fiabilidad y la seguridad de los sistemas, el incremento de los niveles de confianza en la actividad, la seguridad de la información consistente y efectiva en coste, o la racionalización de los sistemas o el cumplimiento con la legislación. También aporta beneficios indirectos, entre los cuales se encuentran la mejora en el control por parte de la dirección, una mayor confianza de los clientes y los socios en el negocio y la mejora en la gestión del riesgo.

EADTrust acompaña a las principales empresas de este país, ayudándolas en la transformación digital, especialmente cuando los nuevos sistemas deben mantener el valor jurídico de los sistemas sustituidos.


Category:  Certificación ,EIDAS ,ISO 20.000-1 ,ISO 27001 ,ISO 9001     

Blockchain and EIDAS

The block chain is a series of timestamped data records that link together, through hashing the content of every record concatenated with the previous hash. To create transactions, a hash of the previous transaction is recorded and the public key of the recipient is used by the signer, along with the private key of the signer.

Blockhain is replicated in several servers, hosted by independent members of the network, with economic incentive to keep the servers running and consuming energy and communications costs.

Blockchain servers updates each other once a transaction is included in any of them. The technology works on the following properties:

  1. Log replication – To create resiliency, log-based replication is increasingly used for distributed systems to replicate logs to all peers in the network.
  2.  Chained Data of Probative Value– The values stored in the blockchain can be digital currency (such as the widely known Bitcoin or other digital “coins”), data, hashes derived from documents, and other small size assets (frecuently represented by hashes). Hash chains are kept for each block providing a history of changes, which helps protect data integrity of the block asset.
  3. Public-key Cryptography – Blockchain uses different types of security technologies including compact elliptic curve cryptography signatures to authenticate transactions.
  4. Decentralized transaction ledger – The ledger is a metaphor of a system that stores information recorded under different rules in a way that one kind of records help to check the others (similar to double-sided entry accounting). Blockchain information is replicated in a peer-to-peer connected dedicated servers network  that is similar to how DNS works. For this reason this property is presented as a feature of not requiring a central authority.

EIDAS Trust services

Regulation UE 910/2014 (EIDAS) describes several trust services one of which keeps some similarity with Blockchain.

Article 34 and 40 define  qualified preservation service for qualified electronic signatures and seals in the sense that these “qualified” services may only be provided by a qualified trust service provider that uses procedures and technologies capable of extending the trustworthiness of the qualified electronic signature beyond the technological validity period.

So we can asume there are other “non qualified” preservation services for qualified and “non qualified” electronic signatures and seals and even “non signed” electronic records which are out of the scope of the harmonized legal environmet provided by EIDAS regulation which are nevertheless subjet to supervisory bodies supervision, since article 19 declares:

Qualified and non-qualified trust service providers shall take appropriate technical and organisational measures to manage the risks posed to the security of the trust services they provide. Having regard to the latest technological developments, those measures shall ensure that the level of security is commensurate to the degree of risk. In particular, measures shall be taken to prevent and minimise the impact of security incidents and inform stakeholders of the adverse effects of any such incidents.

Qualified and non-qualified trust service providers shall, without undue delay but in any event within 24 hours after having become aware of it, notify the supervisory body and, where applicable, other relevant bodies, such as the competent national body for information security or the data protection authority, of any breach of security or loss of integrity that has a significant impact on the trust service provided or on the personal data maintained therein.

Where the breach of security or loss of integrity is likely to adversely affect a natural or legal person to whom the trusted service has been provided, the trust service provider shall also notify the natural or legal person of the breach of security or loss of integrity without undue delay.


Category:  Bitcoin ,Blockchain ,EIDAS ,Trust sevice