Divulgaciones
Divulgaciones
Firmas electrónicas de larga vigencia
Vd. tiene que saber que una firma electrónica tiene una validez limitada en el tiempo. La vigencia no viene establecida por la caducidad del certificado que se utilizó en su elaboración, su vigencia está asociada a la modalidad de firma.
Las normas legales y técnicas determinan que para lograr una firma de larga vigencia (superior a 15 años) se tienen que cumplir determinados requerimientos técnicos.
Debe incluir:
Certificados empleados en su elaboración.
Respuesta OCSP
TimeStamping
Firmas electrónicas de larga vigencia
Vd. tiene que saber que una firma electrónica tiene una validez limitada en el tiempo. La vigencia no viene establecida por la caducidad del certificado que se utilizó en su elaboración, su vigencia está asociada a la modalidad de firma.
Las normas legales y técnicas determinan que para lograr una firma de larga vigencia (superior a 15 años) se tienen que cumplir determinados requerimientos técnicos. Certificados empleados en su elaboración.
Respuesta OCSP
TimeStamping
Certificado electrónico
Una vez que el certificado está revocado o caducado, carece de valor todo uso que se haga del mismo
Si la firma incluye un TimeStamping es posible verificarla, sus efectos legales perduran aunque el certificado este caducado o revocado.
Además, la garantía de validación a lo largo del tiempo tiene que alcanzar, incluso, al propio cese de operaciones del PCSC que emitió el certificado. Para atender este reto, en la construcción de la firma se incorporan todos los certificados que han intervenido y la lista de revocación (CRL), o la respuesta OCSP debidamente firmada.
Certificado electrónico
Una vez que el certificado está revocado o caducado, carece de valor todo uso que se haga del mismo
Si la firma incluye un TimeStamping es posible verificarla, sus efectos legales perduran aunque el certificado este caducado o revocado.
Además, la garantía de validación a lo largo del tiempo tiene que alcanzar, incluso, al propio cese de operaciones del PCSC que emitió el certificado. Para atender este reto, en la construcción de la firma se incorporan todos los certificados que han intervenido y la lista de revocación (CRL), o la respuesta OCSP debidamente firmada.
Las firmas de Sign to Sign ®, son firmas que garantizan su validación a lo largo del tiempo (AdES LT), incluyen:
- Certificados empleados en su elaboración.
- Información de estado del certificado en el momento de su uso (CRL o consulta OCSP) que permita garantizar la verificación de estado a largo plazo.
- Sello de tiempo electrónico que determine el momento en que se utilizó el certificado de firma electrónica.
En Sign to Sign ® ponemos a tu disposición firmas electrónicas de larga vigencia que cumplen con los estándares internacionales en la materia. Además, de los atributos de validación en origen del estado del certificado mediante consulta OCSP y sello de tiempo, Sign to Sign ® da plena cobertura a otro de los riesgos reconocidos en el proceso de firmas electrónicas:
La obsolescencia de los elementos criptográficos empleados en su elaboración.
Sign to Sign ® cuenta con servicio de conservación cualificada de documentos firmados electrónicamente que garantiza su vida efectiva independientemente de que los componentes tecnológicos utilizados al construirla hayan perdido su eficacia.
La obsolescencia de componentes criptográficos
Las firmas deben de elaborarse con instrumentos cuyos componentes criptográficos sean clasificados como seguros.
La plataforma Sign to Sign ®, dispone de un servicio de conservación que cumple con las normas técnicas de referencia. Auditado en conformidad eIDAS,
- ETSI TS 119 101 Policy and security requirements for applications for signature creation and signature validation
- ETSI EN 319 401 General Policy Requirements for Trust Service Providers
- ETSI EN 319 102-1 Procedures for Creation and Validation of AdES Digital Signatures: Creation and Validation
Acreditación de estado de vigencia del certificado electrónico
Timestamping cualificado
ANF Autoridad de Certificación es Autoridad Emisora de Sellos Electrónicos de Tiempo.
A. estar vinculada al firmante de manera única;
B. Permitir la identificación del firmante;
C. haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, y
D. estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.
- Firma electrónica (básica)
- Firma electrónica cualificada (QES): Una firma electrónica avanzada que proporciona un nivel adicional de garantía sobre la identidad del firmante y una protección mejorada y un nivel de seguridad sobre la creación de la firma. Esto es debido a que se crea mediante un dispositivo cualificado de creación de firmas electrónicas (QSCD). Una firma electrónica cualificada tiene los mismos efectos legales que una firma manuscrita y es reconocida como una firma electrónica cualificada en todos los Estados miembros de la Unión Europea.
Servicio cualificado de conservación a largo plazo
Las firmas de Sign to Sign ®, son firmas que garantizan su validación a lo largo del tiempo (AdES LT), incluyen:
- Certificados empleados en su elaboración.
- Información de estado del certificado en el momento de su uso (CRL o consulta OCSP) que permita garantizar la verificación de estado a largo plazo.
- Sello de tiempo electrónico que determine el momento en que se utilizó el certificado de firma electrónica.
En Sign to Sign ® ponemos a tu disposición firmas electrónicas de larga vigencia que cumplen con los estándares internacionales en la materia. Además, de los atributos de validación en origen del estado del certificado mediante consulta OCSP y sello de tiempo, Sign to Sign ® da plena cobertura a otro de los riesgos reconocidos en el proceso de firmas electrónicas:
La obsolescencia de los elementos criptográficos empleados en su elaboración.
Sign to Sign ® cuenta con servicio de conservación cualificada de documentos firmados electrónicamente que garantiza su vida efectiva independientemente de que los componentes tecnológicos utilizados al construirla hayan perdido su eficacia.
La obsolescencia de componentes criptográficos
Las firmas deben de elaborarse con instrumentos cuyos componentes criptográficos sean clasificados como seguros.
La plataforma Sign to Sign ®, dispone de un servicio de conservación que cumple con las normas técnicas de referencia. Auditado en conformidad eIDAS,
- ETSI TS 119 101 Policy and security requirements for applications for signature creation and signature validation
- ETSI EN 319 401 General Policy Requirements for Trust Service Providers
- ETSI EN 319 102-1 Procedures for Creation and Validation of AdES Digital Signatures: Creation and Validation
Acreditación de estado de vigencia del certificado electrónico
Las firmas de Sign to Sign ®, son firmas que garantizan su validación a lo largo del tiempo (AdES LT), incluyen:
- Certificados empleados en su elaboración.
- Información de estado del certificado en el momento de su uso (CRL o consulta OCSP) que permita garantizar la verificación de estado a largo plazo.
- Sello de tiempo electrónico que determine el momento en que se utilizó el certificado de firma electrónica.
Las firmas de Sign to Sign ®, son firmas que garantizan su validación a lo largo del tiempo (AdES LT), incluyen:
- Certificados empleados en su elaboración.
- Información de estado del certificado en el momento de su uso (CRL o consulta OCSP) que permita garantizar la verificación de estado a largo plazo.
- Sello de tiempo electrónico que determine el momento en que se utilizó el certificado de firma electrónica.
En Sign to Sign ® ponemos a tu disposición firmas electrónicas de larga vigencia que cumplen con los estándares internacionales en la materia. Además, de los atributos de validación en origen del estado del certificado mediante consulta OCSP y sello de tiempo, Sign to Sign ® da plena cobertura a otro de los riesgos reconocidos en el proceso de firmas electrónicas:
La obsolescencia de los elementos criptográficos empleados en su elaboración.
Sign to Sign ® cuenta con servicio de conservación cualificada de documentos firmados electrónicamente que garantiza su vida efectiva independientemente de que los componentes tecnológicos utilizados al construirla hayan perdido su eficacia.
En Sign to Sign ® ponemos a tu disposición firmas electrónicas de larga vigencia que cumplen con los estándares internacionales en la materia. Además, de los atributos de validación en origen del estado del certificado mediante consulta OCSP y sello de tiempo, Sign to Sign ® da plena cobertura a otro de los riesgos reconocidos en el proceso de firmas electrónicas:
La obsolescencia de los elementos criptográficos empleados en su elaboración.
Sign to Sign ® cuenta con servicio de conservación cualificada de documentos firmados electrónicamente que garantiza su vida efectiva independientemente de que los componentes tecnológicos utilizados al construirla hayan perdido su eficacia.
La obsolescencia de componentes criptográficos
Las firmas deben de elaborarse con instrumentos cuyos componentes criptográficos sean clasificados como seguros.
La plataforma Sign to Sign ®, dispone de un servicio de conservación que cumple con las normas técnicas de referencia. Auditado en conformidad eIDAS,
- ETSI TS 119 101: Policy and security requirements for applications for signature creation and signature validation
- ETSI EN 319 401: General Policy Requirements for Trust Service Providers
- ETSI EN 319 102-1: Procedures for Creation and Validation of AdES Digital Signatures: Creation and Validation
La obsolescencia de componentes criptográficos
Las firmas deben de elaborarse con instrumentos cuyos componentes criptográficos sean clasificados como seguros.
La plataforma Sign to Sign ®, dispone de un servicio de conservación que cumple con las normas técnicas de referencia. Auditado en conformidad eIDAS,
- ETSI TS 119 101: Policy and security requirements for applications for signature creation and signature validation
- ETSI EN 319 401: General Policy Requirements for Trust Service Providers
- ETSI EN 319 102-1: Procedures for Creation and Validation of AdES Digital Signatures: Creation and Validation
Acreditación de estado de vigencia del certificado electrónico
Acreditación de estado de vigencia del certificado electrónico
Timestamping cualificado
ANF Autoridad de Certificación es Autoridad Emisora de Sellos Electrónicos de Tiempo.
Timestamping cualificado
ANF Autoridad de Certificación es Autoridad Emisora de Sellos Electrónicos de Tiempo.
Servicio cualificado de conservación a largo plazo
Servicio cualificado de conservación a largo plazo
Gestión administrativa del papel. Estimación de costes en base a un costo directo de producto de 4 euros por paquete de 500 unidades de folio de 80 gramos, tamaño DIN A-4.
Calculo estimado en base a: Costo de producto, transporte, almacenaje, impresión, archivo, manipulación, destrucción.
Estimación aproximada 0,5 euros.
En el caso de facturas papel, burofax, notario, etc. los costos se elevan exponencialmente, llegando a multiplicar el 10 el valor de gestión administrativa.
Por ejemplo, todos los estudios publicados cifran como mínimo el ahorro de un proceso de digitalización de facturas en:
─ Factura emitida es de 2,85 euros
─ Factura recibida de 2,86
Objetivo: determinar la energía necesaria en la producción de papel.
Análisis inventario: El proceso papelero es intensivo en consumo de energía eléctrica y vapor.
Para producir 1 Tm de papel se utilizan aproximadamente 4.000 kWh de energía (77 % procedente de combustible fósil).
El mix eléctrico del año 2010 es de 181 g CO2/kWh . factor de emisión de CO2 atribuible al suministro eléctrico conocido como mix eléctrico (g de CO2/kWh)
Fuente info: Generalitat de Catalunya –Guia práctica.
Evaluación del impacto ambiental: España es país productor de celulosa de papel, y supone más del 10% del total de la energía consumida por el conjunto de toda la industria en España, lo que presupone más de 14.000 ktep. Para la producción de energía en España, los combustibles fósiles han cubierto más del 77 %, la nuclear más del 12 %. Y un 11 % de renovables.
─ 1 ktep equivale a 11.630.000 kW-h
─ 1 ktep son 1000 toneladas equivalentes de petróleo.
Fuente: Gobierno de España
Interpretación: Cada hoja de papel blanco en su formato habitual 80 gramos tamaño DIN A4 pesa 5 gramos (no incluida la merma asociada). Por tanto, cada hoja precisa de:
─ 0,0154 kWh de energía, que equivale a
─ 0,0462 Kg., de petróleo, que a su vez representan
─ 2,7874 g de CO2.
No se incluyen en este análisis la generación de vapor al caecer de datos de la generación de vapor producida.
Impacto medioambiental
La generación eléctrica mediante combustibles fósiles genera dióxido de carbono, que es uno de los principales causantes del efecto invernadero.
El vapor de agua (H2O), dióxido de carbono (CO2), óxido nitroso (N2O), metano (CH4), y ozono (O3) son los principales gases de efecto invernadero en la atmósfera terrestre (Protocolo de Kioto)
Objetivo: determinar la degradación ambiental que ocasiona la producción de papel.
Análisis inventario: Para que el papel quede blanco, es necesario utilizar diversos aditivos como el dióxido de cloro, un producto que no existe en el medio de forma natural, requiere de otros procesos productivos cuyo efecto no está incluidos en este análisis. Este producto se disuelve en el agua que, una vez utilizada, se vierte al medio ambiente, ocasionando graves efectos contaminantes.
Evaluación del impacto ambiental: Producir una tonelada de papel blanco requiere unos 10 litros dióxido de cloro, y 10 Kg. de talco por Tm de celulosa de papel.
Fuente info: industria del papel Kay Teschke y Paul Demers)
Interpretación: Cada hoja de papel blanco en su formato habitual 80 gramos tamaño DIN A4 pesa 5 gramos (no incluida la merma asociada). Por tanto, cada hoja precisa de 0,05 gramos de talco y 0,05 gramos de dióxido de cloro.
Impacto medioambiental
Los llamados compuestos organoclorados (más de mil diferentes) se forman al reaccionar la pulpa de madera con el cloro. De ese cóctel químico se conocen realmente solo unos 300.
– La persistencia en el tiempo de los organoclorados es enorme. Los seres vivos no disponen de medios para excretarlos y por eso aumentan su concentración al recorrer la cadena trófica. Todo vertido de cloro al ambiente, en forma líquida o sólida, como algunos plásticos (PVC) producen también este fenómeno.
– Una serie de compuestos organoclorados son especialmente peligrosos: las llamadas dioxinas, el veneno más potente que se haya inventado jamás. Su toxicidad es 70,000 veces mayor que la del cianuro. Un cartón de leche sin protección interior de aluminio puede contaminar de dioxinas el contenido del envase, por lo que algunos países, como Nueva Zelanda, los han prohibido.
Objetivo: determinar la pérdida del oxígeno necesario para la vida humana por la producción de papel.
Análisis inventario: Un árbol proporciona el oxígeno que consumen 3 personas en un día. Cada año se talan 4.000 millones de árboles en el mundo para fabricar papel.
Evaluación del impacto ambiental: Producir una tonelada de papel virgen requiere un mínimo de 474.000 kg.de agua.
Fuente info: industria del papel Kay Teschke y Paul Demers)
Interpretación: Cada hoja de papel blanco en su formato habitual 80 gramos tamaño DIN A4 pesa 5 gramos (no incluida la merma asociada). Por tanto, cada hoja presupone el oxígeno que consume 0,000735 partes de 3 personas.
Impacto medio ambiental
El efecto invernadero es una realidad incuestionable, la actual tala de árboles representa una pérdida de generación de oxígeno equivalente a casi cuatro veces la población mundial.
Objetivo: Determinar el consumo de agua dulce necesario para producir papel.
Análisis inventario: Para fabricar un kilo de celulosa de papel se precisan 324 litros de agua.
Además, una fábrica de blanqueo de pasta kraft con una producción de 1.000 toneladas al día consume más de 150 millones de litros de agua al día, que se vierte convertida en agua altamente contaminada.
Evaluación del impacto ambiental: Producir una tonelada de papel virgen requiere un mínimo de 474.000 kg.de agua
Fuente info: industria del papel Kay Teschke y Paul Demers)
Interpretación: Cada hoja de papel blanco en su formato habitual 80 gramos tamaño DIN A4 pesa 5 gramos (no incluida la merma asociada). Por tanto, cada hoja presupone un consumo mínimo de 2,42 litros de agua.
Impacto medioambiental
Aunque a la Tierra se la conoce como el Planeta Azul porque el 71 % de su extensión está ocupada por agua, lo cierto es que solo el 3,5 % es agua dulce, y solo el 0.007 % es accesible para la población. Es un recurso que se distribuye de forma irregular, que está mal gestionado y cada vez más contaminado.
La ONU a considerado el acceso a este recurso natural como uno de los mayores problemas a los que se enfrenta el mundo.
Objetivo: determinar el impacto del uso del papel en la desforestación.
Análisis inventario: El consumo mundial de papel es de 268 millones de toneladas al año. Cada año se talan 4.000 millones de árboles en el mundo para fabricar papel, que representa un tercio de la tala mundial.
Evaluación del impacto ambiental: Producir una tonelada de papel virgen requiere de 2 a 3,5 toneladas de árboles, es decir una media de 28 a 49 árboles (según tamaño)
Fuente info: industria del papel
Interpretación: Cada hoja de papel blanco en su formato habitual 80 gramos tamaño DIN A4 pesa 5 gramos (no incluida la merma asociada). Por tanto, cada hoja presupone un consumo mínimo de 0,000245 partes de un árbol.
Impacto medioambiental:
– La desforestación del planeta ocasiona el efecto invernadero, el cambio climático, las sequías, los incendios, y la erosión.
– En los últimos cincuenta años se ha perdido en el mundo una superficie de bosque equivalente a China y la India juntas.
– La selva amazónica desaparece al ritmo de una cancha de fútbol por segundo. Si destacamos que este tipo de bosque alberga entre el 50 y el 90% de la diversidad biológica del planeta, entonces nos haremos una idea de lo que supone su pérdida.
– Por lo que respecta a Extremadura (España), en los años que van de 1950 a 1980, se perdieron la cuarta parte de los bosques de encinas, lo que equivale aproximadamente a unos nueve millones de árboles. Aunque ya está prohibido cortar encinas, la recuperación es difícil debido a las plagas, la sequía y el sobrepastoreo.
El árbol es algo más que una fábrica de madera:
– Es el mejor captador solar: aprovecha la energía del sol, que es una energía gratis y no contaminante.
– Fertiliza el suelo: los materiales inertes, los minerales, etc. son transformados en materia orgánica.
– Él mismo se transforma en abono (hojas, frutos, raíces y todo él cuando muere).
– Da alimento y refugio a los animales del bosque.
|
Sign to Sign has the following access control options,
If you have this type of certificate, you do not need to install any accessory component.
If you have this type of certificate, you do not need to install any accessory component.
If you do not have an electronic certificate, you can access with your ID and password.
If you have used a credential based on “identifier and password”, the Security Policy established by the administrator of your organization may require reinforced security. In this case, the system generates a one-time key (OTP) that is communicated according to the expected configuration:
In any of the cases, Sign to Sign ® records:
At any time you can check the latest operations carried out with your credential. And, if you are an administrator of your organization, you will be able to consult the history of operations carried out by each of the registered users.
Password storage
In Sign to Sign ® we do not store passwords, we use hash technique. Therefore, key theft is not possible.
Our platform has adequate security measures to control access to database information. Among other security measures it is possible to mention:
• Protection against SQL injection attacks
• No direct database queries are made.
• It is not possible to carry out massive automated queries, any attempt is classified as an attack.
• Consultations from authorized open sessions are required.
• Hierarchical access control is available.
• All queries are made using the SSL communications protocol.
That CSV is a unique code. The CSV is included in the signature report that is generated when a document is signed. This code is useful in case of printing the signed document, it allows you to identify it by comparing the signed document with the electronic file stored on our servers (only for public documents in which it is required by the ordering client)
This type of CSV code is already known and widely used in the field of Public Administration. Article 18.1.b of Law 11/2007 on electronic access of citizens to Public Services states that:
“For the identification and authentication of the exercise of competence in automated administrative action, each Public Administration may determine […] b) Secure verification code linked to the Public Administration, body or entity and, in where appropriate, to the person signing the document, allowing in any case the verification of the integrity of the document by accessing the corresponding electronic headquarters.”
We have a Contingency and Disaster Recovery Plan that defines the actions to be carried out, resources to be used, and personnel to be employed in the event of an intentional or accidental event that disables or degrades the resources and certification services of ANF AC, or the services provided by Sign to Sign ®.
The strength of our Contingency Plan has been accredited in the State of Alarm by COVID-19, we have been 100% with 100% of the staff in teleworking mode and with redundant equipment, our activity has not suffered any lack .
This plan has been reviewed by eIDAS auditors and ISO 27001 accredited auditors, having obtained full compliance.
The main objectives are:
• Maximize the effectiveness of recovery operations by establishing three phases:
1. Notification/Assessment/Activation phase to detect, assess the damage and activate the plan.
2. Recovery Phase to temporarily and partially restore services until the damage caused to the original system is recovered.
3. Reconstitution phase to restore the system and processes to normal operations.
• Identify the activities, resources and procedures necessary for the partial provision of certification services.
• Assign responsibilities to the personnel designated by the Security Committee and provide a guide for the recovery of normal operations.
• Ensure the coordination of all the operators that participate in the planned contingency strategy.
• This Plan is reviewed on an annual basis, and practical tests are carried out throughout the year to verify its effectiveness.
ANF AC TSA, has the technical capacity and the accreditation required by Regulation (EU) 910/2014 (eIDAS) for the stamping of qualified electronic time stamps.
To provide this service, ANF AC TSA has various Time Stamping Units (TSU). TSUs are highly available servers that have been designed and developed in compliance with legal regulations and technical standards in this area:
The TSUs of ANF AC follow the principles of Haber and Stornetta
Basically, the TSUs of ANF AC TSA carry out the following procedure:
The day’s hash chaining summary is logged daily.
Notary
Ms. Ana María Fernández González
Notarization act
Issue 175 dated 11.13.2015
Article 216 of the Notarial Regulations allows notaries to receive in deposit documents that are issued in computerized support, referring to the characteristics of the electronic document and its support.
Time stamping accuracy
The TSUs verify the offset between the time of the server used to provide the TSU service, and the time of the NTP server (hora.roa.es). The time difference with respect to the NTP server is calculated using an NTP client (ntpdate) with a standard call.
The timesatmping response includes the accuracy field, where we indicate the difference between the server time and the NTP server time, which is usually several milliseconds. As long as it is less than one second, it is considered to be a normal value.
TSUs synchronization with secure time source
The qualified provider of electronic time stamps assumes the legal responsibility of maintaining the clocks of their TSUs, synchronized with a secure source of time.
The servers of the Sign to Sign ® platform and the Time Stamping Units (TSU) of ANF AC, are synchronized with the Laboratory of the Royal Institute and Navy Observatory – San Fernando (Cádiz), “ROA” (stratum level 1). Official time pattern in Spain.
Thanks to this configuration, we were able to achieve an accuracy of +/- 100 ms or better with respect to UTC.
To control the time deviation between the time elapsed between the query and the receipt of the response, we use the NTP Protocol. The synchronization process is activated automatically every 5 minutes, in case of detecting a substantial deviation, it paralyzes the sealing systems to subject them to audit, audit trails are automatically captured for each synchronization carried out with the required time adjustment.
More information in the Time Synchronization section.
Be careful
Any date stamped on a document that does not meet the above requirements is not a qualified electronic time stamp, it is considered a mere time stamp.
Time stamps have little or no legal effect.
Secure source of time
The servers of the Sign to Sign® platform and the employees to provide service to the Time Stamping Units (TSU) of ANF AC, are synchronized with the Laboratory of the Royal Institute and Navy Observatory – San Fernando (Cádiz), “ ROA” (stratum level 1).
Sync protocol
We use Network Time Protocol (NTP). It is the international reference protocol for synchronizing the clocks of computer systems through the routing of packets in networks with variable latency.
Thanks to this configuration, we managed to achieve an accuracy of +/- 100 ms or better with respect to UTC time.
What is the Laboratory of the Royal Institute and Navy Observatory “ROA”?
ROA is a laboratory recognized by the international public body Bureau International des Poids et Mesures (BIPM).
ROA is responsible for the maintenance of the basic Time unit, declared for legal purposes as the National Pattern of said unit, as well as the maintenance and official dissemination of the «Coordinated Universal Time» (UTC(ROA)) scale, considered to all effects as the basis of legal time throughout the national territory (R.D. 23 October 1992, no. 1308/1992)
This laboratory maintains various servers that distribute time through the NTP protocol. This high stability and precision system uses a set of cesium atomic standards, which allow UTC time to be known with a precision greater than a microsecond, and with a stability of 32 s/year.
What is Network Time Protocol (NTP)?
The synchronization process is activated automatically every 5 minutes, in case of detecting a substantial deviation, it performs a technical stop of the time stamping systems to submit them to audit. Audit logs are automatically captured for each synchronization performed with the required time setting.
Our servers use version 4 of the NTP protocol according to the specification of RFC 5905.
Our platform has adequate security measures for downloading documents. Among other security measures we can mention:
• The use of direct links is not possible, it is always required to have an authorized session activated.
• It is not authorized, and mass downloading is not possible, any attempt is classified as an attack.
• From activated sessions, it is not possible to perform indiscriminate downloads, the association of the document with the authorized user is verified.
• All downloads are made using the SSL communications protocol.
• Before downloading, the original integrity of the document is verified.
• Classified documents are downloaded with strong self-extracting encryption.
It is a platform designed and developed by the ANF Certification Authority (ANF AC). This platform is designed to answer queries about the validity of certificates and qualified seals issued by any PCSC in the European Union. Determines validity status and validity of the certificate in real time.
ANF AC intervenes as Qualified Validation Authority, signing the OCSP responses.
Platform designed and developed in accordance with the standards:
• RFC 6960 – Online Certificate Status Protocol – OCSP
• ETSI TS 119 612 – Trusted Lists
The Validation Authority is the component that provides information on the validity of the qualified certificates that have been issued by a PCSC in the EU.
The ANF AC multivalidation platform keeps the Trusted Lists (TSL) published by each of the EU member countries permanently updated, and has an online connection with each of the OCSP responders of all accredited PCSCs in the EU.
Processing speed
We have a multidisciplinary team. We use the most appropriate technology for each treatment, and we implement it in the most efficient way possible within the limits of technical security and regulatory compliance.
In programming languages, OS, BBDD, etc., we only use versions classified in exploitation, never versions in the test phase.
Our quality control department tests each process, timing and comparing the result obtained with the state of the art in the general market.
Today we can guarantee that Sign to Sing ® is the platform that offers the best times on the market. Compare it yourself, the difference is substantial.
Minimization of data collection.
Our premise in the design of the applications is not to request data that we already have, or that we can automatically capture by OCR (optical character recognition) systems.
User experience
Although logically we have a design and layout department, we try to ensure that creativity is dosed in its proper measure. Respecting the experience that the user has been able to acquire is another of our priorities.
Docker technology automates the deployment of applications within software containers, providing an additional layer of application virtualization abstraction and automation. It includes a load balancer that guarantees the required level of quality.
What is an SSL communications protocol based on qualified certificates?
SSL communications guarantee:
TLS communications use the same certificates, but the communications are configured to ensure:
ANF AC TSA, dispone de la capacidad técnica y de la acreditación requerida por el Reglamento (UE) 910/2014 (eIDAS) para la estampación de sellos cualificados de tiempo electrónico.
Para prestar este servicio, ANF AC TSA dispone de diversas Unidades de Sellado de Tiempo (TSU). Los TSU son servidores en alta disponibilidad que han sido diseñados y desarrollados cumpliendo las normas legales y estándares técnicos en esta materia:
Los TSU de ANF AC siguen los principios de Haber y Stornetta
Básicamente los TSU de ANF AC TSA realizan el siguiente procedimiento:
Diariamente se protocoliza el resumen de encadenamiento hash del día.
Notario
Dª Ana María Fernández González
Acta de protocolización
Número 175 de fecha 13.11.2015
El artículo 216 del Reglamento Notarial permite que los notarios reciban en depósito documentos que estén extendidos en soporte informático, haciendo referencia a las características del documento electrónico y de su soporte.
Exactitud de tiempo del timestamping
Los TSUs verifican el offset entre la hora del servidor utilizado para prestar servicio TSU, y la hora del servidor NTP (hora.roa.es). La diferencia de tiempo que hay respecto al servidor NTP se calcula utilizando un cliente NTP (ntpdate) con llamada estándar.
La respuesta del timesatmping incluye el campo accuracy (precisión), donde indicamos qué diferencia hay entre la hora del servidor y la hora del servidor NTP, que normalmente suele de ser de varios milisegundos. Siempre que sea inferior a un segundo se considera que es un valor normal.
Sincronización TSUs con fuente segura de tiempo
El prestador cualificado de sellos de tiempo electrónico, asume la responsabilidad legal de mantener los relojes de sus TSU, sincronizados con una fuente segura de tiempo.
Los servidores de la plataforma Sign to Sign ® y las Unidades de Sellado de Tiempo (TSU) de ANF AC, se sincronizan con el Laboratorio del Real Instituto y Observatorio de la Armada– San Fernando (Cádiz), “ROA” (nivel Stratum 1). Patrón horario oficial en España.
Gracias a esta configuración, logramos alcanzar una precisión de +/- de 100 ms o superior con respecto al UTC.
Para controlar la desviación horaria entre el tiempo transcurrido entre la consulta y la recepción de la respuesta utilizamos Protocolo NTP. El proceso de sincronización se activa automáticamente cada 5 minutos, en caso de detectar un desvío sustancia, paraliza los sistemas de sellado para someterlos a auditoría, de forma automática se capturan pistas de auditaría cada sincronización realizada con el ajuste de tiempo requerido.
Más información en el apartado Sincronización Horaria.
Ten cuidado
Toda fecha estampada en un documento que no cumple con los anteriores requerimientos no es un sello cualificado de tiempo electrónico, se considera una mera marca de tiempo.
Las marcas de tiempo tienen nulo o escaso efecto legal.
Sign to Sign dispone de las siguientes opciones de control de acceso,
Si dispones de este tipo de certificado, no precisas realizar instalación de componente accesorio alguno.
Si dispones de este tipo de certificado, no precisas realizar instalación de componente accesorio alguno.
Si no dispones de un certificado electrónico, puedes acceder con tu Identificador y contraseña.
Si has utilizado credencial basada en “identificador y contraseña”, la Politica de Seguridad establecida por el administrador de tu organización, puede requerir seguridad reforzada. En este caso, el sistema genera una clave de un solo uso (OTP) que se comunica según configuración prevista:
En cualquiera de los supuestos, Sign to Sign ® registra:
En cualquier momento podrás comprobar las últimas operaciones realizadas con tu credencial. Y, si eres administrador de tu organización, podrás consultar histórico de operaciones realizadas por cada uno de los usuarios registrados.
Almacenamiento de contraseñas
En Sign to Sign ® no almacenamos contraseñas, utilizamos técnica hash. Por tanto, no es posible la sustracción de claves.
Nuestra plataforma dispone de medidas de seguridad adecuadas para controlar el acceso a la información de base de datos. Entre otras medidas de seguridad es posible citar:
• Protección contra ataques mediante Inyección SQL
• No se realizan consultas directas a base de datos.
• No es posible realizar consultas masivas automatizadas, cualquier intento se clasifica como ataque.
• Se requiere realizar consultas desde sesiones abiertas autorizadas.
• Se dispone de control de acceso jerárquico.
• Toda consulta se realiza empleando protocolo de comunicaciones SSL.
Ese CSV es un código unívoco. El CSV se incluye en el informe de firmas que se genera al firmar un documento. Este código es útil en caso de imprimir el documento firmado, permite identificarlo comparar el documento firmado con el archivo electrónico almacenado en nuestro servidores (solo para documentos públicos en los que sea requerido por el cliente ordenante)
Esta modalidad de código CSV ya es conocido y ampliamente utilizado en el ámbito de la Administración Pública. El artículo 18.1.b de la ley 11/2007 de acceso electrónico de la ciudadanía a los Servicios Públicos se dice que:
“Para la identificación y la autenticación del ejercicio de la competencia en la actuación administrativa automatizada, cada Administración Pública podrá determinar […] b) Código seguro de verificación vinculado a la Administración Pública, órgano o entidad y, en su caso, a la persona firmante del documento, permitiéndose en todo caso la comprobación de la integridad del documento mediante el acceso a la sede electrónica correspondiente.”
Disponemos de un Plan de Contingencias y Recuperación de Desastres que define las acciones a realizar, recursos a utilizar, y personal a emplear en el caso de producirse un acontecimiento intencionado o accidental que inutilice o degrade los recursos y los servicios de certificación de ANF AC, o los servicios prestados por Sign to Sign ®.
La fortaleza de nuestro Plan de Contingencias ha quedado acreditada en el Estado de Alarma por el COVID-19, hemos estado 100 % con el 100 % del personal en modalidad teletrabajo y contando con equipamiento redundante, nuestra actividad no ha sufrido carencia alguna.
Este plan ha sido revisado por auditores eIDAS y auditores acreditados en ISO 27001, habiendo obtenido plena conformidad.
Los principales objetivos son:
• Maximizar la efectividad de las operaciones de recuperación mediante el establecimiento de tres fases:
1. Fase de Notificación/Evaluación/Activación para detectar, evaluar los daños y activar el plan.
2. Fase de Recuperación para restablecer temporal y parcialmente los servicios hasta la recuperación de los daños provocados en el sistema original.
3. Fase de Reconstitución para restaurar el sistema y los procesos a su operativa habitual.
• Identificar las actividades, recursos y procedimientos necesarios para la prestación parcial de los servicios de certificación.
• Asignar responsabilidades al personal designado por el Comité de Seguridad y facilitar una guía para la recuperación de la operativa habitual.
• Asegurar la coordinación de todos los operadores que participen en la estrategia de contingencia planificada.
• Este Plan es revisado con periodicidad anual, y en el transcurso del año se realizan pruebas prácticas de verificación de eficacia
Fuente segura de tiempo
Los servidores de la plataforma Sign to Sign® y los empleados para dar servicio a las Unidades de Sellado de Tiempo (TSU) de ANF AC, se sincronizan con el Laboratorio del Real Instituto y Observatorio de la Armada– San Fernando (Cádiz), “ROA” (nivel Stratum 1).
Protocolo de sincronización
Utilizamos Network Time Protocol (NTP). Es el protocolo de referencia internacional para sincronizar los relojes de los sistemas informáticos a través del enrutamiento de paquetes en redes con latencia variable.
Gracias a esta configuración, logramos alcanzar una precisión de +/- de 100 ms o superior con respecto a la hora UTC.
¿Qué es Laboratorio del Real Instituto y Observatorio de la Armada “ROA”?
ROA, es laboratorio reconocido por el organismo público internacional Bureau International des Poids et Mesures (BIPM).
ROA, es responsable del mantenimiento de la unidad básica de Tiempo, declarado a efectos legales como Patrón Nacional de dicha unidad, así como del mantenimiento y difusión oficial de la escala “Tiempo Universal Coordinado” (UTC(ROA)), considerada a todos los efectos como la base de la hora legal en todo el territorio nacional (R.D. 23 octubre 1992, núm. 1308/1992)
Este laboratorio mantiene en funcionamiento varios servidores que distribuyen el tiempo a través del protocolo NTP. Este sistema, de alta estabilidad y precisión, utiliza un conjunto de patrones atómicos de cesio, que permiten conocer el tiempo UTC con una precisión superior al microsegundo, y con una estabilidad de 32 s/año.
¿Qué es Network Time Protocol (NTP)?
El proceso de sincronización se activa automáticamente cada 5 minutos, en caso de detectar un desvío sustancial, realiza una parada técnica de los sistemas de sellado de tiempo para someterlos a auditoría. De forma automática se capturan registros de auditaría de cada sincronización realizada con el ajuste de tiempo requerido.
Nuestros servidores utilizan la versión 4 del protocolo NTP según especificación de la RFC 5905.
Nuestra plataforma dispone de medidas de seguridad adecuadas para la descarga de documentos. Entre otras medidas de seguridad podemos citar:
• No es posible el uso de enlaces directos, siempre se requiere tener activada una sesión autorizada.
• No está autorizado, y no es posible la descarga masiva, cualquier intento se clasifica como ataque.
• Desde sesiones activadas, no es posible realizar descargas indiscriminadas, se verifica la asociación del documento con el usuario autorizado.
• Toda descarga se realiza empleando protocolo de comunicaciones SSL.
• Previo a la descarga se verifica la integridad original del documento.
• Los documentos clasificados, son descargados con cifrado fuerte autoextraíble.
Es una plataforma diseñada y desarrollada por ANF Autoridad de Certificación (ANF AC). Esta plataforma está diseñada para atender consultas sobre la validez de los certificados y sellos cualificados emitidos por cualquier PCSC de la Unión Europea. Determina estado de vigencia y validez del certificado en tiempo real.
ANF AC interviene en calidad de Autoridad Cualificada de Validación, firmando las respuestas OCSP.
Plataforma diseñada y desarrollada en conformidad con las normas:
• RFC 6960 – Online Certificate Status Protocol – OCSP
• ETSI TS 119 612 – Trusted Lists
La Autoridad de Validación es el componente que suministra información sobre la vigencia de los certificados cualificados que han sido emitidos por un PCSC de la UE.
La plataforma de multivalidación de ANF AC mantiene permanentemente actualizadas las Listas de Confianza (TSL) publicadas por cada uno de los países miembros de la UE, y dispone de conexión en linea con cada uno de los respondedores OCSP de todos PCSC acreditados de la UE.
Velocidad de procesamiento
Disponemos de un equipo multidisciplinar. Utilizamos la tecnología más adecuada para cada tratamiento, y la implantamos de la forma más eficaz posible dentro de los límites de seguridad de técnica y cumplimiento normativo.
En lenguajes de programación, SO, BBDD, etc., solo empleamos versiones clasificadas en explotación, nunca versiones en fase de test.
Nuestro departamento de control de calidad somete test cada proceso, cronometrando y comparando el resultado obtenido con el estado de la técnica en el mercado general.
En la actualidad podemos garantizar que Sign to Sing ® es la plataforma que ofrece mejores tiempos del mercado. Compáralo tú mismo, la diferencia es sustancial.
Minimización en la recogida de datos.
Nuestra premisa en el diseño de las aplicaciones es no solicitar datos que ya poseemos, o que podemos capturar automáticamente por sistemas OCR (reconocimiento óptico de caracteres).
Experiencia de usuario
Aunque logicamente contamos con un departamento de diseño y maquetación, tratamos que la creatividad este dosificada en su justa medida. Respetar la experiencia que el usuario ha podido adquirir, es otra de nuestras prioridades.
La tecnología docker, automatiza el despliegue de aplicaciones dentro de contenedores de software, proporcionando una capa adicional de abstracción y automatización de virtualización de aplicaciones. Incluye un balanceador de carga que garantiza el nivel de calidad requerido.
¿Qué es un protocolo de comunicaciones SSL basado en certificados cualificados?
Las comunicaciones SSL garantizan:
Las comunicaciones TLS utilizan los mismos certificados, pero las comunicaciones están configuradas para garantizar:
eIDAS Regulation European Regulation on electronic identification and trust services
ETSI Standards The highest level of globally recognized European standards. These audits are carried out by auditors officially accredited as a Conformity Assessment Entity.
Law 59/2003 of December 19, electronically signed.
GDPR General Data Protection Regulation of the European Union
LOPDGDD Organic Law 3/2018, of December 5, on the Protection of Personal Data and guarantee of digital rights
ISO 27001 Information security global guarantee level
Reglamento eIDAS
Reglamento Europeo relativo a la identificación electrónica y los servicios de confianza
Estándares ETSI
El más alto nivel de estándares europeos reconocidos globalmente. Estas auditorías son realizadas por auditores oficialmente acreditados como Entidad de Evaluación de Conformidad.
Ley 59/2003
de 19 de diciembre, de firma electrónica.
RGPD
Reglamento General de Protección de Datos de la Unión Europea
LOPDGDD
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales
ISO 27001
Nivel de garantía global de seguridad de la información