Aquí os dejamos una colección de historias de fracasos de start-ups. Hay de todo: buenos deseos pisoteados, lecciones aprendidas y grandes sueños que nunca serán:

• 2008.07.19 - Monitor110: Monitor110: A Post mortem - R. Ehrenberg.
• 2007.07.30 - Amp’d Mobile: Burning through 400 million $ in cash (2) - R. Ali & E. Sim.
• 2007.01.21 - Chandler: The Big Picture - J. Spolsky.
• 2006.10.15 - Friendster: Wallflower at the Web Party - G. Rivlin.
• 2006.09.14 - Odeo: Evan Williams: How Odeo Screwed Up (2)- L. Gannes.
• 2006.08.18 - Kiko: Actual lessons from Kiko - R. White.
• 2006.04.04 - Flickr?: Why Flickr and not Fotolog? - G. Smith.
• 2006.01.24 - Bayosphere: From Dan: A Letter to the Bayosphere Community - D. Gillmor.
• 2005.11.10 - Blink: Getting it Right - A. Paparo.
• 2001 - GovWorks: StartUp.com (película) - C. Hegedus & J. Noujaim
• 2001 - Ars Digita: Ars Digita: From Start-up to Bust-up - P. Greenspun.
• 1995.06 - Xanadu: The curse of Xanadu - G. Wolf.

De regalo:

• 2006.10.18 -The 18 Mistakes That Kill Startups - P. Graham.
• 2006.08.17 - The top five mistakes entrepreneurs make when they market - S. Godin.

Algunos errores se repiten una y otra vez, hay una clara desviación hacia proyectos web, es mucho material, está todo en inglés, aún conociendo el pasado es difícil no repetirlo… Sí, todo eso es cierto, pero no es excusa para no estudiar la historia y, si es posible, escarmentar en cabeza ajena.

Si estás emprendiendo un proyecto, no te pierdas estos enlaces. Cada uno contiene auténticas joyas.

En Tractis todo el proceso de negociación y firma se realiza sobre contratos escritos en XHTML 1.0, un formato ideal para la manipulación y edición de documentos en entornos web. Sin embargo, mucha gente necesita disponer de sus contratos en una variedad de formatos (pdf, word, texto plano…) para impresión, distribución, back-up, generación de informes o, simplemente, porque prefieren editarlos en entornos offline. Tractis incorpora una funcionalidad de importación y exportación de documentos que permite convertir documentos desde una variedad de formatos a XHTML y viceversa, de XHTML a Word, OpenOffice, texto plano, pdf y html, entre otros.

Desde el lanzamiento de la importación y exportación de plantillas y contratos en Octubre 2007, hemos venido sufriendo problemas en la prestación de esta funcionalidad, desde exportaciones a pdf, word,… extremadamente lentas a caídas del servicio. Esta semana hemos añadido varias mejoras, tanto en software como en infraestructura, que confíamos mejorarán sensiblemente la calidez, rapidez y estabilidad de importaciones y exportaciones.

Este post explica el “Antes” y el “Ahora” de la importación y exportación de contratos en Tractis; todo ello aderezado con consejos, pistas y enlaces interesantes para aquellos que necesiten montar una funcionalidad similar.

Antes

La funcionalidad de importación y exportación no es algo sencillo de implementar ya que hay que lidiar con las particularidades de los distintos formatos y las transformaciones implicadas en estas conversiones no son algo a tomar a broma. Como se trataba de un proceso complejo optamos por examinar las herramientas disponibles en el mercado, tanto open source como de pago, y llegamos a la conclusión de que la herramienta que mejor se adaptaba a nuestras necesidades era OpenOffice.

Optamos por emplear OpenOffice 2.2 (que permite su uso en modo server para conversión sin usar su IGU) como servicio core de conversión y jod-converter como libreria de acceso al servicio para poder dar el servicio de conversión como un servicio web creando un nuevo componente dentro de nuestra arquitectura SOA.

El problema era que OpenOffice 2.2 en modo server es terriblemente inestable y presentaba una colección de bugs enormes en la conversión de documentos que hacian muy incomodo su uso. Todo ello nos obligó utilizar trucos poco elegantes pero necesarios para poder prestar el servicio.

Para evitar las caidas disponiamos de un complejo sistema de watchdogs que cada vez que la instancia de OpenOffice moría las resucitaba … pero eso no es vida . Y como la suerte del open source es que, si algo no te gusta lo puedes cambiar, optamos por liarnos la manta a la cabeza y tirar por el camino salvaje.

Ahora

La gente de OpenOffice ha liberado recientemente la versión 2.3, mucho más estable que la 2.2 en modo server pero no lo bastante como para dar un servicio en un entorno de producción con garantias suficientes. Así que aplicamos un axioma de mi cosecha: “si tus trabajadores se mueren con frecuencia… ponlos en cluster” ;).

A partir de esta simple premisa desarrollamos una ampliación de JodConverter. Esta ampliación permite tener un conjunto de n trabajadores y un algoritmo de asignación de trabajo mediante un algoritmo de round robin que permite que si un trabajador cae otro ocupe su lugar inmediatamente, sin que se pierda ninguna transacción. Además el propio JodConverter gestiona el ciclo de vida de los trabajadores reiniciándolos si no responden o arrancándolos si su proceso muere. Esto evita la necesidad de disponer de un watchdog externo para garantizar la disponibilidad de trabajadores.

Disponer de herramientas como OpenOffice o JodConverter es un regalo y es justo contribuir nuestra ampliación sobre JodConverter con sus creadores por si les interesa usarla… a repartir buen karma .

Resumiendo, a todos los que hayáis padecido el problema de tener que implementar un sistema de conversión de documentos, espero que este post y el código compartido os sirva de ayuda. A nuestros clientes, esto es un pasito más para mejorar la calidad de Tractis. Ahora exportamos mejor, más rápido y con un servicio mucho más estable (congrats al creador del feed).

Y sin más demora, aquí os dejamos unos links de regalo: JodConverter como servicio web, Open Office como servidor y como instalar OpenOffice 2.3 en Ubuntu Feisty.

El pasado Viernes 4 por la noche desplegamos una nueva versión de Tractis cargada de nuevas funcionalidades. La principal novedad es la incorporación de la autenticación con certificados electrónicos y su integración total y completa en distintos aspectos del servicio.

1. Creación de cuentas: Ya no hace falta usuario y contraseña

Ya puedes crear una cuenta en Tractis utilizando solamente tu certificado electrónico. Ya no tendrás que recordar otro usuario y contraseña (no se requiere tener un Tractis ID), solo tener tu certificado a mano y teclear tu PIN.

2. Inicio de sesión: Múltiples maneras para entrar en Tractis

A partir de ahora, para iniciar sesión, serás redirigido a la nueva pasarela de autenticación de Tractis. Como verás en la imagen siguiente puedes continuar iniciando sesión con tu Tractis ID (email & contraseña) y, ahora, además, si deseas mayor seguridad, puedes utilizar certificados electrónicos.

Muchas entidades financieras españolas están incorporando la autenticación con certificado electrónico en sus portales y recibiendo críticas de los usuarios por permitir el acceso solo con un sistema operativo (Windows) y un solo navegador (Internet Explorer). En Tractis el inicio de sesión con certificado electrónico funciona para todos: todos los sistemas operativos (Windows, Linux/Unix y Mac) y todos los navegadores (Internet Explorer, Firefox y Safari).

3. Re-inicio de sesión: Mismo nivel de seguridad

Si pierdes tu sesión mientras estás trabajando en un documento, Tractis te permite reiniciar sesión al momento, sin que pierdas ningún cambio. Ahora, además, Tractis recordará el método de autenticación concreto que utilizaste para iniciar sesión y te ofrecerá el mismo método para reiniciar sesión, manteniendo así el mismo nivel de seguridad que habías elegido al entrar en Tractis.

4. Gestión de métodos de autenticación en cuentas Business

Si eres Administrador de una cuenta “Tractis Business“, con múltiples usuarios, puedes decidir qué métodos de autenticación permites a tus usuarios para acceder a la cuenta y cuales no. Por ejemplo, puede que solo quieras que inicien sesión con certificado electrónico, solo con Tractis ID o permitir ambos.

Para configurar los métodos de autenticación permitidos, el Administrador solo tiene que iniciar sesión y…:

1. Pinchar en el “Nombre de la empresa”
2. Pinchar en “Preferencias”.
3. Configurar los métodos de autenticación permitidos.

Por su parte, los usuarios de esa cuenta Business pueden configurar, entre los métodos permitidos por el Administrador, cuales asocian a su cuenta. Por ejemplo, si tu administrador permite tanto Tractis ID como certificados electrónicos, tú puedes decidir asociar solo certificados electrónicos, haciendo imposible entrar en tu cuenta con Tractis ID. Eso sí, si el Administrador prohíbe “certificados electrónicos” como método de autenticación, tú no podrás asociarlos a tu cuenta.

Para configurar los métodos de autenticación asociados, el Usuario solo tiene que iniciar sesión y…:

1. Pinchar en el “Nombre de usuario”.
2. Pinchar en “Preferencias”.
3. Configurar los métodos de autenticación asociados.

5. Gestión de métodos de autenticación para usuarios avanzados

Las cuentas en Tractis solo pueden tener un “Tractis ID” por cuenta. No obstante, permiten asociar tantos certificados por cuenta como desees. Es decir, puedes utilizar distintos certificados para entrar en la misma cuenta.

También puedes asociar el mismo certificado a distintas cuentas. De esta forma, solo manejarás un certificado para acceder a todas tus cuentas en Tractis (personal, trabajo, etc.). En este caso, tras iniciar sesión, Tractis te preguntará a cual de todas las cuentas quieres acceder.

Conclusión y próximos pasos

La autenticación con certificados electrónicos marca un hito en Tractis por varias razones. Por un lado, cumple los requerimientos de las empresas más exigentes ya que supone incorporar el nivel de seguridad máximo disponible hoy en día y ofrece gran flexibilidad en la gestión de métodos, tanto a nivel de empresa como de usuario. Por otro lado, es un componente clave y perfectamente escalable para algunos planes futuros que aún no podemos desvelar y otros que sí:

• Más métodos de autenticación: IDs de terceros (Open ID, Google ID, Windows Live ID, etc.), Tarjetas de claves, Biometría, etc.
• Más certificados: Actualmente solo soportamos el DNI electrónico español pero iremos incorporando el resto de certificados paulatinamente.
• Más atributos: Podrás utilizar Tractis no solo para validar o certificar tu nombre o Número ID sino también otros atributos que estén presentes en el certificado (edad, nacionalidad, sexo, profesión, poderes, etc).
• Más difusión: Los Administradores de cuentas Business podreis incorporar la pasarela de autenticación de Tractis a vuestros propios sitios web. En otras palabras, si, por la operativa de tu negocio, necesitas validar cualquier aspecto de la identidad de tus usuarios o clientes y estos te dan su consentimiento, ahora podrás hacerlo. De forma totalmente personalizada (con tu logo, colores e imagen corporativa) y gratuíta.

El comercio electrónico seguro está un pasito más cerca.

Dos caminos se bifurcaban en un bosque amarillo,
Y apenado por no poder tomar los dos
Siendo un viajero solo, largo tiempo estuve de pie
Mirando uno de ellos tan lejos como pude,
Hasta donde se perdía en la espesura;

Entonces tomé el otro, imparcialmente,
Y habiendo tenido quizás la elección acertada,
Pues era tupido y requería uso;
Aunque en cuanto a lo que vi allí
Hubiera elegido cualquiera de los dos.

Y ambos esa mañana yacían igualmente,
¡Oh, había guardado aquel primero para otro día!
Aun sabiendo el modo en que las cosas siguen adelante,
Dudé si debía haber regresado sobre mis pasos.

Debo estar diciendo esto con un suspiro
De aquí a la eternidad:
Dos caminos se bifurcaban en un bosque y yo,
Yo tomé el menos transitado,
Y eso hizo toda la diferencia.

“El camino no elegido“ de Robert Frost.

…o como firmar en Tractis con tu tarjeta de crédito

Ya puedes firmar en Tractis con cualquier tarjeta bancaria Advantis Crypto que incluya uno de los certificados electrónicos admitidos en Tractis.

¿Qué es Advantis Crypto?

“Advantis Crypto” es un sistema operativo de tarjetas inteligentes multiprocesador desarrollado por Sermepa y que cada vez está y estará más y más presente en bancos e instituciones.

Como recordareis de un post anterior, la SEPA obliga a los bancos y cajas a migrar todo su parque de tarjetas bancarias de banda magnética a tarjetas inteligentes EMV con chip antes de 2010. La SEPA tiene enormes repercusiones tecnológicas para los bancos, que necesitan tarjetas inteligentes con sistemas operativos capaces de ejecutar múltiples aplicaciones. Las tarjetas Advantis Crypto permiten precisamente esto: ser usadas como tarjeta EMV o como un Dispositivo Seguro de Creación de Firma (DSCF) donde los bancos pueden incluir sus propios certificados, entre otras aplicaciones.

¿Quién es Sermepa?

A aquellos que viven en España puede que Sermepa no les suene mucho pero seguro que conocen ServiRed, el principal sistemas medios de pago español con 40 millones de tarjetas y más de 30.000 cajeros. Pues bien, Sermepa es el brazo tecnológico de ServiRed y ofrece sus servicios (soluciones tecnológicas, comunicaciones e I+D) a las cien entidades financieras que forman parte de ServiRed.

¿Por qué debería importarme?

Muchos bancos están aprovechando la migración de la SEPA para incluir certificados electrónicos en sus tarjetas con chip y, como anunciaba Julián Inza hace algún tiempo, dar así a sus clientes la posibilidad de firmar electrónicamente con sus tarjetas de crédito y débito. En Tractis hemos querido prepararnos desde el principio para este nuevo “ecosistema”. Durante las últimas semanas hemos trabajado hombro con hombro con Sermepa para asegurar que, desde hoy, puedas utilizar tu tarjeta Advantis Crypto para firmar en Tractis.

Para terminar, me gustaría apuntar que este movimiento se encuadra dentro de la estrategia de Tractis de convertirse en una plataforma abierta, neutral y universal. Un lugar donde puedas utilizar para firmar electrónicamente todos los sistemas operativos, todos los navegadores, todos los certificados electrónicos cualificados y todos los Dispositivos Seguros de Creación de Firma (tarjetas, USBs, etc) existentes. En definitiva, un lugar donde no tengas que preocuparte si tú, o la otra parte, vais a tener problemas para firmar.

Hoy hemos incorporado a Tractis los certificados electrónicos del Banco de España (PKIBDE). Si dispones de uno de estos certificados, ya puedes utilizarlo para firmar electrónicamente en Tractis con la misma eficacia que la firma manuscrita.

Con esta incorporación, ya son 10 las Autoridades de Certificación españolas aceptadas en Tractis:

1. Agència Catalana de Certificació: Autoridad de Certificación de Cataluña.
2. ACA: Autoridad de Certificación de la Abogacía.
3. ACCV: Autoridad de Certificación de la Generalitat Valenciana.
4. Ancert: Autoridad de Certificación de los notarios.
5. Camerfirma: Autoridad de Certificación de las Cámaras de Comercio.
6. Dirección General de la Policía (Ministerio del Interior): Nuevo DNI electrónico. Aquí puedes consultar donde conseguir tu DNIe.
7. Firmaprofesional: Autoridad de Certificación enfocada a los colegios profesionales.
8. IZENPE: Autoridad de Certificación del País Vasco.
9. PKIBDE: Autoridad de Certificación del Banco de España.
10. SCR: Servicio de Certificación de los Registradores de la Propiedad.

Tan importante es la seguridad en los procesos como la seguridad de los sistemas sobre los que dichos procesos corren. Tractis dispone de una infraestructura con las mejores medidas de seguridad física y lógica disponibles en el mercado actualmente.

Seguridad física

Disponemos de un cluster de servidores redundante alojado por Acens en su datacenter de Barcelona (España). Acens es uno de los proveedores españoles líderes en housing y nos proporciona una infraestructura con los máximos niveles de disponibilidad y seguridad, así como acceso a una red troncal propia, multioperador y con presencia en los puntos de acceso neutro (NAP) de Espanix y Catnix.

Las medidas de seguridad y control de acceso físico incluyen detectores de presencia, proximidad y circuito cerrado de televisión. Los medios físicos de seguridad incluyen sistemas tele-gestionados de protección contra incendios, detección de fugas de agua y combustible.

Gracias a que el servicio corre en nuestros servidores, tenemos control total sobre el código que se ejecuta en la solución final.

Seguridad de infraestructuras

Nuestras máquinas esta conectadas entre sí mediante una red privada de alta velocidad administrada únicamente por personal de Tractis y aislada de forma física, no solo del exterior, sino del resto de sistemas del datacenter.

La conexión desde exterior para la provisión de servicio se realiza a través de sistemas de firewall a nivel de red. Además, cada nodo front-end dispone de firewall lógico corriendo dentro del sistema operativo.

Seguridad en la administración

El acceso a nuestros sistema con propósito de administración se realiza mediante comunicaciones seguras basadas en SSH sobre TLS. Para ello nuestros administradores disponen de tokens de autenticación basados en certificados X509 protegidos a su vez por contraseña. Las ventajas de este sistema de acceso son:

1. Acceso mucho mas seguro que la autenticación basada en usuario y contraseña.
2. Acceso que permite la distinción y vinculación de los individuos y sus actividades en el sistema.

Seguridad de datos

Los sistemas de Tractis estan organizados mediante jerarquías donde los sistemas de proceso de transacciones forman clusters separados de los sistemas encargados de la gestión de nuestras bases de datos.

La comunicación entre las máquinas que sirven contenidos y estos sistemas de gestión de datos se realiza en un entorno seguro donde el canal se asegura mediante el uso de una red privada a nivel físico y encriptación de los canales de comunicación y autenticación de servidores mediante SSL/TLS .

Nuestras bases de datos corren sobre sistemas replicados y cada uno de ellos dispone de raids de discos , ofreciendo así mayor capacidad de servicio y mayor robustez en el manejo de datos ante posibles desastres físicos o lógicos.

Para garantizar la recuperación frente a desastres hacemos back-up de los datos cada noche y mantenemos copias encriptadas de estos back-up en distintas máquinas.

Seguridad de la Autoridad de Sello de Tiempo (TSA)

Tractis requiere aplicar “sellos de tiempo” en una variedad de situaciones (p.ej: en el instante de validación de la firma de un contrato con el fin de establecer una cota superior del instante de creación de la firma) y para ello dispone de su propia “Autoridad de Sellado de Tiempo” (”Time Stamping Authority” o “TSA”). Para la provisión segura y a prueba de fallos de dicho servicio, Tractis dispone de:

1. Hardware Security Modules: Tractis utiliza dispositivos HSM (o “Hardware Security Module“) con un doble fin, tanto como dispositivos de firma segura como con fines de aceleración criptográfica en la generación de firmas electrónicas. En concreto utilizamos Luna SA de Safenet que cumplen EAL 4 + CWA 14169 y que por tanto ofrecen las máximas garantías en la generación de sellos de tiempo:
   • Para la administración de estos dispositivos HSM requerimos autenticación de doble factor (token + pin code) y, por tanto, presencia física en el datacenter.
   • Aún contando con presencia física es imposible extraer la clave con la que realizamos la firma dado que se encuentra almacenada en la memoria interna “tamper proof” del propio dispositivo. En otras palabras, la clave no puede ser exportada para su uso fraudulento en otros sistemas.
   • Finalmente, para poder controlar el acceso al HSM empleamos el concepto “trusted path“, con lo que sólo las máquinas que han sido dadas de alta mediante procesos de administración presenciales pueden hacer uso del dispositivo.
2. Fuente segura de tiempo: Para la obtención del tiempo utilizado en la confección de los sellos de tiempo empleamos fuentes fiables de tiempo. Tractis dispone de un servidor de tiempo NTP (o Network Time Protocol) de primer nivel (o stratum 1) que obtiene su referencia a partir de un receptor GPS (o Global Positioning System). El sistema utiliza un reloj hardware que permite conocer el tiempo UTC (o Coordinated Universal Time) con una precisión dentro del microsegundo. Este reloj se mantiene sincronizado cada segundo con las señales de referencia procedentes de varios satélites de la constelación Navstar, que constituye el alma del sistema GPS, y que son visibles desde la ubicación geográfica del servidor.

Con esto termina la serie de dos posts dedicada a la “Seguridad en Tractis”. Esperamos que esta información haya resuelto muchas dudas. Si nos hemos dejado algo en el tintero o hay algún tema que te interesa pero no hemos tocado, no dudes en dejarnos un comentario o enviarnos un email.

Los procesos de contratación permiten que las partes lleguen a un acuerdo, materializado en el contenido de un contrato y formalizado con la firma del mismo.

Para llevar a cabo estos procesos de contratación ofrecemos un sistema transaccional al que los clientes pueden conectarse mediante su navegador y que les brinda las funcionalidades de creación, negociación y firma de contratos. Los peligros y amenazas sobre dichos procesos son de naturaleza diversa, al igual que las medidas de seguridad utilizadas para contrarrestarlos.

Seguridad en la creación de contratos

Los contratos confeccionados entre las partes deben reflejar los acuerdos a las que éstas llegan de una manera exacta y fidedigna. Sin embargo, en los documentos digitales es relativamente fácil aplicar transformaciones sobre el contenido que hagan que ciertos datos no sean visibles al firmante. Por poner un ejemplo, podrían añadirse transformaciones que hicieran que ciertas cláusulas de un contrato no fuesen mostradas cuando se leyera pero que si estuvieran presentes dentro del contenido para el que se solicita la firma.

Tractis trabaja con XHTML y utiliza un editor de contratos especialmente diseñado para evitar el peligro arriba mencionado. Todos los textos cortados y pegados en nuestro editor así como las importaciones de documentos (desde Word, OpenOffice, etc.) son sometidos a un proceso de “sanitización” previo al guardado de cada versión del contrato. Este sanitizado elimina todos los elementos susceptibles (estilos, fuentes, etc) que puedan afectar a la representación visual del contrato.

Seguridad en las transacciones

Tractis ofrece medidas de seguridad en las transacciones que hacen uso de algoritmos criptográficos que hacen que sea imposible, sin antes romper dichos algoritmos, que terceros maliciosos puedan usurpar la identidad de las partes o interceptar los datos que estas intercambian:

1. Todas las transacciones (no solo el proceso de inicio de sesión sino todas las transacciones) realizadas en Tractis emplean el protocolo HTTPS sobre un canal seguro. De esta forma, los datos intercambiados entre el navegador del cliente no pueden ser interceptadas por terceras partes mediante técnicas de “snifado” de red.
2. Tractis permite diferentes métodos de autenticación. Los usuarios pueden autenticarse mediante el uso del tradicional usuario y contraseña o, en caso requerir un nivel de seguridad mayor, mediante mecanismos mas robustos como autenticación de doble factor con certificados electrónicos almacenados en tarjetas inteligentes (p.ej: DNIe). El administrador de cada cuenta business puede decidir que mecanismos de autenticación están disponibles para los usuarios de su cuenta y cuales no.

Seguridad en la firma de contratos

Firmas en cliente

Todas las firmas generadas en Tractis y basadas en dispositivos de creación de firma segura, se realizan en el cliente. Es decir, la aplicación Java de firma debe de interactuar con la tarjeta del cliente y por lo tanto con sus claves. Como esta tarjeta se trata de un dispositivo de creación seguro de firma las claves nunca salen de la misma y no viajan al servidor con lo cual la aplicación de firma es ejecutada siempre en el sistema del cliente.

Con objeto de garantizar que el componente de firma es íntegro y no ha sido alterado por terceros, se realiza la firma del código de dicho componente. De esta forma, el navegador del cliente, antes de emplear el componente de firma, comprueba que este no ha sido alterado. Para ello verifica que el componente está firmado y que la firma es válida. Esta medida garantiza que el código que corre en el cliente es íntegro y confiable y evita alteraciones que pudieran realizar accesos maliciosos a las claves tales como la realización automatizada firmas fuera del control del usuario.

Firmas electrónicas cualificadas

En Europa, la Directiva 1999/93/CE del Parlamento europeo y del Consejo, de 13 de Diciembre de 1999, establece el marco comunitario para firmas electrónicas. La Directiva define firma electrónica como datos en forma electrónica a los cuales se adjunta o se asocia de forma lógica otros datos electrónicos que pueden ser utilizados para identificar al firmante. La directiva distingue entre dos tipos de firmas:

• Firma electrónica avanzada: aquella que (a) está enlazada de forma única al firmante, (b) es capaz de identificar al firmante, (c) es creada utilizando medios que el firmante puede mantener bajo su control, y (d) está enlazada a los datos de tal forma que cualquier cambio subsiguiente a los datos es detectable.
• Firma electrónica cualificada: aquella “firma electrónica avanzada” que está basada en un certificado cualificado que ha sido creado por un dispositivo-seguro-de-creación-de-firma tal como define la directiva.

Todas las firmas utilizadas en Tractis para la firma de contratos con “Tractis Score 5″ (el nivel de firma más alto que reconocemos) tienen la consideración de firma electrónica cualificadas (o “Reconocidas”) y, por tanto, son equivalentes a firma manuscrita.

Validación de firmas (SVA)

Tractis valida las firmas una vez entran en el sistema y sólo las acepta si éstas son consideradas válidas, tanto por la ley (validez jurídica) como por el cliente (validez semántica). De esta tarea se encarga la “Autoridad de Validación Semántica” (”Semantic Validation Authority” o “SVA”) de Tractis. Este componente garantiza que si el certificado, las claves o la firma generada no son válidas no serán añadidas al contrato. Para ello el sistema valida las firmas teniendo en cuenta los criterios y algoritmos definidos en normativas internacionales al respecto de firmas avanzadas y certificados. En concreto, Tractis realiza todas las comprobaciones detalladas en los procesos de validación de firma descritos en DSS, XMLDSig, XAdES y se adhiere a todos los criterios definidos en los RFCs de Certificate Path Building y Certificate Path Validation, para validación del certificado con el que se realiza la firma.

Con carácter previo a cualquier nueva subida de código al entorno de producción, Tractis realiza baterías de tests para asegurar que cubre la multitud de situaciones descritas y casos particulares que se pueden producir en la validación de certificados. Una de estas baterías, la que la mayoría de los expertos consideran “la batería de tests definitiva en validación de certificados” por su excelente calidad, es la llamada PKITS que pone a disposición pública el NIST. El NIST o “National Institute of Standards and Technology” es la agencia del gobierno estadounidense dedicada a garantizar el cumplimiento de estándares y favorecer la interoperabilidad entre distintos fabricantes. Las pruebas PKITS diseñadas por la “ NIST - Computer Security Division ” y la NSA (Agencia de Seguridad Nacional) son utilizadas por las distintas administraciones del gobierno federal estadounidense como un método fiable para medir la calidad de los distintos despliegues PKI del gobierno. Dentro del PKITS, el caso que nos compete es la parte referente a “Path Validation Testing Program” diseñada para garantizar un cumplimiento exquisito de las especificaciones X.509 y RFC3280. Tractis supera satisfactoriamente el 100% de tests que “PKITS - Path Validation Testing Programs” establece.

Para una explicación en profundidad del proceso de validación de firmas en Tractis, de la conveniencia de validar certificados en el momento de la firma aún cuando la ley no lo exige y de las capacidades de validación semántica de nuestra SVA, recomendamos la lectura de los siguientes posts:

1. Validación de firmas en Tractis (1): Validación de certificados.
2. Validación de firmas en Tractis (2): Validación de firmas.
3. Validación de firams en Tractis (3): Validación a prueba de fallos.

Gestión de evidencias generadas por la validación de firmas

Todo el proceso de validación de firmas descrito en el punto anterior genera una serie de evidencias derivadas de los elementos empleados a la hora de aceptar o no una firma como válida (por ejemplo, certificados o información de revocación -CRL u OCSP-). Dichas evidencias son almacenadas y preservadas en el “Gestor de Evidencias” de Tractis. Este sistema garantiza el almacenamiento y preservación de la integridad en el tiempo de las evidencias generadas, de forma que puedan ser recuperables mediante procesos fuera de línea para su uso en caso de que surjan procesos periciales o disputas.

Seguridad en la preservación de contratos (LTA)

Una vez finalizado el proceso de contratación, Tractis se encarga de conservar los datos críticos generados en la plataforma (contratos, firmas, evidencias) y garantizar su integridad a través del tiempo mediante nuestro “Archivo de Larga Duración” (”Long Term Archive” o “LTA”).

Este sistema de almacenamiento de contenidos se diferencia de otros sistemas de almacenamiento disponibles en varios aspectos. El principal aspecto diferencial es que en un “Archivo de Larga Duración” la integridad de los datos no depende de auditorias que demuestren la imposibilidad de alterar el sistema sino que cada elemento almacenado en el sistema es capaz de demostrar su integridad de manera independiente. Cada uno de los registros del Archivo de Larga Duración se halla protegido mediante una cadena de sellos de tiempo que garantiza que dicho elemento no ha sido alterado desde su introducción en el Archivo.

–

Próximo (y último) post de la serie: Seguridad en Tractis (2): Seguridad en Sistemas

Negocios 100% online. Es posible con tu ayuda.

En 1863, Julio Verne escribió en su novela “París en el Siglo XX”:

“La fototelegrafía permitirá enviar escritos, firmas o ilustraciones y firmar contratos a una distancia de 20.000 kilómetros. Todas las casas estarán conectadas.”

Es una verguenza que sigamos haciendo negocios con papel, bolígrafo y correos en pleno siglo 21.

En Tractis queremos ofrecer una solución que permita firmar contratos 100% online, contratos que luego puedan hacerse cumplir offline. Internacionalmente, con total garantía y a bajo coste. Es una tarea enorme pero merece la pena. De conseguirlo, la humanidad habrá avanzado un pasito más.

Tú puedes ayudarnos a hacer el sueño realidad. Hay varias formas en que puedes colaborar. Una de ellas es investigar el estado de desarrollo de firma electrónica en tu país y compartir con nosotros todo lo que averigues, explicando con sencillez tus impresiones sobre la firma electrónica, si se ha aprobado alguna ley sobre firma electrónica en tu país, si hay autoridades de certificación (gobierno o empresas) entregando certificados a los ciudadanos o tienen planes para ello, cuantos certificados se han emitido, etc.

“Tractis Worldwide eSignatures Status Report”, una wikipedia de firma electrónica

Hasta ahora, hemos estado trabajando un poco en la sombra. Investigando y recopilando información con gente que nos pedía colaborar o que, por su puesto o localización, pensabamos que nos podían ayudar. Sin embargo, ha llegado el momento de hacerlo oficial, público y abierto a todo el mundo. Hemos preparado en Tractis una especie de wikipedia de firma electrónica, la llamamos “Tractis Worldwide eSignatures Status Report“.

Como ves, hemos creado una página para cada país, donde iremos recopilando toda la información que encontremos sobre firma electrónica en ese país. Para hacerte una mejor idea, te recomendamos echarle un ojo a la información y las personas que ya están participando en países como España, Estados Unidos, Australia, Suecia, Uruguay, Holanda, Colombia o México. El esfuerzo ya ha empezado a dar sus frutos. Con toda la información reunida hemos elaborado un resumen de legislación de firma electrónica a nivel mundial y tenemos una idea clara de la situación de e-ID en Europa.

El acceso a toda la información es libre y gratuíto. Sin embargo, para poder editar una página necesitarás tener los permisos adecuados. Si quieres echarnos una mano, envíanos un email a info@tractis.com y te enviaremos una invitación al país que nos digas.

Piensa en ello. Si todos colaboramos, aunque solo sea un poquito, seremos capaces de mapear el mundo entero y tener una idea clara de que tipo de firmas son válidas donde, para que procesos, si tienen respaldo legal o no, etc. Un primer paso, pero indispensable para hacer realidad la visión de Julio Verne.

¿Qué es eso de un “lector de tarjetas inteligentes”?

Como probablemente ya sepas, los certificados electrónicos que puedes utilizar para firmar contratos en Tractis pueden ser de varios tipos:

• Certificado “software”: un archivo que guardas en el disco duro de tu ordenador, o
• Certificado “hardware”: un archivo almacenado en un dispositivo (una tarjeta inteligente o un llavero USB) separado de tu ordenador.

En este último caso, si dispones de un certificado en una tarjeta inteligente (como es el caso del DNIe español, el eID belga o la ID-Card estonia), necesitarás un lector de tarjetas inteligentes.

Consigue el tuyo

Pues bien, en España, poco a poco, comienzan a aparecer cada vez más formas de conseguir un lector fácilmente:

• La Caixa ofrece portátiles con lector DNIe incorporado. Todos los portátiles tienen “precio mínimo garantizado”, pueden financiarse a 3 años con interés 0% y sin comisiones de apertura ni de estudio.
• Banco Herrero regala lectores de DNIe a las primeras 250 personas que contraten un Depósito Combinado.
• El Consejo General de Colegios de Economistas ofrece lectores con una subvención del 60% a todos los profesionales economistas y pymes vinculadas.
• Tractis te regala un lector compatible con todos los certificados que aceptamos (DNIe incluído). Solo tienes que añadir 20 € de crédito a tu cuenta y lo recibirás a los pocos días en la dirección que nos indiques (gastos de envío incluídos). Por supuesto, seguirás teniendo 20€ de crédito en tu cuenta para firmar contratos en Tractis.

¿Conoces más formas de conseguir un lector de tarjetas inteligentes gratis o a precios descontados?. No te cortes y déjanos un comentario. Todos te lo agradeceremos.