archivo electrónico de larga duración
TRANSCRIPT
Archivo Electrónico de larga duración
2
Programa
Archivo Electrónico de larga duración
LEGISLACIÓN
3
Legislación
RETOS DE LA LEY 11/2007:
Compatibilidad con formatos ya existentes o futuros: En este caso y principalmente, el soporte
papel.
Interoperabilidad :
• Entre diferentes administraciones participantes en un mismo trámite o procedimiento.
• Con el formato o formatos elegidos por el ciudadano: la ley establece el formato electrónico como
opción, no como sustitución.
Usabilidad y accesibilidadSerá necesario tener en cuenta la facilidad de uso de la plataforma a utilizar, que ha de ser lo más
independiente posible de los conocimientos tecnológicos del ciudadano.
Seguridad:
Validez legal. Soporte de firma electrónica: el documento administrativo electrónico ha de contar
como mínimo con los mismos elementos de inviolabilidad y validez legal que su equivalente en papel.
Ello supone la necesidad de la firma electrónica.
Inviolabilidad. Control de cambios y añadidos. Trazabilidad de los mismos: Es necesario tener
la capacidad de imposibilitar o restringir cambios sobre un documento original.
Distinción entre original y copia: necesaria para poder realizar en todo momento una auditoría
sobre cualquier cambio.
4
Legislación
Ley 11/2007
La Ley de Acceso Electrónico de los Ciudadanos a los Servicios
Públicos (LAECSP), conocida más popularmente como Ley 11/2007,
supone el mayor reto de modernización de la gestión administrativa
pública española de las últimas décadas.
Esta ley declara como un derecho la posibilidad de relación electrónica
con la Administración y, por tanto, establece como obligación de ésta
última la implementación de los instrumentos y sistemas necesarios.
5
Legislación
LEY 11/2007 DE 22 DE JUNIO, DE ACCESO ELECTRÓNICO DE LOS
CIUDADANOS A LOS SERVICIOS PÚBLICOS.
Derechos de los ciudadanos:
“Obtener copias electrónicas, derecho a la custodia electrónica de los
documentos por parte de las administraciones.”
“Garantías de seguridad e interoperabilidad. Sistemas y/o estándares
abiertos.”
“Artículo 31. Archivo electrónico. Conservación de documentos de tal
forma que se garantice la visualización, conservación, integridad,
identificación de usuarios y control de acceso.”
6
Legislación
Para garantizar el cumplimiento establecido en dicha Ley de Impulso dela Sociedad de la Información (LISI) se deberán de incorporarsoluciones que permitan:
- Acceso web mediante dni electrónico y certificados de firma electrónicareconocidos.
- Validación del estado del dni electrónico y de los certificados de firmaelectrónica reconocida.
- Guardar el resultado del estado de validación de los certificados (edni yreconocidos).
- Posibilidad de firma electrónica por parte del usuario y de la empresa (Applet yActive X).
- Garantizar la constancia de la presentación (Time Stamping).
- Almacenamiento de los documentos (Archiving).
- Posibilidad de comprobación en cualquier momento de la validez de lafirma/constancia de la presentación (Firma longeva).
7
Legislación
ESQUEMA NACIONAL DE SEGURIDAD:
La finalidad del Esquema Nacional de Seguridad es la creación de las
condiciones necesarias de confianza en el uso de los medios electrónicos, a
través de medidas para garantizar la seguridad de los sistemas, los datos, las
comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a
las Administraciones públicas, el ejercicio de derechos y el cumplimiento de
deberes a través de estos medios.
8
Legislación
ESQUEMA NACIONAL DE INTEROPERABILIDAD:
La finalidad del Esquema Nacional de Interoperabilidad es la creación de las
condiciones necesarias para garantizar el adecuado nivel de interoperabilidad
técnica, semántica y organizativa de los sistemas y aplicaciones empleados
por las Administraciones públicas, que permita el ejercicio de derechos y el
cumplimiento de deberes a través del acceso electrónico a los servicios
públicos, a la vez que redunda en beneficio de la eficacia y la eficiencia.
9
Legislación
En definitiva supondrá implementar los mecanismos necesarios para que
la iniciación, tramitación y terminación de los procedimientos pueda
realizarse por medios electrónicos, con plena validez y en plenas
condiciones de seguridad jurídica.
Reclamaciones.
Compulsa electrónica.
Solicitud de subvenciones.
Declaración de Impuestos.
Acceso, cancelación, rectificación de datos.
Solicitudes administrativas (permisos, licencias, alta en servicios públicos).
Licitación Electrónica.
10
Legislación
Para cumplir con todo lo anterior, debemos de implementar :
Sistemas de validación de usuarios, que permita la autenticación a nuestros
sistemas corporativos, bien vía usuario y contraseña, bien vía certificado de
firma electrónica reconocido.
Debemos de almacenar el resultado de la validación, sobre todo si es con
certificado. Opcionalmente debemos de contemplar el servicio de
“timestamping” para garantizar, si fuera necesario, la fecha y hora de la
autenticación.
11
Legislación
Las funciones principales se centran en certificados, firma y custodia, sin
embargo, hay que ofrecer otras funcionalidades necesarias en el
proceso de cumplimiento normativo.
Captura Tratamiento Firma y
certificados
Entrega y
custodia
• Movimiento de
ficheros
• Carga de plantillas
con datos
• Transformación a PDF
• Filtro
• Sellado
• Anexar ficheros
• Troceo
• PDF417
•CVE
• Gestión de certificados
X.509
• Firma y validación de
diferentes formatos de
ficheros: (PDF,
XMLs,…) y firma
(XAdES, PKCS#7,
PDF,…)
• Timestamping
• Envío de emails y
localización de
direcciones
• Impresión
• Movimiento a carpetas
de red
• FTP
• …
12
Programa
Archivo Electrónico de larga duración
CUSTODIA ELECTRÓNICA
13
Custodia electrónica
EL CONCEPTO “CERO PAPEL”:
La desmaterialización de procesos no debe basarse simplemente en
pasar a manejar documento digitales Implica algo más que hacer
desaparecer el Papel (Original).
en
ciertos sus
evidencias los
procesos
Las empresas, como parte de las exigencias de su negocio y en
ciertos casos normativas, deben preocuparse de que sus
evidencias en papel no pierdan estas propiedades en los
procesos de digitalización
14
Custodia electrónica
EL CONCEPTO “CERO PAPEL”, Preguntas que toda empresadebería realizarse:
¿Qué medidas está empleando para garantizar la identificación de laspersonas que se mueven en su entorno electrónico?
¿Cómo podría demostrar la integridad de los datos y documentos enun intercambio electrónico?
¿Cómo puede demostrar la confidencialidad de la información y de losdatos intercambiados o conservados en un soporte electrónico?
¿Cree que tiene elementos suficientes para intentar establecer unenlace claro entre un documento electrónico o una acción y unapersona, en un entorno jurídico?
15
Custodia electrónica
Para que el proceso electrónico cumpla su finalidad jurídica y los
objetos (documentos) tengan una fuerza probatoria, debe de cumplir las
siguientes exigencias:
• la inteligibilidad de la prueba
Inteligibilidad
• la integridad del objeto archivado
Integridad
• la identificación del origen del documento (original) archivado (autenticidad e imputabilidad)
Identificación
• la trazabilidad (Histórico) de las diferentes operaciones, garantizando así mismo su integridad y autenticidad
Trazabilidad
16
Custodia electrónica
Normativas y estándares de archivística y documento electrónico
Las soluciones de archivo probatorio, concebidas por razones legales y
reglamentarias, requieren una conformidad con la normativa y una capacidad
de respuesta a las exigencias reglamentarias.
Donde las leyes no cubren los aspectos relativos al almacenamiento de
pruebas electrónicas, las normas juegan un papel importante dado que ellas
representan “el estado del arte” y la aportación de los expertos en la materia.
Normas relacionadas con el archivado electrónico *
MOREQ 2 Model Requirements Specification for the Management of Electronic Records
ISO 14721 Open Archival Information System (OAIS)
ISO/CEI 27001 Information Technology – Security techniques – Information security management
systems – Requirements
ISO/CEI 27002 Information Technology – Security techniques – Information security management
systems – Requirements.
* Esta lista de normas es actual en el momento de publicación de este artículo, aunque algunas normas se
encuentran actualmente en revisión.
17
Custodia electrónica
Ventajas del archivado electrónico:
Una alternativa electrónica a los métodos de archivo clásicos
• Papel
• Microficha o microfilm
Simplicidad• Consulta en online desde un puesto de trabajo
• Herramienta de búsqueda única
Disponibilidad de Disponibilidad de
la información
• Accesibilidad 7días 24 horas
• Concurrencia de acceso
Reducción de Reducción de
costes
• Espacio
• Personal
Reducción
de riesgos
• Perdidas
• Errores de clasificación
• Siniestros
18
Custodia electrónica
objetos digitales de todo tipo
(XML, ficheros, Logs,
bases de datos, ,…)
… todo tipo de objeto que una
empresa quiera conservar y proteger.
documentos informáticos emails y sus adjuntos
objetos multimedia:
foto, audio o vídeo
(SMS,MMS,AVI,MPEG,MPI,…)
documentos ofimáticosdocumentos papel
19
Custodia electrónica
La digitalización
certificada
La certificación de procesos
La caja fuerte electrónica universal
La generación y gestión de evidencias
electrónicas
El voto electrónico por correo
Archivo
electrónico
Intercambios
electrónicos
Base de Confianza Digital
…
Autenticidad e
integridad en origen:
firma electrónica
20
Custodia electrónica
Los componentes para Custodia tienen que permitir:
La captura multi canal de los documentos (papel o cualquier objeto digital).
La indexación manual, semiautomática o automática.
La clasificación y búsqueda multidimensional y multicriterio.
La automatización de procesos (funciones de Workflow).
La conservación según normas (valor de prueba o legal).
21
Programa
Archivo Electrónico de larga duración
TECNOLOGÍA
22
La necesidad de preservar la documentación
Tecnología
Saltando en el tiempo …….
La necesidad de preservar los documentos es tan antigua como la propia
escritura.
– La escritura nace en Mesopotamia hacia el 3200 a.C.
– El soporte utilizado es arcilla cocida.
En la actualidad nos encontramos con:
– Ingentes cantidades de documentación en papel.
– Enormes volúmenes de información “digital”.
23
Los problemas del papel
Tecnología
El problema más grave:
– La preservación en el tiempo.
Y además:
– Ocupa grandes cantidades de
espacio (con sus elevados
costes asociados).
– Hace ardua cualquier búsqueda.
Solucionado parcialmente:
– Mediante la Digitalización de los
archivos.
24
… y los problemas del digital
Tecnología
Aún más complejos.
Problemas hardware:
– El medio de almacenamiento utilizado.
– El lector necesario.
Problemas software:
– El software de creación.
– El sistema Operativo.
25
El archivo ideal
Tecnología
Independiente del soporte.
Accesible.
– Sin encriptación y fácil de visualizar.
Independiente.
– De aplicaciones y S.O.
Público.
– A poder ser un estándar.
Comúnmente aceptado.
26
El formato PDF/A
Tecnología
27
El formato PDF/A
Tecnología
PARA LOS DOCUMENTOS ELECTRÓNICOS:
Formato PDF/A
A de “Archivo”
Estándar ISO 19005‐1: 2005
Document Management ‐Electronic Document file format for long‐term
preservation ‐ Part 1: Use of PDF 1.4 (PDF/A‐1)
Nacido con la finalidad de garantizar la conservación y visualización exacta de
los ficheros digitales
28
El formato PDF/A
Tecnología
Un PDF/A debe:
– Contener todos los elementos necesarios para su visualización fidedigna.
– No debe tener ninguna referencia a contenidos externos.
Pero no puede:
– Incluir audio, video, JavaScript, transparencias…
Aunque SI puede:
– Ser firmado digitalmente y contener formularios.
29
El formato PDF/A
Tecnología
Cumple con todas las características para un formato de archivo ideal:
– Es un estándar ISO.
– Es independiente de software y sistemas operativos.
– Es accesible (¡la encriptación esta prohibida!) y puede ser interpretado po
r cualquier aplicación.
– Hereda la ubicuidad del PDF en cuanto a aceptación.
30
Tres tipos de origen posible
Tecnología
Con origen en ficheros físicos en papel:
– Escaneo -> OCR y conversión a PDF/A -> Validación PDF/A.
Con origen en ficheros digitales “nativos”:
– Impresión/exportación a PDF -> Validación PDF/A.
Con origen en ficheros ya en formato PDF:
– Conversión y validación PDF/A.
Es necesario un proceso de control de calidad, es decir, validación de
formato PDF/A, para garantizar la “legibilidad”, integridad, etc.
31
El PDF/A hoy
Tecnología
Existen 2 versiones de la especificación:
– PDF/A-1a• Permite extraer el texto ordenado.
• Y la reutilización en otros dispositivos: PDA, teléfonos …
• Con lo que permite otros usos como la “lectura”.
– PDF/A-1b• Simple de obtener, pero no tiene garantías del nivel de conformidad A.
32
El PDF/A en un futuro inmediato
Tecnología
Hay una nueva especificación en camino: PDF/A-2:
– Moderniza el estándar.
– Versión de la especificación PDF actualizada.
– Compresión JPEG 2000
– Transparencias.
Que no invalida la especificación actual.
Un PDF/A-1 válido será también un PDF/A-2 válido.
33
Áreas de aplicación
Tecnología
Recepción de correo: Independientemente de cómo sea recibido el correo
en una empresa, ya se trate de correo postal, electrónico o faxes, éste debe
ser correctamente conservado. Para un archivo digital, los documentos en
papel deben ser escaneados y los correos electrónicos, incluidos sus ficheros
adjuntos, deben ser convertidos a un formato adecuado para su
almacenamiento. La utilización del PDF/A facilita y simplifica la creación de
dicho archivo digital.
Diseño Técnico (CAD): Los ficheros de diseño técnico habitualmente
precisan de software especializa- do solo para poder ser visualizados. La
conversión de dichos ficheros a PDF/A posibilita no solo su visualización con
un software estándar sino también garantiza que dichos diseños podrán ser
visualizados e impresos con el paso del tiempo.
34
Áreas de aplicación
Tecnología
Trabajos científicos: Múltiples universidades solicitan en la actualidad que
tanto tesinas como tesis sean enviadas en formato PDF/A si es posible.
Conversión de archivos: Numerosos documentalistas no están conformes
con sus archivos por distintas razones. Además, nuevas disposiciones legales
solicitan nuevos requisitos para el archivado de documentos. Numerosas
empresas han comenzado ya la migración de sus heterogéneos y voluminosos
archivos hacia el PDF/A.
35
Sectores
Tecnología
Bancos y aseguradoras: Tanto las aseguradoras como las entidades de
crédito deben en muchos casos conservar los documentos durante periodos
de cincuenta años o más. El estándar PDF/A ofrece, sin ningún genero de
dudas, numerosas ventajas tanto para el archivado como para la reproducción
o la realización de búsquedas.
Industria: Las ingenierías son otro de los sectores que precisan de un
formato de archivo con las características del PDF/A. Los diseño de puentes,
aviones o máquinas, para solo poner unos pocos ejemplos, deben ser
conservados durante periodos de hasta 99 años. Además, suele ser necesario
mantener diferentes versiones de los mismos.
36
Sectores
Tecnología
Editores: El PDF/X ha sido reconocido en los pasados años como el
estándar para el intercambio de documentos destinados a la impresión
comercial. Un fichero PDF/X puede ser, al mismo tiempo, un PDF/A. Es ésta
una combinación de estándares especialmente ventajosa cuando las
publicaciones deben ser archivadas durante mayores o menores periodos de
tiempo tras su impresión.
Sector Público y Gobierno: La utilización del PDF/A en dichos sectores
está más que recomendada por el cumplimiento normativo. El PDF/A
encuentra un sencillo ámbito de aplicación en aquellas administraciones en las
que los ficheros, digitales o digitalizados, deben ser conservados. Ejemplos
típicos son notificaciones, propuestas, registros, etc...
37
Para la custodia y conservación
Tecnología
El modelo OAIS (Open Archival Information System), un estándar de
ISO (ISO 14721:2003) propone un marco de referencia para la
preservación de colecciones digitales en un sistema abierto y presenta
un nuevo enfoque sobre la función de los metadatos en la
preservación. Distingue cuatro categorías de metadatos: Referencia,
Contexto, Procedencia y Autentificación de la información.
Incorpora además una quinta categoría denominada Representación
de la información, que contiene datos de utilidad para los usuarios
referidos a los programas necesarios para procesar e interpretar de un
modo adecuado el contenido de un objeto digital.
38
Para la firma electrónica
Tecnología
PARA LA FIRMA ELECTRÓNICA: XAdES sigla en inglés de XML Advanced Electronic Signatures (Firma electrónica avanzada XML).
XAdES define seis perfiles (formas) según el nivel de protección ofrecido. Cada perfil incluye y extiende al previo:
XAdES-BES, forma básica que simplemente cumple los requisitos legales de la Directiva para firmaelectrónica avanzada,
XAdES-EPES, forma básica a la que se la ha añadido información sobre la política de firma,
XAdES-T (timestamp), añade un campo de sellado de tiempo para proteger contra el repudio,
XAdES-C (complete), añade referencias a datos de verificación (certificados y listas de revocación) alos documentos firmados para permitir verificación y validación off-line en el futuro (pero no almacenalos datos en sí mismos),
XAdES-X (extended), añade sellos de tiempo a las referencias introducidas por XAdES-C para evitarque pueda verse comprometida en el futuro una cadena de certificados,
XAdES-X-L (extended long-term), añade los propios certificados y listas de revocación a losdocumentos firmados para permitir la verificación en el futuro incluso si las fuentes originales (deconsulta de certificados o de las listas de revocación) no estuvieran ya disponibles,
XAdES-A (archivado), añade la posibilidad de timestamping periódico (por ej. cada año) dedocumentos archivados para prevenir que puedan ser comprometidos debido a la debilidad de lafirma durante un periodo largo de almacenamiento.
39
Para la firma electrónica
Tecnología
Formato CAdES (CMS Advanced Electronic Signatures), según
especificación técnica ETSI TS 101 733, versión 1.6.3 y versión 1.7.4.
El fichero de firma es binario y la firma está en un fichero separado. Se
adopta el tipo Signed Data con los datos incluidos (detached implícito)
para la estructura del documento, especificado en el estándar, que
mantiene el documento original y la firma en un mismo fichero. En el
caso de que, debido al tamaño de los datos a firmar, no resulte
técnicamente posible o aconsejable realizar las firmas con el formato
anteriormente descrito, se generará la estructura de firma detached,
que incluye el hash del documento original en la firma.
40
Para la firma electrónica
Tecnología
Formato PAdES (PDF Advanced Electronic Signatures), según
especificación técnica ETSI TS 102 778-3, versión 1.1.2.
La firma está incluida en el estándar ISO PDF. Sólo se pueden firmar
documentos PDF.
41
Garantías
Tecnología
PARA GARANTIZAR LA FECHA DEL DOCUMENTO:
El sellado de tiempo o timestamping es un mecanismo on-line que
permite demostrar que una serie de datos han existido y no han sido
alterados desde un instante específico en el tiempo. Este protocolo se
describe en el RFC 3161 y está en el registro de estándares de
Internet.
Una autoridad de sellado de tiempo actúa como tercera parte de
confianza testificando la existencia de dichos datos electrónicos en
una fecha y hora concretos.
42
Tecnología
43
Conclusión
Tecnología
Para todo lo que hemos comentado durante la sesión y con objeto de
garantizar no solo la seguridad del documento electrónico, si no el
valor probatorio usando Documentos Electrónicos, tenemos que
implementar herramientas y/o soluciones basadas en estándares de
tecnología:
Para la firma electrónica.
Para los documentos electrónicos.
Para garantizar la fecha del documento.
Para la Custodia y conservación.
44
Más Información
www.edatalia.com
edatalia data solutions, s.l.Tlf : 943 440 710