Proteger el certiticado digital

[[newtron]]

Yo creo que estamos enredando demasiado con este tema. ¿La cosa no se soluciona firmando un contrato de "envío por terceros" con el cliente y haciendo el envío con el certificado de la empresa proveedora del software?


Saludos.

[raulgov]

Cita:

Empezado por newtron

Yo creo que estamos enredando demasiado con este tema. ¿La cosa no se soluciona firmando un contrato de "envío por terceros" con el cliente y haciendo el envío con el certificado de la empresa proveedora del software?


Saludos.

Está claro que es necesario un contrato con el cliente para que nos autorizase a enviar por terceros, pero además de eso es preciso un Apoderamiento o ser Colaborador social ante la AEAT si se quiere hacer las cosas bien.

En principio no vale con que mi cliente me autoriza y yo firmo con mi certificado digital sus facturas.
Que se haga no quiere decir que esté bien hecho desde el punto de vista normativo. Sobre todo cuando entra en la fórmula el eiDAS dichoso.

Por otro lado está la controversia de que el cliente no quiere que aparezca en sus facturas una empresa de software que sus clientes verán cuando reciban el PDF firmado de la factura y vean quien firma (esto nos puede pasar también con las empresas que ofrecen APIs externas de Verifactu tipo fiskaly). Entonces aquí te obliga a firmar con su certificado digital.

Por otro lado seguimos teniendo el mismo problema de guardar un certificado digital en un servidor remoto, aunque sea el nuestro propio. El tema de la gestión externa de certificados es precisamente para que no puedan robarte el certificado (no sale del hardware HSM por así decirlo y queda una auditoría de uso) porque luego a ver cómo demuestras que no has sido tú el que ha firmado XX cosa.

Hacerlo se puede hacer, eso está claro y de hecho casi todos los SaaS de facturación que hagan FacturaE lo estarán haciendo ahora mismo. Pero la cuestión no es que se pueda, es que sea legal y que cumplas la normativa eiDAS que ha venido (ya hace tiempo) para terminar de rematarnos y tocar las narices.

Estoy pensando en las asesorías que tienen 1000 certificados de sus clientes instalados en 8 ordenadores de la asesoría y que toquetea todo el mundo que pasa por allí.
Que lo hacen, sí, que deban hacerlo sin registro y auditoría, no.

Si no, el día que llamen a tu puerta con una inspección te puedes encontrar un pastel muy gordo sin poder reaccionar, sobre todo cuando no eres una multinacional y que te sancionen signifique el cierre de la empresa.

Este hilo trata de proteger el certificado digital, y ya que debatimos, entiendo que todos queremos protegernos al máximo teniendo en cuenta toda normativa que le afecte y no solo a nivel técnico del proceso de firmar en sí, ya sea en delphi, PHP o lo que sea. Eso cualquiera de los aquí presentes podrá hacerlo fácilmente, pero ¿será legal como lo estamos haciendo?

También se puede hacer y cruzar los dedos .

[dec]

Hola a todos,

Cita:

Empezado por raulgov

[...] También se puede hacer y cruzar los dedos .

Uno diría, que, si existe una forma de hacerlo legalmente, así tiene que ser como debe hacerse, ¿no? Ojo, no sólo porque sea lo legal, sino también lo más conveniente para todos: entiendo que si un certificado se usa maliciosamente, esto puede ser muy gravoso para nuestro cliente y para nosotros mismos.

Entonces, si existe una forma legal, acaso implementando la normativa eiDAS nosotros o mediante un servicio de terceros que la implemente por nosotros, pues eso será lo que hay que hacer: tenga el coste que tenga, que, por supuesto, el cliente tendrá que asumir, proporcionalmente.

Pero el cliente en todo momento estará informado del precio a pagar por todo esto, o sea, el cliente debe comprender que se trata de la forma legal, para que su certificado y/o el nuestro, así como todo el proceso de firma, cumplan con la legalidad. Claro que tendrá un coste, pero, es como cualquier otra cosa, si se piensa: se paga mucho para mantenerse uno en la legalidad.

Así la cosa, y, si lo que digo tiene alguna lógica, tal vez en este hilo debería poder aclararse cuál es la forma legal de hacer lo que se necesita hacer, independientemente de su coste, cuál es la manera de cumplir con la normativa para que tanto el cliente como nosotros estemos cumpliendo con todo lo necesario para llevar a cabo estas tareas tan delicadas.

Lamentablemente, ahí no puedo decir ni mú... vaya que no sé cuál es la forma ni su costo ni nada de nada... (tal vez algo apuntó raulgov arriba)...

P.D. Al cliente siempre se le podrá decir que el coste tiene su razón de ser: que por supuesto puede optar por un software más barato, pero, que se atenga a las posibles consecuencias... que puede tener unas consecuencias mucho más gravosas que lo que se ahorre con el software que no cumple con la legalidad.

[wilecoyote]

Buenas:

He estado leyendo con atención lo que comentáis, y me he planteado una pregunta quizá temeraria: ¿hasta qué punto es necesario cumplir de verdad con la normativa eiDAS? ¿Qué es lo que dice la normativa eiDAS?

Como soy un ignorante en el tema legal, le he subido la orden ministerial del Verifactu a ChatGPT y le he estado preguntando. Si hay errores aquí abajo (que es ChatGPT, después de todo), por favor corregidme.

"eIDAS establece requisitos estrictos de seguridad para el almacenamiento de certificados digitales cualificados, especialmente cuando estos son gestionados por un Prestador Cualificado de Servicios de Confianza (PCSC) (...) Las claves privadas asociadas a certificados cualificados de firma electrónica deben ser generadas y almacenadas en dispositivos seguros, llamados QSCD (Qualified Signature Creation Devices). (llaves USB seguras, tarjetas criptográficas...)


Es decir, tal como lo entiendo yo, si el certificado es cualificado, la clave que lo protege no puede estar guardada por ahí en ningún sitio: tiene que estar en un dispositivo seguro y no salir de ahí.

Ahora bien, el certificado digital que tenemos instalado todos para entrar por ejemplo en la Seguridad Social, ¿es cualificado?

"Por defecto, los certificados FNMT emitidos a través del navegador no incluyen un QSCD, por tanto permiten firma avanzada, pero no cualificada (...) Con él, estás haciendo una firma electrónica avanzada (FEA), no cualificada.
Sigue siendo legal y válida, y muchas administraciones la aceptan (de hecho, la mayoría de los trámites en España se hacen así). Pero no tiene la presunción legal de equivalencia con la firma manuscrita que tiene la firma electrónica cualificada (FEQ).
(...)
Para obtener un certificado cualificado de verdad, Tienes varias opciones: 1) Solicitar el certificado FNMT en tarjeta criptográfica (y usar un lector). La clave privada no es exportable, y el dispositivo está certificado como QSCD.
2) Usar firma en la nube cualificada (firma remota) con prestadores como Camerfirma, Firmaprofesional, etc. La clave se guarda en un HSM certificado, y tú te autenticas cada vez con doble factor (OTP, app, etc.)
"


Lo que me lleva a la pregunta: en el caso de Verifactu, ¿es obligatorio usar un certificado cualificado, o basta con usar uno "avanzado", es decir, en la misma modalidad en la que usamos el certificado en el navegador?

"Artículo 14. Firma electrónica de los registros de facturación y de evento.
En todo caso, la firma electrónica deberá ser generada con una clave privada asociada a un certificado electrónico cualificado de firma electrónica en vigor. "
(...)
Artículo 5. Para remitir los registros de facturación a la sede electrónica de la Agencia Estatal de Administración Tributaria, los sistemas informáticos deberán presentar ante esta la correspondiente identificación electrónica del remitente mediante el uso de los certificados electrónicos válidos en cada momento en la sede electrónica de la Agencia Estatal de Administración Tributaria. Además, dichos certificados electrónicos deberán ajustarse a las condiciones que se establezcan en la normativa vigente en cada momento en relación con los atributos mínimos que deben incluir los certificados electrónicos cualificados y los mecanismos que permiten verificar su vigencia y contenido en el ámbito de las Administraciones Públicas."


Tal como lo entiendo yo, para enviar las facturas a la AEAT, nuestro software no necesita un certificado cualificado (aunque puede usarlo). Sin embargo, para firmar los XML y guardarlos localmente sí es necesario.

Ahora bien: si nuestro SIF funciona solamente en modo Verifactu, no es obligatorio guardar los registros de facturación localmente ni firmarlos ni nada, con lo cual no necesitarías el certificado cualificado.

(Esto explicaría cómo funcionan esas empresas que ofrecen APIs externas para integrar con Verifactu: como dicen ellos mismos en las FAQs de sus webs, presentan las facturas a la AEAT con su certificado de colaborador social, pero luego ellos no las guardan ni las firman...).

Repito que lo de arriba es la interpretación que me ha dado ChatGPT. Agradezco correcciones.

[emailesc]

Nosotros en las pruebas estamos utilizando un certificado de representante de la empresa de la FNMT. Por lo que he estado mirando con ChatGPT es certificado cualificado, y mientras esté en el almacén de certificados de Windows vamos mas o menos bien, al menos para enviar registros propios. La cosa se complica con los certificados de los clientes, ya no solo por el almacenarlos, si no por el obtenerlos: lo de navegar por los proveedores para obtener un sello de empresa, que parece lo más adecuado es una auténtica gincana: identificaciones por videoidentificación que no funciona (Izempe, y pasan de ti cuando les llamas), necesidad de de generar CSR (FNMT, explicáselo a un cliente), páginas en las que cada uno le llama de una manera, cincuenta tipos de certificados (y ahora además lo de cualificados y no cualificados), faltan enlaces, no ponen precios, sin documentación del proceso, y precios que triplican y cuatriplican los de otros y lo que ya es el despiporre, proveedores de certificados digitales que no te permiten identificarte con un certificado de representante, hay que ir a la videoidentificación... Es para nosotros y al final he desistido por ahora del sello... explicárselo a un cliente que no tengo conocimientos de estos temas va a ser complicado. Yo me estoy planteando dos escenarios: lo del colaborador social (lo mas probable), ya que la final respondemos para la parte técnica del envío y en esa tenemos responsabilidad de todas maneras (además podemos pedirles a los cliente que obtengan un sello de empresa para sus firmas, y así valorarán mas el servicio de enviárselo nosotros), o bien instalar un componente en un ordenador del cliente y que desde este consulte con nuestra base de datos y desde allí (su ordenador del cliente) envíe y firme los documentos. Ya usamos algo parecido para otras cosas y funciona bien. Y si los precios de los Prestadores Cualificados de Servicios de Confianza con custodia de clave fuese barato pues también sería una opción.