Auditoría

You are currently browsing the archive for the Auditoría category.

El empleo de interfaces que emplean la voz para la interacción con sistemas informáticos es un área de gran interés que está experimentando un gran desarrollo.

En la actualidad se están popularizando aplicaciones en forma de agentes personales que corren sobre dispositivos móviles o altavoces autónomos que son capaces de interactuar con sus usuarios a través de la voz y el procesamiento del lenguaje natural, y también otros usos como los que se usan para contratar a distancia mediante sistemas de identificación biométrica basados en la voz.

La tecnología de identificación del texto hablado se utiliza en los servicios de atención al cliente de diferentes firmas, por ejemplo para recoger lecturas de contadores tomadas por los propios clientes.

En banca, administraciones públicas, servicios de suministro (utilities), operadoras, se emplean sistemas de reconocimiento de voz que interpretan lo dicho por el usuario, para reducir los costes de gestión y reforzar el tratamiento de la privacidad.

Actualmente la tecnología permite que a través del reconocimiento del lenguaje natural -por contraste con las respuestas de sí o no o “marque un número”- una centralita automatizada nos acabe pasando con la persona con quien queremos hablar, que antes de aceptar cualquier llamada habrá leído el motivo de la llamada que da la persona que está al otro lado del hilo telefónico.

Las tecnologías basadas en teclas numéricas irán en retroceso conforme se introducen tecnologías que hacen uso de recursos de Inteligencia Artificial.

Y las tecnologías de reconocimiento del locutor o hablante se pueden combinar con las de reconocimiento de la locución. En banca online es mucho más seguro que el sistema reconozca la voz del cliente que pedir a este que teclee un número de usuario y una contraseña.

Y al revés, la síntesis de voz ha llegado a un estado de madurez que permite entonar las frases de forma que es prácticamente imposible distinguir si es un humano o un sistema informático quien las pronuncia.

Cada vez  más, los proyectos que gestionan el habla son multidisciplinares e involucran muchos especialistas.

Entre otros, los auditores de firma vocal, que ayudan a determinar que los sistemas son apropiados para la contratación a distancia en un marco legislativo cambiante.

Tags: ,

EADTrust es la entidad pionera que ha definido los requisitos para desarrollar la firma electrónica remota mediante la biometría de voz con validez jurídica.

El desarrollo de este tipo de firma electrónica permitirá a los ciudadanos comenzar a usar la firma biométrica vocal en sus trámites con la Administración Pública y con las entidades privadas que la implementen. Todo ello de forma segura, en persona o a distancia, por teléfono, o desde el propio ordenador o smartphone.

Las previsiones apuntan a que cerca del 50% de los trámites se hagan telefónicamente o por Internet.

Con la digitalización de la administración que aplica a las empresas la condición de sujetos obligados, el 100% de las pymes (por sí mismas o gracias a los mecanismos de representación que permiten que las gestiones las realicen sus asesores) y grandes empresas utilizan a día de hoy la firma digital.

Sin embargo, todavía queda un gran porcentaje de ciudadanos que no se relacionan telemáticamente con las administraciones. Se estima que solo un 23% de los ciudadanos hacen uso del DNI electrónico o de otro tipo de certificados.

Gracias a la firma por biometría vocal (y también a la firma electrónica digitalizada) que permitirá dejar constancia de la voluntad de los ciudadanos de que los funcionarios habilitados definidos en la Ley 39/2015 realicen transacciones y trámites administrativos en su interés cabe esperar un crecimiento de trámites que constarán como digitales desde el principio sin requerir el mantenimiento del papel para recoger las constancias  de la prestación del consentimiento de los ciudadanos.

De lo que no cabe duda es de que será el sistema que conlleve mayor facilidad de uso.

Al igual que la firma digitalizada ológrafa, la firma vocal garantiza con técnicas criptográficas que la identidad de la persona que presta el consentimiento está vinculada a un documento electrónico y que este no ha sido modificado posteriormente.

EADTrust es una empresa especializada en el uso de tecnologías criptográficas para lograr la digitalización de procesos de todo tipo y ayuda a diseñar las mejores soluciones para cada caso, tanto el ámbito privado como en el público. También audita soluciones de terceros, como es el caso de los sistemas de firma vocal.

firma-vocal-2017

En la Ley 22/2007, de 11 de julio, sobre comercialización a distancia de servicios financieros destinados a los consumidores se indican varias ideas importantes:

En la comercialización a distancia de los servicios financieros, deberá quedar constancia de las ofertas y la celebración de los contratos en un soporte duradero. Por soporte duradero se entiende todo instrumento que permita al consumidor almacenar la información dirigida personalmente a él, de modo que pueda recuperarla fácilmente durante un período de tiempo adecuado para los fines para los que la información está destinada y que permita la reproducción sin cambios de la información almacenada.

En el caso de comunicación a través de telefonía vocal, se observarán las siguientes normas:

a) al comienzo de toda conversación con el consumidor se indicará claramente la identidad del proveedor y el fin comercial de la llamada iniciada por el proveedor;

b) previa aceptación expresa del consumidor, sólo deberá suministrarse la información siguiente:

  1. la identidad de la persona en contacto con el consumidor y su vínculo con el proveedor;
  2. una descripción de las características principales del servicio financiero;
  3. el precio total que debe pagar el consumidor al proveedor del servicio financiero, incluidos todos los impuestos pagados a través del proveedor o, cuando no se pueda indicar un precio exacto, la base del cálculo que permita al consumidor comprobar el precio;
  4. indicación de que pueden existir otros impuestos o gastos que no se paguen a través del proveedor o que no los facture él mismo;
  5. la existencia o inexistencia de un derecho de desistimiento, de conformidad con el artículo 10 de la Ley 22/2007 y, de existir tal derecho, su duración y las condiciones para ejercerlo, incluida la información relativa al importe que el consumidor pueda tener que abonar con arreglo al artículo 11 de la citada Ley;

c) el proveedor informará al consumidor acerca de la existencia de información adicional disponible previa petición y del tipo de información en cuestión.

El proveedor comunicará al consumidor todas las condiciones contractuales, así como la información contemplada en la Ley, en soporte de papel u otro soporte duradero accesible al consumidor, con suficiente antelación a la posible celebración del contrato a distancia o a la aceptación de una oferta y, en todo caso, antes de que el consumidor asuma las obligaciones mediante cualquier contrato a distancia u oferta.

Corresponderá al proveedor la carga de la prueba del cumplimiento de las obligaciones que le incumban al amparo de la citada Ley, en materia de información al consumidor, así como del consentimiento del consumidor para la celebración del contrato y, cuando proceda, para su ejecución.

Los únicos sistemas que permiten cumplir de forma adecuada la Ley 22/2007 a través de la voz son los que recogen la prestación de consentimiento del consumidor y la incluyen en el mismo soporte duradero que se entrega al cliente, de forma que la prueba del consentimiento no solo la preserva el proveedor, sino que también queda a disposición del consumidor.

Si en el soporte duradero se cumplen también los requisitos del artículo 26 del Reglamento UE 910/2014 que regula la firma electrónica, nos encontramos ante una firma electrónica avanzada.

EAD Trust parte de un elaborado check list de requisitos para auditar soluciones, plataformas e implementaciones de firma electrónica vocal y a las que superan los criterios de auditoría les otorga un sello de calidad.

En 2017, los requisitos básicos se resumen en estos 10 puntos:

  1. Constancia de la prestación del consentimiento del firmante respecto de un documento por su propia voz y vinculación de la evidencia con el documento
  2. Resistencia a simulaciones de voz pregrabadas y sintetizadores de voz por posibles suplantadores.
  3. Simetría probatoria. Disponibilidad del documento para el firmante de forma inmediata y de los medios de prueba a un coste semejante al que tendría en papel la prueba sobre una firma manuscrita.
  4. Soporte duradero. Persistencia del documento para que las partes puedan probar la identidad de los firmantes y el contenido del documento en cualquier momento futuro.
  5. Posibilidad de comprobar la firma vocal y el contenido del documento por el firmante de forma sencilla, con una versión degradada de lo pronunciado por el firmante.
  6. Imposibilidad de extraer la voz grabada en alta calidad por parte de la entidad que aplica la tecnología y de incrustar la firma vocal en otros documentos.
  7. Posibilidad de comparar la voz grabada en alta calidad con otras indubitadas en un contexto forense y de resolución de controversias.
  8. Posibilidad de generar documentos híbridos, en papel y electrónicos.
  9. Disponibilidad de información para los firmantes o sus representantes legales respecto a la forma de aportar la prueba y analizarla en un contexto litigioso.
  10. Protección de la información conforme a la LOPD. Existencia de un procedimiento de detección y notificación a la autoridad de protección de datos de incidentes de seguridad que afecten a datos de carácter personal.

La solución Firvox de Biometric Vox permite la firma electrónica avanzada tal como la define el Reglamento Europeo UE 910/2014 (EIDAS), con la particularidad de incluir en ella la viva voz del firmante captada en el momento en que prestó el consentimiento, y con la posibilidad de aplicar las normas procesales que ya prevén la posibilidad de aportar informes periciales que diriman la controversia si alguna de las partes impugna una firma.

Al quedar la firma electrónica embebida en un documento PDF, el firmante recibe una información contractual tan completa como la que recibiría de firmar de su puño y letra un contrato en soporte papel, por lo que no tendrá ningún sentido en el futuro que las contrataciones telefónicas omitan aspectos tan importantes de la seguridad jurídica.

La solución ha sido la primera evaluada por los especialistas de EADTrust que han otorgado el sello de calidad de firma vocal a la plataforma tecnológica, tras comprobar el cumplimiento por parte de la solución de un larga relación de requisitos de seguridad técnica y jurídica según el modelo de mejores prácticas de contratación presencial y a distancia definido por la entidad para preservar con la mayor calidad probatoria la prestación del consentimiento verbalizada por el firmante.

La novedad ha sido recogida por diferentes medios de comunicación durante octubre de 2016 lo que ha dado lugar a diversos titulares:

 

La entidad Biometric Vox ha recibido la homologación de su sistema FirVox ver. 1.0 en el marco del Esquema de Firma Vocal Avanzada impulsado por European Agency of Digital Trust. El código de homologación es el FV-2016-001

El Sistema auditado es una Plataforma de Servicios de Firma Electrónica Avanzada en la definición del Reglamento Europeo UE 910/2014 (#eIdAS) que prevé el uso de la voz para la gestión de funciones de contratación y firma en diferentes contextos de uso.

Servirá para firmar electrónicamente contratos y otros documentos, de forma presencial y a distancia, captando la firma vocal del cliente y vinculando su consentimientos en documentos electrónicos de modo que en el caso de los contratos, estos tengan el máximo valor legal y cumplan con las mejores prácticas sectoriales.

El Esquema de Firma Vocal Avanzada está documentado mediante el sistema de gestión de evaluación de conformidad de TCAB (Trust Conformity Assessment Body) y la Auditoría la ha llevado a cabo EAD Trust que es una de las entidades homologadas por TCAB para realizar este tipo de auditorías.

En Murcia existe un ecosistema de empresas muy tecnológicas en cuyo contexto nació Biometric Box que ha sido la entidad impulsora de trabajos realizados por investigadores procedentes de la Universidad de Murcia que han desarrollado las tecnologías biométricas mas avanzadas basadas en Redes Neuronales, que son la clave de un sistema de contratación por voz  pionero en el mundo.

El sistema Firvox desarrollado por Biometric Vox da respuesta al reto de permitir que los propios intervinientes que contratan verbalmente reciban sus contratos en formato electrónico con la constancia de su voz prestando el consentimiento  y con el clausulado completo del contrato por escrito.

De esta forma se devuelve el equilibrio al consumidor respecto a la posibilidad de demostrar el contenido de un contrato y de quien lo suscribe, ya que garantiza que la prueba del contrato no esté solo a disposición de la entidad que adopta el sistema de contratación por voz.

El nuevo sistema puede ser disruptivo para el sector de la contratación a distancia a través de “contact centers” porque resuelve todos los requisitos que marca la ley en la actualidad, en particular los relativos a la firma electrónica avanzada en el marco del #eIdAS (Reglamento europeo 910/2014) y además resuelve el mismo tipo de problemas que en soporte papel se resuelven con la firma manuscrita de los contratos.

Tags:

EADTrust (European Agency of Digital Trust) desarrolla el marco formal de auditoría y evaluación de sistemas de firma electrónica avanzada en el contexto regulatorio marcado por el Reglamento Europeo UE 910/2014 (#eIdAS).

Como consecuencia de la toma en consideración de nuevos requisitos a incorporar en la metodología desarrollada, se ha redefinido el decálogo que recoge los principios básicos que deberán cumplir los sistemas evaluados a partir del año 2016.

Entre los aspectos sobre los que se realiza la auditoría, cabe destacar que los sistemas deberán cumplir los siguientes principios:

  1. Constancia de la prestación del consentimiento del firmante respecto de un documento por su propia voz y vinculación de la evidencia con el documento
  2. Resistencia a simulaciones de voz pregrabadas y sintetizadores de voz por posibles suplantadores.
  3. Simetría probatoria. Disponibilidad del documento para el firmante de forma inmediata y de los medios de prueba a un coste semejante al que tendría en papel la prueba sobre una firma manuscrita.
  4. Soporte duradero. Persistencia del documento para que las partes puedan probar la identidad de los firmantes y el contenido del documento en cualquier momento futuro.
  5. Posibilidad de comprobar la firma vocal y el contenido del documento por el firmante de forma sencilla, con una versión degradada de lo pronunciado por el firmante.
  6. Imposibilidad de extraer la voz grabada en alta calidad por parte de la entidad que aplica la tecnología y de incrustar la firma vocal en otros documentos.
  7. Posibilidad de comparar la voz grabada en alta calidad con otras indubitadas en un contexto forense y de resolución de controversias.
  8. Posibilidad de generar documentos híbridos, en papel y electrónicos.
  9. Disponibilidad de información para los firmantes o sus representantes legales respecto a la forma de aportar la prueba y analizarla en un contexto litigioso.
  10. Protección de la información conforme a la LOPD. Existencia de un procedimiento de detección y notificación a la autoridad de protección de datos de incidentes de seguridad que afecten a datos de carácter personal.

Como recordatorio, se indica a continuación el contenido del decálogo en el modelo de auditoría anterior:

  1. Captura de elementos biométricos dinámicos de la firma vocal y asociación criptográfica a un documento electrónico concreto.
  2. Gestión de evidencias electrónicas de la prestación del consentimiento.
  3. Imposibilidad de incrustar la firma vocal en documentos diferentes del que aceptó el usuario.
  4. Integridad demostrable de los documentos y de la información biométrica
  5. Confidencialidad de los datos biométricos y protección de la información conforme a la LOPD
  6. Posibilidad de comprobar la firma por el titular
  7. Simetría probatoria
  8. Soporte duradero
  9. Existencia de procedimiento de gestión de controversias que prevé la actuación de terceros de confianza y peritos informáticos y de otras especialidades
  10. Existencia de un procedimiento de detección y notificación a la autoridad de protección de datos de incidentes de seguridad que afecten a datos de carácter personal.

Los principios recogidos con anterioridad siguen siendo aplicables en el nuevo decálogo, que los refleja de forma diferente.

Además las entidades de auditoría y evaluación de la conformidad han desarrollado un checklist más extenso que recoge de forma detallada los múltiples requerimientos a cumplir.