La confianza en los sistemas de información se construye de varias formas: por un lado con la regulación de unas medidas mínimas de protección y por otro, con la creación de aplicaciones y procesos de gestión que garanticen los requisitos de seguridad necesarios para poder evidenciar dicha "confianza". En este sentido y afectando a las aplicaciones, el Inteco elaboró en castellano los perfiles de protección para el uso del DNI-e de forma que toda aplicación que vaya a usar este potente mecanismo de identificación y autenticación lo haga con las premisas y garantías necesarias para acreditar un uso correcto y eficiente. Estas acciones se encarcan, auditan y certifican con la norma ISO 15408 conocida vulgarmente como "Criterios Comunes" de los que ya he hablado anteriormente.
Cual es mi sorpresa estos días cuando descargando el cliente del programa PADRE para la Renta 2010 me encuentro en la necesidad de descargar también el cliente @Firma.
Para un "Ingeniero en Informática" en relación a un producto software es muy duro leer cosas como las que aparecen en la dichosa cláusula del cliente @Firma y que por deformación profesional suelo mirar por curiosidad.
No sería la Informática una Ingeniería si todos los desarrollos realizados gozaran de esta impunidad para asumir responsabilidades por las líneas de código creadas. Sin embargo, t
tal como muestra la captura de pantalla que adjunto a modo de evidencia y citando literalmente, se establecen las siguientes premisas en este módulo denominado "cliente @Firma" utilizando para firmar digitalmente:
No sería la Informática una Ingeniería si todos los desarrollos realizados gozaran de esta impunidad para asumir responsabilidades por las líneas de código creadas. Sin embargo, t
tal como muestra la captura de pantalla que adjunto a modo de evidencia y citando literalmente, se establecen las siguientes premisas en este módulo denominado "cliente @Firma" utilizando para firmar digitalmente:
Obviamente esta redacción casi seguro tiene como origen el famoso "Copia y pega" que seguro habrá hecho el Departamento Técnico que desarrolla la aplicación. Digo esto porque cualquier abogado que se precie sabe que esta redacción posiblemente no respete la legislación vigente dado que el Estado no puede proporcionar servicios sin garantía. Además, si tuviera que actuar como perito de parte en un problema con este cliente, como la cláusula también deja bien claro que la propiedad intelectual corresponde al Gobierno de España, no creo que sea dificil también atribuirle la responsabilidad civil subsidiaria que pudiera derivarse de los resultados desastrosos de esa "propiedad intelectual" puesta en ejecución sobre un servidor. Además, como estas dichosas cláusulas no las lee nadie, seguro debieron pensar que algo así pasaría o pasa completamente desapercibido.
- " El cliente @Firma se provee en su estado actual y sin garantías de ningún tipo".
- " El Gobierno de España y su personal no tendrá responsabilidad alguna que surja del uso del cliente @Firma o que se relacione con su uso. Su único derecho o recurso legal ante cualquier problema o disconformidad con el cliente @Firma es dejar de usarlo de inmediato".
Sin embargo, resulta paradógico ver cómo por un lado tratan de hacerse las cosas bien y exigir a las aplicaciones la certificación ISO 15408 para demostrar "confianza" y por otro, para algo ciertamente importante y que supone uno de los procesos telemáticos más utilizados por los ciudadanos, vemos como se desarrollan aplicaciones que lo primero que te dicen es que no se hacen responsables de nada. Además, este módulo se supone que es con el que se garantiza la autoría, lo que lleva a pensar en manos de qué código fuente estamos al realizar una de las actividades más relevantes como es la notificación telemática del impuesto sobre la renta. Otro ejemplo más de la "deuda técnica" con la que seguramente tendremos que enfrentarnos en unos años.
¿Cómo queremos crear "confianza" en la Administración electrónica con estas incoherencias? Es un hilo que dejo abierto a comentarios. Espero que al dar cierta difusión a esa aberración de EULA, al menos se preocupen en modificar el texto y maquillarlo un poquito.
1 comentarios:
Me parece muy atinada tu observación Javier. En cuanto a la confianza quiero hacer la siguiente observación: la confianza que la Administración quiere proporcionar a sus servicios online, no hace sino incrementar los riesgos para los usuarios que operan en su casa, con su ordenador y con sus datos. De poco sirve que el host de la Administración sea muy seguro si el eslabón más débil de la cadena de la seguridad, el usuario, tiene confianza y no tiene protección en su PC. Aquí la confianza opera como una vulnerabilidad porque el usuario creerá que el canal que usa es seguro, como le sucede en la actualidad a los usuarios de la banca online.
Por cierto, Javier, a la responsabilidad de la Administración se le llama responsabilidad patrimonial. Un abrazo.
García Diego. Director de Seguridad Integral de una entidad financiera.
Publicar un comentario