EADTrust Auditoría de adecuación al Protocolo de Digitalización de documentos de Canarias

Auditoría de adecuación al Protocolo de Digitalización de documentos de Canarias

Publicado el Publicada en Adecuación a la norma, Canarias, Digitalización garantizada

La Orden de 23 de abril de 2013, por la que se aprueba el Protocolo de Digitalización de documentos de la Administración Pública de la Comunidad Autónoma de Canarias establece un procedimiento detallado de Digitalización Garantizada en el marco de la Ley 11/2007 a nivel estatal y del Decreto 19/2011, de 10 de febrero, por el que se regula la utilización de los medios electrónicos en la Administración Pública de la Comunidad Autónoma de Canarias.

European Agency of Digital Trust ofrece servicios de auditoría para certificar las soluciones destinadas a la digitalización de documentos que se vayan a emplear en el marco de esta normativa, en especial las que se deban utilizar en ña Comunidad Autónoma de Canarias.

Puede contactar llamando al 902 365 612 o enviando un correo electrónico a info@eadtrust.eu

EADTrust Digitalización Certificada

Digitalización Garantizada

Publicado el Publicada en Digitalización garantizada, País Vasco
La Digitalización garantizada se define en el Decreto Foral de la Diputación de Guipuzcoa DF 17/2011 de 14 Jun. Gipuzkoa (Modelo Global de Gestión Documental y Expediente Electrónico en el ámbito de la Administración Foral)

Artículo 32 Digitalización garantizada de documentos en papel

    1. Se entiende por digitalización garantizada el proceso de digitalización que cumple los requisitos normativos y técnicos para generar copias electrónicas auténticas con valor de originales a partir de documentos originales en soporte papel.

    2. Las garantías de los documentos electrónicos obtenidos a partir de la digitalización de los documentos originales en soporte papel vendrán dadas:

      1. Por la aplicación de la tecnología necesaria para obtener una imagen legible y una representación fiel del documento original.

      2. Por el establecimiento de los controles de calidad del proceso de digitalización que impiden cualquier manipulación.

      3. Por la incorporación al documento de los metadatos que recogen la traza del proceso de digitalización.

      4. Por la firma mediante sello electrónico de los documentos digitalizados y su hash.

      5. Por el cumplimiento de las condiciones y los requisitos técnicos de escáneres, formato y resolución, y de obtención de imagen fiel e íntegra que se establezcan en la correspondiente norma técnica de interoperabilidad.

Sin embargo, esta definición sigue dejando muchos aspectos indeterminados, que tampoco se concretan en el ENI (Esquema Nacional de Interoperabilidad), ni en la NTI (Normas técnicas de Interoperabilidad).

Para resolverlo, en EADTrust hemos desarrollado unos criterios derivados de la normativa tributaria de digitalización certificada, ajustándolos al ENI y al ENS (Esquema Nacional de Seguridad).

Cuando EADTrust es requerido para auditar un sistema de digitalización para su uso en el sector público, puede certificar como entidad privada el cumplimiento de dichos criterios, que garantizarían al organismo el cumplimiento de los requisitos emanados de la Ley 11/2007 para la digitalización.

Desde el punto de vista de EADTrust, estos son los aspectos que habría que cumplir (redactado en términos de una no existente normativa específica):

  1. Se entiende por digitalización garantizada el proceso tecnológico que permite convertir un documento en soporte papel o en otro soporte no electrónico en uno o varios ficheros electrónicos que contienen la imagen codificada, fiel e íntegra del documento, conforme a alguno de los formatos estándares de uso común, con información relativa al proceso de digitalización indicada en sus metadatos, con un nivel de resolución adecuado al tipo de documento y un mecanismo de preservación de la integridad tal como una firma electrónica o un sello de tiempo aplicado al documento y al sistema de control de la llevanza de la digitalización, haciendo uso de software de digitalización certificado en los términos del apartado 4 de esta sección.

  2. Este proceso tecnológico de digitalización deberá cumplir los siguientes requisitos:

    1. Que el proceso de digitalización sea realizado por un profesional especializado o un funcionario o bien por un tercero prestador de servicios de digitalización garantizada, en nombre y por cuenta del solicitante, utilizando en todos los casos un software de digitalización auditado en los términos del apartado 4 de esta sección.

    2. Que el proceso de digitalización utilizado garantice la obtención de una imagen fiel e íntegra de cada documento digitalizado y que la integridad de esta imagen digital esté garantizada mediante una firma electrónica avanzada realizada con un certificado reconocido, o un sello electrónico cualificado o un sello de tiempo cualificado, activados por el software de digitalización reconocida. El certificado  electrónico utilizado en la firma electrónica o en el sello electrónico debe corresponder a quien realiza la digitalización reconocida, que se compromete a actuar diligentemente en el proceso de digitalización y que deberá disponer de los procedimientos y controles necesarios para garantizar la fidelidad del proceso de digitalización reconocida. Si el sistema añade información de Código Seguro de Verificación para facilitar el cotejo de copias impresas, la inserción de la tal información y de la del entorno en el que puede efectuar el cotejo quedará claramente diferenciada de la imagen digitalizada.

    3. Que el proceso de digitalización reconocida incluya registros de control que dejen constancia del orden y del momento de digitalización de cada documento y de sus datos más relevantes según el tipo de documento, y en todo caso de la persona física, jurídica o entidad sin personalidad jurídica que figure en el documento o en cuyo nombre se realice la digitalización, y del operador que gestionó la digitalización.  El sistema de control garantizará la integridad de los registros y no permitirá su borrado, aunque si permitirá incluir la indicación de errores e incidencias que hagan descartable una determinada digitalización, señalando la causa. Por cada registro se identificará el documento electrónico resultado de la digitalización.

    4. Que quien lleve a cabo la digitalización reconocida conserve los documentos electrónicos y los registros de control del sistema de digitalización, al menos durante 10 años desde el momento de la digitalización, tiempo en el que podrá ser requerida la ratificación de autenticidad de documentos aportados en procedimientos judiciales o de otro tipo . En el caso de las oficinas judiciales la conservación se atendrá a lo prescrito en las normas procesales.

    5. Que  el obligado a la conservación disponga del software de digitalización auditado con las siguientes funcionalidades:

      1. Que incluya un subsistema de auditoría o control de actividades que permita detectar cualquier modificación del sistema de control de la llevanza de la digitalización.

      2. Que permita el acceso inmediato a cualquier dato del sistema de llevanza de la digitalización, así como a los documentos resultado de la digitalización, permitiendo su visualización, facilitando su búsqueda y, cuando se usen sistemas de Código Seguro de Verificación, permita el cotejo “en linea” de documentos.

  3. La digitalización garantizada de documentos en soporte papel se realizará de acuerdo con lo indicado en las Normas Técnicas de Interoperabilidad  en relación con los siguientes aspectos:

    1. Formatos estándares de uso común para la digitalización de documentos en soporte papel y técnica de compresión empleada

    2. Nivel de resolución.

    3. Garantía de imagen fiel e íntegra.

    4. Metadatos mínimos obligatorios y complementarios asociados al proceso de digitalización.

    5. Firma electrónica o sello electrónico

    6. Sistema de control de documentos digitalizados, y aseguramiento de la integridad de tal sistema

    7. Inserción, cuando proceda, de una referencia en el documento digitalizado a una dirección electrónica de comprobación que permita el cotejo con un CSV (Código Seguro de Verificación)

  4. Las entidades desarrolladoras que deseen auditar su software de digitalización garantizada que cumplan los requisitos del apartado 2 de esta sección deberán aportar los siguientes documentos:

    1. Solicitud dirigida al auditor que deberá contener una declaración responsable de cumplimiento de los requisitos exigidos en el modelo aquí descrito de digitalización garantizada.

    2. Documentación que acredite su cumplimiento. En particular, el solicitante deberá aportar, junto con la solicitud, las normas técnicas en las que se base el procedimiento de digitalización garantizada que pretenda auditar, así como los protocolos o normas y procedimientos de seguridad, de control y de explotación referidos a la creación y consulta de la base de datos documental que contenga las imágenes digitalizadas de los documentos originales en papel  y los mecanismos de firma electrónica utilizados.

    3. Plan de calidad que establezca con carácter contractual los requisitos que, según el criterio del desarrollador, deben cumplir las entidades que utilicen el software de digitalización indicando tanto las prácticas que deben adoptar como las que nos están permitidas, para garantizar que la fidelidad de la digitalización.El auditor (EADTrust) emitirá un informe en el que se expresará la opinión acerca del cumplimiento, por parte de la entidad solicitante, de las condiciones establecidas en esta propuesta de regulación, así como en la normativa derivada de la Ley 11/2007, el ENS, el ENI y las NTI,  y en el DF 17/2011 de 14 Jun. Gipuzkoa.

En virtud de este informe, las entidades públicas contarán con la opinión de un experto independiente aplicable al software a que se refiere, y podrán proceder a la digitalización de documentos, y eventualmente, a la homologación de las soluciones que lo exhiban.