Cumplimiento Archives • Veridas

Entrevista: “El cumplimiento para nosotros no se trata solo de cumplir con los requisitos legales; se trata de superarlos para ofrecer garantías a nuestros usuarios y clientes”

Juan Fernando C. Bulgarelli — Wed, 08 May 2024 07:39:23 +0000

Leire Arbona Puértolas, Directora de Legal y Cumplimiento, ha sido galardonada con el prestigioso Women in Biometrics Award de la Security Industry Association (SIA) para 2024. Este premio reconoce las destacadas contribuciones de Leire a la industria de la biometría, donde su trabajo en la fusión de la integridad jurídica con la innovación tecnológica ha establecido nuevos estándares de privacidad y protección de datos.

Leire será galardonada junto a Melissa Conley, de la TSA, Heather Haller, del FBI, y Caitlin Kneapler, del DHS, todas las cuales han mejorado significativamente la seguridad mundial. La ceremonia de entrega de premios tendrá lugar en la cumbre SIA GovSummit, que se celebrará el 21 de mayo en Washington, D.C., un evento que reúne a los mejores profesionales de los sectores público y privado para debatir cuestiones críticas de seguridad.

SIA es la principal asociación comercial de proveedores mundiales de soluciones de seguridad. Con más de 1.400 empresas miembros, SIA desempeña un papel fundamental en la promoción del crecimiento del sector a través de la defensa, el desarrollo de normas abiertas y la organización de conferencias de alto nivel como las exposiciones ISC y la conferencia Securing New Ground.

A continuación, una pequeña entrevista a Leire:

¿Qué le inspiró para seguir una carrera en el ámbito jurídico y de cumplimiento dentro del campo de la tecnología biométrica?

“Me atraía la emoción de entrar en un sector en el que todavía se están configurando las leyes. Quería el reto y la oportunidad de innovar en legislación, especialmente en la mezcla entre tecnología y derecho. En la tecnología biométrica, donde los avances han sido continuos y rápidos en los últimos años, la normativa es fundamental para comprender y adaptar el uso de estas tecnologías. Este campo requiere no sólo conocer los límites, sino definir creativamente el «cómo sí» y el «cómo no»: orientar sobre cómo integrar las tecnologías de forma responsable en nuestras vidas, garantizando al mismo tiempo que el desarrollo tecnológico y la regulación avancen de la mano”.
¿Puede describir el camino recorrido hasta fundar el departamento Legal y de Cumplimiento en Veridas?

“Cuando me uní a Veridas en 2017, ya estaba claro que el cumplimiento legal era una piedra angular para el proyecto. Por ello, uno de los primeros pasos fue establecer un departamento Legal y de Cumplimiento, incluso antes de que se constituyera Veridas oficialmente. Este enfoque fundacional aseguró que todos en la compañía estuvieran, y sigan estando, alineados con la importancia de integrar el cumplimiento, la privacidad y las consideraciones éticas y legales en el desarrollo de las tecnologías biométricas. Este compromiso ha sido crucial para generar confianza y garantizar que nuestros productos respeten siempre las normas más estrictas de privacidad y seguridad”.
¿A qué retos se ha enfrentado en su cargo y cómo los ha superado?

“Uno de los retos principales, y de hecho un desafío para cualquier jurista en este campo, es dominar la tecnología que necesitamos regular. Es esencial traspasar los límites legales tradicionales y comprender a fondo las tecnologías. No se puede regular de manera efectiva lo que no se comprende técnicamente. Por ello mi objetivo ha sido aprender continuamente sobre nuestras tecnologías de la mano de mis compañeros y, con eso, mantener relaciones proactivas con reguladores nacionales e internacionales y adaptar las políticas y la forma de proceder”.
¿Cómo asegura que Veridas cumple con las leyes internacionales sobre protección de datos (GDPR, CCPA…) e inteligencia artificial?

“El cumplimiento para nosotros no es solo cumplir con los requisitos legales; se trata de superarlos para ofrecer las máximas garantías a nuestros usuarios y clientes. Aplicamos medidas rigurosas de protección de datos, apoyamos a nuestros clientes a entender la tecnología y su regulación, y vamos adaptando periódicamente nuestros marcos de cumplimiento a la luz de la nueva legislación. Para ello, la educación y la formación dentro de nuestro equipo también son cruciales”.
Como mujer en el sector tecnológico, ¿cuál ha sido su experiencia en esta industria dominada por los hombres?

“Mi experiencia en este campo ha sido bastante gratificante. Como en todo, la diversidad en el ámbito tecnológico es fundamental para crear soluciones equilibradas e innovadoras. Por ello, me gusta trabajar con mujeres jóvenes en este campo, defender la diversidad y la inclusión, y fomentar el trabajo en equipo. En Veridas me siento afortunada de formar parte de un equipo donde hombres y mujeres siempre me han apoyado. Este sentido de igualdad dentro de nuestra empresa creo que es fundamental para que todos aportemos nuestra mejor versión para contribuir a un objetivo común”.
¿Qué papel cree que desempeñará la tecnología biométrica en el futuro de la verificación de la identidad?

“La tecnología biométrica no solo está transformando la verificación de identidad haciéndola más segura y accesible, sino que también está desempeñando un papel fundamental en mejorar la inclusividad en diversos sectores. Ya hay ejemplos muy claros de esto: la tecnología permite que colectivos que tradicionalmente han podido estar en desventaja a la hora de realizar operaciones sencillas del día a día, como personas mayores o quienes tienen alguna discapacidad, puedan verificar su identidad de forma cómoda y segura. Un buen ejemplo lo encontramos en México, donde los pensionistas ahora pueden confirmar que están vivos, para continuar cobrando su pensión, desde casa usando solo su voz. En España, los residentes de la Residencia San José para personas con discapacidad en Pamplona tienen más autonomía e independencia porque ahora pueden hacer algo tan común como abrir la puerta de su propia habitación porque utilizan reconocimiento facial. Estos ejemplos demuestran que la biometría tiene el potencial de reducir la brecha digital y de discapacidad, y prometen un futuro donde la tecnología empodera a todos sin poner en riesgo su privacidad”.
¿Qué significa para usted y sus objetivos futuros ganar el premio Women in Biometrics?

“Ganar este premio es un honor increíble que valida los esfuerzos en la implementación ética de la tecnología. Refuerza mi compromiso de seguir abogando por soluciones biométricas responsables que respeten la privacidad del usuario y contribuyan positivamente a la sociedad. De cara al futuro, mi objetivo es continuar influyendo en más normas y legislación mundiales en torno a la biometría y la identidad digital, desde nuestro conocimiento y experiencia”.
¿Cómo equilibra la necesidad de innovación con el imperativo de privacidad en el desarrollo de nuevas tecnologías biométricas?

“La innovación y la privacidad no son adversarios; de hecho, cuando se abordan con sensatez, se complementan y potencian mutuamente. En Veridas, estamos firmemente comprometidos con el diseño de soluciones biométricas que integren la privacidad como base, siguiendo los principios de privacidad desde el diseño y por defecto. Este enfoque implica integrar el enfoque de la protección de datos desde la fase inicial de creación del producto y a lo largo de todo su ciclo de vida. Además, consideramos que un profundo conocimiento de la tecnología es fundamental para disipar ideas erróneas y aprovechar al máximo sus ventajas. Como líderes del sector, creemos que tenemos la responsabilidad de desmitificar el funcionamiento de las tecnologías biométricas, garantizando que tanto el público como los reguladores puedan tomar decisiones informadas sobre su uso”.
¿Qué tendencias clave prevé en la normativa sobre tecnología biométrica en los próximos años?

“A medida que las tecnologías biométricas se integren aún más en nuestra vida cotidiana, se espera un cambio significativo hacia regulaciones más completas y centradas en la ética. Estamos yendo más allá de la protección de datos ‘básica’ para abordar el uso responsable de estas tecnologías. El futuro de la regulación biométrica probablemente incluirá una aplicación más estricta de las prácticas éticas, garantizando que las tecnologías sean seguras, privadas, diseñadas de manera inclusiva y respetuosas con el medio ambiente. Este cambio implica adoptar una visión holística de lo que significa utilizar la tecnología de manera ética, considerando los impactos más amplios en la sociedad”.
¿Puede compartir un ejemplo de un proyecto en Veridas que le haya resultado especialmente desafiante o gratificante?

“Uno de los proyectos más gratificantes ha sido el proceso de aprobación del nuevo Reglamento de Inteligencia Artificial (RIA) y ver cómo nuestra propuesta como empresa se alinea con él. Este Reglamento se promulga en un momento crucial en el que tanto desarrolladores como reguladores y ciudadanos contamos ya con un sólido conocimiento de las tecnologías biométricas, lo que nos permite debatir sus riesgos y aplicaciones desde una perspectiva bien informada y ética. El RIA reconoce explícitamente nuestro derecho a utilizar la biometría de manera voluntaria para acreditar nuestra identidad, al mismo tiempo que establece límites claros contra su uso para la vigilancia masiva e indiscriminada. El trabajo en este ámbito ha reflejado nuestro compromiso con las prácticas éticas y continúa posicionando a Veridas a la vanguardia del cumplimiento normativo y la innovación en tecnologías biométricas”.
¿Cómo se fomenta una cultura de cumplimiento y prácticas éticas dentro de Veridas?

“En Veridas, fomentar una cultura de cumplimiento y ética no es una imposición sobrevenida, sino que es parte de nuestra identidad que impregna todos los niveles de la organización, desde el desarrollador más nuevo hasta el CEO. Enfocamos el cumplimiento como un aspecto integral del diseño de nuestros productos y de nuestro modelo de negocio. Vendemos tecnología elaborada desde el más profundo compromiso con el cumplimiento, y eso no es una etiqueta sino un verdadero convencimiento como empresa de que ese debe ser uno de nuestros sellos de identidad. Esto implica adoptar un enfoque proactivo y posibilista, respetando siempre las normas éticas y de cumplimiento aplicables”.
De cara al futuro, ¿cómo piensa influir en el debate general sobre la biometría y la privacidad?

“Tengo la intención de continuar participando activamente en el diálogo que se lleva a cabo en foros internacionales y con organismos reguladores. Considero que compartir las experiencias y desafíos que afrontamos en Veridas es fundamental para contribuir a un debate más informado sobre el futuro de la biometría. Asimismo, quiero continuar colaborando en publicaciones de la industria y en los procesos legislativos de distintos países y regiones, con el objetivo de influir de manera positiva en la percepción y regulación de las tecnologías biométricas a nivel global. Estoy plenamente convencida de que si la tecnología se entiende bien, se regula y se usa mejor. Este es nuestro reto como industria”.
¿Cómo colaboran el RGPD y el RIA para mejorar la privacidad y la protección de la identidad en Europa?

“El RGPD y el RIA conforman ahora un sólido tándem como referentes en materia de privacidad y uso responsable de la tecnología en toda Europa. El RGPD constituye el pilar fundamental de la protección de datos, al exigir transparencia, consentimiento y protección de los derechos individuales. Por su parte, el RIA va un paso más allá, proporcionando un marco global que evalúa los riesgos asociados a la implementación de diversos tipos de inteligencia artificial, incluyendo los sistemas biométricos. Este enfoque conjunto garantiza una protección integral de los derechos fundamentales y la ética en la era digital. En conjunto, ambos reglamentos aseguran que las tecnologías impulsadas por la IA respeten la privacidad y fomenten la confianza, aspectos esenciales en la actualidad. Esta sinergia normativa sirve como modelo a seguir para el desarrollo de marcos similares a escala internacional. Como lo demuestra el impacto del RGPD en las leyes de privacidad de América Latina, los principios establecidos por este reglamento y el RIA podrían inspirar desarrollos regulatorios análogos en los Estados Unidos, guiando la implementación ética de la IA en diversos contextos legales”.
¿Cómo cree que el RGPD y la colaboración con el RIA influirán en la estrategia y el desarrollo de productos de Veridas?

“Como decía, en Veridas el cumplimiento normativo no se limita a una mera obligación; lo consideramos una herramienta fundamental para establecer límites claros, aquellos que definen el “sí” y el “no”, y que nos guían en la creación de soluciones confiables (partiendo de esos “cómo sí” y “cómo no”). Estas soluciones permiten a las personas demostrar su identidad de manera sencilla y segura, simplemente siendo quienes son, y el RGPD y el RIA avalan ese uso informado y voluntario de la tecnología. Nuestro estricto apego a las normas de cumplimiento nos da una clara ventaja competitiva, ya que garantiza a nuestros clientes nuestro compromiso con una tecnología responsable e innovadora,y esto es permeable a los ciudadanos que utilizan esos sistemas. Este doble enfoque en el cumplimiento, que va más allá de lo exigido por la ley, ha sido siempre una piedra angular de nuestra propuesta de valor en los mercados globales y lo seguirá siendo”.

Veridas alcanza los niveles 1 y 2 de iBeta para su prueba de vida facial pasiva

Juan Fernando C. Bulgarelli — Thu, 18 Apr 2024 08:08:21 +0000

La prueba de vida facial pasiva de Veridas ha logrado los niveles 1 y 2 de iBeta en cumplimiento del estándar ISO/IEC 30107-3 en Detección de Ataques de Presentación (PAD), alcanzando el mismo nivel de seguridad previamente otorgado a su prueba de vida activa.
Veridas ha logrado el máximo nivel de seguridad por parte de iBeta con una solución pasiva desplegada en entornos de navegador, lo que supone un importante avance en la industria a nivel técnico y de usabilidad.
La prueba de vida facial pasiva permite una verificación sin fricción, en la que el sistema evalúa la imagen capturada en un segundo plano, sin necesidad de solicitarle al usuario la realización de una acción o movimiento específico.

Veridas, compañía española líder en verificación de la identidad y autenticación biométrica, ha logrado en este 2024 el Nivel 1 y 2 por parte de iBeta sobre su prueba de vida facial pasiva en relación al estándar ISO/IEC 30107-3. Este hito tecnológico muestra la apuesta de Veridas por la prevención del fraude en todos sus extremos, ofreciendo soluciones de identidad efectivas, seguras y fiables.

Este logro, alcanzado en entornos de navegador, que presenta una mayor complejidad técnica －se limitan las opciones de control de la cámara－, reduce la dependencia en el dispositivo utilizado y asegura una experiencia de usuario óptima.

Una necesidad creciente

El fraude de identidad ha crecido y las empresas e instituciones públicas deben dar respuesta de manera inminente y efectiva. Solo en 2023, el fraude de identidad costó a los ciudadanos norteamericanos un total de 43 billones de dólares, un 13% si lo comparamos con el año anterior. La aparición de la Inteligencia Artificial Generativa supone una noticia muy positiva en términos de oportunidades de negocio y capacidad de innovación, pero también ha puesto sobre la mesa importantes riesgos, especialmente en el campo de la identidad. Según Gartner, en el 2023 se multiplicó por 10 el número de ataques de deepfakes detectados.

En este contexto es crucial contar con procesos de verificación de identidad seguros y fiables. Un componente esencial de estos procesos es la prueba de vida, que tiene como objetivo asegurar que la persona que realiza la verificación es real y no está utilizando técnicas fraudulentas como fotos, máscaras 3D o tecnologías de deepfake.

Pruebas de vida pasiva vs. activa

La prueba de vida puede ser de dos tipos: activa y pasiva, que depende de la experiencia provocada en el usuario que realiza el proceso.

Activa: el usuario debe realizar una acción específica y aleatoria, también conocida como reto o challenge, como mover la cabeza o sonreír, que varía en cada proceso.
Pasiva: el sistema analiza en segundo plano la imagen capturada, sin que el usuario tenga que realizar un acción concreta durante el proceso de verificación.

“Alcanzar los nivel 1 y 2 de iBeta para nuestra prueba de vida pasiva refleja no solo un hito tecnológico, sino también nuestro inquebrantable compromiso con los estándares globales más exigentes. Este logro consolida la posición de Veridas en la vanguardia de la seguridad y la autenticación biométrica, reafirmando nuestra dedicación a combatir el fraude de identidad con la máxima precisión y fiabilidad en todas las plataformas digitales”, indicó Carlos Arana, CTO de Veridas.

Veridas, que ya cuenta con los niveles niveles 1 y 2 de iBeta en su prueba de vida activa —donde los usuarios deben realizar acciones específicas y aleatorias como mover la cabeza o sonreír—, demuestra su compromiso con el estándar ISO/IEC 30107-3 en Detección de Ataques de Presentación (PAD) para su prueba de vida pasiva. Además, este hito tecnológico se suma a la reciente participación en la evaluación NIST PAD, que consolida la apuesta de Veridas por la evaluación independiente de sus soluciones en base a los más altos estándares de seguridad.

Regulación de la Inteligencia Artificial: entre la innovación y la normativa, el rol pionero de España

Leire Arbona — Mon, 20 Nov 2023 12:27:02 +0000

En un paso significativo hacia la regulación de la inteligencia artificial, España ha publicado el Real Decreto 817/2023, marcando un hito en la adaptación de soluciones tecnológicas de “alto riesgo” a los estándares europeos.

Este real decreto establece un entorno controlado de pruebas, conocido como el Sandbox, en donde las empresas puedan poner en práctica cómo cumplir los requisitos de cumplimiento, de la propuesta de Reglamento del Parlamento Europeo y del Consejo, así como las buenas prácticas que se definirán dentro de ese marco. Entre las voces respetadas que han influido en este proceso se encuentra Veridas.

“Entre las voces respetadas que han influido en este proceso se encuentra Veridas”

En esencia, el sandbox regulatorio de IA establece un marco en el que empresas con soluciones tecnológicas de “alto riesgo” podrán identificar y “poner a prueba”, junto con las autoridades competentes, las directrices de buenas prácticas y guías que serán de aplicación bajo el futuro Reglamento de IA.

Determinados sistemas de identificación biométrica remota (“a distancia”) podrían quedar incluidos en la clasificación de alto riesgo. Sin embargo, el Reglamento de Inteligencia Artificial europeo se encuentra en sus últimas etapas de definición y aprobación, por lo que ese listado de sistemas catalogados de alto riesgo aún está indefinido.

Adecuarse a las necesidades reales de las empresas

La peculiaridad de la regulación de inteligencia artificial en España radica en que muchas de las empresas que podrán participar en las convocatorias al Sandbox ya tienen soluciones implementadas en el mercado, lo que exige un cuidadoso diseño para asegurar que estas pruebas sean beneficiosas y coherentes.

Veridas participó en la consulta pública para la elaboración de este real decreto, habiéndose incorporado en el texto final 15 de sus 18 propuestas de cambio. Esto reconoce una vez más el papel de Veridas como una de las voces más reconocidas en España en la regulación de sistemas de inteligencia artificial.

“Veridas reafirma su papel como una de las voces más reconocidas en España en la regulación de sistemas de inteligencia artificial”

En esta línea, desde Veridas se ha propuesto que las empresas que participen, que tienen sus soluciones desplegadas en el mercado, encuentren su espacio en el entorno de prueba, proporcionando a las empresas un retorno positivo que reconozca sus esfuerzos en materia de otras certificaciones y cumplimiento de estándares.

En línea con estas metas, adaptar las soluciones a los estándares europeos y asegurar la confidencialidad y protección de la propiedad intelectual durante las pruebas tiene que ser un objetivo esencial.

Desde Veridas hemos abogado por la claridad y adaptabilidad en la regulación de la inteligencia artificial (IA). Lo más relevante es que el sandbox sea atractivo y utilizable para empresas elegibles a participar. Además, es necesario incrementar la colaboración entre el órgano competente y la empresa participante para poder ajustar bien los criterios de gestión de calidad a cada tecnología y caso concreto.

Hacia un ecosistema ético y responsable

El Real Decreto 817/2023 marca un hito significativo en el avance de la regulación de la inteligencia artificial en España.

Con esto, se abren las puertas a un entorno controlado de pruebas en el que las soluciones se integren de manera efectiva y se pueda obtener una retroalimentación valiosa a las empresas participantes y a las autoridades de supervisión en la definición y estandarización de los requisitos exigidos bajo el Reglamento de Inteligencia Artificial.

En definitiva, España está adelantándose, de forma proactiva, a lo que llegará en unos meses y años con el Reglamento europeo de Inteligencia Artificial. Sin duda, esto es positivo para el papel que España puede jugar en la concreción de su aplicación y para los desarrolladores y usuarios españoles aportándoles certidumbre sobre el futuro.

La adaptación a los estándares europeos y la salvaguardia de la confidencialidad, privacidad y la propiedad intelectual son esenciales para construir un ecosistema de IA ético y responsable.

Regulación Inteligencia Artificial en Europa y en España

Después de más de cuatro años de trabajo intenso por parte de los organismos europeos, estamos ya en la fase final previa a la aprobación del Reglamento europeo de Inteligencia Artificial. Se están terminando la etapa de trilogos, con negociaciones muy intensas en varios ámbitos y se espera que en las próximas semanas o meses, a más tardar, tengamos ya por fin un reglamento de inteligencia artificial.

En España, se están dando pasos para adelantarse al reglamento europeo. Para ello, se ha creado recientemente un sandbox regulatorio para que las empresas puedan probar cómo funcionan esos requisitos del Reglamento de Inteligencia Artificial, y puedan así hacer adaptaciones sobre sus sistemas. Esto servirá también para que las propias autoridades competentes supervisoras puedan ir definiendo esas guías de buenas prácticas y de cumplimiento que se establecerán después de forma general para todos.

Los mayores logros y retos del Sandbox según Veridas

Los sistemas de alto riesgo todavía no están plenamente cerrados en el reglamento europeo. Por lo tanto, podrán ir variando, pero desde luego estas empresas van a poder poner en marcha procesos que les permitirán adaptarse y probar cómo van a ser en la práctica de la verdadera aplicación del reglamento. Desde luego, se trata de un desafío, un reto muy necesario. Y España ha dado un paso al frente para adelantarse a lo que vendrá y poder ir planificando también el futuro.

El futuro de la regulación de la IA en España

Desde Veridas estamos muy orgullosos de poder decir que el Real Decreto que va a regular estos sandbox regulatorios ha tenido en cuenta algunas de las aportaciones que realizamos por nuestra parte en la fase de consultas, todas ellas dirigidas precisamente a reconocer que estos sistemas ya están en uso y que, por tanto, hay mucho trabajo ya hecho por parte de todas las empresas para su adecuación, certificación y garantías de ética, de cumplimiento y de transparencia.

Todo esto se ha incorporado haciendo referencia a poder utilizar esos estándares y certificaciones previas a que ese sandbox sea un proceso de adaptación y no de desarrollo y que, en definitiva, también se pueda estar protegiendo toda la propiedad intelectual industrial, toda el know how que existe en las empresas y que es mucho. Y esto se va a plasmar no solo en el sandbox, sino que será un trabajo a largo plazo durante toda la aplicación del reglamento.

Veridas consigue la certificación de conformidad de categoría alta del Esquema Nacional de Seguridad

Leire Arbona — Tue, 08 Aug 2023 10:21:16 +0000

La seguridad de la información es una prioridad absoluta en el entorno digital actual. En Veridas, nos enorgullece anunciar que hemos obtenido la certificación de conformidad de categoría alta del Esquema Nacional de Seguridad (ENS), emitida por OCA Global. Esta certificación es un testimonio de nuestro continuo compromiso con la seguridad y privacidad de la información que tratamos, tanto interna como la de nuestros valiosos clientes.

Un historial de cumplimiento y seguridad:

Desde el año 2020, hemos mantenido un enfoque riguroso en la seguridad de la información al obtener la certificación ISO/IEC 27001. En 2021, alcanzamos la categoría media del ENS, seguido por el cumplimiento del UK TrustFramework en 2022 y, a principios de 2023, la certificación SOC 2 Tipo II. Estas certificaciones nos han permitido reforzar nuestra posición como líderes en el mercado de verificación digital de identidad y la autenticación tanto en el mundo físico como digital.

Nuestro logro más reciente de la certificación de conformidad del ENS de categoría alta nos impulsa hacia una mayor excelencia en seguridad. Esta certificación abarca nuestro sistema de gestión de Seguridad de la Información que respalda todas nuestras actividades, desde el diseño y desarrollo hasta el despliegue, producción, mantenimiento, mejora y comercialización de nuestros productos y servicios.

El ENS establece una política de seguridad para el uso de medios electrónicos y establece los principios y requisitos mínimos para la protección adecuada de la información. Aunque inicialmente se concibió para el ámbito de la Administración Electrónica española, este sistema ha sido adoptado por numerosas entidades privadas que brindan servicios a las Administraciones Públicas. El ENS proporciona un mayor detalle y requerimientos para la implementación y mantenimiento de un sólido sistema de Seguridad de la Información.

Seguridad garantizada para la Administración Pública

Este año, hemos decidido elevar nuestra certificación a la categoría alta del ENS, lo máximo posible. Esto es de gran importancia ya que cada vez contamos con más clientes del ámbito de las Administraciones Públicas, y esta certificación les brinda la garantía y seguridad necesarias para utilizar nuestra tecnología en cualquier entorno y proceso.

Además, hemos sido ágiles al adaptarnos a los cambios derivados del Real Decreto 311/2022, de 3 de mayo, que modificó la normativa que regula el ENS el año pasado. En Veridas, nos mantenemos actualizados y cumplimos con los estándares y requisitos más recientes para garantizar la seguridad de nuestros productos y servicios.

La obtención de esta certificación de conformidad de categoría alta del Esquema Nacional de Seguridad (ENS) refuerza nuestra posición como proveedores confiables de soluciones tecnológicas para tanto las administraciones públicas como cualquier empresa que desee utilizar nuestra tecnología. Nuestros clientes pueden tener plena confianza en que Veridas cumple con los más altos estándares de seguridad y privacidad de la información, brindando un entorno de confianza para el uso de nuestra tecnología en cualquier proceso y en cualquier entorno. Estamos comprometidos en seguir ofreciendo soluciones innovadoras y seguras que impulsen el crecimiento y el éxito de nuestros clientes.

La Autoridad Bancaria Europea (EBA) dictamina que la biometría del dispositivo no debe considerarse como un elemento válido de autenticación reforzada

Leire Arbona — Mon, 13 Feb 2023 17:06:57 +0000

La Autoridad Bancaria Europea, también conocida como EBA en sus siglas en inglés (European Banking Authority), acaba de sentar precedente en lo que a la utilización de la biometría del dispositivo como elemento de autenticación reforzada se refiere. En el siguiente artículo, repasaremos en qué consiste dicha resolución y qué implicaciones tiene para el sector financiero y para la correcta aplicación de la Directiva de Servicios de Pago (PSD2).

¿Qué es la PSD2 y por qué es tan importante?

La Directiva sobre Servicios de Pago, también conocida como PSD2, es una directiva de la UE que regula los servicios de pago y sus proveedores dentro del marco de la Unión Europea. Su principal objetivo es aumentar la competencia, la innovación y la seguridad en el sector de los servicios de pago, protegiendo al mismo tiempo los derechos e intereses de los consumidores.

La PSD2 obliga a los proveedores de servicios de pago a seguir nuevas normas, como la Autenticación Reforzada de Clientes (Strong Customer Authentication o SCA en sus siglas en inglés) para los pagos electrónicos, y abre el mercado a nuevos agentes, como las fintech, al permitirles acceder a la información de las cuentas bancarias con el consentimiento del cliente. La directiva se ha aplicado en todos los Estados Miembros de la UE.

Así, la Autenticación Reforzada de Clientes implica que, para completar una transacción en línea, los clientes deben proporcionar dos o más formas de autenticación de diferentes categorías, siendo estas categorías:

Factores de conocimiento: algo que el usuario “sabe”, como una contraseña, una respuesta a una pregunta secreta o un código PIN.
Factores de posesión: algo que el usuario “tiene”, como una tarjeta de crédito, una tarjeta de coordenadas o un mensaje a un teléfono móvil.
Factores de inherencia: algo que el cliente “es”, como la cara, la voz, el iris o la huella dactilar.

El objetivo de la SCA es reducir el riesgo de fraude y garantizar que el cliente es quien dice ser antes de efectuar un pago. En términos sencillos, SCA es una capa adicional de seguridad para proteger la información de pago de los clientes y evitar transacciones no autorizadas.

¿Cuál es el papel que desempeña la Autoridad Bancaria Europa?

La Autoridad Bancaria Europea (EBA) es una agencia independiente de la UE encargada de mejorar la regulación del sector bancario en toda la Unión Europea. Entre sus principales tareas figuran la elaboración y adopción de normas técnicas y directrices, así como la realización de evaluaciones para garantizar una regulación y supervisión prudencial, eficaz y coherente en todo el sector bancario europeo.

A este respecto, el considerando 17 del Reglamento (UE) nº 1093/2010 de la EBA establece que “La finalidad y las funciones de la Autoridad -asistir a las autoridades nacionales de supervisión competentes en la interpretación y aplicación coherentes de las normas de la Unión y contribuir a la estabilidad financiera necesaria para la integración financiera- están estrechamente vinculadas a los objetivos del acervo de la Unión en relación con el mercado interior de servicios financieros.“

La EBA actúa en el ámbito de diferentes textos legislativos aplicables al sector bancario. Uno de estos textos legislativos es la Directiva sobre Servicios de Pago (PSD2) antes mencionada. Todos los días la EBA publica comunicados de prensa, consultas, respuestas a preguntas presentadas por distintos agentes , etc.

¿En qué sentido se ha pronunciado la EBA respecto al uso de la biometría del dispositivo (Q&A 6145)?

El 31 de enero de 2023, la EBA dio respuesta a una pregunta presentada por una entidad de crédito, sobre el uso de la biometría de los dispositivos móviles.

La pregunta era la siguiente: “¿Cuenta la autenticación para desbloquear el dispositivo móvil como uno de los elementos de la autenticación reforzada del cliente cuando un usuario de servicios de pago está tokenizando una tarjeta en una solución de monedero electrónico como Apple Pay?” (…) ¿Se cumpliría el requisito de SCA si un elemento de SCA (posesión) está presente durante la emisión del token y el otro elemento (conocimiento (introducción de un PIN) o inherencia (huella dactilar o reconocimiento facial) se hubiera aplicado cuando el usuario de servicios de pago desbloqueó su dispositivo móvil?”.

Y la respuesta dada por la EBA al respecto supone un antes y un después en la utilización de biometría del dispositivo como elemento de autenticación reforzada, formulada de la siguiente manera: “El desbloqueo de un teléfono móvil con datos biométricos (por ejemplo, una huella dactilar), o con un PIN/contraseña, no debe considerarse un elemento SCA válido a efectos de añadir una tarjeta de pago a un monedero digital si el mecanismo de bloqueo de la pantalla del dispositivo móvil no está bajo el control del emisor o si el pagador no ha sido asociado previamente a través de un SCA con la credencial utilizada para desbloquear el teléfono”.

Lo que en otras palabras significa que no puede considerarse seguro la utilización de mecanismos de autenticación móvil (huella dactilar, patrón de contraseña, biometría facial…) si la entidad encargada de garantizar la verificación de la identidad del usuario no controla esos mecanismos de autenticación, o no puede garantizar que esos mecanismos de autenticación están siendo utilizados por el usuario legítimo.

¿Qué diferencias existen entre la biometría del dispositivo (FaceID, TouchID, etc.) y la biometría propulsada por Veridas?

Los procesos de autenticación de empresas como Apple (FaceID, TouchID, etc.) se basan en la tecnología de autenticación biométrica sobre la cual los usuarios pueden autenticarse mediante su huella dactilar o reconocimiento facial.

Para poder activar este método de autenticación biométrica solo es necesario registrar los diferentes factores biométricos una vez adquirido el dispositivo, sin que sea necesario establecer ningún tipo de vinculación entre la identidad oficial del usuario que lo registra y el componente biométrico.

Además, en cada dispositivo se permite registrar más de un factor biométrico, lo que posibilita que diferentes personas puedan utilizar su biometría para desbloquear un mismo terminal. Esto, ligado al hecho de que las empresas que hacen uso de estos métodos para facilitar el acceso a sus aplicaciones o para cualquier otra operativa no tienen visibilidad alguna sobre los procesos ejecutados en el dispositivo, conlleva que cualquier persona con su biometría registrada en el dispositivo podría operar con él.

Es por ello que la EBA insiste en que una biometría no controlada por el emisor de tarjetas o que no haya sido previamente asociada a la identidad oficial del cliente no puede ser utilizada como elemento de autenticación reforzada. Es absolutamente imposible que una entidad financiera, o cualquier otro tipo de empresa, pueda tener certeza de que realmente la persona dueña de esa cuenta es quien está haciendo uso de ese servicio si se apoya en sistemas biométricos que no cumplan tales requisitos.

Contrariamente, la tecnología de autenticación biométrica de Veridas parte siempre de un proceso inicial de verificación de la identidad previo, donde se valida la identidad oficial de la persona. Veridas cuenta con soluciones punteras que permiten certificar que el documento de identidad presentado es real y no ha sido manipulado o falsificado, que la persona que lo presenta es la misma persona que aparece en el documento y que está genuinamente presente en el proceso. Todo ello lo hace con tecnología certificada por los organismos internacionales más prestigiosos, como lo es el National Institute of Standards and Technology (NIST), o por iBeta en relación a la prueba de vida.

Una vez verificada esa identidad, nuestros clientes pueden desplegar multitud de casos de uso de autenticación sustentados en los motores de biometría facial y de voz. Desde el acceso a áreas privadas de cliente o aplicaciones móviles, hasta el acceso físico a entornos corporativos o espacios deportivos.

En todos estos procesos, nuestros clientes tienen el absoluto control de los mismos, tanto en su configuración inicial como en su posterior puesta en producción, por lo que pueden verificar que la persona que accede u opera gracias a la autenticación biométrica es el dueño de la cuenta. De esta forma, cumplen estrictamente con lo establecido por la EBA en su respuesta previamente citada.

Aumenta la seguridad y reduce el fraude de identidad con la tecnología de Veridas

Desde Veridas siempre velamos por la transparencia, el cumplimiento, y la confiabilidad de sus soluciones biométricas. Y lo hace apoyándose en tecnología propietaria y completamente automatizada para verificar identidades de forma remota y autenticarlas tanto en el espacio físico como en el digital.

Nuestras soluciones son críticas para prevenir el fraude, reducir los costes operativos, mejorar la experiencia de cliente (aumentando con ello la tasa de adquisición de nuevos clientes) y, por supuesto, asegurar el máximo cumplimiento de toda normativa vigente.

No dudes en ponerte en contacto con nosotros si quieres conocer más sobre la tecnología biométrica que está revolucionando el sector de los pagos.

Veridas, pionera en el diagnóstico del cumplimiento de los principios éticos de su sistema de Inteligencia Artificial

Miguel Zarraluqui — Thu, 22 Dec 2022 12:10:53 +0000

Veridas acaba de convertirse en una de las primeras empresas a nivel nacional en realizar un ‘Diagnóstico sobre los principios éticos de la Inteligencia Artificial’ con el apoyo de PwC, firma pionera en este tipo de trabajos. Dicho diagnóstico consiste en analizar el cumplimiento formal de los principios éticos de los sistemas de inteligencia artificial de las compañías y el marco ético, jurídico y técnico sobre el que se desarrollan estos sistemas.

La regulación española y europea como punto de partida

Como puntos de partida normativos se han considerado la Estrategia Nacional de Inteligencia Artificial (ENIA) de diciembre de 2020 y la propuesta de regulación sobre inteligencia artificial (AI Act) de la Comisión Europea de abril de 2021, la cual se presentó como “un proyecto de ley que pretende establecer una regulación sobre la IA, y a la que las empresas deberán comenzar a ajustarse en menos de dos años.”

Más recientemente, el 23 de febrero de 2022 se aprobó en el seno de la Unión Europea una propuesta de Directiva sobre la diligencia debida de las empresas en materia de sostenibilidad, cuyo objeto es fomentar un comportamiento empresarial sostenible y responsable a lo largo de las cadenas de suministro mundiales.

Dicha propuesta Directiva busca imponer a las empresas una serie de obligaciones en relación con los derechos humanos y el impacto medioambiental, llegando a definir el pago de multas e indemnizaciones por parte de las empresas a las personas afectadas por las consecuencias de los impactos adversos.

Partiendo del marco ético, jurídico y técnico establecido en la Regulación vigente y estándares de mercado, se ha desarrollado un programa de trabajo que permite realizar un diagnóstico para determinar si las organizaciones cumplen formalmente con dichos principios éticos y que abarca principalmente las siguientes áreas:

Privacidad y Gobierno de los datos.
Seguridad y Protección: Fiabilidad, robustez y precisión.
Responsabilidad y rendición de cuentas.
Transparencia y explicabilidad.
Principio de justicia.
Foco en el ser humano: Control y vigilancia humana.
Promoción de los valores y de los derechos humanos.
Sostenibilidad ambiental.

El impacto socioeconómico de la inteligencia artificial es evidente. Los continuos avances en materia de investigación y aplicación de esta tecnología, en la que la máquina intenta replicar capacidades de los seres humanos como el razonamiento, el aprendizaje, la creatividad o la capacidad de planear; han puesto de manifiesto que su adopción ha de ser prioritaria para la totalidad de las empresas si desean seguir siendo competitivas durante la próxima década.

No obstante, la adopción de esta tecnología tiene un gran reto que las empresas han de saber gestionar; el alto impacto que las aplicaciones de IA tienen ya sobre nuestras vidas ponen en relevancia el hecho de que, nunca en la historia, ha sido tan prioritario asegurar un uso responsable y ético de una tecnología.

Tamer Davut, socio de PwC

Veridas, abriendo camino en el sector de la Inteligencia Artificial

Veridas, continúa su apuesta por situarse a la vanguardia de la transparencia, la auditoría y la confiabilidad de sus soluciones biométricas.

Leire Arbona, directora del departamento de Legal y Cumplimiento de Veridas, describe esta apuesta firme de la compañía con las siguientes palabras:

“Desde la creación de Veridas teníamos claro que la confianza en este tipo de soluciones debe pasar siempre por la transparencia y cumplimiento, no solo de las normas jurídicas y técnicas sino también de los más altos valores éticos. Este trabajo de diagnóstico es una muestra más de la evolución de Veridas en este sentido y el compromiso en seguir mejorándolo continuamente.”

Leire Arbona, Directora de Legal & Cumplimiento en Veridas

A la constante evaluación de las soluciones en su vertiente técnica por parte de instituciones internacionales de gran prestigio como el National Institute of Standards and Technology (NIST) o en su vertiente legal para el cumplimiento de la regulación vigente en materia de protección de datos o de prevención de blanqueo de capitales, entre otras muchas, ahora se suma este diagnóstico de carácter ético.

Precisamente, estas tres vertientes, la legal, la técnica y la ética son los tres pilares fundamentales en cualquier IA “digna de confianza”. Concretamente:

Legalidad: el cumplimiento de las leyes y reglamentos aplicables.
Ética: garantizar la adhesión a los principios y valores éticos.
Robustez: tanto desde el punto de vista técnico como social, ya que, incluso con buenas intenciones, los sistemas de IA pueden causar daños involuntarios.

En este encargo, se han estado no solo observando las normativas en materia ética de la Comisión Europea o el Gobierno de España, sino que también se ha puesto el foco en otras fuentes de información relevantes como la Propuesta de Gestión de Riesgo en IA publicado por el NIST o casos de uso publicados por medios especializados como Harvard Business Review o MIT Technology Review.

“Hemos aprendido mucho en este proceso, teniendo otra visión independiente de nuestras soluciones y procesos que sin duda nos han dejado con muchas ideas de cómo seguir mejorando.” afirmaba Arbona.

En definitiva, este diagnóstico permite ayudar a Veridas situarse a la vanguardia en el cumplimiento de los principios éticos de los sistemas de Inteligencia Artificial.

Un marco legal y regulatorio abierto a mejoras

A través del trabajo realizado en los últimos meses, se ha puesto sobre la mesa la evidencia de que aún existen aspectos por mejorar en la redacción de normas relacionadas con los temas medioambientales y éticos.

Por ejemplo, se ha constatado la necesidad de contar con una guía sobre cómo documentar y fiscalizar el cumplimiento de los sistemas de inteligencia artificial en cuanto a los principios éticos anteriormente mencionados.

Asimismo, hemos tomado conciencia de la importancia de documentar rigurosamente el análisis de riesgos de los sistemas de inteligencia artificial. En este sentido, se podría tomar como referencia las recomendaciones del NIST. No obstante, estaría bien contar con una guía similar propuesta por la Comisión Europea.

El campo de la inteligencia artificial es un ecosistema que está experimentando un crecimiento exponencial y, por tanto, su regulación debe ser atajada con prontitud. Con ello evitaremos la aparición de conductas inadecuadas e indeseadas por parte de personas o entidades que deseen hacer un mal uso de la constante evolución tecnológica que afrontamos.

Las 7 claves que la Autoridad Bancaria Europea (EBA) estipula para el uso de Soluciones de Onboarding de clientes no presencial

Leire Arbona — Tue, 13 Dec 2022 10:42:59 +0000

La Autoridad Bancaria Europea (European Banking Authority, EBA) publicó el pasado 22 de noviembre de 2022 sus Directrices en el uso de Soluciones de Onboarding de clientes no presencial.

Esta es la versión final de las Directrices que hace un año fueron sometidas a consulta pública y cuyas respuestas han ayudado a terminar de perfilar unas guías que representan la confianza europea en una tecnología de calidad y cada vez más empleada por las entidades de crédito y financiera. Veridas participó en el proceso de consulta pública aportando sus propuestas como proveedor con larga experiencia en el sector.

¿Qué es la EBA y de qué se encarga?

La Autoridad Bancaria Europea o EBA por sus siglas en inglés, es una agencia reguladora de la Unión Europea que trabaja para garantizar el buen funcionamiento del sistema bancario de la UE. Se encarga de elaborar y aplicar normas y reglamentos para proteger la estabilidad e integridad del sector financiero de la UE, y de fomentar la cooperación entre los reguladores bancarios nacionales. La EBA también supervisa la evolución del sector bancario y asesora y orienta a la Comisión Europea y otras instituciones de la UE en materia de regulación financiera.

¿Cuál es el objetivo de las directrices?

El objetivo de estas Directrices es establecer “los pasos que deben dar las entidades de crédito y financieras a la hora de elegir las herramientas de captación de clientes a distancia y lo que deben hacer [dichas entidades] para asegurarse de que la herramienta elegida es adecuada y fiable (…) y de que les permite cumplir eficazmente con sus obligaciones de customer due diligence”.

Así, siempre que se cumplan las condiciones establecidas en ellas y en la medida en que lo permita la legislación nacional, que podrá concretar más el contenido de estas Directrices, la elección de las soluciones tecnológicas a emplear corresponderá a las entidades de crédito y financieras. En este sentido, cabe señalar que las Directrices son “tecnológicamente neutras”, lo que la EBA considera “importante para fomentar la innovación continua y garantizar que los principios y procedimientos de lucha contra el blanqueo de capitales y la financiación del terrorismo establecidos en estas Directrices siguan siendo pertienentes y aplicables”.

¿Cuáles son las directrices?

Las Directrices se dividen en siete temas de referencia:

Políticas y procedimientos internos: Pone el foco en el conocimiento que la entidad tiene del proceso de onboarding no presencial implementado y procedimientos de operación y supervisión del mismo, incluso antes de empezar a usarlo.

Adquisición de información: Se centra en la obtención de los datos que son necesarios para verificar la identidad del cliente y la calidad que deben tener los mismos para garantizar la fiabilidad del proceso.

Autenticidad e integridad documental: Recoge las verificaciones de seguridad que deben hacerse sobre el documento de identidad que se presenta en el proceso para poder validar su autenticidad e integridad.

Cotejo de la identidad del cliente como parte del proceso de verificación: Se debe comprobar la correspondencia entre el titular del documento de identidad presentado y la persona que realiza el proceso. Para ello, las Directrices proponen emplear biometría. Asimismo, establecen los requisitos mínimos que deben cumplirse en el proceso dependiendo de si hay una interacción síncrona entre el cliente y el agente de la entidad financiera (proceso de videollamada) o si es un proceso sin interacción (normalmente conocido como proceso de vídeo-identificación).

Dependencia de terceros y subcontratación: Se permite que las entidades de crédito y financieras subcontraten, en todo o en parte, el proceso de verificación de la identidad de sus clientes, manteniendo en todo caso la responsabilidad sobre el proceso, su definición y supervisión.

Gestión de riesgos en materia de TIC y seguridad: Se remite a otras directrices publicadas por la EBA en relación a la identificación y gestión de riesgos propios de los procesos de onboarding y que las entidades de crédito y financieras deben tener en cuenta e implementar.

Cumplimiento cuando se emplean servicios de confianza: Permitiéndose el uso de servicios de confianza e identificación electrónica, se indica que es necesario analizar cómo dichas soluciones cumplen con los requisitos establecidos en las Directrices por si fuese necesario aplicar medidas compensatorias.

Un paso más en la regulación de los servicios de onbaording

En definitiva, estas Directrices pretenden ayudar a las autoridades nacionales a conocer más los procesos de onboarding no presencial de clientes para aprovecharlas al máximo, estableciendo “un entendimiento común por parte de las autoridades competentes y de las entidades financieras y de crédito sobre las medidas que deben adoptar [estas últimas] para garantizar unas prácticas de onboarding de clientes a distancia seguras y eficaces que estén en consonancia con el marco jurídico aplicable en materia de PBC/FT y de protección de datos”.

En Europa hay países con una regulación en la materia desarrollada desde hace muchos años, y otros que han ido regulándolo con mayor detalle más recientemente. Las Directrices se encuentran en línea con las herramientas y procesos que muchas entidades de crédito y financieras ya están empleando, pero previsiblemente en algunos países serán necesarios algunos cambios normativos o más detalles en los existentes.

¿Cuándo serán aplicables estas directrices?

Las Directrices serán aplicables a los seis meses de la publicación en los idiomas oficiales de la UE en la web de la EBA, si bien en un plazo inferior (dos meses desde dicha publicación) las autoridades nacionales competentes deberán informar si cumplen o tienen intención de cumplir las Directrices.

El Senado reconoce la biometría como única forma de garantizar con certeza la identidad de las personas

Marta Morrás — Tue, 13 Dec 2022 08:44:50 +0000

En abril de 2021, Eduardo Azanza, CEO de Veridas, participó en la “Ponencia de estudio sobre la adopción de una regulación de las nuevas realidades tecnológicas, disruptivas y sociales” enmarcada en la Comisión de Asuntos Económicos y Transformación Digital en el Senado Español.

En su intervención, como experto en biometría e Inteligencia Artificial, Eduardo explicó el rol de las tecnologías biométricas en la garantía de uno de los derechos fundamentales del ser humano: el derecho a la identidad.

El pasado 14 de octubre de 2022, el El Boletín Oficial de las Cortes Generales publicó un resumen de todas las sesiones donde destacaba que de entre los diferentes elementos de autenticación establecidos por el Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo relativo a la identificación electrónica y los servicios de confianza, la biometría “es la única que puede garantizar con certeza la identidad de las personas”.

Se trata de una conclusión muy relevante que no solo diferencia los elementos de autenticación, sino que eleva la biometría por encima de los sistemas basados en conocimiento o posesión. Estos sistemas como las contraseñas o claves, solo se anclan en una identidad presunta.

Elementos de autenticación

La Unión Europea reconoce tres elementos de autenticación:

Conocimiento (algo que sabes): una contraseña, tu nombre y apellidos, tu dirección, tu número de DNI…
Posesión (algo que tienes): Un móvil, una tarjeta de coordenadas…
Inherencia (algo que eres): Tu cara, tu voz; tu biometría.

Los métodos basados en conocimiento o posesión son frágiles al fraude y pueden ser sustraídos o hackeados. Sin embargo, la biometría es un elemento propio y único de cada persona, que gracias a sistemas biométricos de alta precisión permiten garantizar el derecho de las personas a ejercer su identidad real tanto en el mundo físico como en el digital.

La biometría como ingrediente transformador de la sociedad

La tecnología biométrica moderna es precisa, fácil de usar y garantiza la seguridad y la privacidad de los ciudadanos, permitiendo una identificación unívoca en el espacio digital y físico.

Además, facilita las interacciones con las Administraciones Públicas y empresas, ahorrando tiempo, recursos y desplazamientos innecesarios, reduciendo así la huella de carbono de cada transacción.

Como toda tecnología, el uso de la biometría debe ser correctamente regulado, pero, sin duda, su uso está suponiendo un elemento de transformación en la sociedad, dejando atrás la brecha digital, aumentando la seguridad y mejorando la experiencia de usuario.

¿Cómo cumplir con la ley en la Grada de Animación en estadios de fútbol?

Marta Morrás — Wed, 28 Sep 2022 10:36:47 +0000

En 2015, La Liga Nacional de Fútbol profesional remitió una circular a sus equipos afiliados en la que comunicaba la implementación de nuevas regulaciones para incrementar la seguridad y el reconocimiento de personas en las llamadas “gradas de animación».

A pesar de esta normativa, actualmente, las entradas son nominales y verificadas solo en las tribunas visitantes de los estadios de España. Es por eso que tanto La Liga como algunas fuerzas policiales, como la Ertzaintza del País Vasco, han pedido a sus clubes que empiecen a instalar controles de identificación para cumplir con lo que exige la normativa.

¿Qué es la ley en la Grada de Animación en los estadios de fútbol?

La Ley de la Grada de Animación en los estadios de fútbol es una normativa que obliga a los clubes de primera y segunda división de España a cumplir ciertos requisitos para mantener el orden y la seguridad en los estadios. Es una adaptación a la Ley 19/2007 de 11 de julio, contra la violencia, el racismo, la xenofobia y la intolerancia en el deporte.

Se quiere, con esta normativa, identificar a todos los aficionados que asisten a estos sectores de los estadios, de forma que, en caso de algún tipo de infracción a la ley, puedan ser distinguidos para la correspondiente defensa.

¿En qué consiste?

La normativa incluye cinco puntos:

Las características y ubicación de la grada de animación: determinar el tamaño, la ubicación y características de estas, teniendo que ser diferenciada al resto de sectores del estadio.
La descripción del proyecto de acceso biométrico: incorporación de un sistema de lectura biométrica en el acceso a la misma, así como la necesidad de desarrollar un reglamento interno.
Las condiciones a incluir en los documentos de formalización de abonos para estos sectores, entre los que se incluye que solo se pueda ingresar a esa zona con abono comprado y registrado en el club, aceptar que este es intransferible, estar dispuestos a tener controles más exhaustivos de identidad, la exposición de materiales de apoyo sujetos a la normativa y los castigos a los que se puede enfrentar un hincha que no cumpla con estos requisitos.
La coordinación técnica entre clubes y La Liga para el funcionamiento de esta normativa.
El tratamiento de datos personales, de acuerdo a lo establecido por la Ley Orgánica de Protección de datos de carácter personal.

¿Qué se pretende conseguir?

Con esta normativa se pretende conseguir la identificación total de los aficionados que asisten a las gradas de animación, para evitar de esta forma situaciones no deseadas y contrarias a la ley que se han visto en estadios de fútbol y en sus aledaños.

En muchas de las ocasiones, los individuos que cometen estas infracciones no han podido ser identificados y no se les ha podido vetar su entrada a los estadios de fútbol. Con esta normativa, se evita que los que han cometido alguna infracción en los campos deportivos y han sido sancionados por las autoridades se mantengan al margen de los eventos deportivos garantizando así la seguridad de todos.

¿Cómo cumplir con la normativa de gradas de animación?

Veridas ofrece un sistema de control de accesos con biometría que permite a los clubes de fútbol cumplir al 100% con la normativa, garantizando una experiencia de usuario cómoda y sencilla para todos sus usuarios.

Esta solución se encuentra ya en funcionamiento en varios clubes de LaLiga española como el Club Atlético Osasuna o el Málaga Club de Fútbol

El alta digital de Veridas, primera en cumplir con los nuevos requisitos de la CCN para la emisión de certificados cualificados

Leire Arbona — Tue, 30 Aug 2022 07:38:46 +0000

Veridas se ha convertido en la primera empresa en España en superar con éxito las pruebas de cualificación exigidas por las nuevas guías del Centro Criptológico Nacional (CCN) para su solución de Onboarding Digital.

Este importante logro permitirá a aquellos Prestadores Cualificados de Servicios de Confianza, los conocidos como Qualified Trust Service Providers o QTSP’s en sus siglas en inglés, que usen la tecnología de Veridas, cumplir con la regulación exigida para la emisión de certificados digitales cualificados.

Dicha exigencia entrará en vigor a partir del 1 de marzo de 2023 y será obligatoria para todo QTSP que quiera seguir operando en territorio español y que desee realizar la verificación de identidad previa a la emisión de certificados cualificados de forma no presencial. Y, de momento, solo Veridas cuenta con una solución cualificada para ese fin.

¿Qué es la Guía de Seguridad del CCN y por qué es importante?

Para poder entender el papel que juega la Guía de Seguridad del CCN en la emisión de certificados electrónicos cualificados es necesario remontarse a 2014, en el contexto de las regulaciones aprobadas por el Parlamento Europeo.

A través del reglamento eIDAS (reglamento nº 910/2014), relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior, el Parlamento Europeo abre la puerta a que los emisores de certificados electrónicos cualificados utilicen para la verificación de la identidad de los solicitantes de dichos certificados “otros métodos de identificación reconocidos a escala nacional que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La seguridad equivalente será confirmada por un organismo de evaluación de la conformidad” (artículo 24.1.d)

Más recientemente, en el año 2020, en España se aprobó la Ley 6/2020, del 11 de noviembre, destinada a regular determinados aspectos de los servicios electrónicos de confianza. En dicha ley, se hace referencia a una nueva orden donde “se determinarán otras condiciones y requisitos técnicos de verificación de la identidad a distancia y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación como videoconferencia o vídeo-identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física según su evaluación por un organismo de evaluación de la conformidad” (artículo 7.2)

Esta orden, la ETD/465/2021, se aprobó finalmente el 6 de mayo de 2021 y en ella se regulan los métodos de identificación remota por vídeo para la expedición de certificados electrónicos cualificados. Pero a nivel técnico, y es aquí donde entra en juego el Centro Criptológico Nacional, se vio complementada por el Anexo F.11 de Herramientas de videoidentificación de la Guía de Seguridad de las TIC CCN-STIC-140.

Dicha primera versión del anexo ha sufrido modificaciones recientemente, haciéndolo mucho más exigente en sus requerimientos técnicos. Veridas ha superado favorablemente las pruebas realizadas por DEKRA, una de las principales organizaciones a nivel mundial dentro del sector TIC (Testing, Inspection, Certification), tanto para la versión anterior como para la versión nueva del anexo F.11 de marzo de 2022, requisito previo para la cualificación por parte del CCN.

¿Cuáles son los requisitos exigidos por la nueva versión del Anexo F.11 del CCN?

El Anexo F.11, en su última modificación de marzo de 2022, distingue entre Requisitos Fundamentales de Seguridad (RFS) -que incluye la referencia a la evaluación del Módulo de Evaluación Biométrica (MEB)-, validación de los documentos presentados y requisitos fundamentales de seguridad opcionales. Veridas ha sido evaluado por DEKRA respecto a los requerimientos de la guía del CCN, superando satisfactoriamente la totalidad de las pruebas a las que su solución de videoidentificación ha sido sometida.

Es importante destacar que el producto ha sido sometido a 70 ataques de fraude documental y 230 ataques de biometría facial en el entorno web mobile. El producto ha tenido que garantizar la detección automática del 100% de los casos sin considerar la intervención humana. Esto ha supuesto la superación de uno de los entornos de pruebas más exigentes desarrollados por un evaluador hasta la fecha.

REQUISITOS DE CERTIFICACIÓN Y EVALUACIÓN

En este apartado, en el que se hace referencia a las evaluaciones exigidas, cabe resaltar cómo el CCN demanda que los motores biométricos de las soluciones cualificadas hayan sido evaluadas por parte del National Institute of Standards and Technology, NIST. El NIST está considerado como el evaluador independiente más prestigioso del mundo y, por ello, Veridas siempre ha presentado sus motores de biometría facial y biometría de voz para su evaluación, obteniendo fantásticos resultados año tras año.

Concretamente, la guía solicita que “el sistema biométrico de comparación facial entre el solicitante y la foto del documento de identidad debe haber sido evaluado, según el Face Recognition Vendor Test (FRVT) en la categoría VISABORDER, del NIST y haber obtenido una tasa de FNR (False Negative Rate) menor o igual a 5% para un FPR (False Positive Rate) de menor o igual a 1/1.000.000. La base de datos utilizada para la prueba debe ser la utilizada por el NIST en 2020 o superior” (artículo 24).

A este respecto, Veridas obtuvo una tasa de FNR de 0,80% en su último envío de septiembre de 2021, muy por debajo de la tasa exigida por el CCN, lo que le sitúa entre los mejores motores biométricos del mundo.

REQUISITOS FUNDAMENTALES DE SEGURIDAD (RFS)

Protección frente a ataques en la captura de evidencias: la herramienta debe garantizar que se utiliza un único dispositivo y en un único acto secuencial de tiempo. Además, debe asegurarse de que el proceso se ejecuta a tiempo real, sin permitir archivos pregrabados.

Verificación biométrica: la herramienta deberá proporcionar una verificación biométrica facial a través del selfie y el documento capturados. También deberá incorporar pruebas de vida activas o pasivas e implementar mecanismos de prevención de ataques de presentación.
De cara a evaluar los requisitos de verificación biométrica, el CCN especifica que deberá hacerse aplicando la IT-14, o también conocido como módulo de evaluación biométrica (MEB). Estos requisitos quedan explicados más adelante.

Auditoría: el anexo define diferentes características que debe tener la herramienta de auditoría que acompaña la solución del fabricante.

Comunicaciones seguras: la herramienta deberá establecer canales seguros cuando intercambie información sensible con entidades autorizadas o entre distintas partes del producto, de acuerdo con lo establecido en la guía CCN-STIC-807.

Administración confiable: la herramienta deberá asegurar que solo un usuario con permisos de administrador será capaz de realizar las funciones administrativas, distinguiendo entre el rol de configurador y el de auditor.

Identificación y autenticación: la herramienta deberá identificar y autenticar a cada usuario antes de darles acceso, implementando mecanismos que impidan ataques, protegiendo la confidencialidad e integridad de las credenciales de autenticación y bloqueando o cerrando la sesión tras un periodo determinado de inactividad.

Protección de credenciales y datos sensibles: si la herramienta almacenase credenciales y/u otros datos sensibles, estos deberían almacenarse utilizando los mecanismos criptológicos autorizados en la CCN-STIC-807.

VALIDACIÓN DE LOS DOCUMENTOS PRESENTADOS

En este apartado del Anexo F.11 se detallan los siguientes requisitos respecto a la validación de los documentos de identidad presentados:

La herramienta implementará mecanismos de detección de ataques de replicación y ataques de impresión.
La herramienta debe ser capaz de verificar que la fecha de validez del documento no ha expirado.
La herramienta deberá comprobar la integridad de los datos de la zona de inspección visual (Visual Inspection Zone o VIZ) con la zona de lectura mecanizada (Machine Readable Zone o MRZ).
La herramienta generará alertas al operador cada vez que detecte alguno de los ataques descritos o hayan fallado las comprobaciones de las pruebas.

MÓDULO DE EVALUACIÓN BIOMÉTRICA (MEB)

Como hemos comentado anteriormente, El MEB establece un conjunto de pruebas a realizar por parte del laboratorio al software objeto de evaluación (Target Of Evaluation o TOE) de cara a verificar la capacidad de verificación biométrica de la herramienta en evaluación. En este conjunto de pruebas se distinguen seis tipologías de ataques a prevenir:

Ataques de presentación de impostores: el objetivo de esta prueba es comprobar que el TOE no es vulnerable a la suplantación de un usuario fidedigno por parte de un atacante con parecido al usuario fidedigno.
Ataques de presentación usando vídeos: el objetivo de esta prueba es comprobar que el TOE no es vulnerable a la suplantación de un usuario fidedigno por parte de un atacante que utilice un vídeo de un usuario fidedigno.
Ataques de presentación usando máscaras de muy bajo coste: el objetivo de esta prueba es comprobar que el TOE no es vulnerable a la suplantación de un usuario fidedigno por parte de un atacante que utilice una máscara de bajo coste (por ejemplo, de papel) como artefacto.
Ataques de presentación usando máscaras avanzadas: el objetivo de esta prueba es comprobar que el TOE no es vulnerable a la suplantación de un usuario fidedigno por parte de un atacante que utilice una máscara avanzada como artefacto.
Ataques de presentación usando maquillaje: el objetivo de esta prueba es comprobar que el TOE no es vulnerable a la suplantación de un usuario fidedigno por parte de un atacante que utilice maquillaje como artefacto.
Ataques usando herramientas informáticas de deepfake: el objetivo de esta prueba es comprobar que el TOE no es vulnerable a la suplantación de un usuario fidedigno por parte de un atacante que utilice herramientas informáticas de deepfake. Estas herramientas son capaces de manipular el video y el sonido, de tal manera que se superponen elementos a las imágenes actuales. Centrándose en un posible uso de usurpación de la identidad, el deepfake se utilizaría para modificar el rostro de una persona sobre el vídeo donde aparece otra.

¿Qué me permite el hecho de contar con una solución cualificada por el CCN?

Hasta la fecha, el Onboarding Digital de Veridas es la única solución disponible en el mercado que permitirá a un prestador de servicios de confianza emitir certificados electrónicos cualificados de forma no presencial a partir del 1 de marzo de 2023.

Este hecho reconoce la labor continuada de Veridas en pos de la cualificación y la evaluación constante de todas sus soluciones, buscando aportar un elevado grado de certidumbre a sus clientes y logrando generar un estándar en la industria en relación a la evaluación independiente.

Veridas certifica el cumplimiento de toda regulación pertinente en todos los sectores en los que opera, como puede ser la normativa en prevención de blanqueo de capitales (SEPBLAC), la normativa en protección de datos (GDPR o CCPA), o las diferentes normas en la seguridad de la información (ISO 27001 y ENS) o la que regula las pruebas de vida (ISO 30.107) donde recientemente hemos obtenido el nivel 2 por parte de iBeta.

Cabe destacar que Veridas cuenta con tecnología 100% propietaria y completamente automatizada (no human in the loop), lo que le permite alcanzar altísimos niveles de precisión sin perjuicio de la privacidad y la seguridad.

Además, la apuesta por una aproximación Phygital al reto de identidad facilita que nuestros clientes puedan dar respuestas a todas sus necesidades bajo un único proveedor, desde el onboarding digital de nuevos clientes hasta su autenticación tanto en canales digitales como en entornos físicos.

La biometría y la protección de datos son una pareja indisoluble

Marta Morrás — Tue, 07 Jun 2022 12:05:56 +0000

Cumplimiento y tecnología se dan la mano

Acreditar nuestra identidad en entornos digitales se ha convertido en una actividad que realizamos prácticamente a diario. ¿Pero es un proceso seguro?

Existe una acuciante necesidad de mantener e incrementar la seguridad en todos estos procesos, sin que ello suponga un problema para la protección de nuestros datos personales. Y eso puede ser posible gracias a la biometría y los avances de la tecnología en inteligencia artificial.

Veridas y dasGate organizaron a finales de mayo un evento para presentar casos prácticos desde la perspectiva del cumplimiento y la tecnología. Una charla que fue moderada por Eduardo Arbizu, Of Counsel de Pérez-Llorca, y en la que participaron Agustín Puente, socio de Broseta Abogados; Alonso Hurtado, socio de ÉCIJA Abogados; Leire Arbona, Directora de Legal y Cumplimiento de Veridas y dasGate; y Eduardo Azanza, CEO y Cofundador de Veridas y dasGate.

La sesión, que estuvo dirigida especialmente a Data Protection Officers (DPO’s), permitió conocer la experiencia de acceso a El Sadar, el estadio del Club Atlético Osasuna, primer equipo de LaLiga en implantar con éxito un sistema de acceso por reconocimiento facial. Además, se analizaron en detalle soluciones biométricas de control de presencia y jornada en oficinas, así como procesos digitales y remotos de apertura de cuentas bancarias o emisión de certificados digitales.

Conclusiones del evento

Entre las conclusiones surgidas del evento se encuentran las siguientes:

La biometría moderna es garante y pilar para salvaguardar nuestra identidad, y no al contrario. Todo el mundo tiene el derecho a utilizarla.
Como hacemos en Veridas y dasGate, se pueden realizar proyectos de alta complejidad técnica con exquisito cuidado regulatorio.
Que los vectores biométricos modernos, si se pierden, roban o hackean, no son una amenaza a mi identidad (porque son irreversibles y no son interoperables, no pueden utilizarse fuera del sistema que los generó); esto es clave de bóveda para que la regulación se construya de manera proporcional.
La biometría y la inteligencia artificial generan un entorno más seguro para operar nuestra identidad en el espacio digital y físico (phygital).
Veridas y dasGate son líderes en materia tecnológica y protección de datos, y vamos por delante en desarrollo y transparencia.

Veridas supera la evaluación de iBeta PAD Level 2 de la ISO/IEC en su tecnología de prueba de vida

Paco Zamora — Fri, 22 Apr 2022 10:33:03 +0000

Veridas ha obtenido el informe de cumplimiento con la ISO 30107-3 tras superar la prueba de Presentation Attack Detection (PAD) de nivel 2 realizada por iBeta Quality Assurance. Esto supone un hito más en su compromiso por la constante mejora de su software y la evaluación independiente de las tecnologías biométricas.

De esta manera, Veridas se une a un reducido número de compañías tecnológicas en el mundo presentes en las evaluaciones de biometría facial del NIST, y que además cumplen con la ISO 30107-3, siendo la única empresa en el mundo si se añade la evaluación del NIST de voz.

La prueba de vida de Veridas superó el primer nivel de iBeta en diciembre de 2020 y ahora ha cumplido con éxito la evaluación de segundo nivel. En este caso, se han superado los más de 700 intentos de suplantación de identidad con una efectividad del 100%.

¿Qué es la detección de ataques de presentación (PAD)?

Dentro del campo de la biometría, los ataques de presentación consisten en presentar un artefacto o una característica humana fraudulenta al subsistema de captura biométrica en una forma tal que interfiera con la política del mismo sistema. Es decir, consisten en enseñar a la cámara un artefacto o característica biométrica consistentemente manipulados para engañar al sistema biométrico. Es por ello que la detección de los mismos, que juega un papel vital para asegurar la fiabilidad del proceso, es relevante en los sistemas de reconocimiento facial. Los métodos de detección de ataques de presentación (PAD, del inglés Presentation Attack Detection), permiten discernir entre datos biométricos fraudulentos y reales.

¿Qué es iBeta y la ISO 30107-3?

iBeta Quality Assurance es un laboratorio biométrico acreditado por la Alianza FIDO (identidad rápida en línea) y autorizado como laboratorio de pruebas por el Programa Nacional Voluntario de Acreditación de Laboratorios (NVLAP) de conformidad con la norma ISO/IEC 17025: 2017. Los expertos en aseguramiento de la calidad de iBeta trabajan con una amplia gama de compañías de tecnología biométrica para garantizar que los productos funcionen según los más altos estándares de la industria.

La ISO 30107-3 es el método de prueba diseñado para simular el enrolamiento de usuarios en un sistema de autenticación biométrica. Es la forma de testar la efectividad de la detección de vida. El nivel 1, enfocado en ataques más simples, se centra en fotos digitales y en papel de alta resolución, vídeos de desafío/respuesta de alta definición y máscaras de papel. Por su parte, el nivel 2, centrado en ataques más sofisticados, realiza el test con muñecos realistas y máscaras 3D de resina, látex y silicona, así cómo caras sintetizadas mediante imagen digital.

Veridas, a la cabeza de la lucha contra el fraude

El cumplimiendo con la norma ISO 30107-3 nivel 2 vuelve a demostrar la robustez de las soluciones de Veridas frente al fraude de identidad y los posibles ataques que puedan realizarse en los procesos de alta y autenticación online de sus clientes.

Veridas incorpora una alta capa de tecnología antifraude en todo su software, desde la captura de los datos por parte del usuario, hasta el análisis y verificación de estas evidencias por sus motores de Inteligencia Artificial.