La protección de la integridad y de la autenticidad de la información es un elemento que se ha convertido en un concepto clave para cualquier organización u empresa. Cada vez resulta más difícil y costoso cumplir con los mandatos de leyes y normativas, hacer frente a las amenazas internas y seguir los requerimientos asociados a la gestión, presentación y aceptación de pruebas electrónicas.

EADtrust, European Agency of Digital Trust, S.L. entidad especializada en la gestión de la confianza digital, ha desarrollado una solución que recoge, asegura y centraliza la información electrónica desde diversas fuentes de forma instantánea a partir del punto de recogida. Al procesar la información, la encadena asociando funciones resumen (Hash) y le aplica un “sello de tiempo” que permite garantizar su costodia y preservación y evidenciar cualquier intento de manipulación, obteniendo por lo tanto pruebas irrefutables de su integridad. Adicionalmente preseva testigos digitales (obtenidos de construcciones criptográficas denominadas ·árboles de Merkle”) en Blockchain, de modo que la preservación de la evidencias digitales se basa en diferentes tecnologías, que pueden verificarse independientemente.

La solución de EADTrust, llamada Cartulario blinda el entorno de gestión de la información que permite centralizar la custodia de todos los registros electrónicos y tratar diferenciadamente los documentos auténticos, aportando características de endosabilidad, obliterabilidad y completitud a los documentos permitiendo la diferenciación por capas de las diversas actuaciones posibles sobre un documento, en lo que se considera su matriz. De esta forma se pueden gestionar “originales electrónicos” de forma diferenciada a las “copias electrónicas auténticas”.

Un documento de la matriz, puede ser transferido controlando que la transmisión se produce una sola vez (concepto equivalente al que consiste en evitar el “doble gasto” utilizado  por los sistemas Blockchain).

En relación con los logs de los sistemas y otras informaciones que deban ser preservadas por ley (ver, por ejemplo la LEY 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones electrónicas y a las redes públicas de comunicaciones) simplifica las tareas de archivo, preservación y búsqueda de información, al tiempo que mantiene los registros en forma segura, procesándolos para alcanzar los más altos niveles de integridad.

Es capaz de manejar de forma fluida gran cantidad de información desde diferentes fuentes, incluyendo aplicaciones, bases de datos, servidores y dispositivos conectados a redes.

Los registros preservados en el Cartulario se encuentran en formato nativo (raw), han sido securizados a nivel de cada evento, se vinculan a los precedentes y sucesivos con técnicas criptográficas de control de precedencia y se les aplica un sello de tiempo infalsificable, por lo que permiten demostrar en forma fehaciente e irrefutable si algún registro ha sido manipulado, o garantizar que no lo ha sido. Usando una interfaz web, los registros preservados se pueden buscar y analizar según se requiera.

La interfaz permite determinar también las asociaciones de las evidencias electrónicas gestionadas con las transacciones blockchain correspondientes. Los sistemas de sello de tiempo se benefician del valor legal que les otorgan normas como el Reglamento UE 910/2014 (EIDAS), mientras que la conservacion de evidencias asociadas a Blockchain tienen una alto reconocimiento en la industria de la seguridad y en el mundo académico asociado a la criptografía.

El Cartulario de EADtrust ayuda a las organizaciones a reducir los costes asociados a procesos de auditoría (interna o externa), a la gestión de pruebas y evidencias electrónicas y a procesos de investigación de informática forense. T

También facilita el cumplimiento de leyes como la Ley 39/2015, (especialmente aspectos relativos al Esquema Nacional de Seguridad ENS), la LSSI, el Reglamento general de Protección de Datos (RGPD), y estándares como la normativa PCI-DSS o la certificación ISO 27001, especialmente en lo que se refiere a la prevención y detección de la manipulación de los registros electrónicos.

El uso de plataformas de preservación de evidencias digitales como Cartulario disuade el fraude electrónico, reduce el riesgo e impacto de la amenaza interna de las organizaciones y sirve como soporte en procesos jurisdiccionales al aumentar el valor probatorio de los registros, dándoles una mayor validez legal y permitiendo su uso como prueba electrónica en caso de litigio.

Los servicios complementarios de EADTrust ayudan a las empresas y organismos a definir el procedimiento de gestión de evidencias electrónicas para su aportación a procesos litigiosos o la integración con sistemas como la Sede Electrónica.

El Cartulario de EADtrust se diferencia de otras herramientas existentes en el mercado que intentan dar protección de la integridad, principalmente en su capacidad de procesar y asegurar la información en tiempo real y en el nivel de granularidad de la protección otorgada. Es la única herramienta que permite su empleo tanto en ámbitos de protección de evidencias electrónicas no estructuradas, como en el ámbito de la gestión documental de carácter probatorio.

Es también singular en el uso de herramientas criptográficas asociadas al Reglamento EIDAS junto con técnicas de uso de Blockchain.

Al aplicar técnicas criptográficas de clave simétrica y asimétrica  al mayor nivel de detalle en el momento en que la información se genera, se reduce el espacio de tiempo entre el momento en que su creación y el momento en que dicha información se procesa, reduciendo el lapso de tiempo de riesgo en que una manipulación pueda ocurrir. Por otra parte, el gran nivel de detalle permite precisar y señalar exactamente cuándo y dónde los registros electrónicos han sido manipulados (en caso de que la manipulación se produzca), descartando en ese caso la parte comprometida del fichero.

La solución de EADtrust admite documentos (con gestión de versiones o acciones sobre originales), ficheros dinámicos como e-mails, mensajes instantáneos, ficheros de vídeo o audio y logs.

En contextos de gestión documental permite el cumplimiento de normas tales como UNE-ISO 30301, ISAD(G), ISO 15489 o DOD 5015.2.

Leave a Reply