LAF_LOGO_BN_1

eIDAS, proveedor de confianza, repositorio de certificados para firma de facturas y VERI*FACTU

Publicado el reglamento el pasado 6 de diciembre de 2023 en este post queremos hablar de una problemática que se ha pasado por alto, o al menos no se explica, sobre las implicaciones de aquellas soluciones web, especialmente Cloud SaaS, para implementar la firma electrónica basada en certificados y/o comunicar la factura mediante VERI*FACTU a la AEAT. ¿Saben las empresas de desarrollo las implicaciones que conlleva almacenar los certificados y claves de los clientes para realizar estas tareas obligatorias en la ley antifraude y otros casos de uso/negocio?

eIDAS, proveedor de confianza, repositorio de certificados para firma de facturas y VERI*FACTU

Cada día más nuestros clientes nos solicitan apoyo de asesoramiento y auditoria interna sobre el marco legal y técnico que supone ofrecer un servicio de confianza basado en firma electronica del certificado del obligado tributario (en adelante OT). Entendamos dos situaciones:

Onpremise. Donde los activos son propiedad y/o gestionados por el obligado tributario, por ejemplo una instalación cliente/servidor o un sistema cloud. En estos casos el certificado se gestiona por el OT, que es a su vez su propietario, teniendo, en general, un control exhaustivo de las claves, certificados y controles de expiración o acceso a ellos.

Cloud SaaS. Una modalidad cada día más extendida, el proveedor de solución de facturación ofrece un servicio en la nube de pago por uso, donde de forma general el OT accede vía navegador o APP. En estos casos los activos que forman el proyecto no son controlados ni gestionados por el OT, sino por el proveedor. Pero ¿Cómo hacer legal y técnicamente que se puedan firmar las facturas en la nube y comunicadas mediante VERI*FACTU? ¿Dónde se debe almacenar el certificado y la clave? ¿Qué marco legal debemos cumplir?, esta y otras cuestiones son complejas y deben ser tratadas siempre en el marco de eIDAS.

Repositorio de certificados

eIDAS nos proporciona el marco para cumplir con esta situación que denominaremos Repositorio de certificados. Estamos ante un servicio que denominaremos “servicio de confianza” donde “el proveedor de confianza” ofrece un servicio de firma electrónica, validación, almacenamiento y conservación basado en REGLAMENTO (UE) No 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO  de 23 de julio de 2014 y Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza. Recordemos que eIDAS nos indica que:

“…No almacenamiento ni copia de las claves, excepto en casos de gestión en el nombre del titular.

  • Artículo 9.1.b de la LSEC no almacenar ni copiar los datos de creación de firmas, sello o autenticación de sitio web de la persona física o jurídica que hayan prestado sus servicios salvo en caso de su gestión en nombre del titular…”

En este sentido seleccionar las medidas y controles de seguridad que nos ayuden a ofrecer este servicio, marco legal y contratos, clausulas y adendas que debemos establecer como proveedores con nuestros clientes y otras cuestiones como seleccionar adecuadamente las normas ETSI (y otros) que nos garanticen el cumplimiento, asi como la obligación de establecernos como proveedor de confianza al menos no cualificado son tareas complejas que los empresarios y desarrolladores de este tipo de soluciones se enfrentan.

Conclusión

Si su solución de facturación es Cloud-SaaS necesitará los certificados de sus clientes para generar las firmas y comunicación VERI*FACTU de las facturas de sus OT. Cuente con nosotros y nuestro servicio de Auditoria y asesoramiento de repositorio de certificados para la firma remota, así como la obligación de establecerse como proveedor de confianza.

Apúntese a nuestro webinar donde conocerá más sobre la ley antifraude y estas cuestiones sobre eIDAS y firma remota en este enlace.

eidas@leyantifraude.com

¡TE AYUDAMOS!

Por favor, activa JavaScript en tu navegador para completar este formulario.
Te afecta como:
¿En qué te ayudamos?

Cláusula informativa Normativa de Privacidad