Francisco Ginel Feito, director general de ACE Agencia de Certificación Electrónica
«En el mercado español de certificación digital hay sitio para varios, pero no para todos»
ACE está dejando sentir su presencia en nuestro mercado, hasta ahora dominado por propuestas de autoridades de certificación y de proveedores de herramientas tecnológicas. La entrada en funcionamiento de su CPD de Tres Cantos, la joya de la corona de este proveedor de servicios de certificación, ha supuesto el punto de partida para la existencia de nuevas opciones de confianza digital en España. Francisco Ginel, director general de esta entidad afiliada a la red de confianza global de VeriSign, explica en esta entrevista algunas de las orientaciones de la actual Agencia de Certificación Electrónica.

– ¿Qué fue y qué es hoy ACE?

– En principio, la actividad de ACE estuvo muy centrada en el protocolo SET, cuya implantación no ha cuajado. Hace más o menos un año, hay un giro de la sociedad. Telefónica Data toma el 85% de su capital social y firma un acuerdo con VeriSign para convertirse en el afiliado español en la red de confianza global de esta multinacional, llegando a un acuerdo de centro de procesamiento. Como se sabe, VeriSign tiene dos niveles de afiliación, el de centro de procesamiento y el de centro de servicio. Este último se parece a una tienda de franquicia. VeriSign lo que monta es una serie de ‘tiendas’ en el centro de servicio, y cada una de estas tiendas está enfocada a vender un servicio de VeriSign, suministrado desde los centros principales de VeriSign en EE.UU. El Centro de Procesamiento es un estatus superior, en el que además de disponer de las ‘tiendas’, se tiene detrás la ‘fábrica’, que está conectada con VeriSign.

– ¿Por qué se optó por esta modalidad?

– Hay varios motivos. Primero: la capacidad de generar servicios propios y dar servicios locales más adaptados al mercado nacional y áreas de influencia.
Segundo: porque en un modelo de centro de procesamiento se pueden colgar centros de servicio en distintas localizaciones geográficas, algo fundamental ante la posibilidad de que el servicio se pueda extender a otros países donde Telefónica Data tiene presencia. Además, el centro de procesamiento da un mayor control sobre los servicios, permite tener un mayor conocimiento de cómo funciona VeriSign y supone un valor añadido, al permitir vender también el alojamiento del servicio dentro de los Telefónica Data Internet Centers. El de ACE está en el municipio madrileño de Tres Cantos y ha supuesto una inversión de 2.000 millones de pesetas entre programas y equipos, infraestructura de seguridad, capacidad de comunicaciones, dedicación de profesionales expertos... Pasar la auditoría SAS 70, a la que con periodicidad anual nos obliga VeriSign, no es ni fácil ni barato.

– Se entiende que la relación de afiliación a la red de VeriSign sale rentable a ambas partes...

– Es la idea, si no, no estaríamos en esto. La barrera de entrada es alta, y si no se confía en las posibilidades de negocio, mejor no meterse. Ahora bien, si superas la barrera inicial y confías en un modelo de servicio, gran parte del camino está recorrido.

– Modelo de servicio. Interesante...

– En el caso de la PKI hay diferentes opciones en el mercado: VeriSign, Entrust, Baltimore... Sus diferencias, a efectos tecnológicos, son nimias. Lo que varía es el enfoque: VeriSign opta por el de servicios.

– ¿Cuál está siendo la receptividad del mercado español al conjunto de propuestas de VeriSign?

– VeriSign ha sido conocida tradicionalmente por la venta de certificados para servidores de web. En España tenemos cerca de 1.600 certificados electrónicos de servidor, cifra aún pequeña. Empieza a haber una demanda creciente del servicio On site de PKI gestionada o en outsourcing, algo novedoso para muchos usuarios. Una vez que superemos dicha fase de novedad, simplemente habrá organizaciones que preferirán tener la PKI en casa, y otras muchas, que no consideren llevar a efecto este tipo de inversión, optarán por la externalización.

– ¿A qué achaca el poco número de certificados de servidor emitidos para el mercado español y qué resultados pretende obtener ACE en este segmento en 2001?

– Parece que en algunas organizaciones se está esperando a que la ‘psicosis’ de inseguridad se pase sola. En ciertos casos sería necesario algo más de iniciativa, sobre todo en un asunto como éste, en el que la inversión es irrisoria. Por supuesto, me refiero a certificados de servidor seguro emitidos por una AC reconocida, en la que ha habido un proceso de registro y de validación de datos controlable y auditable. Para finales de 2001 creo factible que superemos en ACE la cifra de 2.000 certificados de servidor seguro registrados y emitidos.
«En el caso de la PKI hay diversas opciones en el mercado, y sus diferencias a efectos tecnológicos son nimias. Lo que varía es el enfoque: VeriSign opta por el de servicios»

– ¿Por qué una gran empresa, a efectos de uso interno, debería optar por la externalización de PKI y no por la adquisición de herramientas tecnológicas?

– Existen razones: la confianza que aporta VeriSign, el elevado nivel de seguridad de nuestro CPD; cuesta tiempo y dinero alcanzarlo, y realmente, si no te dedicas a ello, debes plantearte si compensa acometer una inversión de ese calibre. Además, para mantener el servicio en un nivel de excelencia adecuado conforme el tiempo avanza hay que renovar periódicamente las inversiones. En nuestro caso, y por contrato, aseguramos al cliente actualizaciones anuales, y adaptaciones a las últimas tecnologías y requerimientos legales. Lo que cada entidad, sobre todo las grandes, necesita hacer al efecto es cuentas. ACE está obligada a ofrecer una disponibilidad por encima del 99%, dispone de costosos elementos de back-up y tiene contratado con el centro de VeriSign en California servicios de mirroring en el contexto de la recuperación ante desastres.Todo esto cuesta mucho dinero.

– Ya que hablamos de dinero, ¿cuándo está previsto que ACE dé beneficios?

– En un plazo de dos años. Lo cual, teniendo en cuenta las inversiones realizadas, es una apuesta agresiva.

– ¿Cree que una organización puede poner en manos de un proveedor de servicios una parte tan importante de la seguridad dinámica como es la relacionada con los servicios que cubre la PKI?

– Sí, siempre que el proveedor le demuestre que tiene unos niveles de seguridad excelentes, que está sometido a auditorías permanentes, y, que, además, la administración de la AC y de la PKI, va a estar única y exclusivamente en sus manos. Este es nuestro modelo. Hay una gestión remota que está controlada por el cliente desde los terminales que se instalan en sus dependencias. ACE se ocupa de garantizar el nivel de servicio.

– En la relación de ACE con VeriSign, ¿cómo es el reparto de papeles en la producción de servicios?

– En condiciones normales, los certificados de servidor seguro los emite VeriSign, y ACE funciona como autoridad de registro; los certificados de firma de código los tramitamos, y en cuanto montemos el servicio, podremos actuar también como autoridad de registro. La entidad emisora es VeriSign. Para otros tipos de certificados electrónicos, es ACE la entidad que registra y emite. Las razones para que la emisión de certificados de servidor seguro y de firma de código se lleve a cabo por VeriSign son de control y consistencia globales, no tanto de reticencias a la hora de ‘soltar’ esa responsabilidad. En un plazo que no me atrevo a precisar, estos certificados pueden pasar a ser gestionados directamente por los afiliados.

– Crudamente: ACE pone el dinero, el CPD, los especialistas, el conocimiento de mercado, y VeriSign la confianza. ¿Sale eso rentable a ACE y a Telefónica Data?

– VeriSign pone la confianza, el conocimiento adquirido y la tecnología; es una compañía tremendamente dinámica, que está continuamente añadiendo nuevos servicios y explorando nuevas posibilidades de mercado. Somos afiliados y socios de una compañía que está actualizando constantemente la tecnología y abriendo nuevas líneas de negocio. Y elegimos las que tienen interés para nuestros mercados. Y no sólo me refiero a a certificación, sino también a las pasarelas de pagos, servicios inalámbricos diversos, registro de dominios... El CPD es una plataforma de diversificación de líneas de negocio.

– ACE tiene interesantes referencias de mercado. ¿Podría mencionar las más significativas?

– Algunas resultan paradigmáticas; es el caso de nuestra posición en la jerarquía de confianza del Grupo Telefónica. En este momento, la clave raíz de OSI Corporativo, la que se va a ocupar de firmar a las autoridades de certificación de todas las compañías del Grupo Telefónica, es VeriSign; se generó en esta primavera en nuestro CPD de Tres Cantos. De hecho fue la primera ceremonia de generación de claves realizada allí. Además, estamos en el proceso de homologación de la tecnología VeriSign con Telefónica I+D para el proyecto Senda, en el que hay otras dos tecnologías homologadas. Nuestra intención es poder presentar nuestra opción a todas las compañías del Grupo, especialmente para proyectos de entrada única single sign on. Una de las ventajas que creo aportamos es que al tener el control de la jerarquía de la Corporación, lo que podemos conseguir es acumular estos volúmenes de certificados de todas las compañías que usen VeriSign en una única jerarquía, con lo que los descuentos por volúmenes son sustanciosos.
Tenemos otro proyecto interesante y de gran volumen con Telefónica, el e-Ágora, para la gestión de proveedores: intercambio de pedidos, facturas, órdenes de compra. Del mismo modo estamos trabajando en un proyecto con la Sociedad de Tasaciones, en el que hay un intercambio de grandes ficheros con imágenes, planos, tasaciones, que van firmados digitalmente. También me gustaría hacer referencia a Telefónica Data Perú, entidad para la que hemos arrancado el servicio On site remotamente. Creo que es la primera vez que se arranca un servicio de PKI en remoto, desde aquí, en Tres Cantos. Lo realizamos en diez días, y el servicio, que afecta a 5.000 personas, está funcionando con normalidad.
Por otro lado, en el contexto del servicio On site, una solución que en vez de gestionar certificados de usuario, lo que gestiona son paquetes de certificados de servidor seguro, hemos cerrado acuerdos con Renfe, Cajamadrid y el Corte Inglés, entre otros.

– ¿Quién ha sido el primer cliente de ACE en el segmento de certificados de servidor seguro?

– El primer certificado de servidor seguro emitido, tras arrancar la autoridad de registro aquí en España –que por cierto ha sido la primera vez que el certificado de servidor seguro VeriSign se produce de manera local en un país, en castellano y con un centro de atención a clientes en dicho país–, fue el de CC.OO.

– ¿Y BBVA? Se habla al respecto de su proyecto Identrus.

– BBVA es una entidad financiera con la que tenemos una relación cada vez más estrecha, y estamos colaborando en algunos frentes que creo van a dar fuerte en el mercado, toda vez puedan divulgarse.

– Parece que VeriSign ha adaptado sus servicios a la legislación de la UE.

– Los afiliados europeos a la red de confianza global, y los empleados europeos de VeriSign, llevábamos tiempo intentando convencer a los responsables de VeriSign acerca de la conveniencia de crear una versión del centro de proceso capaz de cumplir, hasta donde llega hoy día, la normativa europea sobre firma electrónica. Esta labor de zapa ha calado, y ya la versión 3.5 del CPD de VeriSign es capaz de trabajar con certificados cualificados de la UE.

– Antaño existía entre ACE y la FNMT-RCM un evidente enfrentamiento. ¿Están hoy sus relaciones más distendidas?

– Ni estamos enfrentados ni somos competencia, ni por nuestra parte existe la más mínima intención de que esto vuelva a suceder. ACE, antes, se presentaba como una autoridad de certificación, con lo cual entraba en competencia directa con otras propuestas; ahora no es una autoridad de certificación, sino un proveedor de servicios de certificación que aloja a las autoridades de certificación de sus clientes en outsourcing en un CPD.

– ¿Hay sitio para todos en el mercado español de certificación electrónica?

– Hay sitio para varios, pero no para todos. El número de actores que se encuentran en cada modelo de mercado es lo que habría que evaluar. Fabricantes de tecnología: Safelayer, de manera muy inteligente, ha sido consciente de que no tenía que limitarse a España, con lo cual ha salido. Baltimore y Entrust, están en casi todos los mercados. En el mundo de las ACs, mi opinión es que venimos de un momento de euforia, y algunas están saliendo adelante mejor que otras. De lo que no me cabe duda es de que la evolución del mercado se va a decantar por los servicios.

– ¿Qué servicios se están diseñando para Ceca, Sermepa y Sistema 4B, los otros accionistas de ACE?

– Una de las soluciones de las que estamos hablando con VeriSign, y de las que se pueden beneficiar nuestros accionistas, y muy en especial los operadores de medios de pago, es la gestión de certificados EMV. En los próximos años se va a producir una migración de las tarjetas de banda magnética a las EMV, en algunos casos criptográficas y en otros no. Algunas de estas tarjetas van a requerir la utilización de certificados electrónicos, eso sí muy peculiares. Estamos, pues, trabajando para ofrecer una propuesta en el contexto.
Texto: José de la Peña Muñoz
Fotografía: Jesús A. de Lucas
Documento en PDF
<volver