10 Nov Ley anti fraude – Integridad y conservación de la información de ventas
Como experto en ley antifraude aplicable as software en su artículo 201bis, asi como en la auto certificación NF525 quisiera reflejar en este articulo la necesidad de conservar la integridad y no alterabilidad de la información de facturas asi como la necesidad del orden y de la relación con los movimientos, o transacciones como denomina la ley, n y n+1.
Ley anti fraude – Integridad y conservación de la información de ventas
Dos de las dimensiones que nos recomienda la ley en su artículo 201bis y letra e es la necesidad que el software que genera facturas y en general transacciones económicas cumpla con lo que se denomina dimensiones de auditoria respecto de integridad y conservación.
Primeramente quisiera definir ambos conceptos:
Integridad (I): Imagen fiel de la información y medidas de seguridad que nos aseguran que los datos guardados en el sistema reflejan las operaciones que se han ido realizando en el únicamente mediante los casos de uso que la aplicación permite. En el caso de violación del sistema la integridad se rompe y se debe detectar por el mismo.
Conservación (C): Imposibilidad de alteraciones de la información almacenada en el sistema o copias de seguridad con el paso del tiempo.
Si observamos otras normativas más extendidas y con más tiempo de madurez como la NF525, puedo afirmar como auditor certificado CISA que es totalmente importante y clave mantener la imposibilidad de modificarla a posteriori, es decir, asegurar evidencias que cada movimiento se encuentra efectivamente almacenado en su valor original y en su orden original. Fundamentalmente conservar que el movimiento M + 1 no es un simple incremento, también debe incluir información contenida en el registro anterior para que el conjunto cree una cadena casi imposible de modificar. Es decir, estamos ante la necesidad de crear una cadena no modificable.
El lector puede entender que estamos ante lo que yo denomino “el qué” pero no tenemos definido exactamente “el cómo” o lo que es lo mismo, existen diferentes implementaciones para asegurar estos requisitos a día de este post.
Cadena no modificable. Firma digital basada en hash.
Una posible implementación, tal cual están evolucionando las leyes de TICKETBAI, NF525 en Francia y otras de Europa o del otro lado del Atlántico, podrían estar basadas en firma digital con criptografía asimétrica y certificado cualificado basada en encadenamiento de hash o arboles de Merkel. Esta implementación, que sugiero a todos mis clientes se describe en la siguiente imagen:
Esta es una posible implementación, basada en estándares de firma electrónica y sólida desde el punto de vista de mantener la cadena de movimientos que se generan en un software. Existen otras que recomiendo a mis clientes si ellos deciden según su tecnología o apetito al riesgo, cual implementar.
Conclusiones
Como auditor experto en ley antifraude española, TicketBAI y auto certificación NF525 es importante entender que muchas veces, y en otros sectores y organismos, la Agencia Tributaria de cada país, no siempre especifica exactamente la implementación valida, si no marca solo el camino o “el que” debemos cumplir. En este sentido y con mi experiencia desde hace muchos años con la Agencia Tributaria, por ejemplo en homologación de software de digitalización certificada, y como auditor CISA certificado, puedo ayudarles activamente y acompañarles en la adaptación a la nueva ley antifraude no solo en España si no en países como Francia. Muchos de mis clientes comercializan su software en ambos países.
Quedo a su entera disposición.
CEO en www.leyantifraude.com
911277300