Memorias Taller de Co-Creación Autenticación Electrónica

Anuncio
MEMORIA DE LA SESIÓN DEL TALLER DE CO-CREACIÓN DEL AUTENTICACIÓN
ELECTRÓNICA
1 DE DICIEMBRE DE 2015
1. INTRODUCCIÓN
Este documento presenta el proceso y los resultados obtenidos en el Taller de Cocreación del proyecto Autenticación Electrónica realizado en Bogotá el pasado 1
de diciembre de 2015. Este taller hace parte de la fase de definición del modelo
más conveniente para la implementación en los próximos cuatro años del proyecto
estratégico Autenticación Electrónica. Estas actividades se convierten en insumos
para
el
diseño
del
modelo
desde
las
perspectivas:
técnica,
financiera,
organizacional, sociocultural y jurídica, articulado con instancias nacionales y
locales.
2. ASISTENTES
ENTIDAD
ACH COLOMBIA
ADA
ANDES SCD
ARCHIVO GENERAL DE LA NACIÓN
ASOBANCARIA
ASOFONDOS
BBVA
CAMARA DE COMERCIO BARRANQUILLA
CAMARA DE COMERCIO BOGOTÁ
CARVAJAL
CCIT
CERTICAMARA
CLARO
COLNODO
COLPENSIONES
NUMERO DE
PARTICIPANTES
1
1
1
2
1
1
1
1
1
1
1
6
2
1
1
Ministerio de Tecnologías de la Información y las Comunicaciones
Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13
Código Postal: 111711 . Bogotá, Colombia
T: +57 (1) 3443460 Fax: 57 (1) 344 2248
www.mintic.gov.co - www.vivedigital.gov.co
GDO-TIC-FM-009
V2.0
COLVISTA
COMFECAMARAS
CORPORACIÓN SOMOS MAS
CORPORACIÓN COLOMBIA DIGITAL
CRIMSON LOGIC
D2M
DATA TOOLS
DEPARTAMENTO NACIONAL DE PLANEACIÓN
DEPARTAMENTO PARA LA PROSPERIDAD SOCIAL
DIAN
DIGITAL WARE
ENP
FACTURE SAS
FUNCIÓN PUBLICA
FUNDACIÓN KARISMA
GAMMA INGENIEROS
GUARUMU
INDEPENDIENTE
INNDENOVA
ITS
LINK TIC
MASTERCARD
MICROSOFT
MINISTERIO DE RELACIONES EXTERIORES
MINISTERIO DE SALUD
MOBILITYGUARD
ONAC
ORACLE
PROCURADURÍA
PROSPERIDAD SOCIAL
REGISTRADURIA NACIONAL DEL ESTADO CIVIL
RUNT
SOCIEDAD CIVIL
SOFTMANAGEMENT
SOFTWARE COLOMBIA
SUPERFINANCIERA
SUPERINTENDENCIA DE NOTARIADO Y REGISTRO
THOMAS GREG & SONS
UNIÓN COLEGIADA DEL NOTARIADO COLOMBIANO
UNIVERSIDAD DISTRITAL
1
1
1
1
1
1
3
1
1
3
1
1
1
4
1
2
3
3
1
1
3
1
1
2
2
1
2
1
3
1
2
1
1
1
3
1
1
3
1
2
Ministerio de Tecnologías de la Información y las Comunicaciones
Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13
Código Postal: 111711 . Bogotá, Colombia
T: +57 (1) 3443460 Fax: 57 (1) 344 2248
www.mintic.gov.co - www.vivedigital.gov.co
GDO-TIC-FM-009
V2.0
UNIVERSIDAD LOS ANDES
1
3. METODOLOGÍA GENERAL DEL TALLER
El taller estuvo estructurado metodológicamente en cinco secciones: i).15 minutos
de explicación del reto por parte del facilitador. ii). 15 minutos para que de manera
individual cada persona escriba sus ideas en post-it. iii) 30 minutos cada persona
expone sus ideas al grupo. iv) 60 minutos para que entre todos construyan la
propuesta de modelo o estrategia según sea el caso. V) 60 minutos para socializar y
retroalimentar entre todos los asistentes.
4. AGENDA
AGENDA
TIEMPO
HORA
1. Bienvenida- Introducción
10
8:45-8:55
2. Palabras del Ministro
5
8:55-9:00
3. Palabras de la Vice Ministra
20
9:00-9:20
4. Presentación del Benchmarking- Preguntas
40
9:20-10:00
5. Presentación de los Modelos
20
10:00-10:20
Break
15
10:20-10:35
6. Dinámica generación de ideas
15
10:35-10:50
7. Presentación metodología
5
10:50-10:55
8. Mesas de trabajo
120
10:55-12:55
9. Socialización
60
12:55- 1:55
10. Cierre
10
1:55-2:05
11. Almuerzo
60
2:05-3:05
5. DESARROLLO DEL TALLER
A continuación se presenta el resumen de las opiniones de los integrantes de las
mesas de trabajo del taller por cada uno de los retos identificados:
Ministerio de Tecnologías de la Información y las Comunicaciones
Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13
Código Postal: 111711 . Bogotá, Colombia
T: +57 (1) 3443460 Fax: 57 (1) 344 2248
www.mintic.gov.co - www.vivedigital.gov.co
GDO-TIC-FM-009
V2.0
Mercado
Se debatieron en general los temas relacionados con el mercado, la conformación
del mismo, mecanismos de entrada y la institucionalidad relacionada con la
supervisión del esquema:

No se considera que sea viable un modelo centralizado y operado por el
Estado, ya que este no está listo para ejercer esta función, y tomaría mucho
tiempo implementarlo y no son claros los recursos para ello, se prefiere un
esquema de múltiples operadores con orquestador distribuido.

Se propone que el Estado defina las reglas de entrada, sostenimiento y salida.
Dichas reglas han de incluir estándares técnicos, de seguridad, requisitos
legales, entre otros.

Se debe considerar una condición de mercado donde él mismo sea quien
determina cuántos actores caben, promoviéndose un ambiente de sana
competencia.

Se estima que debe existir interés no solo del sector Gobierno si no del sector
privado, con lo cual es importante entonces permitir el uso mixto.

Se deben definir muy bien las condiciones de remuneración mayorista por
compensación entre operadores. Este precio debe ser regulado e incluso
pudiera ser cero. No obstante debe considerarse que así como hay
operadores que pueden atender empresas/entidades y enrolar usuarios y de
esta forma compensar “tráfico” con otros en similar condición, pudieran
también existir operadores especializados en enrolar ciudadanos y otros en
atender empresas, con lo cual el modelo de no pago en compensación
eliminaría estas posibilidades pues no permitiría mayor ingreso a quien se
especializa en enrolamiento.

Es importante buscar sinergias con redes ya existentes donde se pueda
realizar el enrolamiento de ciudadanos que se percibe como el proceso más
complejo y costoso pues debiera ser presencial y atado a factores
biométricos.
Ministerio de Tecnologías de la Información y las Comunicaciones
Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13
Código Postal: 111711 . Bogotá, Colombia
T: +57 (1) 3443460 Fax: 57 (1) 344 2248
www.mintic.gov.co - www.vivedigital.gov.co
GDO-TIC-FM-009
V2.0
Relaciones

Deben existir reglas claras para el relacionamiento y coordinación entre
operadores así como para la portabilidad del usuario.

Es fundamental así mismo definir interfaces con los responsables de bases de
datos que determinan roles o atributos de los ciudadanos y que deben estar
disponibles y actualizadas en línea. (Ej. Cámaras de comercio para definir si
una persona es o no representante legal de una entidad, entidades públicas
para definir si una persona es o no funcionario cuando actúe como tal,
registros profesionales para verificar validez de la profesión cuando actúa la
persona en esa calidad, etc.). El operador debe poder establecer con los
responsables de estas bases de datos cuando la persona ya perdió una
cualidad o atributo en un rol específico.
Autorización de entrada y supervisión

La libre entrada debe ser regulada y basada en requisitos técnicos. Se
considera que quien debe regular debe ser el MINTIC, con un proceso de
acreditación ante la ONAC.

En materia de supervisión, se considera que el ente de vigilancia debe ser la
SIC, complementado por la vigilancia de las múltiples entidades que
correspondan según la naturaleza de la información o trámite que se requiera
y el acceso a cierto tipo de información (v.g. RNEC, BD donde constan roles o
perfiles de personas, etc…)

Se considera fundamental el papel de la ONAC para asegurar la
interoperabilidad. Los estándares deben apuntar a mitigar los riesgos de
suplantación de identidad, en general se sugiere que el modelo debe ser de
tipo PKI.

Se debe tener claro un marco de precios y un tema de calidad como parte
de los elementos a considerar en las reglas de entrada. Se podría considerar
regulación de tarifas por perfiles.
Ministerio de Tecnologías de la Información y las Comunicaciones
Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13
Código Postal: 111711 . Bogotá, Colombia
T: +57 (1) 3443460 Fax: 57 (1) 344 2248
www.mintic.gov.co - www.vivedigital.gov.co
GDO-TIC-FM-009
V2.0

Debe
existir
un
tema
de
evidencia
asegurada,
el
mecanismo
de
autenticación electrónica debe contemplar integridad, autenticidad, no
repudio y la disponibilidad para tener el mecanismo idóneo y sobre todo ser
auditable para efectos de tener certeza frente a momentos donde deba ser
un elemento probatorio.

Los mecanismos técnicos considerados deben garantizar la verificación en
largos periodos de tiempo. (longevidad). Principio de equivalencia funcional y
validez jurídica probatoria.

Para masificar debe tenerse en cuenta que el enrolamiento debe ser
biométrico presencial, luego se le puede dar una identidad digital para que
realice los trámites. Aquí jugarán un papel fundamental entidades con
cubrimiento como grandes cadenas, sector financiero, etc… Posteriormente,
de forma remota se pueden utilizar los mecanismos de PKI.

Se debe ir a enrolar a las personas que no cuenten con internet y considerar
cómo proveerle después el servicio. Soluciones como Kioscos Vive Digital
juegan aquí un rol fundamental.

Es importante implementar la firma digital o firma electrónica en el set de
mecanismos, la cual resultaría importante como mecanismo de autenticación
para dar validez jurídica y mitigar el riesgo del no repudio de las
transacciones.

Creación de estándares para la implementación que faciliten el tema de
interoperabilidad, definir las reglas de juego, y garantizar que se respeten los
estándares de interoperabilidad.

Los particulares podrían prestar el Servicio público de autenticación
electrónica. El mercado debe tener apertura para que el tercero preste el
servicio.

Operadores grandes integren a las empresas pequeñas. Operador grande
coge a los pequeños para operar el servicio e integrarlo.
Ministerio de Tecnologías de la Información y las Comunicaciones
Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13
Código Postal: 111711 . Bogotá, Colombia
T: +57 (1) 3443460 Fax: 57 (1) 344 2248
www.mintic.gov.co - www.vivedigital.gov.co
GDO-TIC-FM-009
V2.0

Se deben tener unos requisitos mínimos por operador para cada una de las
bases de datos. Permisos basados en los estándares.

Debería ser un tema de libre competencia, con estándares de calidad.

La libre entrada debe ser regulada de acuerdo con los requisitos técnicos
dispuestos por Mintic.

El regulador debe ser Mintic, la acreditación la ONAC, quien debería ser la
encargada
de
asegurar
la
interoperabilidad,
mitigar
los
riesgos
de
suplantación de identidad a través de PKI y la vigilancia y control la SIC.

Deben ser unos requisitos mínimos en donde el operador debe tener
requerimientos mínimos de robustez.

Se debe revisar el tema con la ley de protección de datos personales.

El modelo debe contemplar una gran invitación al sector privado. Se subsidia
el modelo y también debe haber una participación mayoritaria por parte del
Estado.

Los operadores competirían por servicio

Se debe tener un marco de precios.

Los operadores deberían ser los terceros de confianza, que son las entidades
de certificación digital.

El mecanismo de autenticación electrónica debe contemplar integridad,
autenticidad, no repudio y la disponibilidad para tener el mecanismo idóneo.

Los mecanismos técnicos para garantizar la verificación en largos periodos de
tiempo. (longevidad). Principio de equivalencia funcional y validez jurídica
aprobatoria.

Regulación de tarifas, por perfiles.

El tema de interoperabilidad no debe tener costo.
Ministerio de Tecnologías de la Información y las Comunicaciones
Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13
Código Postal: 111711 . Bogotá, Colombia
T: +57 (1) 3443460 Fax: 57 (1) 344 2248
www.mintic.gov.co - www.vivedigital.gov.co
GDO-TIC-FM-009
V2.0

El enrolamiento debe ser biométrico presencial. (dispositivo móvil), luego se le
puede dar una identidad digital para que realice los trámites.

La validez jurídica deben darla los terceros de confianza que tengan
imparcialidad.

Los mecanismos de PKI diferentes perfiles o roles, se debería implementar
como una regla importante.

El operador debería sincronizar las bases de datos, para contar con el tiempo
real.

El tercero de confianza debe tener las funciones de autoridad de registro,
para darse cuenta cuando la persona ya perdió una cualidad o atributo.

La ONAC debe asegurar que se cumplan con los requisitos mínimos de los
operadores.

Garantía de cobertura de riesgos, y la cobertura a nivel nacional.

Se debe ir a enrolar a las personas que no cuenten con internet.

Se debe implementar la firma digital o firma electrónica resultaría importante
como mecanismos de autenticación para dar validez jurídica y mitigar el
riesgo del no repudio de las transacciones.
Ministerio de Tecnologías de la Información y las Comunicaciones
Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13
Código Postal: 111711 . Bogotá, Colombia
T: +57 (1) 3443460 Fax: 57 (1) 344 2248
www.mintic.gov.co - www.vivedigital.gov.co
GDO-TIC-FM-009
V2.0
Representación gráfica
Seguridad y Privacidad

Considerar el SOAP y ISO 217001 como estándar internacional para garantizar
la seguridad del modelo. Los estándares deben definirse a nivel legal.

Necesidad de asegurar los datos a partir de ciberseguridad y
manejar
estándares de riesgos. Sin embargo hay posturas que proponen que no haya
un único estándar para garantizar mayor seguridad.

Se sugiere que el modelo comprenda un mecanismo sencillo y de acceso
fácil; debe ser un habilitador antes que restricto; contemplar la posibilidad
que cada ciudadano cuente con una tarjeta, como en otros modelos del
mundo. Del modelo debe desprenderse un componente de protección,
confianza y seguridad.

Debe contener un único criterio de autenticación, la huella como parámetro
de seguridad de autenticación. Se considera la Firma digital útil por el tema
de autenticidad, integridad y no repudio
Ministerio de Tecnologías de la Información y las Comunicaciones
Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13
Código Postal: 111711 . Bogotá, Colombia
T: +57 (1) 3443460 Fax: 57 (1) 344 2248
www.mintic.gov.co - www.vivedigital.gov.co
GDO-TIC-FM-009
V2.0

La seguridad se puede garantizar de la manera más exigente, de manera
robusta, ideal ante RNEC, asegurándose la usabilidad.

Se debe garantizar un modelo tarifario bajo pues los costos pueden impedir el
desarrollo adecuado del modelo

Se propone que haya un tercero independiente cuyo rol sea la habilitación

Se requiere auditoria de los proveedores de identidad.

Deben renovarse algoritmos de autenticación.

Debe ser un modelo interoperable, para que no genere problemas, Apéndice
F del FBI para estándares en Biometría que garanticen interoperabilidad con
bases de datos públicas y privadas

Privacidad por diseño

Para el enrolamiento se propone que se utilice la base de datos de la
Registraduría Nacional del Estado Civil – Despliegue de mecanismos de
autenticación

Debería tenerse actualización periódica sobre la autenticación
Representación gráfica
Ministerio de Tecnologías de la Información y las Comunicaciones
Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13
Código Postal: 111711 . Bogotá, Colombia
T: +57 (1) 3443460 Fax: 57 (1) 344 2248
www.mintic.gov.co - www.vivedigital.gov.co
GDO-TIC-FM-009
V2.0
Masificación

Se propone una estrategia de masificación para garantizar el uso y apropiación
por parte de los ciudadanos en donde se realicen planes de cambio para las
regiones.

Se considera que un modelo gratuito para el ciudadano puede ser un factor
clave a la hora de masificar el modelo.

Se diseñe un plan de cambio basado en una gestión de incentivos para quienes
lo utilicen.

Apalancarse en las redes sociales como mecanismo de difusión masiva para dar
a conocer el modelo y potenciar el enrolamiento.

La estrategia de implementación debe diseñarse sobre la base que debe ser
gradual, la vinculación escalonada de los partícipes. Definir un modelo gradual
de implementación de la AE.

Para las entidades públicas debe lograrse la obligatoriedad para la utilización de
los mecanismos de AE.
Ministerio de Tecnologías de la Información y las Comunicaciones
Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13
Código Postal: 111711 . Bogotá, Colombia
T: +57 (1) 3443460 Fax: 57 (1) 344 2248
www.mintic.gov.co - www.vivedigital.gov.co
GDO-TIC-FM-009
V2.0

Generación de reglamentación interna en las Entidades Públicas en la cual se
adhieran a las normas ya existentes, tales como Cero Papel, Decreto 019 de

Utilizar los mecanismos de interoperabilidad existentes.

Se debe diseñar una estrategia gradual de implementación a nivel el país cuyo
despliegue esté a cargo de los operadores con el apoyo del y lineamientos de
Mintic. Apalancarse con operadores existentes.

Masificar el servicio de internet

Vincular sectores claves: Financiero, entidades acreditadoras, de vigilancia.,
aseguradores, etc.

Los tramites más relevantes podrían ser:
o
Los que ostentan la característica de “No repudio”
o
Trámites para la identificación
o
Transaccionales.
o
De carácter no público.
Los mecanismos donde se deberían aplicar mecanismos simples podrían ser:

Información general

Certificados

Autorizaciones
Los mecanismos donde se deberían aplicar mecanismos robustos podrían ser:

Aquellos trámites que tienen características de “No repudio”

Trámites notariales

Impuestos

Pagos

Patrimoniales.

Aquellos que requieren carácter probatorio.

Transacciones que involucren obligaciones para el peticionario.

Los incentivos que debieran establecerse para usuarios y para entidades
podrían ser la reducción en los costos de los trámites para quienes los
realicen, disminución en los tiempos de respuesta dentro de los términos de
Ministerio de Tecnologías de la Información y las Comunicaciones
Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13
Código Postal: 111711 . Bogotá, Colombia
T: +57 (1) 3443460 Fax: 57 (1) 344 2248
www.mintic.gov.co - www.vivedigital.gov.co
GDO-TIC-FM-009
V2.0
ley, beneficios tributarios, generar acciones para que la AE sea mecanismo
de ahorro para las empresas.

Se recomienda mostrar las ventajas de la Autenticación Electrónica para
garantizar el uso y apropiación: En tiempo, seguridad y ahorros. mayores
recursos para investigación, desarrollo e innovación, menores costos de las
transacciones y como consecuencia mayor eficiencia.

Se puede garantizar el uso de los mecanismos de AE sean exclusivos del
titular, a través de la generación de reglamentación suficiente y adecuada
para el servicio de AE, enrolamiento presencial y tecnología de punta.
Representación gráfica
Ministerio de Tecnologías de la Información y las Comunicaciones
Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13
Código Postal: 111711 . Bogotá, Colombia
T: +57 (1) 3443460 Fax: 57 (1) 344 2248
www.mintic.gov.co - www.vivedigital.gov.co
GDO-TIC-FM-009
V2.0
Financiero

Se debe tener en cuenta que el modelo definitivo no tenga elementos
burocráticos por parte del Estado, toda vez que esto podría limitar el desarrollo
del modelo. Encuentran inviable el modelo 1 y 2 presentados durante el taller.

El sector bancario estaría ampliamente interesado en sumarse al modelo de
autenticación por encontrar múltiples beneficios.

Un modelo de operadores en competencia tiene varias ventajas, entre ellas, que
es un modelo de rápida implementación y que exige la existencia de un
regulador

De cara al modelo financiero, es importante identificar aquellas transacciones
monetizables y las transacciones que van a ser gratuitas para el ciudadano.

El enrolamiento por parte del ciudadano debe hacerse una sola vez.

Modelo seleccionado: Ello implica la definición de Orquestador(es) que definan
las pautas y lineamientos de operación.

El modelo debe hacerse sostenible en el tiempo y supone la existencia de
transacciones muy sensibles y otras que no. Asimismo, debe considerar una
Ministerio de Tecnologías de la Información y las Comunicaciones
Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13
Código Postal: 111711 . Bogotá, Colombia
T: +57 (1) 3443460 Fax: 57 (1) 344 2248
www.mintic.gov.co - www.vivedigital.gov.co
GDO-TIC-FM-009
V2.0
mayor o menor seguridad en la cual, a mayor seguridad mayor el precio del
trámite.

El modelo supone la existencia de diversos tipos de trámites, algunos Esenciales
(que podrían ser gratuitos) y otros No Esenciales (que tendrían un mayor costo).
Se plantea que el Congreso sea el organismo que puede llegar a definir,
mediante alguna ley, qué trámite es esencial y cuál no.

Disposición de pago: Se plantea la posibilidad que el cliente puede llegar a
pagar la autenticación, en función de la realización de un trámite ágil y
expedito.

Se deben aprovechar los recursos existentes (tecnología, mecanismos de
autenticación
y
actores
actuales).
Ello
generará
una
mayor
relación
beneficio/costo.

Se debe considerar la compensación, como mecanismo para compensar las
operaciones realizadas entre diferentes operadores. Si bien no se llegó a una
posición unánime en la mesa de cómo debe operar, se debe tener en cuenta en
la definición del modelo.

Se plantean dos esquemas de operación:
Ministerio de Tecnologías de la Información y las Comunicaciones
Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13
Código Postal: 111711 . Bogotá, Colombia
T: +57 (1) 3443460 Fax: 57 (1) 344 2248
www.mintic.gov.co - www.vivedigital.gov.co
GDO-TIC-FM-009
V2.0
o
Esquema 1: Donde el operador se lleve tanto la “carne” (trámites que
generan un costo para el ciudadano y que permiten subsidiar otros
trámites) como el “hueso” (trámites que no generan costos para el
ciudadano).
o

Esquema 2: Donde la operación sea subsidiada por el Estado.
Para la implementación del modelo que se defina, es importante el liderazgo y
empoderamiento de las entidades públicas sobre el modelo. Esto puede
considerar:
o Una estructura en donde Directores, Ministros y demás directivos de
entes territoriales y entidades públicas organicen pagos, gestión
electrónica y forma de realizar los trámites directamente con los
Operadores.
o De considerarse lo anterior, el Ministerio debe definir un marco
regulatorio para facilitar esta operación.

Es importante identificar los servicios de valor agregado que se pueden
monetizar.

Para el ciudadano debe ser completamente transparente la operación en el
back office.

Se propone un modelo con costo para el ciudadano al momento del
enrolamiento; este valor es el precio que el ciudadano tendría que pagar al
estado para la prestación de dicho servicio, dado que el beneficiado es el
ciudadano por dotar sus comunicaciones de seguridad, agilidad en los tramites
que se realizan on-line con el estado.

El pago por el enrolamiento cubriría cualquier dispositivo, de ser necesario, que el
ciudadano deba usar para el proceso y adicional cubriría de manera gratuita los
tramites básicos del ciudadano con el Estado. Igualmente, se plantea poder
prestar servicios a particulares con costo por tipo de autenticación.

Otro consideran que este servicio debe ser gratuito para el ciudadano y debe
ser solo para que transe con el Estado y en futuros años se podría extender a
prestar el servicio a entes privados.
Ministerio de Tecnologías de la Información y las Comunicaciones
Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13
Código Postal: 111711 . Bogotá, Colombia
T: +57 (1) 3443460 Fax: 57 (1) 344 2248
www.mintic.gov.co - www.vivedigital.gov.co
GDO-TIC-FM-009
V2.0

En la mesa se planteó, que el modelo operado por el estado, no debe generar
ingresos de forma que sea auto sostenible ya que el principal objetivo es
aumentar la seguridad de los trámites y evitar los fraudes. Por lo anterior se pensó
en el proyecto como un ahorro en el costo del fraude que se presenta dentro de
las organizaciones públicas que pueden impactar a la sociedad.

La información debe reposar sobre una única base de datos de la cual se
pueden conectar los operadores que sean aprobados o el único que preste el
servicio.
Representación gráfica
Ministerio de Tecnologías de la Información y las Comunicaciones
Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13
Código Postal: 111711 . Bogotá, Colombia
T: +57 (1) 3443460 Fax: 57 (1) 344 2248
www.mintic.gov.co - www.vivedigital.gov.co
GDO-TIC-FM-009
V2.0
Mesa Técnica
Se debatieron en general los temas relacionados con la parte técnica y seguridad
del servicio, aunque salieron a colación asuntos jurídicos y financieros que
impactaban en la decisión sobre los diferentes aspectos técnicos que se revisaron.
Con el fin de organizar la sesión se establecieron dos objetivos principales. Por un
lado, establecer un listado de funcionalidades que debería tener el sistema y por
otro lado identificar requisitos técnicos y de seguridad que debía cumplir el servicio
de autenticación, para finalmente poner especificar un proceso completo del
servicio de autenticación.
Las conclusiones sobre los requisitos funcionales y técnicos que debe cumplir el
servicio fueron las siguientes:

Debe proporcionar un mecanismo de enrolamiento que verifique de forma
fehaciente la identidad de la persona.

El mecanismo de enrolamiento debe realizarse la primera vez de forma física y
debe verificarse la huella de la persona con el servicio de la Registraduría.
Ministerio de Tecnologías de la Información y las Comunicaciones
Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13
Código Postal: 111711 . Bogotá, Colombia
T: +57 (1) 3443460 Fax: 57 (1) 344 2248
www.mintic.gov.co - www.vivedigital.gov.co
GDO-TIC-FM-009
V2.0

El sistema debe disponer en el proceso de enrolamiento de un mecanismo
que proporcione al usuario un mecanismo múltiple de identificación. Se
proponen mecanismos de Biometría (facial, voz y dactilar), Smartphone y
password simple.

Por políticas de seguridad dichos mecanismos de autenticación deben poder
ser revocables por parte del ciudadano, lo cual implica que por debajo el
sistema funcione con tecnología PKI.

El sistema debe permitir a los usuarios autenticar tanto su identidad como
documentos. Lo cual implica disponer de un sistema PKI.

Debido a que principalmente se va a utilizar para autenticar a los ciudadanos
con el Estado y para autenticar trámites con el Estado, el sistema debe
garantizar la validez jurídica de los procesos, lo cual implica la realización de
firmas digitales y un modelo PKI.

El sistema de autenticación debe ser multifactor. Idealmente utilizando el
Smartphone como uno de estos factores.

El proceso de autenticación basado en modelo PKI, debe asegurar que la
clave privada del certificado digital esté siempre bajo el poder exclusivo del
firmante, no pudiéndose estas regenerarse en servidor ni almacenarse
directamente en servidor.

En el servidor sólo podrán almacenarse claves derivadas de la clave privada
del usuario y la recomposición de dicha clave sólo debe ser posible mediante
algo que sólo el usuario posea (biometría, password o Smartphone, según el
nivel de seguridad).

Las claves derivadas deben almacenarse sólo en servidores criptográficos
HSM, FIPS 140-2.

Se debe disponer de directorios LDAP, que identifiquen cada usuario en que
operador está enrolado.
Ministerio de Tecnologías de la Información y las Comunicaciones
Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13
Código Postal: 111711 . Bogotá, Colombia
T: +57 (1) 3443460 Fax: 57 (1) 344 2248
www.mintic.gov.co - www.vivedigital.gov.co
GDO-TIC-FM-009
V2.0

La integración del sistema de autenticación con las plataformas de las
Entidades se realizará mediante OpenID Connect u OpenAuth.

Los intercambios de información entre sistemas se realizarán mediante
webservices seguros siguiendo protocolos WS-I de la plataforma OASIS.

El sistema de autenticación debe solicitar al usuario, primero su número de
cédula o alias y posteriormente al menos dos de los diferentes métodos de
autenticación para los que se enroló, por ejemplo, su cara para el proceso de
reconocimiento facial e incorporar el password en el Smartphone para
completar el proceso.

El proceso resultante de la autenticación será un ticket firmado digitalmente
que será el enviado a las plataformas de las entidades, como prueba de
autenticación.
Requerimientos técnicos a los operadores:

Disponer de ISO 27001 y 9001.

El datacenter debe contar con infraestructuras Tier III de alta disponibilidad,
con caminos redundantes de servicio tanto para servicios eléctricos como de
climatización en las salas de alojamiento.

El datacenter debe disponer de equipos criptográficos especializados HSM
FIPS 140-2, para almacenamiento de las claves derivadas.

Debe disponer de certificación Webtrust para Autoridades de Certificación
Ministerio de Tecnologías de la Información y las Comunicaciones
Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13
Código Postal: 111711 . Bogotá, Colombia
T: +57 (1) 3443460 Fax: 57 (1) 344 2248
www.mintic.gov.co - www.vivedigital.gov.co
GDO-TIC-FM-009
V2.0
Ministerio de Tecnologías de la Información y las Comunicaciones
Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13
Código Postal: 111711 . Bogotá, Colombia
T: +57 (1) 3443460 Fax: 57 (1) 344 2248
www.mintic.gov.co - www.vivedigital.gov.co
GDO-TIC-FM-009
V2.0
6. PUESTA EN COMÚN
a) Seguridad y privacidad
Ministerio de Tecnologías de la Información y las Comunicaciones
Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13
Código Postal: 111711 . Bogotá, Colombia
T: +57 (1) 3443460 Fax: 57 (1) 344 2248
www.mintic.gov.co - www.vivedigital.gov.co
GDO-TIC-FM-009
V2.0
b) Mercado
c) Masificación
Ministerio de Tecnologías de la Información y las Comunicaciones
Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13
Código Postal: 111711 . Bogotá, Colombia
T: +57 (1) 3443460 Fax: 57 (1) 344 2248
www.mintic.gov.co - www.vivedigital.gov.co
GDO-TIC-FM-009
V2.0
d) Financiación
e) Técnico y funcional
Con la puesta en común de estos desafíos se concluye el taller y se procede al cierre
del mismo.
Ministerio de Tecnologías de la Información y las Comunicaciones
Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13
Código Postal: 111711 . Bogotá, Colombia
T: +57 (1) 3443460 Fax: 57 (1) 344 2248
www.mintic.gov.co - www.vivedigital.gov.co
GDO-TIC-FM-009
V2.0
Descargar