MEMORIA DE LA SESIÓN DEL TALLER DE CO-CREACIÓN DEL AUTENTICACIÓN ELECTRÓNICA 1 DE DICIEMBRE DE 2015 1. INTRODUCCIÓN Este documento presenta el proceso y los resultados obtenidos en el Taller de Cocreación del proyecto Autenticación Electrónica realizado en Bogotá el pasado 1 de diciembre de 2015. Este taller hace parte de la fase de definición del modelo más conveniente para la implementación en los próximos cuatro años del proyecto estratégico Autenticación Electrónica. Estas actividades se convierten en insumos para el diseño del modelo desde las perspectivas: técnica, financiera, organizacional, sociocultural y jurídica, articulado con instancias nacionales y locales. 2. ASISTENTES ENTIDAD ACH COLOMBIA ADA ANDES SCD ARCHIVO GENERAL DE LA NACIÓN ASOBANCARIA ASOFONDOS BBVA CAMARA DE COMERCIO BARRANQUILLA CAMARA DE COMERCIO BOGOTÁ CARVAJAL CCIT CERTICAMARA CLARO COLNODO COLPENSIONES NUMERO DE PARTICIPANTES 1 1 1 2 1 1 1 1 1 1 1 6 2 1 1 Ministerio de Tecnologías de la Información y las Comunicaciones Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13 Código Postal: 111711 . Bogotá, Colombia T: +57 (1) 3443460 Fax: 57 (1) 344 2248 www.mintic.gov.co - www.vivedigital.gov.co GDO-TIC-FM-009 V2.0 COLVISTA COMFECAMARAS CORPORACIÓN SOMOS MAS CORPORACIÓN COLOMBIA DIGITAL CRIMSON LOGIC D2M DATA TOOLS DEPARTAMENTO NACIONAL DE PLANEACIÓN DEPARTAMENTO PARA LA PROSPERIDAD SOCIAL DIAN DIGITAL WARE ENP FACTURE SAS FUNCIÓN PUBLICA FUNDACIÓN KARISMA GAMMA INGENIEROS GUARUMU INDEPENDIENTE INNDENOVA ITS LINK TIC MASTERCARD MICROSOFT MINISTERIO DE RELACIONES EXTERIORES MINISTERIO DE SALUD MOBILITYGUARD ONAC ORACLE PROCURADURÍA PROSPERIDAD SOCIAL REGISTRADURIA NACIONAL DEL ESTADO CIVIL RUNT SOCIEDAD CIVIL SOFTMANAGEMENT SOFTWARE COLOMBIA SUPERFINANCIERA SUPERINTENDENCIA DE NOTARIADO Y REGISTRO THOMAS GREG & SONS UNIÓN COLEGIADA DEL NOTARIADO COLOMBIANO UNIVERSIDAD DISTRITAL 1 1 1 1 1 1 3 1 1 3 1 1 1 4 1 2 3 3 1 1 3 1 1 2 2 1 2 1 3 1 2 1 1 1 3 1 1 3 1 2 Ministerio de Tecnologías de la Información y las Comunicaciones Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13 Código Postal: 111711 . Bogotá, Colombia T: +57 (1) 3443460 Fax: 57 (1) 344 2248 www.mintic.gov.co - www.vivedigital.gov.co GDO-TIC-FM-009 V2.0 UNIVERSIDAD LOS ANDES 1 3. METODOLOGÍA GENERAL DEL TALLER El taller estuvo estructurado metodológicamente en cinco secciones: i).15 minutos de explicación del reto por parte del facilitador. ii). 15 minutos para que de manera individual cada persona escriba sus ideas en post-it. iii) 30 minutos cada persona expone sus ideas al grupo. iv) 60 minutos para que entre todos construyan la propuesta de modelo o estrategia según sea el caso. V) 60 minutos para socializar y retroalimentar entre todos los asistentes. 4. AGENDA AGENDA TIEMPO HORA 1. Bienvenida- Introducción 10 8:45-8:55 2. Palabras del Ministro 5 8:55-9:00 3. Palabras de la Vice Ministra 20 9:00-9:20 4. Presentación del Benchmarking- Preguntas 40 9:20-10:00 5. Presentación de los Modelos 20 10:00-10:20 Break 15 10:20-10:35 6. Dinámica generación de ideas 15 10:35-10:50 7. Presentación metodología 5 10:50-10:55 8. Mesas de trabajo 120 10:55-12:55 9. Socialización 60 12:55- 1:55 10. Cierre 10 1:55-2:05 11. Almuerzo 60 2:05-3:05 5. DESARROLLO DEL TALLER A continuación se presenta el resumen de las opiniones de los integrantes de las mesas de trabajo del taller por cada uno de los retos identificados: Ministerio de Tecnologías de la Información y las Comunicaciones Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13 Código Postal: 111711 . Bogotá, Colombia T: +57 (1) 3443460 Fax: 57 (1) 344 2248 www.mintic.gov.co - www.vivedigital.gov.co GDO-TIC-FM-009 V2.0 Mercado Se debatieron en general los temas relacionados con el mercado, la conformación del mismo, mecanismos de entrada y la institucionalidad relacionada con la supervisión del esquema: No se considera que sea viable un modelo centralizado y operado por el Estado, ya que este no está listo para ejercer esta función, y tomaría mucho tiempo implementarlo y no son claros los recursos para ello, se prefiere un esquema de múltiples operadores con orquestador distribuido. Se propone que el Estado defina las reglas de entrada, sostenimiento y salida. Dichas reglas han de incluir estándares técnicos, de seguridad, requisitos legales, entre otros. Se debe considerar una condición de mercado donde él mismo sea quien determina cuántos actores caben, promoviéndose un ambiente de sana competencia. Se estima que debe existir interés no solo del sector Gobierno si no del sector privado, con lo cual es importante entonces permitir el uso mixto. Se deben definir muy bien las condiciones de remuneración mayorista por compensación entre operadores. Este precio debe ser regulado e incluso pudiera ser cero. No obstante debe considerarse que así como hay operadores que pueden atender empresas/entidades y enrolar usuarios y de esta forma compensar “tráfico” con otros en similar condición, pudieran también existir operadores especializados en enrolar ciudadanos y otros en atender empresas, con lo cual el modelo de no pago en compensación eliminaría estas posibilidades pues no permitiría mayor ingreso a quien se especializa en enrolamiento. Es importante buscar sinergias con redes ya existentes donde se pueda realizar el enrolamiento de ciudadanos que se percibe como el proceso más complejo y costoso pues debiera ser presencial y atado a factores biométricos. Ministerio de Tecnologías de la Información y las Comunicaciones Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13 Código Postal: 111711 . Bogotá, Colombia T: +57 (1) 3443460 Fax: 57 (1) 344 2248 www.mintic.gov.co - www.vivedigital.gov.co GDO-TIC-FM-009 V2.0 Relaciones Deben existir reglas claras para el relacionamiento y coordinación entre operadores así como para la portabilidad del usuario. Es fundamental así mismo definir interfaces con los responsables de bases de datos que determinan roles o atributos de los ciudadanos y que deben estar disponibles y actualizadas en línea. (Ej. Cámaras de comercio para definir si una persona es o no representante legal de una entidad, entidades públicas para definir si una persona es o no funcionario cuando actúe como tal, registros profesionales para verificar validez de la profesión cuando actúa la persona en esa calidad, etc.). El operador debe poder establecer con los responsables de estas bases de datos cuando la persona ya perdió una cualidad o atributo en un rol específico. Autorización de entrada y supervisión La libre entrada debe ser regulada y basada en requisitos técnicos. Se considera que quien debe regular debe ser el MINTIC, con un proceso de acreditación ante la ONAC. En materia de supervisión, se considera que el ente de vigilancia debe ser la SIC, complementado por la vigilancia de las múltiples entidades que correspondan según la naturaleza de la información o trámite que se requiera y el acceso a cierto tipo de información (v.g. RNEC, BD donde constan roles o perfiles de personas, etc…) Se considera fundamental el papel de la ONAC para asegurar la interoperabilidad. Los estándares deben apuntar a mitigar los riesgos de suplantación de identidad, en general se sugiere que el modelo debe ser de tipo PKI. Se debe tener claro un marco de precios y un tema de calidad como parte de los elementos a considerar en las reglas de entrada. Se podría considerar regulación de tarifas por perfiles. Ministerio de Tecnologías de la Información y las Comunicaciones Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13 Código Postal: 111711 . Bogotá, Colombia T: +57 (1) 3443460 Fax: 57 (1) 344 2248 www.mintic.gov.co - www.vivedigital.gov.co GDO-TIC-FM-009 V2.0 Debe existir un tema de evidencia asegurada, el mecanismo de autenticación electrónica debe contemplar integridad, autenticidad, no repudio y la disponibilidad para tener el mecanismo idóneo y sobre todo ser auditable para efectos de tener certeza frente a momentos donde deba ser un elemento probatorio. Los mecanismos técnicos considerados deben garantizar la verificación en largos periodos de tiempo. (longevidad). Principio de equivalencia funcional y validez jurídica probatoria. Para masificar debe tenerse en cuenta que el enrolamiento debe ser biométrico presencial, luego se le puede dar una identidad digital para que realice los trámites. Aquí jugarán un papel fundamental entidades con cubrimiento como grandes cadenas, sector financiero, etc… Posteriormente, de forma remota se pueden utilizar los mecanismos de PKI. Se debe ir a enrolar a las personas que no cuenten con internet y considerar cómo proveerle después el servicio. Soluciones como Kioscos Vive Digital juegan aquí un rol fundamental. Es importante implementar la firma digital o firma electrónica en el set de mecanismos, la cual resultaría importante como mecanismo de autenticación para dar validez jurídica y mitigar el riesgo del no repudio de las transacciones. Creación de estándares para la implementación que faciliten el tema de interoperabilidad, definir las reglas de juego, y garantizar que se respeten los estándares de interoperabilidad. Los particulares podrían prestar el Servicio público de autenticación electrónica. El mercado debe tener apertura para que el tercero preste el servicio. Operadores grandes integren a las empresas pequeñas. Operador grande coge a los pequeños para operar el servicio e integrarlo. Ministerio de Tecnologías de la Información y las Comunicaciones Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13 Código Postal: 111711 . Bogotá, Colombia T: +57 (1) 3443460 Fax: 57 (1) 344 2248 www.mintic.gov.co - www.vivedigital.gov.co GDO-TIC-FM-009 V2.0 Se deben tener unos requisitos mínimos por operador para cada una de las bases de datos. Permisos basados en los estándares. Debería ser un tema de libre competencia, con estándares de calidad. La libre entrada debe ser regulada de acuerdo con los requisitos técnicos dispuestos por Mintic. El regulador debe ser Mintic, la acreditación la ONAC, quien debería ser la encargada de asegurar la interoperabilidad, mitigar los riesgos de suplantación de identidad a través de PKI y la vigilancia y control la SIC. Deben ser unos requisitos mínimos en donde el operador debe tener requerimientos mínimos de robustez. Se debe revisar el tema con la ley de protección de datos personales. El modelo debe contemplar una gran invitación al sector privado. Se subsidia el modelo y también debe haber una participación mayoritaria por parte del Estado. Los operadores competirían por servicio Se debe tener un marco de precios. Los operadores deberían ser los terceros de confianza, que son las entidades de certificación digital. El mecanismo de autenticación electrónica debe contemplar integridad, autenticidad, no repudio y la disponibilidad para tener el mecanismo idóneo. Los mecanismos técnicos para garantizar la verificación en largos periodos de tiempo. (longevidad). Principio de equivalencia funcional y validez jurídica aprobatoria. Regulación de tarifas, por perfiles. El tema de interoperabilidad no debe tener costo. Ministerio de Tecnologías de la Información y las Comunicaciones Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13 Código Postal: 111711 . Bogotá, Colombia T: +57 (1) 3443460 Fax: 57 (1) 344 2248 www.mintic.gov.co - www.vivedigital.gov.co GDO-TIC-FM-009 V2.0 El enrolamiento debe ser biométrico presencial. (dispositivo móvil), luego se le puede dar una identidad digital para que realice los trámites. La validez jurídica deben darla los terceros de confianza que tengan imparcialidad. Los mecanismos de PKI diferentes perfiles o roles, se debería implementar como una regla importante. El operador debería sincronizar las bases de datos, para contar con el tiempo real. El tercero de confianza debe tener las funciones de autoridad de registro, para darse cuenta cuando la persona ya perdió una cualidad o atributo. La ONAC debe asegurar que se cumplan con los requisitos mínimos de los operadores. Garantía de cobertura de riesgos, y la cobertura a nivel nacional. Se debe ir a enrolar a las personas que no cuenten con internet. Se debe implementar la firma digital o firma electrónica resultaría importante como mecanismos de autenticación para dar validez jurídica y mitigar el riesgo del no repudio de las transacciones. Ministerio de Tecnologías de la Información y las Comunicaciones Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13 Código Postal: 111711 . Bogotá, Colombia T: +57 (1) 3443460 Fax: 57 (1) 344 2248 www.mintic.gov.co - www.vivedigital.gov.co GDO-TIC-FM-009 V2.0 Representación gráfica Seguridad y Privacidad Considerar el SOAP y ISO 217001 como estándar internacional para garantizar la seguridad del modelo. Los estándares deben definirse a nivel legal. Necesidad de asegurar los datos a partir de ciberseguridad y manejar estándares de riesgos. Sin embargo hay posturas que proponen que no haya un único estándar para garantizar mayor seguridad. Se sugiere que el modelo comprenda un mecanismo sencillo y de acceso fácil; debe ser un habilitador antes que restricto; contemplar la posibilidad que cada ciudadano cuente con una tarjeta, como en otros modelos del mundo. Del modelo debe desprenderse un componente de protección, confianza y seguridad. Debe contener un único criterio de autenticación, la huella como parámetro de seguridad de autenticación. Se considera la Firma digital útil por el tema de autenticidad, integridad y no repudio Ministerio de Tecnologías de la Información y las Comunicaciones Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13 Código Postal: 111711 . Bogotá, Colombia T: +57 (1) 3443460 Fax: 57 (1) 344 2248 www.mintic.gov.co - www.vivedigital.gov.co GDO-TIC-FM-009 V2.0 La seguridad se puede garantizar de la manera más exigente, de manera robusta, ideal ante RNEC, asegurándose la usabilidad. Se debe garantizar un modelo tarifario bajo pues los costos pueden impedir el desarrollo adecuado del modelo Se propone que haya un tercero independiente cuyo rol sea la habilitación Se requiere auditoria de los proveedores de identidad. Deben renovarse algoritmos de autenticación. Debe ser un modelo interoperable, para que no genere problemas, Apéndice F del FBI para estándares en Biometría que garanticen interoperabilidad con bases de datos públicas y privadas Privacidad por diseño Para el enrolamiento se propone que se utilice la base de datos de la Registraduría Nacional del Estado Civil – Despliegue de mecanismos de autenticación Debería tenerse actualización periódica sobre la autenticación Representación gráfica Ministerio de Tecnologías de la Información y las Comunicaciones Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13 Código Postal: 111711 . Bogotá, Colombia T: +57 (1) 3443460 Fax: 57 (1) 344 2248 www.mintic.gov.co - www.vivedigital.gov.co GDO-TIC-FM-009 V2.0 Masificación Se propone una estrategia de masificación para garantizar el uso y apropiación por parte de los ciudadanos en donde se realicen planes de cambio para las regiones. Se considera que un modelo gratuito para el ciudadano puede ser un factor clave a la hora de masificar el modelo. Se diseñe un plan de cambio basado en una gestión de incentivos para quienes lo utilicen. Apalancarse en las redes sociales como mecanismo de difusión masiva para dar a conocer el modelo y potenciar el enrolamiento. La estrategia de implementación debe diseñarse sobre la base que debe ser gradual, la vinculación escalonada de los partícipes. Definir un modelo gradual de implementación de la AE. Para las entidades públicas debe lograrse la obligatoriedad para la utilización de los mecanismos de AE. Ministerio de Tecnologías de la Información y las Comunicaciones Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13 Código Postal: 111711 . Bogotá, Colombia T: +57 (1) 3443460 Fax: 57 (1) 344 2248 www.mintic.gov.co - www.vivedigital.gov.co GDO-TIC-FM-009 V2.0 Generación de reglamentación interna en las Entidades Públicas en la cual se adhieran a las normas ya existentes, tales como Cero Papel, Decreto 019 de Utilizar los mecanismos de interoperabilidad existentes. Se debe diseñar una estrategia gradual de implementación a nivel el país cuyo despliegue esté a cargo de los operadores con el apoyo del y lineamientos de Mintic. Apalancarse con operadores existentes. Masificar el servicio de internet Vincular sectores claves: Financiero, entidades acreditadoras, de vigilancia., aseguradores, etc. Los tramites más relevantes podrían ser: o Los que ostentan la característica de “No repudio” o Trámites para la identificación o Transaccionales. o De carácter no público. Los mecanismos donde se deberían aplicar mecanismos simples podrían ser: Información general Certificados Autorizaciones Los mecanismos donde se deberían aplicar mecanismos robustos podrían ser: Aquellos trámites que tienen características de “No repudio” Trámites notariales Impuestos Pagos Patrimoniales. Aquellos que requieren carácter probatorio. Transacciones que involucren obligaciones para el peticionario. Los incentivos que debieran establecerse para usuarios y para entidades podrían ser la reducción en los costos de los trámites para quienes los realicen, disminución en los tiempos de respuesta dentro de los términos de Ministerio de Tecnologías de la Información y las Comunicaciones Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13 Código Postal: 111711 . Bogotá, Colombia T: +57 (1) 3443460 Fax: 57 (1) 344 2248 www.mintic.gov.co - www.vivedigital.gov.co GDO-TIC-FM-009 V2.0 ley, beneficios tributarios, generar acciones para que la AE sea mecanismo de ahorro para las empresas. Se recomienda mostrar las ventajas de la Autenticación Electrónica para garantizar el uso y apropiación: En tiempo, seguridad y ahorros. mayores recursos para investigación, desarrollo e innovación, menores costos de las transacciones y como consecuencia mayor eficiencia. Se puede garantizar el uso de los mecanismos de AE sean exclusivos del titular, a través de la generación de reglamentación suficiente y adecuada para el servicio de AE, enrolamiento presencial y tecnología de punta. Representación gráfica Ministerio de Tecnologías de la Información y las Comunicaciones Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13 Código Postal: 111711 . Bogotá, Colombia T: +57 (1) 3443460 Fax: 57 (1) 344 2248 www.mintic.gov.co - www.vivedigital.gov.co GDO-TIC-FM-009 V2.0 Financiero Se debe tener en cuenta que el modelo definitivo no tenga elementos burocráticos por parte del Estado, toda vez que esto podría limitar el desarrollo del modelo. Encuentran inviable el modelo 1 y 2 presentados durante el taller. El sector bancario estaría ampliamente interesado en sumarse al modelo de autenticación por encontrar múltiples beneficios. Un modelo de operadores en competencia tiene varias ventajas, entre ellas, que es un modelo de rápida implementación y que exige la existencia de un regulador De cara al modelo financiero, es importante identificar aquellas transacciones monetizables y las transacciones que van a ser gratuitas para el ciudadano. El enrolamiento por parte del ciudadano debe hacerse una sola vez. Modelo seleccionado: Ello implica la definición de Orquestador(es) que definan las pautas y lineamientos de operación. El modelo debe hacerse sostenible en el tiempo y supone la existencia de transacciones muy sensibles y otras que no. Asimismo, debe considerar una Ministerio de Tecnologías de la Información y las Comunicaciones Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13 Código Postal: 111711 . Bogotá, Colombia T: +57 (1) 3443460 Fax: 57 (1) 344 2248 www.mintic.gov.co - www.vivedigital.gov.co GDO-TIC-FM-009 V2.0 mayor o menor seguridad en la cual, a mayor seguridad mayor el precio del trámite. El modelo supone la existencia de diversos tipos de trámites, algunos Esenciales (que podrían ser gratuitos) y otros No Esenciales (que tendrían un mayor costo). Se plantea que el Congreso sea el organismo que puede llegar a definir, mediante alguna ley, qué trámite es esencial y cuál no. Disposición de pago: Se plantea la posibilidad que el cliente puede llegar a pagar la autenticación, en función de la realización de un trámite ágil y expedito. Se deben aprovechar los recursos existentes (tecnología, mecanismos de autenticación y actores actuales). Ello generará una mayor relación beneficio/costo. Se debe considerar la compensación, como mecanismo para compensar las operaciones realizadas entre diferentes operadores. Si bien no se llegó a una posición unánime en la mesa de cómo debe operar, se debe tener en cuenta en la definición del modelo. Se plantean dos esquemas de operación: Ministerio de Tecnologías de la Información y las Comunicaciones Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13 Código Postal: 111711 . Bogotá, Colombia T: +57 (1) 3443460 Fax: 57 (1) 344 2248 www.mintic.gov.co - www.vivedigital.gov.co GDO-TIC-FM-009 V2.0 o Esquema 1: Donde el operador se lleve tanto la “carne” (trámites que generan un costo para el ciudadano y que permiten subsidiar otros trámites) como el “hueso” (trámites que no generan costos para el ciudadano). o Esquema 2: Donde la operación sea subsidiada por el Estado. Para la implementación del modelo que se defina, es importante el liderazgo y empoderamiento de las entidades públicas sobre el modelo. Esto puede considerar: o Una estructura en donde Directores, Ministros y demás directivos de entes territoriales y entidades públicas organicen pagos, gestión electrónica y forma de realizar los trámites directamente con los Operadores. o De considerarse lo anterior, el Ministerio debe definir un marco regulatorio para facilitar esta operación. Es importante identificar los servicios de valor agregado que se pueden monetizar. Para el ciudadano debe ser completamente transparente la operación en el back office. Se propone un modelo con costo para el ciudadano al momento del enrolamiento; este valor es el precio que el ciudadano tendría que pagar al estado para la prestación de dicho servicio, dado que el beneficiado es el ciudadano por dotar sus comunicaciones de seguridad, agilidad en los tramites que se realizan on-line con el estado. El pago por el enrolamiento cubriría cualquier dispositivo, de ser necesario, que el ciudadano deba usar para el proceso y adicional cubriría de manera gratuita los tramites básicos del ciudadano con el Estado. Igualmente, se plantea poder prestar servicios a particulares con costo por tipo de autenticación. Otro consideran que este servicio debe ser gratuito para el ciudadano y debe ser solo para que transe con el Estado y en futuros años se podría extender a prestar el servicio a entes privados. Ministerio de Tecnologías de la Información y las Comunicaciones Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13 Código Postal: 111711 . Bogotá, Colombia T: +57 (1) 3443460 Fax: 57 (1) 344 2248 www.mintic.gov.co - www.vivedigital.gov.co GDO-TIC-FM-009 V2.0 En la mesa se planteó, que el modelo operado por el estado, no debe generar ingresos de forma que sea auto sostenible ya que el principal objetivo es aumentar la seguridad de los trámites y evitar los fraudes. Por lo anterior se pensó en el proyecto como un ahorro en el costo del fraude que se presenta dentro de las organizaciones públicas que pueden impactar a la sociedad. La información debe reposar sobre una única base de datos de la cual se pueden conectar los operadores que sean aprobados o el único que preste el servicio. Representación gráfica Ministerio de Tecnologías de la Información y las Comunicaciones Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13 Código Postal: 111711 . Bogotá, Colombia T: +57 (1) 3443460 Fax: 57 (1) 344 2248 www.mintic.gov.co - www.vivedigital.gov.co GDO-TIC-FM-009 V2.0 Mesa Técnica Se debatieron en general los temas relacionados con la parte técnica y seguridad del servicio, aunque salieron a colación asuntos jurídicos y financieros que impactaban en la decisión sobre los diferentes aspectos técnicos que se revisaron. Con el fin de organizar la sesión se establecieron dos objetivos principales. Por un lado, establecer un listado de funcionalidades que debería tener el sistema y por otro lado identificar requisitos técnicos y de seguridad que debía cumplir el servicio de autenticación, para finalmente poner especificar un proceso completo del servicio de autenticación. Las conclusiones sobre los requisitos funcionales y técnicos que debe cumplir el servicio fueron las siguientes: Debe proporcionar un mecanismo de enrolamiento que verifique de forma fehaciente la identidad de la persona. El mecanismo de enrolamiento debe realizarse la primera vez de forma física y debe verificarse la huella de la persona con el servicio de la Registraduría. Ministerio de Tecnologías de la Información y las Comunicaciones Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13 Código Postal: 111711 . Bogotá, Colombia T: +57 (1) 3443460 Fax: 57 (1) 344 2248 www.mintic.gov.co - www.vivedigital.gov.co GDO-TIC-FM-009 V2.0 El sistema debe disponer en el proceso de enrolamiento de un mecanismo que proporcione al usuario un mecanismo múltiple de identificación. Se proponen mecanismos de Biometría (facial, voz y dactilar), Smartphone y password simple. Por políticas de seguridad dichos mecanismos de autenticación deben poder ser revocables por parte del ciudadano, lo cual implica que por debajo el sistema funcione con tecnología PKI. El sistema debe permitir a los usuarios autenticar tanto su identidad como documentos. Lo cual implica disponer de un sistema PKI. Debido a que principalmente se va a utilizar para autenticar a los ciudadanos con el Estado y para autenticar trámites con el Estado, el sistema debe garantizar la validez jurídica de los procesos, lo cual implica la realización de firmas digitales y un modelo PKI. El sistema de autenticación debe ser multifactor. Idealmente utilizando el Smartphone como uno de estos factores. El proceso de autenticación basado en modelo PKI, debe asegurar que la clave privada del certificado digital esté siempre bajo el poder exclusivo del firmante, no pudiéndose estas regenerarse en servidor ni almacenarse directamente en servidor. En el servidor sólo podrán almacenarse claves derivadas de la clave privada del usuario y la recomposición de dicha clave sólo debe ser posible mediante algo que sólo el usuario posea (biometría, password o Smartphone, según el nivel de seguridad). Las claves derivadas deben almacenarse sólo en servidores criptográficos HSM, FIPS 140-2. Se debe disponer de directorios LDAP, que identifiquen cada usuario en que operador está enrolado. Ministerio de Tecnologías de la Información y las Comunicaciones Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13 Código Postal: 111711 . Bogotá, Colombia T: +57 (1) 3443460 Fax: 57 (1) 344 2248 www.mintic.gov.co - www.vivedigital.gov.co GDO-TIC-FM-009 V2.0 La integración del sistema de autenticación con las plataformas de las Entidades se realizará mediante OpenID Connect u OpenAuth. Los intercambios de información entre sistemas se realizarán mediante webservices seguros siguiendo protocolos WS-I de la plataforma OASIS. El sistema de autenticación debe solicitar al usuario, primero su número de cédula o alias y posteriormente al menos dos de los diferentes métodos de autenticación para los que se enroló, por ejemplo, su cara para el proceso de reconocimiento facial e incorporar el password en el Smartphone para completar el proceso. El proceso resultante de la autenticación será un ticket firmado digitalmente que será el enviado a las plataformas de las entidades, como prueba de autenticación. Requerimientos técnicos a los operadores: Disponer de ISO 27001 y 9001. El datacenter debe contar con infraestructuras Tier III de alta disponibilidad, con caminos redundantes de servicio tanto para servicios eléctricos como de climatización en las salas de alojamiento. El datacenter debe disponer de equipos criptográficos especializados HSM FIPS 140-2, para almacenamiento de las claves derivadas. Debe disponer de certificación Webtrust para Autoridades de Certificación Ministerio de Tecnologías de la Información y las Comunicaciones Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13 Código Postal: 111711 . Bogotá, Colombia T: +57 (1) 3443460 Fax: 57 (1) 344 2248 www.mintic.gov.co - www.vivedigital.gov.co GDO-TIC-FM-009 V2.0 Ministerio de Tecnologías de la Información y las Comunicaciones Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13 Código Postal: 111711 . Bogotá, Colombia T: +57 (1) 3443460 Fax: 57 (1) 344 2248 www.mintic.gov.co - www.vivedigital.gov.co GDO-TIC-FM-009 V2.0 6. PUESTA EN COMÚN a) Seguridad y privacidad Ministerio de Tecnologías de la Información y las Comunicaciones Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13 Código Postal: 111711 . Bogotá, Colombia T: +57 (1) 3443460 Fax: 57 (1) 344 2248 www.mintic.gov.co - www.vivedigital.gov.co GDO-TIC-FM-009 V2.0 b) Mercado c) Masificación Ministerio de Tecnologías de la Información y las Comunicaciones Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13 Código Postal: 111711 . Bogotá, Colombia T: +57 (1) 3443460 Fax: 57 (1) 344 2248 www.mintic.gov.co - www.vivedigital.gov.co GDO-TIC-FM-009 V2.0 d) Financiación e) Técnico y funcional Con la puesta en común de estos desafíos se concluye el taller y se procede al cierre del mismo. Ministerio de Tecnologías de la Información y las Comunicaciones Edificio Murillo Toro, Carrera 8a, entre calles 12 y 13 Código Postal: 111711 . Bogotá, Colombia T: +57 (1) 3443460 Fax: 57 (1) 344 2248 www.mintic.gov.co - www.vivedigital.gov.co GDO-TIC-FM-009 V2.0