Presentación de PowerPoint

Transcripción

Resumen ejecutivo situación actual
Autenticación Electrónica
Análisis Internacional y Nacional
ÍNDICE
1. Modelos Internacionales
2. Análisis Nacional
1
Modelos
Internacionales
Modelos Internacionales
Matriz selección de países análisis internacional
Estonia
Reino Unido
Suecia
+
• Impacto: aquellas
experiencias que, desde
los aspectos jurídicos,
técnicos, financieros,
organizacionales o socioculturales, evidenciaban
prácticas muy
relevantes.
IMPACTO
Chile
Perú
-
RELEVANCIA PERSPECTIVAS
PARA COLOMBIA
Número de Trámites en línea involucrados
+
• Relevancia para
Colombia: aquellas
experiencias que desde
la similitud con la
realidad colombiana
aplican más desde
aspectos como tamaño,
número de habitantes,
cultura, nivel de
desarrollo, etc.
CENTRALIZADA
OPERACIÓN
DISTRIBUIDA
Matriz Operación Vs Uso
Reino Unido
Marco Jurídico: Sigue la
Directiva Europea de firma
electrónica. Cuenta con norma
específica: Electronic
Communications Act, 2000.
Tecnología: Firma electrónica,
SAML.
Modelo Económico: Todo es
cubierto con presupuesto estatal.
Marco Jurídico: Sigue la Ley modelo
de la CNUDMI de firma electrónica
de 2002. Cuenta con norma
específica: Ley No. 27269 Ley de
Firmas y Certificados Digitales (2000)
Tecnología: Firmas digitales.
Modelo Económico: El ciudadano
paga por el mecanismo y los
prestadores de servicios y trámites
pagan por las autenticaciones.
Perú
Suecia
Marco Jurídico: Sigue la Ley
modelo de la CNUDMI de firma
electrónica de 2002. Cuenta con
norma específica: 2002 Ley
sobre documentos electrónicos,
firma electrónica y servicios de
certificación.
Tecnología: Firma electrónica,
OpenId.
Modelo Económico: Todo es
cubierto con presupuesto
estatal.
Marco Jurídico: Sigue la Directiva Europea
de firma electrónica. Cuenta con norma
específica: Ley de Firma Digital del 8 de
marzo de 2000
Tecnología: Firma digital, SOAP (XML,
RPC).
Modelo Económico: Alianza Público
Privada, donde hay tarifas que pagan los
prestadores de servicios o trámites.
Chile
ESTATAL
Marco Jurídico: Sigue la Directiva
Europea de firma electrónica.
Cuenta con norma específica:
Qualified Electronic Signatures Act
(FSF 2000:832)
Tecnología: Firma digital, SAML.
Modelo Económico: Operadores
privados con tarifa subvencionada
por el Estado.
Estonia
USO
Operadores: Perú (1 Público), Chile (1 Publico CU - DNI electrónico-), UK (5 Telco’s, 2 Públicos),
Estonia (1 público), Suecia (2)(1 Dominante).
MIXTO
CANVAS Estonia
Alianzas Clave
7
5
Gobierno:
•
Enrolamiento de los ciudadanos
al documento de identidad oficial
a través de la Policía y las oficinas
de frontera (Junta Guardia).
•
Oferta de Trámites y servicios en
línea.
Operadores:
•
Emisión
eID
en
tarjeta
electrónica.
•
Integración con lectores de
tarjeta electrónica y masificación
de su uso.
•
Trabajo
colaborativo
sector
público y privado en el modelo.
•
Uso del modelo de residencia
electrónica.
Monooperador generado a partir de
alianza público privada – SK.
El proveedor oficial del eID es Sertifi
tseerimiskeskus (SK - 'centro
certificado'), que mantiene la
infraestructura electrónica necesaria
para la expedición y el uso de la
tarjeta.
Sus socios son dos de los principales
bancos de Estonia, Hansapank y
Eesti Ühispank, en colaboración con
las empresas de telecomunicaciones
Eesti Telefon y EMT. Se trata de una
APP.
También tiene importantes alianzas
para el desarrollo del eID con
empresas de TELCO y proveedores
de tecnología PKI como:
•
•
•
•
Telegrupp
Ektaco
Safelayer
Gemalto
Prestadores de Servicios públicos y
privados
Proveedores de TI e integradores en
alianza con Estado.
8
Actividades Clave
6
Recursos Clave
1
Promesa de Valor –
Productos/Servicios
Para el ciudadano Usuario final: El
principal aporte para el ciudadano es
que el eID sirve:
• Para acceder a diferentes trámites
y servicios estatales.
• Como documento nacional de
identidad y para viajar dentro de
la UE (ciudadanos de Estonia).
• Como la tarjeta sanitaria nacional.
• Como prueba de identificación al
iniciar sesión en las cuentas
bancarias de un ordenador
personal.
• Como un billete de transporte
público de prepago en Tallin y
Tartu (trenes).
• Para i-Voting.
Recursos financieros:
• CAPEX y OPEX privado
• Tarifas a cargo de prestadores de
servicios
Para la entidad estatal: Mitiga el
riesgo se suplantación de identidad en
trámites electrónicos.
Recursos Tecnológicos:
• Hardware masificado en lectores
de tarjeta.
• Tecnología PKI.
El producto o credencial es una tarjeta
electrónica que incorpora un chip que
sirve apara autenticar física y
electrónicamente, así como firmar
digitalmente.
4
Estructura de Costos
10
Indicadores
En 06.09.2015 08:01
Número de firmas digitales realizadas:
236 726 527
98% de las transacciones bancarias en
Estonia se llevan a cabo a través de
Internet, utilizando autenticación
electrónica.
Número de Tarjetas activas: 1 254 431,
Número de Autenticaciones electrónicas:
373 112 605
2
Segmentos de Cliente
Marca: ePassport y eID .
Para propiciar el uso, se encuentra un
sitio Web para desarrolladores donde se
estimula el desarrollo de aplicaciones y
herramientas.
Existen
políticas
de
apropiación
incluyentes con gran número de trámites
y servicios en línea.
Los principales clientes son
a. Usuarios Finales
Ciudadanos que realizan
trámites y servicios del
Estado como base primaria,
por ser el eID el documento
de identificación.
b. Receptores de
autenticación.
3
Canales
Por ser un enrolamiento con el documento de
identidad, se solicita un e ID en el punto de
servicio de la Policía y de Fronteras (Junta
Guardia), misiones extranjeras de la República
de Estonia.
Para renovación o pérdida, se pueden utilizar
canales virtuales, a través de www.ide.ee o
www.sk.ee
El ciudadano cuenta con un centro de servicio
y soporte virtual donde recibe todo tipo de
ayudas para el uso de eID.
Recurso humano capacitado.
El CAPEX ha sido completamente proporcionado por el emisor eID. Por otra parte el OPEX
es cubierto por el Estado.
El costo más representativo para el proveedor oficial SK es el mantenimiento de su PKI, y
los costos de emisión de un eID bajo el modelo de una tarjeta inteligente.
Costos de repositorio centralizado, costos de apropiación, costos de enrolamiento.
Costos regulatorios.
Costos de operación de acuerdo a requerimientos normativos. Se trata de un modelo
autosostenible, pues siendo una APP con único operador, ha contado con inversión
inicial privada, y tiene un modelo tarifario regulado que el Estado ha promovido a través
de la integración a todo tipo de servicios gubernamentales.
Relaciones con el Cliente
9
Empresas
que
ofrecen
servicios
por
medios
electrónicos y validan la
identidad de sus usuarios.
Entidades estatales que
autentican sus trámites y
procesos con el uso del eID.
c. Usuarios no ciudadanos –
bajo el modelo de e
Residency, se ha venido
exponiendo el modelo de
Estonia por fuera de sus
fronteras.
Ingresos
Ingresos - Los proveedores de servicios deben pagar según el número de
transacciones por mes. Pagan desde 25 euros por 400 transacciones hasta 6,000
euros por 750.000 transacciones.
Para los usuarios finales el costo de la tarjeta es de 10 euros y actualizar la
información o el código PIN es gratuito si se hace en las oficinas del gobierno y
cuesta entre 2 y 4 euros si se hace en un banco. Los lectores de tarjetas se venden
a cerca de 6 euros.
11
Jurídico: Sigue el modelo propuesto por la Directiva Europea de Firma electrónica 1999/93/CE . El Parlamento Estonio (Riigikogu) aprobó la Ley de Firma Digital del 8 de marzo de 2000, y entró en vigor el 15 de
diciembre de 2000. La Ley regula cuestiones que son esenciales para la implementación de una PKI a nivel nacional. Protección de datos personales (RT I 2003, 26, 158). Ley de Identidad de Documentos (RT1 I
1999, 25, 365). Ley de Firmas Digitales (RT1 I 2000, 26, 150). Así como los principios generales del cógido civil, código de comercio y Ley de propiedad.
Estonia
Back Office
Front Office
Ciudadano
Policía de Estonia y/o Junta
de Guardia de Frontera
1.
2.
Emisor eID
4. Realización de
Enrolamiento
del ciudadano
Verificación
de identidad
AE = Autenticación Electrónica
Empresas Privadas
5.
trámites
3.
Renovación
Emisión de
tarjeta
electrónica
Solicitud de mecanismo
Fuente: Elaboración propia.
Entidades Estatales
Operación del trámite
Tarjeta electrónica
con chip, con
lector de tarjetas
Mantenimiento y soporte
Canal Virtual
Canal Presencial
Estonia
• Los actores
-
El ciudadano que obtiene su identidad electrónica.
-
La Policía de Estonia y/o Junta de Guardia de Frontera que actúa en el enrolamiento del ciudadano.
-
Una alianza público privada denominada SK (Emisor ID) que contempla la unión de bancos y compañías de telecomunicaciones.
-
Las entidades estatales que desarrollan trámites y servicios autenticando electrónicamente a los ciudadanos.
-
Las empresas privadas que autentican al ciudadano de manera electrónica.
• La relación entre los actores, el paso a paso
1.
El ciudadano se dirige a uno de los puntos de atención de la Policía Nacional de Estonia para el enrolamiento de su identidad.
2.
La Policía de Estonia y/o Junta de Guardia de Frontera, a través de la verificación de registros públicos establece que el
solicitante podrá ser el titular del eID.
3.
Una vez verificada la identidad del ciudadano , el emisor de eID emite una tarjeta electrónica que contiene el chip con firma
digital.
4.
El ciudadano titular de la tarjeta electrónica podrá utilizar su mecanismo de autenticación electrónica y firma digital en todo
tipo de trámites electrónicos ofrecidos por el Estado.
5.
La renovación del mecanismo de autenticación se podrá hacer de manera presencial o electrónica en las oficinas o puntos de
atención del emisor eID.
• Aspectos económicos
- Quién pone CAPEX: El emisor eID.
- Quién pone OPEX: El emisor eId.
- Quién paga por el dispositivo: El ciudadano; Quién paga por la autenticación electrónica: Los proveedores de servicio, bien sean
entidades estatales o empresas privadas.
Estonia
• Seguridad
- La estrategia de Ciberseguridad 2014-2017 (Comisión Europea, 2015). Es el documento básico para la planeación de
ciberseguridad en Estonia y parte de la estrategia de seguridad de la Nación, la estrategia resalta desarrollos importantes
recientes, evalúa las amenazas de ciberseguridad existentes y presenta medidas para la mitigación del riesgo.
- Normativa sueca asociada: Protección de datos personales (RT I 2003, 26, 158).
• El mecanismo
- Tecnología de comunicación – SOAP.
- Dispositivo de almacenamiento del mecanismo - Una tarjeta inteligente denominada eID, la tarjeta contiene un chip que integra
la firma digital del ciudadano.
- Mecanismo de autenticación electrónica – PKI bajo el estándar X 509 V3 de la Unión Internacional de Telecomunicaciones.
CANVAS Suecia
Alianzas Clave
7
La
Junta
e-Identification,
institución
encargada
de
regular, coordinar, controlar y
gobernar el sistema generar
alianzas con los siguientes
actores:
• Emisores de eID: encargados
de enrolar y emitir la
identificación digital de los
ciudadanos
en
Suecia.
Actualmente
hay
dos
emisores operando: BankID y
Telia. La alianza se establece
contractualmente.
• Proveedores de identidad
(pID):
encargados de
interactúan
entre
los
emisores de eID y los
proveedores de servicios (PS).
La alianza se establece
contractualmente.
• Proveedores de Servicios (PS):
entidades
publicas
y
empresas que requieren
autenticar la identidad de sus
usuarios para interactuar con
sus sistemas de información.
La alianza se establece
contractualmente.
8
Actividades Clave
5
A cargo del gobierno la conformación
de la Junta eID.
La identificación electrónica debe
llevarse a cabo por las organizaciones
certificadas ante el Gobierno .
•
Enrolamiento ante operadores.
•
Verificación de identidad ante
fuentes oficiales de información.
•
Uso diferencial en sector público
y privado.
•
Modelo progresivo que ha
venido cambiando en función de
renovación tecnológica.
•
Viene cambiando de eID1 a eID2
y estará renovado en 2017.
Productos/Servicios
1
•
Recursos
financieros
donde el
particular
proporciona
la
infraestructura, pero las entidades
estatales participan subvencionando
en las operaciones de autenticación
estatales.
Por parte de Gobierno: Marco
jurídico; lineamientos para habilitar
emisores de eID y pID.
Personal
con capacitación y
apropiación de gran alcance.
•
El CAPEX ha sido completamente proporcionado por el emisor eID. Por otra parte el
OPEX es cubierto por el emisor eID a través de las tarifas que se cobran al Estado.
El modelo en la actualidad tiene una subvención estatal para la autenticación
electrónica con el Estado. En el caso de autenticación con particulares no existe
subvención.
El modelo también tiene costos regulatorios, costos de servicio al cliente.
El mantenimiento gubernamental de una estructura humana de soporte y apoyo en las
labores de acreditación. El e ID board o Junta -. Cada operador garantiza los costos de su
operación.
•
Se han simplificado más de 100
trámites.
Se ha propiciado el desarrollo de
ecosistemas digitales en Suecia.
Hay
un
marco
de
interoperabilidad con el sector
privado.
Se ha venido utilizando un
modelo hibrido con certificación
“suave” y “dura” según riesgos y
nivel de mitigación.
Existe un importante
desarrollo de
servicios gubernamentales por medios
electrónicos y en esos servicios se ofrece
también asistencia al ciudadano.
3
10
Indicadores
El Emisor más grande de Suecia es BankID
(> 95%). A su vez los 12 bancos son los
mayores usuarios de BankID, con el 68%
de las transacciones (Bancos de Internet).
El
sector
público
representa
aproximadamente el 7,4% (alrededor de
90 millones de transacciones / año) y otros
servicios financieros, fuera de los 12
bancos, representan el 15% de las
transacciones.
Canales
Para el enrolamiento se utiliza el canal
presencial principalmente.
Comercialmente se utilizan medios físicos,
virtuales y telefónicos puestos a
disposición por los operadores.
El soporte al cliente se realiza de manera
electrónica.
Desde el punto de vista tecnológico sólo
hay un canal, Internet, conexión técnica a
través de SAML 2.0.
El producto es – bajo eID1 – una
tarjeta inteligente que permite
autenticar y firmar electrónicamente.
9
2
Escinde la autenticación para el sector
público y la autenticación para el sector
privado. La autenticación estatal es más
estricta a nivel de seguridad.
Para los receptores de información,
en especial para el Estado.- El modelo
promovido por el Gobierno sueco
destaca la seguridad en las
operaciones electrónicas de los
ciudadanos y la provisión creciente de
servicios a través de medios
electrónicos. Algo interesante:
•
Relaciones con el Cliente
El relacionamiento es multicanal, pero se
privilegia el uso de medios electrónicos y
móviles.
Para los Usuarios finales – Disponer
de un mecanismos de autenticación
útil física y electrónicamente.
Recursos Clave
6
4
a.
Usuarios Finales
Ciudadanos que acceden a
servicios del estado por medios
electrónicos
(Población
9.644.864 habitantes-2014):
•
81% de personas que
interactúan con el estado
por medios electrónicos.
•
79% de personas que
obtienen información del
estado
por
medios
electrónicos.
•
Mas de 6 millones de
usuarios de eID.
b. Receptores de autenticación:
Todas las entidades estatales que
validan la identidad de los
ciudadanos cuando acceden a
sus servicios electrónicos.
Empresas
que
validan
la
identidad de los ciudadanos
cuando acceden a sus servicios
electrónicos.:
•
25% de empresas que han
realizado ventas por medios
electrónicos.
Ingresos
Ingresos: Los emisores eID reciben una tarifa, en la actualidad el precio se
encuentra en 3,00 SEK por usuario único y mes. En principio cuenta para la
autenticación con el Estado con una subvención estatal por cada emisor de 2,03
SEK por usuario único y mes. No hay subvención en el sector privado.
11
Jurídico: Sigue el modelo de la Directiva Europea de firma electrónica 1999/93/EC. Ley 2000: 832 (SFS 2000) sobre firma electrónica reconocida. UETA (por sus siglas en ingles Uniform Electronic Transactions
Act). 15 U.S.C. 7001 Firma Electrónica y la Directiva de 2014 sobre Administración Pública Electrónica. Ley de protección de datos (SFS 1998:204). Estrategia de ciberseguridad para la seguridad de la
información del gobierno central 2010 – 2015.
Suecia
Junta eID
1.
Emisor eID
Proveedores IdP de identidad
2.
Enrolamiento del ciudadano
Realización de
trámites
Entidades Estatales
Empresas Privadas
4.
Renovación
3.
Back Office
Front Office
Ciudadano
Verificar identidad ante el
emisor por medio del IdP
Canal Virtual
Canal Presencial
Suecia
• Los actores
- El ciudadano que obtiene su identidad electrónica.
- La Junta eID que actúa como autoridad y orquestador del modelo.
- Los proveedores IdP de identidad autorizados por la Junta eID, que se encargan de comunicar la verificación de identidad.
- El emisor eID u operadores que son Bank ID y Telia.
- Proveedores de servicio que pueden ser entidades estatales que desarrollan trámites y servicios autenticando electrónicamente a los
ciudadanos, o empresas privadas que desarrollan trámites y servicios autenticando electrónicamente a los ciudadanos.
1.
El ciudadano se dirige a uno de los puntos de atención de los emisores eID para el enrolamiento de su identidad y emisión del mecanismo.
2.
El ciudadano utiliza su mecanismos de autenticación electrónica en todo tipo de trámites electrónicos ofrecidos por el Estado o por particulares
que requieran de autenticación.
3.
El proveedor de servicios utiliza un proveedor IdP autorizado por la Junta e ID para verificar la identidad ante un emisor ID y comunica el
resultado de la verificación a través del IdP a la entidad estatal o al particular que requiere la autenticación para el desarrollo del trámite o la
prestación de un servicio. Esta comunicación se hace usando el estándar SAML2.
4.
La renovación del mecanismo de autenticación se podrá hacer de manera presencial o electrónica en oficinas o puntos de atención de emisores
eID.
- Quién pone CAPEX: El operador.
- Quién pone OPEX: El Estado.
- Quién paga por el dispositivo: El ciudadano; Quién paga por la autenticación electrónica: Los proveedores de servicio, bien sean entidades
estatales o empresas privadas.
Suecia
• Seguridad
- El tratamiento de los datos personales de los ciudadanos suecos se regula a partir de la Ley de protección de datos (SFS 1998:204).
- Estrategia de ciberseguridad para la seguridad de la información del gobierno central 2010 – 2015.
• El mecanismo
- Tecnología de comunicación – SAML 2; Dispositivo de almacenamiento del mecanismo - Una tarjeta inteligente denominada eID,
teléfonos móviles, o software que contienen la firma digital del ciudadano.
- Mecanismo de autenticación electrónica – Firma digital PKI bajo el estándar X 509 V3 de la Unión Internacional de
Telecomunicaciones.
CANVAS Reino Unido
Alianzas Clave
7
5
Actividades Clave
b. Entidades gubernamentales
que apoyan de manera decidida
el sistema.
La contratación de operadores está a cargo de
la Oficina de Gabinete, bajo unas reglas
claramente definidas.
A cargo de
Proveedores IdP de Identidad:
•
Enrolamiento inicial del ciudadano.
•
Registro con una de las empresas
certificadas por GOV.UK .
•
Entrega del mecanismo de identidad
electrónica.
•
El usuario puede acceder a su cuenta
para el servicio que desea utilizar.
•
Una vez que un usuario se ha registrado
con un proveedor de identidad, podrá
acceder a todos los servicios digitales que
utilizan el GOV.UK.
c. Empresas integradoras
tecnología OpenID.
6
Son fundamentales
modelo:
en
este
a. Proveedores de identidad
Cuatro de las nueve empresas
tienen contratos en el marco
existente (Digidentity, Experian,
oficina de correos y Verizon).
de
Recursos Clave
Recursos financieros, a través del
Presupuesto General.
Recursos
operativos:
operadores
privados con una red muy extendida
que garantiza rápida apropiación.
Productos/Servicios
1
4
Para los Usuarios finales/Ciudadanos –
Disponer de un mecanismos de
autenticación útil electrónicamente.
2
Marca: Verify GOV.UK
El proveedor IdP de identidad realiza
algunas comprobaciones antes de verificar
la identidad para GOV.UK, como preguntas
que sólo pueden ser respondidas por el
usuario. También se le pide que introduzca
un código que el ciudadano recibe en su
teléfono móvil.
3
Los principales clientes son:
La estrategia de apropiación se centra en la
inclusión de trámites por parte del Estado
en el modelo.
Usar de forma segura los servicios
digitales provistos por el Reino Unido
a través de GOV.UK. Las empresas
certificadas, ofrecen diferentes niveles
de seguridad: dependiendo del riesgo
involucrado.
Para
las
entidades
estatales
receptoras
de
autenticación
electrónica, se tiene básicamente : (i)
amplitud de la oferta de trámites a
partir de un modelo de autenticación
seguro; y (ii) un modelo de rápida y
eficaz cobertura a partir de la
definición de operadores certificados.
Relaciones
con el Cliente
Canales
El enrolamiento puede ser físico o virtual, y
la verificación de la identidad toma
alrededor de 15 minutos.
a. Usuarios Finales.
Ciudadanos como base primaria,
a través de los servicios y
trámites puestos a disposición
por Gov.UK
b. Receptores de autenticación.
Entidades
estatales
que
autentifican sus trámites y
procesos con el uso del Gov.Uk
Verify.
A nivel comercial cada operador tiene
medios presenciales y virtuales a través de
redes de oficinas de las empresas
certificadas.
Verify se encuentra en versión beta y
se encuentra en una fase de piloto,
con 6 servicios.
Para Soporte y renovación del mecanismo
se cuenta con las Oficinas de correo del
Reino Unido.
Personal, con capacitación y alto nivel
de acercamiento a la tecnología.
La tecnología dispone de Open ID como
canal a través de Internet, y existe amplia
apertura.
8
El CAPEX ha sido completamente proporcionado por el proveedor IdP de
identidad. Por otra parte el OPEX es cubierto por el proveedor IdP de
identidad a través de las tarifas que se cobran al Estado.
La Oficina del Gabinete tiene un presupuesto establecido de £ 150 millones
en nombre del Servicio de Gobierno Digital (GDS), para el desarrollo de esta
iniciativa. El modelo de UK es totalmente financiado por el Estado.
El principal costo está determinado por los contratos con las empresas
certificadas que deben cumplir los requerimientos establecidos por la
Oficina del Gabinete.
10
Indicadores
Usuarios logueados Abril 2013 a
Septiembre 2015: 238.000.
Cuentas verificadas Abril 2013 a
Septiembre 2015 : 290.000
Cuentas básicas Abril 2013 a
Septiembre 2015 : 185.000.
https://www.gov.uk/performance
/govuk-verify
Ingresos
9
A nivel de ingresos, el modelo sólo contempla ingresos para los operadores de
identidad, a partir del cobro al Estado por transacción mediante una tarifa..
Es gratuito para el ciudadano.
En ahorros, se estiman importantes reducciones en fraudes de suplantación de
identidad.
11
Jurídico: Se trata de un modelo que propone el desarrollo de buenas prácticas particulares para UK, y que son aprobadas y certificadas por la Oficina del Gabinete. Su marco legal se encuentra en la Directiva
europea 1999/93/EC sobre firmas electrónicas. Ley de Comunicaciones Electrónicas del 2000. Regulación de las Firmas Electrónicas 2002. Directiva de los Servicios 2006/123/EC. Ley de protección de datos de
1998. Estrategia nacional de ciberseguridad progresando y adelante con el plan de 2014.
Reino Unido
Oficina del Gabinete
1.
Enrolamiento
2.
Entidades Estatales
Proveedores IdP de identidad
5.
Realización de
trámites
Entrega de
servicio solicitado
3.
Back Office
Front Office
Ciudadano
Confirmación de
identidad de
ciudadano
4.
Comunicación de
identidad
Canal Virtual
Canal Presencial
Reino Unido
• Los actores
- La Oficina del Gabinete del Reino Unido que actúa como orquestador.
- Los proveedores IdP de identidad que validan el cumplimiento de las normas de seguridad y de servicios.
- Las entidades estatales que desarrollan trámites y servicios autenticando electrónicamente a los ciudadanos.
1. Los usuarios serán guiados a través de la selección de un proveedor de identidad de una lista de organizaciones contratadas
por la Oficina del Gabinete (que administra el GOV.UK Verify) para prestar el servicio. El usuario se dirige de manera virtual o
presencial y se enrola ante los proveedores IdP de identidad.
2. El ciudadano efectúa el trámite ante una entidad estatal.
3. La entidad estatal valida la identidad del ciudadano ante el proveedor Idp para asegurarse de que están tratando con la
persona quien dice ser. Esto se conoce como dato coincidente.
4. El proveedor Idp envía la confirmación de autenticidad a la correspondiente entidad estatal.
5. Una vez verificado, el ciudadano recibe el servicio o trámite que está solicitando.
- Quién pone CAPEX: El proveedor IdP de identidad.
- Quién pone OPEX: El proveedor IdP de identidad, a través de las tarifas que se cobran al Estado.
- Quién paga por la autenticación electrónica: Los proveedores de servicio, en este caso el mismo Estado.
Reino Unido
• Seguridad
- El tratamiento de los datos personales de los ciudadanos de Reino Unido está regulado por la Ley de protección de datos de
1998 y por la Estrategia nacional de ciberseguridad progresando y adelante con el plan de 2014.
• El mecanismo
- Tecnología de comunicación – SAML.
- Mecanismo de autenticación electrónica – Firma electrónica.
CANVAS Perú
Alianzas Clave
7
La operación está a cargo del
RENIEC, y cuenta con el apoyo
institucional de la Oficina
Nacional
de
Gobierno
Electrónico
e
Informática
(ONGEI), el Consejo Nacional de
Ciencia,
Tecnología
e
Innovación
Tecnológica
(CONCYTEC) y el Instituto
Nacional de Defensa de la
Competencia y de la Protección
de la Propiedad Intelectual
(INDECOPI).
El DNI Electrónico (DNIe) tiene
15 mecanismos de seguridad,
físicos y lógico. Para producirlo,
el RENIEC cuenta con un Centro
de Personalización y una Planta
de
Certificación
Digital,
teniendo como proveedores a:
a.
b.
c.
d.
8
Indenova
Camerfirma
Safenet
Morpho
5
Actividades Clave
Gobierno, que es Operador:
•
•
•
•
•
•
Emisión
de
tarjeta
electrónica.
Enrolamiento biométrico a
través de RENIEC.
Incorporación
de
firma
digital.
Integración a diferentes
servicios estatales.
Apropiación en comunidades
que tienen dificultades de
aproximación a la tecnología.
Política pública unificada en
torno
al
modelo
de
identificación electrónica.
6
Recursos Clave
Institucional
• Dirección estatal y modelo de único
operador.
Tecnología
• Además de firmas digitales, cuentan
con firmas electrónicas para el
sistema tributario – Clave Sol
administrado por el SUNAT.
Económico-Subvencionado por el Estado
en lo referente a la firma electrónica.
El CAPEX ha sido proporcionado por el Estado, con tarifas por parte
del ciudadano. Por otra parte el OPEX del servicio se prevé esté a
cargo de las entidades estatales que integren el sistema.
Los costos de infraestructura y personal son asumidos por la RENIEC
a través del presupuesto general.
El modelo de atención al ciudadano también es asumido
directamente por el Estado.
Productos/Servicios
1
4
Para los
usuarios finales –
Ciudadanos se mitiga el riesgo de
suplantación de identidad. Se espera
oferta
ampliada
de
trámites
electrónicos.
3
Indicadores
Número de DNI electrónico
emitidos: 6 millones.
Número de trámites que incluyen
autenticación electrónica: 2.
Ver más en:
http://portales.reniec.gob.pe/web
/estadistica/indicador
Canales
El DNI se obtiene en las oficinas del
Registro Nacional de Identificación Civil
(RENIEC) a nivel nacional.
A nivel de producto se trata de un DNI
electrónico: Es un documento de
identidad emitido por el Registro
Nacional de Identificación y Estado
Civil - RENIEC que acredita presencial
y electrónicamente la identidad
personal de su titular, permitiendo la
firma
digital
de
documentos
electrónicos y el ejercicio del voto
electrónico no presencial. El DNI
electrónico sirve tanto para autenticar
como para firmar.
El soporte al cliente se realiza de
manera electrónica.
La tecnología utilizada es Biometría y
PKI.
Se ha estimado la eventual integración
a canales de particulares, pero aún se
encuentra en desarrollo.
9
2
A través de medios presenciales,
telefónicos y por Internet. Cualquier
ciudadano que goce de sus capacidades
(persona natural), empresa o entidad
pública (persona jurídica) puede solicitar
uno o varios certificados digitales. En el
caso de la persona jurídica, lo puede
realizar el representante legal de la
misma o el suscriptor del certificado,
previa autorización extendida por el
representante legal.
Para las entidades estatales: el
Documento Nacional de Identidad
Electrónico (DNIe) acredita de manera
presencial y no presencial la identidad
de su titular, permite la firma digital
de documentos electrónicos y el
ejercicio del voto electrónico.
10
Relaciones
con el Cliente
a.
Usuarios
Ciudadanos
finales
-
b. Entidades receptoras de
autenticación - entidades
estatales , donde se podrá
utilizar para:
•
Acreditación
de
identidad.
• Firma digital.
• Verificación biométrica
dactilar.
El
DNIe
contiene
la
aplicación MOC (Match-OnCard) que ejecuta la
comparación, dentro del
propio chip, de las plantillas
biométricas (minucias).
•
Voto electrónico
El DNIe podrá ser utilizado
para el voto electrónico
presencial y, cuando el
software esté disponible,
también de manera remota .
Ingresos
Ingreso – Tarifa por emisión al ciudadano (tarjeta).
El DNI ordinario tiene un precio de S/. 29.00, que ha ido aumentando, pues su valor
está atado al de la UIT (es el 0.78% de 1 UIT), siendo que su valor real es de S/. 23.00
(que es lo que se cobra por el duplicado). El DNI electrónico cuesta 40 soles.
Ahorros en costos transaccionales asociados a fraudes de suplantación y a la
inseguridad en trámites electrónicos del Estado.
11
Jurídico. Se sigue el modelo de la CNUDMI 2001 en el desarrollo de la Ley Modelo de Firma Electrónica. Ley No. 29222 que modifica el artículo 37 de la Ley Nº 26497 sobre el DNI. Ley Nº 27310 sobre Firmas y
Certificados Digitales. Decreto Supremo 052-2008-PCM reglamenta la Ley de Firmas y Certificados Digitales. Ley Nº 26497 Ley Orgánica del Registro Nacional de Identificación y Estado Civil – RENIEC. Ley 29733
Ley de protección de datos personales.
Perú
Back Office
Front Office
Ciudadano
Registro Nacional de Identificación y Estado Civil
1.
4. Realización de
Enrolamiento
3.
Verificación
de identidad
Renovación
Emisión de la
tarjeta
electrónica
5.
trámites
3.
2.
2.
Entidades Estatales
DNI Electrónico,
con lector de
tarjetas
Canal Virtual
Canal Presencial
Perú
• Los actores
- La Registro Nacional de Identificación y Estado Civil (RENIEC) que actúa en el enrolamiento del ciudadano.
1.
El ciudadano se dirige a uno de los puntos de atención de RENIEC para el enrolamiento de su identidad.
2.
RENIEC, a través de la verificación de registros públicos establece que el solicitante podrá ser el titular del DNI electrónico.
3.
Una vez verificada la identidad, y enrolado su registro biométrico, RENIEC emite una tarjeta electrónica que contiene el chip con
firma digital.
4.
El ciudadano titular de la tarjeta podrá utilizar su mecanismos de autenticación electrónica y firma digital en los trámites que se
encuentran disponibles por parte del Estado para utilizar a través del DNI electrónico.
5.
La renovación del mecanismo de autenticación se podrá hacer de manera presencial ante el RENIEC.
- Quién pone CAPEX: El ciudadano y el Estado.
- Quién paga por el dispositivo: El ciudadano; Quién paga por la autenticación electrónica: Los proveedores de servicio.
Perú
• Seguridad
- El tratamiento de los datos personales de los ciudadanos de Perú está regulado por Ley 29733 Ley de protección de datos
personales.
• El mecanismo
- Dispositivo de almacenamiento del mecanismo - Una tarjeta inteligente denominada eID, la tarjeta contiene un chip que integra la
firma digital del ciudadano.
- Mecanismo de autenticación electrónica – PKI bajo el estándar X 509 V3 de la Unión Internacional de Telecomunicaciones.
CANVAS Chile
7
Alianzas Clave
5
El Ministerio Secretaría General
de la Presidencia (MINSEGPRES)
de Chile.
Para masificar la adopción de
Clave Única, se requirió su uso
mediante
el
Instructivo
Presidencial
para
la
digitalización de trámites en
septiembre de 2012: “Cuando
un
determinado
trámite
requiera de algún tipo de
autenticación
de
persona
natural, deberá considerarse el
uso de la Clave Única
ciudadana, que permite validar
identidad con el Registro Civil”,
existen por lo tanto más de 60
entidades aliadas.
Por otra parte, una alianza
básica es la de los integradores
de tecnología Open ID.
Es fundamental la alianza con
SRCeI (Servicio de Registro Civil
e Identificación).
8
Actividades Clave
Gobierno, que es operador
•
•
•
Sistema de enrolamiento masivo
de los ciudadanos enmarcado en
política pública.
Integración y obligatoriedad para
todas
las
entidades
gubernamentales.
Capacitación y entrenamiento de
los ciudadanos a través de una
oferta de trámites electrónicos
cada vez más amplia.
6
Recursos Clave
Personal
• Personas con capacitación.
Tecnología
• Sistemas de información
• Procedimiento de atención y
respuesta de solicitudes.
Institucional
• Sistemas de seguimiento de la
política pública.
• SRCeI.
El CAPEX ha sido completamente proporcionado por el Estado. Por otra
parte el OPEX, también es cubierto por el Estado.
Asunción de todos los costos por parte del Estado, que se encarga de la
infraestructura, integración y mantenimiento del esquema de
autenticación.
Todos los gastos del modelo son asumidos por recursos estatales.
Costos regulatorios, costos del repositorio centralizado.
Productos/Servicios
1
4
Para la entidades estatales: de la
mano de la campaña de digitalización
de trámites públicos ChileSinPapeleo,
enmarcada dentro de la iniciativa
ChileAtiende,
ClaveÚnica
busca
integrar este sistema de autenticación
en la mayor cantidad de trámites
posibles.
Relaciones
con el Cliente
2
a.
Se ha trabajado la apropiación a partir de
la definición de un modelo donde
trámites de diversos sectores se han
ofrecido al ciudadano por medios
electrónicos.
Existe además un marca posicionada:
ClaveÚnica, con fuerte presencia y gran
desarrollo en medios de comunicación.
A febrero de 2015, 60 trámites del
Estado, han sido habilitados con esta
clave.
Para el ciudadano: contar con una
única credencial de autenticación ante
el Estado.
Indicadores
Número de ciudadanos enrolados en
el sistema: 1.049.007
Número de trámites vinculados a
autenticación electrónica: 60.
Ver más:
http://www.observatoriodigital.gob.
cl/gobierno-digital-al-dia/clave-unica
Ciudadanos
Naturales.
Personas
Entidades
Receptores
autenticación.
estatales.
de
la
Solamente aplica en la relación
Estado – Ciudadano, no cubre
el sector privado.
La activación de la ClaveÚnica
se lleva a cabo en dos etapas:
3
El producto: el sistema “ClaveÚnica”
funciona a través de una solución
tecnológica End-Point-OpenID que
consulta la base de datos del SRCeI
para verificar si la clave ingresada
corresponde a la persona quien dice
ser. Por lo tanto, la operación del
sistema la provee el Ministerio,
mientras que el SRCeI autentica la
identidad de las personas.
10
b.
9
Canales
Para obtener la contraseña, es necesario
realizar tres simples pasos:
• Dirigirse al Registro Civil.
• Posteriormente, ingresar al link que fue
enviado a su correo electrónico (link
“Activar clave única”, en el menú del
costado izquierdo.
• Finalmente, se abrirá una ventana en la
cual aparecerán sus datos: RUN, nombre
completo y correo electrónico. En ésta, el
sistema le solicitará ingresar una
contraseña.
La atención de incidencias y servicio al cliente
se hace a través de medios físicos y
presenciales en las oficinas SRCeI.
Presencial: el titular debe
dirigirse a una oficina del SRCeI
que cuente con sistema en
línea, ya que se utiliza la
verificación de identidad que
proporciona el sistema de
captura
de
datos
de
identificación (para cédulas y
pasaportes).
En línea: una vez confirmados
los datos se hará entrega de un
comprobante
con
el
correspondiente código de
activación.
Ingresos
No existen ingresos asociados al sistema de “ClaveÚnica”.
No se ha explorado el uso de la autenticación electrónica por parte de
particulares.
Existen ahorros importantes en costos transaccionales asociados a la
mitigación del riesgo de suplantación de identidad en los entornos electrónicos
del Estado.
11
Jurídico: Se sigue la ley modelo de firma electrónica de la CNUDMI de 2002. Ley N°19.799 de 2002 Sobre Documentos Electrónicos, firma electrónica y Servicios de Certificación. Decreto N° 181 reglamenta la
Ley 19.799 de 2002. Ley N°19.496, Protección a los Derechos del Consumidor. Ley 20285 de 2008 de Acceso a la Información Pública. artículos 9 y 13 de la Ley N° 19.880, que establece las Bases de los
Procedimientos Administrativos que rigen los Actos de los Órganos de la Administración del Estado. Ley 19628 de 1999 sobre protección de datos de carácter personal.
Chile
Back Office
Front Office
Ciudadano
Sistema de Registro Civil e Identificación
Base de datos centralizada del gobierno
5.
3.
1.
Enrolamiento
2.
Entrega de código de
activación
Realización de
trámites
Uso de servicios del
Estado
4.
Confirmación de identidad de
ciudadano
Canal Virtual
Canal Presencial
Entidades Estatales
Chile
• Los actores
- El Sistema de Registro Civil e Identificación (SRCeI) que actúa en el enrolamiento del ciudadano y la entrega del método de
autenticación.
1.
Enrolamiento del ciudadano ante el SRCeI, donde obtiene su código de activación.
2.
El usuario ingresa al sitio web de ClaveUnica y habilita una contraseña (de al menos 6 caracteres).
3.
El usuario requiere hacer uso de servicios del Estado.
4.
La entidad estatal verifica frente a las bases de datos del SRCel la autenticación del ciudadano. SRCel valida la autenticación del
ciudadano.
5.
La entidad estatal confirma la identidad y habilita al ciudadano para la realización de trámites.
- Quién pone CAPEX: El Estado.
- Quién paga por la autenticación electrónica: El Estado.
Chile
• Seguridad
- El tratamiento de los datos personales de los ciudadanos de Chile está regulado por Ley 19628 de 1999 sobre protección de datos
de carácter personal.
• El mecanismo
- Tecnología– OpenID.
- Mecanismo de autenticación electrónica – firma electrónica (usuario y contraseña).
Prácticas relevantes de cada modelo
Adopción de las mejores
prácticas a nivel
regulatorio.
Modelo de firma
electrónica de rápida
apropiación, a partir de
la definición de una
oferta ampliada de
trámites.
Uso de diferentes
mecanismos de
autenticación, es un
modelo incluyente que
sigue CNUDMI 2002.
DNI electrónico que
incluye biometría y firma
digital, por lo que se trata
de un modelo bastante
seguro.
LEGAL
Define un marco legal
que incluye orquestador
estatal.
Definición de un modelo
legal que propicia altos
niveles de seguridad.
TECNICA
Define el desarrollo de
estándares y entre ellos
el Uso de SAML, y de
firma digital a partir de
PKI.
Uso de firma digital a
partir de un estándar
denominado SOAP
Digidoc como método de
interoperabilidad ha sido
exportado.
Firma electrónica
utilizando SAML.
Firma electrónica
utilizando OpenId, que
permite incluir diferentes
proveedores TI.
FINANCIERA
CAPEX privado.
OPEX subvencionado a
partir de tarifas por el
estatales. OLIGOPOLIO.
El CAPEX ha sido
completamente
proporcionado por el emisor
eID. Por otra parte el OPEX
es cubierto por el Estado.
MONOPOLIO.
CAPEX privado.
OPEX subvencionado a
partir de tarifas por el
estatales.
COMPETENCIA.
CAPEX y OPEX
totalmente estatal.
MONOPOLIO.
CAPEX y OPEX
totalmente estatal.
MONOPOLIO.
ORGANIZACIONAL
Modelo Federado con variedad
de actores y un ente rector – la
Junta del eID.
Existen dos emisores de
identidad (BankId, Telia) y
proveedores de servicios e
IdP.
Definición de un modelo
mixto, auto sostenible.
SK como Alianza Público
Privada.
Definición y dirigismo
estatal. Un ente rector -la
oficina del Gabinete-, los
operadores -5-.
El Ministerio de la
Presidencia es el ente
rector.
El emisor es SRCeI.
INDECOPI es el ente
rector y acreditador.
El emisor es RENIEC.
SOCIO CULTURAL
Cuenta con un uso
mixto, que aprovecha la
bancarización. Por ello
su rápida apropiación al
involucrar al sector
financiero.
Uso mixto y de rápida
apropiación al involucrar
todos los trámites del
Estado.
Extraordinaria cobertura
a través de operadores
en todos los segmentos.
Modelo en desarrollo.
Modelo sólo estatal, pero
con rápido
involucramiento de
entidades estatales. De
muy fácil
implementación.
En desarrollo. El DNI
electrónico se ha venido
implementando en voto
electrónico.
Suecia
Estonia
UK
Chile
Perú
Conclusiones Perspectivas
Legal
El modelo de autenticación define diferentes efectos jurídicos y probatorios, dependiendo del nivel de seguridad provisto
por el mecanismo (se sigue en Europa la Directiva Europea de firma electrónica y en América la Ley Modelo de Firma
Electrónica, CNUDMI 2001). Todos los países analizado siguieron los modelos paradigmáticos en la materia pero hicieron
sus respectivas adaptaciones al derecho interno de cada Estado.
Técnico
Existen modelos centralizados y modelos distribuidos, en el caso de estos últimos el estándar utilizado es SAML, y el
mecanismo más empleado es firma digital a partir de PKI. En la mayoría de los países (salvo Estonia y UK) coexisten varios
métodos de autenticación. Los mecanismos de autenticación utilizados son seleccionados partir del riesgo operacional.
Financiero
En Chile y Perú, el CAPEX ha sido proporcionado por el Estado pero en éste último el ciudadano contribuye por medio de
tarifas, mientras que en Reino Unido y Suecia quien lo cubre es el operador. En tanto Estonia, el CAPEX lo cubre el
operador con contribución del ciudadano. Por otra parte, en el modelo del Reino Unido y Suecia, el OPEX es cubierto por el
operador, a través de las tarifas que se cobran o al propio Estado, por transacción. El OPEX en Chile, Perú y Estonia es
cubierto por el Estado.
Organizaci
onal
En Suecia y Reino Unido existen múltiples operadores privados de identidad, por otro parte, Chile y Perú tienen un único
operador del estado, finalmente Estonia tiene un único operador, en asociación público-privada. En la mayoría de los casos
la política pública del Estado define un ente gubernamental que acredita, habilita o fija reglas a los operadores.
SocioCultual
Los modelos, salvo el caso de Perú (que se encuentra en despliegue), tienen una rápida apropiación en función de trámites
en línea que ofertan las entidades del Estado. Existe una definición de publicidad y divulgación de gran envergadura y se
trata de modelos incluyentes de todos los sectores sociales. Se ha trabajado en todos los modelos en la educación o
capacitación de importantes segmentos de la población (Destaca el caso de Estonia).
Resumen CANVAS
• Para el Estado, eliminar
el fraude de
suplantación de
identidad y mejorar la
seguridad en sus
servicios electrónicos.
• Para el usuario,
disponer de un
mecanismo que le dé
acceso a múltiples
trámites.
• Para el Estado, mitigar
completamente el riesgo
de suplantación de
identidad.
• Para el usuario, operar
tanto en la autenticación
como en la firma
electrónica de trámites y
documentos.
• Para el Estado, amplitud
de la oferta de tramites
a partir de un modelo de
autenticación seguro.
• Para el usuario,
constituye la forma de
acceder de manera
segura a los servicios
digitales del Estado.
• Para el Estado, ampliar
la oferta de trámites en
línea a partir de un
modelo provisto y
pagado por el Estado.
• Para el usuario, contar
con una única
credencial de
autenticación frente al
Estado.
• Para el Estado, contar
con una única forma de
autenticar al ciudadano.
• Para el usuario, mitigar
el riesgo de
suplantación de
identidad.
SEGMENTO
Ciudadanos, empresas
publicas y privadas.
Ciudadanos, empresas
publicas y privadas.
Sólo empresas publicas y
ciudadanos.
ciudadanos.
ciudadanos.
CANALES
Electrónicos,
Presenciales, Móviles.
Electrónicos,
Electrónicos,
Presenciales y
electrónicos.
Presenciales y
electrónicos.
Marca: BankID, Telia.
Marca: eID.
Marca: GOV.UK. Verify
PROMESA DE
VALOR
RELACIONES
CLIENTE
Suecia
Apropiación a partir de la
bancarización y del uso de
industria Telco.
Estonia
UK
amplia oferta estatal en
medio electrónico.
Chile
Perú
difusión e impacto
mediático.
Marca: Clave Única
Apropiación estatal a
partir del liderazgo del
Ministerio de la
Presidencia. .
Marca: DNI Electrónico
Apropiación a partir del
uso combinado d
biometría y PKI.
Resumen CANVAS
Enrolamiento ante
operadores, verificación
de la identidad iDP,
emisión por parte de
operadores, uso
diferencial en el sector
público y privado.
El enrolamiento del
ciudadano ante la policía
nacional, emisión de la
tarjeta electrónica por
parte del operador,
integración con lectores
de tarjeta electrónica,
masificación en el uso.
Enrolamiento del
ciudadano, registro ante
una de las entidades
certificadas por Gov.UK,
entrega del mecanismo,
uso en diferentes trámites.
Enrolamiento, adopción
Modelo Open ID,
integración de las
entidades estatales,
inclusión digital a través
de un programa de
gobierno electrónico
agresivo.
Enrolamiento biométrico,
emisión tarjeta física,
incorporación firma digital,
apropiación comunidad.
Capital Humano,
multioperador, tecnología
SAML 2.0.
Capital Humano, Mono
operación, presencia
institucional, hardware
masificado, lectores de
tarjeta, tecnología
Safelayer.
Capital Humano, dirección
estatal, subvención
estatal, red de operadores
privados.
Capital Humano, modelo
Open ID, sistemas de
seguimiento, sistemas de
información.
Capital Humano ,mono
operación, dirección
estatal, match On Card –
MOC, elementos
biométricos.
Sectores: Financiero,
público, correos,
transporte, salud.
Sectores: financiero,
público, industria,
educación, transporte,
Integradores de
tecnología.
Sectores: Público,
operadores certificados.
Sector: Público.
Sectores: financiero,
público, industria,
educación, transporte,
Integradores de
tecnología.
ESTRUCTURA
DE COSTOS
Modelo subvencionado
por el Estado para
entidades públicas.
Estado asume
parcialmente los costos.
Asociación Público
Privada.
La Asociación asume los
costos y existe tarifa para
receptores de
autenticación.
El Estado contrata
diversos operadores.
El privado asume los
costos de operación a
través de las tarifas que
se cobran al Estado.
Financiado
completamente por el
Estado.
Costo de emisión de DNI
asumido por el ciudadano
y OPEX a cargo del
Estado.
INGRESOS
Los proveedores de
servicios deben pagar
según el número de
transacciones por mes.
Los emisores eID reciben
una tarifa al mes por cada
usuario que use el
sistema.
El modelo sólo contempla
ingresos para los
operadores de identidad,
a partir del cobro al
Estado por transacción
mediante una tarifa.
No existe ingreso, ya que
el Estado lo opera y hace
uso del mismo.
Por determinar. El modelo
se encuentra en fase de
despliegue.
ACTIVIDADES
CLAVES
RECURSOS
CLAVES
ALIADOS
CLAVES
Suecia
Estonia
UK
Chile
Perú
Conclusiones CANVAS
Promesa
de valor
Segmento
Clientes
Los elementos mas valorados por los usuarios, son; autenticidad de quien realiza las transacciones,
ahorros en transporte y tiempo, impacto ambiental positivo, transacciones electrónicas seguras, fácil
interacción con mecanismos de autenticación (dependiendo de niveles de seguridad y de la transacción a
realizar).
Los principales segmentos atendido son: ciudadanos, entidades estatales, empresas privadas.
Relación
Clientes
La forma en que normalmente se interactúa y existe una retroalimentación con los distintos segmentos
objetivos, es a través de medios presenciales, en línea vía internet y medio telefónico. La marca genera
confianza en los usuarios.
Canales
Los principales canales por los cuales se atiende el publico objetivo o segmentos del modelo, son; a través
de red de oficinas, empresas de correo, vía telefónica, páginas web, aplicaciones móviles.
Recursos
Claves
Entre los principales recursos requeridos se destacan entre otros: físicos (edificios, sistemas, redes,
hardware, software), intelectuales (marca , propiedad intelectual, bases de datos), humanos (equipo de
trabajo capacitado), financieros (garantías, grandes inversiones de capital CAPEX ,OPEX), marcos
jurídicos y lineamientos.
Conclusiones CANVAS
Actividad
Clave
En suma, las principales actividades claves en los modelos de autenticación son: definición y supervisión
de un marco legal, procesos de producción y distribución de equipos o dispositivos (tarjetas, lectores,
token, etc.), proceso de enrolamiento, administración base de datos, proceso de apropiación y uso.
Alianzas
Claves
Se observa que los principales modelos analizados apalancan esfuerzos, principalmente con entidades del
sector de las telecomunicaciones, bancario, transporte, operadores de correo físico, operadores de pago
electrónico, de seguridad informática (proveedores de tecnología) y entidades estatales con competencia
legal y operacional de TIC.
Estructura
de costos
Los costos más representativos que asumen los modelos de autenticación, son: infraestructura, hardware,
software, mantenimiento, nomina, producción y distribución de equipos, contratos empresas certificadoras.
Ingresos
Los ingresos del modelo varían teniendo en cuenta su taxonomía y estructura, sin embargo las principales
fuentes de ingresos son; cobros por transacción, presupuesto del gobierno y capital privado (APP’s).
Jurídico
Los modelos internacionales siguen principalmente, la ley modelo de firma electrónica de CNUDMI de
2002, la directiva Europea de firma electrónica y la normatividad producida internamente por cada país
en esta materia.
2
Análisis Nacional
Análisis Nacional
Situación encontrada
7
Alianzas Clave
5
El MinTIC como articulador de
Política.
Entidades
de
certificación
digital definidas en la Ley 527
de 1999.
ONAC
como
organismo
acreditador de entidades de
certificación.
Superintendencia de Industria y
Comercio para la vigilancia y
control.
DIAN
como
emisor
de
mecanismos de autenticación
para sus usuarios.
RNEC como dueño de la
identidad de los colombianos.
Actividades Clave
Hay libertad de configuración de
operadores, salvo el caso de las entidades
de certificación digital en la emisión de
firmas digitales. En general se aplican:
•
Enrolamiento ante operadores.
•
Verificación de identidad ante
fuentes oficiales y privadas
de
información.
•
Uso diferencial en sector público y
privado.
•
Modelo progresivo que ha venido
cambiando en función de riesgos.
•
Apertura de la biometría dactilar
desde la RNEC a públicos y sector
financiero.
6
Recursos Clave
Económico:
infraestructura.
Costos
Productos/Servicios
1
de
Personal:
Calificación
y
conocimiento sobre la materia por
experiencia de más de 16 años en la
materia.
Para la entidades o empresas
receptoras de autenticación: ofrecer
mecanismos de autenticación como
un atributo de seguridad muy
importante
en el desarrollo de
trámites, actuaciones y documentos
electrónicos.
Para los usuarios finales se amplia la
oferta de trámites y servicios
electrónicos,
mitigando
la
suplantación de identidad a través de
diferentes métodos de autenticación,
como:
a.
b.
c.
d.
-
-
3
Dependiendo del nivel de riesgo de la
operación se utilizará un modelo u
otro.
Asunción de los costos por el Estado y particulares de conformidad con
sus propias necesidades, que se centran en la infraestructura,
integración y mantenimiento del esquema de autenticación.
CAPEX Y OPEX: público y privado.
Costos regulatorios, costos de la infraestructura de servicio al cliente,
costos de operación y administrativos.
10
Indicadores
En firmas digitales- Certicámara, o
GSE.
En Tokens OTP – RSA, Gemalto,
VASCO.
La apropiación se ha dado a través de la
verificación de atributos de seguridad,
definición de normas que imponen el uso,
y definición de ahorros en costos
operativos.
Métodos simples.
Métodos robustos.
Firmas electrónicas.
Firmas digitales.
Número de firmas digitales colocadas en
el mercado, por entidades abiertas:
82.000.
Número de firmas digitales emitidas por
la DIAN para contribuyentes: 750.000.
Ciudadanos que hacen trámites con el
Estado por medios electrónicos 38%.
Empresas que hacen trámites con el
Estado por medios electrónicos 45%.
2
Hay marcas fuertes en el mercado:
a.
Usuarios finales:
1.
2.
Ciudadanos.
Empresas.
b.
Receptores
de
autenticación electrónica:
1. Entidades Pública, especial
referencia a:
a.
b.
Canales
Sector tributario.
Sector
Salud
previsional.
Sector Justicia.
y
Para la atención de incidencias y servicio al
cliente:
c.
•
Canal Presencial.
2.
Empresas
Privadas,
especial referencia a:
•
Canal telefónico.
•
Canal Internet.
a.
b.
c.
Sector Financiero.
Sector Telco.
Sector Transporte.
Tecnología disponible: Biometría, PKI, Open
ID, y toda la variedad disponible en el
mercado.
Infraestructura:
repositorios
distribuidos en el manejo de la
identidad.; bases de datos de
verificación como fuentes externas.
8
Relaciones
con el Cliente
4
9
Ingresos
Ingresos:
I.
Tarifas por los mecanismo.
II.
Tarifas por servicios conexos ofrecidos.
Ahorros:
i.
Eliminación de fraudes y reducción de costos transaccionales asociados.
ii.
Mejora capacidad tecnológica en las incidencias de seguridad de la
información.
11
Jurídico: Ley 527 de 1999, Decreto 2364 sobre firma electrónica, Decreto 333 sobre Constitución y Funcionamiento de las Entidades de Certificación Digital, y todo el marco normativo del Procedimiento
Administrativo Electrónico, que exige autenticidad, integridad y disponibilidad en las actuaciones administrativas electrónicas (Ley 962 y Ley 1437). Ley 1581 de 2012 sobre protección de datos personales.
Análisis Nacional
Alcance
SECTOR
ENTIDAD
Alcaldía de Bogotá
PÚBLICO
DPS
SALUD
BANCARIO
Nueva EPS
Banco de la República
FINANCIERO
Superintendencia Economía Solidaria
ACADÉMICO
SENA
ORGANISMO DE IDENTIFICACIÓN
IMPUESTOS
Registraduría Nacional
DIAN
Análisis Nacional
Marco Jurídico
Ley 527 de 1999
• Mecanismos simples de
autenticación – Art. 17.
• Firmas electrónicas – Carga
Probatoria sobre autenticidad e
integridad – Art 7.
• Firmas digitales – Presunción de
autenticidad e integridad Art. 28.
• Nota: es necesario distinguir la
autenticidad del mensaje de datos,
como determinación del origen de
una información electrónica; de la
autenticidad de los documentos incluso electrónicos – a nivel
probatorio.
Decreto 2364 de 2012
• Las firmas electrónicas siempre
deben garantizar autenticidad e
integridad. La definición sobre el
uso de una firma electrónica o de
una firma digital dependerá
directamente de un análisis de
riesgos y de usabilidad.
Código General del Proceso
• Define la autenticidad del mensaje
de datos como documento
electrónico, pero debe distinguirse
de la determinación del Origen del
Mensaje de datos.
Análisis Nacional
Conclusiones
Legal
Se dispone de un marco jurídico amplio y concreto, que reconoce tanto mecanismos simples como robustos, así
como también las firmas electrónicas y digitales, siguiendo así los estándares y modelos internacionales. El
paradigma es la Ley 527 y sus Decretos Reglamentarios 2364 de 2012, y 333 de 2014.
Técnico
Existe variedad de posibilidades, los atributos de seguridad y técnica que se hacen presentes normalmente son
autenticidad e integridad.
Se manejan mecanismos tales como: usuario y contraseña, certificados digitales, tokens, preguntas reto.
Financi
ero
Esquemas financiados por el Estado fundamentalmente. En lo referente a mecanismos robustos existe fuerte
presencia del sector financiero por solicitudes reglamentarias; y en el caso de firma digital es exigida por algunas
entidades estatales en sus comunicaciones electrónicas, y existe un financiamiento hibrido entre particulares y
Estado.
Organiz
acional
Libertad de configuración en la prestación de servicios de autenticación simples y de firmas electrónicas, con
presencia de muchos proveedores dentro del mercado; en el caso de las firmas electrónicas certificadas y firmas
digitales, existe un marco institucional a partir de las entidades de certificación digital y el papel muy reciente del
acreditador de sus servicios, esto es ONAC. Allí hay debilidad por falta de conocimiento y ausencia de estándares.
SocioCultual
La autenticación electrónica cada vez más hace parte de la vida cotidiana del ciudadano. Existe apropiación sobre
todo de mecanismos simples. Sin embargo no existe adecuada concientización sobre la seguridad de este tipo de
mecanismos. Algunos mecanismos robustos son calificados por los ciudadanos como “difíciles” de utilizar.
Elaborado por:

Presentación de PowerPoint

Transcripción

Documentos relacionados

No. 1 Octubre