Serveis de confiança digital


Àmbit de targeta criptogràfica

Astrea ofereix serveis de consultoria relatius al disseny, regulació i implementació de targetes criptogràfiques, així com serveis de revisió i auditoria de compliment de requisits legals.

Les targetes intel ligents s’han convertit en un element essencial en la interacció entre el món físic i les noves tecnologies, especialment en la realització de tràmits a través d’Internet.

La seguretat que aporten les targetes intel·ligents amb capacitats criptogràfiques, i el seu ús conjunt amb els serveis d’identitat i certificació, permeten desplegar a les organitzacions una infraestructura de serveis única, en la qual es pot oferir valor afegit sense renunciar a la necessària seguretat tècnica i jurídica.

Els serveis de targeta criptogràfica permeten l’emissió i gestió de targetes d’identitat a persones físiques dins d’organitzacions, amb capacitat per a la realització de les operacions de seguretat més importants, des del control horari a l’autenticació electrònica, passant pel control d’accés autoritzat a la xarxa, la realització de transaccions electròniques i la signatura electrònica de documents.

Àmbit de certificació de la identitat

Astrea ofereix serveis de consultoria en relació amb el disseny i aplicació de les polítiques i pràctiques necessàries per garantir el compliment de la legislació de signatura electrònica pels prestadors de serveis de certificació, incloent la redacció de perfils de certificats a emetre, de les condicions generals d’emissió i d’ús dels certificats, per a cada un dels perfils de certificats, dels formularis de sol·licitud, renovació i revocació o, quan sigui procedent, suspensió i habilitació dels certificats, incloent-hi les clàusules de protecció de dades corresponents, la Declaració de Pràctiques de Certificació, la definició del model de PKI, i suport pel que fa a l’assessorament sobre jurisdiccions i procediments de certificació a implantar, i la preparació de la documentació administrativa per a la comunicació de l’inici de l’activitat d’entitat de certificació a les autoritats administratives competent per a la supervisió i per a l’admissió dels certificats.

Els serveis de certificació de la identitat permeten l’emissió i gestió de certificats digitals, amb ple compliment dels requisits legals, així com per l’autenticació i el xifrat de la informació:

  • Certificats regulats per la Llei 59/2003, de 19 de desembre, de signatura electrònica:
    • Certificat de persona física (ciutadans, professionals, empresaris individuals …)
    • Certificat de persona jurídica (societats mercantils, associacions, fundacions …)
    • Certificat d’entitat sense personalitat jurídica (comunitats de béns o de propietaris, societats civils, fons de capital de risc …)
    • Certificat de representant (legal o voluntari).
    • Certificat de personal al servei d’una organització privada (treballadors, altres persones vinculades).
  • Certificats regulats per la Llei 11/2007, de 22 de juny, d’accés electrònic dels ciutadans als serveis públics, i el Reial Decret 4/2010, de 8 de gener, pel qual es regula l’Esquema Nacional d’Interoperabilitat en l’àmbit de l’Administració electrònica:
    • Certificat de seu electrònica.
    • Certificat de segell d’actuació administrativa automatitzada.
    • Certificat d’empleat públic.
  • Altres certificats:
    • Certificat de servidor segur.
    • Certificat d’aplicació segura / component informàtic.
    • Certificat de signatura de codi.
    • Certificat d’entitat de segellat de data i hora.

Els certificats, que segueixen l’estàndard internacional ITU-T X.509, se solen contenir dins de les targetes criptogràfiques de l’organització, permetent la generació de la signatura electrònica reconeguda o d’altres mecanismes criptogràfics amb reconeixement legal.

Els serveis exigeixen la instal·lació i operació d’una o més entitats de certificació i de registre, que executen els procediments segurs d’identificació de les persones que reben certificats, d’acord amb les polítiques establertes per l’organització.

Atribucions personals i gestió federada de la identitat

Astrea ofereix serveis de consultoria en relació amb el disseny i aplicació de les polítiques i pràctiques necessàries per garantir el compliment de la legislació aplicable per part dels serveis d’atribucions personals i gestió federada de la identitat, incloent l’anàlisi i descripció del sistema de federació de identitat ocupació d’atribucions personals, l’establiment de procediments de serveis i processos de federació, web SSO, informe de capacitats i validació de capacitats, la redacció de normatives de seguretat dels serveis, la definició d’esquemes de dades i atributs dels serveis; i el tractament dels aspectes legals de la solució, especialment des de la perspectiva de la protecció de les dades de caràcter personal.

Els serveis d’atribucions personals permeten l’emissió i gestió de certificats d’atribucions personals, en forma de certificats X.509 d’atributs o de declaracions d’atribucions, en aquest cas principalment alineats amb els estàndards de federació d’identitat (com l’estàndard SAML d’OASIS ).

Els serveis d’atribucions funcionen de forma conjunta amb els certificats d’identitat, oferint una solució completa a la identificació i autorització de la persona, atès que tots dos elements subministren tota la informació base necessària per a aquests processos.

Els serveis de federació permeten establir entorns compartits d’identificació i actuació electrònica entre diverses organitzacions, amb respecte a la privacitat de les dades personals.

La gestió federada de la identitat és un conjunt d’acords, estàndards i tecnologies que fan que les identitats i les atribucions (poders, permisos, etc.) siguin transportables entre dominis autònoms de seguretat (per exemple, entre un hospital i una companyia asseguradora). En un entorn federat, la informació d’identitat és local a cada sistema, però es pot enllaçar i utilitzar de manera global.

Un exemple típic de servei de federació és l’autenticació única d’una persona front a diversos proveïdors de serveis electrònics, que permet identificar-se només una vegada i ser reconegut en diverses seus web de prestadors de serveis.