Servicios de confianza digital


Ámbito de tarjeta criptográfica

Astrea ofrece servicios de consultoría relativos al diseño, regulación e implementación de tarjetas criptográficas, así como servicios de revisión y auditoría de cumplimiento de requisitos legales.

Las tarjetas inteligentes se han convertido en un elemento esencial en la interacción entre el mundo físico y las nuevas tecnologías, especialmente en la realización de trámites a través de Internet.

La seguridad que aportan las tarjetas inteligentes con capacidades criptográficas, y su empleo conjunto con los servicios de identidad y certificación, permiten desplegar a las organizaciones una infraestructura de servicios única, en la que se puede ofrecer valor añadido sin renunciar a la necesaria seguridad técnica y jurídica.

Los servicios de tarjeta criptográfica permiten la emisión y gestión de tarjetas de identidad a personas físicas dentro de organizaciones, con capacidad para la realización de las operaciones de seguridad más importantes, desde el control horario a la autenticación electrónica, pasando por el control de acceso autorizado a la red, la realización de transacciones electrónicas y la firma electrónica de documentos.

Ámbito de certificación de la identidad

Astrea ofrece servicios de consultoría en relación con el diseño y aplicación de las políticas y prácticas necesarias para garantizar el cumplimiento de la legislación de firma electrónica por los prestadores de servicios de certificación, incluyendo la redacción de perfiles de certificados a emitir; de las condiciones generales de emisión y de uso de los certificados, para cada uno de los perfiles de certificados; de los formularios de solicitud, renovación y revocación o, cuando resulte procedente, suspensión y habilitación de los certificados, incluyendo las cláusulas de protección de datos correspondientes; de la Declaración de Prácticas de Certificación; la definición del modelo de PKI, y soporte en cuanto al asesoramiento sobre jurisdicciones y procedimientos de certificación a implantar; y la preparación de la documentación administrativa para la comunicación del inicio de la actividad de entidad de certificación a las autoridades administrativas competente para su supervisión y para la admisión de los certificados.

Los servicios de certificación de la identidad permiten la emisión y gestión de certificados digitales, con pleno cumplimiento de los requisitos legales, así como para la autenticación y el cifrado de la información:

– Certificados regulados por la Ley 59/2003, de 19 de diciembre, de firma electrónica:

o Certificado de persona física (ciudadanos, profesionales, empresarios individuales…)

o Certificado de persona jurídica (sociedades mercantiles, asociaciones, fundaciones…)

o Certificado de entidad sin personalidad jurídica (comunidades de bienes o de propietarios, sociedades civiles, fondos de capital-riesgo…)

o Certificado de representante (legal o voluntario).

o Certificado de personal al servicio de una organización privada (trabajadores, otras personas vinculadas).

– Certificados regulados por la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, y el Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración electrónica:

o Certificado de sede electrónica.

o Certificado de sello de actuación administrativa automatizada.

o Certificado de empleado público.

– Otros certificados:

o Certificado de servidor seguro.

o Certificado de aplicación segura / componente informático.

o Certificado de firma de código.

o Certificado de entidad de sellado de fecha y hora.

Los certificados, que siguen el estándar internacional ITU-T X.509, se suelen contener dentro de las tarjetas criptográficas de la organización, permitiendo la generación de la firma electrónica reconocida o de otros mecanismos criptográficos con reconocimiento legal.

Los servicios exigen la instalación y operación de una o más entidades de certificación y de registro, que ejecutan los procedimientos seguros de identificación de las personas que reciben certificados, de acuerdo con las políticas establecidas por la organización.

Atribuciones personales y gestión federada de la identidad

Astrea ofrece servicios de consultoría en relación con el diseño y aplicación de las políticas y prácticas necesarias para garantizar el cumplimiento de la legislación aplicable por parte los servicios de atribuciones personales y gestión federada de la identidad, incluyendo el análisis y descripción del sistema de federación de identidad empleo de atribuciones personales; el establecimiento de procedimientos de servicios y procesos de federación, web SSO, informe de capacidades y bastanteo de capacidades; la redacción de normativas de seguridad de los servicios; la definición de esquemas de datos y atributos de los servicios; y el tratamiento de los aspectos legales de la solución, especialmente desde la perspectiva de la protección de los datos de carácter personal.

Los servicios de atribuciones personales permiten la emisión y gestión de certificados de atribuciones personales, en forma de certificados X.509 de atributos o de declaraciones de atribuciones, en este caso principalmente alineados con los estándares de federación de identidad (como el estándardestándar SAML de OASIS).

Los servicios de atribuciones funcionan de forma conjunta con los certificados de identidad, ofreciendo una solución completa a la identificación y autorización de la persona, dado que ambos elementos suministran toda la información base necesaria para estos procesos.

Los servicios de federación permiten establecer entornos compartidos de identificación y actuación electrónica entre varias organizaciones, con respeto a la privacidad de los datos personales.

La gestión federada de la identidad es un conjunto de acuerdos, estándares y tecnologías que hacen que las identidades y las atribuciones (poderes, permisos, etc.) sean transportables entre dominios autónomos de seguridad (por ejemplo, entre un hospital y una compañía aseguradora). En un entorno federado, la información de identidad es local a cada sistema, pero puede enlazarse y emplearse de forma global.

Un ejemplo típico de servicio de federación es la autenticación única de una persona frente a diversos proveedores de servicios electrónicos, que permite identificarse sólo una vez y ser reconocido en diversas sedes web de prestadores de servicios.