Situación actual y perspectivas de futuro: hacia la identidad electrónica LIDECO 25 de Noviembre 2014 Mag. Ing. Jorge Abin De María

Firma Electrónica Avanzada – Antecedentes – Autoridades Certificadoras – RREE – Políticas de Certificados existentes – Validaciones internacionales – Perspectivas Identidad Electrónica – Concepto – Necesidad – Propiedades – Single Sign On ciudadano Agenda

Antecedentes Julio 2006, Ley Creación de Agesic Setiembre de 2009, Ley Nº Firma Electrónica Decreto Nº 436/2011, Reglamentación del documento electrónico y la firma electrónica 3

Tecnológicos 03/2008 Plataforma de Gobierno electrónico “ Los productos y servicios a adquirir en estas licitaciones conformarán el núcleo de la plataforma de Gobierno Electrónico del Estado Uruguayo. En el futuro ser irán realizando otras licitaciones públicas para incorporar funcionalidades específicas a esta plataforma, tal será el caso del Root CA (Autoridad Certificadora Raízdel Estado Uruguayo); de un sistema central de expediente electrónico; del broker de expediente electrónico; de un Business Process Manager (BPM); del broker de HL7; del sistema de trazabilidad de trámites, expedientes y procesos de negocios; entre otros. La plataforma de middleware debe ser integrable con mecanismos de seguridad que proveerán facilidades de Identificación y Autenticación Federadas en general, y de Single-Sign On para las aplicaciones que se ejecuten en la plataforma de Middleware. Asimismo, debe ser integrable con servicios de Metadatos y Catálogos de información …” 3/11/2011, se efectuó la Ceremonia de claves para el inicio de la PKI Uruguay 4 En el futuro ser irán realizando otras licitaciones públicas para incorporar funcionalidades específicas a esta plataforma, tal será el caso del Root CA (Autoridad Certificadora Raíz del Estado Uruguayo)

Prestadores de Servicios de Certificación Acreditados Administración Nacional de Correos Abitab Ministerio del Interior 5

Ministerio de Relaciones Exteriores Autoridad de Registro

Política de certificación de la Autoridad Certificadora Raíz Política de Certificación de Persona Física Política de Certificación de Persona Jurídica Política de Certificación de Sitio Seguro Política de Certificación de Representación (En desarrollo) Política de Certificación para la firma de Código (En estudio) Políticas de Certificación Existentes

Aprobado – Microsoft En proceso – Mozzilla – Safari Acreditaciones Internacionales

Se dispone de un ecosistema de Certificación Electrónica Es necesario incentivar el uso del mismo Se debe trabajar en reforzar algunos puntos importantes pendientes Necesitamos difusión y capacitación a usuarios finales Casos de aplicación masivos Conclusiones

Identidad Electrónica

Identificación Electrónica: El proceso de utilizar los datos de identificación de una persona en formato electrónico que representan de manera única a una persona física o jurídica o a una persona física que representa a una persona Jurídica Definición

La creación de un clima de confianza en el entorno en línea es esencial para el desarrollo económico y social. Cada persona está involucrada en múltiples sectores: Impuestos, Seguridad Social, Educación, Salud, Servicios Públicos, Transporte, Servicios Bancarios, Migraciones, etc. Cada persona puede actuar bajo diferentes roles: Funcionario público, profesional, padre, Ciudadano, etc. Justificación

La creación de un clima de confianza en el entorno en línea es esencial para el desarrollo económico y social. Cada persona está involucrada en múltiples sectores: Impuestos, Seguridad Social, Educación, Salud, Servicios Públicos, Transporte, Servicios Bancarios, Migraciones, etc. Cada persona puede actuar bajo diferentes roles: Funcionario público, profesional, padre, Ciudadano, etc. Justificación

Identificación frente a servicios de Salud e-Salud Retiro de prescripciones médicas en farmacias Trámites frente a organismos públicos Identificación en operaciones financieras Acceso a notificaciones electrónicas Registro y acceso a beneficios sociales Consulta de información en poder del estado (partidas, certificados, etc.) Autenticación en actos privados Firma Electrónica Venta de medicamentos y substancias prohibidas a menores Acceso a espectáculos públicos (ingreso a estadios) Verificación de identidades Algunos ejemplos

OnLine OffLine Multidispositivo Nivel de Seguridad en concordancia con la aplicación Independiente de las aplicaciones y los servicios que lo consuman Seguridad Privacidad Protección de datos personales Independiente del Token Transfronteriza Propiedades

Las personas no siempre llevan consigo los documentos No siempre se cuenta con lectores apropiados Los elementos biométricos son sumamente útiles, pero también presentan sus dificultades. El documento electrónico no es la bala de plata Parafraseando a Fred Brooks Essence and Accidents of Software Engineering" 1986.Fred Brooks

Autenticación Single Sign On Federado Cada persona tiene un único usuario, un único conjunto de credenciales y un único punto para autenticarse frente a cualquier organismo del estado sin excepciones.

Los servicios electrónicos que ofrece el estado uruguayo están, al igual que los servicios físicos segregados en los diferentes organismos que lo componen. Estos servicios requieren diferentes niveles de seguridad y certezas de identidad, en consecuencia, cada organismo adopta sus propias medidas de autenticación. Proponemos un esquema beneficioso para las personas y para los organismos. Los organismos pueden sus propias reglas de seguridad y establecimiento de sesiones. Las personas se autentican en un único punto y pueden mantener sesiones en varios organismos según sus necesidades utilizando un único conjunto de credenciales Sistema de Autenticación Federada

Hemos avanzado mucho en la construcción de la PKI Nuestros problemas no son diferentes a los de otros países Hay que continuar trabajando, intercambiando experiencias, aprendiendo entre todos, proponiendo y construyendo en conjunto Resumen

Preguntas ?

Mag. Ing. Jorge Abin De María AGESIC Consejo Directivo Honorario Muchas Gracias