Post on 07-Mar-2020
Resumen ejecutivo situación actual Autenticación Electrónica Análisis Internacional y Nacional
ÍNDICE
1. Modelos Internacionales
2. Análisis Nacional
1 Modelos
Internacionales
-
+
- +
Chile
Estonia
Suecia
Reino Unido
Perú
IMPA
CTO
RELEVANCIA PERSPECTIVAS PARA COLOMBIA
Número de Trámites en línea involucrados
Modelos Internacionales Matriz selección de países análisis internacional
• Impacto: aquellas
experiencias que, desde
los aspectos jurídicos,
técnicos, financieros,
organizacionales o socio-
culturales, evidenciaban
prácticas muy
relevantes.
• Relevancia para
Colombia: aquellas
experiencias que desde
la similitud con la
realidad colombiana
aplican más desde
aspectos como tamaño,
número de habitantes,
cultura, nivel de
desarrollo, etc.
Operadores: Perú (1 Público), Chile (1 Publico CU - DNI electrónico-), UK (5 Telco’s, 2 Públicos),
Estonia (1 público), Suecia (2)(1 Dominante).
ESTATAL
Reino Unido
MIXTO
OP
ER
AC
IÓN
CE
NT
RA
LIZ
AD
A
Chile
Perú
USO
DIS
TR
IBU
IDA
Marco Jurídico: Sigue la
Directiva Europea de firma
electrónica. Cuenta con norma
específica: Electronic
Communications Act, 2000.
Tecnología: Firma electrónica,
SAML.
Modelo Económico: Todo es
cubierto con presupuesto estatal.
Estonia
Marco Jurídico: Sigue la Directiva Europea
de firma electrónica. Cuenta con norma
específica: Ley de Firma Digital del 8 de
marzo de 2000
Tecnología: Firma digital, SOAP (XML,
RPC).
Modelo Económico: Alianza Público
Privada, donde hay tarifas que pagan los
prestadores de servicios o trámites.
Suecia
Marco Jurídico: Sigue la Directiva
Europea de firma electrónica.
Cuenta con norma específica:
Qualified Electronic Signatures Act
(FSF 2000:832)
Tecnología: Firma digital, SAML.
Modelo Económico: Operadores
privados con tarifa subvencionada
por el Estado.
Marco Jurídico: Sigue la Ley modelo
de la CNUDMI de firma electrónica
de 2002. Cuenta con norma
específica: Ley No. 27269 Ley de
Firmas y Certificados Digitales (2000)
Tecnología: Firmas digitales.
Modelo Económico: El ciudadano
paga por el mecanismo y los
prestadores de servicios y trámites
pagan por las autenticaciones.
Marco Jurídico: Sigue la Ley
modelo de la CNUDMI de firma
electrónica de 2002. Cuenta con
norma específica: 2002 Ley
sobre documentos electrónicos,
firma electrónica y servicios de
certificación.
Tecnología: Firma electrónica,
OpenId.
Modelo Económico: Todo es
cubierto con presupuesto
estatal.
Modelos Internacionales Matriz Operación Vs Uso
Alianzas Clave Actividades Clave
Recursos Clave
Promesa de Valor – Productos/Servicios
Relaciones con el Cliente
Canales
Segmentos de Cliente
Estructura de Costos Ingresos Indicadores
1
Monooperador generado a partir de alianza público privada – SK. El proveedor oficial del eID es Sertifi tseerimiskeskus (SK - 'centro certificado'), que mantiene la infraestructura electrónica necesaria para la expedición y el uso de la tarjeta. Sus socios son dos de los principales bancos de Estonia, Hansapank y Eesti Ühispank, en colaboración con las empresas de telecomunicaciones Eesti Telefon y EMT. Se trata de una APP. También tiene importantes alianzas para el desarrollo del eID con empresas de TELCO y proveedores de tecnología PKI como: • Telegrupp • Ektaco • Safelayer • Gemalto
Prestadores de Servicios públicos y privados Proveedores de TI e integradores en alianza con Estado.
Ingresos - Los proveedores de servicios deben pagar según el número de transacciones por mes. Pagan desde 25 euros por 400 transacciones hasta 6,000 euros por 750.000 transacciones. Para los usuarios finales el costo de la tarjeta es de 10 euros y actualizar la información o el código PIN es gratuito si se hace en las oficinas del gobierno y cuesta entre 2 y 4 euros si se hace en un banco. Los lectores de tarjetas se venden a cerca de 6 euros.
El CAPEX ha sido completamente proporcionado por el emisor eID. Por otra parte el OPEX es cubierto por el Estado. El costo más representativo para el proveedor oficial SK es el mantenimiento de su PKI, y los costos de emisión de un eID bajo el modelo de una tarjeta inteligente. Costos de repositorio centralizado, costos de apropiación, costos de enrolamiento. Costos regulatorios. Costos de operación de acuerdo a requerimientos normativos. Se trata de un modelo autosostenible, pues siendo una APP con único operador, ha contado con inversión inicial privada, y tiene un modelo tarifario regulado que el Estado ha promovido a través de la integración a todo tipo de servicios gubernamentales.
Los principales clientes son a. Usuarios Finales Ciudadanos que realizan trámites y servicios del Estado como base primaria, por ser el eID el documento de identificación.
b. Receptores de autenticación. Empresas que ofrecen servicios por medios electrónicos y validan la identidad de sus usuarios.
Entidades estatales que autentican sus trámites y procesos con el uso del eID. c. Usuarios no ciudadanos – bajo el modelo de e Residency, se ha venido exponiendo el modelo de Estonia por fuera de sus fronteras.
2
3
4 5
6
7
8 9 10
Para el ciudadano Usuario final: El principal aporte para el ciudadano es que el eID sirve: • Para acceder a diferentes trámites
y servicios estatales. • Como documento nacional de
identidad y para viajar dentro de la UE (ciudadanos de Estonia).
• Como la tarjeta sanitaria nacional. • Como prueba de identificación al
iniciar sesión en las cuentas bancarias de un ordenador personal.
• Como un billete de transporte público de prepago en Tallin y Tartu (trenes).
• Para i-Voting. Para la entidad estatal: Mitiga el riesgo se suplantación de identidad en trámites electrónicos. El producto o credencial es una tarjeta electrónica que incorpora un chip que sirve apara autenticar física y electrónicamente, así como firmar digitalmente.
Marca: ePassport y eID . Para propiciar el uso, se encuentra un sitio Web para desarrolladores donde se estimula el desarrollo de aplicaciones y herramientas. Existen políticas de apropiación incluyentes con gran número de trámites y servicios en línea.
Recursos financieros: • CAPEX y OPEX privado • Tarifas a cargo de prestadores de
servicios Recursos Tecnológicos: • Hardware masificado en lectores
de tarjeta. • Tecnología PKI. Recurso humano capacitado.
Por ser un enrolamiento con el documento de identidad, se solicita un e ID en el punto de servicio de la Policía y de Fronteras (Junta Guardia), misiones extranjeras de la República de Estonia. Para renovación o pérdida, se pueden utilizar canales virtuales, a través de www.ide.ee o www.sk.ee El ciudadano cuenta con un centro de servicio y soporte virtual donde recibe todo tipo de ayudas para el uso de eID.
En 06.09.2015 08:01 Número de firmas digitales realizadas: 236 726 527 98% de las transacciones bancarias en Estonia se llevan a cabo a través de Internet, utilizando autenticación electrónica. Número de Tarjetas activas: 1 254 431, Número de Autenticaciones electrónicas: 373 112 605
Gobierno: • Enrolamiento de los ciudadanos
al documento de identidad oficial a través de la Policía y las oficinas de frontera (Junta Guardia).
• Oferta de Trámites y servicios en línea.
Operadores: • Emisión eID en tarjeta
electrónica. • Integración con lectores de
tarjeta electrónica y masificación de su uso.
• Trabajo colaborativo sector público y privado en el modelo.
• Uso del modelo de residencia electrónica.
Jurídico: Sigue el modelo propuesto por la Directiva Europea de Firma electrónica 1999/93/CE . El Parlamento Estonio (Riigikogu) aprobó la Ley de Firma Digital del 8 de marzo de 2000, y entró en vigor el 15 de diciembre de 2000. La Ley regula cuestiones que son esenciales para la implementación de una PKI a nivel nacional. Protección de datos personales (RT I 2003, 26, 158). Ley de Identidad de Documentos (RT1 I 1999, 25, 365). Ley de Firmas Digitales (RT1 I 2000, 26, 150). Así como los principios generales del cógido civil, código de comercio y Ley de propiedad.
11
Modelos Internacionales CANVAS Estonia
1. Enrolamiento
del ciudadano
Solicitud de mecanismo Operación del trámite Mantenimiento y soporte
Fro
nt
Off
ice
B
ac
k O
ffic
e
3. 2. Emisión de
tarjeta
electrónica
4. Realización de
trámites
5.
Renovación
AE = Autenticación Electrónica
Fuente: Elaboración propia.
Ciudadano Policía de Estonia y/o Junta
de Guardia de Frontera
Emisor eID Entidades Estatales Empresas Privadas
Canal Virtual
Canal Presencial
Verificación
de identidad
Tarjeta electrónica
con chip, con
lector de tarjetas
Modelos Internacionales Estonia
• Los actores
- El ciudadano que obtiene su identidad electrónica.
- La Policía de Estonia y/o Junta de Guardia de Frontera que actúa en el enrolamiento del ciudadano.
- Una alianza público privada denominada SK (Emisor ID) que contempla la unión de bancos y compañías de telecomunicaciones.
- Las entidades estatales que desarrollan trámites y servicios autenticando electrónicamente a los ciudadanos.
- Las empresas privadas que autentican al ciudadano de manera electrónica.
• La relación entre los actores, el paso a paso
1. El ciudadano se dirige a uno de los puntos de atención de la Policía Nacional de Estonia para el enrolamiento de su identidad.
2. La Policía de Estonia y/o Junta de Guardia de Frontera, a través de la verificación de registros públicos establece que el
solicitante podrá ser el titular del eID.
3. Una vez verificada la identidad del ciudadano , el emisor de eID emite una tarjeta electrónica que contiene el chip con firma
digital.
4. El ciudadano titular de la tarjeta electrónica podrá utilizar su mecanismo de autenticación electrónica y firma digital en todo
tipo de trámites electrónicos ofrecidos por el Estado.
5. La renovación del mecanismo de autenticación se podrá hacer de manera presencial o electrónica en las oficinas o puntos de
atención del emisor eID.
• Aspectos económicos
- Quién pone CAPEX: El emisor eID.
- Quién pone OPEX: El emisor eId.
- Quién paga por el dispositivo: El ciudadano; Quién paga por la autenticación electrónica: Los proveedores de servicio, bien sean
entidades estatales o empresas privadas.
Modelos Internacionales Estonia
• Seguridad
- La estrategia de Ciberseguridad 2014-2017 (Comisión Europea, 2015). Es el documento básico para la planeación de
ciberseguridad en Estonia y parte de la estrategia de seguridad de la Nación, la estrategia resalta desarrollos importantes
recientes, evalúa las amenazas de ciberseguridad existentes y presenta medidas para la mitigación del riesgo.
- Normativa sueca asociada: Protección de datos personales (RT I 2003, 26, 158).
• El mecanismo
- Tecnología de comunicación – SOAP.
- Dispositivo de almacenamiento del mecanismo - Una tarjeta inteligente denominada eID, la tarjeta contiene un chip que integra
la firma digital del ciudadano.
- Mecanismo de autenticación electrónica – PKI bajo el estándar X 509 V3 de la Unión Internacional de Telecomunicaciones.
Modelos Internacionales Estonia
Jurídico: Sigue el modelo de la Directiva Europea de firma electrónica 1999/93/EC. Ley 2000: 832 (SFS 2000) sobre firma electrónica reconocida. UETA (por sus siglas en ingles Uniform Electronic Transactions Act). 15 U.S.C. 7001 Firma Electrónica y la Directiva de 2014 sobre Administración Pública Electrónica. Ley de protección de datos (SFS 1998:204). Estrategia de ciberseguridad para la seguridad de la información del gobierno central 2010 – 2015.
11
Alianzas Clave Actividades Clave
Recursos Clave
Promesa de Valor – Productos/Servicios
Relaciones con el Cliente
Canales
Segmentos de Cliente
Estructura de Costos Ingresos Indicadores
1
La Junta e-Identification, institución encargada de regular, coordinar, controlar y gobernar el sistema generar alianzas con los siguientes actores: • Emisores de eID: encargados
de enrolar y emitir la identificación digital de los ciudadanos en Suecia. Actualmente hay dos emisores operando: BankID y Telia. La alianza se establece contractualmente.
• Proveedores de identidad (pID): encargados de interactúan entre los emisores de eID y los proveedores de servicios (PS). La alianza se establece contractualmente.
• Proveedores de Servicios (PS): entidades publicas y empresas que requieren autenticar la identidad de sus usuarios para interactuar con sus sistemas de información. La alianza se establece contractualmente.
Ingresos: Los emisores eID reciben una tarifa, en la actualidad el precio se encuentra en 3,00 SEK por usuario único y mes. En principio cuenta para la autenticación con el Estado con una subvención estatal por cada emisor de 2,03 SEK por usuario único y mes. No hay subvención en el sector privado.
El CAPEX ha sido completamente proporcionado por el emisor eID. Por otra parte el OPEX es cubierto por el emisor eID a través de las tarifas que se cobran al Estado. El modelo en la actualidad tiene una subvención estatal para la autenticación electrónica con el Estado. En el caso de autenticación con particulares no existe subvención. El modelo también tiene costos regulatorios, costos de servicio al cliente. El mantenimiento gubernamental de una estructura humana de soporte y apoyo en las labores de acreditación. El e ID board o Junta -. Cada operador garantiza los costos de su operación.
a. Usuarios Finales Ciudadanos que acceden a servicios del estado por medios electrónicos (Población 9.644.864 habitantes-2014): • 81% de personas que
interactúan con el estado por medios electrónicos.
• 79% de personas que obtienen información del estado por medios electrónicos.
• Mas de 6 millones de usuarios de eID.
b. Receptores de autenticación: Todas las entidades estatales que validan la identidad de los ciudadanos cuando acceden a sus servicios electrónicos. Empresas que validan la identidad de los ciudadanos cuando acceden a sus servicios electrónicos.: • 25% de empresas que han
realizado ventas por medios electrónicos.
2
3
4 5
6
7
8 9 10
Para los Usuarios finales – Disponer de un mecanismos de autenticación útil física y electrónicamente. Para los receptores de información, en especial para el Estado.- El modelo promovido por el Gobierno sueco destaca la seguridad en las operaciones electrónicas de los ciudadanos y la provisión creciente de servicios a través de medios electrónicos. Algo interesante: • Se han simplificado más de 100
trámites. • Se ha propiciado el desarrollo de
ecosistemas digitales en Suecia. • Hay un marco de
interoperabilidad con el sector privado.
• Se ha venido utilizando un modelo hibrido con certificación “suave” y “dura” según riesgos y nivel de mitigación.
El producto es – bajo eID1 – una tarjeta inteligente que permite autenticar y firmar electrónicamente.
El relacionamiento es multicanal, pero se privilegia el uso de medios electrónicos y móviles. Escinde la autenticación para el sector público y la autenticación para el sector privado. La autenticación estatal es más estricta a nivel de seguridad. Existe un importante desarrollo de servicios gubernamentales por medios electrónicos y en esos servicios se ofrece también asistencia al ciudadano.
Recursos financieros donde el particular proporciona la infraestructura, pero las entidades estatales participan subvencionando en las operaciones de autenticación estatales. Por parte de Gobierno: Marco jurídico; lineamientos para habilitar emisores de eID y pID. Personal con capacitación y apropiación de gran alcance.
Para el enrolamiento se utiliza el canal presencial principalmente. Comercialmente se utilizan medios físicos, virtuales y telefónicos puestos a disposición por los operadores. El soporte al cliente se realiza de manera electrónica. Desde el punto de vista tecnológico sólo hay un canal, Internet, conexión técnica a través de SAML 2.0.
El Emisor más grande de Suecia es BankID (> 95%). A su vez los 12 bancos son los mayores usuarios de BankID, con el 68% de las transacciones (Bancos de Internet). El sector público representa aproximadamente el 7,4% (alrededor de 90 millones de transacciones / año) y otros servicios financieros, fuera de los 12 bancos, representan el 15% de las transacciones.
A cargo del gobierno la conformación de la Junta eID. La identificación electrónica debe llevarse a cabo por las organizaciones certificadas ante el Gobierno . • Enrolamiento ante operadores. • Verificación de identidad ante
fuentes oficiales de información. • Uso diferencial en sector público
y privado. • Modelo progresivo que ha
venido cambiando en función de renovación tecnológica.
• Viene cambiando de eID1 a eID2 y estará renovado en 2017.
Modelos Internacionales CANVAS Suecia
2. 1.
Enrolamiento del ciudadano Realización de
trámites
4.
Renovación
Solicitud de mecanismo Operación del trámite Mantenimiento y soporte
3.
Verificar identidad ante el
emisor por medio del IdP
Fro
nt
Off
ice
B
ac
k O
ffic
e
Ciudadano Junta eID Emisor eID Entidades Estatales Empresas Privadas Proveedores IdP de identidad
AE = Autenticación Electrónica
Fuente: Elaboración propia. Canal Virtual
Canal Presencial
Modelos Internacionales Suecia
• Los actores
- El ciudadano que obtiene su identidad electrónica.
- La Junta eID que actúa como autoridad y orquestador del modelo.
- Los proveedores IdP de identidad autorizados por la Junta eID, que se encargan de comunicar la verificación de identidad.
- El emisor eID u operadores que son Bank ID y Telia.
- Proveedores de servicio que pueden ser entidades estatales que desarrollan trámites y servicios autenticando electrónicamente a los
ciudadanos, o empresas privadas que desarrollan trámites y servicios autenticando electrónicamente a los ciudadanos.
• La relación entre los actores, el paso a paso
1. El ciudadano se dirige a uno de los puntos de atención de los emisores eID para el enrolamiento de su identidad y emisión del mecanismo.
2. El ciudadano utiliza su mecanismos de autenticación electrónica en todo tipo de trámites electrónicos ofrecidos por el Estado o por particulares
que requieran de autenticación.
3. El proveedor de servicios utiliza un proveedor IdP autorizado por la Junta e ID para verificar la identidad ante un emisor ID y comunica el
resultado de la verificación a través del IdP a la entidad estatal o al particular que requiere la autenticación para el desarrollo del trámite o la
prestación de un servicio. Esta comunicación se hace usando el estándar SAML2.
4. La renovación del mecanismo de autenticación se podrá hacer de manera presencial o electrónica en oficinas o puntos de atención de emisores
eID.
• Aspectos económicos
- Quién pone CAPEX: El operador.
- Quién pone OPEX: El Estado.
- Quién paga por el dispositivo: El ciudadano; Quién paga por la autenticación electrónica: Los proveedores de servicio, bien sean entidades
estatales o empresas privadas.
Modelos Internacionales Suecia
• Seguridad
- El tratamiento de los datos personales de los ciudadanos suecos se regula a partir de la Ley de protección de datos (SFS 1998:204).
- Estrategia de ciberseguridad para la seguridad de la información del gobierno central 2010 – 2015.
• El mecanismo
- Tecnología de comunicación – SAML 2; Dispositivo de almacenamiento del mecanismo - Una tarjeta inteligente denominada eID,
teléfonos móviles, o software que contienen la firma digital del ciudadano.
- Mecanismo de autenticación electrónica – Firma digital PKI bajo el estándar X 509 V3 de la Unión Internacional de
Telecomunicaciones.
Modelos Internacionales Suecia
Jurídico: Se trata de un modelo que propone el desarrollo de buenas prácticas particulares para UK, y que son aprobadas y certificadas por la Oficina del Gabinete. Su marco legal se encuentra en la Directiva europea 1999/93/EC sobre firmas electrónicas. Ley de Comunicaciones Electrónicas del 2000. Regulación de las Firmas Electrónicas 2002. Directiva de los Servicios 2006/123/EC. Ley de protección de datos de 1998. Estrategia nacional de ciberseguridad progresando y adelante con el plan de 2014.
11
Alianzas Clave Actividades Clave
Recursos Clave
Promesa de Valor – Productos/Servicios
Relaciones con el Cliente
Canales
Segmentos de Cliente
Estructura de Costos Ingresos Indicadores
1
Son fundamentales en este modelo: a. Proveedores de identidad Cuatro de las nueve empresas tienen contratos en el marco existente (Digidentity, Experian, oficina de correos y Verizon). b. Entidades gubernamentales que apoyan de manera decidida el sistema. c. Empresas integradoras de tecnología OpenID.
A nivel de ingresos, el modelo sólo contempla ingresos para los operadores de identidad, a partir del cobro al Estado por transacción mediante una tarifa.. Es gratuito para el ciudadano. En ahorros, se estiman importantes reducciones en fraudes de suplantación de identidad.
El CAPEX ha sido completamente proporcionado por el proveedor IdP de identidad. Por otra parte el OPEX es cubierto por el proveedor IdP de identidad a través de las tarifas que se cobran al Estado. La Oficina del Gabinete tiene un presupuesto establecido de £ 150 millones en nombre del Servicio de Gobierno Digital (GDS), para el desarrollo de esta iniciativa. El modelo de UK es totalmente financiado por el Estado. El principal costo está determinado por los contratos con las empresas certificadas que deben cumplir los requerimientos establecidos por la Oficina del Gabinete.
2
3
4 5
6
7
8 9 10
Para los Usuarios finales/Ciudadanos – Disponer de un mecanismos de autenticación útil electrónicamente. Usar de forma segura los servicios digitales provistos por el Reino Unido a través de GOV.UK. Las empresas certificadas, ofrecen diferentes niveles de seguridad: dependiendo del riesgo involucrado. Para las entidades estatales receptoras de autenticación electrónica, se tiene básicamente : (i) amplitud de la oferta de trámites a partir de un modelo de autenticación seguro; y (ii) un modelo de rápida y eficaz cobertura a partir de la definición de operadores certificados. Verify se encuentra en versión beta y se encuentra en una fase de piloto, con 6 servicios.
Los principales clientes son: a. Usuarios Finales. Ciudadanos como base primaria, a través de los servicios y trámites puestos a disposición por Gov.UK b. Receptores de autenticación.
Entidades estatales que autentifican sus trámites y procesos con el uso del Gov.Uk Verify.
Recursos financieros, a través del Presupuesto General. Recursos operativos: operadores privados con una red muy extendida que garantiza rápida apropiación. Personal, con capacitación y alto nivel de acercamiento a la tecnología.
El enrolamiento puede ser físico o virtual, y la verificación de la identidad toma alrededor de 15 minutos. A nivel comercial cada operador tiene medios presenciales y virtuales a través de redes de oficinas de las empresas certificadas. Para Soporte y renovación del mecanismo se cuenta con las Oficinas de correo del Reino Unido. La tecnología dispone de Open ID como canal a través de Internet, y existe amplia apertura.
Usuarios logueados Abril 2013 a Septiembre 2015: 238.000. Cuentas verificadas Abril 2013 a Septiembre 2015 : 290.000 Cuentas básicas Abril 2013 a Septiembre 2015 : 185.000. https://www.gov.uk/performance/govuk-verify
La contratación de operadores está a cargo de la Oficina de Gabinete, bajo unas reglas claramente definidas. A cargo de Proveedores IdP de Identidad: • Enrolamiento inicial del ciudadano. • Registro con una de las empresas
certificadas por GOV.UK . • Entrega del mecanismo de identidad
electrónica. • El usuario puede acceder a su cuenta
para el servicio que desea utilizar. • Una vez que un usuario se ha registrado
con un proveedor de identidad, podrá acceder a todos los servicios digitales que utilizan el GOV.UK.
Marca: Verify GOV.UK La estrategia de apropiación se centra en la inclusión de trámites por parte del Estado en el modelo. El proveedor IdP de identidad realiza algunas comprobaciones antes de verificar la identidad para GOV.UK, como preguntas que sólo pueden ser respondidas por el usuario. También se le pide que introduzca un código que el ciudadano recibe en su teléfono móvil.
Modelos Internacionales CANVAS Reino Unido
Bac
k O
ffic
e
2. Realización de
trámites
Solicitud de mecanismo Operación del trámite
Fro
nt
Off
ice
5. Entrega de
servicio solicitado
3. Confirmación de
identidad de
ciudadano
4. Comunicación de
identidad
AE = Autenticación Electrónica
Fuente: Elaboración propia. Canal Virtual
Canal Presencial
Ciudadano Oficina del Gabinete Entidades Estatales Proveedores IdP de identidad
1. Enrolamiento
Modelos Internacionales Reino Unido
• Los actores
- El ciudadano que obtiene su identidad electrónica.
- La Oficina del Gabinete del Reino Unido que actúa como orquestador.
- Los proveedores IdP de identidad que validan el cumplimiento de las normas de seguridad y de servicios.
- Las entidades estatales que desarrollan trámites y servicios autenticando electrónicamente a los ciudadanos.
• La relación entre los actores, el paso a paso
1. Los usuarios serán guiados a través de la selección de un proveedor de identidad de una lista de organizaciones contratadas
por la Oficina del Gabinete (que administra el GOV.UK Verify) para prestar el servicio. El usuario se dirige de manera virtual o
presencial y se enrola ante los proveedores IdP de identidad.
2. El ciudadano efectúa el trámite ante una entidad estatal.
3. La entidad estatal valida la identidad del ciudadano ante el proveedor Idp para asegurarse de que están tratando con la
persona quien dice ser. Esto se conoce como dato coincidente.
4. El proveedor Idp envía la confirmación de autenticidad a la correspondiente entidad estatal.
5. Una vez verificado, el ciudadano recibe el servicio o trámite que está solicitando.
• Aspectos económicos
- Quién pone CAPEX: El proveedor IdP de identidad.
- Quién pone OPEX: El proveedor IdP de identidad, a través de las tarifas que se cobran al Estado.
- Quién paga por la autenticación electrónica: Los proveedores de servicio, en este caso el mismo Estado.
Modelos Internacionales Reino Unido
• Seguridad
- El tratamiento de los datos personales de los ciudadanos de Reino Unido está regulado por la Ley de protección de datos de
1998 y por la Estrategia nacional de ciberseguridad progresando y adelante con el plan de 2014.
• El mecanismo
- Tecnología de comunicación – SAML.
- Mecanismo de autenticación electrónica – Firma electrónica.
Modelos Internacionales Reino Unido
Jurídico. Se sigue el modelo de la CNUDMI 2001 en el desarrollo de la Ley Modelo de Firma Electrónica. Ley No. 29222 que modifica el artículo 37 de la Ley Nº 26497 sobre el DNI. Ley Nº 27310 sobre Firmas y Certificados Digitales. Decreto Supremo 052-2008-PCM reglamenta la Ley de Firmas y Certificados Digitales. Ley Nº 26497 Ley Orgánica del Registro Nacional de Identificación y Estado Civil – RENIEC. Ley 29733 Ley de protección de datos personales.
11
Alianzas Clave Actividades Clave
Recursos Clave
Promesa de Valor – Productos/Servicios
Relaciones con el Cliente
Canales
Segmentos de Cliente
Estructura de Costos Ingresos Indicadores
1
La operación está a cargo del RENIEC, y cuenta con el apoyo institucional de la Oficina Nacional de Gobierno Electrónico e Informática (ONGEI), el Consejo Nacional de Ciencia, Tecnología e Innovación Tecnológica (CONCYTEC) y el Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual (INDECOPI). El DNI Electrónico (DNIe) tiene 15 mecanismos de seguridad, físicos y lógico. Para producirlo, el RENIEC cuenta con un Centro de Personalización y una Planta de Certificación Digital, teniendo como proveedores a: a. Indenova b. Camerfirma c. Safenet d. Morpho
Ingreso – Tarifa por emisión al ciudadano (tarjeta). El DNI ordinario tiene un precio de S/. 29.00, que ha ido aumentando, pues su valor está atado al de la UIT (es el 0.78% de 1 UIT), siendo que su valor real es de S/. 23.00 (que es lo que se cobra por el duplicado). El DNI electrónico cuesta 40 soles. Ahorros en costos transaccionales asociados a fraudes de suplantación y a la inseguridad en trámites electrónicos del Estado.
El CAPEX ha sido proporcionado por el Estado, con tarifas por parte del ciudadano. Por otra parte el OPEX del servicio se prevé esté a cargo de las entidades estatales que integren el sistema. Los costos de infraestructura y personal son asumidos por la RENIEC a través del presupuesto general. El modelo de atención al ciudadano también es asumido directamente por el Estado.
a. Usuarios finales - Ciudadanos b. Entidades receptoras de autenticación - entidades estatales , donde se podrá utilizar para: • Acreditación de
identidad. • Firma digital. • Verificación biométrica
dactilar. El DNIe contiene la aplicación MOC (Match-On-Card) que ejecuta la comparación, dentro del propio chip, de las plantillas biométricas (minucias).
• Voto electrónico El DNIe podrá ser utilizado para el voto electrónico presencial y, cuando el software esté disponible, también de manera remota .
2
3
4 5
6
7
8 9 10
Para las entidades estatales: el Documento Nacional de Identidad Electrónico (DNIe) acredita de manera presencial y no presencial la identidad de su titular, permite la firma digital de documentos electrónicos y el ejercicio del voto electrónico. Para los usuarios finales – Ciudadanos se mitiga el riesgo de suplantación de identidad. Se espera oferta ampliada de trámites electrónicos. A nivel de producto se trata de un DNI electrónico: Es un documento de identidad emitido por el Registro Nacional de Identificación y Estado Civil - RENIEC que acredita presencial y electrónicamente la identidad personal de su titular, permitiendo la firma digital de documentos electrónicos y el ejercicio del voto electrónico no presencial. El DNI electrónico sirve tanto para autenticar como para firmar.
A través de medios presenciales, telefónicos y por Internet. Cualquier ciudadano que goce de sus capacidades (persona natural), empresa o entidad pública (persona jurídica) puede solicitar uno o varios certificados digitales. En el caso de la persona jurídica, lo puede realizar el representante legal de la misma o el suscriptor del certificado, previa autorización extendida por el representante legal.
Institucional • Dirección estatal y modelo de único
operador.
Tecnología • Además de firmas digitales, cuentan
con firmas electrónicas para el sistema tributario – Clave Sol administrado por el SUNAT.
Económico-Subvencionado por el Estado en lo referente a la firma electrónica.
El DNI se obtiene en las oficinas del Registro Nacional de Identificación Civil (RENIEC) a nivel nacional. El soporte al cliente se realiza de manera electrónica. La tecnología utilizada es Biometría y PKI. Se ha estimado la eventual integración a canales de particulares, pero aún se encuentra en desarrollo.
Número de DNI electrónico emitidos: 6 millones. Número de trámites que incluyen autenticación electrónica: 2. Ver más en: http://portales.reniec.gob.pe/web/estadistica/indicador
Gobierno, que es Operador: • Emisión de tarjeta
electrónica. • Enrolamiento biométrico a
través de RENIEC. • Incorporación de firma
digital. • Integración a diferentes
servicios estatales. • Apropiación en comunidades
que tienen dificultades de aproximación a la tecnología.
• Política pública unificada en torno al modelo de identificación electrónica.
Modelos Internacionales CANVAS Perú
2. 3.
1. Enrolamiento
Fro
nt
Off
ice
B
ac
k O
ffic
e
Solicitud de mecanismo
AE = Autenticación Electrónica
Fuente: Elaboración propia. Canal Virtual
Canal Presencial
Ciudadano Registro Nacional de Identificación y Estado Civil Entidades Estatales
Operación del trámite
2. Verificación
de identidad
5. Renovación
Mantenimiento y soporte
DNI Electrónico,
con lector de
tarjetas
3. Emisión de la
tarjeta
electrónica
4. Realización de
trámites
Modelos Internacionales Perú
• Los actores
- El ciudadano que obtiene su identidad electrónica.
- La Registro Nacional de Identificación y Estado Civil (RENIEC) que actúa en el enrolamiento del ciudadano.
- Las entidades estatales que desarrollan trámites y servicios autenticando electrónicamente a los ciudadanos.
• La relación entre los actores, el paso a paso
1. El ciudadano se dirige a uno de los puntos de atención de RENIEC para el enrolamiento de su identidad.
2. RENIEC, a través de la verificación de registros públicos establece que el solicitante podrá ser el titular del DNI electrónico.
3. Una vez verificada la identidad, y enrolado su registro biométrico, RENIEC emite una tarjeta electrónica que contiene el chip con
firma digital.
4. El ciudadano titular de la tarjeta podrá utilizar su mecanismos de autenticación electrónica y firma digital en los trámites que se
encuentran disponibles por parte del Estado para utilizar a través del DNI electrónico.
5. La renovación del mecanismo de autenticación se podrá hacer de manera presencial ante el RENIEC.
• Aspectos económicos
- Quién pone CAPEX: El ciudadano y el Estado.
- Quién pone OPEX: El Estado.
- Quién paga por el dispositivo: El ciudadano; Quién paga por la autenticación electrónica: Los proveedores de servicio.
Modelos Internacionales Perú
• Seguridad
- El tratamiento de los datos personales de los ciudadanos de Perú está regulado por Ley 29733 Ley de protección de datos
personales.
• El mecanismo
- Dispositivo de almacenamiento del mecanismo - Una tarjeta inteligente denominada eID, la tarjeta contiene un chip que integra la
firma digital del ciudadano.
- Mecanismo de autenticación electrónica – PKI bajo el estándar X 509 V3 de la Unión Internacional de Telecomunicaciones.
Modelos Internacionales Perú
Jurídico: Se sigue la ley modelo de firma electrónica de la CNUDMI de 2002. Ley N°19.799 de 2002 Sobre Documentos Electrónicos, firma electrónica y Servicios de Certificación. Decreto N° 181 reglamenta la Ley 19.799 de 2002. Ley N°19.496, Protección a los Derechos del Consumidor. Ley 20285 de 2008 de Acceso a la Información Pública. artículos 9 y 13 de la Ley N° 19.880, que establece las Bases de los Procedimientos Administrativos que rigen los Actos de los Órganos de la Administración del Estado. Ley 19628 de 1999 sobre protección de datos de carácter personal.
11
Alianzas Clave Actividades Clave
Recursos Clave
Promesa de Valor – Productos/Servicios
Relaciones con el Cliente
Canales
Segmentos de Cliente
Estructura de Costos Ingresos Indicadores
1
El Ministerio Secretaría General de la Presidencia (MINSEGPRES) de Chile. Para masificar la adopción de Clave Única, se requirió su uso mediante el Instructivo Presidencial para la digitalización de trámites en septiembre de 2012: “Cuando un determinado trámite requiera de algún tipo de autenticación de persona natural, deberá considerarse el uso de la Clave Única ciudadana, que permite validar identidad con el Registro Civil”, existen por lo tanto más de 60 entidades aliadas. Por otra parte, una alianza básica es la de los integradores de tecnología Open ID. Es fundamental la alianza con SRCeI (Servicio de Registro Civil e Identificación).
El CAPEX ha sido completamente proporcionado por el Estado. Por otra parte el OPEX, también es cubierto por el Estado. Asunción de todos los costos por parte del Estado, que se encarga de la infraestructura, integración y mantenimiento del esquema de autenticación. Todos los gastos del modelo son asumidos por recursos estatales. Costos regulatorios, costos del repositorio centralizado.
No existen ingresos asociados al sistema de “ClaveÚnica”. No se ha explorado el uso de la autenticación electrónica por parte de particulares. Existen ahorros importantes en costos transaccionales asociados a la mitigación del riesgo de suplantación de identidad en los entornos electrónicos del Estado.
a. Ciudadanos Personas Naturales.
b. Entidades estatales. Receptores de la autenticación.
Solamente aplica en la relación Estado – Ciudadano, no cubre el sector privado. La activación de la ClaveÚnica se lleva a cabo en dos etapas: Presencial: el titular debe dirigirse a una oficina del SRCeI que cuente con sistema en línea, ya que se utiliza la verificación de identidad que proporciona el sistema de captura de datos de identificación (para cédulas y pasaportes). En línea: una vez confirmados los datos se hará entrega de un comprobante con el correspondiente código de activación.
2
3
4 5
6
7
8 9 10
Para la entidades estatales: de la mano de la campaña de digitalización de trámites públicos ChileSinPapeleo, enmarcada dentro de la iniciativa ChileAtiende, ClaveÚnica busca integrar este sistema de autenticación en la mayor cantidad de trámites posibles. A febrero de 2015, 60 trámites del Estado, han sido habilitados con esta clave. Para el ciudadano: contar con una única credencial de autenticación ante el Estado. El producto: el sistema “ClaveÚnica” funciona a través de una solución tecnológica End-Point-OpenID que consulta la base de datos del SRCeI para verificar si la clave ingresada corresponde a la persona quien dice ser. Por lo tanto, la operación del sistema la provee el Ministerio, mientras que el SRCeI autentica la identidad de las personas.
Se ha trabajado la apropiación a partir de la definición de un modelo donde trámites de diversos sectores se han ofrecido al ciudadano por medios electrónicos. Existe además un marca posicionada: ClaveÚnica, con fuerte presencia y gran desarrollo en medios de comunicación.
Personal • Personas con capacitación.
Tecnología • Sistemas de información • Procedimiento de atención y
respuesta de solicitudes. Institucional • Sistemas de seguimiento de la
política pública. • SRCeI.
Para obtener la contraseña, es necesario realizar tres simples pasos: • Dirigirse al Registro Civil. • Posteriormente, ingresar al link que fue
enviado a su correo electrónico (link “Activar clave única”, en el menú del costado izquierdo.
• Finalmente, se abrirá una ventana en la cual aparecerán sus datos: RUN, nombre completo y correo electrónico. En ésta, el sistema le solicitará ingresar una contraseña.
La atención de incidencias y servicio al cliente se hace a través de medios físicos y presenciales en las oficinas SRCeI.
Número de ciudadanos enrolados en el sistema: 1.049.007 Número de trámites vinculados a autenticación electrónica: 60. Ver más: http://www.observatoriodigital.gob.cl/gobierno-digital-al-dia/clave-unica
Gobierno, que es operador • Sistema de enrolamiento masivo
de los ciudadanos enmarcado en política pública.
• Integración y obligatoriedad para todas las entidades gubernamentales.
• Capacitación y entrenamiento de los ciudadanos a través de una oferta de trámites electrónicos cada vez más amplia.
Modelos Internacionales CANVAS Chile
1.
2.
Entrega de código de
activación
Enrolamiento
Fro
nt
Off
ice
B
ac
k O
ffic
e
3.
Uso de servicios del
Estado
Solicitud de mecanismo Operación del trámite
AE = Autenticación Electrónica
Fuente: Elaboración propia. Canal Virtual
Canal Presencial
Ciudadano Sistema de Registro Civil e Identificación Entidades Estatales Base de datos centralizada del gobierno
4. Confirmación de identidad de
ciudadano
5.
Realización de
trámites
Modelos Internacionales Chile
• Los actores
- El ciudadano que obtiene su identidad electrónica.
- El Sistema de Registro Civil e Identificación (SRCeI) que actúa en el enrolamiento del ciudadano y la entrega del método de autenticación.
- Las entidades estatales que desarrollan trámites y servicios autenticando electrónicamente a los ciudadanos.
• La relación entre los actores, el paso a paso
1. Enrolamiento del ciudadano ante el SRCeI, donde obtiene su código de activación.
2. El usuario ingresa al sitio web de ClaveUnica y habilita una contraseña (de al menos 6 caracteres).
3. El usuario requiere hacer uso de servicios del Estado.
4. La entidad estatal verifica frente a las bases de datos del SRCel la autenticación del ciudadano. SRCel valida la autenticación del ciudadano.
5. La entidad estatal confirma la identidad y habilita al ciudadano para la realización de trámites.
• Aspectos económicos
- Quién pone CAPEX: El Estado.
- Quién pone OPEX: El Estado.
- Quién paga por la autenticación electrónica: El Estado.
Modelos Internacionales Chile
• Seguridad
- El tratamiento de los datos personales de los ciudadanos de Chile está regulado por Ley 19628 de 1999 sobre protección de datos de carácter personal.
• El mecanismo
- Tecnología– OpenID.
- Mecanismo de autenticación electrónica – firma electrónica (usuario y contraseña).
Modelos Internacionales Chile
LEGAL
TECNICA
FINANCIERA
ORGANIZACIONAL
SOCIO CULTURAL
Define un marco legal
que incluye orquestador
estatal.
Definición de un modelo
legal que propicia altos
niveles de seguridad.
Adopción de las mejores
prácticas a nivel
regulatorio.
Modelo de firma
electrónica de rápida
apropiación, a partir de
la definición de una
oferta ampliada de
trámites.
Uso de diferentes
mecanismos de
autenticación, es un
modelo incluyente que
sigue CNUDMI 2002.
Estonia Suecia UK Chile Perú
Define el desarrollo de
estándares y entre ellos
el Uso de SAML, y de
firma digital a partir de
PKI.
Uso de firma digital a
partir de un estándar
denominado SOAP
Digidoc como método de
interoperabilidad ha sido
exportado.
Firma electrónica
utilizando SAML.
Firma electrónica
utilizando OpenId, que
permite incluir diferentes
proveedores TI.
DNI electrónico que
incluye biometría y firma
digital, por lo que se trata
de un modelo bastante
seguro.
CAPEX privado.
OPEX subvencionado a
partir de tarifas por el
estatales. OLIGOPOLIO.
El CAPEX ha sido
completamente
proporcionado por el emisor
eID. Por otra parte el OPEX
es cubierto por el Estado.
MONOPOLIO.
CAPEX privado.
OPEX subvencionado a
partir de tarifas por el
estatales.
COMPETENCIA.
CAPEX y OPEX
totalmente estatal.
MONOPOLIO.
CAPEX y OPEX
totalmente estatal.
MONOPOLIO.
Modelo Federado con variedad
de actores y un ente rector – la
Junta del eID.
Existen dos emisores de
identidad (BankId, Telia) y
proveedores de servicios e
IdP.
Definición de un modelo
mixto, auto sostenible.
SK como Alianza Público
Privada.
Definición y dirigismo
estatal. Un ente rector -la
oficina del Gabinete-, los
operadores -5-.
El Ministerio de la
Presidencia es el ente
rector.
El emisor es SRCeI.
INDECOPI es el ente
rector y acreditador.
El emisor es RENIEC.
Cuenta con un uso
mixto, que aprovecha la
bancarización. Por ello
su rápida apropiación al
involucrar al sector
financiero.
Uso mixto y de rápida
apropiación al involucrar
todos los trámites del
Estado.
Extraordinaria cobertura
a través de operadores
en todos los segmentos.
Modelo en desarrollo.
Modelo sólo estatal, pero
con rápido
involucramiento de
entidades estatales. De
muy fácil
implementación.
En desarrollo. El DNI
electrónico se ha venido
implementando en voto
electrónico.
Modelos Internacionales Prácticas relevantes de cada modelo
El modelo de autenticación define diferentes efectos jurídicos y probatorios, dependiendo del nivel de seguridad provisto
por el mecanismo (se sigue en Europa la Directiva Europea de firma electrónica y en América la Ley Modelo de Firma
Electrónica, CNUDMI 2001). Todos los países analizado siguieron los modelos paradigmáticos en la materia pero hicieron
sus respectivas adaptaciones al derecho interno de cada Estado.
Legal
Existen modelos centralizados y modelos distribuidos, en el caso de estos últimos el estándar utilizado es SAML, y el
mecanismo más empleado es firma digital a partir de PKI. En la mayoría de los países (salvo Estonia y UK) coexisten varios
métodos de autenticación. Los mecanismos de autenticación utilizados son seleccionados partir del riesgo operacional.
Técnico
En Chile y Perú, el CAPEX ha sido proporcionado por el Estado pero en éste último el ciudadano contribuye por medio de
tarifas, mientras que en Reino Unido y Suecia quien lo cubre es el operador. En tanto Estonia, el CAPEX lo cubre el
operador con contribución del ciudadano. Por otra parte, en el modelo del Reino Unido y Suecia, el OPEX es cubierto por el
operador, a través de las tarifas que se cobran o al propio Estado, por transacción. El OPEX en Chile, Perú y Estonia es
cubierto por el Estado.
Financiero
En Suecia y Reino Unido existen múltiples operadores privados de identidad, por otro parte, Chile y Perú tienen un único
operador del estado, finalmente Estonia tiene un único operador, en asociación público-privada. En la mayoría de los casos
la política pública del Estado define un ente gubernamental que acredita, habilita o fija reglas a los operadores.
Organizaci
onal
Los modelos, salvo el caso de Perú (que se encuentra en despliegue), tienen una rápida apropiación en función de trámites
en línea que ofertan las entidades del Estado. Existe una definición de publicidad y divulgación de gran envergadura y se
trata de modelos incluyentes de todos los sectores sociales. Se ha trabajado en todos los modelos en la educación o
capacitación de importantes segmentos de la población (Destaca el caso de Estonia).
Socio-
Cultual
Modelos Internacionales Conclusiones Perspectivas
PROMESA DE
VALOR
SEGMENTO
CANALES
RELACIONES
CLIENTE
• Para el Estado, eliminar
el fraude de
suplantación de
identidad y mejorar la
seguridad en sus
servicios electrónicos.
• Para el usuario,
disponer de un
mecanismo que le dé
acceso a múltiples
trámites.
• Para el Estado, mitigar
completamente el riesgo
de suplantación de
identidad.
• Para el usuario, operar
tanto en la autenticación
como en la firma
electrónica de trámites y
documentos.
• Para el Estado, amplitud
de la oferta de tramites
a partir de un modelo de
autenticación seguro.
• Para el usuario,
constituye la forma de
acceder de manera
segura a los servicios
digitales del Estado.
• Para el Estado, ampliar
la oferta de trámites en
línea a partir de un
modelo provisto y
pagado por el Estado.
• Para el usuario, contar
con una única
credencial de
autenticación frente al
Estado.
• Para el Estado, contar
con una única forma de
autenticar al ciudadano.
• Para el usuario, mitigar
el riesgo de
suplantación de
identidad.
Estonia Suecia UK Chile Perú
Ciudadanos, empresas
publicas y privadas.
Ciudadanos, empresas
publicas y privadas.
Sólo empresas publicas y
ciudadanos.
Sólo empresas publicas y
ciudadanos.
Sólo empresas publicas y
ciudadanos.
Electrónicos,
Presenciales, Móviles.
Electrónicos,
Presenciales, Móviles.
Electrónicos,
Presenciales, Móviles.
Presenciales y
electrónicos.
Presenciales y
electrónicos.
Marca: BankID, Telia.
Apropiación a partir de la
bancarización y del uso de
industria Telco.
Marca: eID.
Apropiación a partir de la
amplia oferta estatal en
medio electrónico.
Marca: GOV.UK. Verify
Apropiación a partir de la
difusión e impacto
mediático.
Marca: Clave Única
Apropiación estatal a
partir del liderazgo del
Ministerio de la
Presidencia. .
Marca: DNI Electrónico
Apropiación a partir del
uso combinado d
biometría y PKI.
Modelos Internacionales Resumen CANVAS
ALIADOS
CLAVES
Sectores: Financiero,
público, correos,
transporte, salud.
Sectores: financiero,
público, industria,
educación, transporte,
Integradores de
tecnología.
Sectores: Público,
operadores certificados. Sector: Público.
Sectores: financiero,
público, industria,
educación, transporte,
Integradores de
tecnología.
Estonia Suecia UK Chile Perú
RECURSOS
CLAVES
ESTRUCTURA
DE COSTOS
INGRESOS
Modelo subvencionado
por el Estado para
entidades públicas.
Estado asume
parcialmente los costos.
Asociación Público
Privada.
La Asociación asume los
costos y existe tarifa para
receptores de
autenticación.
El Estado contrata
diversos operadores.
El privado asume los
costos de operación a
través de las tarifas que
se cobran al Estado.
Financiado
completamente por el
Estado.
Costo de emisión de DNI
asumido por el ciudadano
y OPEX a cargo del
Estado.
Los proveedores de
servicios deben pagar
según el número de
transacciones por mes.
Los emisores eID reciben
una tarifa al mes por cada
usuario que use el
sistema.
El modelo sólo contempla
ingresos para los
operadores de identidad,
a partir del cobro al
Estado por transacción
mediante una tarifa.
No existe ingreso, ya que
el Estado lo opera y hace
uso del mismo.
Por determinar. El modelo
se encuentra en fase de
despliegue.
Capital Humano,
multioperador, tecnología
SAML 2.0.
Capital Humano, Mono
operación, presencia
institucional, hardware
masificado, lectores de
tarjeta, tecnología
Safelayer.
Capital Humano, dirección
estatal, subvención
estatal, red de operadores
privados.
Capital Humano, modelo
Open ID, sistemas de
seguimiento, sistemas de
información.
Capital Humano ,mono
operación, dirección
estatal, match On Card –
MOC, elementos
biométricos.
ACTIVIDADES
CLAVES
Enrolamiento ante
operadores, verificación
de la identidad iDP,
emisión por parte de
operadores, uso
diferencial en el sector
público y privado.
El enrolamiento del
ciudadano ante la policía
nacional, emisión de la
tarjeta electrónica por
parte del operador,
integración con lectores
de tarjeta electrónica,
masificación en el uso.
Enrolamiento del
ciudadano, registro ante
una de las entidades
certificadas por Gov.UK,
entrega del mecanismo,
uso en diferentes trámites.
Enrolamiento, adopción
Modelo Open ID,
integración de las
entidades estatales,
inclusión digital a través
de un programa de
gobierno electrónico
agresivo.
Enrolamiento biométrico,
emisión tarjeta física,
incorporación firma digital,
apropiación comunidad.
Modelos Internacionales Resumen CANVAS
Los elementos mas valorados por los usuarios, son; autenticidad de quien realiza las transacciones,
ahorros en transporte y tiempo, impacto ambiental positivo, transacciones electrónicas seguras, fácil
interacción con mecanismos de autenticación (dependiendo de niveles de seguridad y de la transacción a
realizar).
Promesa
de valor
Los principales segmentos atendido son: ciudadanos, entidades estatales, empresas privadas. Segmento
Clientes
La forma en que normalmente se interactúa y existe una retroalimentación con los distintos segmentos
objetivos, es a través de medios presenciales, en línea vía internet y medio telefónico. La marca genera
confianza en los usuarios.
Relación
Clientes
Los principales canales por los cuales se atiende el publico objetivo o segmentos del modelo, son; a través
de red de oficinas, empresas de correo, vía telefónica, páginas web, aplicaciones móviles. Canales
Entre los principales recursos requeridos se destacan entre otros: físicos (edificios, sistemas, redes,
hardware, software), intelectuales (marca , propiedad intelectual, bases de datos), humanos (equipo de
trabajo capacitado), financieros (garantías, grandes inversiones de capital CAPEX ,OPEX), marcos
jurídicos y lineamientos.
Recursos
Claves
Modelos Internacionales Conclusiones CANVAS
En suma, las principales actividades claves en los modelos de autenticación son: definición y supervisión
de un marco legal, procesos de producción y distribución de equipos o dispositivos (tarjetas, lectores,
token, etc.), proceso de enrolamiento, administración base de datos, proceso de apropiación y uso.
Actividad
Clave
Se observa que los principales modelos analizados apalancan esfuerzos, principalmente con entidades del
sector de las telecomunicaciones, bancario, transporte, operadores de correo físico, operadores de pago
electrónico, de seguridad informática (proveedores de tecnología) y entidades estatales con competencia
legal y operacional de TIC.
Alianzas
Claves
Los costos más representativos que asumen los modelos de autenticación, son: infraestructura, hardware,
software, mantenimiento, nomina, producción y distribución de equipos, contratos empresas certificadoras. Estructura
de costos
Los ingresos del modelo varían teniendo en cuenta su taxonomía y estructura, sin embargo las principales
fuentes de ingresos son; cobros por transacción, presupuesto del gobierno y capital privado (APP’s). Ingresos
Los modelos internacionales siguen principalmente, la ley modelo de firma electrónica de CNUDMI de
2002, la directiva Europea de firma electrónica y la normatividad producida internamente por cada país
en esta materia.
Jurídico
Modelos Internacionales Conclusiones CANVAS
2 Análisis Nacional
Jurídico: Ley 527 de 1999, Decreto 2364 sobre firma electrónica, Decreto 333 sobre Constitución y Funcionamiento de las Entidades de Certificación Digital, y todo el marco normativo del Procedimiento Administrativo Electrónico, que exige autenticidad, integridad y disponibilidad en las actuaciones administrativas electrónicas (Ley 962 y Ley 1437). Ley 1581 de 2012 sobre protección de datos personales.
11
Alianzas Clave Actividades Clave
Recursos Clave
Promesa de Valor – Productos/Servicios
Relaciones con el Cliente
Canales
Segmentos de Cliente
Estructura de Costos Ingresos Indicadores
1
El MinTIC como articulador de Política. Entidades de certificación digital definidas en la Ley 527 de 1999. ONAC como organismo acreditador de entidades de certificación. Superintendencia de Industria y Comercio para la vigilancia y control. DIAN como emisor de mecanismos de autenticación para sus usuarios. RNEC como dueño de la identidad de los colombianos.
Asunción de los costos por el Estado y particulares de conformidad con sus propias necesidades, que se centran en la infraestructura, integración y mantenimiento del esquema de autenticación. CAPEX Y OPEX: público y privado. Costos regulatorios, costos de la infraestructura de servicio al cliente, costos de operación y administrativos.
Ingresos: I. Tarifas por los mecanismo. II. Tarifas por servicios conexos ofrecidos.
Ahorros: i. Eliminación de fraudes y reducción de costos transaccionales asociados. ii. Mejora capacidad tecnológica en las incidencias de seguridad de la
información.
a. Usuarios finales: 1. Ciudadanos. 2. Empresas.
b. Receptores de autenticación electrónica: 1. Entidades Pública, especial referencia a: a. Sector tributario. b. Sector Salud y
previsional. c. Sector Justicia. 2. Empresas Privadas, especial referencia a: a. Sector Financiero. b. Sector Telco. c. Sector Transporte.
2
3
4 5
6
7
8 9 10
Para la entidades o empresas receptoras de autenticación: ofrecer mecanismos de autenticación como un atributo de seguridad muy importante en el desarrollo de trámites, actuaciones y documentos electrónicos. Para los usuarios finales se amplia la oferta de trámites y servicios electrónicos, mitigando la suplantación de identidad a través de diferentes métodos de autenticación, como: a. Métodos simples. b. Métodos robustos. c. Firmas electrónicas. d. Firmas digitales.
Dependiendo del nivel de riesgo de la operación se utilizará un modelo u otro.
Hay marcas fuertes en el mercado: - En firmas digitales- Certicámara, o
GSE. - En Tokens OTP – RSA, Gemalto,
VASCO.
La apropiación se ha dado a través de la verificación de atributos de seguridad, definición de normas que imponen el uso, y definición de ahorros en costos operativos.
Para la atención de incidencias y servicio al cliente: • Canal Presencial.
• Canal telefónico.
• Canal Internet.
Tecnología disponible: Biometría, PKI, Open ID, y toda la variedad disponible en el mercado.
Número de firmas digitales colocadas en el mercado, por entidades abiertas: 82.000. Número de firmas digitales emitidas por la DIAN para contribuyentes: 750.000. Ciudadanos que hacen trámites con el Estado por medios electrónicos 38%. Empresas que hacen trámites con el Estado por medios electrónicos 45%.
Hay libertad de configuración de operadores, salvo el caso de las entidades de certificación digital en la emisión de firmas digitales. En general se aplican: • Enrolamiento ante operadores. • Verificación de identidad ante
fuentes oficiales y privadas de información.
• Uso diferencial en sector público y privado.
• Modelo progresivo que ha venido cambiando en función de riesgos.
• Apertura de la biometría dactilar desde la RNEC a públicos y sector financiero.
Económico: Costos de infraestructura. Personal: Calificación y conocimiento sobre la materia por experiencia de más de 16 años en la materia. Infraestructura: repositorios distribuidos en el manejo de la identidad.; bases de datos de verificación como fuentes externas.
Análisis Nacional Situación encontrada
SECTOR ENTIDAD
PÚBLICO
Alcaldía de Bogotá
DPS
SALUD Nueva EPS
BANCARIO Banco de la República
FINANCIERO Superintendencia Economía Solidaria
ACADÉMICO SENA
ORGANISMO DE IDENTIFICACIÓN Registraduría Nacional
IMPUESTOS DIAN
Análisis Nacional Alcance
Ley 527 de 1999
• Mecanismos simples de
autenticación – Art. 17.
• Firmas electrónicas – Carga
Probatoria sobre autenticidad e
integridad – Art 7.
• Firmas digitales – Presunción de
autenticidad e integridad Art. 28.
• Nota: es necesario distinguir la
autenticidad del mensaje de datos,
como determinación del origen de
una información electrónica; de la
autenticidad de los documentos -
incluso electrónicos – a nivel
probatorio.
Decreto 2364 de 2012
• Las firmas electrónicas siempre
deben garantizar autenticidad e
integridad. La definición sobre el
uso de una firma electrónica o de
una firma digital dependerá
directamente de un análisis de
riesgos y de usabilidad.
Código General del Proceso
• Define la autenticidad del mensaje
de datos como documento
electrónico, pero debe distinguirse
de la determinación del Origen del
Mensaje de datos.
Análisis Nacional Marco Jurídico
Se dispone de un marco jurídico amplio y concreto, que reconoce tanto mecanismos simples como robustos, así
como también las firmas electrónicas y digitales, siguiendo así los estándares y modelos internacionales. El
paradigma es la Ley 527 y sus Decretos Reglamentarios 2364 de 2012, y 333 de 2014.
Legal
Existe variedad de posibilidades, los atributos de seguridad y técnica que se hacen presentes normalmente son
autenticidad e integridad.
Se manejan mecanismos tales como: usuario y contraseña, certificados digitales, tokens, preguntas reto.
Técnico
Esquemas financiados por el Estado fundamentalmente. En lo referente a mecanismos robustos existe fuerte
presencia del sector financiero por solicitudes reglamentarias; y en el caso de firma digital es exigida por algunas
entidades estatales en sus comunicaciones electrónicas, y existe un financiamiento hibrido entre particulares y
Estado.
Financiero
Libertad de configuración en la prestación de servicios de autenticación simples y de firmas electrónicas, con
presencia de muchos proveedores dentro del mercado; en el caso de las firmas electrónicas certificadas y firmas
digitales, existe un marco institucional a partir de las entidades de certificación digital y el papel muy reciente del
acreditador de sus servicios, esto es ONAC. Allí hay debilidad por falta de conocimiento y ausencia de estándares.
Organizacional
La autenticación electrónica cada vez más hace parte de la vida cotidiana del ciudadano. Existe apropiación sobre
todo de mecanismos simples. Sin embargo no existe adecuada concientización sobre la seguridad de este tipo de
mecanismos. Algunos mecanismos robustos son calificados por los ciudadanos como “difíciles” de utilizar.
Socio-Cultual
Análisis Nacional Conclusiones
Elaborado por: