Investigación & Desarollo – Seguridad

La unidad de Investigación & Desarollo, en ámbito Seguridad, está trabajando en “Spidasec – SPID Advanced Security”, que aprovecha de una financiación “POR CALABRIA FESR-FSE 2014-2020”.

Spidasec es un sistema cuyo objectivo es mejorar la seguridad de SPID. SPID les permite a los usuarios y a las empresas acceder desde varios dispositivos con una única identidad digital a los servicios de la administración pública y de las empresas afiliadas. Además Spidasec aspira a mejorar el “trust” entre las partes involucradas.

En esta adventura Consulhink no está sola, tiene como socios la Universidad de Calabria, las empresas Catenate y Coremuniti, el “Istituto di Calcolo e Reti ad Alte Prestazioni del Consiglio Nazionale delle Ricerche (ICAR-CNR)” y además puede contar en el apoyo de Poste Italiane.

Objectivo de Spidasec, por eso, es el mejoramiento del lado seguridad de SPID, el “sistema público de la identidad digital” italiano. SPID aspira a la simplificación de las relaciones entre el ciudadano y los servicios abastecidos por la administración pública. Gracias a SPID, cada usuario posee su propia identidad digital y con esta puede acceder a los servicios online de la administración pública y de todas las empresas que han adherido a SPID. La ventaja de la identidad digital es que no habrá la necesidad de acordarse y de utilizar muchas contraseñas y nombres de usuario para acceder a los varios servicios, solo será suficiente acordarse de los de la propia identidad digital.

Para obtener la identidad digital, el usario tiene que pedirla a uno de los 8 administradores actualmente acreditados, entre los cuales hay también Poste Italiane S.p.A. Estos verifican la identidad del usuario y le otorgan las credenciales.

Las ventajas del sistema SPID existen sea lado usuario que lado proveedor de servicios. El usuario, de hecho, podrá acceder a numerosos servicios online con unas credenciales únicas de identificación; el proveedor de servicios, en cambio, no tendrá que preocuparse por censar a los usuarios, obtendrá solo los datos del usuario estrechamente necesarios para completar aquella específica transacción, no tendrá cargas relativas al almacenamiento de los datos personales y no tendrá que preocuparse por eventuales ataques informáticos para el robo de las credenciales. Además, los proveedores de servicios contarán con perfiles con una identidad segura, eliminando los “falsos perfiles”, e inequívoca, eliminando los duplicados.

¿Cuáles son los objectivos de Spidasec? SPID presenta una serie de límites, sobretodo lado seguridad y Spidasec se pone el objectivos de superarlos. En SPID el robo de identidad es sencillo por el mecanismo usado para identificar al usuario. De hecho, enseñando un documento falso, un ciudadano puede apropiarse de todas las informaciones de otro en relación a sus servicios. Spidasec, por eso, introduce unos algoritmos de “Social Trust” para afrontar esta vulnerabilidad. Estos sistemas pueden valerse de fuentes abiertas, como los canales sociales. Los datos recogidos pueden contener informaciones sobre el usuario que se tiene que identificar, como imagenes y posición. Correlacionando estas informaciones, se puede sacar un nivel de trust sobre la identidad del usuario. Usando conceptos de Trust y de Reputación, se pueden definir también adecuadas políticas de seguridad que se basan en niveles de riesgo crecientes.

Otras dos problematicas de seguridad se refieren al uso de SAML (Security Assertion Markup Language) y de los certificados en el protocolo SSL. Para lo que se refiere al uso de SAML, el protocolo hace unas aserciones y una vez que estas son verificadas, no repite el control para un tiempo más o menos largo. El problema es que si el navegador web está infecto, desde el navegador web podría partir unas peticiones impropias que de todas formas resultarían satisfechas. Para lo que se refiere al uso de certificados en el protocolo SSL, en cambio, estos podrían estar no actualizados o mal configurados, no garantizando la seguridad de la transmisión de los datos.

Spidasec, pero, tiene como objectivo también promover la difusión del servicio en Italia: todavía son pocas las administraciones públicas italianas que usan SPID, así como son pocas las empresas privadas que proponen online sus servicios. Ahora los servicios online de las administraciones públicas italianas a los que los ciudadanos pueden acceder son: pagos de Tasi e impuestos sobre los coches, servicios sanitarios, expediente del Inps, rescate de la licenciatura, petición de los subsidios familiares, saldo por la web de tributos regionales y pago del comedor escolar. Esta integración y comunicación en un único ámbiente, pero, no es sencilla y puede conducir a una escasa usabilidad de la plataforma. ¡Spidasec, por eso, es la solución a los límites de SPID!

Para otras informaciones sobre el proyecto, pueden visitar el sitio web italiano de Spidasec.

 

En la imagen, el logotipo de Spidasec.

Logo di Spidasec, il progetto di Consulthink per migliorare la sicurezza del sistema SPID