MARCO DE REFERENCIA DE ARQUITECTURA PARA TRÁMITES

`

Arquitectura de Seguridad

En esta sección se presenta la Arquitectura de Seguridad para Trámites en Línea que describe cómo resolver aspectos de seguridad en este contexto. 

Se cuenta con un Marco de Ciberseguridad laborado por AGESIC y adicionalmente, podrá encontrar recursos como documentación, manuales, instructivos, tutoriales, implementaciones de referencia, marcos de referencia y otras utilidades, en la Wiki asociada a seguridad de la información y seguridad informática.

Principios Específicos

Los principios específicos para el dominio de seguridad se basan en los principios definidos en el Marco de Referencia de Seguridad (MRS).

PR-T-S-001: Confianza y seguridad

Descripción

Las instituciones deben garantizar un nivel adecuado de integridad, disponibilidad, confiabilidad y privacidad en la gestión de la información y los servicios, utilizados para la implementación de los trámites en línea.

Justificación

Las aplicaciones y sistemas de información involucrados en los trámites pasan a ser críticos, por lo que es necesario brindar niveles mínimos de seguridad sobre ellos.

Implicancias

Definir los criterios de seguridad de las aplicaciones, almacenamiento e intercambio de información.

Aspectos de seguridad en Trámites en Línea

Los aspectos de seguridad son de especial relevancia en las interacciones que se llevan a cabo en el marco de Trámites en Línea que involucran datos personales. Algunas definiciones a considerar al analizar temas de seguridad son:

  • El almacenamiento y custodia de la información involucrada en los trámites, es responsabilidad de la organización donde ocurre dicho trámite.
  • El almacenamiento de cualquier información se debe realizar en centros de datos virtuales ubicados dentro del territorio uruguayo.
  • Todo intercambio de información debe realizarse a través de la Plataforma de Interoperabilidad.
  • Los mensajes intercambiados entre los organismos no se almacenan en dicha plataforma.
  • Los aspectos de seguridad desde el organismo hacia la interfaz presentada a la persona, son responsabilidad del organismo.

La integridad y confidencialidad de la información a nivel de transporte está dada por el uso de HTTPS en las interacciones que se dan entre la solución de trámites utilizada por el organismo, la PDI y los servicios consumidos para el trámite. Es responsabilidad de los organismos garantizar la integridad y confidencialidad a nivel de transporte en las interacciones que se dan en la interna de la institución. 

Con respecto a la privacidad de los datos, es responsabilidad de las instituciones garantizar que los datos involucrados en un trámite no sean accedidos con propósitos distintos a los de ese trámite en si mismo. Asimismo, se está trabajando en soluciones más avanzadas en relación a la privacidad de los datos, por ejemplo, soluciones que tomen en cuenta los consentimientos que brindan los usuarios para acceder a determinada información.

A modo de resumen, la siguiente tabla presenta las responsabilidades de los organismos y de la PDI en los distintos aspectos de seguridad tratados.​​​​​​​

PropiedadOrganismoPlataforma de Interoperabilidad
AutenticaciónDebe contar con mecanismos de autenticación a través de Usuario Gub.Uy.Establece mecanismos de autenticación estándar, exigidos para cada organismo que consuma o publique servicios en la plataforma. 
AutorizaciónDebe contar con mecanismos de autorización.Autoriza las invocaciones que realizan los organismos a los servicios, utilizando políticas de control de acceso definidas en la PDI.
ConfidencialidadDebe contar con mecanismos que garanticen la confidencialidad de la información que intercambia.Provee confidencialidad a nivel de transporte mediante HTTPS.
IntegridadDebe contar con mecanismos que garanticen la integridad de la información intercambiada.Cada pedido a la plataforma debe ser firmado con Firma Electrónica Avanzada y la plataforma comprueba la validez de esa firma para dar garantías de su integridad. Provee integridad a nivel de transporte mediante HTTPS. 
AuditoríaDebe implementar mecanismos de auditoría necesarios para la interna de su institución.Se tiene registro de todas las invocaciones y respuestas que llegan a la plataforma, pero no se guarda el contenido de los mensajes.
PrivacidadDebe garantizar que los datos solamente son accedidos en el contexto del trámite mismo.

9698 Accesos