Marco de seguridad

Introducción

La plataforma Smart Certificate se basa en tecnologías seguras (por ejemplo, Blockchain) y en protocolos que cumplen plenamente las leyes de privacidad y el marco del GDPR, garantizando la integridad de los documentos (sellado de tiempo y firma), la autenticidad (garantía de la identidad del emisor del documento) y la validez (el documento sigue siendo válido, no ha sido revocado o no se ha alcanzado su fecha de caducidad).

Así, la plataforma Smart Certificaqte hace imposible el fraude de cualquier documento digital y permite una verificación 100% segura.

Además de la encriptación de la base de datos, y como parte de nuestro sistema de protección de datos, los datos de cada destinatario de los documentos también se encriptan con una clave específica para cada conjunto de datos hasta que el destinatario acepta los términos y condiciones para activar los documentos concedidos (método patentado). A continuación, los datos de los documentos concedidos se descifran y los documentos se generan (con esos datos descifrados) pero permanecen en un entorno seguro (servidores dedicados).

Hemos llevado a cabo y mantenemos en curso una auditoría de datos personales y actividades de supervisión para garantizar el cumplimiento coherente del GDPR. Tenemos un DPO para supervisar las actividades.

Estamos procediendo regularmente a un PEN TEST por SECTIGO y frecuentemente monitoreado por SECURITY SCORECARD .

Especificaciones técnicas: mejores prácticas

La plataforma Smart Certificate ha sido diseñada y desarrollada por nuestro equipo de I+D que, además del bagaje técnico y tecnológico aportado, ha adquirido a lo largo de los años la experiencia y las competencias específicas en materia de desmaterialización y seguridad de datos y documentos.

Todos los desarrollos de la plataforma Smart Certificate siguen un enfoque de calidad respetado por todos los implicados en el proceso de análisis, diseño, desarrollo y pruebas. Nuestro enfoque de desarrollo está centrado en el cliente y sus necesidades. Optamos por una metodología de desarrollo ágil donde se priorizan las funcionalidades según las necesidades del cliente y según la gestión de riesgos en el desarrollo de la plataforma. Cada ciclo de desarrollo de un mes natural como máximo incluye las fases clásicas de análisis, validación del cliente, diseño técnico, desarrollo, pruebas e integración.

Además, la plataforma Smart Certificate, los procedimientos operativos y los Términos y Condiciones de la plataforma (listas de los artículos de condiciones generales que rigen el uso de la plataforma Smart Certificate y que deben ser aprobados por cualquier usuario) cumplen con el GDPR y los marcos de privacidad.

MARCOS Y TECNOLOGÍAS

La plataforma Smart Certificate se basa en el marco/tecnologías de Microsoft (.NET) para el back-end, y el marco VUE JS para el front-end, y cumple con los estándares del mercado en términos de desarrollo web pero también en términos de despliegue y configuración.

Esta es una visión general de la plataforma Smart Certificate que cumple con todos los estándares de arquitectura esperados, especialmente en términos de seguridad de la información: La infraestructura cumple con la norma ISO27001.

BASE DE DATOS

La plataforma está vinculada a una base de datos Microsoft SQL Server con las siguientes características:

  • Base de datos relacional que respeta la norma de esquematización
  • Identificadores artificiales para entidades relacionales
  • Los documentos relacionados con los destinatarios se almacenan en un servidor de archivos fuera de la base de datos. El vínculo entre los destinatarios y sus archivos se mantiene en la base de datos. Los documentos se nombran sólo con GUID para preservar su anonimato.
  • El control de la privacidad está garantizado por un sistema de cifrado/descifrado individual mediante un procedimiento certificado. Mientras los destinatarios no hayan activado sus documentos, los datos personales están totalmente encriptados con una clave de cifrado única y personal. El protocolo de cifrado utilizado garantiza la privacidad de los destinatarios.
  • Al utilizar el método del algoritmo Advanced Encryption Standard Rijndael con el algoritmo hash SHA1 y un tamaño de clave de 256 bits, el cifrado de los datos sensibles garantiza que, incluso en el improbable caso de que se produzca una intrusión directamente en la base de datos, la información que se encuentre en ella no servirá de nada porque está cifrada con los más altos estándares.
  • Es fundamental mencionar que el enfoque de encriptación/desencriptación para todos los documentos emitidos por la plataforma Smart Certificate es precisamente el enfoque más fiable y eficiente para la emisión de documentos, especialmente para los documentos que contienen datos privados; De hecho, dado que estos documentos están encriptados hasta el momento de su activación por los propios destinatarios (mediante la aceptación de las condiciones generales de uso), el enfoque de "encriptación/desencriptación" es el único enfoque para realmente respetar las normas de privacidad (legislación europea). Cualquier otro enfoque o proceso equivaldría a comprometer las normas relativas a la comunicación, la entrega y el intercambio de datos privados sensibles. Por lo tanto, sólo los destinatarios tienen la posibilidad de descifrar sus documentos (generándolos a través de la activación del enlace seguro que se les envía) y la entidad emisora a través de una interfaz en la que debe integrarse su contraseña (vinculada a la clave privada segura cifrada).

Visión general de la seguridad

La plataforma Smart Certificate utiliza algunas de las tecnologías más avanzadas para la seguridad en Internet. Consciente de la sensibilidad de los datos que alberga, el flujo de trabajo de Smart Certificate incluye un enfoque de seguridad de 360º, canales de comunicación y medios de almacenamiento.

  • Canales seguros: los canales de comunicación entre la plataforma y todas las partes interesadas (emisores y receptores) están protegidos por un certificado SSL de clase 3 con validación ampliada. Esta es la plataforma más fiable y segura para la seguridad de los sitios web en términos de certificado SSL. Utiliza un cifrado SSL de 128 bits como mínimo y de 256 bits como máximo, lo que permite un fuerte cifrado de todos los datos comunicados desde y hacia la plataforma. Esto la protegerá a ella y a sus usuarios de cualquier interceptor dispuesto a captar la información en tránsito entre la plataforma y sus clientes.
  • Verificación segura de la identidad de los emisores: Cualquiera puede alegar ser el representante de cualquier organización. Hemos puesto en marcha un proceso manual de autentificación de cualquier cliente que desee crear una cuenta. Cualquier cliente que desee abrir una cuenta y conceder un documento certificado tendrá que pasar este proceso.
  • Almacenamiento seguro: nuestra base de datos no sólo se encuentra en un servidor seguro, sino que todos los datos sensibles (nombres, direcciones de correo electrónico, números de teléfono, etc.) se cifran de forma nativa en nuestra base de datos mediante el método Advanced Encryption Standard: Algoritmo Rijndael con algoritmo hash SHA1 y tamaño de clave de 256 bits. La encriptación de los datos sensibles asegurará que incluso en el improbable caso de que un intruso acceda directamente a nuestra base de datos, la información que se encuentre será inútil porque está encriptada con los más altos estándares.
  • Privacidad de datos asegurada: Además del almacenamiento seguro de los datos sensibles, la plataforma Smart Certificate ha implementado un proceso interno para garantizar el control de la privacidad de los datos de los destinatarios y la información del documento. Este proceso garantiza que ningún dato personal será accesible para la plataforma sin el consentimiento del emisor.
  • Documentos seguros: En el caso particular de la generación de documentos, la plataforma Smart Certificate refuerza la seguridad garantizando el contenido del documento y firmando digitalmente y asegurando todos los documentos PDF en la blockchain (Bitcoin) mediante la emisión de un hash criptográfico (SHA256) para cualquier documento, con el fin de garantizar de forma independiente una marca de tiempo segura para cada documento.

Gracias a estas innovaciones, la plataforma Smart Certificate es capaz de garantizar:

  • La identidad de la institución
  • El contenido de cada documento certificado
  • Respeto a la privacidad de los destinatarios
  • La inalterabilidad de los documentos de los certificados inteligentes

Protección especial de los datos privados

La seguridad y la protección de la privacidad han sido siempre la prioridad número 1 desde la concepción de la plataforma Smart Certificate, a través de una arquitectura específica para proteger los datos privados de los destinatarios y sus documentos.

El alcance de la arquitectura propuesta permite proteger los documentos hasta que sean activados por el destinatario, manteniéndolos encriptados y garantizando que las claves de desencriptación no se almacenen en el servidor emisor. Esta restricción garantiza que:

  • la propiedad de los datos sigue estando en manos de la organización y del destinatario.
  • cualquier intrusión externa (incluso improbable) sólo podría dar acceso a los datos encriptados con fuertes algoritmos de cifrado.
  • respetar el marco legislativo europeo en materia de derecho de los datos privados.

La arquitectura implementada también permite proporcionar un documento autentificado, lo que permite al verificador tercero asegurarse de que el documento recibido por el destinatario fue realmente emitido por la plataforma Smart Certificate y no ha sido modificado posteriormente.

Además de la arquitectura de seguridad implantada para proteger los datos privados, la plataforma Smart Certificate utiliza las tecnologías de seguridad más avanzadas de Internet. Conscientes de la sensibilidad de los datos que maneja la plataforma, hemos especificado e implementado un baluarte de seguridad en torno a nuestro procesamiento de datos, canales de comunicación y sistema de almacenamiento.