Resumen ejecutivo situación actual Autenticación Electrónica · •Los actores - El ciudadano que obtiene su identidad electrónica. - La Policía de Estonia y/o Junta de Guardia

Resumen ejecutivo situación actual Autenticación Electrónica Análisis Internacional y Nacional

ÍNDICE

1. Modelos Internacionales

2. Análisis Nacional

1 Modelos

Internacionales

-

+

- +

Chile

Estonia

Suecia

Reino Unido

Perú

IMPA

CTO

RELEVANCIA PERSPECTIVAS PARA COLOMBIA

Número de Trámites en línea involucrados

Modelos Internacionales Matriz selección de países análisis internacional

• Impacto: aquellas

experiencias que, desde

los aspectos jurídicos,

técnicos, financieros,

organizacionales o socio-

culturales, evidenciaban

prácticas muy

relevantes.

• Relevancia para

Colombia: aquellas

experiencias que desde

la similitud con la

realidad colombiana

aplican más desde

aspectos como tamaño,

número de habitantes,

cultura, nivel de

desarrollo, etc.

Operadores: Perú (1 Público), Chile (1 Publico CU - DNI electrónico-), UK (5 Telco’s, 2 Públicos),

Estonia (1 público), Suecia (2)(1 Dominante).

ESTATAL

Reino Unido

MIXTO

OP

ER

AC

IÓN

CE

NT

RA

LIZ

AD

A

Chile

Perú

USO

DIS

TR

IBU

IDA

Marco Jurídico: Sigue la

Directiva Europea de firma

electrónica. Cuenta con norma

específica: Electronic

Communications Act, 2000.

Tecnología: Firma electrónica,

SAML.

Modelo Económico: Todo es

cubierto con presupuesto estatal.

Estonia

Marco Jurídico: Sigue la Directiva Europea

de firma electrónica. Cuenta con norma

específica: Ley de Firma Digital del 8 de

marzo de 2000

Tecnología: Firma digital, SOAP (XML,

RPC).

Modelo Económico: Alianza Público

Privada, donde hay tarifas que pagan los

prestadores de servicios o trámites.

Suecia

Marco Jurídico: Sigue la Directiva

Europea de firma electrónica.

Cuenta con norma específica:

Qualified Electronic Signatures Act

(FSF 2000:832)

Tecnología: Firma digital, SAML.

Modelo Económico: Operadores

privados con tarifa subvencionada

por el Estado.

Marco Jurídico: Sigue la Ley modelo

de la CNUDMI de firma electrónica

de 2002. Cuenta con norma

específica: Ley No. 27269 Ley de

Firmas y Certificados Digitales (2000)

Tecnología: Firmas digitales.

Modelo Económico: El ciudadano

paga por el mecanismo y los

prestadores de servicios y trámites

pagan por las autenticaciones.

Marco Jurídico: Sigue la Ley

modelo de la CNUDMI de firma

electrónica de 2002. Cuenta con

norma específica: 2002 Ley

sobre documentos electrónicos,

firma electrónica y servicios de

certificación.

Tecnología: Firma electrónica,

OpenId.

Modelo Económico: Todo es

cubierto con presupuesto

estatal.

Modelos Internacionales Matriz Operación Vs Uso

Alianzas Clave Actividades Clave

Recursos Clave

Promesa de Valor – Productos/Servicios

Relaciones con el Cliente

Canales

Segmentos de Cliente

Estructura de Costos Ingresos Indicadores

1

Monooperador generado a partir de alianza público privada – SK. El proveedor oficial del eID es Sertifi tseerimiskeskus (SK - 'centro certificado'), que mantiene la infraestructura electrónica necesaria para la expedición y el uso de la tarjeta. Sus socios son dos de los principales bancos de Estonia, Hansapank y Eesti Ühispank, en colaboración con las empresas de telecomunicaciones Eesti Telefon y EMT. Se trata de una APP. También tiene importantes alianzas para el desarrollo del eID con empresas de TELCO y proveedores de tecnología PKI como: • Telegrupp • Ektaco • Safelayer • Gemalto

Prestadores de Servicios públicos y privados Proveedores de TI e integradores en alianza con Estado.

Ingresos - Los proveedores de servicios deben pagar según el número de transacciones por mes. Pagan desde 25 euros por 400 transacciones hasta 6,000 euros por 750.000 transacciones. Para los usuarios finales el costo de la tarjeta es de 10 euros y actualizar la información o el código PIN es gratuito si se hace en las oficinas del gobierno y cuesta entre 2 y 4 euros si se hace en un banco. Los lectores de tarjetas se venden a cerca de 6 euros.

El CAPEX ha sido completamente proporcionado por el emisor eID. Por otra parte el OPEX es cubierto por el Estado. El costo más representativo para el proveedor oficial SK es el mantenimiento de su PKI, y los costos de emisión de un eID bajo el modelo de una tarjeta inteligente. Costos de repositorio centralizado, costos de apropiación, costos de enrolamiento. Costos regulatorios. Costos de operación de acuerdo a requerimientos normativos. Se trata de un modelo autosostenible, pues siendo una APP con único operador, ha contado con inversión inicial privada, y tiene un modelo tarifario regulado que el Estado ha promovido a través de la integración a todo tipo de servicios gubernamentales.

Los principales clientes son a. Usuarios Finales Ciudadanos que realizan trámites y servicios del Estado como base primaria, por ser el eID el documento de identificación.

b. Receptores de autenticación. Empresas que ofrecen servicios por medios electrónicos y validan la identidad de sus usuarios.

Entidades estatales que autentican sus trámites y procesos con el uso del eID. c. Usuarios no ciudadanos – bajo el modelo de e Residency, se ha venido exponiendo el modelo de Estonia por fuera de sus fronteras.

2

3

4 5

6

7

8 9 10

Para el ciudadano Usuario final: El principal aporte para el ciudadano es que el eID sirve: • Para acceder a diferentes trámites

y servicios estatales. • Como documento nacional de

identidad y para viajar dentro de la UE (ciudadanos de Estonia).

• Como la tarjeta sanitaria nacional. • Como prueba de identificación al

iniciar sesión en las cuentas bancarias de un ordenador personal.

• Como un billete de transporte público de prepago en Tallin y Tartu (trenes).

• Para i-Voting. Para la entidad estatal: Mitiga el riesgo se suplantación de identidad en trámites electrónicos. El producto o credencial es una tarjeta electrónica que incorpora un chip que sirve apara autenticar física y electrónicamente, así como firmar digitalmente.

Marca: ePassport y eID . Para propiciar el uso, se encuentra un sitio Web para desarrolladores donde se estimula el desarrollo de aplicaciones y herramientas. Existen políticas de apropiación incluyentes con gran número de trámites y servicios en línea.

Recursos financieros: • CAPEX y OPEX privado • Tarifas a cargo de prestadores de

servicios Recursos Tecnológicos: • Hardware masificado en lectores

de tarjeta. • Tecnología PKI. Recurso humano capacitado.

Por ser un enrolamiento con el documento de identidad, se solicita un e ID en el punto de servicio de la Policía y de Fronteras (Junta Guardia), misiones extranjeras de la República de Estonia. Para renovación o pérdida, se pueden utilizar canales virtuales, a través de www.ide.ee o www.sk.ee El ciudadano cuenta con un centro de servicio y soporte virtual donde recibe todo tipo de ayudas para el uso de eID.

En 06.09.2015 08:01 Número de firmas digitales realizadas: 236 726 527 98% de las transacciones bancarias en Estonia se llevan a cabo a través de Internet, utilizando autenticación electrónica. Número de Tarjetas activas: 1 254 431, Número de Autenticaciones electrónicas: 373 112 605

Gobierno: • Enrolamiento de los ciudadanos

al documento de identidad oficial a través de la Policía y las oficinas de frontera (Junta Guardia).

• Oferta de Trámites y servicios en línea.

Operadores: • Emisión eID en tarjeta

electrónica. • Integración con lectores de

tarjeta electrónica y masificación de su uso.

• Trabajo colaborativo sector público y privado en el modelo.

• Uso del modelo de residencia electrónica.

Jurídico: Sigue el modelo propuesto por la Directiva Europea de Firma electrónica 1999/93/CE . El Parlamento Estonio (Riigikogu) aprobó la Ley de Firma Digital del 8 de marzo de 2000, y entró en vigor el 15 de diciembre de 2000. La Ley regula cuestiones que son esenciales para la implementación de una PKI a nivel nacional. Protección de datos personales (RT I 2003, 26, 158). Ley de Identidad de Documentos (RT1 I 1999, 25, 365). Ley de Firmas Digitales (RT1 I 2000, 26, 150). Así como los principios generales del cógido civil, código de comercio y Ley de propiedad.

11

Modelos Internacionales CANVAS Estonia

1. Enrolamiento

del ciudadano

Solicitud de mecanismo Operación del trámite Mantenimiento y soporte

Fro

nt

Off

ice

B

ac

k O

ffic

e

3. 2. Emisión de

tarjeta

electrónica

4. Realización de

trámites

5.

Renovación

AE = Autenticación Electrónica

Fuente: Elaboración propia.

Ciudadano Policía de Estonia y/o Junta

de Guardia de Frontera

Emisor eID Entidades Estatales Empresas Privadas

Canal Virtual

Canal Presencial

Verificación

de identidad

Tarjeta electrónica

con chip, con

lector de tarjetas

Modelos Internacionales Estonia

• Los actores

- El ciudadano que obtiene su identidad electrónica.

- La Policía de Estonia y/o Junta de Guardia de Frontera que actúa en el enrolamiento del ciudadano.

- Una alianza público privada denominada SK (Emisor ID) que contempla la unión de bancos y compañías de telecomunicaciones.

- Las entidades estatales que desarrollan trámites y servicios autenticando electrónicamente a los ciudadanos.

- Las empresas privadas que autentican al ciudadano de manera electrónica.

• La relación entre los actores, el paso a paso

1. El ciudadano se dirige a uno de los puntos de atención de la Policía Nacional de Estonia para el enrolamiento de su identidad.

2. La Policía de Estonia y/o Junta de Guardia de Frontera, a través de la verificación de registros públicos establece que el

solicitante podrá ser el titular del eID.

3. Una vez verificada la identidad del ciudadano , el emisor de eID emite una tarjeta electrónica que contiene el chip con firma

digital.

4. El ciudadano titular de la tarjeta electrónica podrá utilizar su mecanismo de autenticación electrónica y firma digital en todo

tipo de trámites electrónicos ofrecidos por el Estado.

5. La renovación del mecanismo de autenticación se podrá hacer de manera presencial o electrónica en las oficinas o puntos de

atención del emisor eID.

• Aspectos económicos

- Quién pone CAPEX: El emisor eID.

- Quién pone OPEX: El emisor eId.

- Quién paga por el dispositivo: El ciudadano; Quién paga por la autenticación electrónica: Los proveedores de servicio, bien sean

entidades estatales o empresas privadas.


• Seguridad

- La estrategia de Ciberseguridad 2014-2017 (Comisión Europea, 2015). Es el documento básico para la planeación de

ciberseguridad en Estonia y parte de la estrategia de seguridad de la Nación, la estrategia resalta desarrollos importantes

recientes, evalúa las amenazas de ciberseguridad existentes y presenta medidas para la mitigación del riesgo.

- Normativa sueca asociada: Protección de datos personales (RT I 2003, 26, 158).

• El mecanismo

- Tecnología de comunicación – SOAP.

- Dispositivo de almacenamiento del mecanismo - Una tarjeta inteligente denominada eID, la tarjeta contiene un chip que integra

la firma digital del ciudadano.

- Mecanismo de autenticación electrónica – PKI bajo el estándar X 509 V3 de la Unión Internacional de Telecomunicaciones.


Jurídico: Sigue el modelo de la Directiva Europea de firma electrónica 1999/93/EC. Ley 2000: 832 (SFS 2000) sobre firma electrónica reconocida. UETA (por sus siglas en ingles Uniform Electronic Transactions Act). 15 U.S.C. 7001 Firma Electrónica y la Directiva de 2014 sobre Administración Pública Electrónica. Ley de protección de datos (SFS 1998:204). Estrategia de ciberseguridad para la seguridad de la información del gobierno central 2010 – 2015.

11


Recursos Clave



Canales



1

La Junta e-Identification, institución encargada de regular, coordinar, controlar y gobernar el sistema generar alianzas con los siguientes actores: • Emisores de eID: encargados

de enrolar y emitir la identificación digital de los ciudadanos en Suecia. Actualmente hay dos emisores operando: BankID y Telia. La alianza se establece contractualmente.

• Proveedores de identidad (pID): encargados de interactúan entre los emisores de eID y los proveedores de servicios (PS). La alianza se establece contractualmente.

• Proveedores de Servicios (PS): entidades publicas y empresas que requieren autenticar la identidad de sus usuarios para interactuar con sus sistemas de información. La alianza se establece contractualmente.

Ingresos: Los emisores eID reciben una tarifa, en la actualidad el precio se encuentra en 3,00 SEK por usuario único y mes. En principio cuenta para la autenticación con el Estado con una subvención estatal por cada emisor de 2,03 SEK por usuario único y mes. No hay subvención en el sector privado.

El CAPEX ha sido completamente proporcionado por el emisor eID. Por otra parte el OPEX es cubierto por el emisor eID a través de las tarifas que se cobran al Estado. El modelo en la actualidad tiene una subvención estatal para la autenticación electrónica con el Estado. En el caso de autenticación con particulares no existe subvención. El modelo también tiene costos regulatorios, costos de servicio al cliente. El mantenimiento gubernamental de una estructura humana de soporte y apoyo en las labores de acreditación. El e ID board o Junta -. Cada operador garantiza los costos de su operación.

a. Usuarios Finales Ciudadanos que acceden a servicios del estado por medios electrónicos (Población 9.644.864 habitantes-2014): • 81% de personas que

interactúan con el estado por medios electrónicos.

• 79% de personas que obtienen información del estado por medios electrónicos.

• Mas de 6 millones de usuarios de eID.

b. Receptores de autenticación: Todas las entidades estatales que validan la identidad de los ciudadanos cuando acceden a sus servicios electrónicos. Empresas que validan la identidad de los ciudadanos cuando acceden a sus servicios electrónicos.: • 25% de empresas que han

realizado ventas por medios electrónicos.

2

3

4 5

6

7

8 9 10

Para los Usuarios finales – Disponer de un mecanismos de autenticación útil física y electrónicamente. Para los receptores de información, en especial para el Estado.- El modelo promovido por el Gobierno sueco destaca la seguridad en las operaciones electrónicas de los ciudadanos y la provisión creciente de servicios a través de medios electrónicos. Algo interesante: • Se han simplificado más de 100

trámites. • Se ha propiciado el desarrollo de

ecosistemas digitales en Suecia. • Hay un marco de

interoperabilidad con el sector privado.

• Se ha venido utilizando un modelo hibrido con certificación “suave” y “dura” según riesgos y nivel de mitigación.

El producto es – bajo eID1 – una tarjeta inteligente que permite autenticar y firmar electrónicamente.

El relacionamiento es multicanal, pero se privilegia el uso de medios electrónicos y móviles. Escinde la autenticación para el sector público y la autenticación para el sector privado. La autenticación estatal es más estricta a nivel de seguridad. Existe un importante desarrollo de servicios gubernamentales por medios electrónicos y en esos servicios se ofrece también asistencia al ciudadano.

Recursos financieros donde el particular proporciona la infraestructura, pero las entidades estatales participan subvencionando en las operaciones de autenticación estatales. Por parte de Gobierno: Marco jurídico; lineamientos para habilitar emisores de eID y pID. Personal con capacitación y apropiación de gran alcance.

Para el enrolamiento se utiliza el canal presencial principalmente. Comercialmente se utilizan medios físicos, virtuales y telefónicos puestos a disposición por los operadores. El soporte al cliente se realiza de manera electrónica. Desde el punto de vista tecnológico sólo hay un canal, Internet, conexión técnica a través de SAML 2.0.

El Emisor más grande de Suecia es BankID (> 95%). A su vez los 12 bancos son los mayores usuarios de BankID, con el 68% de las transacciones (Bancos de Internet). El sector público representa aproximadamente el 7,4% (alrededor de 90 millones de transacciones / año) y otros servicios financieros, fuera de los 12 bancos, representan el 15% de las transacciones.

A cargo del gobierno la conformación de la Junta eID. La identificación electrónica debe llevarse a cabo por las organizaciones certificadas ante el Gobierno . • Enrolamiento ante operadores. • Verificación de identidad ante

fuentes oficiales de información. • Uso diferencial en sector público

y privado. • Modelo progresivo que ha

venido cambiando en función de renovación tecnológica.

• Viene cambiando de eID1 a eID2 y estará renovado en 2017.

Modelos Internacionales CANVAS Suecia

2. 1.

Enrolamiento del ciudadano Realización de

trámites

4.

Renovación

Solicitud de mecanismo Operación del trámite Mantenimiento y soporte

3.

Verificar identidad ante el

emisor por medio del IdP

Fro

nt

Off

ice

B

ac

k O

ffic

e

Ciudadano Junta eID Emisor eID Entidades Estatales Empresas Privadas Proveedores IdP de identidad


Fuente: Elaboración propia. Canal Virtual

Canal Presencial

Modelos Internacionales Suecia

• Los actores


- La Junta eID que actúa como autoridad y orquestador del modelo.

- Los proveedores IdP de identidad autorizados por la Junta eID, que se encargan de comunicar la verificación de identidad.

- El emisor eID u operadores que son Bank ID y Telia.

- Proveedores de servicio que pueden ser entidades estatales que desarrollan trámites y servicios autenticando electrónicamente a los

ciudadanos, o empresas privadas que desarrollan trámites y servicios autenticando electrónicamente a los ciudadanos.


1. El ciudadano se dirige a uno de los puntos de atención de los emisores eID para el enrolamiento de su identidad y emisión del mecanismo.

2. El ciudadano utiliza su mecanismos de autenticación electrónica en todo tipo de trámites electrónicos ofrecidos por el Estado o por particulares

que requieran de autenticación.

3. El proveedor de servicios utiliza un proveedor IdP autorizado por la Junta e ID para verificar la identidad ante un emisor ID y comunica el

resultado de la verificación a través del IdP a la entidad estatal o al particular que requiere la autenticación para el desarrollo del trámite o la

prestación de un servicio. Esta comunicación se hace usando el estándar SAML2.

4. La renovación del mecanismo de autenticación se podrá hacer de manera presencial o electrónica en oficinas o puntos de atención de emisores

eID.


- Quién pone CAPEX: El operador.

- Quién pone OPEX: El Estado.

- Quién paga por el dispositivo: El ciudadano; Quién paga por la autenticación electrónica: Los proveedores de servicio, bien sean entidades

estatales o empresas privadas.


• Seguridad

- El tratamiento de los datos personales de los ciudadanos suecos se regula a partir de la Ley de protección de datos (SFS 1998:204).

- Estrategia de ciberseguridad para la seguridad de la información del gobierno central 2010 – 2015.

• El mecanismo

- Tecnología de comunicación – SAML 2; Dispositivo de almacenamiento del mecanismo - Una tarjeta inteligente denominada eID,

teléfonos móviles, o software que contienen la firma digital del ciudadano.

- Mecanismo de autenticación electrónica – Firma digital PKI bajo el estándar X 509 V3 de la Unión Internacional de

Telecomunicaciones.


Jurídico: Se trata de un modelo que propone el desarrollo de buenas prácticas particulares para UK, y que son aprobadas y certificadas por la Oficina del Gabinete. Su marco legal se encuentra en la Directiva europea 1999/93/EC sobre firmas electrónicas. Ley de Comunicaciones Electrónicas del 2000. Regulación de las Firmas Electrónicas 2002. Directiva de los Servicios 2006/123/EC. Ley de protección de datos de 1998. Estrategia nacional de ciberseguridad progresando y adelante con el plan de 2014.

11


Recursos Clave



Canales



1

Son fundamentales en este modelo: a. Proveedores de identidad Cuatro de las nueve empresas tienen contratos en el marco existente (Digidentity, Experian, oficina de correos y Verizon). b. Entidades gubernamentales que apoyan de manera decidida el sistema. c. Empresas integradoras de tecnología OpenID.

A nivel de ingresos, el modelo sólo contempla ingresos para los operadores de identidad, a partir del cobro al Estado por transacción mediante una tarifa.. Es gratuito para el ciudadano. En ahorros, se estiman importantes reducciones en fraudes de suplantación de identidad.

El CAPEX ha sido completamente proporcionado por el proveedor IdP de identidad. Por otra parte el OPEX es cubierto por el proveedor IdP de identidad a través de las tarifas que se cobran al Estado. La Oficina del Gabinete tiene un presupuesto establecido de £ 150 millones en nombre del Servicio de Gobierno Digital (GDS), para el desarrollo de esta iniciativa. El modelo de UK es totalmente financiado por el Estado. El principal costo está determinado por los contratos con las empresas certificadas que deben cumplir los requerimientos establecidos por la Oficina del Gabinete.

2

3

4 5

6

7

8 9 10

Para los Usuarios finales/Ciudadanos – Disponer de un mecanismos de autenticación útil electrónicamente. Usar de forma segura los servicios digitales provistos por el Reino Unido a través de GOV.UK. Las empresas certificadas, ofrecen diferentes niveles de seguridad: dependiendo del riesgo involucrado. Para las entidades estatales receptoras de autenticación electrónica, se tiene básicamente : (i) amplitud de la oferta de trámites a partir de un modelo de autenticación seguro; y (ii) un modelo de rápida y eficaz cobertura a partir de la definición de operadores certificados. Verify se encuentra en versión beta y se encuentra en una fase de piloto, con 6 servicios.

Los principales clientes son: a. Usuarios Finales. Ciudadanos como base primaria, a través de los servicios y trámites puestos a disposición por Gov.UK b. Receptores de autenticación.

Entidades estatales que autentifican sus trámites y procesos con el uso del Gov.Uk Verify.

Recursos financieros, a través del Presupuesto General. Recursos operativos: operadores privados con una red muy extendida que garantiza rápida apropiación. Personal, con capacitación y alto nivel de acercamiento a la tecnología.

El enrolamiento puede ser físico o virtual, y la verificación de la identidad toma alrededor de 15 minutos. A nivel comercial cada operador tiene medios presenciales y virtuales a través de redes de oficinas de las empresas certificadas. Para Soporte y renovación del mecanismo se cuenta con las Oficinas de correo del Reino Unido. La tecnología dispone de Open ID como canal a través de Internet, y existe amplia apertura.

Usuarios logueados Abril 2013 a Septiembre 2015: 238.000. Cuentas verificadas Abril 2013 a Septiembre 2015 : 290.000 Cuentas básicas Abril 2013 a Septiembre 2015 : 185.000. https://www.gov.uk/performance/govuk-verify

La contratación de operadores está a cargo de la Oficina de Gabinete, bajo unas reglas claramente definidas. A cargo de Proveedores IdP de Identidad: • Enrolamiento inicial del ciudadano. • Registro con una de las empresas

certificadas por GOV.UK . • Entrega del mecanismo de identidad

electrónica. • El usuario puede acceder a su cuenta

para el servicio que desea utilizar. • Una vez que un usuario se ha registrado

con un proveedor de identidad, podrá acceder a todos los servicios digitales que utilizan el GOV.UK.

Marca: Verify GOV.UK La estrategia de apropiación se centra en la inclusión de trámites por parte del Estado en el modelo. El proveedor IdP de identidad realiza algunas comprobaciones antes de verificar la identidad para GOV.UK, como preguntas que sólo pueden ser respondidas por el usuario. También se le pide que introduzca un código que el ciudadano recibe en su teléfono móvil.

Modelos Internacionales CANVAS Reino Unido

Bac

k O

ffic

e

2. Realización de

trámites

Solicitud de mecanismo Operación del trámite

Fro

nt

Off

ice

5. Entrega de

servicio solicitado

3. Confirmación de

identidad de

ciudadano

4. Comunicación de

identidad



Canal Presencial

Ciudadano Oficina del Gabinete Entidades Estatales Proveedores IdP de identidad

1. Enrolamiento

Modelos Internacionales Reino Unido

• Los actores


- La Oficina del Gabinete del Reino Unido que actúa como orquestador.

- Los proveedores IdP de identidad que validan el cumplimiento de las normas de seguridad y de servicios.



1. Los usuarios serán guiados a través de la selección de un proveedor de identidad de una lista de organizaciones contratadas

por la Oficina del Gabinete (que administra el GOV.UK Verify) para prestar el servicio. El usuario se dirige de manera virtual o

presencial y se enrola ante los proveedores IdP de identidad.

2. El ciudadano efectúa el trámite ante una entidad estatal.

3. La entidad estatal valida la identidad del ciudadano ante el proveedor Idp para asegurarse de que están tratando con la

persona quien dice ser. Esto se conoce como dato coincidente.

4. El proveedor Idp envía la confirmación de autenticidad a la correspondiente entidad estatal.

5. Una vez verificado, el ciudadano recibe el servicio o trámite que está solicitando.


- Quién pone CAPEX: El proveedor IdP de identidad.

- Quién pone OPEX: El proveedor IdP de identidad, a través de las tarifas que se cobran al Estado.

- Quién paga por la autenticación electrónica: Los proveedores de servicio, en este caso el mismo Estado.


• Seguridad

- El tratamiento de los datos personales de los ciudadanos de Reino Unido está regulado por la Ley de protección de datos de

1998 y por la Estrategia nacional de ciberseguridad progresando y adelante con el plan de 2014.

• El mecanismo

- Tecnología de comunicación – SAML.

- Mecanismo de autenticación electrónica – Firma electrónica.


Jurídico. Se sigue el modelo de la CNUDMI 2001 en el desarrollo de la Ley Modelo de Firma Electrónica. Ley No. 29222 que modifica el artículo 37 de la Ley Nº 26497 sobre el DNI. Ley Nº 27310 sobre Firmas y Certificados Digitales. Decreto Supremo 052-2008-PCM reglamenta la Ley de Firmas y Certificados Digitales. Ley Nº 26497 Ley Orgánica del Registro Nacional de Identificación y Estado Civil – RENIEC. Ley 29733 Ley de protección de datos personales.

11


Recursos Clave



Canales



1

La operación está a cargo del RENIEC, y cuenta con el apoyo institucional de la Oficina Nacional de Gobierno Electrónico e Informática (ONGEI), el Consejo Nacional de Ciencia, Tecnología e Innovación Tecnológica (CONCYTEC) y el Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual (INDECOPI). El DNI Electrónico (DNIe) tiene 15 mecanismos de seguridad, físicos y lógico. Para producirlo, el RENIEC cuenta con un Centro de Personalización y una Planta de Certificación Digital, teniendo como proveedores a: a. Indenova b. Camerfirma c. Safenet d. Morpho

Ingreso – Tarifa por emisión al ciudadano (tarjeta). El DNI ordinario tiene un precio de S/. 29.00, que ha ido aumentando, pues su valor está atado al de la UIT (es el 0.78% de 1 UIT), siendo que su valor real es de S/. 23.00 (que es lo que se cobra por el duplicado). El DNI electrónico cuesta 40 soles. Ahorros en costos transaccionales asociados a fraudes de suplantación y a la inseguridad en trámites electrónicos del Estado.

El CAPEX ha sido proporcionado por el Estado, con tarifas por parte del ciudadano. Por otra parte el OPEX del servicio se prevé esté a cargo de las entidades estatales que integren el sistema. Los costos de infraestructura y personal son asumidos por la RENIEC a través del presupuesto general. El modelo de atención al ciudadano también es asumido directamente por el Estado.

a. Usuarios finales - Ciudadanos b. Entidades receptoras de autenticación - entidades estatales , donde se podrá utilizar para: • Acreditación de

identidad. • Firma digital. • Verificación biométrica

dactilar. El DNIe contiene la aplicación MOC (Match-On-Card) que ejecuta la comparación, dentro del propio chip, de las plantillas biométricas (minucias).

• Voto electrónico El DNIe podrá ser utilizado para el voto electrónico presencial y, cuando el software esté disponible, también de manera remota .

2

3

4 5

6

7

8 9 10

Para las entidades estatales: el Documento Nacional de Identidad Electrónico (DNIe) acredita de manera presencial y no presencial la identidad de su titular, permite la firma digital de documentos electrónicos y el ejercicio del voto electrónico. Para los usuarios finales – Ciudadanos se mitiga el riesgo de suplantación de identidad. Se espera oferta ampliada de trámites electrónicos. A nivel de producto se trata de un DNI electrónico: Es un documento de identidad emitido por el Registro Nacional de Identificación y Estado Civil - RENIEC que acredita presencial y electrónicamente la identidad personal de su titular, permitiendo la firma digital de documentos electrónicos y el ejercicio del voto electrónico no presencial. El DNI electrónico sirve tanto para autenticar como para firmar.

A través de medios presenciales, telefónicos y por Internet. Cualquier ciudadano que goce de sus capacidades (persona natural), empresa o entidad pública (persona jurídica) puede solicitar uno o varios certificados digitales. En el caso de la persona jurídica, lo puede realizar el representante legal de la misma o el suscriptor del certificado, previa autorización extendida por el representante legal.

Institucional • Dirección estatal y modelo de único

operador.

Tecnología • Además de firmas digitales, cuentan

con firmas electrónicas para el sistema tributario – Clave Sol administrado por el SUNAT.

Económico-Subvencionado por el Estado en lo referente a la firma electrónica.

El DNI se obtiene en las oficinas del Registro Nacional de Identificación Civil (RENIEC) a nivel nacional. El soporte al cliente se realiza de manera electrónica. La tecnología utilizada es Biometría y PKI. Se ha estimado la eventual integración a canales de particulares, pero aún se encuentra en desarrollo.

Número de DNI electrónico emitidos: 6 millones. Número de trámites que incluyen autenticación electrónica: 2. Ver más en: http://portales.reniec.gob.pe/web/estadistica/indicador

Gobierno, que es Operador: • Emisión de tarjeta

electrónica. • Enrolamiento biométrico a

través de RENIEC. • Incorporación de firma

digital. • Integración a diferentes

servicios estatales. • Apropiación en comunidades

que tienen dificultades de aproximación a la tecnología.

• Política pública unificada en torno al modelo de identificación electrónica.

Modelos Internacionales CANVAS Perú

2. 3.

1. Enrolamiento

Fro

nt

Off

ice

B

ac

k O

ffic

e

Solicitud de mecanismo



Canal Presencial

Ciudadano Registro Nacional de Identificación y Estado Civil Entidades Estatales

Operación del trámite

2. Verificación

de identidad

5. Renovación

Mantenimiento y soporte

DNI Electrónico,

con lector de

tarjetas

3. Emisión de la

tarjeta

electrónica

4. Realización de

trámites

Modelos Internacionales Perú

• Los actores


- La Registro Nacional de Identificación y Estado Civil (RENIEC) que actúa en el enrolamiento del ciudadano.



1. El ciudadano se dirige a uno de los puntos de atención de RENIEC para el enrolamiento de su identidad.

2. RENIEC, a través de la verificación de registros públicos establece que el solicitante podrá ser el titular del DNI electrónico.

3. Una vez verificada la identidad, y enrolado su registro biométrico, RENIEC emite una tarjeta electrónica que contiene el chip con

firma digital.

4. El ciudadano titular de la tarjeta podrá utilizar su mecanismos de autenticación electrónica y firma digital en los trámites que se

encuentran disponibles por parte del Estado para utilizar a través del DNI electrónico.

5. La renovación del mecanismo de autenticación se podrá hacer de manera presencial ante el RENIEC.


- Quién pone CAPEX: El ciudadano y el Estado.


- Quién paga por el dispositivo: El ciudadano; Quién paga por la autenticación electrónica: Los proveedores de servicio.


• Seguridad

- El tratamiento de los datos personales de los ciudadanos de Perú está regulado por Ley 29733 Ley de protección de datos

personales.

• El mecanismo

- Dispositivo de almacenamiento del mecanismo - Una tarjeta inteligente denominada eID, la tarjeta contiene un chip que integra la

firma digital del ciudadano.

- Mecanismo de autenticación electrónica – PKI bajo el estándar X 509 V3 de la Unión Internacional de Telecomunicaciones.


Jurídico: Se sigue la ley modelo de firma electrónica de la CNUDMI de 2002. Ley N°19.799 de 2002 Sobre Documentos Electrónicos, firma electrónica y Servicios de Certificación. Decreto N° 181 reglamenta la Ley 19.799 de 2002. Ley N°19.496, Protección a los Derechos del Consumidor. Ley 20285 de 2008 de Acceso a la Información Pública. artículos 9 y 13 de la Ley N° 19.880, que establece las Bases de los Procedimientos Administrativos que rigen los Actos de los Órganos de la Administración del Estado. Ley 19628 de 1999 sobre protección de datos de carácter personal.

11


Recursos Clave



Canales



1

El Ministerio Secretaría General de la Presidencia (MINSEGPRES) de Chile. Para masificar la adopción de Clave Única, se requirió su uso mediante el Instructivo Presidencial para la digitalización de trámites en septiembre de 2012: “Cuando un determinado trámite requiera de algún tipo de autenticación de persona natural, deberá considerarse el uso de la Clave Única ciudadana, que permite validar identidad con el Registro Civil”, existen por lo tanto más de 60 entidades aliadas. Por otra parte, una alianza básica es la de los integradores de tecnología Open ID. Es fundamental la alianza con SRCeI (Servicio de Registro Civil e Identificación).

El CAPEX ha sido completamente proporcionado por el Estado. Por otra parte el OPEX, también es cubierto por el Estado. Asunción de todos los costos por parte del Estado, que se encarga de la infraestructura, integración y mantenimiento del esquema de autenticación. Todos los gastos del modelo son asumidos por recursos estatales. Costos regulatorios, costos del repositorio centralizado.

No existen ingresos asociados al sistema de “ClaveÚnica”. No se ha explorado el uso de la autenticación electrónica por parte de particulares. Existen ahorros importantes en costos transaccionales asociados a la mitigación del riesgo de suplantación de identidad en los entornos electrónicos del Estado.

a. Ciudadanos Personas Naturales.

b. Entidades estatales. Receptores de la autenticación.

Solamente aplica en la relación Estado – Ciudadano, no cubre el sector privado. La activación de la ClaveÚnica se lleva a cabo en dos etapas: Presencial: el titular debe dirigirse a una oficina del SRCeI que cuente con sistema en línea, ya que se utiliza la verificación de identidad que proporciona el sistema de captura de datos de identificación (para cédulas y pasaportes). En línea: una vez confirmados los datos se hará entrega de un comprobante con el correspondiente código de activación.

2

3

4 5

6

7

8 9 10

Para la entidades estatales: de la mano de la campaña de digitalización de trámites públicos ChileSinPapeleo, enmarcada dentro de la iniciativa ChileAtiende, ClaveÚnica busca integrar este sistema de autenticación en la mayor cantidad de trámites posibles. A febrero de 2015, 60 trámites del Estado, han sido habilitados con esta clave. Para el ciudadano: contar con una única credencial de autenticación ante el Estado. El producto: el sistema “ClaveÚnica” funciona a través de una solución tecnológica End-Point-OpenID que consulta la base de datos del SRCeI para verificar si la clave ingresada corresponde a la persona quien dice ser. Por lo tanto, la operación del sistema la provee el Ministerio, mientras que el SRCeI autentica la identidad de las personas.

Se ha trabajado la apropiación a partir de la definición de un modelo donde trámites de diversos sectores se han ofrecido al ciudadano por medios electrónicos. Existe además un marca posicionada: ClaveÚnica, con fuerte presencia y gran desarrollo en medios de comunicación.

Personal • Personas con capacitación.

Tecnología • Sistemas de información • Procedimiento de atención y

respuesta de solicitudes. Institucional • Sistemas de seguimiento de la

política pública. • SRCeI.

Para obtener la contraseña, es necesario realizar tres simples pasos: • Dirigirse al Registro Civil. • Posteriormente, ingresar al link que fue

enviado a su correo electrónico (link “Activar clave única”, en el menú del costado izquierdo.

• Finalmente, se abrirá una ventana en la cual aparecerán sus datos: RUN, nombre completo y correo electrónico. En ésta, el sistema le solicitará ingresar una contraseña.

La atención de incidencias y servicio al cliente se hace a través de medios físicos y presenciales en las oficinas SRCeI.

Número de ciudadanos enrolados en el sistema: 1.049.007 Número de trámites vinculados a autenticación electrónica: 60. Ver más: http://www.observatoriodigital.gob.cl/gobierno-digital-al-dia/clave-unica

Gobierno, que es operador • Sistema de enrolamiento masivo

de los ciudadanos enmarcado en política pública.

• Integración y obligatoriedad para todas las entidades gubernamentales.

• Capacitación y entrenamiento de los ciudadanos a través de una oferta de trámites electrónicos cada vez más amplia.

Modelos Internacionales CANVAS Chile

1.

2.

Entrega de código de

activación

Enrolamiento

Fro

nt

Off

ice

B

ac

k O

ffic

e

3.

Uso de servicios del

Estado

Solicitud de mecanismo Operación del trámite



Canal Presencial

Ciudadano Sistema de Registro Civil e Identificación Entidades Estatales Base de datos centralizada del gobierno

4. Confirmación de identidad de

ciudadano

5.

Realización de

trámites

Modelos Internacionales Chile

• Los actores


- El Sistema de Registro Civil e Identificación (SRCeI) que actúa en el enrolamiento del ciudadano y la entrega del método de autenticación.



1. Enrolamiento del ciudadano ante el SRCeI, donde obtiene su código de activación.

2. El usuario ingresa al sitio web de ClaveUnica y habilita una contraseña (de al menos 6 caracteres).

3. El usuario requiere hacer uso de servicios del Estado.

4. La entidad estatal verifica frente a las bases de datos del SRCel la autenticación del ciudadano. SRCel valida la autenticación del ciudadano.

5. La entidad estatal confirma la identidad y habilita al ciudadano para la realización de trámites.


- Quién pone CAPEX: El Estado.


- Quién paga por la autenticación electrónica: El Estado.


• Seguridad

- El tratamiento de los datos personales de los ciudadanos de Chile está regulado por Ley 19628 de 1999 sobre protección de datos de carácter personal.

• El mecanismo

- Tecnología– OpenID.

- Mecanismo de autenticación electrónica – firma electrónica (usuario y contraseña).


LEGAL

TECNICA

FINANCIERA

ORGANIZACIONAL

SOCIO CULTURAL

Define un marco legal

que incluye orquestador

estatal.

Definición de un modelo

legal que propicia altos

niveles de seguridad.

Adopción de las mejores

prácticas a nivel

regulatorio.

Modelo de firma

electrónica de rápida

apropiación, a partir de

la definición de una

oferta ampliada de

trámites.

Uso de diferentes

mecanismos de

autenticación, es un

modelo incluyente que

sigue CNUDMI 2002.

Estonia Suecia UK Chile Perú

Define el desarrollo de

estándares y entre ellos

el Uso de SAML, y de

firma digital a partir de

PKI.

Uso de firma digital a

partir de un estándar

denominado SOAP

Digidoc como método de

interoperabilidad ha sido

exportado.

Firma electrónica

utilizando SAML.

Firma electrónica

utilizando OpenId, que

permite incluir diferentes

proveedores TI.

DNI electrónico que

incluye biometría y firma

digital, por lo que se trata

de un modelo bastante

seguro.

CAPEX privado.

OPEX subvencionado a

partir de tarifas por el

estatales. OLIGOPOLIO.

El CAPEX ha sido

completamente

proporcionado por el emisor

eID. Por otra parte el OPEX

es cubierto por el Estado.

MONOPOLIO.

CAPEX privado.

OPEX subvencionado a

partir de tarifas por el

estatales.

COMPETENCIA.

CAPEX y OPEX

totalmente estatal.

MONOPOLIO.

CAPEX y OPEX

totalmente estatal.

MONOPOLIO.

Modelo Federado con variedad

de actores y un ente rector – la

Junta del eID.

Existen dos emisores de

identidad (BankId, Telia) y

proveedores de servicios e

IdP.

Definición de un modelo

mixto, auto sostenible.

SK como Alianza Público

Privada.

Definición y dirigismo

estatal. Un ente rector -la

oficina del Gabinete-, los

operadores -5-.

El Ministerio de la

Presidencia es el ente

rector.

El emisor es SRCeI.

INDECOPI es el ente

rector y acreditador.

El emisor es RENIEC.

Cuenta con un uso

mixto, que aprovecha la

bancarización. Por ello

su rápida apropiación al

involucrar al sector

financiero.

Uso mixto y de rápida

apropiación al involucrar

todos los trámites del

Estado.

Extraordinaria cobertura

a través de operadores

en todos los segmentos.

Modelo en desarrollo.

Modelo sólo estatal, pero

con rápido

involucramiento de

entidades estatales. De

muy fácil

implementación.

En desarrollo. El DNI

electrónico se ha venido

implementando en voto

electrónico.

Modelos Internacionales Prácticas relevantes de cada modelo

El modelo de autenticación define diferentes efectos jurídicos y probatorios, dependiendo del nivel de seguridad provisto

por el mecanismo (se sigue en Europa la Directiva Europea de firma electrónica y en América la Ley Modelo de Firma

Electrónica, CNUDMI 2001). Todos los países analizado siguieron los modelos paradigmáticos en la materia pero hicieron

sus respectivas adaptaciones al derecho interno de cada Estado.

Legal

Existen modelos centralizados y modelos distribuidos, en el caso de estos últimos el estándar utilizado es SAML, y el

mecanismo más empleado es firma digital a partir de PKI. En la mayoría de los países (salvo Estonia y UK) coexisten varios

métodos de autenticación. Los mecanismos de autenticación utilizados son seleccionados partir del riesgo operacional.

Técnico

En Chile y Perú, el CAPEX ha sido proporcionado por el Estado pero en éste último el ciudadano contribuye por medio de

tarifas, mientras que en Reino Unido y Suecia quien lo cubre es el operador. En tanto Estonia, el CAPEX lo cubre el

operador con contribución del ciudadano. Por otra parte, en el modelo del Reino Unido y Suecia, el OPEX es cubierto por el

operador, a través de las tarifas que se cobran o al propio Estado, por transacción. El OPEX en Chile, Perú y Estonia es

cubierto por el Estado.

Financiero

En Suecia y Reino Unido existen múltiples operadores privados de identidad, por otro parte, Chile y Perú tienen un único

operador del estado, finalmente Estonia tiene un único operador, en asociación público-privada. En la mayoría de los casos

la política pública del Estado define un ente gubernamental que acredita, habilita o fija reglas a los operadores.

Organizaci

onal

Los modelos, salvo el caso de Perú (que se encuentra en despliegue), tienen una rápida apropiación en función de trámites

en línea que ofertan las entidades del Estado. Existe una definición de publicidad y divulgación de gran envergadura y se

trata de modelos incluyentes de todos los sectores sociales. Se ha trabajado en todos los modelos en la educación o

capacitación de importantes segmentos de la población (Destaca el caso de Estonia).

Socio-

Cultual

Modelos Internacionales Conclusiones Perspectivas

PROMESA DE

VALOR

SEGMENTO

CANALES

RELACIONES

CLIENTE

• Para el Estado, eliminar

el fraude de

suplantación de

identidad y mejorar la

seguridad en sus

servicios electrónicos.

• Para el usuario,

disponer de un

mecanismo que le dé

acceso a múltiples

trámites.

• Para el Estado, mitigar

completamente el riesgo

de suplantación de

identidad.

• Para el usuario, operar

tanto en la autenticación

como en la firma

electrónica de trámites y

documentos.

• Para el Estado, amplitud

de la oferta de tramites

a partir de un modelo de

autenticación seguro.

• Para el usuario,

constituye la forma de

acceder de manera

segura a los servicios

digitales del Estado.

• Para el Estado, ampliar

la oferta de trámites en

línea a partir de un

modelo provisto y

pagado por el Estado.

• Para el usuario, contar

con una única

credencial de

autenticación frente al

Estado.

• Para el Estado, contar

con una única forma de

autenticar al ciudadano.

• Para el usuario, mitigar

el riesgo de

suplantación de

identidad.


Ciudadanos, empresas

publicas y privadas.

Ciudadanos, empresas

publicas y privadas.

Sólo empresas publicas y

ciudadanos.


ciudadanos.


ciudadanos.

Electrónicos,

Presenciales, Móviles.

Electrónicos,


Electrónicos,


Presenciales y

electrónicos.

Presenciales y

electrónicos.

Marca: BankID, Telia.

Apropiación a partir de la

bancarización y del uso de

industria Telco.

Marca: eID.


amplia oferta estatal en

medio electrónico.

Marca: GOV.UK. Verify


difusión e impacto

mediático.

Marca: Clave Única

Apropiación estatal a

partir del liderazgo del

Ministerio de la

Presidencia. .

Marca: DNI Electrónico

Apropiación a partir del

uso combinado d

biometría y PKI.

Modelos Internacionales Resumen CANVAS

ALIADOS

CLAVES

Sectores: Financiero,

público, correos,

transporte, salud.

Sectores: financiero,

público, industria,

educación, transporte,

Integradores de

tecnología.

Sectores: Público,

operadores certificados. Sector: Público.

Sectores: financiero,

público, industria,

educación, transporte,

Integradores de

tecnología.


RECURSOS

CLAVES

ESTRUCTURA

DE COSTOS

INGRESOS

Modelo subvencionado

por el Estado para

entidades públicas.

Estado asume

parcialmente los costos.

Asociación Público

Privada.

La Asociación asume los

costos y existe tarifa para

receptores de

autenticación.

El Estado contrata

diversos operadores.

El privado asume los

costos de operación a

través de las tarifas que

se cobran al Estado.

Financiado

completamente por el

Estado.

Costo de emisión de DNI

asumido por el ciudadano

y OPEX a cargo del

Estado.

Los proveedores de

servicios deben pagar

según el número de

transacciones por mes.

Los emisores eID reciben

una tarifa al mes por cada

usuario que use el

sistema.

El modelo sólo contempla

ingresos para los

operadores de identidad,

a partir del cobro al

Estado por transacción

mediante una tarifa.

No existe ingreso, ya que

el Estado lo opera y hace

uso del mismo.

Por determinar. El modelo

se encuentra en fase de

despliegue.

Capital Humano,

multioperador, tecnología

SAML 2.0.

Capital Humano, Mono

operación, presencia

institucional, hardware

masificado, lectores de

tarjeta, tecnología

Safelayer.

Capital Humano, dirección

estatal, subvención

estatal, red de operadores

privados.

Capital Humano, modelo

Open ID, sistemas de

seguimiento, sistemas de

información.

Capital Humano ,mono

operación, dirección

estatal, match On Card –

MOC, elementos

biométricos.

ACTIVIDADES

CLAVES

Enrolamiento ante

operadores, verificación

de la identidad iDP,

emisión por parte de

operadores, uso

diferencial en el sector

público y privado.

El enrolamiento del

ciudadano ante la policía

nacional, emisión de la

tarjeta electrónica por

parte del operador,

integración con lectores

de tarjeta electrónica,

masificación en el uso.

Enrolamiento del

ciudadano, registro ante

una de las entidades

certificadas por Gov.UK,

entrega del mecanismo,

uso en diferentes trámites.

Enrolamiento, adopción

Modelo Open ID,

integración de las

entidades estatales,

inclusión digital a través

de un programa de

gobierno electrónico

agresivo.

Enrolamiento biométrico,

emisión tarjeta física,

incorporación firma digital,

apropiación comunidad.

Modelos Internacionales Resumen CANVAS

Los elementos mas valorados por los usuarios, son; autenticidad de quien realiza las transacciones,

ahorros en transporte y tiempo, impacto ambiental positivo, transacciones electrónicas seguras, fácil

interacción con mecanismos de autenticación (dependiendo de niveles de seguridad y de la transacción a

realizar).

Promesa

de valor

Los principales segmentos atendido son: ciudadanos, entidades estatales, empresas privadas. Segmento

Clientes

La forma en que normalmente se interactúa y existe una retroalimentación con los distintos segmentos

objetivos, es a través de medios presenciales, en línea vía internet y medio telefónico. La marca genera

confianza en los usuarios.

Relación

Clientes

Los principales canales por los cuales se atiende el publico objetivo o segmentos del modelo, son; a través

de red de oficinas, empresas de correo, vía telefónica, páginas web, aplicaciones móviles. Canales

Entre los principales recursos requeridos se destacan entre otros: físicos (edificios, sistemas, redes,

hardware, software), intelectuales (marca , propiedad intelectual, bases de datos), humanos (equipo de

trabajo capacitado), financieros (garantías, grandes inversiones de capital CAPEX ,OPEX), marcos

jurídicos y lineamientos.

Recursos

Claves

Modelos Internacionales Conclusiones CANVAS

En suma, las principales actividades claves en los modelos de autenticación son: definición y supervisión

de un marco legal, procesos de producción y distribución de equipos o dispositivos (tarjetas, lectores,

token, etc.), proceso de enrolamiento, administración base de datos, proceso de apropiación y uso.

Actividad

Clave

Se observa que los principales modelos analizados apalancan esfuerzos, principalmente con entidades del

sector de las telecomunicaciones, bancario, transporte, operadores de correo físico, operadores de pago

electrónico, de seguridad informática (proveedores de tecnología) y entidades estatales con competencia

legal y operacional de TIC.

Alianzas

Claves

Los costos más representativos que asumen los modelos de autenticación, son: infraestructura, hardware,

software, mantenimiento, nomina, producción y distribución de equipos, contratos empresas certificadoras. Estructura

de costos

Los ingresos del modelo varían teniendo en cuenta su taxonomía y estructura, sin embargo las principales

fuentes de ingresos son; cobros por transacción, presupuesto del gobierno y capital privado (APP’s). Ingresos

Los modelos internacionales siguen principalmente, la ley modelo de firma electrónica de CNUDMI de

2002, la directiva Europea de firma electrónica y la normatividad producida internamente por cada país

en esta materia.

Jurídico

Modelos Internacionales Conclusiones CANVAS

2 Análisis Nacional

Jurídico: Ley 527 de 1999, Decreto 2364 sobre firma electrónica, Decreto 333 sobre Constitución y Funcionamiento de las Entidades de Certificación Digital, y todo el marco normativo del Procedimiento Administrativo Electrónico, que exige autenticidad, integridad y disponibilidad en las actuaciones administrativas electrónicas (Ley 962 y Ley 1437). Ley 1581 de 2012 sobre protección de datos personales.

11


Recursos Clave



Canales



1

El MinTIC como articulador de Política. Entidades de certificación digital definidas en la Ley 527 de 1999. ONAC como organismo acreditador de entidades de certificación. Superintendencia de Industria y Comercio para la vigilancia y control. DIAN como emisor de mecanismos de autenticación para sus usuarios. RNEC como dueño de la identidad de los colombianos.

Asunción de los costos por el Estado y particulares de conformidad con sus propias necesidades, que se centran en la infraestructura, integración y mantenimiento del esquema de autenticación. CAPEX Y OPEX: público y privado. Costos regulatorios, costos de la infraestructura de servicio al cliente, costos de operación y administrativos.

Ingresos: I. Tarifas por los mecanismo. II. Tarifas por servicios conexos ofrecidos.

Ahorros: i. Eliminación de fraudes y reducción de costos transaccionales asociados. ii. Mejora capacidad tecnológica en las incidencias de seguridad de la

información.

a. Usuarios finales: 1. Ciudadanos. 2. Empresas.

b. Receptores de autenticación electrónica: 1. Entidades Pública, especial referencia a: a. Sector tributario. b. Sector Salud y

previsional. c. Sector Justicia. 2. Empresas Privadas, especial referencia a: a. Sector Financiero. b. Sector Telco. c. Sector Transporte.

2

3

4 5

6

7

8 9 10

Para la entidades o empresas receptoras de autenticación: ofrecer mecanismos de autenticación como un atributo de seguridad muy importante en el desarrollo de trámites, actuaciones y documentos electrónicos. Para los usuarios finales se amplia la oferta de trámites y servicios electrónicos, mitigando la suplantación de identidad a través de diferentes métodos de autenticación, como: a. Métodos simples. b. Métodos robustos. c. Firmas electrónicas. d. Firmas digitales.

Dependiendo del nivel de riesgo de la operación se utilizará un modelo u otro.

Hay marcas fuertes en el mercado: - En firmas digitales- Certicámara, o

GSE. - En Tokens OTP – RSA, Gemalto,

VASCO.

La apropiación se ha dado a través de la verificación de atributos de seguridad, definición de normas que imponen el uso, y definición de ahorros en costos operativos.

Para la atención de incidencias y servicio al cliente: • Canal Presencial.

• Canal telefónico.

• Canal Internet.

Tecnología disponible: Biometría, PKI, Open ID, y toda la variedad disponible en el mercado.

Número de firmas digitales colocadas en el mercado, por entidades abiertas: 82.000. Número de firmas digitales emitidas por la DIAN para contribuyentes: 750.000. Ciudadanos que hacen trámites con el Estado por medios electrónicos 38%. Empresas que hacen trámites con el Estado por medios electrónicos 45%.

Hay libertad de configuración de operadores, salvo el caso de las entidades de certificación digital en la emisión de firmas digitales. En general se aplican: • Enrolamiento ante operadores. • Verificación de identidad ante

fuentes oficiales y privadas de información.

• Uso diferencial en sector público y privado.

• Modelo progresivo que ha venido cambiando en función de riesgos.

• Apertura de la biometría dactilar desde la RNEC a públicos y sector financiero.

Económico: Costos de infraestructura. Personal: Calificación y conocimiento sobre la materia por experiencia de más de 16 años en la materia. Infraestructura: repositorios distribuidos en el manejo de la identidad.; bases de datos de verificación como fuentes externas.

Análisis Nacional Situación encontrada

SECTOR ENTIDAD

PÚBLICO

Alcaldía de Bogotá

DPS

SALUD Nueva EPS

BANCARIO Banco de la República

FINANCIERO Superintendencia Economía Solidaria

ACADÉMICO SENA

ORGANISMO DE IDENTIFICACIÓN Registraduría Nacional

IMPUESTOS DIAN

Análisis Nacional Alcance

Ley 527 de 1999

• Mecanismos simples de

autenticación – Art. 17.

• Firmas electrónicas – Carga

Probatoria sobre autenticidad e

integridad – Art 7.

• Firmas digitales – Presunción de

autenticidad e integridad Art. 28.

• Nota: es necesario distinguir la

autenticidad del mensaje de datos,

como determinación del origen de

una información electrónica; de la

autenticidad de los documentos -

incluso electrónicos – a nivel

probatorio.

Decreto 2364 de 2012

• Las firmas electrónicas siempre

deben garantizar autenticidad e

integridad. La definición sobre el

uso de una firma electrónica o de

una firma digital dependerá

directamente de un análisis de

riesgos y de usabilidad.

Código General del Proceso

• Define la autenticidad del mensaje

de datos como documento

electrónico, pero debe distinguirse

de la determinación del Origen del

Mensaje de datos.

Análisis Nacional Marco Jurídico

Se dispone de un marco jurídico amplio y concreto, que reconoce tanto mecanismos simples como robustos, así

como también las firmas electrónicas y digitales, siguiendo así los estándares y modelos internacionales. El

paradigma es la Ley 527 y sus Decretos Reglamentarios 2364 de 2012, y 333 de 2014.

Legal

Existe variedad de posibilidades, los atributos de seguridad y técnica que se hacen presentes normalmente son

autenticidad e integridad.

Se manejan mecanismos tales como: usuario y contraseña, certificados digitales, tokens, preguntas reto.

Técnico

Esquemas financiados por el Estado fundamentalmente. En lo referente a mecanismos robustos existe fuerte

presencia del sector financiero por solicitudes reglamentarias; y en el caso de firma digital es exigida por algunas

entidades estatales en sus comunicaciones electrónicas, y existe un financiamiento hibrido entre particulares y

Estado.

Financiero

Libertad de configuración en la prestación de servicios de autenticación simples y de firmas electrónicas, con

presencia de muchos proveedores dentro del mercado; en el caso de las firmas electrónicas certificadas y firmas

digitales, existe un marco institucional a partir de las entidades de certificación digital y el papel muy reciente del

acreditador de sus servicios, esto es ONAC. Allí hay debilidad por falta de conocimiento y ausencia de estándares.

Organizacional

La autenticación electrónica cada vez más hace parte de la vida cotidiana del ciudadano. Existe apropiación sobre

todo de mecanismos simples. Sin embargo no existe adecuada concientización sobre la seguridad de este tipo de

mecanismos. Algunos mecanismos robustos son calificados por los ciudadanos como “difíciles” de utilizar.

Socio-Cultual

Análisis Nacional Conclusiones

Elaborado por:

Documents

Resumen ejecutivo situación actual Autenticación Electrónica · •Los actores - El ciudadano que obtiene su identidad electrónica. - La Policía de Estonia y/o Junta de Guardia