estrategia.gobiernoenlinea.gov.coestrategia.gobiernoenlinea.gov.co/623/articles-9406... · web...

AUTENTICACIÓN ELECTRÓNICA

CONTRATO DE CONSULTORÍA NO. 0000535 DE 2015

CONCEPTUALIZACIÓN Y DISEÑO DEL MODELO Y LA ESTRATEGIA DE IMPLEMENTACIÓN DE LOS PROYECTOS DE “CARPETA CIUDADANA” Y

“AUTENTICACIÓN ELECTRÓNICA” DEL PLAN VIVE DIGITAL 2014 – 2018

SERVICIO DE CONSULTORÍA

DIRECCIÓN DE GOBIERNO EN LÍNEA

@República de Colombia – Derechos Reservados

Bogotá D.C. - septiembre de 2015

SITUACIÓN ACTUAL AUTENTICACIÓN ELECTRÓNICA

FORMATO PRELIMINAR AL DOCUMENTO

Título: DOCUMENTO DE SITUACIÓN ACTUAL

Fecha elaboración aaaa-mm-dd:

2015-08-10

Sumario:Documento con la definición de la situación actual, resultado de la investigación

nacional e internacional, para el proyecto estratégico de Autenticación

Electrónica.

Palabras claves: Situación Actual, Autenticación Electrónica, Modelos, Perspectivas.

Formato: DOC Lenguaje: Español

Dependencia: Ministerio de Tecnologías de la Información y las Comunicaciones.

Código: GEL-AE-SA-01 Versión: 3.0 Estado: Generado

Categoría:

Autor (es): UT everis – Servinformación FONTIC

Firmas:Revisó: Diego Rocha - Equipo GEL

Aprobó: Enrique Cusba

Información Adicional:

No disponible.


Ubicación:MinTIC\2. Autenticacion Electronica\3. Entregables\01_Situacion Actual\1.

INFORME.

CONTROL DE CAMBIOS

VERSIÓN FECHA RESPONSABLE DESCRIPCIÓN

1.0 2015-08-10UT everis – Servinformación

FONTICCreación del documento.


FONTIC

Ajustes al contenido del documento

y QA


FONTICAjustes a comentarios MinTIC


TABLA DE CONTENIDO

1. INTRODUCCIÓN 12

2. RESUMEN EJECUTIVO 15

2.1 ANÁLISIS INTERNACIONAL 15

2.2 ANÁLISIS NACIONAL 21

3. ANÁLISIS DE LA INFORMACIÓN RECOLECTADA 23

3.1 METODOLOGÍA 23

4. DESCRIPCIÓN DE CASOS INTERNACIONALES 24

4.1 SUECIA 25

4.1.1 DESCRIPCIÓN DEL PROYECTO 27

4.1.2 ESTRATEGIA DE GOBIERNO ELECTRÓNICO 28

4.1.3 EL MODELO 29

4.1.4 DESCRIPCIÓN DEL MODELO 31

4.1.5 PERSPECTIVAS 34

4.2 ESTONIA 50



4.2.3 EL MODELO 59



4.3 REINO UNIDO 75




4.3.3 EL MODELO 81



4.4 PERÚ 99



4.4.3 EL MODELO 107



4.5 CHILE 122



4.5.3 EL MODELO 127



5. ANÁLISIS DE CASOS NACIONALES 144

5.1 COLOMBIA 144


5.1.2 EL MODELO 147




6. ANALISIS COMPARATIVO 163

7. CONCLUSIONES Y RECOMENDACIONES POR PERSPECTIVA 167

7.1 PERSPECTIVA POLÍTICO-LEGAL 167

7.2 PERSPECTIVA TECNOLÓGICA 168

7.3 PERSPECTIVA FINANCIERA 170

7.4 PERSPECTIVA ORGANIZACIONAL 170

7.5 PERSPECTIVA SOCIOCULTURAL 171

8. ANEXOS 173


LISTA DE ilustraciones

Ilustración 1. Modelos internacionales analizados..............................................................18

Ilustración 2. Matriz selección países.................................................................................19

Ilustración 3. Bandera Suecia.............................................................................................25

Ilustración 4. Canvas Suecia...............................................................................................31

Ilustración 5. Modelo Suecia...............................................................................................33

Ilustración 6. Número total de usuarios de eID en Suecia (BankID, Nordea, Telia y Steria)

............................................................................................................................................35

Ilustración 7. Distribución por edad de las personas que tienen un BankID a septiembre de

2015....................................................................................................................................46

Ilustración 8. Excluidas las transacciones bancarias por Internet de los 12 bancos..........47

Ilustración 9. Volumen de transacciones en el tiempo. (Las cifras exactas están

clasificadas)........................................................................................................................47

Ilustración 10. Tipo de transacción.....................................................................................48

Ilustración 11. Bandera Estonia..........................................................................................50

Ilustración 12. eID Estonia..................................................................................................55

Ilustración 13. Servicios digitales “e-residency” Estonia.....................................................56

Ilustración 14. Canvas Estonia............................................................................................60

Ilustración 15. Modelo Estonia............................................................................................63


Ilustración 16. Bandera Reino Unido..................................................................................75

Ilustración 17. Canvas Reino Unido....................................................................................82

Ilustración 18. Modelo Reino Unido....................................................................................88

Ilustración 19. Bandera de Perú..........................................................................................99

Ilustración 20. Portal ciudadano RENIEC Perú................................................................102

Ilustración 21. Autenticación portal ciudadano RENIEC Perú..........................................102

Ilustración 22. Ruta de navegación portal ciudadano RENIEC Perú................................103

Ilustración 23. Canvas Perú..............................................................................................108

Ilustración 24. Modelo Perú..............................................................................................111

Ilustración 25. Bandera de Chile.......................................................................................122

Ilustración 26. Trámites DGMN.........................................................................................125

Ilustración 27. Autenticación Clave Única.........................................................................126

Ilustración 28. Canvas Chile.............................................................................................128

Ilustración 29. Modelo Chile..............................................................................................130

Ilustración 30. Infografía sociocultural Chile.....................................................................140

Ilustración 31. Avances en Clave Única............................................................................141

Ilustración 32. Clave Única...............................................................................................142

Ilustración 33. Instituciones y números de trámites asociados a Clave Única.................142

Ilustración 34. Bandera Colombia.....................................................................................144


Ilustración 35. Canvas Nacional........................................................................................149

Ilustración 36. Análisis Canvas.........................................................................................164


LISTA DE TABLAS

Tabla 1. Indicadores de desarrollo Suecia..........................................................................25

Tabla 2. Economía y crecimiento Suecia............................................................................26

Tabla 3. Ciencia, tecnología y comunicaciones Suecia......................................................27

Tabla 4. Indicadores de desarrollo Estonia.........................................................................50

Tabla 5. Indicadores de economía y crecimiento Estonia..................................................51

Tabla 6. Ciencia, tecnología y comunicaciones Estonia.....................................................52

Tabla 7. Indicadores de desarrollo UK................................................................................75

Tabla 8. Economía y crecimiento UK..................................................................................76

Tabla 9. Ciencia, tecnología y comunicaciones..................................................................77

Tabla 10. Lista actualizada de los servicios UK..................................................................86

Tabla 11. Lista de servicios que tengan previsto utilizar....................................................87

Tabla 12. Principios en que se enmarca privacidad y seguridad de datos personales en

Reino Unido........................................................................................................................94

Tabla 13. Indicadores de desarrollo Perú...........................................................................99

Tabla 14. Economía y crecimiento Perú...........................................................................100

Tabla 15. Ciencia, tecnología y comunicaciones Perú.....................................................100

Tabla 16. Indicadores de desarrollo Chile........................................................................122

Tabla 17. Economía y crecimiento Chile...........................................................................123


Tabla 18. Ciencia, tecnología y comunicaciones Chile.....................................................123

Tabla 19. Marco legal Chile..............................................................................................133

Tabla 20. Indicadores de desarrollo Colombia.................................................................144

Tabla 21. Economía y crecimiento Colombia...................................................................145

Tabla 22. Ciencia, tecnología y comunicaciones Colombia..............................................145

Tabla 23. Visitas y reuniones realizadas..........................................................................162

Tabla 24. Análisis comparativo.........................................................................................166

Tabla 25. Lista de anexos.................................................................................................178


1. INTRODUCCIÓN

l Ministerio de Tecnologías de la Información y las Comunicaciones - MinTIC desarrolla

políticas y planes enfocados hacia las Tecnologías de la Información y las

Comunicaciones, que constituyen un componente vital para el crecimiento y desarrollo del

sector, con el fin de brindar acceso a toda la población, en el marco de la expansión y

diversificación de las TIC.

El despacho de la Viceministra de Tecnologías y Sistemas de la Información y a su cargo

la Dirección de Gobierno en Línea; desarrolla lineamientos en materia de Gobierno en

Línea necesarios para definir las políticas, estrategias y prácticas; que soporten la gestión

del Estado en beneficio de la prestación efectiva de sus servicios a través del

aprovechamiento de las TIC.

Adicional es importante mencionar que en el Artículo 45 del Plan Nacional de Desarrollo

(Ley 1753 de 2015), invita al MinTIC a que defina los estándares, modelos y lineamientos

de Tecnologías de la Información y las Comunicaciones para los servicios al ciudadano,

buscando contribuir a la mejora de los trámites y servicios que el Estado ofrece.

La Dirección de Gobierno en Línea, líder de la Estrategia GEL (Gobierno en Línea) en

Colombia, materializa sus lineamientos definidos en el Manual Estrategia de Gobierno en

Línea conforme a lo dispuesto en el Decreto Único Reglamentario del Sector de

Tecnologías de la Información y las Comunicaciones 1078 de 2015, el cual comprende

cuatro grandes propósitos: lograr que los ciudadanos cuenten con servicios en línea de

muy alta calidad, impulsar el empoderamiento y la colaboración de los ciudadanos con el

Gobierno, encontrar diferentes formas para que la gestión en las entidades públicas sea

óptima gracias al uso estratégico de la tecnología y garantizar la seguridad y la privacidad

de la información.

Como consecuencia de sus competencias regladas y debido a la necesidad de orientar el

desarrollo de una administración pública electrónica a la gestión de las necesidades y

requerimientos de los ciudadanos, se ha considerado necesario desde el Ministerio la

12

E


definición de un modelo técnico, jurídico, económico y operacional en la Carpeta

Ciudadana Electrónica, así como en la Autenticación Electrónica1, temas que son de gran

relevancia para la inclusión digital de los colombianos, toda vez que permiten el desarrollo

de procedimientos administrativos, por medios electrónicos en condiciones de igualdad,

que permitan la gestión de la información electrónica, y la mitigación de riesgos como la

alteración de dicha información y la suplantación de la identidad.

Según la Estrategia de Gobierno en Línea de Colombia, el Estado ha reconocido que al

igual como ocurre en el mundo físico o como se venía haciendo de manera tradicional, en

el mundo digital las personas naturales o jurídicas requieren validar su identidad para

adelantar trámites u obtener servicios del Estado, lo cual lleva a implementar un modelo

de autenticación electrónica que garantice la identidad de las personas, cuando éstas se

autentiquen frente a los diferentes sistemas de información y/o plataformas electrónicas

que el Estado disponga, y que le permitan interactuar con los ciudadanos o usuarios de

estos servicios.

Es allí donde el Ministerio de Tecnologías de la Información y las Comunicaciones -

MinTIC decide realizar un concurso de méritos, el cual, después de su debido proceso, le

es adjudicado a la UT everis – Servinformación FONTIC, con el objeto de prestar el

servicio de consultoría para realizar la conceptualización y diseño del modelo y la

estrategia de implementación de los proyectos de Carpeta Ciudadana y Autenticación

Electrónica.

Dentro del marco de dicha consultoría, se desarrolla el presente entregable, cuyo objetivo

es mostrar desde las perspectivas jurídica, financiera, tecnológica, organizacional y socio

cultural; la situación en la que se encuentran modelos de autenticación que pueden ser

relevantes para el caso colombiano, bien sea por su semejanza cultural, o por la

innovación que incorporan a sus proyectos de inclusión digital del ciudadano. También se

tendrá la oportunidad de analizar el caso colombiano a partir de algunas experiencias en

1 Es el mecanismo por medio del cual las personas se pueden identificar para acceder de forma segura a los

trámites y servicios electrónicos que el Estado ofrezca.

13


entidades seleccionadas y que ya cuentan con diferentes métodos de autenticación

electrónica.

Para esos efectos, en primer término se hará el análisis internacional, revisando los

modelos de Suecia, Estonia, Reino Unido, Perú y Chile; para después centrar el análisis

en el caso colombiano dentro de las perspectivas arriba propuestas, pasando por un

breve análisis comparativo, y llegando finalmente a unas conclusiones por cada

perspectiva.

14


2. RESUMEN EJECUTIVO

El presente informe consigna el análisis y definición de la situación actual sobre sistemas

de autenticación electrónica existentes en cinco países, a nivel sudamericano (2) y

europeo (3). El resultado final del presente documento es presentar, de una forma

estructurada, el análisis realizado y en especial los elementos que se evidencian

pertinentes que permitan considerar el desarrollo de modelos de sistemas de

autenticación electrónica aplicables en Colombia. Así mismo, se consigna el análisis de

casos similares a nivel local relacionados con esta materia.

De esta manera, a continuación se presentan los elementos más relevantes encontrados

en el contexto internacional, y posteriormente los elementos correspondientes a los casos

locales analizados.

2.1 ANÁLISIS INTERNACIONAL

Realizado el análisis de los siguientes países: Suecia, Estonia, Reino Unido, Perú y Chile;

se encuentra que en general en todos éstos existe un marco jurídico establecido, así

como unas definiciones técnicas adecuadas a los objetivos planteados en materia de

autenticación electrónica. A continuación se señalan los criterios de análisis elegidos para

el presente estudio, desde el punto de vista técnico, organizacional, financiero y

sociocultural.

En cuanto a la robustez o complejidad de los modelos de autenticación electrónica

analizados en cada uno de los países, se encuentra que los más confiables y seguros

apuntan a ser los de Suecia, Estonia y Perú; los cuales aplican mecanismos de

identificación avanzados (cuentan con más de un factor de seguridad), mientras que en el

caso chileno, si bien el modelo planteado facilita su uso y masificación por utilizar un

estándar de identificación digital descentralizado conocido como Open ID, es de una

usabilidad moderada en términos de riesgos de seguridad, a parte, la participación de las

15


empresas privadas para la prestación de este servicio es limitada por el Estado. Por

último, el modelo del Reino Unido considera un esquema distribuido con diversos grados

de seguridad, dependiendo de su aplicación.

En materia organizacional, existen modelos centralizados y operados directamente por el

Estado, que apuntan a un sistema de autenticación cerrado al contexto de trámites con

entidades estatales (v.g. Chile y Perú). En el caso de Estonia, se mantiene el modelo

centralizado mixto con operadores públicos y privados, como modelos más abiertos o

distribuidos que apuntan a la generación de ecosistemas de autenticación, que

trascienden todos los ámbitos del ciudadano, frente a la relación que éstos puedan tener

con el Estado de manera electrónica, lo cual a su vez asegura un mayor flujo de recursos

para la sostenibilidad del sistema como es el caso del Reino Unido. Por último, Suecia

desarrolla un modelo distribuido frente a la intervención de los operadores, y a su vez

ofrece un esquema mixto en donde el sistema de autenticación es usado tanto por el

sector privado, como por el sector público.

En materia financiera, los modelos consideran tanto la financiación directa y completa por

parte del Estado (Reino Unido, Chile), como el desarrollo de sistemas híbridos donde se

financia parcialmente por parte del ciudadano (Estonia y Perú) y por parte de las

entidades que requieren autenticar al mismo, y en algunos casos con aportes o

subvenciones directas (presupuesto para el desarrollo) o indirectas (pago por trámite o

transacción realizada en entidades públicas) por parte del Estado (Suecia).

En cuanto a los aspectos socioculturales, existen países desarrollados con altas tasas de

alfabetismo digital y de penetración de servicios de acceso a Internet fijo y móvil, los

cuales presentan los modelos más desarrollados y de mayor impacto social como lo son:

Suecia y Estonia. Por su parte, en el caso de países en desarrollo (Perú), si bien las tasas

de alfabetismo digital y penetración de servicios pueden ser más bajas que los dos

anteriores, el desarrollo de sistemas con dispositivos de seguridad avanzada disponibles,

permiten que el ciudadano se identifique de manera segura, incluso frente a trámites

presenciales donde el sistema es utilizado por parte de las entidades que reciben el

16


trámite, como lo es el desarrollo actual del DNI electrónico en este país, conforme a lo

contenido en el Documento Nacional de Identidad Electrónico - DNIE2.

En general puede establecerse que en estos países todos los sistemas tienden a ser

opcionales para el ciudadano como canal alterno para autenticarse por medios

electrónicos, existiendo siempre la opción de trámites presenciales tradicionales, pero con

estrategias ya definidas de masificación y facilitación de mecanismos técnicos y jurídicos,

que le permitan al ciudadano el uso de estos medios en mayor medida en el mediano y

largo plazo.

El análisis realizado puede consolidarse en unos ejes respecto a los cuales se mueve la

conceptualización de un modelo específico de autenticación electrónica, y que podemos

extractar así:

Uso: existen modelos aplicables sólo al ámbito público (Reino Unido, Perú, Chile) y

otros que se extienden hacia lo privado (Suecia, Estonia).

Nivel de seguridad: existen sistemas simples (Chile) y otros que cuentan con

mecanismos muy robustos (Estonia, Perú) o la posibilidad de diversos

mecanismos según nivel de seguridad requerido para cada trámite en concreto

(Reino Unido, Suecia).

Centralización: existen sistemas centralizados totalmente estatales (Chile, Perú),

sistemas centralizados con la intervención de operadores privados (Estonia),

sistemas semidistribuidos con una base de datos de autenticación centralizada

(Suecia) y sistemas totalmente distribuidos (Reino Unido).

Financiación: existen sistemas totalmente financiados por el Estado (Chile, Reino

Unido), financiados parcialmente por el Estado y el ciudadano (Perú), financiados

por el Estado y usuarios privados (Suecia) y sistemas autosostenibles,

financiados por ciudadanos y entidades usuarias (Estonia).

2 Perú. Anexo 4. Documento Nacional de Identidad Electrónico – DNIE.

17


Considerando lo anterior, es importante destacar que las variables más críticas para

clasificar los modelos se refieren entonces al ámbito de uso y a la mayor o menor

centralización del modelo así:

Ilustración 1. Modelos internacionales analizados

Fuente. Elaboración propia

Se encuentra que salvo en el caso de Reino Unido, los modelos analizados tienden a

centralizarse total o parcialmente en un proveedor único de autenticación electrónica con

una base de datos centralizada, sea éste directamente una entidad estatal o un agente

privado bajo el modelo de concesión con el Estado. En el acaso sueco si bien existen 2

operadores, el mercado se concentra significativamente en uno de ellos.

18


Por otro lado, la sostenibilidad del sistema en el largo plazo y su independencia de la

aplicación continua de subvenciones o subsidios estatales, depende de la posibilidad de

generar un ecosistema con una economía de escala suficiente, lo cual implica la

agregación de operadores del servicio de autenticación electrónica tanto estatales como

privados, y posiblemente la subvención a los usuarios, aun cuando sea parcial, del

mecanismo de autenticación que se escoja. Lo anterior implica garantizar la

interoperabilidad entre diversas plataformas con un sistema de autenticación centralizado,

seguro y confiable.

Los sistemas más robustos y seguros incorporan la provisión al ciudadano de elementos

de identificación físicos, y en todo caso es posible generar siempre diversos sistemas de

seguridad según el tipo de transacción o de uso que se requiera.

Ilustración 2. Matriz selección países


19


A continuación se exponen las justificaciones de relevancia e impacto de los modelos

internacionales para Colombia.

1. La ubicación del Reino Unido a nivel legal, con su modelo de buenas prácticas y

normas de autenticación más flexibles, tiene una orientación similar a la descrita en el

Decreto 2364 de 2012, que le da prevalencia a la denominada firma electrónica; a nivel

de apropiación tiene una estrategia que podría ser imitada en el ofrecimiento de trámites

que utilizan el mecanismo de autenticación provisto por el Estado; en cuanto a lo

demográfico, es similar al caso colombiano. Se trata de un país que tiene una

configuración administrativa (institucional) similar a la colombiana, pese a las diferencias

en su sistema político. Su modelo no se concentra en la bancarización, razón por la cual

frente a los índices colombianos tiene impacto y relevancia significante. Si bien es cierto,

el nivel de desarrollo económico, social y cultural es diferente al colombiano. Se trata de

un modelo de autenticación que se encuentra en etapa de introducción, por lo que ésta

variable no resulta fundamental.

2. La ubicación de Chile, a nivel legal tiene un modelo jurídico idéntico al colombiano, la

idiosincrasia se comparte en el contexto latinoamericano y por lo tanto su estrategia de

apropiación resulta adaptable al caso de Colombia. Sin embargo, desde el punto de vista

poblacional, Chile es un país con un nivel demográfico menor al de Colombia. Su sistema

de autenticación tiene algunas características de seguridad que pueden ser discutibles en

su aplicabilidad al caso colombiano, teniendo en cuenta que en Chile (y esta es una

diferencia importante) por la centralización de bases de datos a nivel estatal funciona de

manera segura.

3. La ubicación de Suecia, a nivel legal y de tecnología incorpora mecanismos que se han

venido desarrollado en Colombia (Ley 527), como son firmas electrónicas y digitales, y se

trata de un modelo replicable a nivel de apropiación; sin embargo, se considera que su

relevancia no es la más importante, dado que en el ámbito poblacional y a nivel de

bancarización tiene condiciones muy diferentes a las colombianas (9 millones de

20


habitantes con un porcentaje de bancarización del 80%). El nivel de desarrollo económico,

social y cultural es muy diferente al colombiano.

4. La ubicación de Estonia a nivel normativo se asemeja mucho al modelo colombiano, así

mismo en cuanto a lo tecnológico, utiliza PKI que también se ha desarrollado en

Colombia; en cuanto a la apropiación y desarrollo de trámites por medios electrónicos, es

completamente diferente a la situación colombiana, pero deseable e imitable y por ello se

destaca su impacto. A nivel demográfico y de desarrollo se trata de países

completamente diferentes, y por lo mismo su impacto es menor.

5. La ubicación de Perú, se presenta en términos de su semejanza con la situación

colombiana, tanto económica y de desarrollo superlativo, pero a nivel de impacto poco

destacable por ser un modelo en una fase muy previa que ha aprovechado una

herramienta (DNI electrónico) difícilmente replicable en el caso colombiano.

2.2 ANÁLISIS NACIONAL

Si bien en Colombia desde el año 1999 por medio de la Ley 527 se reconoció el uso de la

firma digital como mecanismo de autenticación por medios electrónicos, y luego en el año

2012 se amplió el uso de firmas digitales a cualquier firma electrónica de acuerdo a lo

establecido en el Decreto 2364, este nuevo mecanismo no permite garantizar en la

mayoría de casos la autenticidad de las personas, ya que el riesgo de suplantación puede

llegar a ser muy alto como ocurre con la firma electrónica de usuario y contraseña,

mecanismo utilizado en la mayoría de trámites y servicios por medios electrónicos que

hasta la fecha el Estado tiene a disposición de las personas. Debido a que la primera

forma de autenticarse válida jurídica y probatoriamente en Colombia fue la firma digital, es

ésta la que en la actualidad garantiza la autenticidad y el no repudio frente a los trámites y

servicios electrónicos con el Estado. En la mayoría de trámites entre privados el

mecanismo de autenticación más utilizado es la firma digital debido a los niveles de

21


seguridad que ésta ofrece, así como su valor probatorio frente a cualquier otra firma

electrónica. Por su parte, las entidades públicas han acogido varios tipos de mecanismos

como son la firma digital cerrada y abierta, ésta última requiere de un tercero de confianza

que para el caso colombiano son las entidades de certificación digital y el sistema de firma

digital cerrada (ésta no requiere de la intervención de un tercero de confianza) como lo es

el caso de la DIAN y otros tipos de firmas electrónicas como el usuario y la contraseña.

Frente a los aspectos financieros de la autenticación electrónica en Colombia no se puede

hablar de manera general de un modelo definido o implementado, ya que hasta la fecha

son las entidades o particulares quienes asumen los costos de uso de una firma digital

(abierta o cerrada) frente a los diferentes proveedores de estos servicios.

Según el Ministerio de Tecnologías de la Información y las Comunicaciones de Colombia,

mediante el boletín trimestral del tercer trimestre de 2014, Colombia habría superado la

meta de conectividad pasando de 2,2 millones de conexiones en el año 2010 a 8,8

millones en el año 2014, siendo el primer país de Latinoamérica con Internet de alta

velocidad en todos los municipios del país, lo cual permite disminuir la brecha digital entre

quienes tienen acceso a Internet y quienes no lo tienen. Si bien en la actualidad las

conexiones a Internet no llegan a todos los hogares de los municipios colombianos, es

posible conectarse a este servicio desde puntos ubicados en la mayoría de municipios

mediante los puntos Vive Digital y los kioscos Vive Digital, además de las opciones de

cafés Internet y otros puntos de acceso comunitario de iniciativa privada.

Todo este despliegue tecnológico permitirá en un corto y mediano plazo que cada vez

más los ciudadanos colombianos puedan realizar sus trámites públicos o privados con el

Estado desde su hogar, oficina o puntos de acceso comunitario; permitiendo de esta

manera la democratización del uso de los mecanismos de autenticación electrónica. En

cuanto al análisis nacional, se planteó una selección de experiencias que incluyesen a los

sectores: público, bancario, salud y pensión; financiero, académico y organismos de

identificación e impuestos.

En general, se encuentra que en cada uno de estos sectores se usan sistemas de

autenticación electrónica específicos, de acuerdo a sus funciones y necesidades, pasando

22


por sistemas simples de seguridad, hasta mecanismos con niveles de seguridad altos

como los utilizados por el Banco de la República y la Superintendencia de Economía

Solidaria; así mismo se pueden evidenciar algunos riesgos asociados a posibles

alteraciones de documentos o de información.

De esta manera, se evidencia que la posibilidad de contar con servicios de autenticación

especializados, robustos y que respondan con niveles de seguridad acordes con la

sensibilidad de cada transacción y de la información involucrada, tienen un espacio

interesante en el contexto de las entidades del Estado, y seguramente trasciendan a

necesidades del sector privado.

23


3. ANÁLISIS DE LA INFORMACIÓN RECOLECTADA

En los siguientes capítulos se va a describir la metodología de levantamiento y análisis de

información que se siguió, el detalle del análisis internacional para cada uno de los países

seleccionados, la descripción del análisis de casos nacionales y análisis comparativo de

los países por perspectiva.

3.1 METODOLOGÍA

Con el fin de obtener los resultados necesarios para la conceptualización y diseño del

modelo y la estrategia de implementación del proyecto de “Autenticación Electrónica”, se

realizaron las siguientes actividades:

(I). Recolección y análisis de las fuentes secundarias de información: se analizaron las

fuentes secundarias de información a partir de la revisión bibliográfica a nivel internacional

y nacional, así como de las bases de datos y referencias en Internet que se encuentran

sobre la autenticación electrónica en Perú, Chile, Reino Unido, Suecia y Estonia.

(II). Análisis de las fuentes primarias de información: se tuvo contacto directo con los

gestores de políticas públicas en materia de derecho y tecnología en Colombia,

funcionarios y personas expertas que han estado vinculadas al desarrollo y operación de

las plataformas de autenticación electrónica, con las cuales se realizaron entrevistas

personales e intercambio de cuestionarios; así mismo se obtuvo de ellos información

basada en la propia experiencia en esta materia.

(III). Definición de la estructura: dentro del análisis se estableció una propuesta para

abordar de manera integral y sistemática el problema planteado originalmente, esto es, la

conceptualización y diseño del modelo y la estrategia de implementación de la

autenticación electrónica en Colombia, bajo los siguientes criterios: descripción de casos

vistos desde las perspectivas tecnológica, financiera, jurídica, organizacional y cultural;

teniendo en cuenta las dimensiones, generalidades, descripción del caso y el modelo por

24


cada uno de los países; con el fin de poder realizar un análisis comparativo entre cada

uno de ellos, y por último lograr establecer unas conclusiones y recomendaciones.

25


4. DESCRIPCIÓN DE CASOS INTERNACIONALES

En el presente capítulo se describirán de manera pormenorizada cada uno de los

diferentes aspectos de análisis señalados en la metodología, frente a la implementación

de sistemas o mecanismos de autenticación electrónica que cada uno de los países

objeto de estudio han alcanzado, y que pueden llegar a nutrir los fundamentos para la

elaboración de la conceptualización, diseño del modelo y la estrategia de implementación

de la autenticación electrónica en Colombia.

Para dicha descripción de cada uno de los casos, se van a seguir los siguientes aspectos:

Generalidades: en este apartado se incluirá información general del país,

descripción de la estrategia de gobierno electrónico, el marco institucional, el

marco legal y regulatorio de autenticación electrónica; los principales conceptos

que se manejan en cada país y la descripción de aspectos técnicos, económicos,

socio-culturales y de apropiación.

Descripción del caso desde el punto de vista de la experiencia del usuario.

Descripción del modelo de autenticación electrónica tomando como base la

metodología CANVAS y reforzado con una descripción gráfica del modelo.

Descripción de cada una de las perspectivas de análisis: tecnológica, financiera,

jurídica, organizacional y cultural.

26


4.1 SUECIA

Capital: Estocolmo.

Lenguaje oficial: sueco.

Moneda: corona sueca.

Bandera:

Ilustración 3. Bandera Suecia

Fuente. http://www.banderas-mundo.es/

INDICADORES DE DESARROLLO

Nivel de ingresos: Ingreso alto (miembro de la OCDE)

Población total: 9,6 millones (2014).

Población urbana: 9,6 millones (2014).

Índice de gini: 27 (2010).

Tabla 1. Indicadores de desarrollo Suecia

Fuente. Banco Mundial

27


ECONOMÍA Y CRECIMIENTO

PIB: US$ 570.6 billones (2014)

Crecimiento del PIB (% anual): 2,3% (2014)

Inflación: -0,2% (2014)

Superávit/déficit del efectivo (% del PIB): -0,3% (2012).

Tabla 2. Economía y crecimiento Suecia


CIENCIA, TECNOLOGÍA Y COMUNICACIONES

Gasto en investigación y desarrollo (% del PIB): 3,41% (2012)

Usuarios de Internet (por cada 100 personas): 92,5 (2014)

Subscripciones de teléfonos celulares por cada 100 habitantes: 128 (2011)

Subscripciones a Internet de banda ancha fija por cada 100 habitantes: 34,19 (2014)

Porcentaje de individuos utilizando Internet para interactuar con autoridades

públicas:81% (2014)

Porcentaje de empresas utilizando Internet para solicitar información de autoridades

públicas:79% (2014)

Porcentaje de individuos utilizando Internet para descargar formularios oficiales de

autoridades públicas:

52% (2014)

28


Porcentaje de empresas utilizando Internet para enviar formularios llenos a

autoridades públicas:50% (2014)

Tabla 3. Ciencia, tecnología y comunicaciones Suecia


4.1.1 DESCRIPCIÓN DEL PROYECTO

En Suecia la estrategia de la administración electrónica se lleva a cabo principalmente a

través del sitio Web http://www.government.se/ o http://www.regeringen.se/. Allí se puede

explorar todo lo relacionado con los trámites ofrecidos por el Gobierno de este país, así

como sus entidades, políticas y servicios.

Los ciudadanos pueden entre otras cosas acceder a: solicitar beneficios de seguridad

social, matricularse en educación superior, solicitar una copia del certificado de

nacimiento, reportar un robo a la policía, buscar trabajo en las oficinas de empleo locales,

entre otras. Así mismo, los comerciantes pueden: registrar una nueva compañía, realizar

declaraciones de impuestos, manejar contribuciones a la seguridad social para los

empleados, realizar declaraciones de IVA, enviar datos a las oficinas de estadísticas.

Además, es de destacar que también se pueden realizar las siguientes actividades:

facturas electrónicas (todas las agencias gubernamentales han estado manejando

facturas electrónicamente desde julio de 2008), autenticación electrónica (tienen una

infraestructura popular denominada E-Legitimation la cual permite a los ciudadanos y a los

usuarios de establecimientos comerciales tener acceso a los servicios electrónicos

29


públicos garantizados) y existen un conjunto de portales para la contratación electrónica

pública.

4.1.2 ESTRATEGIA DE GOBIERNO ELECTRÓNICO

La estrategia sueca de gobierno electrónico tiene como objetivo aumentar el nivel de

colaboración digital entre los organismos públicos y entre los sectores público y privado.

Vale la pena mencionar, que esta estrategia fue desarrollada de manera participativa

contando con ciudadanos, diferentes órganos y entidades del Estado para la toma de

decisiones. Prueba de esto es que el Ministerio de Empresa, Energía y Comunicaciones

celebró 10 talleres en el año 2012, en los que se discutió el proyecto de estrategia con

numerosos ministerios y organismos. Luego de diferentes reuniones y discusiones, tanto

de sectores y organismos públicos, como del público en general, se establecieron los

siguientes parámetros de acción:

1. Compromiso: poner a los ciudadanos en el centro de las reformas de la

administración del Gobierno (administración electrónica).

Este compromiso tiene como objetivo facilitarles la vida a los ciudadanos, apoyar la

innovación y la participación, y aumentar la calidad y la eficacia operativa.

2. Simplicidad: con el fin de desarrollar soluciones sencillas y fáciles de usar.

3. La transparencia y la innovación: con el fin de aprovechar las oportunidades

digitales para fortalecer la democracia y contribuir a un mayor crecimiento

económico a través de los datos abiertos.

Las actividades principales de esta estrategia son:

Desarrollar un programa de reforma plurianual que se presentará como proyecto

de ley de presupuesto para el año 2015, llamado Movimiento Digital, el cual se

30


alinea con los objetivos de la estrategia de la administración electrónica y sirve de

apoyo a otros esfuerzos de digitalización pública.

Hacer una investigación sobre el mejoramiento a la gobernanza de la información

digital pública, pudiendo de este modo, reformar la eficiencia, la transparencia y la

innovación en el sector público, como parte del programa de reforma de la

administración electrónica.

Promover el uso de datos y agencias que lleven a tener datos abiertos.

Promover y coordinar la identificación electrónica y la firma de los e-servicios del

sector público.

4.1.3 EL MODELO

Para el año 2007, debido a los diferentes problemas que generó el sistema eID por sus

altos costos y el difícil acceso a este sistema de autenticación, el Estado sueco tuvo que

cambiar la ley estatal3 sobre adquisición pública, con base en un cambio en la directiva

1999/93/EC de la Unión Europea sobre firmas electrónicas. Luego de esta modificación no

fue posible que el Estado sueco pudiera acceder al servicio de eID frente a todos los

proveedores4 en un solo contrato marco.

Para solucionar el problema de adquisición del eID y algunos otros inconvenientes en el

modelo de autenticación electrónica existente en Suecia, se tuvo que crear un nuevo

3 The Public Procurement Act (2007:1091). Disponible en:

http://www.konkurrensverket.se/globalassets/english/publications-and-decisions/swedish-public-procurement-

act.pdf. Último acceso: octubre 14 de 2015.

4 BankID (una colaboración de nueve bancos en el comienzo, hoy de 12 bancos), Nordea (un banco independiente, ahora parte de BankID), Telia (el más grande operador de telecomunicaciones en Suecia), Posten (el operador de correo en Suecia) y Steria (un proveedor de IT).

31

http://www.konkurrensverket.se/globalassets/english/publications-and-decisions/swedish-public-procurement-act.pdf

http://www.konkurrensverket.se/globalassets/english/publications-and-decisions/swedish-public-procurement-act.pdf


marco sueco para la eID. Este nuevo marco sueco para la eID se ha conocido como el

eID2.

El nuevo marco de autenticación en Suecia “eID2” se basa en un modelo distribuido

desde el punto de vista de la naturaleza de los actores que participan operando el mismo,

siendo entidades públicas y privadas y, mixto desde el punto de vista del uso en donde el

modelo aplica tanto para trámites con entidades estatales como privadas, apuntando de

esta manera al incremento escalonado del uso y su sostenibilidad, generando eficiencia

en costos, y un circulo virtuoso de desarrollo del ecosistema digital que permite la

reducción en tiempos y costos en las transacciones a todos los actores que participan en

este modelo (Estado, empresas, ciudadanos).

El acceso universal a este modelo supone una alta alfabetización digital de la población,

bancarización de los ciudadanos y una alta penetración y apropiación de los servicios por

medio de Internet.

A modo de resumen del modelo de negocio, a continuación se presenta la explicación del

CANVAS y un diseño gráfico que sintetiza el modelo y sus actores:

32


CANVAS

Ilustración 4. Canvas Suecia


33


4.1.4 DESCRIPCIÓN DEL MODELO

Frente a la gobernabilidad del modelo, existe una Junta de eID que es la “propietaria” del

sistema de eID2 y la orquestadora de una federación de entidades operadoras del

servicio. Todas las entidades que se conectan al sistema de eID2 necesitan de previa

autorización de operación otorgada por medio de un contrato con la Junta de eID.

El modelo de eID2 cuenta con los siguientes actores:

Emisor eID: de “legitimación electrónica Svensk”. Es uno o varios emisores del mecanismo de autenticación, en tanto cumpla con las regulaciones bajo el control de la Junta de eID.

Proveedor IdP: es quien otorga la identidad (SAML) y que cumple con la regulación bajo el control de la Junta de eID. Todo emisor debe estar conectado con un IdP. El emisor puede tener la función de IdP o conectarse con el IdP general autorizado por la Junta eID.

Junta de eID: La junta gubernamental que es propietaria del sistema de eID2. Dirige la federación y redacta todos los contratos con los emisores. Gestiona todos los pagos. Publica los metadatos SAML.

El marco técnico para la identificación electrónica sueca está personalizado para la

federación de identidad específica que se basa en el protocolo estándar SAML 2.0.

El servicio de identificación es prestado por proveedores de identificación electrónica

autorizados previamente por la Junta eID, cuyos servicios, a su vez, se basan en el

servicio de los emisores autorizados.

Dado que la información de identidad, así como otros atributos relacionados con un

usuario, se suministran a través de una afirmación de identidad y una de atributos, todos

los tipos de identificación electrónica que cumplen con los requisitos para la identificación

electrónica sueca pueden ser usados para legitimarse ante un servicio electrónico que

demande los documentos de identidad entre otras autorizaciones legales, incluso si la

identificación electrónica no contiene ningún número de ciudadanía específico (por

ejemplo: identificadores activados por un código que dan contraseñas por una vez).

34


Ventajas: se pueden realizar trámites frente a entidades estatales y privadas, incluyendo

la participación de operadores públicos y privados, permitiendo de esta manera la

autosostenibilidad e interoperabilidad del modelo. Por otra parte permite el uso de

multidispositivos para identificarse y firmar electrónicamente. Se presenta simplificación

de trámite y estándar abierto. El marco normativo y organizacional garantiza la seguridad

jurídica y técnica para los usuarios de este modelo a nivel local y europeo.

Casos de uso: declaración de impuestos, licencia de conducción, transacciones

bancarias, diferentes trámites frente al Estado y algunos trámites comerciales.

De esta manera, el modelo sueco opera de la siguiente forma:

Ilustración 5. Modelo Suecia


35


A modo de resumen del modelo Sueco se enumeran sus principales actores y actividades:

Actores:

o El ciudadano que obtiene su identidad electrónica.

o La Junta eID que actúa como autoridad y orquestador del modelo.

o Los proveedores IdP de identidad autorizados por la Junta eID, que se

encargan de comunicar la verificación de identidad.

o El emisor eID u operadores que son Bank ID y Telia.

o Proveedores de servicio que pueden ser entidades estatales o empresas

privadas que desarrollan trámites y servicios autenticando electrónicamente

a los ciudadanos.

Paso a paso:

1. El ciudadano se dirige a uno de los puntos de atención de los emisores

eID para el enrolamiento de su identidad y emisión del mecanismo.

2. El ciudadano utiliza mecanismos de autenticación electrónica en todo tipo

de trámites electrónicos ofrecidos por el Estado o particulares que

requieran de autenticación.

3. El proveedor de servicios utiliza un proveedor IdP autorizado por la Junta e

ID para verificar la identidad ante un emisor ID y comunica el resultado de

la verificación a través del IdP a la entidad estatal o al particular que

requiere la autenticación para el desarrollo del trámite o la prestación de un

servicio. Esta comunicación se hace usando el estándar SAML2.

4. La renovación del mecanismo de autenticación se podrá hacer de manera

presencial o electrónica en oficinas o puntos de atención de emisores eID.

4.1.5 PERSPECTIVAS

JURIDICA

36


A finales de los noventa, el Gobierno sueco preparó un plan para desarrollar la

“administración pública de 24 horas” y la necesidad de la eID en Suecia fue bastante

obvia. Después de discusiones con los bancos suecos que ya tenían una gran cantidad de

personas identificadas con seguridad electrónica, el Gobierno decidió solucionar la

necesidad/adquisición del sector público con un contrato marco. (El primer contrato marco

fue la eID 2001 y después ha habido otros dos marcos de adquisición, eID 2004 y eID

2008).

El uso del eID en Suecia tuvo un crecimiento bastante rápido como se muestra en la

siguiente gráfica:

Ilustración 6. Número total de usuarios de eID en Suecia (BankID, Nordea, Telia y Steria)

Fuente. Petter Dahl

Inicialmente en Suecia, se contó con cinco expedidores diferentes, cinco tecnologías

diversas y con contratos disímiles; así mismo, se fue creando un mercado de proveedores

de tecnología como intermediarios, pero cada uno de ellos tenía sus propios

perfiles/estándares API/SAML para conectar a los clientes con sus servicios. Entonces se

hizo costoso para los clientes cambiar sus proveedores de tecnología. Por ejemplo, el

proveedor de software tuvo que adaptarse a múltiples API.

37


Como consecuencia de lo anterior, algunas leyes y regulaciones fueron actualizadas en

Suecia, especialmente de acuerdo con el proceso de adquisición gubernamental “sistema

de selección” y el hecho de que los expedidores de eID se deban unir a nueva

infraestructura denominada eID2.

Instrumentos: Directiva Europea de Firma Electrónica 1999/93/EC. Ley 2000: 832 (SFS 2000) sobre firma electrónica reconocida. UETA (por sus siglas en inglés Uniform Electronic Transactions Act). 15 U.S.C. 7001 Firma Electrónica y la Directiva de 2014 sobre Administración Pública Electrónica. Ley de protección de datos (SFS 1998:204). Estrategia de ciberseguridad para la seguridad de la información del gobierno central 2010 – 2015. Las tarjetas electrónicas eIDs en Suecia están reguladas por la Ley 2000: 832 (SFS 2000) sobre firma electrónica reconocida, que implementa la Directiva 1999/93/CE (un marco comunitario de firma electrónica y su aplicación a nivel nacional) de la Unión Europea. Se hace preciso aclarar que esta regulación se ocupa de la firma electrónica, pero no específicamente de las tarjetas inteligentes de identificación.

Marco de política que soporta el modelo: el Estado construyó una estrategia en donde sitúa a los ciudadanos en el centro de las reformas desde la administración del Gobierno, con el objetivo de aumentar el nivel de colaboración digital con su inclusión.

Normas legales o políticas: la Ley define dos tipos de firmas, "avanzada" y "calificada". Calificada hace referencia a un nivel de seguridad más alto que él avanzado y requiere que la identificación electrónica esté basada en un certificado reconocido y emitido por un dispositivo seguro de creación de identidad electrónica (SFS 2000). Todas las tarjetas electrónicas eID existentes en Suecia cumplen los criterios para firmas avanzadas.

Términos y condiciones de uso para los usuarios: se delimitan condiciones como, el uso exclusivo del método por parte del titular: la imposibilidad de delegar o entregar a terceros el mecanismo, control exclusivo del mecanismo, uso dentro de los límites definidos por el respectivo emisor, definición de las condiciones de privacidad de la información suministrada. A continuación se especifican las reglas de uso:

Las tarjetas electrónicas cuentan con un término de validez y se debe pedir una nueva tarjeta antes de la fecha de caducidad.

38


Se debe actualizar cuando hay nuevas versiones. Esto se hace de forma automática y

todo lo que los usuarios tienen que hacer es, en su caso, responder afirmativamente

cuando se le pregunta si desea actualizar el programa / app.

En la nueva aplicación Banco ID, se puede tener múltiples dispositivos conectados a

BankIDn para el mismo número de seguro social.

En algunos sitios se ha decidido que el usuario debe ingresar su número de seguro

social antes de seguir adelante, mientras que en los otros puede seguir adelante y

seleccionar el BankID que desee utilizar.

Responsabilidades para los usuarios: a partir de las definiciones de términos y condiciones de uso, se definen las responsabilidades y obligaciones a cargo de los titulares de las tarjetas eID.

Emisores y operadores de los proyectos: operan como proveedores de servicios de autenticación fundamentalmente la unión de bancos denominada BankID y el operador del sector de las telecomunicaciones Telia siendo BankID un operador con alta concentración de mercado.

TÉCNICA

Este aparte contiene la especificación y los perfiles de las federaciones de identidad para

la identificación electrónica sueca y algunos servicios alrededor de ello.

Perfiles SAML. La federación de identidad para la identificación electrónica sueca se basa en los siguientes perfiles de SAML:

o Perfil de implementación – “Perfil SAML 2.0 de implementación de gobierno

electrónico de la iniciativa Kantara”.

o Perfil de uso – “Perfil de uso para el marco de la identificación electrónica

sueca” de la Junta eID. Este perfil se basa en el “Perfil de uso SAML 2.0 INT

SSO de la iniciativa Kantara”.

39


Especificación de redirección (Descubrimiento):

o El servicio de redirección (Descubrimiento) de acuerdo con el “Protocolo y perfil

del servicio de descubrimiento del proveedor de identidad según especificación

del comité OASIS” está soportado por el Marco para la Identificación Electrónica

Sueca.

o La Federación de Identidad para la Identificación Electrónica Sueca también

soporta técnicas para la instrucción integrada localmente, las cuales se

describen en el documento “Descubrimiento Dentro del Marco de la

Identificación Electrónica Sueca5”.

Especificaciones de las federaciones de identidad para la identificación electrónica

sueca. Registro para identificadores definidos por la Junta de Identificación

Electrónica:

o La implementación de una infraestructura para la identificación electrónica

sueca requiere distintos tipos de identificadores con el fin de representar objetos

en estructuras de datos. El documento “Registro para Identificadores Asignados

por la Junta Sueca de Identificación Electrónica” (EidRegistry) define la

estructura para identificadores que son asignados por la Junta de Identificación

Electrónica en adición a un registro sobre los identificadores definidos.

o En cuanto a las especificaciones de atributos del documento, el anexo

‘”Especificación de Atributos para el Marco de la Identificación Electrónica

Sueca” indica los distintos perfiles de atributos SAML que se usan dentro de las

federaciones de identidad para la identificación electrónica sueca.

5 Anexo E. Marco Técnico. Descubrimiento Dentro del Marco de la Identificación Electrónica Sueca.

Pag.1.

40


Identificadores y programas para la representación de niveles de confianza6”:

o Los niveles de confianza que se usan dentro de la Federación de Identidad para

la Legitimación Electrónica Sueca se describen en el “Marco de Confianza para

la Identificación Electrónica Sueca”. Dado que un nivel de confianza (nivel de

aseguramiento) debe ser representado por un mensaje SAML, hay necesidad

de una forma estandarizada para hacer esto. La especificación “clases de

contextos de autenticación por niveles de aseguramiento para el marco de la

identificación electrónica sueca” define las llamadas.

o Clases de contexto de autenticación con identificadores URI propios y

esquemas XML para cada nivel. Estos se usan con el fin de representar los

distintos niveles de aseguramiento en los mensajes SAML.

Especificación de categorías de entidades.

Las categorías de entidades son usadas dentro de las federaciones con tres fines

principales:

1. Categorías de entidades de servicio: usadas en metadatos de federaciones

para representar las demandas de servicio electrónico en los distintos niveles

de aseguramiento y los atributos requeridos.

2. Categorías de propiedades de servicio: usadas para representar una propiedad

determinada dentro de un servicio.

3. Categorías de entidades por tipo de servicio: usadas para representar los

distintos tipos de servicio dentro de la federación.

6Deployment Profile for the Swedish eID Framework. Disponible en: http://www.elegnamnden.se/download/18.77dbcb041438070e039d6ef/1444137199011/ELN-0602+-+Bilaga+Tekniskt+ramverk+-+Deployment+Profile+for+the+Swedish+eID.pdf. Último acceso: octubre 7 de 2015.

41

http://www.elegnamnden.se/download/18.77dbcb041438070e039d6ef/1444137199011/ELN-0602+-+Bilaga+Tekniskt+ramverk+-+Deployment+Profile+for+the+Swedish+eID.pdf

http://www.elegnamnden.se/download/18.77dbcb041438070e039d6ef/1444137199011/ELN-0602+-+Bilaga+Tekniskt+ramverk+-+Deployment+Profile+for+the+Swedish+eID.pdf


El documento “Categorías de Entidades para el Marco de la Identificación Electrónica

Sueca” define las categorías de entidades que son determinadas por la Junta eID y

describe su significado.

Especificaciones para el servicio de firma

o Este aparte contiene referencias a varios documentos que definen el servicio

de firma dentro de la infraestructura para la identificación electrónica sueca.

o El perfil de implementación “Perfil de Implementación con el Uso de OASIS

DSS en Servicios Centrales de Firma” especifica un perfil para solicitudes de

firma y respuestas de acuerdo con el Estándar OASIS “Protocolos Básicos,

Elementos y Enlaces del Servicio de Firma Digital”, y amplía esto con las

definiciones especificadas en la “Extensión EiD2 DSS para el Servicio Central

de Firma de Base SAML”.

o Además, se define un perfil de certificado en “Perfil de Certificado para

Certificados Expedidos por Servicios Centrales de Firma” el cual especifica el

contenido en el certificado de firma. Este perfil aplica una nueva extensión de

certificado que soporta al servicio de firma, “Extensión de Certificado en el

Contexto de Autenticación”, que describe el “contexto de autenticación” el cual

es presentado en el Certificado X.509.

Estándares: SAML (por sus siglas en inglés Security Assertion Markup Language). Es un

estándar abierto que define un esquema XML para el intercambio de datos de

autenticación y autorización. En español sus siglas significan Lenguaje de Marcado para

Confirmaciones de Seguridad.

No se puede mover o copiar la identificación contenida en una tarjeta BankID en archivo o

software, con identificación de seguridad bancaria, de un ordenador a otro. Es necesario

volver a instalar la aplicación y descargar una nueva BankID de sus operaciones

bancarias en línea.

42


Lineamientos tecnológicos: todos los proveedores cuentan con una interfaz común para

los usuarios de identificación electrónica (ciudadanos, así como los departamentos del

Gobierno) por lo que no tiene que tratar directamente con los diferentes proveedores.

A través de la Federación es posible utilizar identificaciones de reutilización entre todos

los organismos del Gobierno nacional. También es posible utilizar otros medios de

identificación basados en PKI en algunos casos. Esto significa un ahorro en los eIDs que

se pagan por uso.

Políticas de seguridad y privacidad: Para llegar a ser usuarios de BankID, se debe dar

su consentimiento para el procesamiento por parte del emisor de los datos personales.

Para Mobile BankID, lo hace en el sitio Web del emisor. El consentimiento significa que se

acepta que el emisor:

Registre la información que podrá ser utilizada por el emisor a través de este registro. Compile un catálogo electrónico que podrá estar a disposición de los servicios electrónicos que utiliza BankID.

Tenga acceso a los datos personales contenidos en el registro de clientes para el servicio BankID.

Elabore informes, las entradas de registro y haga declaraciones relativas a la utilización del servicio.

De cara a la otra parte, el servicio BankID expone información que es necesaria para que terceros puedan conocer sobre las diferentes reclamaciones formuladas y puedan defender sus derechos.

Registre medios de almacenamiento, procesamiento, modificación y uso de la información, independientemente de los medios de comunicación. Los informes pueden ser en papel, archivo informático u otro medio.

Al utilizar el servicio BankID se enviará por correo electrónico un informe en el que se da a conocer datos como: nombre, el número de seguro social, el emisor del banco de identificación y la indicación protegida de un banco con el que se tiene la relación contractual.

43


Descripción genérica de las soluciones tecnológicas: modelo Soft y Hard,

dependiendo de usabilidad y riesgo. La elección ha sido seguir por la solución propuesta

desde la tecnología basada en SAML y que para el 2016 se espera sea SAML 2.

Mecanismos de autenticación: están compuestos por un Smartphone (PKI Móvil),

computadora personal (PKI Software) y un lector de tarjeta inteligente (PKI Tarjeta

Inteligente).

Requerimientos técnicos y funcionales de las soluciones tecnológicas: todos los

emisores proporcionan tarjetas eID de especificaciones técnicas básicamente similares,

emitidos en tarjetas o archivos descargables a un computador o teléfono móvil, e incluyen

dos certificados, uno para la autenticación y otro para la firma. Las especificaciones

técnicas son para todos los eIDs. Mientras que los diferentes eIDs son técnicamente

idénticos, a nivel de interfaz son diferentes, lo que crea una necesidad de múltiples

interfaces y diálogos en el lado del usuario.

Interoperabilidad: opera frente a todos los trámites.

FINANCIERA

La Junta de eID tiene un contrato con cada uno de los proveedores de servicio

conectados y cada proveedor de servicio paga por su uso en el modelo de eID2 a la Junta

de eID.

Luego, la Junta de eID paga a cada expedidor de acuerdo con su entrega de

autenticaciones al sistema de eID2 conforme a su contrato.

Para el Gobierno, el precio mensual es de 3.00 SEK7 por usuario único. La Junta de eID

inicialmente pagará por mes a cada expedidor 2.03 SEK por usuario único si el expedidor

tiene su propio IdP (y 15% menos si el expedidor usa el IdP de la Junta de eIDs). La

diferencia de 0,97 SEK cubrirá los costos del eID y la infraestructura central a cargo de la

Junta.

7 1 Euro = 9,3 SEK

44


Cada año se realiza una revisión del modelo de precios con la cual el precio podrá variar.

El modelo toma en consideración la razón del número total de autenticaciones, dividido

por el número total de usuarios únicos en cada mes, y también el número total de

autenticaciones durante el último año para el sistema de eID2.

La Junta de eID vende los servicios de autenticación únicamente al Estado, no al sector

privado. Las compañías privadas continúan teniendo contratos directamente con un

proveedor de tecnología IdP, y el proveedor de tecnología tendrá un contacto comercial

con cada emisor, como sucedía en el anterior modelo sueco, en el cual los precios se

basaban en un cargo por autenticación (de alrededor de 0,20 a 0,30 SEK/cada uno un

precio de mercado) y un cargo mensual fijo de 700 – 5.000 SEK por mes.

Algunas conclusiones al respecto:

La Junta de eID no tuvo que vender ni ceder ese primer modelo. Únicamente

informaron sobre el nuevo modelo de eID2 que iban a usar.

Los proveedores de tecnología del primer modelo trabajan en un mercado

competitivo para vender el método antiguo al sector privado.

La fase inicial de “instalación” para la Junta de eID fue asumida por el Gobierno

y el costo para la Junta de eID fue cerca de 10.000.000 SEK por año. El SP

pagará entonces todos los costos que se causen cuando la eID2 esté instalado

y en funcionamiento en un 100%.

Modelo de sostenibilidad (fuentes de ingreso o financiación): un consorcio conformado por

los principales bancos suecos se formó con el propósito de desarrollar un mecanismo de

identidad electrónica en general utilizable para todo tipo de servicios electrónicos públicos

y privados. Es un modelo donde se debe pagar, en la actualidad el precio se encuentra

en 3,00 SEK mensual por usuario único. En principio sirve para la autenticación con el

Estado con una subvención estatal por cada emisor de 2,03 SEK mensual por usuario

45


único. Para el sector privado no hay subvención. Es un modelo incluyente de múltiples

trámites estatales y que conserva alto grado se seguridad y privacidad mediante múltiples

dispositivos.

CAPEX: el operador.

OPEX: el Estado.

Tarifas: el mecanismo de identificación electrónica lo paga cada emisor de acuerdo con la

entrega de autenticaciones al sistema eID2 según su acuerdo contractual. El precio se

encuentra en 3,00 SEK por usuario único mensual. El precio del mecanismo de

identificación electrónica inicialmente para cada emisor es de 2,03 SEK por usuario único

y tiene una reducción del 15% si el emisor utiliza los proveedores definidos por la Junta de

eID.

Se establecen costos bajos para el uso del mecanismo suave y costos altos para el

mecanismo más robusto.

Transparencia: esta información financiera es pública.

ORGANIZACIONAL

Mapa de actores y roles de las entidades:

El ciudadano que obtiene su identidad electrónica.

La Junta eID que actúa como autoridad y orquestador del modelo.

Los proveedores IdP de identidad autorizados por la Junta eID, que se

encargan de comunicar la verificación de identidad.

El emisor eID u operadores que son Bank ID y Telia.

46


Proveedores de servicio que pueden ser entidades estatales o empresas

privadas que desarrollan trámites y servicios autenticando

electrónicamente a los ciudadanos.

Mercado: 9,6 millones de habitantes potenciales.

Alcance del modelo (beneficiarios): permitir a los ciudadanos suecos autenticarse por

medios electrónicos para realizar trámites y acceder a servicios del Estado y el sector

privado. En Suecia 6,5 millones de personas utilizan BankID sobre una base regular para

una amplia variedad de servicios privados y públicos.

Empresas, instancias o sectores que participan en el desarrollo del modelo: la

Superintendencia de Administración Tributaria, la Agencia para Gestión Pública, la Oficina

de Patentes y Negocios, Oficina de Registro y la Administración del Seguro Social; son los

patrocinadores oficiales. Los proveedores son: BankID y Correos de Suecia y Telia, cada

uno emite certificados de distinto tipo dependiendo de las necesidades de los emisores y

receptores. Otros que participan: Policía, sector salud, Ministerio Comercio y Hacienda.

Articulación con otras iniciativas de gobierno electrónico: permite registrar nuevas

compañías, realizar declaraciones de impuestos, manejar contribuciones a la seguridad

social para empleados, realizar declaraciones de IVA y enviar datos a las oficinas de

estadísticas y facturas electrónicas; se lanzaron las tarjetas de identificación nacional y los

ePassports y existen un conjunto de portales de contratación electrónica pública.

SOCIOCULTURAL

BankID, es el expedidor más grande en Suecia (>95%). Sé espera tener 1.200 millones

de transacciones en 2015, y alrededor de 6,5 millones de usuarios únicos:

47


Ilustración 7. Distribución por edad de las personas que tienen un BankID a septiembre de 2015

Fuente. Peter Dahl - 1. AE Assignment Colombia

BankID es un modelo de infraestructura común integrada por doce bancos los cuales

tienen como propósito la identificación y firma electrónica en las relaciones que se

generen entre ciudadanos y el sector público y privado en Suecia. Estos bancos tienen en

conjunto 8 millones de usuarios únicos potenciales y el 81% de ellos tiene BankID

actualmente.

Los 12 bancos que hacen parte de BankID, son los usuarios más grandes de este mismo

servicio de autenticación como se muestra en la siguiente gráfica, con 61,4% de las

transacciones (bancos de Internet). Los organismos oficiales cuentan con un 24,6% de

transacciones, los municipios y condados representan cerca del 3,3% (cerca de 90

millones de transacciones/año) y otros portales de servicios privados representan el

10,7% de las transacciones (cifras de julio de 2015).

48


Ilustración 8. Excluidas las transacciones bancarias por Internet de los 12 bancos

Fuente: Peter Dahl - 1. AE Assignment Colombia

Convenciones de la gráfica:

Negro: municipalidades locales.

Rojo: agencias del Gobierno Central.

Azul: servicios financieros diferentes. (Un gran usuario es SWISH, un servicio en el

cual los interesados pueden transferir dinero entre ellos).

Verde: otros servicios electrónicos privados.

Ilustración 9. Volumen de transacciones en el tiempo. (Las cifras exactas están clasificadas)


49


Convenciones de la gráfica:

Azul: bancos de Internet (los 12 bancos).

Rojo: todas las demás transacciones.

Ilustración 10. Tipo de transacción


BankID tiene tres productos PKI diferentes:

1. “BankID på kort” = Tarjeta Inteligente PKI.2. “BankID på fil” = Software PKI.3. “Mobilt BankID”= Celular PKI.

La utilización de celulares PKI se ha disparado y representa usos y comportamientos

completamente nuevos de los usuarios.

Las estrategias e indicadores implementados por el Estado sueco se han fundamentado

así:

Estrategia de apropiación y uso por parte de los usuarios: Suecia ha definido un modelo de inclusión digital a partir de la bancarización, generación de competencias de los ciudadanos, y el desarrollo de múltiples trámites estatales por medios electrónicos.

50


Estrategias de difusión y marketing: presencia en medios masivos, aprovechamiento de la cobertura y capacidad de difusión del sector financiero y de las telecomunicaciones.

Indicadores de uso: el emisor de eID más grande de Suecia es BankID (>95%). Los 12 bancos que lo conforman son a su vez el mayor usuario de BankID, con el 68% de las transacciones (bancos de Internet). El sector público representa aproximadamente el 7,4% (alrededor de 90 millones de transacciones / año) y otros servicios financieros, fuera de los 12 bancos, representan el 15% de las transacciones. Algunas cifras:o 4,5 millones de descargas de la App.

o 250 millones de autenticaciones por año.

o 15 millones de firmas electrónicas en el sector público.

Facilidad en el proceso de autenticación: es posible utilizar este mecanismo mediante el uso de medios electrónicos y teléfonos móviles. Más del 50% de los ciudadanos tienen una identificación electrónica.

Estrategia de implementación utilizada: las tasas de uso actuales son de unos 300 millones de operaciones por año. El sistema actual cuesta al Gobierno aprox. 3 céntimos de euro por cada entrada en este volumen de operación, lo cual permite determinar que a mayor número de usuarios y transacciones, menores serán sus costos. El nuevo sistema probablemente se moverá a tarifas de suscripción por persona y mes, para apoyar mejor los servicios de alto volumen.

Esquemas de formación de usuarios: existe un importante desarrollo de servicios gubernamentales por medios electrónicos y teléfonos móviles que ofrecen diversas formas de asistencia al ciudadano. Así mismo, el sector financiero y los emisores de eID han realizado una labor importante frente a la formación de los usuarios poniendo a disposición información respectiva de este modelo de autenticación en sus sitios Web.

Tipologías de cliente-objetivo: los ciudadanos como base primaria. Empresas que manejan modelo de recepción de la información. Entidades estatales que autentican sus trámites y procesos.

Especial referencia en este modelo, las entidades financieras a través de la alianza

denominada BankID. Para los usuarios, la implementación de la infraestructura

eID2 no afectará de ninguna manera. Los usuarios pueden seguir utilizando su

identificación electrónica de BankID o Telia.

51


4.2 ESTONIA

Capital: Tallin.

Lenguaje oficial: estonio.

Moneda: Euro (EUR).

Bandera:

Ilustración 11. Bandera Estonia



Nivel de ingresos: Ingreso alto (miembro de la OCDE).


Población urbana (% del total): 68% (2014).

Índice de Gini: 32,7 (2011).

Tabla 4. Indicadores de desarrollo Estonia


52



PIB: US$ 25,90 mil millones (2014).

Crecimiento del PIB (% anual): 1,6% (2014).

Inflación: -0,3% (2014).


Tabla 5. Indicadores de economía y crecimiento Estonia



Gasto en investigación y desarrollo (% del PIB): 2,18% (2012).

Usuarios de Internet (por cada 100 personas): 84,2 (2014).

Subscripciones de teléfonos celulares por cada 100 habitantes: 161 (2014).

Subscripciones a Internet de banda ancha fija por cada 100 habitantes: 27,37 (2014).


públicas:51% (2014).

Porcentaje de empresas utilizando Internet para solicitar información de

autoridades públicas:48% (2014).

Porcentaje de individuos utilizando Internet para descargar formularios

oficiales de autoridades públicas:25% (2014).

53


Porcentaje de empresas utilizando Internet para enviar formularios llenos a


Tabla 6. Ciencia, tecnología y comunicaciones Estonia



En Estonia, uno de los principales actores de gobierno electrónico es entre otros, el

Consejo e-Estonia, creado en 2014 (antes Consejo Informático de Estonia). Este es un

comité gubernamental que dirige el desarrollo de la sociedad digital y la gobernanza

electrónica en este país. Este consejo está conformado por cinco expertos, algunos

representantes del sector de las Tecnologías de la Información y las Comunicaciones (en

lo sucesivo TIC) y tres ministros.

La infraestructura y modelo estonio de e-government, en términos de portales o sitios Web

está compuesta por:

a. www.eesti.ee: este portal coordina la información proporcionada y los servicios

ofrecidos por diversas instituciones del Estado. Cuenta con un entorno de Internet

seguro para la comunicación con el Estado y ofrece información fiable y soluciones

electrónicas para los ciudadanos, empresarios y funcionarios respectivamente. El

acceso a información y servicios electrónicos relevantes en el portal depende de

hecho de si el usuario es un ciudadano, empresario o funcionario del Estado.

b. www.digidoc.sk.ee: este portal está disponible para Estonia respecto al uso de ID-

Tarjeta, y para usuarios de Estonia y Lituania, el uso del sistema Mobile –ID.

Permite la firma digital, la verificación de la validez de la firma digital, envío de

documentos a otros usuarios del portal y la recepción de documentos de otras

personas. El DigiDocService proporciona una forma rápida y fácil de aumentar la

54


seguridad de cualquier servicio Web para satisfacer las más altas exigencias. Esto

hace que sea posible llevar a cabo la autenticación basada en fuertes dispositivos

de autenticación de diferentes proveedores, y proporciona a los mismos la

oportunidad de incorporar firmas legales sobre cualquier dato creado dentro de su

servicio, lo cual provee validez y prueba de acción a largo plazo en los tribunales

en toda la UE.

c. www.viljandivald.ee: el concepto del portal es innovador, ya que se basa en una

herramienta de gestión de contenido de código abierto, lo que permite la

administración del sitio de manera fácil y uniforme. La solución desarrollada

incluye una estructura de página Web estándar para los gobiernos locales, las

herramientas para la administración del sitio y una función de interfaz con los

registros públicos.

En cuanto a la implementación de las tarjetas electrónicas de identificación, el

Parlamento de Estonia tomó la decisión de introducir una tarjeta de identificación

electrónica en el año 2000, y las primeras tarjetas se publicaron en enero de 2002.

De las cuales 130.000 fueron emitidas en el primer año.

Las tarjetas son emitidas bajo un único estándar y no hay características

opcionales que los titulares (ciudadanos) puedan elegir tener o no tener. Sin

embargo, si los ciudadanos desean suspender las funciones electrónicas de sus

tarjetas, tienen el derecho de suspender la validez de sus certificados. Esto

también elimina los datos del titular del directorio de certificado público en el

desarrollo de PKI - los números de identificación personal únicos son información

pública en Estonia.

La parte frontal de la tarjeta contiene:

Firma y la foto del titular.

Nombre del titular.

55


Código personal (código de identificación nacional).

Fecha de cumpleaños.

Género.

Estado de ciudadanía.

Número de tarjeta.

Validez de la tarjeta con fecha de caducidad.

El reverso de la tarjeta contiene:

Lugar de nacimiento del titular.

Fecha de emisión de la tarjeta.

Detalles de permiso de residencia (en su caso).

Los datos de la tarjeta y del titular en formato legible (excepto para la foto y

firma).

La información con la que cuenta la tarjeta no se duplica en el chip de la misma, que

contiene dos certificados y sus claves privadas asociadas y protegidas por los códigos

PIN. Los certificados digitales sólo contienen el nombre del titular y el código personal

(documento nacional de identidad). Los certificados digitales están diseñados tanto para la

autenticación de los ciudadanos como para la firma electrónica de documentos.

Una característica interesante de la tarjeta electrónica eID en Estonia es que el certificado

de autenticación también contiene una dirección de correo electrónico única asignada al

titular. La estructura de datos es la siguiente: [email protected], donde

NNNN representa cuatro números al azar. Esta dirección está pensada como una

dirección para toda la vida. No está asociado con un servicio de correo electrónico real, es

más bien una dirección de reenvío hasta la dirección "real" del titular. El titular puede

actualizar sus detalles de la dirección "real" siempre que sea necesario.

56


La dirección de correo electrónico está destinada a las comunicaciones del Gobierno, pero

también se puede utilizar en privado o para las relaciones con empresas del sector

privado. Las direcciones están disponibles al público a través del Registro Nacional de

Proveedores de Servicios de Certificación de Estonia.

Ilustración 12. eID Estonia

Fuente. www.id.ee

En el centro del sistema está el proveedor oficial del eID denominado Sertifi

tseerimiskeskus (SK - 'centro certificado'), quien es el que mantiene la infraestructura

electrónica necesaria para la expedición y el uso de la tarjeta electrónica de identificación.

Dos de los principales bancos de Estonia, Hansapank y Eesti Ühispank, en colaboración

con las empresas de telecomunicaciones Eesti Teléfono y EMT, establecieron una alianza

público privada que da origen a SK, aprovechando de esta manera la infraestructura de

los dos bancos. La tarjeta puede se puede obtener en las oficinas o sucursales de los

bancos colaboradores, sin embargo, es posible que al solicitar la misma, el ciudadano

también aplique a los trámites para obtención de la ciudadanía de Estonia.

La estrategia de la firma electrónica de Estonia no limita el uso de la autenticación digital;

también se puede utilizar para firmar documentos electrónicos. Sus usos incluyen poder

acceder a la asistencia sanitaria, por lo tanto, no se requiere tarjeta de salud separada,

pues sólo será necesaria presentar la tarjeta de identificación eID cuando se visite

cualquier institución médica.

57

http://www.id.ee/


Los componentes de software de base, utilizados en este modelo de autenticación, están

disponibles al público. Por tanto, cualquier organización o interesado puede crear

aplicaciones y procesos de negocio basados en el uso de la tarjeta de identificación

electrónica. Este enfoque ha dado lugar a la adopción generalizada de las funcionalidades

de la tarjeta de identificación. Por ejemplo, autorizaciones en el sector financiero,

transacciones en línea, firma de contratos, declaraciones de impuestos, la autenticación

Wi-Fi, acceso a los datos personales recogidos en las bases de datos del Gobierno e

incluso como tarjeta de control de acceso (puertas que se abren).

Es importante resaltar que Estonia cuenta con el sistema tecnológico más desarrollado

para la emisión de tarjetas de identidad electrónica en el mundo8, más que un documento

de identidad con foto, la tarjeta nacional obligatoria sirve para dar acceso digital a todos

los servicios en línea seguros entre otros.

De otra parte, una característica importante que tiene la tarjeta eID de Estonia, es que

ésta cuenta con un chip que va incrustado en la tarjeta, el cual almacena archivos usando

una clave pública de 2048 bits, lo que permite que sea utilizada como prueba definitiva de

identidad en un entorno electrónico.

Adicional a la tarjeta electrónica obligatoria para ciudadanos, existe e-Residency como

sistema de identificación digital, el cual permite a los extranjeros obtener una tarjeta

electrónica de residencia.

A continuación se detallan los servicios digitales que ofrece esta tarjeta:

8 Disponible en: http://www.id.ee/?lang=en. Último acceso: octubre 4 de 2015.

58

http://www.id.ee/?lang=en


Ilustración 13. Servicios digitales “e-residency” Estonia

Fuente. Página Web E-estonia

Para aplicar a un e-Residency, el usuario deberá proveer información relacionada con:

detalles personales, información de contacto, detalles de identificación y razones de

aplicación9.


La estrategia para la Sociedad de la Información de Estonia incluye el desarrollo de

actividades, como:

Construir una base tecnológica que esté lista para tener acceso a Internet ultra

rápido, permitiendo que al menos un 60% de todos los estonios la usen

diariamente.

Incrementar las capacidades de servicios electrónicos en cooperación con el

Instituto Nórdico para el Gobierno Electrónico, con el fin de desarrollar

diferentes alternativas en mecanismos de autenticación y firmas digitales, entre

otros.

Permitir que para el 2020, al menos el 20% de la población haga uso de las

firmas digitales.

Proveer la infraestructura tecnológica y organizacional, para que las personas

controlen el uso de su información y conozcan en cualquier momento, quién,

por qué, cuándo y cómo se utiliza por parte del Gobierno.

9 Ver más: https://apply.e-estonia.com/.

59

https://apply.e-estonia.com/


Modernizar los servicios públicos electrónicos, implementar estándares de

calidad uniformes y apoyar la reforma y actualización de las soluciones de IT

más antiguas.

Mejorar las políticas relacionadas para una mejor toma de decisiones y

prestación de servicios.

Lanzar la “eResidencia” la cual permitirá otorgar una identidad digital a las

personas no residentes en el país, con el fin de que puedan acceder a

servicios electrónicos, de manera similar a como lo realiza la industria bancaria

suiza.

Adicionalmente, se ha tomado como referencia el documento Estrategia de

CiberSeguridad 2014-2017 (Comisión Europea, 2015), como elemento básico para la

planeación de ciberseguridad en Estonia y el cual parte de la estrategia de seguridad de la

Nación. La estrategia resalta desarrollos importantes recientes, evalúa las amenazas de

ciberseguridad existentes y presenta medidas para la mitigación del riesgo. Los objetivos

contemplados allí son los siguientes:

Establecer a nivel nacional, un sistema completo de medidas de seguridad,

que conste de varios niveles, para garantizar la ciberseguridad en toda Estonia.

Ser un país que se caracterice por un nivel muy alto de competencia y

consciencia sobre la seguridad de la información.

Proporcionar la regulación legal, para apoyar la seguridad y uso extensivo de

sistemas de información.

Ser uno de los países líderes en cooperación internacional para fortalecer la

ciberseguridad.

La implementación de la estrategia es coordinada por el Ministerio de Asuntos

Económicos y Comunicaciones. Todos los ministerios y entidades gubernamentales

60


participarán de esta implementación, destacándose, el Ministerio de Defensa, la Autoridad

de Sistemas de Información, Ministerio de Justicia, Policía, Ministerio de Relaciones

Internacionales, Ministerio del Interior y Ministerio de Educación e Investigación. Además,

en la implementación estarán cooperando ONG’s, asociaciones empresariales, gobiernos

locales e instituciones educativas.

4.2.3 EL MODELO

El modelo de Estonia se basa en un sistema de monopolio estatal, desarrollado mediante

una APP en la cual el Estado exclusivamente interviene y regula aspectos fundamentales

relacionados con tarifas al ciudadano y la masificación del mecanismo. Al obtener

ingresos, tanto de tarifas reguladas al ciudadano, como de entidades que utilizan los

mecanismos de identificación por transacción; el sistema es autosostenible, lo cual no

requiere de ningún tipo de aporte de recursos del Estado.

La masificación de este modelo supone la generación de incentivos para el desarrollo de

aplicaciones soportadas en el sistema, generando con ello consolidación y crecimiento del

ecosistema actual. Lo anterior supone una alta tasa de penetración y apropiación de los

servicios de acceso a Internet fijo y móvil, complementada con la expansión de los

mecanismos lectores de la tarjeta de identificación.

Este modelo permite que la tarjeta electrónica permita realizar trámites y acceder a

servicios ofrecidos, tanto por el sector público como por el sector privado, ya sea para

autenticarse ante éstos o firmar documentos electrónicos.

A modo de resumen del modelo de negocio de la autenticación electrónica en Estonia, se

presenta la explicación del CANVAS:

61


CANVAS

Ilustración 14. Canvas Estonia


62



El emisor de identidad SK (Certification Centre, legal name AS Sertifitseerimiskeskus) ha

proporcionado los servicios de certificación y firma digital a los estonios desde 2001. Su

presencia se extiende por toda la región del Báltico y ha participado en numerosos

proyectos internacionales de I+D (Investigación + Desarrollo). Desde 2002, SK ha emitido

certificados digitales para la tarjeta de identificación electrónica de Estonia y ha trabajado

para desarrollar y fomentar la implementación de aplicaciones electrónicas para la misma.

SK fue un pionero en la creación de servicios de verificación de firma electrónica (con el

despliegue del servicio DigiDoc) y en el desarrollo de sistemas de identificación que

utilizan dispositivos móviles (Mobile-ID).

El costo de la tarjeta para los usuarios finales es de 10 euros y actualizar la información o

el código PIN es gratuito si se hace en las oficinas del Gobierno, si se hace en un banco

colaborador cuesta entre 2 y 4 euros.

Los proveedores de servicios deben pagar según el número de transacciones por mes.

Pagan desde 25 euros por 400 transacciones hasta 6,000 euros por 750.000

transacciones. El precio, por lo tanto, está entre 0.008 y 0.06 euros por transacción,

substancialmente más bajo que otros servicios de pagos en línea. Se ofrece un paquete

inicial gratuito de 8.000 transacciones.

Mucho más que una simple foto legal de identificación, la tarjeta nacional obligatoria sirve

como la tarjeta de acceso digital a todos los e-servicios seguros de Estonia.

Algunos usos diferentes a los de autenticación y firma digital que permite esta tarjeta son:

63


Uso de la tarjeta de identificación como una tarjeta de fidelidad: significa principalmente que el archivo de datos de carácter personal será leído electrónicamente desde la tarjeta de identificación y se guarda en una base de datos (o que la tarjeta se compara con ella). Se puede decir que toda empresa que quiera usar la tarjeta de identificación como una tarjeta de fidelidad, crea una solución personalizada para ésta.

Uso de la tarjeta de identificación en los sistemas de control de acceso:

Estos sistemas trabajan generalmente con el mismo principio: un lector de tarjeta

inteligente lee un número de tarjeta única de la tarjeta de identificación insertada y

lo reenvía al sistema de control de acceso. Si el número de esta tarjeta se puede

encontrar en la base de datos de números permitidos, la persona puede, por

ejemplo, abrir una puerta cerrada. Si el número no está en la base de datos, el

usuario de la tarjeta no obtiene el acceso. Dos métodos de seguridad distintos se

pueden implementar en los sistemas de control de acceso:

o Lectura del archivo de datos personales de la tarjeta (por lo general esto es

suficiente).

o Autenticación con código PIN basado en PKI.

Si se utiliza el archivo de datos de carácter personal, se recomienda vincular los derechos

de acceso al número del documento, no el número de identificación personal, porque

cuando se pierde la tarjeta, el acceso con esta tarjeta específica puede ser revocado.

Para los certificados, el número de serie del certificado (no la de su dueño) cumple el

mismo propósito.

Ventajas: se pueden realizar trámites frente a entidades estatales como privadas, pero en

este modelo sólo participa el Estado como operador; permite la simplificación de trámites

mediante el uso de una única credencial; sirve como tarjeta de identidad y para firmar

electrónicamente; el marco normativo y organizacional garantiza la seguridad jurídica y

técnica para los usuarios de este modelo a nivel local y europeo. La tecnología permite la

interoperabilidad con otros modelos de la región.

64


Casos de uso: a continuación se presentan ejemplos de los usos posibles de la tarjeta de

identificación en Estonia:

Para viajar legalmente dentro de la Unión Europea.

Como tarjeta de seguro de salud.

Como prueba de identidad al ingresar en cuentas bancarias desde un

computador personal.

Como tarjeta prepagada de transporte público en Tallin y Tartu.

Para firmas digitales.

Para voto digital.

Para acceder a las bases de datos del Gobierno y revisar registros médicos,

archivos de impuestos, entre otros.

Para recoger prescripciones médicas.

A continuación se muestra la gráfica del modelo estonio de autenticación electrónica:

65


Ilustración 15. Modelo Estonia


A modo de resumen del modelo estonio se enumeran sus principales actores y

actividades:

Actores:


o La Policía de Estonia y/o Junta de Guardia de Frontera que actúa en el

enrolamiento del ciudadano.

o Una alianza público privada denominada SK (Emisor ID) que contempla la

unión de bancos y compañías de telecomunicaciones.

o Las entidades estatales que desarrollan trámites y servicios autenticando


o Las empresas privadas que autentican al ciudadano de manera electrónica.

Paso a paso:

1. El ciudadano se dirige a uno de los puntos de atención de la Policía

Nacional de Estonia para el enrolamiento de su identidad.

2. La Policía de Estonia y/o Junta de Guardia de Frontera, a través de la

verificación de registros públicos establece que el solicitante podrá ser el

titular del eID.

3. Una vez verificada la identidad del ciudadano, el emisor del eID emite una

tarjeta electrónica que contiene el chip con firma digital.

4. El ciudadano titular de la tarjeta electrónica podrá utilizar su mecanismo de

autenticación electrónica y firma digital en todo tipo de trámites electrónicos

ofrecidos por el Estado.


presencial o electrónica en las oficinas o puntos de atención del emisor

eID.

66


4.2.5 PERSPECTIVAS

JURÍDICA

Marco de política que soporta el modelo: con la aparición de Internet los líderes

de Estonia tomaron una decisión consciente de utilizar esta tecnología para

construir una e-Sociedad abierta - un proyecto de cooperación entre gobiernos,

empresas y ciudadanos; para moldear el camino de la Nación sueca para el

futuro-. En consecuencia hay una avance en la producción de políticas de Estado

que llevan a que en 1994 se apruebe la política de información, en 1996 se crea la

Ley de Protección de Datos Personales, en el año 2000 se aprueba la Ley de

Firmas Digitales y otras normas que permiten realizar trámites por medios

electrónicos.

Sumado a lo anterior Estonia espera crecer y convertirse en un caso de éxito de

Europa en materia de e-government lo cual hace necesario tener en cuenta el

marco de la estrategia de Ciberseguridad 2014-2017 (Comisión Europea, 2015).

Instrumentos: Directiva Europea de Firma Electrónica 1999/93/CE. El Parlamento

Estonio (Riigikogu) aprobó la Ley de Firma Digital el 8 de marzo de 2000, la cual

entró en vigor el 15 de diciembre de 2000. La Ley regula cuestiones que son

esenciales para la implementación de una PKI a nivel nacional. Protección de

datos personales (RT I 2003, 26, 158). Ley de Identidad de Documentos (RT1 I

1999, 25, 365). Ley de Firmas Digitales (RT1 I 2000, 26, 150). Así como los

principios generales del Código Civil, Código de Comercio y Ley de propiedad.

67


Normas legales o políticas: el Parlamento Estonio (Riigikogu) aprobó la Ley de

Firma Digital (en adelante DSA) el 8 de marzo de 2000, la cual entró en vigor el 15

de diciembre de 2000. La Ley regula cuestiones que son esenciales para la

implementación de una PKI a nivel nacional y la firma digital infraestructura.

Términos y condiciones de uso para los usuarios: para utilizar los servicios

electrónicos de identificación de tarjetas y Digi-ID se debe: i) Descargar Software

de DNI, ii) Obtener un PIN, iii) Contar con un ordenador o teléfono móvil con

conexión a Internet y iv) Tener un lector de tarjetas. Así mismo se deberá tener en

cuenta lo siguiente:

o Nunca dar la tarjeta de identificación a otras personas. Puede ser mal utilizada

y el responsable es el titular.

o Si la tarjeta se pierde, se debe contactar personalmente a la Oficina de

Ciudadanía y Migración con el fin de invalidar la tarjeta. La revalidación de una

tarjeta es imposible, así que se debe aplicar para una nueva tarjeta.

o Una firma digital emitida por medio de la tarjeta de identificación es tan válida

y vinculante que una firma manuscrita.

o El código PIN2 es igual que una firma manuscrita por lo que antes de ingresar

en el código PIN2 hay que estar seguros de qué documento(s) se está(n)

firmando.

o Los navegadores Web pueden almacenar en caché (temporalmente) el código

PIN1 insertado durante la sesión activa del navegador. Esto se puede evitar

siguiendo estos tres principios:

1. Después de usar la tarjeta de identificación para algún servicio electrónico,

se debe cerrar la sesión en el servicio usando "Välju" / "Exit", "Logi välja" /

botones "Sulge" / "Cerrar" o "Salir".

68


2. Después de usar la tarjeta de identificación electrónica siempre hay que

retirarla del lector de tarjetas.

3. Se deben cerrar todas las ventanas del navegador Web (Internet Explorer,

Mozilla Firefox, Chrome, Safari) cuando se hayan hecho todos los pasos

anteriores.

Responsabilidades para los usuarios:

1. Nunca se puede dar la tarjeta de identificación a otras personas. Puede ser

mal utilizada y el responsable será siempre el titular.

2. En caso de pérdida de la tarjeta de identificación o de sus códigos, se debe

notificar inmediatamente a la línea de ayuda llamando al 1777 o contactar

personalmente a la Oficina de Ciudadanía y Migración en la que se invalida la

tarjeta.

3. Una firma digital emitida por medio de la tarjeta de identificación es tan

válida y vinculante como una firma manuscrita.

4. Se deben asegurar de entender qué documentos se está firmando.

5. ID-tarjeta y digi-ID son los métodos más fáciles, más convenientes y más

seguros de utilizar.

6. Si una persona con malas intenciones obtiene acceso al PIN y tarjeta de

identificación, él o ella será capaz de suplantar al titular y firmar digitalmente

otorgando a esta firma plena validez jurídica. Por lo tanto el usuario debe

seguir lo siguiente:

No revelar los códigos de su tarjeta de identificación a otras personas.

69


Nunca escribir cualquiera de los códigos en la tarjeta. Mantener los códigos

en un lugar seguro o preferiblemente, memorizarlas y destruir el código.

Si es posible, cambiar los códigos PIN1, PIN2 y PUK inmediatamente

después de la recepción de la tarjeta.

No utilizar las mismas combinaciones de números como PIN1 y PIN2.

Los códigos se deben cambiar de manera regular después de ciertos

períodos con el fin de minimizar el riesgo de suplantación.

La longitud mínima de PIN1 es de 4 dígitos, mientras que PIN2 debe

constar de un mínimo de 5 dígitos.

La longitud máxima de PIN1 y PIN2 es de 12 dígitos.

La longitud de PUK puede ser de 8 a 12 dígitos.

Al elegir nuevos códigos, evite que las combinaciones sean fáciles de

adivinar, tales como: 12345, 11111, su fecha de nacimiento, etc. Además,

recuerde utilizar diferentes combinaciones para PIN1 y PIN2.

Emisores y operadores de los proyectos: SK (Certification Centre, legal name AS

Sertifitseerimiskeskus) único operador en alianza público privada.

TÉCNICA

Estándares: la red de distribución incluye el uso de medios virtuales y correo,

así como puntos presenciales de autoridades de Policía y puntos en las

fronteras para la entrega de las tarjetas a los usuarios. Hay dos certificados en

formato X.509, guardados en la tarjeta de identificación. Estonia, ha optado

por adoptar la tecnología de Safelayer10.

10 Es un fabricante de software de seguridad para soluciones de infraestructura de clave pública (PKI), sistemas

de autenticación multifactor, firma electrónica, cifrado y transacciones seguras. Productos Trusted Electronic

70


Lineamientos tecnológicos: son abiertos y se encuentran disponibles para

integración técnica con el fin de facilitar acciones de inclusión digital.

Políticas de seguridad y privacidad: el marco normativo que regula el

tratamiento de datos personales en cuanto el uso de la tarjeta electrónica de

identificación en Estonia, se encuentra en la Ley de Protección de Datos

basada en la Directiva Europea Directiva 95/46/CE.

Descripción genérica de las soluciones tecnológicas: firma electrónica con

fuerte componente PKI. Se describe la arquitectura de ID-software. Su

propósito es dar visión general de los componentes que conforman ID-

software, sus interfaces internas y externas y el despliegue en entornos de

ejecución. ID-software incluye aplicaciones de usuario final (cliente de

escritorio DigiDoc3, programa de utilidad de DNI), bibliotecas de software

DigiDoc, componentes para la firma y autenticación en los navegadores Web,

los conductores de identificación de tarjetas y otros componentes

complementarios.

Mecanismos de autenticación: Incluye ID Card (PKI) y software de firma

digital.

Requerimientos técnicos y funcionales de las soluciones tecnológicas: El DigiDocService es un servicio Web basado en SOAP y el servicio puede ser

utilizado en todos los entornos que se apoyan en SOAP 1.0 consultas RPC-

Signature. Disponible en: http://www.safelayer.com/es/productos/trustedx-electronic-signature. Último acceso:

octubre 10 de 2015.

71

http://www.safelayer.com/es/productos/trustedx-electronic-signature


codificado. Además de la firma digital con Mobiil-ID, el DigiDocService también

proporciona las funcionalidades de realización de la autenticación y firma

digital con una tarjeta de identificación.

Interoperabilidad con soluciones tecnológicas de gobierno o institucionales: operable para la totalidad de trámites.

FINANCIERA

Modelo de sostenibilidad (fuentes de ingreso o financiación): se trata de un

modelo auto sostenible, pues siendo un modelo basado en una APP con único

operador, cuenta con inversión inicial privada y tiene un modelo tarifario regulado

promovido por el Estado a través de la integración a todo tipo de servicios

gubernamentales.

Los ciudadanos encuentran múltiples aplicaciones al mecanismo de identificación

electrónica, que además también les sirve como medio de identificación oficial.

Para los usuarios finales el costo de la tarjeta es de 10 euros y actualizar la

información o el código PIN es gratuito si se hace en las oficinas del Gobierno,

cuesta entre 2 y 4 euros si se hace en un banco. Los lectores de tarjetas se

venden en valores desde cerca de 6 euros los más simples.

Tarifas: para los usuarios finales el costo de la tarjeta es de 10 euros y actualizar

la información o el código PIN es gratuito si se hace en las oficinas del Gobierno,

cuesta entre 2 y 4 euros si se hace en un banco. Los lectores de tarjetas se

venden a cerca de 6 euros. Fuera de estos costos el servicio es prácticamente

gratis para los usuarios finales.

72


Los proveedores deben pagar según el número de transacciones por mes. Pagan

desde 25 euros por 400 transacciones hasta 6,000 euros por 750.000

transacciones. El precio, por lo tanto, está entre 0.008 y 0.06 euros por

transacción; substancialmente más bajo que otros servicios de pagos en línea. Se

ofrece un paquete inicial gratuito de 8.000 transacciones.

Transparencia: existe información pública.

ORGANIZACIONAL

Mapa de actores y roles de las entidades:


o La Policía de Estonia y/o Junta de Guardia de Frontera que actúa en el

enrolamiento del ciudadano.

o Una alianza público privada denominada SK (Emisor ID) que contempla la

unión de bancos y compañías de telecomunicaciones.



o Las empresas privadas que autentican al ciudadano de manera electrónica.

Mercado: 1,3 millones de habitantes.

73


Alcance del modelo (beneficiarios): junto con Suecia es un referente a nivel mundial por su usabilidad y el nivel de bancarización.

Empresas instancias o sectores que participan en el desarrollo del modelo: el proveedor oficial del eID es Sertifi tseerimiskeskus (SK - 'centro certificado'). Sus socios son dos de los principales bancos de Estonia, Hansapank y Eesti Ühispank, en colaboración con las empresas de telecomunicaciones Eesti Telefon y EMT. Se trata de una APP. También tiene importantes alianzas para el desarrollo del eID con empresas de TELCO y proveedores de tecnología PKI como: i) Telegrupp, ii) Ektaco, iii) Safelayer, iv) Gemalto. Otros: CMB, Trub.

Articulación con otras iniciativas de gobierno electrónico: en 2005, la Comisión Nacional Electoral de Estonia escribió un nuevo capítulo en el desarrollo del gobierno electrónico: por primera vez en el mundo, la votación segura en línea a través de Internet se organizó a nivel nacional. La aplicación iVoting es considerada por los ciudadanos como simplemente otra aplicación en línea. Lo que más sorprende a los estonios hoy en día es el interés específico que esta aplicación sigue generando en el extranjero. Estos son algunos ejemplos de cómo se utiliza regularmente la tarjeta de identificación en Estonia:

o Como documento nacional de identidad para viajar dentro de la UE para

los ciudadanos de Estonia.

o Como tarjeta sanitaria nacional.

o Como prueba de identificación al iniciar sesión en las cuentas bancarias

desde un ordenador personal.

o Como un billete de transporte público de prepago en las ciudades de

Tallin y Tartu.

o Para la emisión de firmas digitales.

o Para i-Voting.

o Para acceder a las bases de datos del Gobierno.

74


o Para marcar uno de los registros médicos, impuestos de archivos, etc.

o Para recoger recetas electrónicas.

SOCIOCULTURAL

Estrategia de apropiación y uso por parte de los usuarios: uso de la

tarjeta de identificación como una tarjeta de fidelidad. Significa

principalmente que el archivo de datos de carácter personal será leído

electrónicamente desde la tarjeta de identificación y se guarda en una base

de datos (o lo que se compra con la tarjeta). Se puede decir que toda

empresa que quiera usar la tarjeta de identificación como una tarjeta de

fidelidad podrá crear una solución personalizada para ello (es decir, no hay

una biblioteca / plugin / aplicación universal que se utilice de manera similar,

por ejemplo en una librería, una tienda de ropa o un cine).

Estrategias de difusión y marketing: como estrategia de difusión se

instauró la política que en ninguna entidad del Gobierno de Estonia se

puede rechazar un documento firmado digitalmente ni exigir copia en papel

en su lugar.

Indicadores de uso: existe una alta adopción móvil en Estonia que

representa la tercera más alta de Europa. Lo anterior lleva a que se haya

masificado el uso del sistema, tanto con tarjetas de identificación, como

con los teléfonos móviles. Algunas cifras que demuestran lo anterior hasta

el 6 de septiembre de 2015 son:

o Número de firmas digitales realizadas: 236 726 527

75


o El 98% de las transacciones bancarias en Estonia se llevan a cabo a

través de Internet, utilizando autenticación electrónica.

o Número de tarjetas activas: 1 254 431.

o Número de autenticaciones electrónicas: 373 112 605

Facilidad en el proceso de autenticación: fácil uso para todo tipo de

usuarios gracias a la simplicidad que se tiene con el uso de la tarjeta

electrónica frente a los lectores, además con una misma credencial es

posible realizar procesos diferentes a los de autenticación y firmado

digital.

Estrategia de implementación utilizada: con el fin de alcanzar los

objetivos trazados por el Gobierno de Estonia en la masificación de este

modelo, se han creado grupos de expertos sectoriales dedicados a

analizar y garantizar el cumplimiento de la estrategia de eGovernment.

Esquemas de formación de usuarios: el relacionamiento con el cliente

puede ser presencial, telefónico o virtual a través de www.id.ee. El

ciudadano cuenta con un centro de servicio virtual donde recibe todo tipo

de ayudas para el uso de eID. Para propiciar el uso, se encuentra un sitio

Web para desarrolladores donde se estimula el desarrollo de nuevas

aplicaciones y herramientas.

Tipologías de cliente-objetivo: ciudadanos como base primaria, por ser

el eID el documento de identificación. Empresas que manejan el eID en

76


modelo de recepción de la información. Entidades estatales que

autentican sus trámites y procesos con el uso del eID.

Funciones principales: la de autenticación, hace que sea posible en un

entorno electrónico para asegurarse de que la persona es el que él o ella

dice ser. En entornos con un alto nivel de seguridad (bancos, etc.). Firma

digital, se hace posible firmar documentos de forma automática.

77


4.3 REINO UNIDO

Capital: Londres.

Lenguaje oficial: inglés.

Moneda: Libra esterlina.

Bandera:

Ilustración 16. Bandera Reino Unido







Tabla 7. Indicadores de desarrollo UK



78




Inflación: 1,5% (2014).


Tabla 8. Economía y crecimiento UK




Usuarios de Internet (por cada 100 personas): 91,6 (2014).

Subscripciones de teléfonos celulares por cada 100 habitantes: 124 (2014).

Subscripciones a Internet de banda ancha fija por cada 100 habitantes: 37,38 (2014).


públicas:51% (2014).

Porcentaje de empresas utilizando Internet para solicitar información de


Porcentaje de individuos utilizando Internet para descargar formularios oficiales de

autoridades públicas: 31% (2014).

Porcentaje de empresas utilizando Internet para enviar formularios llenos a 34% (2014).

79


autoridades públicas:

Tabla 9. Ciencia, tecnología y comunicaciones



El Gobierno del Reino Unido está conformado entre otros, por 24 departamentos

ministeriales, 22 departamentos no ministeriales, 316 agencias y otras estructuras

públicas (entre ellas el servicio de Gobierno Digital [SGD]), 72 estructuras de alto perfil, 11

corporaciones públicas y 3 entidades descentralizadas).

El SGD, es el responsable de 'GOV.UK‘, medio por el cual el Gobierno, proporciona a las

personas y empresas en Inglaterra y Gales, acceso digital fácil y efectivo de servicios

públicos e información de interés.

Esta nueva forma de interacción con el Gobierno está disponible desde el año 2012 y

proporciona un único punto de acceso a los servicios gubernamentales, reemplazo a

Directgov y Business Link, así como los sitios Web de cientos de departamentos

gubernamentales y organismos públicos (312 agencias y otras estructuras de Gobierno

con sitios Web fueron a la transición con GOV.UK y más de 1.800 sitios independientes

se han cerrado). Esta transición se completó en diciembre de 2014.

GOV.UK Verify es la nueva forma en que se demuestra que se está en línea con el

Gobierno del Reino Unido. GOV.UK Verfiy está siendo construido por el SGD, en

colaboración con los departamentos gubernamentales, el sector privado y el grupo asesor

del consumidor y de la privacidad.

Vale la pena mencionar que GOV.UK Verify, entró en etapa piloto Public Beta en octubre

2014 y actualmente está disponible en 6 servicios. A través de este medio, se ofrece total

garantía de identidad digital para las personas, sin tener que depender de envío de

80


artículos en el correo, llamar a un centro de llamadas o asistir a un servicio de manera

presencial. La persona será capaz de completar el proceso de verificación de su identidad

por primera vez totalmente en línea, sin necesidad de enviar o recibir algo a cambio. Será

posible utilizar un único conjunto de credenciales de acceso (por ejemplo, nombre de

usuario y contraseña, con el apoyo de un segundo paso para mayor seguridad) para

acceder a una gama de servicios digitales cada vez mayor.

Finalmente, se menciona que GOV.UK Verify es un modelo federado - el Gobierno

establece las normas y la Oficina del Gabinete gestiona el flujo de demanda del Gobierno

y las relaciones comerciales con empresas previamente certificadas y autorizadas

(proveedores IdP). Los proveedores IdP son las responsables de desarrollar y prestar

servicios que respondan a esas normas. Los trámites que se pueden realizar mediante el

uso de este modelo son estatales únicamente.


Estrategia para inclusión de gobierno digital (Diciembre 201411).

Esta estrategia define cómo el Gobierno del Reino Unido y sus aliados en el sector

público, privado y no gubernamental deben incrementar la inclusión digital en el

relacionamiento entre el Gobierno y los ciudadanos. Esto quiere decir, ayudar a las

personas a ser capaces de usar y beneficiarse del uso de Internet. Las acciones

de esta estrategia están focalizadas en solucionar las barreras que han evitado

que las personas utilicen Internet y apoyar las iniciativas que mejoren esta

situación.

Para este propósito el Gobierno debe:

11 Reino Unido. Disponible en: https://www.gov.uk/government/publications/government-digital-inclusion-

strategy/government-digital-inclusion-strategy. Última consulta: octubre 10 de 2015.

81

https://www.gov.uk/government/publications/government-digital-inclusion-strategy/government-digital-inclusion-strategy

https://www.gov.uk/government/publications/government-digital-inclusion-strategy/government-digital-inclusion-strategy


Hacer de la inclusión digital parte de una política de Gobierno más amplia, con

programas y servicios digitales: el Gobierno debe identificar dónde es

necesario el incremento de programas digitales, con el fin de integrarlo a

programas públicos relevantes. Para cada uno de los servicios en

transformación del Gobierno, éste debe publicar la información necesaria para

las personas que pueden hacer uso de dichos servicios, considerar las

capacidades digitales de los usuarios actuales y estimar el número de usuarios

que realizan aun trámites de manera física.

Establecer un programa de calidad en capacitación digital del Gobierno: el

Gobierno debe identificar el tipo de asistencia que se vaya a brindar a los

usuarios. De esta manera podrá definir un programa de capacitación específica

para enseñarle a los usuarios a utilizar los servicios digitales.

Proporcionar la capacitación digital necesaria a los servidores públicos para

que puedan hacer uso de los servicios digitales del Gobierno y contribuir a su

mejoramiento: el Gobierno debe identificar las habilidades en el tema digital

que tienen los funcionarios en la actualidad y las que necesitan para realizar su

trabajo con el fin de focalizar esfuerzos en entrenamiento y capacitación.

Concertar una definición común acerca de cuáles deben ser las capacidades y

habilidades digitales de los servidores públicos.

Impulsar el programa “Go ON UK”12 alrededor del país: este programa

extenderá su red a un grupo más amplio de aliados de todos los sectores para

coordinar el esfuerzo de reducir la exclusión digital.

Mejorar y extender las alianzas: los sectores público, privado y no

gubernamental financiarán el desarrollo de programas que vayan alineados

con “Go ON UK”.

Crear un lenguaje compartido para la inclusión digital: “Go ON UK” proveerá

los lineamientos para un lenguaje e imagen que sean digitalmente incluyentes,

12 GO ON UK. Disponible en: http://www.go-on.co.uk/about/. Último acceso: octubre 4 de 2015.

82

http://www.go-on.co.uk/about/


en lo cual, todos los aliados estratégicos deberán utilizar en sus medios de

comunicación y servicios digitales.

Tener todo el soporte de capacitación en un solo lugar: “Go ON UK”

establecerá digitalskills.com como una fuente confiable de información y

consejos sobre cómo ayudar a personas y organizaciones a hacer uso de lo

digital.

Ofrecer programas de inclusión digital para Pymes y ONGs: el Gobierno y sus

aliados en todos los sectores deben unir esfuerzos para apoyar a estas

organizaciones.

Usar información para medir el desempeño y mejorar lo que se hace: entender

qué es lo que está funcionando bien y cómo se puede apoyar a quienes tengan

dificultades en la adopción de nuevos servicios.

4.3.3 EL MODELO

En el caso del modelo de autenticación electrónica del Reino Unido, se presenta como un

modelo distribuido en cuanto a su operación, en el cual múltiples proveedores de

identidad (IdP) brindan servicios de autenticación a entidades gubernamentales, bajo unos

estándares y requisitos pre definidos por la Oficina de Gabinete y en el marco de

contratos para la provisión de dicho servicio. El costo de estos servicios de autenticación

son asumidos por los proveedores de servicios gubernamentales mediante el pago de

tarifas a los proveedores de identidad (IdP). Actualmente el modelo se encuentra en una

fase piloto de prueba.

A modo de resumen del modelo, a continuación se presenta la explicación del CANVAS:

83


84


CANVAS

Ilustración 17. Canvas Reino Unido



El modelo de Reino Unido prevé el uso de diversos métodos provistos por diferentes

actores, con diversos grados de seguridad que se usan según las necesidades del

proceso que se autentica.

85


Dentro de este modelo, nueve empresas han firmado acuerdos marco para convertirse en

compañías certificadas para GOV.UK Verify:

Barclays

Digidentity

Experian

Grupo GB

Morpho

PayPal

Oficina de correo

Correo real

Verizon

Por tratarse hasta ahora de un modelo piloto, de las nueve empresas sólo cuatro tienen

contratos vigentes para desarrollar la producción del servicio (Digidentity, Experian,

Oficina de Correos y Verizon13).

Ventajas: todas las transacciones son monitorizadas por la Oficina de Gabinete mediante

el Hub con el fin de garantizar la privacidad y seguridad de los datos de los usuarios;

basta con registrarse en https://www.gov.uk/ para autenticarse y poder interactuar con los

proveedores de servicios gubernamentales; hay libertad de elección de las compañías de

certificación; el marco normativo y organizacional garantiza la seguridad jurídica y técnica

para los usuarios de este modelo a nivel local y europeo. La tecnología permite la

interoperabilidad con otros modelos de la región.

Casos de uso: el modelo contempla el desarrollo de los siguientes trámites iniciales que

buscan identificar oportunidades de mejora:

13 Gov.uk. Disponible en: https://www.gov.uk/performance/govuk-verify/certified-companies. Último acceso:

octubre 10 de 2015.

86

https://www.gov.uk/

https://www.gov.uk/performance/govuk-verify/certified-companies


Departamento

Servicio EstadoTotal de usuarios / año

Usuarios de noviembre 2015

HMRC

Comprobar o

actualizar el

impuesto

vehículo de la

empresa.

Conectado febrero 2014. 70k 20k

DefraReclama pagos

rurales.Conectado julio 2014.

100k-

300k5k

HMRC

Haga su

autoevaluación

en línea.

Conectado diciembre

2014.3m <500k

HMRC

Revise su

estimación de

impuesto sobre

la renta.

Conectado febrero 2015. 2m 80k

Servicio de

insolvencia

Reclamación de

la redundancia y

el dinero

adeudado.

Conectado febrero 2015. 100k 15k

HMRC Ayudar a sus

amigos o

familiares con

sus impuestos.

Conectado marzo 2015, en

piloto público (este servicio

es compatible actualmente

con usuarios con dos

- - Número de

usuarios será una

proporción de

aquellos que

87

https://translate.googleusercontent.com/translate_c?depth=1&hl=es&prev=search&rurl=translate.google.com.co&sl=en&u=https://www.gov.uk/help-friends-family-tax&usg=ALkJrhgWuIj1FGy4xDtpgEBroOd6VLQwmA



https://translate.googleusercontent.com/translate_c?depth=1&hl=es&prev=search&rurl=translate.google.com.co&sl=en&u=https://www.gov.uk/claim-redundancy&usg=ALkJrhjY65yP4-eIhddpPJJ6QPICJmiK6Q



https://translate.googleusercontent.com/translate_c?depth=1&hl=es&prev=search&rurl=translate.google.com.co&sl=en&u=https://www.gov.uk/log-in-file-self-assessment-tax-return&usg=ALkJrhinFVwBtDXFVJvaAjzEajvb6RnBWA



https://translate.googleusercontent.com/translate_c?depth=1&hl=es&prev=search&rurl=translate.google.com.co&sl=en&u=https://www.gov.uk/claim-rural-payments&usg=ALkJrhguFdOrYQSa5QaKA_vHwxsw4smOig

https://translate.googleusercontent.com/translate_c?depth=1&hl=es&prev=search&rurl=translate.google.com.co&sl=en&u=https://www.gov.uk/claim-rural-payments&usg=ALkJrhguFdOrYQSa5QaKA_vHwxsw4smOig

https://translate.googleusercontent.com/translate_c?depth=1&hl=es&prev=search&rurl=translate.google.com.co&sl=en&u=https://www.gov.uk/update-company-car-details&usg=ALkJrhjsLhKjqYsW9TJ9wVAuJhy7NOnSFw




Departamento



servicios de HMRC y se

expandirá a través de más

servicios durante el

verano).

acceden a otros

servicios HMRC a

través de esta

instalación.

HMRC

Reclamar un

reembolso de

impuestos.

Conectado marzo 2015. 95k 30k

DWP

Ingrese a su

cuenta digital de

crédito universal

(ensayo

limitado).

Conectado marzo 2015. 10m <3k

HMRCRevise su

pensión estatalConectado abril 2015. 3m <10k

DfT / DVLA

Ver la

información de

su licencia de

conducir.

Conectado junio 2015. 1.5m 25k

HMRC Iniciar sesión en

su cuenta

personal de

impuestos.

Conectado julio 2015, en

piloto privado (servicios y

formas HMRC serán

puestos a disposición de

los usuarios en la cuenta

de impuestos personales).

- - Número de

usuarios será una

proporción de

aquellos que

acceden a otros

servicios HMRC

través de esta

88

https://translate.googleusercontent.com/translate_c?depth=1&hl=es&prev=search&rurl=translate.google.com.co&sl=en&u=https://www.gov.uk/view-driving-licence&usg=ALkJrhjwDD_V30DhvMKn02dc-NoaIMu2Dw



https://translate.googleusercontent.com/translate_c?depth=1&hl=es&prev=search&rurl=translate.google.com.co&sl=en&u=https://www.gov.uk/apply-universal-credit&usg=ALkJrhixC1uv4eqJCuzYiS-uh2uBvQArhQ



https://translate.googleusercontent.com/translate_c?depth=1&hl=es&prev=search&rurl=translate.google.com.co&sl=en&u=https://www.gov.uk/claim-tax-refund/too-much-tax-taken-from-your-pay&usg=ALkJrhi0URyEOYv32t7fyoiC0LnPOgwavw




Departamento



instalación.

HMRC

Impuesto de

sucesiones en

línea.

Se estima la conexión en

septiembre 2015.200k 5k

HMRCVer su beneficio

médico.


octubre 2015.270k 2k

Tabla 10. Lista actualizada de los servicios UK

Fuente. Gobierno Reino Unido

A continuación se presenta la lista de servicios que tiene previsto utilizar para gobierno

electrónico del Reino Unido: (Para entrar a operar en 2016).

Departamento Servicio Fecha prevista beta Total de usuarios / año

NHS Ver su historial de salud (piloto

Liverpool).


diciembre de 2015.

5k

BIS Récord personal de

aprendizaje.

10-diciembre 2015 200k

DfT Modificar registro de conductor. 10-diciembre 2015 1m

89



BIS Bancarrota en línea. 10-diciembre 2015 12k

DWP Autonomía personal pago. Diciembre a marzo 2016. 150k

BIS Firme su escritura de hipoteca. 01-marzo 2016. 180k

NI Registre el nacimiento de un

niño en Irlanda del Norte.

01-marzo 2016 25k

DWP Mantenimiento niño. Abril 2016 35k

Ministerio de

Justicia

Reclamo dinero en línea. Abril 2016 150k

DfE Proveedor de niñera o

guardería (Ofsted).

Abril 2016 5k

NHS Declaración de total rewards. Abril 2016 200k

DWP El acceso al trabajo. 04-junio 2016 15k

DWP Apoyo para el duelo. Julio 2016 40k

HMRC Impuestos cuidado de niños

gratis.

Julio 2016 1m

Ministerio de Divorcio de mutuo acuerdo. Julio 2016 120k

90



Justicia

Tabla 11. Lista de servicios que tengan previsto utilizar

Fuente. Página Web Gobierno Reino Unido: www.gov.uk

A continuación, una descripción gráfica del modelo:

Ilustración 18. Modelo Reino Unido


A modo de resumen del modelo del Reino Unido se enumeran sus principales actores y

actividades:

91

http://www.gov.uk/


Actores:


o La Oficina del Gabinete del Reino Unido que actúa como orquestador.

o Los proveedores IdP de identidad que validan el cumplimiento de las normas

de seguridad y de servicios.



Paso a paso:

1. Los usuarios serán guiados a través de la selección de un proveedor de

identidad de una lista de organizaciones contratadas por la Oficina del

Gabinete (que administra el GOV.UK Verify) para prestar el servicio. El

usuario se dirige de manera virtual o presencial y se enrola ante los

proveedores IdP de identidad.

2. El ciudadano efectúa el trámite ante una entidad estatal.

3. La entidad estatal valida la identidad del ciudadano ante el proveedor Idp

para asegurarse de que están tratando con la persona quien dice ser. Esto

se conoce como dato coincidente.

4. El proveedor Idp envía la confirmación de autenticidad a la correspondiente

entidad estatal.

5. Una vez verificado, el ciudadano recibe el servicio o trámite que está

solicitando.

92


4.3.5 PERSPECTIVAS

JURÍDICA

El Reino Unido cuenta con un marco regulatorio definido a partir de buenas prácticas, que

son emitidas por el Gabinete de Gobierno y los servicios de Gobierno Digital. La

legislación del Reino Unido habilita de manera general mecanismos de autenticación y

firmas electrónicas. Se trata de una legislación vanguardista cuyo modelo ha sido muy

seguido por la reciente Directiva Europea de Autenticación Electrónica (julio de 2014)14.

Marco de política que soporta el modelo: estrategia para inclusión de gobierno digital (diciembre 2014). Esta estrategia define cómo el Gobierno y sus aliados en el sector público, privado y no gubernamental; deben incrementar la inclusión digital. Las acciones de esta estrategia están focalizadas en solucionar las barreras que han evitado que las personas utilicen Internet y apoyar las iniciativas que mejoren esta situación.

Instrumentos: guías de buenas prácticas particulares para UK, aprobadas y certificadas por la Oficina del Gabinete. Directiva Europea 1999/93/EC sobre Firmas Electrónicas. Ley de Comunicaciones Electrónicas del 2000. Regulación de las Firmas Electrónicas 2002. Directiva de los Servicios 2006/123/EC. Ley de Protección de Datos de 1998. Estrategia nacional de ciberseguridad “Progresando y Adelante con el Plan de 2014”.

Normas legales o políticas: Reglamento Europeo de Autenticación Electrónica (julio de 2014). Ley de Comunicaciones Electrónicas del 2000. Regulación de las Firmas Electrónicas 2002. Directiva de los Servicios 2006/123/EC. Ley de Protección de Datos de 1998. Estrategia nacional de ciberseguridad “Progresando y Adelante con el Plan de 2014”.

14 UE. Disponible en: https://www.boe.es/doue/2014/257/L00073-00114.pdf. Último acceso: octubre 7

de 2015.

93

https://www.boe.es/doue/2014/257/L00073-00114.pdf


Responsabilidades para los usuarios: disponible en los términos y condiciones de uso del servicio. Es completamente indelegable e intransferible. Se trata de un mecanismo de autenticación más que de una firma electrónica.

Emisores y operadores de los proyectos: multioperador con selección estatal bajo ciertos criterios. Hasta la fecha sólo cuatro de nueve empresas tienen contratos call-off en el marco existente (Digidentity, Experian, oficina de correos y Verizon).

TÉCNICA

Enfoque basado en estándares que deben cumplir los proveedores de identidad

certificados para el proceso de validación y verificación de identidad.

Una vez que han comprobado su identidad con un proveedor de identidad (IdP), este

último, puede autenticar la identidad en múltiples servicios públicos, como y cuando, sea

necesario para el ciudadano. El servicio utiliza un “Hub”15 que permite a los proveedores

de identidad (IdP) autenticar las identidades de las partes (proveedores de servicios

gubernamentales y proveedores de identidad). Lo anterior permite confirmar, si:

El Gobierno almacena centralmente los datos de una persona.

La privacidad se está incumpliendo mediante el intercambio de datos

innecesarios.

Cualquiera de las partes (en las transacciones) comparten abiertamente los

detalles del usuario.

La empresa operadora del servicio (IdP) lleva a cabo una evaluación de riesgos para

comprender y cuantificar lo relacionado con la seguridad y calidad de datos dentro del

15 Se encargará de las comunicaciones entre los usuarios, los proveedores de identidad y proveedores de

servicios gubernamentales. Esto permitirá a los usuarios seleccionar y registrarse con un proveedor de identidad,

y luego usar su identidad segura para acceder a los diferentes servicios digitales.

94


servicio de autenticación. Uno de los ámbitos que abarca la evaluación es el registro de

información personal y el servicio de autenticación. Esto determina el nivel de fiabilidad

requerido para la identidad del usuario.

El estándar utilizado en este modelo es el denominado SAML, que describe los métodos

utilizados y las normas aplicadas al proceso de autenticación, desde la perspectiva de los

proveedores de identidad, hasta los proveedores de servicios gubernamentales.

Todos los servicios de conexión a la verificación de la identidad tienen que seguir la

especificación SAML. Al solicitar la autenticación de un individuo o de responder a esa

petición, el nivel de seguridad debe ser siempre especificado.

Estándares: estándares establecidos a través de buenas prácticas definidas por el Gobierno en GOV.UK. El estándar utilizado es el denominado SAML16.

Lineamientos tecnológicos: se establecen 4 niveles de aseguramiento para identificarse frente a los servicios digitales y las diferentes guías de buenas prácticas.El programa utiliza un 'Hub' que permite a los proveedores de identidad autenticar las identidades de las partes.

Políticas de seguridad y privacidad: estas políticas se encuentran enmarcadas en los principios de aseguramiento de identidad elaborada por el grupo de protección de privacidad y asesor del consumidor (PCAG por sus siglas en inglés) y que tienen como objetivo:o Proporcionar una visión independiente sobre cuestiones de privacidad y

preocupaciones de los consumidores.

o Reunir una amplia gama de experiencia en temas de privacidad y de consumo

con participación del Gobierno en un entorno abierto y respetuoso, donde

estas cuestiones se puedan discutir con franqueza y honestidad.

o Asegurar que los programas gubernamentales involucren de manera efectiva

cuestiones relacionadas con la privacidad y la confianza de los ciudadanos.

16 Reino Unido. Anexo 8. Identity Assurance Hub Service Profile – 2 SAML Attributes v1.1a 3

95


o Proporcionar un canal para Gobierno y una participación más amplia del

sector público con representantes de los sectores de consumo y privacidad.

o Abogar y promover enfoques respetuosos sobre la intimidad en el manejo de

la información de carácter personal.

o Comunicar y explicar los problemas de privacidad y de consumo claramente a

los ciudadanos.

En el siguiente cuadro, se señalan los nueve principios en los que se enmarca la

privacidad y seguridad de los datos personales en el Reino Unido:

PRINCIPIO DE ASEGURAMIENTO DE LA

IDENTIDADRESUMEN DE CONTROL OTORGADO A UN CIUDADANO

1. Control de UsuarioEl usuario puede ejercer el control sobre las actividades de aseguramiento

de identidad que le afecten, éstas sólo pueden tener lugar si existe

consentimiento o aprobación.

2. TransparenciaEl aseguramiento de la identidad sólo tiene lugar siempre que se entienda su

finalidad y cuando se esté totalmente informado.

3. MultiplicidadSe puede usar y elegir diferentes proveedores de identificación como se

quiera.

4. Minimización de datosLas interacciones sólo deben utilizar datos mínimos necesarios para

satisfacer las necesidades del ciudadano.

5. Calidad de los datos El ciudadano puede elegir cuando actualizar sus registros.

6. Servicio de acceso de usuario y portabilidad

Se tiene el derecho de acceso a copia de todos los datos que se requiera y

se pueden mover y eliminar los mismos cada vez que se quiera.

7. Certificación Se garantiza la confianza en el servicio de verificación de la identidad, ya

96


que todos los actores participantes tienen que ser certificados contra

requisitos comunes del Gobierno.

8. Resolución de conflictosEn caso de un conflicto, se puede ir ante un tercero independiente para que

lo resuelva.

9. Circunstancias excepcionales

Cualquier excepción debe ser aprobada por el Parlamento y está sujeta a un

escrutinio independiente.

Tabla 12. Principios en que se enmarca privacidad y seguridad de datos personales en Reino Unido


Mecanismos de autenticación: un sólo mecanismo de autenticación con una clave verificada por empresas especializadas y certificadas por la Oficina del Gabinete.

Requerimientos técnicos y funcionales de las soluciones tecnológicas: en el Perfil de Identidad Service Assurance Hub SAML se describen los métodos utilizados y las normas aplicadas al proceso de autenticación desde la perspectiva de los proveedores de identidad, proveedores de servicios y los servicios correspondientes. Todos los servicios de conexión a la Verificación de la Identidad de Fomento (AIF) Servicio Hub tienen que seguir la especificación SAML. Al solicitar la autenticación de un individuo o de responder a esa petición, el nivel de seguridad debe ser especificado. Este documento describe cómo se especifica y se registra en las interacciones entre los servicios de cubo, proveedores de identidad y proveedores de servicios el nivel de seguridad17.

Interoperabilidad con soluciones tecnológicas de Gobierno o institucionales: GOV.UK está disponible desde 2012 y proporciona un único punto de acceso a los

17 Reino Unido. Anexo 7. Identity Assurance Hub Service SAML 2 2.0 Profile v1.1a 3

97


servicios gubernamentales, reemplazo a Directgov y Business Link, así como los sitios Web de cientos de departamentos gubernamentales y organismos públicos (312 agencias y otras estructuras de Gobierno con sitios Web que fueron a la transición con GOV.UK y más de 1.800 sitios independientes se han cerrado). Esta transición se completó en diciembre de 2014.

El Reino Unido cuenta con un sistema de interoperación basado en el GSI que es

la infraestructura de la red principal de conexión y unión a los departamentos y

organismos del Gobierno central. Proporciona una conexión segura y fiable a

Internet, incluyendo el acceso seguro a los servicios Web, transferencia de

archivos y búsqueda; servicios de directorio, publicación Web y de un mecanismo

para el intercambio de correo electrónico dentro de la comunidad GSI a través de

Internet.

El GSI es un servicio gestionado que ofrece el servicio de contratación pública

(anteriormente "la compra de soluciones”) y se entrega a través de una alianza con

Cable & Wireless del Reino Unido. El acuerdo marco GSI se extendió hasta agosto

de 2011, con la posibilidad de realizar contratos individuales con los clientes dentro

de los seis meses siguientes a la fecha indicada, por lo que este servicio puede ser

entregado a los clientes hasta febrero de 2012. Se ofrecerán servicios futuros a

través de la nueva Red de Servicios Públicos (PSN).

FINANCIERA

La Oficina del Gabinete que controla los servicios dispuestos en GOV.UK Verify,

ha establecido una inversión aproximada de 150 millones de libras para los

próximos años, con la emisión de una póliza correlativa por parte de las empresas

operadoras certificadas o IdPs en nombre de los Servicios de Gobierno Digital

(GDS).

El objetivo de la Oficina del Gabinete, es que todos los servicios digitales del

Gobierno Central que requieren servicios de aseguramiento de identidad utilicen

Gov.uk Verifiy antes de marzo de 2016.

98


Modelo de sostenibilidad (fuentes de ingreso o financiación): la Oficina del Gabinete estableció un contrato por £ 150 millones en nombre del Gobierno Digital Service (GDS). El Estado a través del Servicio de Gobierno Digital paga por todo. Es gratuito para el ciudadano.

CAPEX: los proveedores de identidad IdP.

OPEX: los proveedores de identidad IdP, a través de las tarifas que se cobran a los proveedores de servicios gubernamentales (Estado).

Transparencia: actualmente esta información financiera no se encuentra disponible al público.

ORGANIZACIONAL

Mapa de actores y roles de las entidades: relación entre ciudadanos, proveedores de identidad y entidades gubernamentales. GOV.UK Verify.

Mercado: 64,51 millones de habitantes. Alcance del modelo (beneficiarios): es un modelo que recién está

empezando a funcionar, aún se encuentra en versión Beta. Se espera lograr progresivamente el total de la población.

Empresas instancias o sectores que participan en el desarrollo del modelo: nueve empresas han firmado acuerdos marco para convertirse en empresas certificadas para GOV.UK Verify: i) Barclays, ii) Digidentity, iii) Experian, iv) Grupo GB, v) Morpho, vi) PayPal, vii) Oficina de correo, viii) Correo real, ix) Verizon. Actualmente sólo 4 están prestando efectivamente el servicio (Digidentity, Experian, Oficina de Correos y Verizon). Por parte del Gobierno, se encuentra la Oficina de Gabinete como responsable de la operación del sistema centralizado “Hub”.

Articulación con otras iniciativas de gobierno electrónico: opera y se conecta con diversas iniciativas de gobierno electrónico dentro del Estado y múltiples trámites.

99


SOCIOCULTURAL

Estrategia de apropiación y uso por parte de los usuarios: en la página Web se encuentran videos tutoriales explicando el paso a paso del proceso verificación de identidad que se realiza. El Gobierno ha dispuesto el programa “Go ON UK” el cual contiene toda la estrategia de apropiación.

Estrategias de difusión y marketing: difusión a través de medios masivos, redes sociales y el programa “Go ON UK”.

Indicadores de uso:

Usuarios logueados de abril de 2013 a septiembre 2015: 238.000.

Cuentas verificadas de abril de 2013 a septiembre 2015: 290.000

Cuentas básicas de abril de 2013 a septiembre 2015: 185.000.

Facilidad en el proceso de autenticación : es un proceso que no necesita demasiada

explicación. Amigable, centralizado para todos los servicios estatales.

Estrategia de implementación utilizada: mecanismos BTL en eventos académicos y

ATL a través de la fuerza de marketing de los operadores certificados.

Esquemas de formación de usuarios: disponibles principalmente de manera virtual a

través de guías de buenas prácticas disponibles en gov.uk. y en Go on UK.

1. Aumentar el número de personas que utilizan los servicios digitales: los departamentos aumentarán la conciencia de sus servicios digitales para que más personas los conozcan y los utilicen. Así mismo, buscan la manera de utilizar los incentivos para fomentar la adopción digital.

2. Capacitar en temas digitales a toda la administración pública: todos los departamentos se asegurarán de que tienen los niveles adecuados de

100


capacidad digital, incluyendo las habilidades especializadas, lo cual repercutirá en una mejor capacidad digital en los demás departamentos.

o Tipologías de cliente-objetivo: el servicio es dirigido principalmente al ciudadano - persona natural. GOV.UK Verify ofrece a las personas una forma cómoda y segura para demostrar su identidad al acceder a los servicios de gobierno digital. Solamente se da en la relación entre ciudadanos y entidades gubernamentales. Se encuentra en una fase piloto para temas tributarios y transporte.

101


4.4 PERÚ

Capital: Lima.

Lenguaje oficial: español.

Moneda: Nuevo sol.

Bandera:

Ilustración 19. Bandera de Perú



Nivel de ingresos: Ingreso mediano alto

Población total: 30,77 millones (2014)

Población urbana (% del total): 78% (2014)

Índice de Gini: 45,3 (2010)

Tabla 13. Indicadores de desarrollo Perú


102



PIB: US$ 202,9 mil millones (2014)

Crecimiento del PIB (% anual): 2,4% (2014)

Inflación: 3,2% (2014)

Superávit/déficit del efectivo (% del PIB): 2,0% (2012)

Tabla 14. Economía y crecimiento Perú



Gasto en investigación y desarrollo (% del PIB): 0,12%

Usuarios de Internet (por cada 100 personas): 40,2% (2014)



Tabla 15. Ciencia, tecnología y comunicaciones Perú


103



En Perú, el Registro Nacional de Identificación y Estado Civil (RENIEC), es el encargado

de responder a la necesidad de administrar y dirigir el sistema registral de los peruanos,

que involucra el registro civil, el de personas y el de naturalización; lo cual constituye el

registro único y base de datos de identificación de todos los peruanos. El RENIEC emite el

Documento Nacional de Identidad, único para la identificación personal en el país, y en

épocas electorales, elabora el padrón electoral, así como en forma permanente efectúa

verificaciones de firmas para los procesos de iniciativa de reforma constitucional, iniciativa

en la formación de las leyes, referéndum, iniciativa en la formación de dispositivos

municipales y regionales, revocatoria de autoridades, demanda de rendición de cuentas y

otros mecanismos de control.

Adicional a esto, el Estado designa al RENIEC como entidad de certificación nacional para

el Estado peruano y entidad de registro o verificación.

El RENIEC es un organismo que cuenta con la mejor tecnología informática actualizada,

además de personal calificado para desempeñarse con éxito en la actividad de registro e

identificación de personas; así mismo, participa en la aplicación de normas, procesos y

procedimientos que rigen esa actividad.

La página Web de RENIEC (Registraduría Nacional de Identificación y Estado Civil)

cuenta con una sección de “Identidad Digital” donde están explicados en texto y video, los

diferentes conceptos asociados como: identidad digital, certificado digital, utilidad de un

certificado digital y firma digital.

También es posible tener un mejor entendimiento del proceso de firma digital y sus

beneficios: identidad digital, certificado digital, utilidad de un certificado digital y firma

digital.

El portal del ciudadano tiene como finalidad ofrecer una serie de servicios en la Web que

el RENIEC brinda a los ciudadanos mediante el uso de su DNI electrónico (DNIe). Estos

servicios son posibles gracias a la seguridad que un dispositivo como el nuevo DNIe

104


ofrece para la obtención remota de, por ejemplo, certificados de inscripción y actas

oficiales, así como la posibilidad de firmar documentos digitales, entre otras operaciones.

Ilustración 20. Portal ciudadano RENIEC Perú

Fuente. Página Web Reniec

Para poder acceder a estos servicios, el usuario deberá contar con su DNIe, el cual se le

entrega al ciudadano junto con un par de credenciales, una de autenticación y una de

firma, cada uno con un PIN como los que se utilizan en tarjetas de débito o crédito. La

credencial de autenticación será utilizada para acceder a los servicios del portal y será

liberada al digitar el PIN de autenticación en el teclado virtual que se le presenta al hacer

click en "DNI electrónico".

105


Ilustración 21. Autenticación portal ciudadano RENIEC Perú


Al ingresar el PIN correcto, el usuario accederá al portal del ciudadano y se mostrarán las

funciones disponibles:

Ilustración 22. Ruta de navegación portal ciudadano RENIEC Perú


Vale la pena mencionar que el usuario tiene acceso a estos servicios:

Firma digital de documentos: en el menú “Firma Digital”, el ciudadano podrá

firmar documentos digitales en formato PDF con su certificado digital, haciendo

106


el documento oficial. También podrá verificar la validez de documentos

firmados por otras personas.

Certificados digitales: en este menú, el ciudadano podrá visualizar los

certificados digitales que RENIEC le emitió y su estado. En esta opción el

usuario podrá saber cuándo su certificado esté próximo a expirar o podrá

cancelarlo cuando lo considere necesario.

Registro de correo electrónico: en este menú, el ciudadano podrá registrar los

correos electrónicos en los cuales autoriza al RENIEC comunicarse con él. En

estos correos registrados, el ciudadano recibirá novedades sobre el DNI

electrónico.

Herramientas: en el menú Herramientas, el ciudadano podrá utilizar y conocer

mejor su DNIe. La opción “Datos de su DNI Electrónico”, le mostrará al

ciudadano los datos que su DNIe contiene. El DNI electrónico del Perú cumple

con el estándar ICAO, que es un estándar internacional de documentos de

viaje electrónicos y en esta opción el ciudadano podrá ver estos datos,

incluyendo la fotografía que está impresa en su DNIe.

En este menú, también es posible cambiar el PIN de autenticación y el PIN de

firma, de la misma forma que se cambian las contraseñas de, por ejemplo, el

correo electrónico. Se recomienda al ciudadano cambiar frecuentemente estos

PIN, que los guarde de forma segura y que no los comparta con nadie. Así

mismo se le recuerda que al cambiar su PIN de autenticación, a partir del

próximo acceso al portal, este nuevo PIN deberá ser utilizado.

Verifique su DNI: finalmente, el portal del ciudadano le ofrece una herramienta

para verificar el estado de su DNI. Esta herramienta le informará si los

elementos del chip de su DNI están en funcionamiento. Entre otras cosas, el

sistema le informará si sus PIN están bloqueados.

107



La Oficina Nacional de Gobierno Electrónico e Informática (ONGEI) de la Presidencia del

Consejo de Ministros, formula las políticas públicas en gobierno electrónico, conforme al

numeral 26.2, del artículo 26, de la ley Nº 29904, Ley de Promoción de la Banda Ancha y

Construcción de la Red Dorsal Nacional de Fibra Óptica. La política de gobierno

electrónico compromete a todos los poderes del Estado, organismos autónomos,

gobiernos descentralizados, instituciones políticas y la sociedad civil, a través de sus

distintas organizaciones.

Objetivos:

1. Fortalecer el gobierno electrónico en las entidades de la administración

pública, garantizando su interoperabilidad y el intercambio de datos, con la

finalidad de mejorar la prestación de los servicios brindados por las

entidades del Estado para la sociedad y fomentando así su desarrollo.

2. Acercar el Estado a los ciudadanos, de manera articulada, a través de

las Tecnologías de la Información, que aseguren el acceso oportuno e

inclusivo a la información y participación ciudadana, como medio para

contribuir a la gobernabilidad, transparencia y lucha contra la corrupción en

la gestión del Estado.

3. Garantizar la integridad, confidencialidad y disponibilidad de la

información en la administración pública, mediante mecanismos de

seguridad de la información gestionada, así como articular los temas de

ciberseguridad en el Estado.

4. Fomentar la inclusión digital de todos los ciudadanos, a través del

gobierno electrónico, especialmente de los sectores vulnerables, a través

de la generación de capacidades y promoción de la innovación tecnológica,

respetando la diversidad cultural y el medio ambiente.

108


5. Promover, a través del uso de la Tecnologías de la Información y en

coordinación con los entes competentes, la transformación de la sociedad

peruana en una sociedad de la información y el conocimiento, propiciando

la participación activa de las entidades del Estado y la sociedad civil, con la

finalidad de garantizar que ésta sea íntegra, democrática, abierta, inclusiva

y brinde igualdad de oportunidades para todos.

Lineamientos estratégicos:

Basándose en los criterios de evaluación de estándares para definir el nivel

de desarrollo de gobierno electrónico del país, las tendencias de las TIC en

los próximos años, la Política Nacional de Modernización de la Gestión

Pública, las estrategias, planes de las diferentes entidades del Estado

peruano y las consultas realizadas a la población al interior del país;

referente a los servicios que las entidades del Estado brinda, se han

establecido los siguientes lineamientos estratégicos para gobierno

electrónico en el Perú:

a) Transparencia: promover el conocimiento de la gestión del Estado a

través de nuevos canales que permitan la participación del ciudadano en

las funciones públicas con información confiable, oportuna y accesible.

Además, la transparencia generará mayor visibilidad de los asuntos del

Estado y contribuirá a los objetivos de la Política Nacional de

Modernización de la Gestión Pública, en concordancia con la Ley N° 29976,

la cual crea la Comisión Anticorrupción que en su artículo 3.4 establece:

“coordinar con las entidades responsables, su contribución al cumplimiento

de las normas de transparencia, éticas, la participación ciudadana, el

109


conocimiento del accionar de los funcionarios públicos, los actos de la

administración y el manejo presupuestal de cada entidad”.

b) E-Inclusión: incluir a todos los ciudadanos sin distinción de origen, credo,

idioma, sexo, edad u otra variable de exclusión a la Sociedad de la

Información y del Conocimiento (SIC), a través de proyectos y programas

de alfabetización digital que permitan el fortalecimiento de las capacidades

de los ciudadanos.

c) E-Participación: generar la participación activa del ciudadano a través de

su identidad digital en la gestión pública, a través de plataformas de Internet

como: redes sociales, foros, chats en línea u otras formas de interacción a

fin de satisfacer eficientemente necesidades de información, control y

consultas públicas en nuevas políticas de Estado.

d) E-Servicios: habilitar los medios electrónicos seguros necesarios al

ciudadano para que pueda acceder a los servicios públicos, a través del

uso de su identidad digital, con seguridad, comodidad y satisfacción desde

cualquier lugar. E-Servicios necesita de un rediseño de los procesos en las

entidades del Estado, así como el aseguramiento de estándares

tecnológicos en interoperabilidad (webservices). Adicionalmente, se

requiere construir una plataforma tecnológica intergubernamental que

facilite los servicios, trámites y consultas del ciudadano. Finalmente, se

necesita apoyar las iniciativas de identidad digital, firmas y certificados

digitales; mecanismo de seguridad para la privacidad y la protección de los

datos en general y datos personales en particular.

e) Tecnología e innovación: se debe promover el crecimiento de la

tecnología e innovación a través de la provisión de una infraestructura

adecuada, por medio del desarrollo de plataformas que permitan llevar a

cabo innovaciones, impulsando la cultura emprendedora y, al mismo

tiempo, dando respuestas a problemáticas sociales concretas.

110


f) Seguridad de la información: el paradigma de todo a disposición de todos

debe manejarse de la manera más cuidadosa, velando por la integridad,

seguridad y disponibilidad de los datos; para ello se deben establecer

lineamientos en seguridad de la información, a fin de mitigar el riesgo de

exposición de contenido sensible del ciudadano.

g) Infraestructura: el requisito fundamental para la comunicación efectiva y

la colaboración dentro del Estado es contar con una red informática y de

telecomunicaciones que integre a todas las dependencias y a sus

funcionarios públicos, incluyendo hardware, software, sistemas, redes,

conectividad a Internet, bases de datos, infraestructura para capacitación

en línea (e-Learning) y recursos humanos especializados. Además, los

servidores públicos deberán compartir recursos metodológicos, de

infraestructura y conocimiento, así como el intercambio de datos espaciales

con el objetivo de compartir buenas prácticas para mejorar su

aprovechamiento y evitar duplicidades.

4.4.3 EL MODELO

El modelo peruano se evidencia centralizado, operado directamente por el Estado y para

el Estado. Es un sistema confiable que permite la identificación del ciudadano y de las

personas jurídicas ante las entidades del Estado.

La masificación de este mecanismo se busca mediante la expedición de la tarjeta de

identificación digital a todos los peruanos, la cual puede ser usada para el proceso de

identificación y que funciona incluso para trámites presenciales. Este elemento es

interesante en la medida en que responde a la realidad de países en desarrollo, en donde

el acceso a Internet y la alfabetización digital universal están aún en proceso.

111


A modo de resumen del modelo peruano, a continuación se presenta la explicación del

CANVAS:

112

CANVAS

Ilustración 23. Canvas Perú



La base del sistema peruano es la tarjeta de identificación (DNI-e) que incorpora un chip

para configurarse como un sistema de autenticación mediante las siguientes aplicaciones:

Aplicación de Firma Digital - PKI: contiene grabados en el chip, certificados

digitales y claves, los cuales pueden usarse para validar la identidad y/o firmar

digitalmente.


Aplicación de Autenticación Biométrica - MOC: contiene grabadas en el chip

las plantillas de las huellas dactilares, lo que posibilita su comparación con las

del portador y la validación de su identidad en cuanto el usuario quiera acceder

a un servicio o información.

El uso de esta aplicación puede asociarse a la generación de la firma digital y

para iniciar otros procesos propios de la tarjeta que requieran validar la

identidad del usuario, tales como el cambio de PIN y su desbloqueo.

Aplicación de identidad ICAO eMRTD: contiene almacenados en el chip los

datos de identidad del ciudadano según estándar de ICAO, los cuales son

idénticos a los que van grabados en la capa receptiva de la tarjeta de

policarbonato. Esto, además de constituirse en un elemento más para validar la

autenticidad de la tarjeta y de la identidad de su portador, facilita la ágil lectura

y toma de datos, de ser esto aceptado por su titular (control migratorio, policial,

etc.).

Por su parte, el proceso del modelo de autenticación de Perú supone la solicitud del

mecanismo o DNI-e ante el RENIEC, quien establece si el ciudadano puede ser titular de

este mecanismo; luego de establecer dicha situación el RENIEC procede a la emisión y

entrega del DNI-e al ciudadano, quien luego de esto podrá realizar los diferentes trámites

electrónicos frente a las entidades estatales.

Ventajas: posibilita la simplificación de trámites mediante el uso de una única

credencial; sirve como tarjeta de identidad y para firmar electrónicamente.

También permite realizar trámites en línea y presenciales; como tarjeta

inteligente ofrece beneficios significativos de:

o Interoperabilidad local, ya que puede diseñarse una tarjeta para que

acceda a múltiples aplicaciones.

o Escalabilidad de aplicaciones debido a que si hay espacio disponible,

pueden agregarse más aplicaciones dentro de la tarjeta.

114

o Serviría de plataforma de seguridad para la modernización de los procesos

administrativos.

o Hace uso de la tecnología de Infraestructura de Clave Pública (PKI),

tarjetas inteligentes y biometría; fomentando así el uso de las Tecnologías

de la Información en la implementación de nuevos servicios.

o Como tarjeta inteligente biométrica, proporcionará la capacidad de

verificación comparando un parámetro biométrico escaneado, contra una

simple plantilla guardada en el chip de la tarjeta.

o Portabilidad, ya que su tamaño pequeño le permite a las personas llevar

grandes cantidades de información en un medio actualizable, con relativa

facilidad.

o Posee un sistema operativo que evita que las claves sean expuestas fuera

de la tarjeta y de esta manera puedan ser leídas, removidas o manipuladas

por alguien.

o Proporciona una capacidad de almacenamiento de información superior a

los códigos de barras tradicionales, ya que no solamente sirve de

repositorio de las claves privadas y certificados, sino que permite incluso

actualizar la información contenida en el chip y realizar operaciones dentro

de éste.

Casos de uso: el modelo de Perú permite que los ciudadanos puedan usarlo en los siguientes escenarios:

o Documento Nacional de Identidad.

o Documento de viaje en los países con convenio.

o Autenticación de identidad para trámites presenciales y en línea.

o Elemento clave para la virtualización de servicios que brindan instituciones

públicas e iniciativas de gobierno electrónico.

o Votación electrónica.


o Identificación de beneficiarios de programas sociales y políticas de Estado,

para mejora de procesos de asignación y distribución de recursos.

o Control seguro para el acceso a redes e instalaciones físicas.

Ilustración 24. Modelo Perú


A modo de resumen del modelo peruano se enumeran sus principales actores y

actividades:

Actores:


o El Registro Nacional de Identificación y Estado Civil (RENIEC) que actúa

en el enrolamiento del ciudadano.



Paso a paso:

116

1. El ciudadano se dirige a uno de los puntos de atención de RNIEC para el

enrolamiento de su identidad.

2. La RENIEC, a través de la verificación de registros públicos establece que

el solicitante podrá ser el titular del DNI electrónico.

3. Una vez verificada la identidad, y enrolado su registro biométrico, RNIEC

emite una tarjeta electrónica que contiene el chip con firma digital.

4. El ciudadano titular de la tarjeta podrá utilizar su mecanismos de

autenticación electrónica y firma digital en todo tipo de trámites electrónicos

ofrecidos por el Estado.


presencial o electrónica ante el RENIEC.

4.4.5 PERSPECTIVAS

JURÍDICA

o Marco de política que soporta el modelo : la Oficina Nacional de Gobierno Electrónico e Informática (ONGEI) de la Presidencia del Consejo de Ministros formula las políticas públicas en Gobierno Electrónico en Perú, conforme al numeral 26.2, del artículo 26, de la ley Nº 29904, Ley de Promoción de la Banda Ancha y Construcción de la Red Dorsal Nacional de Fibra Óptica. La política de gobierno electrónico compromete a todos los poderes del Estado, organismos autónomos, gobiernos descentralizados, instituciones políticas y la sociedad civil, a través de sus distintas organizaciones. Todo lo anterior con base en la Ley Modelo de Firma Electrónica de 2001 de la Uncitral.

o Normas legales o políticas: se encuentra la ley No. 29222 que modifica el artículo 37 de la ley Nº 26497, que cita el Documento Nacional de Identidad (DNI), éste tendrá una validez de ocho (8) años, el cual será renovado por el plazo inicial. La invalidez se presenta cuando el citado documento sufre de un deterioro considerable, por cambios de nombre, o de alteraciones sustanciales en la apariencia física que originen que la fotografía pierda valor identificatorio.

o Instrumentos: Ley Modelo de Firma Electrónica de 2001 de la CNUDMI. Ley No. 29222 que modifica el artículo 37 de la ley Nº 26497 sobre el DNI. ley Nº 27310 sobre Firmas y Certificados Digitales. Decreto supremo 052-2008-PCM reglamenta la Ley de Firmas y Certificados Digitales. Ley Nº 26497 Ley Orgánica


del Registro Nacional de Identificación y Estado Civil – RENIEC. Ley 29733 Ley de Protección de Datos Personales.

Términos y condiciones de uso para los usuarios: fijan las relaciones entre el Estado y el ciudadano en el uso del DNI electrónico así:

o Propiedad. RENIEC es propietario del software, por lo que la propiedad intelectual y/o derecho de autor son exclusivos de esta institución, así como, los derechos legales de copia, patentes, marca, manuales de usuario, secretos comerciales y cualquier otro vinculado que pudiese surgir, incluida toda la información o documentación que el RENIEC proporcione a la entidad.

o Costo. RENIEC cede al usuario la licencia de uso, copia, distribución y publicación del software sin costo alguno y bajo su responsabilidad, debiendo ser usado dentro del marco legal técnico vigente.

o Licencia Limitada. “Usted no puede, parcial o total y bajo ninguna forma o medio (y no permitirá a ningún tercero que lo haga): Reproducir, modificar o adaptar el software.

Alquilar, arrendar, prestar, ceder o vender el software.

Retirar los logos incluidos en el software.

Usar o introducir cualquier tipo de dispositivo, componente o rutina que

interfiera o que pueda tratar de interferir con las operaciones del software.

Usar el software quebrantando las licencias de las librerías listadas en los

“créditos””.

Privacidad y seguridad: se basan en afirmar, conocer, aceptar y cumplir las

“políticas de privacidad y seguridad” declaradas en los términos y condiciones de uso

establecidas por el RENIEC.

o “Terceros. Si se utiliza software con certificados de Terceros, o si de otra forma un

Tercero hace uso del software usando otros certificados, estando autorizado o no,

RENIEC no se responsabiliza por las operaciones de firma digital efectuadas, ya

que se estarían violando “políticas de seguridad””.

o Exclusión de garantías. RENIEC no otorga garantías de ningún tipo por el uso del

software, ya sea de manera expresa, implícita, legal o de cualquier otra forma.

o Limitación de responsabilidad. RENIEC no se hace responsable de la pérdida de

ingresos o daños directos o indirectos, especiales, incidentales, derivados, o

punitivos, incluso si los daños directos no son suficientes para servir de

118

compensación. Por lo tanto, ninguna forma de indemnización podrá ser reclamada

ni al RENIEC ni a ninguno de sus funcionarios.

o Vigencia y resolución. RENIEC puede dar por terminados los siguientes

términos de uso en cualquier momento y sin previo aviso. A la terminación

del presente, RENIEC dará de baja el software y el usuario deberá dejar de

usar el mismo y borrar todas las copias del software existentes bajo su

responsabilidad.

o Modificación de los términos de usos y políticas. RENIEC puede cambiar o

modificar, sin previo aviso, estos términos o cualquier otra política que regule el

uso del software para, por ejemplo, reflejar cambios en la ley, adicionar o remover

funcionalidades. La modificación de los términos o políticas serán anunciadas en

www.reniec.gob.pe

Responsabilidades para los usuarios: o Limitación de responsabilidad. El RENIEC no se hace responsable por la pérdida

de ingresos o daños directos e indirectos, especiales, incidentales, derivados, o punitivos, incluso si los daños directos no son suficientes para servir de compensación.

Emisores y operadores de los proyectos: direccionamiento estatal, operador estatal monopólico para la autenticación frente al Estado peruano.

TÉCNICA

El DNI-e combina tecnologías como la de Smart Cards, personalización por grabado láser,

biometría y firma digital.

o Tarjeta SMART CARD: se denomina Smart Cards a aquellas tarjetas inteligentes con

chip incrustado. El chip de que dispone el DNI-e cuenta con las siguientes

características:

Chip de contactos según norma ISO/IEC 7816.

Sistema operativo Java Card. Permite la incorporación posterior de aplicaciones y

contenidos adicionales.

Chip con capacidad criptográfica para gestión de claves RSA y firma digital con

certificados.


Memoria EEPROM de 64Kb.

Seguridad del chip según estándares Common Criteria nivel EAL4+ ó FIPS 140-

2.

o Grabado láser en policarbonato: este proceso tecnológico ofrece las siguientes

características:

El policarbonato del que está fabricado el soporte de la tarjeta permite la

incorporación de elementos de seguridad física de última tecnología y su

personalización mediante grabado láser.

El haz de luz láser traspasa la capa superficial de la tarjeta y altera

molecularmente la capa receptiva intermedia (carbonizado), con lo cual se logra

el efecto de impresión y también el efecto de impresión con relieve o táctil.

Dado el proceso de fusión y alta presión en la integración de las capas de la

tarjeta durante su fabricación éstas no pueden ser separadas.

o Tecnología biométrica: el DNI-e ofrece a través de su aplicación Match-on-Card una

autenticación por tecnología biométrica. El proceso se realiza de la siguiente

manera:

Dentro del proceso de inscripción de los ciudadanos se toma sus huellas

dactilares (enrolamiento).

A las imágenes de las huellas se les extraen las minucias y se obtienen las

plantillas biométricas.

Las plantillas biométricas de ambos dedos índices se almacenan en el chip.

Para la validación de la identidad del ciudadano, al acercarse éste a un punto

de atención coloca su índice sobre un lector.

El equipo extrae las minucias que caracterizan a la huella en particular y genera

una plantilla biométrica.

120

Esta nueva plantilla biométrica es enviada a la aplicación Match-on-Card, la cual

se compara con la original que fue guardada durante el enrolamiento y que

pertenece al ciudadano titular del documento.

La propia aplicación Match-on-Card de la tarjeta da la respuesta en cuanto a si

ambas plantillas corresponden o, lo que es lo mismo, valida la identidad.

La aplicación Match-on-Card cuenta con parámetros de operación idóneos en

los que se refiere a tiempo de respuesta, tasa de falsa aceptación, tasa de falso

rechazo e igualmente en cuanto a su operación dentro de los estándares

tecnológicos vigentes.

o Tecnología de Firma Digital PKI: el DNI electrónico ofrece a través de su aplicación

PKI la posibilidad de autenticarse y de firmar digitalmente documentos electrónicos.

La firma digital comprende un proceso criptográfico valiéndose de un par de claves

asimétricas, el cual está dividido en su emisión propiamente dicha y en su

validación.

o Emisión:

Con el DNI electrónico colocado en el lector de tarjetas de contacto del PC,

el aplicativo solicita el PIN al emisor.

A partir del documento original se calcula, mediante un algoritmo de hash

como el SHA-1, un resumen de longitud fija que lo identifica de manera

única.

Ese resumen es cifrado con la clave privada del emisor mediante un

algoritmo de firma como el RSA, con lo cual se produce la firma digital.

El paquete producido incluye el certificado digital del emisor.

o Validación:

El receptor del documento firmado digitalmente lo abre para visualizarlo y el

aplicativo inicia su validación.

Se calcula de nuevo el código hash a partir del documento original incluido

en el paquete.


Con la clave pública se descifra el código hash del documento original, que

fue enviado por el emisor en el paquete.

Se compara ambos resúmenes hashes y, de resultar iguales, queda

verificada la autenticidad, origen e integridad del documento recibido.

Estándares: el DNI electrónico deberá cumplir con los requisitos y

especificaciones técnicas mínimas exigidas por diversas normas internacionales: i)

ICAO DOC 9303 – PARTE 3, ii) ISO/IEC 7810, iii) ISO/IEC 7816, iv)ISO/IEC

10373, v) ISO/IEC 7812, vi) AAMVA, vii)X.509 (PKIX), ix) KCS, x)S/MIME, SET,

SSL, xi) NTP 12207 - Métrica V3, xii) Estándares AFIS y xiii) Metodología de

innovación tecnológica.

Lineamientos tecnológicos: el RENIEC es una de las primeras instituciones

públicas en el Perú que desarrolla a medida sus sistemas informáticos. Para la

realización de éstos utilizó la implementación de captura en vivo de trámites DNI,

uso de Tecnologías Push (SMS), implementación del reconocimiento facial,

adecuación de la sala de cómputo de producción del RENIEC (NTP – ISO / IEC

17799), solución de procesamiento de transacciones de consultas en línea de

información de ciudadanos (zero down time), implementación del ambiente de

PREPRODUCCIÓN para el control de calidad de los sistemas informativos,

implementación de una base de datos para el procesamiento de información

histórica, auditoria y seguridad de las bases de datos del RENIEC con base en la

Norma Técnica Peruana ISO/IEC 17799.

Políticas de seguridad y privacidad: no es necesario que los usuarios se

registren en ningún medio para usar el aplicativo, por lo tanto, no se guarda

ninguna información personal. No copia, guarda, ni expone el PIN del usuario. No

copia, guarda ni expone la clave privada del usuario. Registra los siguientes datos

en el documento firmado. No registra ningún dato del usuario en los servidores del

RENIEC en ninguna de sus operaciones de uso.

Descripción genérica de las soluciones tecnológicas: múltiple autenticación.

Se trata del modelo de mayor innovación en la región PKI, Biometría, etc.

Documento de identidad físico y electrónico que consta de una tarjeta con un chip

122

incorporado. Permitirá la identificación y autenticación de las personas a través del

Internet que se basa en: i) Tecnologías de firmas digitales, ii) Tarjetas inteligentes

y iii) Biometría. Además incorporará elementos de seguridad físicos y lógicos. El

DNIe contiene la aplicación MOC (Match-On-Card) que ejecuta la comparación,

dentro del propio chip, de las plantillas biométricas (minucias).

Mecanismos de autenticación: cuenta con tres mecanismos: el DNI electrónico,

un factor de biometría utilizando la huella digital y por último un sistema llamado

Clave Sol. PKI, e ID, Biometría.

Requerimientos técnicos y funcionales de las soluciones tecnológicas: los

requerimientos técnicos y funcionales del DNIe contienen elementos relacionados

con: i) Seguridad física, ii) Seguridad lógica, iii) Certificados digitales, iv)

Smartcards, v) Biometría, vi) Estándares internacionales, vii) Durabilidad y viii)

Emisión paralela; los anteriores elementos responden a la multiplicación,

funcionalidad dual, emisión a demanda y sobre todo la interoperabilidad.

Interoperabilidad: 15 trámites, con distintas entidades estatales.

FINANCIERA

El valor del DNI electrónico lo asumen los ciudadanos, tiene un valor de 40 soles

peruanos lo que equivale a unos 38.950 pesos colombianos, aunque los trámites

no tienen costo alguno.

En cuanto a los costos de implementación del modelo, el Ministerio de Economía y

Finanzas asume a través de asignación presupuestal los recursos financieros

necesarios y los otorga al RENIEC.

El DNI-e se constituye en un elemento de alto impacto en beneficio de la

ciudadanía, agilizando los procesos y reduciendo los costos, tanto de su parte

como de las entidades del Estado, y particulares que hagan uso de ésta importante

herramienta tecnológica; esto sobre todo en la medida que se asocie a otras

iniciativas como la virtualización de servicios por Internet.


o Modelo de sostenibilidad: el DNI ordinario tiene un precio de S/. 29.00, que ha ido aumentando, pues su valor está atado al de la UIT (es el 0.78% de 1 UIT), siendo que su valor real es de S/. 23.00 (que es lo que se cobra por el duplicado). El DNI electrónico cuesta 40 soles.

o CAPEX: Estado. DNI y CS pagado por las personas. Privados para FEA. No auto sostenible.

o OPEX: los costos de infraestructura y personal son asumidos por la RENIEC a través del presupuesto general. El modelo de atención al ciudadano también es asumido directamente por el Estado.

o Tarifas: los trámites no tienen costo alguno, el único costo para el ciudadano es la adquisición del DNI electrónico.

o Transparencia: existe información pública.

ORGANIZACIONAL o Mapa de actores y roles de las entidades: el RENIEC es un organismo

que cuenta con la mejor tecnología informática actualizada, además de personal calificado para desempeñarse con éxito en la actividad de registro e identificación de personas, como en la aplicación de normas, procesos y procedimientos que rigen esa actividad.

o Mercado: 30,77 millones. La población representa el 65% de la población colombiana y sus condiciones socioeconómicas son similares a las de Colombia.

o Alcance del modelo (beneficiarios): aunque es un modelo avanzado técnicamente, el uso y la apropiación de los beneficiarios no ha sido la más provechosa debido a la limitada oferta de trámites en el gobierno electrónico.

Empresas, instancias o sectores que participan en el desarrollo del modelo: la operación está a cargo del RENIEC, y cuenta con el apoyo de ONGEI, el CONCYTEC y el INDECOPI. El DNI Electrónico (DNIe) tiene 15 mecanismos de seguridad, físicos y lógicos, teniendo como proveedores a: Indenova, Camerfirma, Safenet y Morpho.

Articulación con otras iniciativas de gobierno electrónico: los objetivos de la agenda digital (estrategias del gobierno electrónico) relacionados con el RENIEC son:o Impulsar la interoperabilidad entre las instituciones del Estado para la

cooperación, el desarrollo, la integración y la prestación de más y mejores

servicios para la sociedad.

o Proveer a la población: información, trámites y servicios públicos accesibles

por todos los medios disponibles.

124

o Desarrollar e implementar mecanismos para asegurar el acceso oportuno a la

información y una participación ciudadana como medio para aportar a la

gobernabilidad y transparencia de la gestión del Estado.

o Implementar mecanismos para mejorar la seguridad de la información.

o Mejorar las capacidades, tanto de funcionarios públicos como de la sociedad,

para acceder y hacer uso efectivo de los servicios del gobierno electrónico.

o Adecuar la normatividad necesaria para el despliegue del gobierno electrónico.

Voto electrónico por ejemplo.

SOCIOCULTURAL

o Estrategia de apropiación y uso por parte de los usuarios: la RNIEC ha

considerado el desarrollo de una estrategia de apropiación progresiva con la

incorporación paulatina de servicios a través de medios electrónicos que

podrán ser utilizados por los ciudadanos en diferentes instancias del Gobierno.

Esto se encuentra en la página Web de la RNIEC, en el enlace de DNI

electrónico, pero no existe disponible un documento independiente explícito

sobre el modelo.

o Estrategias de difusión y marketing: se utilizan básicamente herramientas

de difusión masiva a través de medios públicos de comunicación. Existe

también en una primera fase una fuerte sensibilización académica que se

puede reflejar en el activismo por parte de funcionarios y de personas

vinculadas con la academia.

o Indicadores de uso: los indicadores operacionales para medir el modelo son:

1.Cantidad de personas mayores de edad identificadas con el DNI-e, 2.

Cantidad de personas mayores de edad identificados con el DNI-e a nivel

nacional, 3. Cantidad de la población mayor de edad con conocimiento de

importancia de TIC, 4. Cantidad de instituciones gubernamentales que

participan activamente en la intervención, 5. Cantidad de ambientes para el

desarrollo del DNI-e, 6. Cantidad de procesos que se realizan para

incrementar la capacidad operativa y la puesta en marcha de la

implementación del DNI-e, 7. Cantidad de personas con conocimiento pleno


de la importancia del DNI-e, 8. Cantidad de campañas realizadas y 9.

Ejecución presupuestal.

De otra parte se pueden ver las siguientes cifras:

o Número de DNI electrónicos emitidos: 6 millones.

o Número de trámites que incluyen autenticación electrónica: 2.

Facilidad en el proceso de autenticación: amigable, contiene manual del

usuario, disponible para todos los usuarios por el RENIEC.

Estrategia de implementación utilizada: no disponible aún. Se pueden verificar

sin embargo, algunas acciones en la página Web de RENIEC.

Esquemas de formación de usuarios: a través de medios presenciales,

telefónicos y por Internet. La RENIEC crea la escuela registral que funciona como

ente transmisor de una educación especializada y de calidad en materia de

registros civiles y de identificación de personas naturales, aportando así, desde su

posición en la institución, al beneficio de los objetivos del RENIEC, del progreso

del país y todos los peruanos.

El RENIEC creó, el 27 de diciembre de 2002, la Escuela Nacional de Registro del

Estado Civil e Identificación (ENRECI); la misma que luego devino en el Centro de

Altos Estudios Registrales (CAER) el 30 de diciembre de 2008. Esta escuela tiene

la tarea de desarrollar actividades de capacitación en temas de registro civil,

identificación y afines; orientadas a los servidores de la entidad y registradores del

estado civil en materias como "Desarrollo Humano", "Registros Civiles", "RUIPN",

"Gestión Administrativa", "Actividades Electorales" y "Certificación Digital"

generando progreso al país por medio de su plataforma virtual.

Tipologías de cliente-objetivo: ciudadanos, personas naturales principalmente.

Por la naturaleza del mecanismo no contempla empresas o sociedades

comerciales. Ciudadano – entidades estatales.

126

4.5 CHILE

Capital: Santiago de Chile.


Moneda: Peso.

Bandera:

Ilustración 25. Bandera de Chile

Fuente: http://www.banderas-mundo.es/






Tabla 16. Indicadores de desarrollo Chile






Inflación: 4,4% (2014).

Superávit/déficit del efectivo (% del PIB): 0,5% (2012).

Tabla 17. Economía y crecimiento Chile




Usuarios de Internet (por cada 100 personas): 72,4% (2014).

Subscripciones de teléfonos celulares por cada

100 habitantes:133 (2014).

Subscripciones a Internet de banda ancha fija por

cada 100 habitantes:14,08 (2014).

Tabla 18. Ciencia, tecnología y comunicaciones Chile



La Unidad de Modernización del Estado (división del Ministerio Secretaría General de la

Presidencia de la República), busca acercar el Estado a las personas. Entre sus objetivos

como equipo está la modernización y gobierno digital, mejorando la atención y calidad de

servicio que diariamente entregan las instituciones públicas a los ciudadanos.

128

En este contexto, de modernización del Estado y gobierno electrónico, se aborda este

desafío no sólo como una “tecnologización” del Estado, sino como un cambio de

paradigma: un proceso integral que busca generar las condiciones para vivir en un Estado

cercano, inclusivo, transparente y participativo; orientado a satisfacer de mejor manera las

necesidades de los ciudadanos, contribuyendo así a mejorar su calidad de vida.

Teniendo en cuenta lo anterior, se formula la iniciativa Clave Única, la cual busca proveer

a los ciudadanos de una Identidad Electrónica Única (RUN y clave) para la realización de

trámites en línea del Estado, eliminando así la necesidad de realizar múltiples registros

para cada servicio.

Para la autenticación en línea, las instituciones públicas disponen de una aplicación cuyo

enrolamiento y verificación será realizado por el Servicio de Registro Civil e Identificación

y mediante la cual, los datos de identificación se transmiten de manera segura y confiable

a través de la plataforma de interoperabilidad del Estado.

Por último, se menciona que el Ministerio, operará el sistema “Clave Única” a través de

una solución tecnológica End-Point Open ID que consulta la base de datos del SRCeI

para verificar si la clave ingresada corresponde a la persona a quien se le entregó dicho

medio de identificación. Por lo tanto, la operación del sistema la provee el Ministerio

mientras que el SRCeI autentica la identidad de las personas. La clave personal nunca

está en conocimiento ni del Ministerio, ni de la institución o del servicio público en que el

usuario se autentica.

La iniciativa Clave Única de Chile busca proveer a los ciudadanos de una Identidad

Electrónica Única (RUN y clave) para la realización de trámites en línea del Estado,

eliminando así la necesidad de realizar múltiples registros para cada servicio. En este

sentido, es importante destacar que la identidad digital facilita la implementación del

modelo de portal centralizado de la red multiservicios del Estado al proveer el acceso a

diversos servicios mediante una autenticación común.


enrolamiento y verificación será realizado por el servicio de Registro Civil e Identificación y

mediante la cual, los datos de identificación se transmiten de manera segura y confiable a

través de la plataforma de interoperabilidad del Estado.

Todos las personas usuarias del registro civil, mayores de 14 años, pueden obtener esta

clave. Para obtener la contraseña, es necesario realizar tres simples pasos:


1. Dirigirse al registro civil con el carné de identidad, donde le harán entrega de

un comprobante correspondiente al “código de activación de cuenta en oficina

Internet”.

2. Posteriormente, ingresar al link que fue enviado a su correo electrónico

(Asunto: confirmación registro Oficina Internet-SRCeI) donde se le solicitará

digitar el número de su Carné de Identidad (RUN) y el “código de activación”

disponible en el comprobante. De manera alternativa, puede ingresar

directamente a www.registrocivil.cl y pinchar el link “activar Clave Única”, en el

menú del costado izquierdo.

3. Finalmente, se abrirá una ventana en la cual aparecerán sus datos: RUN,

nombre completo y correo electrónico. En ésta, el sistema le solicitará ingresar

una contraseña, que debe contener al menos 6 caracteres.

Dentro de esta página Web también es posible ver los servicios que actualmente

funcionan con la Clave Única, de la mano de la campaña de digitalización de trámites

públicos ChileSinPapeleo, enmarcada dentro de la iniciativa ChileAtiende.

A manera de ejemplo, la solicitud del certificado de situación militar al día, en manos de

la Dirección General de Movilización Nacional, se da click en ir al trámite y el usuario es

redireccionado a los trámites disponibles de la institución:

Ilustración 26. Trámites DGMN

Fuente. Página Web claveunica.cl

Se selecciona el trámite a realizar y aparecerá el siguiente login.

130

Ilustración 27. Autenticación Clave Única

Fuente. Página Web claveunica.cl

En este paso se solicita el Rol Único Nacional, es decir, el número identificatorio único e

irrepetible que posee todo chileno, residente o no en Chile, y todo extranjero que

permanezca en el país; así mismo se solicita la respectiva contraseña para finalmente

iniciar el trámite o servicio elegido.


La modernización del Estado, en materia de gobierno digital, es el conjunto de

transformaciones, innovaciones tecnológicas, políticas e institucionales, que mejoran la

capacidad del Estado para responder de manera oportuna, eficaz y eficiente a las

necesidades de la ciudadanía.

Su objetivo central es crear mejores servicios públicos, los que mediante la participación y

la transparencia, generen satisfacción en la ciudadanía y sean un actor relevante para

aumentar la confianza de las personas en el Estado y sus instituciones.

Misión: coordinar, orientar y apoyar a los distintos ministerios e instituciones

para mejorar la gestión del Estado de cara al ciudadano, a través del uso


estratégico de las TIC’s, lo que se plasma en políticas públicas que dirigen el

quehacer gubernamental.

Visión: alcanzar un Estado más confiable, inclusivo, participativo y abierto; que

se relacione con la sociedad en forma proactiva, amigable y eficiente; con el fin

de generar bienestar en la ciudadanía, en condiciones de equidad, a través del

uso estratégico de las TIC’s.

Objetivos estratégicos: para alcanzar esta visión, SEGPRES cumple los

siguientes roles fundamentales:

o Facilitar el logro de los compromisos presidenciales a través de la

coordinación con otras instituciones públicas, mediante diferentes

instancias, como por ejemplo:

o Coordinación con los encargados de informática de las instituciones

públicas.

o Participación en equipos de trabajo asociados a proyectos transversales.

o Apoyo a proyectos estratégicos que desarrollan otras instituciones, pero

que contribuyen significativamente al logro de los compromisos

presidenciales.

o Liderar el plan de acción de Gobierno digital como parte de las iniciativas a

impulsar de la agenda digital de Chile, en la cual se está trabajando.

o Desarrollar y liderar proyectos desde la Unidad de Modernización del

Estado y Gobierno digital, que son habilitantes para el logro de los

compromisos.

4.5.3 EL MODELO

En el caso chileno, el modelo resultante se evidencia como un modelo centralizado

operado directamente por el Estado. El sistema se enfoca básicamente en la identificación

del ciudadano ante las entidades del Estado exclusivamente.

132

El sistema se focaliza en proveer un mecanismo digital único para todos los casos en que

el ciudadano desee realizar trámites virtuales con entidades del Estado, manteniendo en

todo caso la opción de trámites con presencia física o tradicional.

A modo de resumen del modelo de autenticación electrónica chileno, se presenta la

explicación del CANVAS:

CANVAS

Ilustración 28. Canvas Chile




La iniciativa chilena busca proveer a los ciudadanos de una Identidad Electrónica Única

(RUN y clave) para la realización de trámites en línea del Estado, eliminando así la

necesidad de realizar múltiples registros para cada servicio.


enrolamiento y verificación será realizado por el Servicio de Registro Civil e Identificación

y mediante la cual, los datos de identificación se transmiten de manera segura y confiable

a través de la plataforma de interoperabilidad del Estado.

Todos las personas usuarias del Registro Civil mayores de 14 años pueden obtener esta

clave.

Para obtener la contraseña, es necesario realizar cuatro simples pasos:

1. Dirigirse al Registro Civil con el Carné de Identidad, donde se le hace entrega de

un comprobante correspondiente al “código de activación de cuenta en oficina

Internet”.

2. Posteriormente, ingresar al link que fue enviado a su correo electrónico (Asunto:

confirmación registro Oficina Internet-SRCeI) donde se le solicitará digitar el

número de su Carné de Identidad (RUN) y el “código de activación” disponible en

el comprobante. De manera alternativa, puede ingresar directamente a

www.registrocivil.cl y pinchar el link “activar clave única”, en el menú del costado

izquierdo.

3. Luego, se abrirá una ventana en la cual aparecerán sus datos: RUN, nombre

completo y correo electrónico. En ésta, el sistema le solicitará ingresar una

contraseña, que debe contener al menos 6 caracteres.

4. Finalmente, el ciudadano podrá autenticarse electrónicamente frente a las

entidades estatales para realizar los diferentes trámites administrativos previa

validación de la base de datos centralizada del Gobierno por parte del Registro

Civil e Identificación del estado chileno.

134

Ventajas: único registro para autenticarse frente a las entidades estatales (RUN y ClaveÚnica); todas las transacciones son monitorizadas por el Servicio de Registro Civil e Identificación mediante su base de datos centralizada con el fin de garantizar la privacidad y seguridad de los datos de los usuarios; simplificación de trámites.

Casos de uso: ClaveÚnica busca integrar a este sistema de autenticación la mayor cantidad de trámites posibles. A febrero de 2015 están habilitados 60 trámites dentro de los que se mencionan los siguientes: entrega de certificados SIMCE Inglés; acreditación del Sello Conductor Seguro; programa de apoyo a la inversión en zonas de oportunidades; voluntariedad para el servicio militar; certificado de situación militar para voluntariado; recepción de denuncias sobre atentados a la libre competencia en los mercado.

A continuación una descripción gráfica del modelo chileno:

Ilustración 29. Modelo Chile



A modo de resumen del modelo peruano se enumeran sus principales actores y

actividades:

Actores:


o El Sistema de Registro Civil e Identificación (SRCeI) que actúa en el

enrolamiento del ciudadano y la entrega del método de autenticación.



Paso a paso:

1. Enrolamiento del ciudadano ante el SRCeI.

2. El usuario ingresa al sitio web de ClaveÚnica y obtiene su código de

activación.

3. El usuario se autentica frente a la entidad del estado correspondiente.

4. La entidad estatal verifica frente a las bases de datos del SRCel la

autenticación del ciudadano. SRCel valida la autenticación del ciudadano.

5. La entidad estatal confirma la identidad y habilita al ciudadano para la

realización de trámites.

4.5.5 PERSPECTIVAS

JURÍDICA

La Clave Única es un sistema que se pone a disposición de los demás órganos de

la administración del Estado por aplicación de los principios de eficiencia y

coordinación que debe observar dichas instituciones, conforme lo dispone el

artículo 3°, Inciso segundo del Decreto con Fuerza de ley N° 1/19.653, de 2001,

del Ministerio Secretaria General de la Presidencia que fija el texto refundido,

coordinado y sistematizado de la ley N° 18.575, Orgánica Constitucional de Bases

Generales de la Administración del Estado, en adelante, LOCBGAE. Asimismo,

este sistema se encuentra en plena consonancia con los principios de economía

136

procedimental y no formalización, establecidos en los artículos 9 y 13 de la ley N°

19.880, que establece las bases de los procedimientos administrativos que rigen

los actos de los órganos de la administración del Estado.

“ClaveÚnica” es una firma electrónica de conformidad a lo dispuesto al artículo 2,

letra f) de la ley N° 19.799. A mayor abundamiento, de conformidad a lo dispuesto

en el artículo 3 de la misma ley, dicha firma se mirará como firma manuscrita para

todos los efectos legales.

Esta firma electrónica puede emplearse en los procedimientos administrativos (art.

19 de la ley N° 19.8804) y en cualquier clase de acto jurídico salvo cuando dicho

acto: (1) exija una solemnidad que no sea susceptible de cumplirse mediante

documento electrónico; (2) Aquellos en que la ley requiera la concurrencia

personal de alguna de las partes y (3) Aquellos relativos al derecho de familia (Art.

3 Ley N° 19.799).

De acuerdo a lo establecido en la ley N° 19.880, en la ley N°19.799 y su

reglamento, los órganos de la administración del Estado pueden relacionarse con

las personas a través de técnicas y medios electrónicos con firma electrónica,

cuando éstos hayan consentido en esta forma de comunicación. En este sentido,

como regla general, basta el empleo de una firma electrónica “simple”, como lo es

“ClaveÚnica” y que exista el consentimiento del usuario en cuanto al uso de esta

herramienta.

El marco jurídico completo aplicable se conforma con las siguientes normas

principales:

Documento Nombre del documento

Ley N° 18.575, DE 5 DE DICIEMBRE DE 1985. MINISTERIO

DEL INTERIOR

Ley Orgánica Constitucional de Bases Generales

de la Administración del Estado.

Ley N° 19.628, de 28 de agosto de 1999. MINISTERIO

SECRETARÍA GENERAL DE LA PRESIDENCIASobre protección de la vida privada.

http://www.leychile.cl/Navegar?idNorma=141599&buscar=19628

http://www.leychile.cl/Navegar?idNorma=191865

http://www.leychile.cl/Navegar?idNorma=191865


Ley N° 19.799, DE 12 DE ABRIL DE 2002. MINISTERIO DE

ECONOMÍA, FOMENTO Y RECONSTRUCCIÓN

Sobre documentos electrónicos, firma electrónica

y servicios de certificación de dicha firma.

DECRETO SUPREMO N° 181, DE 17 DE AGOSTO DE 2002.

MINISTERIO DE ECONOMÍA

Aprueba reglamento de la ley 19.799 sobre

documentos electrónicos, firma electrónica y

servicios de certificación de dicha firma.

Ley N° 19.880, DE 29 DE MAYO DE 2003. MINISTERIO

SECRETARIA GENERAL DE LA PRESIDENCIA

Establece bases de los procedimientos

administrativos que rigen los actos de los órganos

de la administración del Estado.

DECRETO SUPREMO N° 83, DE 03 DE JUNIO DE 2004.

MINISTERIO DE SECRETARÍA GENERAL DE LA

PRESIDENCIA

Aprueba Norma Técnica para los Órganos de la

Administración del Estado, sobre seguridad y

confidencialidad de los documentos electrónicos.

DECRETO SUPREMO N° 93, DE 28 DE JULIO DE 2006.

MINISTERIO DE SECRETARÍA GENERAL DE LA

PRESIDENCIA

Aprueba norma técnica para la adopción de

medidas destinadas a minimizar los efectos

perjudiciales de los mensajes electrónicos

masivos no solicitados, recibidos en las casillas

electrónicas de los órganos de la administración

del Estado y de sus funcionarios.

DECRETO SUPREMO N° 154, DEL 11 DE AGOSTO DE

2012. MINISTERIO DE ECONOMÍA, FOMENTO Y TURISMO;

SUBSECRETARÍA DE ECONOMÍA Y EMPRESAS DE

MENOR TAMAÑO

Modifica decreto N° 181 de 2002, que aprueba

reglamento de ley N° 19.799, sobre documentos

electrónicos, firma electrónica y la certificación de

dicha firma.

DECRETO SUPREMO N° 14, DEL 27 DE FEBRERO DE

2014. MINISTERIO DE ECONOMÍA, FOMENTO Y TURISMO;

SUBSECRETARÍA DE ECONOMÍA Y EMPRESAS DE

MENOR TAMAÑO

Modifica decreto N° 181 de 2002, que aprueba

reglamento de ley N° 19.799, sobre documentos

electrónicos, firma electrónica y la certificación de

dicha firma.

Tabla 19. Marco legal Chile


138

http://bcn.cl/1j9mp

http://bcn.cl/1j9mp

http://bcn.cl/1j9mp

http://bcn.cl/1ds6k

http://bcn.cl/1ds6k

http://bcn.cl/1ds6k

http://www.leychile.cl/Navegar?idNorma=251713&buscar=93+2006+PRESIDENCIA



http://www.leychile.cl/Navegar?idNorma=234598&buscar=83+2004+presidencia






http://www.leychile.cl/Navegar?idNorma=201668&buscar=181+2002+ECONOMIA





o Marco de política que soporta el modelo: a partir de la promulgación en el año

2008 de la ley 20285 de acceso a la información pública, se considera que inicia el

fomento a la trasparencia en el Gobierno. Este proceso comienza en parte en el

año 1999, con la ley No 19653, sobre probidad y trasparencia pública, la cual

modificó la ley Orgánica Constitucional Bases Generales de la Administración del

Estado (ley 18575).

Posteriormente, en el año 2005 se introdujo el artículo 8 de la Constitución de la

República, ampliando el acceso de la información de todos los órganos del Estado.

o Instrumentos: Ley Modelo de Firma Electrónica de la CNUDMI de 2001. Ley N°19.799 de 2002 sobre documentos electrónicos, firma electrónica y servicios de certificación. Decreto N° 181 reglamenta la ley 19.799 de 2002. Ley N°19.496, Protección a los Derechos del Consumidor. Ley 20285 de 2008 de Acceso a la Información Pública. Artículos 9 y 13 de la ley N° 19.880, que establece las bases de los procedimientos administrativos que rigen los actos de los órganos de la administración del Estado. Ley 19628 de 1999 sobre protección de datos de carácter personal.

o Normas legales o políticas : el Ministerio Secretaría General de la Presidencia de

la República cuenta con proyectos de estándares y normativas de gobierno digital

(proyecto de datos abiertos, normativas técnicas). Además de eso los ejes

estratégicos (implementación de herramientas TIC habilitantes, mayor

coordinación entre las instituciones del Estado, simplificación y digitalización de

trámites).

o Términos y condiciones de uso para los usuarios: antes de activar el

mecanismo de Clave Única en Chile, el usuario debe aceptar los términos de uso

los cuales se señalan a continuación:

La Clave Única registrada por el usuario(a) debe ser única, personal, confidencial e intransferible.

Su duración es indefinida, sin perjuicio de su actualización periódica voluntaria o solicitada por el Registro Civil.

Todo uso del nombre de usuario(a) y clave única es de única y exclusiva responsabilidad del titular.

El usuario(a) declara comprometerse a adoptar todas las medidas para que el nombre de usuario (a) y clave única no sean conocidos, entregados, utilizados por terceras personas autorizadas o no, divulgados, publicados, cedidos o cualquiera otra acción que suponga un uso indebido de dicha información de carácter personal, confidencial e intransferible.


o Responsabilidades para los usuarios: se establece que para recuperar la clave,

el usuario debe ingresar al sitio dispuesto para esto y seguir las instrucciones en

pantalla. Si registra correo electrónico y establece preguntas secretas, deberá

seleccionar una de ellas para recuperar su clave única. En caso que sólo tenga un

correo electrónico registrado, se le enviará un nuevo código de activación que le

permitirá crear una nueva clave única. Si sólo registró preguntas secretas, a través

de éstas podrá crear una nueva clave única.

En el caso que la persona acceda al sitio Web www.registrocivil.cl, con su nombre

de usuario(a) y clave única, la responsabilidad derivada de la falta de cuidado,

indebida reserva, mal uso o uso por terceros autorizados o no, ocasionándose o no

perjuicios directos previstos e imprevistos, o de cualquier otra especie, es

exclusiva responsabilidad del titular.

o Emisores y operadores de los proyectos: operador estatal, subvencionado completamente por el Estado. Aún están presentes algunos proveedores de servicios de certificación.

TÉCNICA

Existen librerías disponibles para PHP, Java, Python, C# y otros. Se puede

encontrar una lista exhaustiva en el sitio Web de Open ID:

o Crear el mecanismo de autenticación

Utilizando los ejemplos dados en las librerías, realizar requests al endpoint de

Clave Única:

https://www.claveunica.cl/autenticacion/openid

o Solicitar atributos adicionales usando el protocolo Attribute Exchange

(opcional)

La mayoría de estas librerías soportan el protocolo AX (Attribute Exchange).

Mediante este protocolo se pueden solicitar atributos adicionales del usuario

autenticado. Por ejemplo, se podría solicitar el RUT, nombre, apellidos, etc.

Luego, si el usuario autoriza compartir estos atributos, se puede obtener estos

140

valores. Para mayor información de cómo utilizar AX se debe seguir este

enlace.

o Validar la respuesta obtenida desde Clave Única

Para asegurar que la respuesta sea auténtica se deben realizar dos

validaciones:

Validar que la respuesta sea Open ID auténtica. Las librerías Open ID

siempre traen dicha función.

Verificar que la identidad Open ID obtenida venga desde Clave Única.

Por lo tanto, es muy importante verificar que la identidad Open ID

comience con https://www.claveunica.cl/

o Generar la sesión en sitio Web

Una vez que se obtiene la respuesta de autenticación correcta, se debe

generar la sesión en el sitio Web. Clave Única responderá con un identificador

único, para que se pueda reconocer a través de las distintas sesiones.

Los sitios Web del Gobierno y/o terceras personas ahora pueden permitir la

autenticación a través de la Clave Única. La Clave Única libera a los usuarios

de manejar distintas cuentas para distintos sitios Web, además de permitirles

autenticarse como chileno. También libera a los desarrolladores de la labor de

almacenar y administrar contraseñas. Esta página describe cómo integrar

Clave Única a un sitio Web.

Clave Única soporta el protocolo Open ID 2.0. El protocolo se inicia cuando un

sitio externo emite una petición a Clave Única para autenticar a una persona.

Clave Única verifica la autenticidad del chileno a través de sus contraseñas

obtenidas en el Servicio de Registro Civil e Identificación. Luego, devuelve al

sitio externo un identificador con que el sitio pueda reconocer al usuario. El

identificador es consistente, permitiéndole así al sitio reconocer al usuario a lo

largo de múltiples sesiones.

Clave Única además soporta la extensión Open ID Attribute Exchange 1.0.

Esta extensión le permite a los desarrolladores acceder, con el permiso del

usuario, a información como: RUT, nombre, apellidos, etc.


Estándares: Open ID con temas de seguridad. Lineamientos tecnológicos: la Clave Única soporta el protocolo Open ID 2.0. El

protocolo se inicia cuando un sitio externo emite una petición a Clave Única para autenticar a una persona. Clave Única verifica la autenticidad del chileno a través de sus contraseñas obtenidas en el servicio de registro civil e identificación. Luego, devuelve al sitio externo un identificador con que el sitio pueda reconocer al usuario. El identificador es consistente, permitiéndole así al sitio reconocer al usuario a lo largo de múltiples sesiones. Clave Única además soporta la extensión Open ID Attribute Exchange 1.0. Esta extensión le permite a los desarrolladores acceder, con el permiso del usuario, a información como: RUT, nombre, apellidos, etc.

Políticas de seguridad y privacidad: el servicio de registro civil e identificación entregará al usuario un comprobante, correspondiente al “código de activación de cuenta en oficina Internet”. Al momento de ingresar el código de activación, el SRCeI informa al usuario sobre el alcance de la “ClaveÚnica” y de los resguardos que debe mantener para que no se haga un uso inadecuado o malicioso de la misma. Las políticas de privacidad establecidas por el Servicio de Registro Civil están disponibles al momento de activar la ClaveÚnica en el sitio Web del Servicio de Registro Civil, a saber:

El Servicio de Registro Civil e Identificación asegura la confidencialidad de los

datos personales de los(as) usuarios(as) que se registren en

www.registrocivil.gob.cl mediante el o los formulario(s) establecido(s) para esos

efectos. Sin perjuicio de sus facultades legales, el servicio sólo efectúa tratamiento

de datos personales de aquellos entregados voluntariamente por los(as)

usuarios(as) a través de su sitio Web.

Los datos personales de los(as) usuarios(as) son recopilados a través de las

solicitudes de transparencia, Sistema Atención Ciudadana (SIAC) y solicitud de

certificados en línea publicados en el sitio Web, los cuales son utilizados sólo

dentro de la competencia y atribuciones del Servicio de Registro Civil e

Identificación.

El Servicio de Registro Civil e Identificación podrá comunicar a otros organismos

del Estado, los datos personales de sus usuarios, conforme lo establecido en la ley

19.628, ley N° 19.477 y demás leyes especiales.

142

El Servicio de Registro Civil e Identificación, en caso de ser requerido

judicialmente, comunicará los datos personales de los(as) usuarios(as) que le sean

solicitados.

Las personas pueden en todo momento ejercer los derechos otorgados por la ley

N° 19.628, sobre protección de la vida privada y sus modificaciones posteriores,

sin perjuicio de los límites que contempla la normativa legal al ejercicio de estos

derechos y de las recomendaciones del Consejo para la transparencia sobre

protección de datos personales por parte de los órganos de la Administración del

Estado.

Descripción genérica de las soluciones tecnológicas: mecanismo utilizado – Clave Única que simplifica, la intervención del ciudadano, pero simplifica también las características de seguridad. El servicio valida que las credenciales Open ID sean correctas y que la identidad del usuario venga de Clave Única. Si es así, autentica al usuario e inicia su sesión.

Mecanismos de autenticación: se refiere a una clave única y un software de firma digital.

Requerimientos técnicos y funcionales de las soluciones tecnológicas: debe crear el mecanismo de autenticación, solicitar atributos adicionales usando el protocolo Attribute Exchange (Opcional), validar la respuesta obtenida desde Clave Única. Para asegurar que la respuesta sea auténtica se deben realizar dos validaciones: la primera que la respuesta sea Open ID auténtica, verificando que la identidad Open ID obtenida venga desde Clave Única y por último generar la sesión en el sitio Web.

Interoperabilidad: 60 trámites18.

FINANCIERA

El modelo es subvencionado de manera completa por el Estado en el costo de su

infraestructura y soporte. No tiene costo para el ciudadano.

Es importante destacar que en Chile coexiste el modelo de firmas digitales, utilizadas hoy

día por el sector privado donde cada proveedor de servicios de certificación asume el

18 Clave Única Chile. Disponible en: https://www.claveunica.cl/preguntas/servicios. Último acceso: octubre 15 de

2015.

https://www.claveunica.cl/preguntas/servicios


costo de su infraestructura PKI y el costo al usuario final es en promedio de unos 70

dólares año.

Modelo de sostenibilidad: subvención estatal total. Participan las entidades estatales directamente con recursos del presupuesto general. Se proporciona gratuitamente el sistema tecnológico que permitirá el uso de “Clave Única”; así mismo la asesoría técnica necesaria para la implementación y operación del sistema en las entidades adherentes; se provee el servicio de conexión entre la institución y el SRCeI, para efectos de autenticar electrónicamente a una persona. Cada entidad adherente debe adoptar las medidas que sean necesarias para que la transmisión sea proporcionada de forma segura.

CAPEX: asumidos enteramente por el Estado a través de asignación presupuestal.

OPEX: asumidos enteramente por el Estado a través de asignación presupuestal. No auto sostenible.

Tarifas: el servicio es gratuito.

Transparencia: no es suficiente la información pública disponible.

ORGANIZACIONAL

Mapa de actores y roles: responsable ejecución: modernización, gobierno digital y Ministerio Secretaría General de la Presidencia. Director Nacional del SRCeI. Existen 4 privados en el modelo.

Mercado: 17,7 millones. La población sólo representa el 38% de la población colombiana.

Alcance del modelo (beneficiarios): referente a nivel mundial en los trámites que se ofrecen. Por el tamaño del mercado el sistema de autenticación no ha logrado penetrar en la mayoría de los habitantes.

Empresas, instancias o sectores que participan en el desarrollo del modelo: MINSEGPRES y la integración de 9 instituciones a la plataforma. Hay entidades aliadas, entre las que se destacan: Agencia de Calidad de la Educación, Comisión Nacional de Seguridad de Tránsito, Corporación de Fomento de la Producción, Dirección del Trabajo, Dirección General de Movilización Nacional, Fiscalía Nacional Económica, Gendarmería de Chile, Instituto de Desarrollo Agropecuario, Instituto de Previsión Social, Municipalidad de Ñuñoa, Servicio de Registro Civil e Identificación, Subsecretaría de Agricultura, Subsecretaría de Transportes,

144

Subsecretaría de Vivienda y Urbanismo, Superintendencia de Electricidad y Combustibles, Superintendencia de Insolvencia y Reemprendimiento.

Articulación con otras iniciativas de gobierno electrónico: progresivamente, se irán incorporando más instituciones que posean otros servicios en línea, con el fin de agilizar la gestión de trámites, facilitar la postulación a programas y beneficios, y la colaboración en instancias de participación ciudadana, entre otros.

SOCIOCULTURAL

Esta iniciativa busca proveer a los ciudadanos de una Identidad Electrónica Única para la

realización de trámites en línea del Estado y proporcionarle al ciudadano diferentes

ventajas con el uso de este modelo.


Ilustración 30. Infografía sociocultural Chile

Fuente: Página Web Clave Única: https://www.claveunica.cl

Estrategia de apropiación y uso por parte de los usuarios: en la página Web de Clave Única, se presenta contenido relacionado con el alcance y uso de la Clave Única. Entre otros se explica, qué es, servicios habilitados, cómo obtenerla, cómo cambiarla y el procedimiento si se olvidó la misma.

Mediante la campaña de digitalización de trámites públicos, Chile sin Papeleo, impulsada por la Segpres, se ha logrado que varios trámites del Estado puedan

146

https://www.claveunica.cl/

realizarse por Internet. Desde el lanzamiento de esta campaña, en agosto de 2012, son 115 las instituciones que se han comprometido a Chile sin Papeleo, para aumentar la cantidad de trámites en línea.

Estrategias de difusión y marketing: estrategias ATL y BTL a nivel de marketing, en las que se anuncia los alcances del proyecto y su forma de uso. Adicionalmente existe una estrategia de redes sociales en la página de Internet de Clave Única.

Indicadores de uso:

Ilustración 31. Avances en Clave Única

Fuente: Ministerio Secretaria Gral. De la Presidencia: http://www.observatoriodigital.gob.cl/gobierno-digital-al-dia/clave-unica

http://www.observatoriodigital.gob.cl/gobierno-digital-al-dia/clave-unica


Ilustración 32. Clave Única


Ilustración 33. Instituciones y números de trámites asociados a Clave Única


148



Facilidad en el proceso: proceso fácil y amigable con una sola credencial.

Estrategia de implementación: existe un convenio de cooperación para la implementación del sistema de “Clave Única”.

Esquemas de formación de usuarios: si el usuario tiene algún inconveniente con el entendimiento o uso de la Clave Única, éste podrá dirigirse a la mesa de ayuda telefónica del Registro Civil e Identificación, o, remitirse a la documentación en línea en el sitio del Registro Civil e Identificación (www.claveunica.cl). Se evidencia que algunos ministerios realizan programas de capacitación para el uso del sistema de ventana única.

Tipologías de cliente-objetivo: solamente aplica en la relación Estado – ciudadano, no cubre el sector privado.


5. ANÁLISIS DE CASOS NACIONALES

5.1 COLOMBIA

Capital: Bogotá D.C.


Moneda: peso colombiano.

Bandera:

Ilustración 34. Bandera Colombia

Fuente: http://www.banderas-mundo.es/


Nivel de ingresos: Ingreso medio alto


Población urbana: 24% (2014)

Índice de gini: 53,5% (2013)

Tabla 20. Indicadores de desarrollo Colombia



PIB: $377,7 mil millones

150

Crecimiento del PIB (% anual): 4.6% (2014)

Inflación: 3.66% (2014)

Superávit/déficit del efectivo (% del PIB): 2,8% (2012)

Tabla 21. Economía y crecimiento Colombia



Gasto en investigación y desarrollo (% del PIB): 0,17% (2012)

Usuarios de Internet (por cada 100 personas): 52,6% (2014)



Tabla 22. Ciencia, tecnología y comunicaciones Colombia



Colombia cuenta con un modelo de autenticación electrónica que privilegia la neutralidad

tecnológica respecto de los mecanismos que se encuentran a disposición para este fin. Se

definen desde métodos de autenticación simples, hasta mecanismos de autenticación

robustos y firmas electrónicas y digitales.

El marco institucional en lo referente a la autenticación electrónica dentro del Estado

colombiano, se ha definido recientemente en la ley 1753 de 2015 – Plan Nacional de

Desarrollo -, donde se establece a partir del artículo 45 la competencia que sobre esta


temática tiene el Ministerio de Tecnologías de Información y Comunicación (en lo sucesivo

MinTIC), y allí se define específicamente que éste deberá establecer: estándares,

modelos, lineamientos y normas técnicas para la incorporación de las Tecnologías de la

Información y las Comunicaciones (TIC), que contribuyan a la mejora de los trámites y

servicios que el Estado ofrece al ciudadano, los cuales deberán ser adoptados por las

entidades estatales.

En ese orden de ideas es el MinTIC quien tiene a su cargo la definición del modelo de

autenticación electrónica dentro del Estado colombiano.

Ahora bien, en ese marco institucional, será necesario complementar lo descrito en la ley

527 de 1999 y de uno de sus decretos reglamentarios (333 de 2014) – sobre validez

jurídica y probatoria de la información electrónica – donde se establecen algunas

competencias en entidades que también participan en el modelo actual de autenticación

electrónica del Estado:

a. Inspección, control y vigilancia de los servicios de certificación digital, a cargo de la

Superintendencia de Industria y Comercio.

b. Acreditación de las entidades de certificación digital, a cargo de la Organización

Nacional de Acreditación de Colombia – ONAC.

c. Establecimiento de las condiciones de confiabilidad y apropiabilidad de las firmas

electrónicas bajo los criterios definidos en el decreto 2364 de 2012, por parte de

firmas auditoras o peritos técnicos.

Es importante señalar, que hoy, de conformidad con lo descrito por la ley 527 de 1999, y

atendiendo lo analizado en las diferentes entidades que se ha tenido la oportunidad de

visitar en el análisis nacional, se han encontrado mecanismos de autenticación de

diversas características como:

i. Mecanismos simples de autenticación – definidos a partir del artículo 17 de la ley

527 de 1999.

(i) Mecanismos robustos de autenticación - definidos desde la Circular Externa 042

de 2012 emitida por la Superintendencia Financiera de Colombia y entre los que se

encuentran:

a. One Time Passwords (OTP) con doble factor de autenticación.

152

b. Biometría, en diferentes modalidades.

c. Tarjetas EMV (Estandar European Mastercard y Visa) con doble factor de

autenticación.

d. Firmas digitales.

(ii) Firmas electrónicas, que en Colombia pueden ser emitidas por cualquiera (siempre

y cuando se puedan verificar las condiciones de confiabilidad y apropiabilidad del

mecanismo, esto es la autenticidad e integridad del método según lo dispuesto por

el decreto 2364 de 2012);

(iii) Firmas digitales, que en Colombia, conforme lo describe el decreto 333 de 2012

pueden ser emitidas por las entidades de certificación digital, tanto abiertas como

cerradas, y éstas deben ser acreditas por el ONAC como se indicó anteriormente.

5.1.2 EL MODELO

Se encuentra pertinente evidenciar los siguientes componentes que definen la estructura

esencial de este modelo:

a) Gobernanza y distribución del servicio: La Registraduría Nacional del Estado Civil,

es la entidad encargada de proveer la identidad oficial en Colombia. Los métodos

de autenticación sin embargo no utilizan de manera general esta fuente de

información sobre la identidad (incluso en la autenticación biométrica, dónde sólo

de manera reciente se ha venido permitiendo el acceso a la base de datos

biográfica y biométrica de la RNEC), y por lo tanto puede hablarse de repositorios

distribuidos, desde donde diferentes operadores validan la identidad de las

personas. Por ejemplo:

Métodos simples de autenticación, utilizan como método de enrolamiento

de la identidad fuentes propias o autogestionadas.

Métodos robustos de autenticación, utilizan base de datos propias y del

sistema financiero (Datacrédito y CIFIN).


Firmas electrónicas, utilizan bases de datos financieras y de entidades

oficiales (RNEC, Procuraduría, Fosyga; Contraloría, DIAN).

Firmas digitales, utilizan base de datos del sistema financiero (Datacrédito

y CIFIN), así como bases de datos oficiales (RNEC, Procuraduría etc.).

b) Universalidad: No es universal. El sistema de autenticación electrónica ante

trámites estatales tiene una alta dispersión, pues no hay una solución que se esté

empleando de manera genérica. Existen diversidad de posibilidades de

autenticación, con un impacto poblacional muy reducido para trámites electrónicos

del Estado.

c) Enrolamiento: la red de distribución incluye el uso de medios virtuales

preferiblemente, y en el caso de las firmas digitales o la biometría se utilizan

métodos presenciales, para garantizar de manera fehaciente la identidad de los

titulares.

d) Estructura de mercado: el sistema es de libre competencia, y en el caso de los

mecanismos de autenticación robustos, firmas electrónicas y firmas digitales; se

encuentra estructurado a través de la libre entrada y cumplimiento de requisitos.

e) Financiación: la financiación del modelo es mixto y depende directamente del tipo

de función que realice la entidad o del trámite que se esté realizando. En la

autenticación simple normalmente los costos (Capex y Opex están a cargo del

Estado). En el caso de la autenticación robusta y de firmas electrónicas o digitales

(salvo el caso de la DIAN) el costo del mecanismo se encuentra a cargo del

particular (empresas o ciudadanos).

f) Relación ámbito público y privado: no hay un relacionamiento directo en la

autenticación electrónica, pues cada sector utiliza de manera independiente

mecanismos, lo que tiene como efecto el uso de múltiples credenciales de

autenticación por parte de los ciudadanos.

g) Niveles de servicio: varían dependiendo directamente del tipo de mecanismo que

se esté empleando y del proveedor que lo emita. En el caso de las firmas digitales

normalmente la emisión toma 3 días, y la atención de incidencias es inmediata a

partir de una estructura muy bien definida en la actualidad.

154

En suma, el modelo se despliega de la siguiente forma:

CANVAS

Ilustración 35. Canvas Nacional



En Colombia, el marco jurídico de utilización de los mecanismos de autenticación,

comprende normas de diferente naturaleza, tales como:


a. La ley 527 de 1999, sobre validez jurídica y probatoria de la información

electrónica, establece las firmas digitales y las entidades de certificación digital.

b. La ley 794 de 2003, reforma del Código de Procedimiento Civil, donde se señala la

necesidad de garantizar atributos de autenticidad e integridad en el desarrollo de

actos de comunicación.

c. Ley 1564 de 2012, la cual regula la actividad procesal en asuntos civiles,

comerciales, de familia y agrarios por medios electrónicos.

d. La ley 962 de 2005, que establece en su artículo 6, la necesidad de que las

actuaciones de la administración pública por medios electrónicos garanticen

atributos de autenticidad, integridad y disponibilidad.

e. El decreto 2364 de 2012, que reglamenta el uso de las firmas electrónicas.

f. El decreto 333 de 2014, que señala las condiciones de constitución y

funcionamiento de las entidades de certificación digital.

g. La ley 1437 de 2011, Código de Procedimiento Administrativo y de lo Contencioso

Administrativo donde se define el procedimiento administrativo electrónico, y

dentro de éste la necesaria garantía de autenticidad, integridad y disponibilidad de

la información electrónica.

h. La ley 1450 de 2011, norma sobre el plan de desarrollo, que permite a las

entidades estatales o a los particulares que desarrollen función pública, el acceso

a la base de datos biográfica y biométrica de la Registraduría Nacional del Estado

Civil.

i. Resolución 3341 de 2014, emitida por la Registraduría Nacional del Estado Civil

donde se definen las condiciones que deben reunir quienes quieran ser

operadores de biometría dactilar ante la base de datos biográfica y biométrica de

esa entidad.

j. Ley 1581 de 2012, estatutaria de protección de datos personales, donde se

definen las condiciones de protección de los datos personales, estableciendo

también la necesidad de garantizar autenticidad e integridad en el tratamiento de

los mismos.

156

k. Ley 1712 de 2014, de transparencia y acceso a la información pública donde se

establecen las condiciones de acceso a la información, incluyendo las razones de

seguridad que deben ser tenidas en cuenta.

l. Ley 1753 de 2015, Plan de Desarrollo, donde se establece entre otras:

a. Las competencias que en materia de autenticación electrónica del Estado

tiene MinTIC.

b. La posibilidad para las entidades financieras de acceder a la base de datos

biográfica y biométrica de la Registraduría Nacional del Estado Civil.

La autenticación electrónica debe analizarse desde dos aspectos a saber: 1) la

autenticación como el método de verificar la identidad de las personas, 2) la autenticación

como el mecanismo para determinar la integridad del contenido de un documento (firma

electrónica). El análisis de tales aspectos debe hacerse a su vez desde dos enfoques: el

enfoque tecnológico y el enfoque jurídico. El enfoque tecnológico consiste en la

determinación de las herramientas que se utilizarán en un entorno virtual a fin de verificar

la identidad de las personas y, el enfoque jurídico consiste en precisar el alcance legal de

estos mecanismos a fin de determinar los mecanismos que permitan garantizar la

autenticidad de un mensaje de datos y la integridad del mismo.

El enfoque tecnológico está dirigido a seleccionar el tipo de software y hardware, que

permita identificar a las personas de la manera más exacta posible. Un ejemplo de esta

tecnología serían los captores biométricos que cumplan con estándares de seguridad del

FBI, y en general con estándares internacionales de seguridad de la información. Otro

ejemplo serían los token o dispositivos de almacenamiento de firmas electrónicas que

permitan identificar a las personas ante un sistema de información. En este ámbito de

seguridad, la criptografía, se ha convertido en una herramienta esencial para garantizar la

identidad de las personas, ya sea a través de claves compartidas, criptografía simétrica,

asimétrica, criptografía de clave asistida, entre otras.

Por su parte, el enfoque jurídico se centra en la idoneidad de los mecanismos de firma

(digital, firma electrónica simple y certificada), que deben usarse en los diferentes

entornos transaccionales de las entidades del Estado y de los particulares al prestar

servicios públicos y en general en entornos transaccionales privados. También debe


tenerse en cuenta, el principio de equivalentes funcionales contenido en la Ley Modelo de

la UNCITRAL, atrás reseñado.

La normatividad en materia de comercio electrónico y de seguridad electrónica referente a

la autenticidad e integridad de mensajes de datos o documentos electrónicos, en la gran

mayoría de países pertenecientes a la ONU, contempla los dos tipos de firmas, las

electrónicas y las digitales o electrónicas avanzadas. En Colombia se tienen tres tipos de

firmas electrónicas, a saber: la firma electrónica simple, la firma electrónica certificada y la

firma digital, tal y como se describió páginas atrás. La normatividad le asigna un distinto

valor probatorio a cada una de estas firmas, en función de un sistema de presunciones

legales referentes a la autenticidad e integridad de los mensajes de datos y documentos

electrónicos.

El régimen de firmas electrónicas y su marco normativo en Colombia, (ley 527 de 1999,

decreto 333 de 2014, decreto 2364 de 2012 y decreto (estos últimos incorporados al

decreto 1074 de 2015) ley 019 de 2012), es el marco de la autenticación electrónica que

debe analizarse para definir un modelo de autenticación electrónica unificado.

Firmas electrónicas simples y certificadas

La doctrina ha clasificado los métodos de autenticación en tres categorías: 1) los

que se basan en lo que el usuario o el receptor sabe (por ejemplo, contraseñas,

números de ejemplo, códigos y otra información almacenada en dispositivos) y 3)

los que se basan en las características físicas del usuario (por ejemplo, la

biometría).

Es de resaltar que de lo previsto en la normativa es posible establecer en principio

que la firma electrónica es un mecanismo técnico que puede ser prestado por

cualquier persona que satisfaga los requisitos establecidos en la ley y decreto

antes citados.

No obstante lo anterior, la ley 527 dio un paso significativo a nivel de seguridad

jurídica y técnica al crear la figura de las Entidades de Certificación Digital como

aquellas personas que, de acuerdo con el artículo 30 modificado por el artículo 161

del decreto Ley 019 de 2012, están en capacidad de prestar servicios tales como

“1. Emitir certificados en relación con las firmas electrónicas o digitales de

158

personas naturales o jurídicas. (…) 2. Ofrecer o facilitar los servicios de generación

de los datos de creación de las firmas digitales certificadas. 3. Ofrecer o facilitar los

servicios de registro y estampado cronológico en la generación, transmisión y

recepción de mensajes de datos. 4. Ofrecer o facilitar los servicios de generación

de datos de creación de las firmas electrónicas. (…) 5. Cualquier otra actividad

relacionada con la creación, uso o utilización de firmas digitales y electrónicas".

De lo anterior es posible concluir que las Entidades de Certificación Digital pueden

prestar el servicio de firma electrónica con carácter certificado y es en este punto

donde radica la diferencia con las firmas electrónicas simples. Mientras la firma

electrónica simple (no certificada) puede ser creada por cualquier persona bajo los

parámetros de ley, la firma electrónica certificada es aquella que además de

cumplir lo dispuesto en la normativa exige la participación de una entidad de

certificación, que como tercero de confianza, garantiza de manera efectiva que el

firmante sea quien dice ser basándose en una serie de verificaciones previas que

permiten incluso eliminar el riesgo de suplantación de identidad, que de igual forma

garantiza la utilización de medios tecnológicos pertinentes basados en el estado

del arte de la ciencia y que por lo tanto tiene la capacidad de emitir certificados

digitales sobre dicha firma . En este orden de ideas, es posible establecer que la

firma electrónica certificada resulta más segura por cuanto es un tercero de

confianza (la entidad de certificación digital) el responsable de efectuar la

validación de identidad del iniciador del mensaje de datos y además proveer otros

servicios de certificación que garanticen la no suplantación de identidad, la no

alteración de documentos y el no repudio.

Teniendo en cuenta lo establecido en el artículo 7 º de la ley 527 de 1999, el

decreto 2364 de 2012 dio paso a reglamentar lo establecido en dicha norma. De

esta forma, es posible evidenciar que el decreto antes citado se estructura de la

siguiente forma: i) definiciones o términos de referencia, ii) principios que aplican a

las firmas electrónicas, iii) el requisito de firma, iv) atributos que debe satisfacer la

firma electrónica, v) efectos de la firma electrónica, vi) criterios que satisfacen la

seguridad de la firma, vii) efectos jurídicos de la firma, viii) firma pactada mediante

acuerdo, ix) obligaciones del firmante.


Se consagró la confiabilidad y apropiabilidad como requisitos para la firma. Al

respecto, es de notar que el decreto 2364 de 2012 establece en su artículo 4 que

la firma electrónica se considerará confiable para el propósito por el cual el

mensaje de datos fue generado o comunicado si: a) Los datos de creación de la

firma, en el contexto en que son utilizados, corresponden exclusivamente al

firmante, b) Es posible detectar cualquier alteración no autorizada del mensaje de

datos, hecha después del momento de la firma, y agrega el artículo en su

parágrafo que lo dispuesto anteriormente se entenderá sin perjuicio de la

posibilidad de que cualquier persona: 1. Demuestre de otra manera que la firma

electrónica es confiable, ó 2. Aduzca pruebas de que una firma electrónica no es

confiable.

Es de notar que el citado decreto estableció que la firma electrónica tendría la

misma validez y efectos jurídicos que la firma, si aquella cumple con los requisitos

legales relativos a confiabilidad y apropiabilidad, es decir, la acreditación y prueba

de la confiabilidad y apropiabilidad de la firma.

Finalmente, el decreto estableció que el firmante de un mensaje de datos, es decir

la persona que posee los datos de creación de la firma que actúa a nombre propio

o a nombre de otro, debe cumplir una serie de obligaciones legales en el uso de la

firma electrónica, éstas son: 1) Mantener control y custodia sobre los datos de

creación de la firma. 2. Actuar con diligencia para evitar la utilización no autorizada

de sus datos de creación de la firma. 3. Dar aviso oportuno a cualquier persona

que posea, haya recibido o vaya a recibir documentos o mensajes de datos

firmados electrónicamente por el firmante, si: a) El firmante sabe que los datos de

creación de la firma han quedado en entredicho; o b) Las circunstancias de que

tiene conocimiento el firmante dan lugar a un riesgo considerable de que los datos

de creación de la firma hayan quedado en entredicho.

Así las cosas, es importante tener en cuenta que dentro de los atributos jurídicos

de la firma electrónica se encuentra la autenticidad e integridad. Precisamente es

claro que no se puede escindir la firma electrónica del mensaje de datos por

cuanto la firma, como lo menciona la CNUDMI, debe identificar al iniciador del

mensaje de datos y debe ser fiable como apropiada para los fines por los cuales se

160

generó o comunicó ese mensaje, lo cual implica que debe generar integridad

sobre el documento electrónico que está siendo firmado.

Firma digital

En cuanto a la firma digital, ésta ha sido definida en el artículo 2 de la ley 527 de

1999 como un valor numérico que se adhiere a un mensaje de datos y que,

utilizando un procedimiento matemático conocido, vinculado a la clave del iniciador

y al texto del mensaje permite determinar que este valor se ha obtenido

exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido

modificado después de efectuada la transformación; adicionalmente la firma digital

contiene una clave privada, reconocida como “el valor o valores numéricos que

utilizados conjuntamente con un procedimiento matemático conocido, sirven para

generar la firma digital de un mensaje de datos” , y una clave pública conocida

como el “valor o valores numéricos que son utilizados para verificar que una firma

digital fue generada con la clave privada del iniciador” .

En ese sentido, la firma digital corresponde a un procedimiento matemático

conocido que garantiza los siguientes atributos jurídicos: i) Autenticidad: garantiza

la identidad del emisor de un mensaje y la plena seguridad que quien remite el

mensaje de datos es realmente quien dice ser; este proceso se realiza mediante la

emisión de un certificado digital en el cual se hacen las respectivas validaciones. ii)

Integridad: garantiza que el mensaje de datos no haya sido alterado después de la

firma. Al vincularse la firma con el contenido del mensaje, en caso que esa

información cambie, la firma será invalidada. iii) No repudio: el emisor no podrá

negar el conocimiento de un mensaje de datos ni los compromisos adquiridos a

través de éste, por cuanto se presume que quería ser vinculado al mismo.

Adicionalmente, es de suma importancia tener en cuenta que el artículo 28 de la

ley 527 de 1999 regula lo relativo a la firma digital. Este artículo dispuso que

cuando una firma digital haya sido fijada en un mensaje de datos se presume que

el suscriptor de aquella tenía la intención de acreditar ese mensaje de datos y de

ser vinculado con el contenido del mismo. Así también, se señaló que con el fin de

que una firma digital tuviera la misma fuerza y efectos que el uso de una firma

manuscrita, es decir, cumpla con la equivalencia funcional de la firma manuscrita,


debía incorporar los siguientes atributos: 1) Debe ser única a la persona que la

usa, 2) Debe ser susceptible de ser verificada, 3) Debe estar bajo el control

exclusivo de la persona que la usa, 4) Debe estar ligada a la información o

mensaje, de tal manera que si éstos son cambiados, la firma digital es invalidada,

5) Debe estar conforme a las reglamentaciones adoptadas por el Gobierno

Nacional.

Es importante recordar que al ser la firma digital el equivalente funcional de la firma

manuscrita, en ésta se relaciona un conjunto de información y los datos personales

propios del firmante, especificados en un certificado digital. El certificado digital,

como lo dispone el decreto 333 de 2014 (hoy Decreto Único Reglamentario 1074

de 2015), es un mensaje de datos firmado por la entidad de certificación que

identifica, tanto a la entidad de certificación que lo expide como el suscriptor, y

contiene la clave pública de éste.

Así las cosas, la firma digital que tiene los mismos efectos de una firma

manuscrita, es la denominada firma digital certificada, pues se requiere la

intervención de un tercero que certifique la identidad de una persona, mitigando así

los riesgos de suplantación y de repudio tan característicos de las comunicaciones

electrónicas. La firma digital autogenerada podrá tener entonces aplicación, pero

con las mismas condiciones de un simple mecanismo de firma electrónica, es decir

que una firma digital que no sea certificada por una entidad de certificación digital,

se entenderá, para todos los efectos jurídicos, como una firma electrónica simple,

donde será entonces necesario probar la confiabilidad y apropiabilidad del

mecanismo para que tenga los efectos de una firma electrónica y por lo tanto será

necesario que dichas condiciones sean previamente establecidas por las partes a

través de un acuerdo.

Teniendo en cuenta lo anterior, es de suma importancia resaltar que debido a ese

procedimiento matemático – firma digital – certificado por una entidad de

certificación, se pueden lograr atributos de seguridad jurídica que son propios de la

firma manuscrita, como son la autenticidad, integridad y el no repudio antes

descritos. Las características de aseguramiento jurídico y técnico de la firma digital

hicieron que el legislador adoptara con respecto de ésta una presunción de

confiabilidad y apropiabilidad. En ese sentido, la diferencia entre una firma digital y

162

una firma electrónica simple es que la firma digital es más robusta técnicamente, y

desde un punto de vista jurídico, también es más robusta por cuanto ésta tiene

mayor fuerza probatoria, pues no será necesario probar su confiabilidad y

apropiabilidad, porque para la emisión de una firma digital – que tiene por finalidad

identificar a una persona – se hace necesaria la intervención de una entidad de

certificación digital que en Colombia cumple las funciones de autoridad de registro

y autoridad de certificación. La entidad de certificación digital es precisamente un

tercero de confianza que garantiza la identidad de las personas en medios

electrónicos.

En este orden de ideas, la firma digital será el mecanismo que garantiza la

identidad y responsabilidad del autor de un documento o transacción electrónica y

de conformidad con el artículo 28 de la ley 527 de 1999, será el equivalente

funcional a la firma manuscrita, es decir, gozará de la misma fuerza y validez

probatoria toda vez que de ésta se desprenden los tres atributos de seguridad

jurídica antes mencionados.

Ventajas: libre elección de la entidad de certificación y del mecanismo de firma electrónica que se quiera utilizar, con el uso de la firma digital es posible autenticarse y firmar digitalmente.

Casos de uso: sobre la firma digital, en Colombia, se destacan los siguientes importantes usos:

o En primer término, se puede afirmar que los certificados digitales sirven para

firmar digitalmente, validando los documentos electrónicos. Esto se explica por

la desmaterialización de documentos físicos que requieren un valor jurídico

otorgado por la firma manuscrita, tales como estados financieros,

autorizaciones, órdenes de compra, certificación de disponibilidad

presupuestal y cualquier comunicación escrita que involucre el uso de una

firma o que trate de garantizar la seguridad en el origen y la integridad de la

información.

o En segundo lugar, la certificación digital se puede aplicar en sistemas de

correo electrónico seguro. En este escenario, la utilidad radica en el

aseguramiento de comunicaciones de correo electrónico, implementando una


garantía de autenticidad del origen de los mensajes, de su integridad y

confidencialidad; y de la de sus adjuntos, y del no repudio de la comunicación.

o La tercera posibilidad de aplicación está constituida por el aseguramiento de

transacciones Web, mediante firmas digitales para el aseguramiento de

transacciones instrumentadas a través de Internet.

o Una cuarta aplicación desarrolla sistemas de gestión de identidad, mediante la

implementación de certificados digitales para la autenticación de usuarios ante

sistemas de información y aplicaciones en general. Esta solución está

enfocada a la gestión de identidad, contando con un único elemento de

identificación que añade valor jurídico a las operaciones de autenticación y

control de acceso.

o La quinta posibilidad de aplicación de la certificación digital está constituida

por la gestión de reportes e informes, pues mediante la incorporación de la

firma digital y de los sistemas administradores de firma digital para la gestión

de grandes volúmenes de documentos, se puede hacer más eficiente y segura

la administración de informes y reportes periódicos. Este es el modelo que en

la actualidad tienen varias de las superintendencias de nuestro país, en su

comunicación con las entidades vigiladas.

5.1.4 PERSPECTIVAS

JURÍDICA

Marco de política que soporta el modelo : Plan Nacional de Desarrollo (ley 1753 de 2015); Política Pública Agenda de Conectividad; Plan Vive Digital y Estrategia Gobierno en Línea (hoy bajo la Dirección Gobierno en Línea de MinTIC).

Instrumentos: Ley 527 de 1999 sobre comercio electrónico. Ley 1273 de 2009 de delitos informáticos. Decreto 2364 de 2012. Decreto 333 sobre constitución y funcionamiento de las entidades de certificación digital, y todo el marco normativo del procedimiento administrativo electrónico, que exige autenticidad, integridad y

164

disponibilidad en las actuaciones administrativas electrónicas (ley 962 y ley 1437). Ley 1581 de 2012 sobre protección de datos personales.

Normas legales:- Ley 527 de 1999

- Ley 962 de 2005

- Ley 1437 de 2011

- Ley 1753 de 2015

Términos y condiciones de uso para los usuarios: sólo se encuentran debidamente documentados en el caso de firmas digitales que cuentan de conformidad con el decreto 333 de 2014 con declaración de prácticas de certificación de las entidades de certificación digital. En el caso de biometría dactilar también se definen las condiciones de uso en la resolución 3341 de 2013 expedida por la RNEC.

Responsabilidades para los usuarios. En general se refieren a la necesidad de garantizar:

a. El control exclusivo del mecanismo por parte del titular.

b. El uso del mecanismo sin que haya delegación a terceros.

En el caso de las firmas digitales estas responsabilidades se encuentran

delimitadas en la Declaración de Prácticas de Certificación.

Emisores y operadores de los proyectos Para mecanismos de autenticación

simples: Autogenerados, ETEK, Olimpica, Avanxo y en general proveedores IT

(Cifin, Datacrédito, entre otros).

Para mecanismo de autenticación robustos: Gmalto, Vasco, RSA, Visa,

Mastercard, entre otros.

Para firmas electrónicas: Autogenerado, ETEK, Avanxo, Docusign, Microsoft,

Deceval, Papel Cero, DoyFe, entre otros.

Para firmas digitales: Andes, Certicámara, GSE y DIAN.

Para biometría: RNEC y operadores homologados, Certicámara, Thomas Gerg &

Sons y Carvajal.

En las firmas digitales, ONAC cuenta con definiciones de las entidades

autorizadas en su página Web.


Por destacar: existe un marco jurídico habilitante claro, amplio y unas políticas

de Estado sostenibles que permite el uso regulado y masificado del mecanismo

de Autenticación Electrónica, enmarcado en los principios constitucionales y

legales de Colombia, leyes modelo y buenas prácticas internacionales.

TÉCNICA

Estándares: sólo aplica para firmas digitales y biometría. En firmas digitales, deben estar en formato X.509.En el caso de biometría se encuentran los definidos por la RNEC en la Resolución 3341 de 2013.

Lineamientos tecnológicos: no se encuentran definidos por el Estado, salvo el caso de las entidades de certificación digital emisoras de firmas digitales que deben cumplir con criterios específicos de acreditación desarrollados por el ONAC.

Políticas de seguridad y privacidad: no existe obligatoriedad para los diversos mecanismos de autenticación, salvo el caso de las firmas digitales donde se deben cumplir las prácticas descritas en la ISO 27001 de 2013 y conforme lo señalan los Criterios Específicos de Acreditación también los definidos por Webtrust.

Descripción genérica de las soluciones tecnológicas: depende directamente del tipo de mecanismos dispuestos.o Mecanismos simples de autenticación.

o Mecanismos robustos de autenticación.

o Firmas electrónicas.

o Firmas digitales.

o Biometría.

Mecanismos de autenticación: métodos tales como: códigos, contraseñas, datos biométricos, o claves criptográficas privadas; que permiten identificar a una persona, en relación con un mensaje de datos, siempre y cuando el mismo sea confiable y apropiado respecto de los fines para los que se utiliza la firma, atendidas todas las circunstancias del caso, así como cualquier acuerdo pertinente.

166

Requerimientos técnicos y funcionales de las soluciones tecnológicas: depende directamente del tipo de solución tecnológica a utilizar, y no existe una definición requerimientos mínimos.

Interoperabilidad con soluciones tecnológicas de Gobierno o institucionales: no existe interoperabilidad, cada solución de autenticación electrónica en las entidades estatales funciona de manera independiente.

FINANCIERA

Modelo de sostenibilidad (fuentes de ingreso o financiación) : no existe uniformidad. En el caso de la DIAN cubre CAPEX y OPEX de las firmas digitales con su propio presupuesto. En el caso de otras modalidades de autenticación simples se hace de la misma forma.

En la mayoría de los casos es el particular quien debe asumir los costos de la autenticación electrónica del Estado, y éste se encarga de asumir la operación.

Tarifas: para los usuarios finales el costo de firmas digitales oscila entre $50.000 y $120.000 de certificados digitales con vigencia 1 año.

SOCIOCULTURAL

Colombia ha venido desarrollando su modelo de autenticación electrónica a partir de un

marco regulatorio bastante prolijo, pero disperso, sin que hayan esfuerzos

interinstitucionales de política pública que permitan su coordinación, o el manejo uniforme

de estos métodos.

Ahora bien, desde al año 2000 con el Documento CONPES 3072 de ese año, y la

definición de la política Agenda de Conectividad, la autenticación electrónica ha sido un

factor clave para el desarrollo de la virtualización de diversos trámites del Estado.

Se han utilizado entre otros, mecanismos diversos como: pin, contraseña, OTP, firmas

electrónicas, firmas digitales, y biometría (ésta última principalmente en la modalidad

dactilar).

En la autenticación electrónica del Estado se ha venido definiendo la aplicación de los

variados métodos a partir de las condiciones de riesgo de cada uno de los trámites


involucrados y de la usabilidad (o apropiabilidad) de los mecanismos; siendo

paradigmático el uso de firmas digitales, que normalmente son requeridas para

transmisión de información de particulares al Estado, y donde en la mayoría de las

situaciones es directamente pagada por el ciudadano o por las empresas (Una excepción

importante es el uso de firmas digitales por parte de la DIAN donde los mecanismos de

firma son directamente sufragados por la entidad).

Indicadores:o Número de firmas digitales colocadas en el mercado, por entidades abiertas:

82.000.

o Número de firmas digitales emitidas por la DIAN para contribuyentes: 750.000.

o Ciudadanos que hacen trámites con el Estado por medios electrónicos 38%.

o Empresas que hacen trámites con el Estado por medios electrónicos 45%.

o Personas de más de 5 años que hacen trámites con organismos

gubernamentales por medios electrónicos en 2014: 944 mil19.

o Microestablecimientos que realizaron transacciones con organismos

gubernamentales por medios electrónicos en 2014: 1.12620.

En la actualidad, existen entidades públicas y privadas que han habilitado sus sistemas

para operar con firma digital en esquemas de autenticación, envío de información y

recepción de información; lo que garantiza alta seguridad jurídica y tecnológica. Entre

ellas se destacan: DIAN, Superintendencia Financiera, Superintendencia de Sociedades,

Superintendencia de Salud, Ministerio de Hacienda y Crédito Público (SIIF Nación),

INVIAS, Procuraduría General de la Nación, Aeronáutica Civil, Mincomercio (VUCE),

Invima–Registro sanitario, Superintendencia de Seguridad, Corficolombiana, Cámaras de

Comercio (Sistema RUE), Notarías, ACH, Consejo Superior de la Judicatura (entre otras).

Finalmente, en este punto se destacan las visitas y reuniones realizadas a diferentes

entidades nacionales, las cuales fueron seleccionadas teniendo en cuenta que hicieran

parte de los diferentes sectores económicos del país para obtener de esta manera una

radiografía general sobre el uso del mecanismo de Autenticación Electrónica a nivel

nacional, como lo es el sector bancario con el Banco de la República; el sector de la

19 DANE - Encuesta Nacional de Calidad de Vida - ECV 2014

20 DANE – Encuesta de Microestablecimientos – Resultados módulo TIC 2014.

168

educación con el SENA; el sector salud con la Nueva EPS; y por otra parte la selección se

centró en conocer el estado del arte en materia de Autenticación Electrónica en algunas

entidades públicas del Estado como los las entidades territoriales con la Alcaldía de

Bogotá, el sistema tributario en cabeza de la DIAN y por último el orquestador nacional de

identificación, la Registraduria nacional del Estado Civil.

Sobre estas visitas existen sendas actas reflejadas en los Anexos de este documento, y

que se pueden sintetizar en el siguiente cuadro:

Entidad Método identificado Perspectiva jurídica

Perspectiva técnica

Perspectiva financiera

Perspectiva Sociocultural

Alcaldía de

Bogotá

Métodos de

autenticación simples,

firmas electrónicas y

firmas digitales.

Definición del

mecanismo por riesgo

y usabilidad del

trámite.

Ley 527 y

Acuerdo Distrital

629 de 2008

Mecanismos

simples,

robustos, firmas

digitales

dependiendo de

riesgos

Capex y Opex

estatal

Apropiación en

función del

ofrecimiento de

trámites en línea

DPS

Métodos de

autenticación simple,

basados en sistemas

de preguntas reto, con

especial énfasis en

población no

bancarizada.

Ley 527 Mecanismos

simples de

autenticación.

Verificación a

través de

cuestionario de

preguntas reto.

Capex y Opex

estatal

Apropiación por

desarrollarse.

SENA

Firmas digitales,

adquiridas a través de

un cupo ilimitado que

es utilizado conforme

a las necesidades de

la entidad.

Ley 527 Estandares

definidos por la

oficina de

sistemas

Capex y oPex

estatal

En desarrollo, a

partir de nuevos

trámites en línea


NUEVA EPS

Métodos de



firmas digitales.

Definición del


y usabilidad del

trámite.

Ley 527 Los definidos en

las normas

Capex y Opex

estatal

En desarrollo

REGISTRADU

RIA NACIONAL

DEL ESTADO

CIVIL

Biometría, con un alto

grado de seguridad y

mitigando por

completo el riesgo. Se

han definido

operadores privados a

partir de la Resolución

3341 de 2013.

Ley 527, Decreto

Ley 019 de 2012,

Ley 1450 de

2008, Ley 1753

de 2015

Estándares

internacionales,

FBI y los

aplicados por

Morpho

Capex Privado

Opex Público

Funciona a

través de

operadores

homologados

Apropiación en

función de

nuevos trámites

que requieren

huella verificada

electrónicament

e.

DIAN

Firmas digitales, en

proceso de migración

a otros mecanismos

de autenticación.

Ley 527, y

Decreto 333

pues fue entidad

cerrada

X 509 V 3, Capex y Opex

completamente

estatal

Apropiación

total en la

relación estado

contribuyente.

BANCO DE LA

REPÚBLICA

Métodos de



firmas digitales.

Definición del


y usabilidad del

trámite.

Ley 527,

Resoluciones de

la Junta Directiva

Estándares

propios de la

firma digital, pero

también utilizan

mecanismos

simples

Capex mixto

Opex mixto

Por ejemplo en el

sistema

Cambiario.

Apropiación en

función de la

obligatoriedad

para diversos

actores

financieros.

Tabla 23. Visitas y reuniones realizadas


170

A continuación, en los siguientes apartes, se realiza el análisis detallado de los casos más

destacados.

5.1.5. Análisis del caso del departamento para la prosperidad social (DPS)

a. Generalidades de la entidad

El Departamento para la Prosperidad Social DPS es el organismo del Gobierno Nacional que busca

fijar políticas, planes generales, programas y proyectos para la asistencia, atención y reparación a las

víctimas de la violencia, la inclusión social, la atención a grupos vulnerables y su reintegración social y

económica. Alcanzar este propósito, el Departamento trabaja integralmente en la formulación y

ejecución de políticas sociales, además de realizar la coordinación de la Unidad de Atención y

Reparación Integral a las Víctimas, el Instituto Colombiano de Bienestar Familiar, la Agencia Nacional

para la Superación de la Pobreza Extrema, el Centro de Memoria Histórica y la Unidad Administrativa

Especial para la Consolidación Territorial.

La misión del DPS es la de “Formular y dirigir políticas para el Sector de Inclusión Social y

Reconciliación e implementar acciones para la estabilización socioeconómica de la población

vulnerable”.

Objetivos y funciones

Los objetivos y funciones del DPS comprenden:

o Dirigir las acciones sectoriales que contribuyan a la creación de condiciones para la

reconciliación.

o Generar condiciones en la población y territorios que permitan la reconciliación y la no

repetición.


o Contribuir a la superación de la pobreza con una oferta efectiva.

o Lograr la atención a las poblaciones y territorios de manera eficiente.

o Mejorar la gestión del DPS.

Servicios en línea

El DPS ofrece al ciudadano servicios en línea enfocados a los grupos de población que

atiende, en especial: mujeres, grupos minoritarios, jóvenes, así como familias y atención a

autoridades territoriales con las que colabora.

Ilustración 36. Servicios en línea DPS

Fuente: Página Web DPS

b. Hallazgos por perspectiva

En este apartado se incluye un análisis por cada una de las perspectivas respecto de los

aspectos relevantes encontrados en la entidad

PERSPECTIVA OBSERVACIONES

Elementos

jurídicos

encontrados

El DPS cuenta con un portal de servicio al ciudadano, el cual tiene un

proceso de autenticación para identificar a las personas a través de

172


preguntas reto asociadas al perfil, a través de 35 fuentes cuentan con un

master data desarrollado por el DPS directamente. Se solicita el número de

cédula como dato de entrada base (identificador) y cuenta con una política

de privacidad.

Las entidades tienen acceso a través de usuario y contraseña como el

Ministerio de Educación, actualmente se está habilitando para otras

entidades adscritas.

Al momento de consultar a través de una red no segura, no cuenta con

previsión ni aseguramiento.

Para el enrolamiento correspondiente, este es de manera presencial, se

realiza en los puntos de atención y la identificación inicial se realiza con la

cédula de ciudadanía, sin embargo se han detectado muchos casos de

suplantación de identidad; esperan desarrollar capacidades para enrolar

electrónicamente.

Elementos

técnicos

encontrados

El DPS muestra el portal de consulta orientado a los ciudadanos

beneficiaros de los diferentes planes. Actualmente se encuentra en etapa

de pruebas antes de publicarlo para el uso público.

Las consultas se realizan por medio de la cedula de ciudadanía sin usar

clave para el usuario, en lugar de la clave se realizan preguntas que conoce

únicamente el ciudadano como mecanismo de autenticación.

El número de preguntas, el número de posibles respuestas, el número de

reintentos y el tiempo de bloqueo es configurable en el portal de consultas.

La funcionalidad de autenticación esta implementada por medio de un

servicio para ser reutilizado por futuras aplicaciones.

Se registra la IP desde donde se realizan las consultas. El servicio se

encontrará desplegado por https/ssl. Se tiene las mismas características de

vulnerabilidad que tendría cualquier otro sistema que permita hacer

consultas en sitios públicos como cafés internet.

Se esperan llegar a tener un mínimo de 300 consultas diarias en el portal de

consultas. Como referencia, en el centro de llamadas se presenta un



número superior a las 2.000 llamadas diarias

Implícitamente, se están utilizando una serie de estándares técnicos:

Arquitectura Orientada a Servicios - Enterprise Service Bus

Arquitectura Empresarial TOGAF

Prácticas ECM con SharePoint.

Identificación de Unidades de Información

Elementos

financieros

encontrados

Con el presupuesto nacional de la Nación, se financió el desarrollo interno

del modelo de seguimiento de familias en acción, jóvenes en acción y plan

de viviendas.

Elementos

organizacionales

encontrados

Dentro de la jefatura de IT, existen dos equipos, uno de arquitectura de TI y

otro de gestión de proyectos. A nivel tecnológico los cargos de carrera

administrativa no están al nivel de los requerimientos necesarios para

gestionar los temas tecnológicos de la Entidad. Se subcontrata el personal

técnico para la operatividad, y presentación de servicios de información.

Actualmente el DPS cuenta con servicios para compartir información de los

beneficiarios con las diferentes entidades miembros del sector.

Algunos de los servicios se encuentran implementados en el portal de

beneficiarios para que usuarios de las entidades se autentiquen, realicen la

consulta y descarga de los archivos requeridos.

Elementos socio

culturales

encontrados

El DPS cuenta con las áreas de comunicaciones, talento humano,

participación ciudadana y los eventos de grupos focales como familias en

acción y jóvenes en acción para presentar los servicios del portal.

Se está adelantando la estructuración de una iniciativa de llevar a las

regiones por medio de los kioscos vive digital (KVD iniciativa del Plan Vive

Digital) los programas de beneficios del DPS.

El portal se comenzará con un piloto con ciertos grupos focales.

Los subsidios son condicionados a los beneficiarios y están restringidos a

174


un estudio de requisitos; desde el cual, se inicia la recepción de solicitudes

para optar por los beneficios.

La entidad cuenta con 35 direcciones seccionales del DPS desde donde se

atienden los solicitantes.

La entidad ve muy difícil lograr el traslado de recursos entre las entidades

del sector y otras que utilizan los servicios del portal.

No es evidente, una estrategia de capacitación, divulgación, interiorización,

sostenibilidad y gestión del cambio, totalmente estructurada y articulada,

que coadyuve o impacte representativamente en el segmento poblacional

del DPS, frente al acceso y uso de futuros trámites y servicios electrónicos

de la Entidad.

Tabla. Hallazgos por perspectiva DPS

Fuente: Elaboración propia

Entorno jurídico seguro y adecuado: de conformidad con la normatividad legal

vigente aplicable a la autenticación electrónica en Colombia, debe afirmarse que el

entorno jurídico en materia de autenticación electrónica en nuestro país y que le es

aplicable a todas las entidades del estado, incluyendo al DPS; prevé y brinda las

herramientas jurídicas necesarias que permiten contar con un entorno jurídico con

los más altos niveles de seguridad. No existe una norma interna (resolución,

directiva, decreto, carta circular, circular externa, etc.), en materia de métodos y/o

herramientas de seguridad que deben aplicarse en flujos electrónicos o SGDEA.

Entorno tecnológico seguro y adecuado: Existen en el mercado las

herramientas necesarias para asegurar los entornos virtuales de las Entidades del

Estado. EL DPS utiliza el estándar Knowledge-Base Autentication (KBA) para

realizar la autenticación de los beneficiarios de los programas. Este sistema, que

utiliza una serie de preguntas asociadas al ciudadano, permite garantizar, en

principio la autenticidad del ciudadano, esto es, la identidad del ciudadano de

manera remota. Presencialmente, el método que se usa para la entrega de los

beneficios es a través de la exhibición del documento de identidad.


Entorno administrativo seguro y adecuado: La Entidad cuenta con un entorno

administrativo que permite definir con claridad los procedimientos y herramientas

de autenticación necesarias para asegurar el flujo de información interna y externa;

los procedimientos de verificación de la idoneidad de los participantes son claros y

existen un proceso definido en tal sentido. Se cuenta con flujos de procesos

definidos y con tablas de retención documental y valoración documental.

Factores de Autenticación

o Algo que sé: Sí

o Algo que tengo: No

o Algo que soy: No.

5.1.6. Caso de la Alcaldía de Bogotá (Alta Consejería Distrital de TIC)

a. Generalidades entidad

Es la Oficina encargada de asesorar, articular, coordinar y supervisar el uso y apropiación

de las Tecnologías de la Información y las Comunicaciones -TIC- en el Distrito para

consolidar una ciudad digital enmarcada en la prestación de mejores servicios desde las

diferentes entidades hacia la ciudadanía y la construcción de una sociedad del

conocimiento.

La misión de la entidad se define así: “La Secretaría General asesora y asiste al Alcalde

Mayor en el ejercicio de sus atribuciones constitucionales y legales, formula políticas para

el fortalecimiento de la función administrativa y la articulación de las entidades distritales,

diseña instrumentos efectivos de coordinación y de gestión en el Distrito Capital para el

mejoramiento continuo del servicio al ciudadano, la promoción del desarrollo institucional,

la orientación de la gestión jurídica y judicial, la gestión disciplinaria interna, la gestión

documental integral y la promoción, cooperación e internacionalización de Bogotá,

176

apoyada en nuevas tecnologías de la información y de comunicaciones, con un equipo

humano idóneo y con vocación de servicio a la comunidad”.

Funciones

Son funciones de la entidad las siguientes:

o Dirigir y liderar la formulación, articulación y seguimiento de las políticas,

lineamientos y directrices distritales en materia de Tecnologías de Información y

Comunicaciones para el fortalecimiento de la función administrativa y misional

de los sectores y entidades de Bogotá Distrito Capital.

o Dirigir y liderar la formulación, articulación y seguimiento de las políticas y

estrategias del Distrito Capital en materia de gobierno en línea, participación

ciudadana a través de medios virtuales, transparencia en la gestión y

contratación pública, democratización de la información y apropiación social de

las Tecnologías de Información y Comunicaciones.

o Dirigir y liderar la formulación, actualización, desarrollo y supervisión del Plan

Maestro de Tecnologías de Información y Comunicaciones (TIC) para el Distrito

Capital.

o Dirigir y liderar la inclusión de la política pública de TIC en el Plan de Desarrollo.

o Participar en el Consejo de Gobierno Distrital para coordinar los asuntos

relacionados con las Tecnologías de Información y Comunicaciones.

o Coordinar ante el Ministerio de las Tecnologías de Información y las

Comunicaciones del Gobierno Nacional los planes, programas y proyectos

relacionados con Bogotá Distrito Capital como ente territorial.

o Participar en la Comisión Distrital de Ciencia, Tecnología e Innovación –

CODICITI–, o la que haga sus veces.


o Participar en la Comisión Distrital de Sistemas –CDS-, o la que haga sus

veces.

o Promover convenios y alianzas para impulsar, desarrollar y consolidar el uso

y aplicación de las Tecnologías de Información y las Comunicaciones desde

la Administración Distrital para el desarrollo de Bogotá D.C. como ciudad

digital e inteligente, el emprendimiento tecnológico y el avance de la

sociedad del conocimiento.

o Actuar como vocero de la Administración Distrital frente a los gremios, la

industria, la academia, los grupos sociales y demás organismos nacionales e

internacionales en relación con los avances, planes, programas y proyectos

que el Distrito Capital adelanta en materia de Tecnologías de Información y

Comunicaciones.

o Asesorar a los sectores y entidades del Distrito en la formulación y articular el

desarrollo de las estrategias, planes y programas relacionados con la

implementación de los sistemas de tecnología e información, de conformidad

con las normas del gobierno nacional en materia de TIC, el Estatuto

Orgánico de Bogotá, el Plan de Ordenamiento Territorial, los planes

maestros asociados y el Plan de Desarrollo vigente, así como con los

lineamientos definidos por la Comisión Distrital de Sistemas – CDS.

o Formular los principios de articulación en materia de TIC que deben tener las

entidades distritales para prevenir y atender situaciones de emergencia en el

Distrito Capital.

o Dirigir, liderar y efectuar el seguimiento a la implementación y el normal

funcionamiento de las plataformas tecnológicas habilitantes del gobierno

digital: 1) Red Distrital de Conectividad, 2) Perfil Digital del Ciudadano, 3)

Plataforma Distrital de Interoperabilidad, 4) Canales hipermedia y 5) Sistema

de aseguramiento de la información y patrimonio digital.

178

o Promover los estudios e investigaciones relacionados con la aplicación,

masificación y apropiación social de las Tecnologías de Información y

Comunicaciones (TIC) en el Distrito Capital.

Servicios en línea

Desde la entidad dependen varios servicios en línea que se relacionan con las

diversas áreas de actuación del Distrito Capital, destacando:

Portales para la realización de trámites relacionados con áreas de servicios

sociales, educación, vivienda, transporte, medio ambiente, salud, recreación y

deporte, y actividad empresarial y económica.

Ilustración 37. Servicios en línea Alcaldía Mayor

Fuente: Página Web bogota.gov.co

Portal relacionado con una sede virtual de los Super CADE para interactuar con las

diversas entidades del Distrito.


Ilustración 38. Servicios en línea Super Cade


Versión portal de la línea 195 del Distrito en la cual se puede obtener información sobre

entidades, trámites y temas relacionados

Ilustración 39. Chat Línea 195


Agregación de los anteriores en un portal de entrada que permite ubicar los diferentes

servicios relacionados en los anteriores, incluyendo tanto servicios a la ciudadanía como

servicios de información y bancos de documentos.

180

Ilustración 40. Dirección Distrital de Servicio al Ciudadano



Ilustración 41. Servicios en línea Alcaldía Mayor






Elementos

jurídicos

encontrados

La oficina encargada de asesorar, articular, coordinar, y supervisar el uso y

la apropiación de las tecnologías de la información y las comunicaciones –

TIC, cuenta con el desarrollo de una plataforma denominada Perfil digital

del ciudadano, es una base de datos la cual busca caracterizar y tener en

un sitio centralizado información de las personas que interactúan con el

Distrito en diferentes entidades.

No se habla específicamente a través de este portal de Autenticación

electrónica, sino de tener un registro de las personas que acceden al

distrito, para tal fin se expidió la Directiva 022 de 2011 - Estandarización de

182


la información de identificación, caracterización, ubicación y contacto de los

ciudadanos y ciudadanas que capturan las entidades del Distrito Capital.

Así mismo, manejan estrategia GEL, para lo cual se generó una resolución

en el 2008 con aproximadamente 7 políticas sobre varios temas

tecnológicos, los cuales hasta la fecha no se han puesto en práctica. No

cuentan con mecanismos de seguridad de la información.

Elementos

técnicos

encontrados

La alta consejería realizó la definición de la guía de usabilidad para la

construcción de sitios web en las entidades del distrito.

Se ha involucrados estándares y lineamientos como: Guía para la

construcción de sitios web. No se han iniciado trabajos de estándares de

autenticación. Hacienda e IDU han adelantado iniciativas de autenticación

electrónica separadas.

Dentro de la Norma Técnica Distrital se involucró el uso del estándar NTC-

ISO 27001:2006. Para la gestión de requisitos de seguridad de la

información y la NTC-ISO 15489-1. Información y Documentación. Gestión

de Documentos; los cuales se están utilizando en las diferentes iniciativas

tecnológicas del Distrito.

La alta consejería está trabajando el tema de implementación de la norma

ISO 27001 en los servicios tecnológicos de la entidad.

Se está trabajando en el diagnóstico de los elementos de seguridad de la

información con la comisión distrital de sistemas.

La entidad se esfuerza por definir un estándar técnico para la definición de

requerimientos de autenticación pero aún no ha sido estandarizado en el

distrito.

Se ha elaborado un procedimiento para el desarrollo de aplicaciones y

sistemas de información. Existe un proceso de diseño de arquitectura

tecnológica.

Se tiene un convenio con la RNEC para tener a disposición la base de



datos del registro de ciudadanos y con ello poder depurar el registro de

ciudadanos que se relacionan con el distrito.

Elementos

financieros

encontrados

Lo proyectos liderados por la alta consejería son financiados con

presupuesto directo de este órgano asesor y algunas entidades adscritas.

Así también, algunos proyectos se realizan con convenios como por

ejemplo con el MinTIC y Colciencias.

100% del Presupuesto de la Alta Consejería de las TIC que depende de la

Secretaría General de la Alcaldía de Bogotá. (Capex y Opex)

Una vez implementados los proyectos los gastos de operación, se financian

con los recursos del presupuesto de las entidades participantes.

No existe financiación privada.

Elementos

organizacionales

encontrados

La arquitectura organizacional en el distrito, busca tener en cada proyecto,

líneas específicas en tres distintos aspectos; política, gerencia de proyectos

y casa de software.

Elementos socio

culturales

encontrados

No existe lineamiento de apropiación liderados por la Consejería. La

dirección distrital de servicio al ciudadano, maneja lo que está de cara a la

ciudadanía y son ellos los dados a tener un plan de acción concreto.

Concretamente respecto del tema del perfil digital del ciudadano, se

contempla un plan de comunicaciones que se espera tener en el año 2016.

Existe una Política de servicio al ciudadano, que orienta a las entidades a

sensibilizar a la ciudadanía como veedores de un servicio transparente y

oportuno; garantizar la infraestructura física y tecnológica de los puntos de

atención para que sean accesibles a toda la población; fortalecer los

modelos internos para brindar respuestas más oportunas, integrales y de

calidad a las solicitudes y mayor articulación entre las instituciones para el

mejoramiento de los canales de servicio a la ciudadanía.

184


Entre los medio o estrategias con los cuales se interactúa, capacita o

interioriza las iniciativas distritales, se destaca las siguientes iniciativas;

Súper Cade, Cade, Cade Virtual, Supercade Móvil,

RapiCade, Línea 195, Portal Bogotá: Sitio web oficial de Bogotá, El Sistema

Distrital de Quejas y Soluciones – SDQS.

Tabla. Hallazgos por perspectiva Alcaldía Mayor





aplicable a todas las entidades privadas y entidades del estado, incluyendo la

ALCALDÍA; prevé y brinda las herramientas jurídicas necesarias que permiten

contar con un entorno jurídico con los más altos niveles de seguridad. No existe

una norma interna (resolución, directiva, decreto, carta circular, circular externa,

etc.), en materia de métodos y/o herramientas de seguridad que deben aplicarse

en flujos electrónicos o SGDEA. No se habla específicamente a través de este

portal de Autenticación electrónica, sino de tener un registro de las personas que

acceden al distrito, para tal fin se expidió la Directiva 022 de 2011 -

Estandarización de la información de identificación, caracterización, ubicación y

contacto de los ciudadanos que capturan las entidades del Distrito Capital.

Entorno tecnológico seguro y adecuado: existen en el mercado las


Estado y de los privados que cumplen o no funciones públicas. En la Alcaldía

existen diferentes iniciativas, como el Perfil digital del ciudadano, cuyo objeto es

contar un sitio centralizado donde los ciudadanos puedan interactuar con el

Distrito. No obstante, la información es dispersa y la recolección de datos no es

uniforme.


Entorno administrativo seguro y adecuado: la entidad cuenta con un entorno



los procedimientos de verificación de la identidad no se garantizan. Se cuenta con

flujos de procesos definidos y con tablas de retención documental y valoración

documental. A la fecha se encuentran desarrollando un proyecto que permitirá

unificar las bases de datos de las diferentes entidades del distrito.


o Algo que sé: Sí.

o Algo que tengo: Sí.

o Algo que soy: No.

Los sistemas de información internos: la Alcaldía cuenta con diferentes

sistemas de información internos que le permiten tener un adecuado flujo de la

información. No obstante esté flujo es físico y no se tienen implementados

sistemas de gestión documental electrónico de archivo.

5.1.7. Sena

a. Generalidades entidad

El SENA está encargado de cumplir la función que le corresponde al Estado de invertir en

el desarrollo social y técnico de los trabajadores colombianos, ofreciendo y ejecutando la

formación profesional integral, para la incorporación y el desarrollo de las personas en

actividades productivas que contribuyan al desarrollo social, económico y tecnológico del

país.

Definición y Objeto

186

El SENA nació durante el gobierno de la Junta Militar, posterior a la renuncia del General

Gustavo Rojas Pinilla, mediante el Decreto-Ley 118, del 21 de junio de 1957. Su función,

definida en el Decreto 164 del 6 de agosto de 1957, fue brindar formación profesional a

trabajadores, jóvenes y adultos de la industria, el comercio, el campo, la minería y la

ganadería.

Así mismo, siempre buscó proporcionar instrucción técnica al empleado, formación

complementaria para adultos y ayudarles a los empleadores y trabajadores a establecer

un sistema nacional de aprendizaje. La Entidad tiene una estructura tripartita, en la cual

participarían trabajadores, empleadores y Gobierno, se llamó Servicio Nacional de

Aprendizaje (SENA), que se conserva en la actualidad y que muchos años después,

busca seguir conquistando nuevos mercados, suplir a las empresas de mano de obra

calificada utilizando para ello métodos modernos y lograr un cambio de paradigma en

cada uno de los procesos de la productividad.

El SENA está encargado de cumplir la función que le corresponde al Estado de invertir en

el desarrollo social y técnico de los trabajadores colombianos, ofreciendo y ejecutando la

formación profesional integral, para la incorporación y el desarrollo de las personas en

actividades productivas que contribuyan al desarrollo social, económico y tecnológico del

país.

Funciones

Son funciones de la entidad las siguientes:

1. Impulsar la promoción social del trabajador, a través de su formación profesional

integral, para hacer de él un ciudadano útil y responsable, poseedor de valores

morales éticos, culturales y ecológicos.

2. Velar por el mantenimiento de los mecanismos que aseguren el cumplimiento de

las disposiciones legales y reglamentarias, relacionadas con el contrato de

aprendizaje.


3. Organizar, desarrollar, administrar y ejecutar programas de formación profesional

integral, en coordinación y en función de las necesidades sociales y del sector

productivo.

4. Velar porque en los contenidos de los programas de formación profesional se

mantenga la unidad técnica.

5. Crear y administrar un sistema de información sobre oferta y demanda laboral.

6. Adelantar programas de formación tecnológica y técnica profesional, en los

términos previstos en las disposiciones legales respectivas.

7. Diseñar, promover y ejecutar programas de formación profesional integral para

sectores desprotegidos de la población.

8. Dar capacitación en aspectos socioempresariales a los productores y

comunidades del sector informal urbano y rural.

9. Organizar programas de formación profesional integral para personas

desempleadas y subempleadas y programas de readaptación profesional para

personas discapacitadas.

10. Expedir títulos y certificados de los programas y cursos que imparta o valide,

dentro de los campos propios de la formación profesional integral, en los niveles

que las disposiciones legales le autoricen.

11. Desarrollar investigaciones que se relacionen con la organización del trabajo y el

avance tecnológico del país, en función de los programas de formación

profesional.

12. Asesorar al Ministerio del Trabajo en la realización de investigaciones sobre

recursos humanos y en la elaboración y permanente actualización de la

clasificación nacional de ocupaciones, que sirva de insumo a la planeación y

elaboración de planes y programas de formación profesional integral.

188

13. Asesorar al Ministerio de Educación Nacional en el diseño de los programas de

educación media técnica, para articularlos con la formación profesional integral.

14. Prestar servicios tecnológicos en función de la formación profesional integral,

cuyos costos serán cubiertos plenamente por los beneficiarios, siempre y cuando

no se afecte la prestación de los programas de formación profesional.

Servicios en línea

Los servicios en línea del SENA, se encuentran disponibles en la página de SENA Virtual

donde se puede visualizar la oferta de cursos disponibles y además inscribirse si fuera el

caso. El SENA utiliza la herramienta Blackboard, que es una plataforma de aprendizaje

colaborativo e interactivo. En el lado derecho de la página se encuentra la autenticación

de identidad para ingreso, donde posteriormente se pueden ver los documentos

disponibles del curso que esté activo e interactuar con otros estudiantes y el profesor a

través de la plataforma.

Ilustración 42. Servicios en línea SENA

Fuente: Página Web sena.edu


Además para ver la oferta de programas de formación ofertados e inscribirse, el SENA

dispone de la página web Sofía Plus donde se pueden buscar escogiendo el tipo de

estudio que se piensa realizar (carrera o curso) y la modalidad (presencial o virtual). En

esta página también es posible registrarse con el fin de inscribirse a algún programa o una

vez esto ya se ha realizado, se puede acceder al sistema (ver costado derecho).

Ilustración 43. SENA Sofía Plus

Fuente: Página Web sena.edu




Preliminarmente, cabe indicar que como parte del Programa de Gobierno en Línea, se

presentaron estos importantes hitos en el desarrollo de sus sistemas:

Comienza en 2009 para la expedición de certificados de estudio.

Se expiden certificados digitales para funcionarios públicos.

190


Elementos jurídicos

encontrados

Tipos de certificados función pública.(perfil)

No está clara la normatividad que los rige. Se basan en el tema de normas de contraloría, más el tema de retención documental.

Se emiten Certificados de 24k, ya que no se ha actualizado la norma asociada con estándares de preservación.

El formato de firma estándar ISO LTV añaden las evidencias cuando se emiten y cuando se comprueban.

Elementos técnicos

encontrados

En temas de Autenticación:

El estudiante lo hace con nombre de usuario y contraseña en las plataformas del SENA.

Se utilizan mecanismos de firma digital para la expedición de los certificados.

Sede electrónica. documentos normativos.

Instancia de control por obtener el documento a partir del original.

Certificación de estudiantes.

Lectura por medio de elementos biométricos.

Al interior se maneja la autenticación.

Firma digital, usuario y contraseña.

Servicio de soporte técnico.

Seguridad de la información es una deficiencia.

No hay actualizaciones en la web; por lo tanto, si el documento que se generó contiene errores, se debe generar otro.

Existe un módulo de firma centralizada solamente, el uso de firmas digitales está en producción.

Elementos financieros

encontrados

Inversión inicial para herramienta equipo -cliente y se inserta la firma digital.

SENA es el directo poseedor de la infraestructura. Infraestructura similar con una entidad de certificación digital.

Costo de la autenticación: valor fijo a emitir según la cantidad de certificados que se requieran ilimitado en usuarios.

Licencia 564 millones.



La persona inscrita que no realicen el curso respectivo, representa en todo caso un costo para el SENA.

Elementos organizacionales

encontrados

El usuario no es cuidadoso en la generación de los token.

Hay reutilización de los dispositivos.

Se cuenta con 24.000 contratistas.

50.000 a 60.000 usuarios concurrentes.

El Operados postal para los servicios físicos es 4-72.

Elementos socio culturales

encontrados

Se generan 900 certificados digitales.

A los empresarios se les envían comunicaciones de conclusión de estudios.

Comunicación de alto volumen.

Experiencia / beneficios y obstáculos

El proceso de adoptar la cultura de 0 papel ha sido difícil

Las entidades de control todavía solicitan documentos en físico. Como razón se indica que pueden fundamentarse en tablas de retención documental

Ilustración 44. Hallazgos por perspectiva SENA





aplicable a todas los privados y entidades del estado, incluyendo al SENA; prevé y

brinda las herramientas jurídicas necesarias que permiten contar con un entorno

jurídico con los más altos niveles de seguridad. No existe una norma interna

(resolución, directiva, decreto, carta circular, circular externa, etc.), en materia de

métodos y/o herramientas de seguridad que deben aplicarse en flujos electrónicos

o SGDEA.

192

Entorno tecnológico seguro y adecuado: existen en el mercado las


Estado. El SENA utiliza firmas digitales desde el año 2009 con el objetivo de

expedir certificados de estudios firmados digitalmente. Al interior de la entidad

cuentan con una autenticación interna a través de firma digital y sistemas PIN,

usuario y contraseña. Cuentan con integraciones con la Cancillería, y cuentan con

traslados de dispositivos.

Entorno administrativo seguro y adecuado: la entidad cuenta con un entorno



los procedimientos de verificación de la identidad de los estudiantes virtuales no se

garantizan. Se cuenta con flujos de procesos definidos y con tablas de retención

documental y valoración documental.


o Algo que sé: Sí

o Algo que tengo: Sí

o Algo que soy: Sí

La entidad tiene un avance importante en determinados procesos donde usa esquemas

robustos de autenticación como la firma digital expedidas por entidades de certificación

digital. No obstante, en diferentes procesos no se tiene implementado ningún mecanismo

de autenticación generando riesgos de suplantación, alteración y pérdida de información.


6. ANALISIS COMPARATIVO

Análisis comparativo: presenta la comparación de los diferentes casos analizados, de

manera que permita identificar tendencias, prácticas comunes, divergencias,

problemáticas y aprendizajes que deban ser tenidos en cuenta para el caso colombiano.

6.1. ANÁLISIS CANVAS

194

Ilustración 45. Análisis Canvas


Como conclusiones de los canvas analizados se debe resaltar lo siguiente:

Promesa de valor: los elementos más valorados por los usuarios, son:

autenticidad de quien realiza las transacciones, ahorros en transporte y tiempo,

impacto ambiental positivo, transacciones electrónicas seguras, fácil interacción

con mecanismos de autenticación (dependiendo de niveles de seguridad y de la

transacción a realizar).

Segmentos de clientes: los principales segmentos atendidos son: ciudadanos,

entidades estatales, empresas privadas.

Relación con clientes: la forma en que normalmente se interactúa y existe una

retroalimentación con los distintos segmentos objetivos, es a través de medios

presenciales, en línea vía internet y medio telefónico. La marca genera confianza

en los usuarios.

Canales: los principales canales por los cuales se atiende al público objetivo o

segmentos del modelo, son: a través de red de oficinas, empresas de correo, vía

telefónica, páginas Web, aplicaciones móviles.


Recursos clave: entre los principales recursos requeridos se destacan entre

otros: físicos (edificios, sistemas, redes, hardware, software), intelectuales (marca,

propiedad intelectual, bases de datos), humanos (equipo de trabajo capacitado),

financieros (garantías, grandes inversiones de capital CAPEX, OPEX), marcos

jurídicos y lineamientos.

Actividades clave: en suma, las actividades claves en los modelos de

autenticación son: definición y supervisión de un marco legal, procesos de

producción y distribución de equipos o dispositivos (tarjetas, lectores, token, etc.),

proceso de enrolamiento, administración base de datos, proceso de apropiación y

uso.

Alianzas clave: se observa que los principales modelos analizados apalancan

esfuerzos, principalmente con entidades del sector de las telecomunicaciones,

bancario, transporte, operadores de correo físico, operadores de pago electrónico,

de seguridad informática (proveedores de tecnología) y entidades estatales con

competencia legal y operacional de TIC.

Estructura de costos: los costos más representativos que asumen los modelos

de autenticación son: infraestructura, hardware, software, mantenimiento, nómina,

producción y distribución de equipos; contratos empresas certificadoras.

Ingresos: los ingresos del modelo varían teniendo en cuenta su taxonomía y

estructura. Sin embargo las principales fuentes de ingresos son: cobros por

transacción, presupuesto del Gobierno y capital privado (APP’s).

Jurídico: los modelos internacionales siguen principalmente, la Ley Modelo de

Firma Electrónica de CNUDMI de 2002, la Directiva Europea de Firma Electrónica

y la normatividad producida internamente por cada país en esta materia.

196

6.2. ANÁLISIS DE FORTALEZAS Y DEBILIDADES

Reino Unido Suecia Estonia Chile Perú

Fortaleza Debilidad Fortaleza Debilidad Fortaleza Debilidad Fortaleza Debilidad Fortaleza Debilidad

Perspectiva tecnológica

Estándares

internacionale

s

Seguridad del

mecanismo

Capacidad

de

integración

No

detectada

Seguridad de

los

mecanismos

Dispositivo

de

almacena

miento

Facilidad de

integración

Seguridad Múltiples

mecanismos

Interoperabilidad

Perspectiva financiera

No detectada Sostenibilidad Sostenible

con tarifa

moderada

No

detectada

App con

sostenibilidad

Dependen

cia de

infraestruct

ura en

obsolesce

ncia

No detectada Dependenci

a del

presupuest

o del

Estado

Sostenibilida

d financiera

vía tarifa en

la instalación

Sin modelo claro de

operación

Perspectiva jurídica

Estándares y

buenas

prácticas

No detectada Desarrollo

normativo

incluyente y

habilitante de

diversos

trámites

No

detectada

Modelo de

rápida

habilitación

No

detectada

Decisión política

clara y cambio

normativo sin

traumatismo

No

detectada

Marco

jurídico

dentro de

estándares

No detectada

Perspectiva organizacional

Dirigismo

estatal a

través del

Gabinete

No detectada eID Board

con fuerte

poder de

convocatoria

No

detectada

APP con

gran alcance

institucional

No

detectada

Presidencia

involucrada a

todo nivel

Sector

Privado

ausente

RENIEC e

Indecopi con

gran

liderazgo

No detectada

Perspectiva socio-cultural

Rápida

apropiación

con inclusión

de

numerosos

trámites –

cobertura

No detectada Apropiación

mixta con

gran

componente

del sector

financiero

No

detectada

Inclusión

digital con la

totalidad de

trámites en

línea –

Inclusión a

través de e –

residencia

No

detectada

Universalización.

Aplica en trámites

presenciales

Sistema de

difusión y

publicidad de

resultados

Escasa aplicación

Tabla 24. Análisis comparativo



7. CONCLUSIONES Y RECOMENDACIONES POR PERSPECTIVA

A continuación se plantean los elementos que, producto del proceso de análisis de los

casos nacionales e internacionales, se encuentran como muy relevantes a efectos de ser

considerados en el desarrollo conceptual de los modelos correspondientes en las fases

posteriores de este proyecto.

7.1 PERSPECTIVA POLÍTICO-LEGAL

Como se pudo observar, existe en Colombia, en la gran mayoría de países analizados y

en general en los adscritos a la ONU, un marco jurídico uniforme en materia de seguridad

electrónica que está orientado a las firmas electrónicas.

No obstante, en diferentes entidades del Estado se utilizan esquemas de firmas

electrónicas simples y firmas digitales, sin conocer de manera precisa el marco normativo

que aplica en cada caso. Se encontró que en general se hace uso de mecanismos de

firma electrónica simple, pero en casi ninguna entidad analizada se hace uso de esquema

de firmas electrónicas certificadas.

Los riesgos de suplantación de identidad en las entidades analizadas, permite concluir

que los mecanismos de autenticación que se utilizan no son muy robustos y que existe un

importante vacío en esta área generando múltiples incidentes anuales por este concepto

según datos reportados por la Fiscalía General de la Nación en 2014.

El riesgo de alteración o modificación de documentos electrónicos es alto al no emplearse

mecanismos robustos de autenticación, o firmas electrónicas, a pesar de que tanto la

Guía MinTIC de Documento Electrónico, como el Código Contencioso Administrativo y de

Procedimiento Administrativo (Ley 1437 de 2011), consagran la obligatoriedad de

garantizar la autenticidad y la integridad de los documentos públicos.

El riesgo de pérdida de documentos electrónicos es igualmente alto, por las mismas

razones expuestas anteriormente.

198

Puede entonces concluirse que si bien existe un marco regulatorio idóneo, uniforme y

transversal en materia de autenticación electrónica, las entidades del Estado, por

desconocimiento tanto en la normatividad como en la existencia de dichos mecanismos,

pueden calificarse como de recurrencia alta en los tres niveles de riesgo (suplantación,

alternación y pérdida).

De lo anterior se colige que no existe una apropiación clara en las entidades en materia

de métodos de autenticación electrónica en el país, razón por la cual se hace imperioso

unificar los criterios y el uso de tales métodos.

En la gran mayoría de entidades analizadas, se emplean mecanismos simples de

autenticación, que se ubican normativamente bajo los parámetros del artículo 17 de la ley

527 de 1999. Las entidades en su mayoría desconocen el alcance del decreto 2364 sobre

firma electrónica y también el alcance probatorio relacionado con la confiabilidad y

probidad de los métodos de firma electrónica.

En asuntos transaccionales de entidades del Estado y de privados que desarrollen y/o

cumplan funciones públicas o presten un servicio público, el análisis de la adopción de

métodos de autenticación simples o robustos, así como firmas electrónicas o digitales,

deberá tener en cuenta los riesgos del trámite, documento o procedimiento, así como la

usabilidad del respectivo mecanismo.

Las entidades del Estado deben garantizar, siempre, la autenticidad, integridad y

disponibilidad de los documentos públicos electrónicos, tal y como se contempla en la

Guía de Documento Electrónico del MinTIC.

Deberían implementarse mecanismos de autenticación amigables, seguros y no

discriminatorios, que propendan por la expansión en el uso de los medios electrónicos por

parte de los usuarios, a fin de mejorar la calidad de los servicios del Gobierno y la

ampliación de mercados para las empresas, garantizando en todo momento la

autenticidad e integridad de los documentos públicos (mensajes de datos).

7.2 PERSPECTIVA TECNOLÓGICA


Los métodos de autenticación están clasificados en función de los elementos (factores)

que se usan para validar la identidad de una persona y podrían agruparse en tres grandes

categorías, a saber:

Aquellos que se apoyan en lo que el usuario o el receptor sabe. Por ejemplo:

contraseñas, números de identificación, PIN (Personal Identification Number),

respuestas a preguntas, etc.

Los fundados en las características físicas del usuario o en actos involuntarios del

mismo. Por ejemplo: biometría (verificación de voz, de escritura, de huellas, de

patrones oculares).

Los que se apoyan en la posesión de un objeto por el usuario. Por ejemplo:

tarjetas de coordenadas, tokens OTP, token criptográficos u otra información

almacenada en una tarjeta magnética.

En una cuarta clase se podría incluir diversas tipologías o métodos de

autenticación y firma que, aunque no pertenecen a ninguna de las citadas arriba,

pueden utilizarse también para indicar el creador de un mensaje electrónico (Un

facsímil de una firma manuscrita o un nombre mecanografiado en la parte inferior

de un mensaje electrónico).

Entre las tecnologías que más se utilizan en la actualidad para la aplicación de métodos

de autenticación, podemos encontrar las siguientes: certificados digitales, dispositivos

biométricos, ID y contraseñas, token OTP (One Time Password), grilla o tarjeta de

coordenadas, preguntas y respuestas, soluciones híbridas. En cuanto a la firma, también

se pueden identificar algunas tecnologías o mecanismos que permiten su implementación:

firmas digitales, firmas manuscritas escaneadas o firma facsímil, firmas realizadas por

medio de un lápiz digital, checkBox.

Es correcta la utilización de las aplicaciones de la Firma Digital – PKI, autenticación

biométrica – MOC e identidad ICAO eMRTD como distintos métodos de autenticación

electrónica en Gobierno que generen un grado razonable de confianza.

Con los niveles de aseguramiento, se determina un esquema de garantía para las

aplicaciones y servicios electrónicos que deseen establecer los medios de identificación y

200

autenticación electrónicos. Si se establece el nivel de riesgo asociado al caso de uso

concreto, se puede determinar cuáles son los mecanismos de identificación y

autenticación admitidos.

7.3 PERSPECTIVA FINANCIERA

La implementación de un modelo de autenticación nacional amerita unos altos costos de

inversión inicial de capital, así como costos de la operación periódica del sistema.

El costo más representativo para el proveedor es el mantenimiento de su PKI y los costos

de emisión de un eID bajo el modelo de una tarjeta inteligente que permita un método

robusto de autenticación. Por ello se debe analizar si es viable trasladar algunos de esos

costos al ciudadano vía tarifa. En los esquemas internacionales analizados, se encuentra

que los proveedores de servicios que requieren autenticación, en la mayoría de casos con

esquemas financieramente auto sostenibles, deben pagar según el número de

transacciones efectuadas.

En el supuesto de financiar esta iniciativa por parte del Gobierno, se deberá contar con un

presupuesto oneroso que permita la operación, mantenimiento y sostenibilidad de modelo.

Uno de los posibles costos más importantes podrá estar determinado por los contratos

con las empresas certificadoras que deben cumplir con los requerimientos legales. Así

también, el mantenimiento gubernamental de una estructura humana de soporte, de

apoyo en las labores de acreditación y el modelo de atención al ciudadano. Se resalta de

igual forma la infraestructura, integración y mantenimiento del esquema de autenticación.

Al analizar el contexto internacional, se evidencia que los ciudadanos encuentran

múltiples aplicaciones al mecanismo de identificación electrónica, que además también les

sirve como medio de identificación oficial. En algunos casos, los usuarios finales costean

su tarjeta, la actualización es gratuita si se hace a través del Gobierno o tiene un costo si

se realiza por ejemplo a través de un banco o un canal autorizado como parte del sistema.


7.4 PERSPECTIVA ORGANIZACIONAL

La Autenticación Electrónica aporta a la modernización y simplificación de la

administración pública. Con adecuados sistemas de autenticación, el Estado tendría la

posibilidad de ofrecer servicios al ciudadano a través de Internet y el ciudadano accedería

a ellos las 24 horas del día y los 7 días de la semana, desde cualquier parte del país o del

mundo.

Además de los modelos de autenticación bajo estándares como Open ID - propios de

Reino Unido y Chile - y de las firmas electrónicas que utilizan todo tipo de tecnologías,

existe de manera general una preferencia por modelos de confianza de la PKI que puedan

prestar servicios y que determinan su organización (es importante tener en cuenta que

esto comienza a revisarse a nivel internacional con disposiciones como la Directiva

Europea de julio de 2014 sobre Mecanismos de Autenticación). Estos se pueden agrupar,

entre otros, en los siguientes modelos:

Modelo público jerárquico de PKI: se basa en una autoridad de certificación de raíz

única que firma a las demás. Es un escenario cerrado que incluye sólo prestadores

públicos, con regulación en la emisión, políticas implantadas y auditorías

periódicas.

Modelo público distribuido de PKI: basado en listas de servicios de confianza.

Disposición de libre mercado compuesto por prestadores públicos, sin posibilidad

de prestadores privados, con mecanismo de gestión de certificados admitidos

basado en listas de servicios de confianza (prestadores y certificados).

Modelo mixto jerárquico de PKI: misma disposición que el modelo público

jerárquico, pero aceptando a los prestadores privados mediante un marco de

acreditaciones y auditorías (condiciones adicionales).

Modelo mixto distribuido de PKI: basado en listas de servicios de confianza:

Disposición de libre mercado compuesto por prestadores públicos y privados.

Algunos órganos se establecerán como validadores y gestores para facilitar la

validación y acreditación. Se asegurará que, al menos, haya un PSC y emisor de

los certificados que cumpla con las condiciones acordadas. Se propone el modelo

202

en el ámbito de otras administraciones. Se contempla una posible variante de

emisor único de ciertos certificados, ya sea el certificado de sede, el de sello o

ambos (por determinar).

7.5 PERSPECTIVA SOCIOCULTURAL

Se recomienda para el proceso de apropiación del modelo tener una estrategia de

marketing digital, la cual permita el uso de dispositivos electrónicos (computadoras) tales

como: computadora personal, teléfono inteligente, teléfono celular y tableta; entre otros,

para involucrar a las partes interesadas. Esta estrategia deberá contemplar tecnologías o

plataformas, tales como: sitios Web, correo electrónico, aplicaciones (clásicas y móviles) y

redes sociales. Ésta podrá darse inclusive a través de los canales que no utilizan Internet

como: la televisión, la radio, SMS, etc. o a través de canales que usan Internet como:

medios sociales, anuncios en correo electrónico, anuncios tipo banner, etc.

Frente a este mismo tema, en lo particular al diseño de una página Web, se hace

necesario que contenga información electrónica capaz de contener texto, sonido, vídeo,

programas, enlaces, imágenes, y muchas otras cosas, adaptada para la llamada World

Wide Web, y que puede ser accedida mediante un navegador. Es importante generar

dentro de este canal, contenidos que permitan dar a conocer los beneficios, deberes y

responsabilidades de los distintos actores; así también que los guíen en su proceso de

aprendizaje. Existen experiencias en la que se diseñan tutoriales Web para las

necesidades del público objetivo, que hacen atractivo, didáctico y efectivo su proceso de

aprendizaje.

Se deberá realizar una estrategia particular para aquellas zonas rurales asiladas y grupos

de población analfabetas digitales, que no poseen una cultura electrónica, para lo cual se

deberán realizar desplazamientos puntuales que permitan motivar el uso e inclusión de

este grupo de interés y apoyarse en la infraestructura de acceso que se ha generado

como es el caso de los Puntos y Kioscos Vive Digital (KVD).

Como buena práctica encontrada, relacionada como elemento o canal de uso, se destaca:

Una tarjeta nacional obligatoria que sirva como acceso digital a todos los e-

servicios de un país. Tarjeta con chip incrustado que mediante el cifrado pueda ser

https://es.wikipedia.org/wiki/Navegador_web

https://es.wikipedia.org/wiki/World_Wide_Web

https://es.wikipedia.org/wiki/World_Wide_Web


utilizado como prueba definitiva de identificación, en un entorno electrónico e

incluso en trámites presenciales ante entidades del Estado.

Tarjeta de identificación que sirva entre otros como: documento nacional de

identidad para viajar, tarjeta sanitaria, prueba de identificación al iniciar sesión en

las cuentas bancarias desde un ordenador personal, billete de transporte público

de prepago, para firmas digitales, tarjeta de fidelización, identificación en los

sistemas de control de acceso, i-voting, acceder a las bases de datos del

Gobierno, marcar registros médicos, procedimientos electrónicos de residencia,

pagar impuestos, etc.

204

8. ANEXOS


Tabla 25. Lista de anexos

206

Anexo Archivo

0. OTROS1. GEL-AE-AI-01.xlsx

2. GEL-AE-NL-01.docx

1. INFORME GEL-AE-SA-02.0.docx

2. SUECIA

1. AE Assignment Colombia.pdf

2. Discovery Swedish eID Framework.pdf

3. eID DSS Extension.pdf

4. Certificate Profile.pdf

5. Implementation Profile.pdf

6. Entity Categories.pdf

7. Authentication Context Classes.pdf

8. Attribute Specification.pdf

9. Registry for Identifiers.pdf

10. Deployment Profile.pdf

11. Technical Framework.pdf

12. User Terms.pdf

13. eID Services Nordic Countries.pdf

14. eLearning Swedish.pdf

15. Digital Sweden_es.pdf

16. egov Sweden 201501.pdf

17. eID and Signature Sweden.pdf

18. European Workshop for Trust & Identity.mht

19. Swedish eID - NVVB Conference 20140515.pdf

20. Swedish eID.pdf

21. eID Cards in Europe.pdf

22. Conclusiones AE Consejo Superior

Administracion Electronica.pdf

23. Programa suizo ePassport y eID - Gemalto.pdf

1. Certificates.mht

estrategia.gobiernoenlinea.gov.coestrategia.gobiernoenlinea.gov.co/623/articles-9406... · web...

Documents