A nivel global las transacciones digitales han proliferado en todos los sectores e industrias. El desarrollo de  eCommerce,  FinTech, InsurTech, eHeath, eGov son ejemplos del avance digital de los últimos años donde la Identificación electrónica es un pilar fundamental. En muchos países se regula la Identificación digital de forma de lograr una equivalencia normativa funcional con la identificación de forma presencial. Pudiendo acceder a nuevos servicios digitales en donde las regulaciones que exigían la presencialidad para determinados procesos no permitían llegar.  Esta regulación entra dentro de los conocidos Servicios de Confianza (junto con servicios de Firma Digital y Sellado de tiempo entre otros)  que brindan prestadores de certificación electrónica,  y en general, en muchos países de latinoamérica se ha tomado como referencias marcos normativos como el eIDAs de la Unión europea y NIST de EEUU.

En el mundo digital el balance entre la ciberseguridad y la buena  experiencia de uso siempre fue y es compleja. En particular, cuanto más segura es la identificación digital y acceso a un sistema, más fricciones en el proceso va a encontrar el usuario. Entonces un giro interesante que se viene dando de acuerdo a los distintos estándares y normativas a nivel mundial es gestionar los niveles de seguridad en los accesos como una gestión de riesgo. Esto quiere decir, a modo de ejemplo, que si en el sistema para el cual te estás identificando accedemos a información sensible como por ejemplo ver tu historia clínica, entonces te va a solicitar una forma de identificación muy segura, con varios pasos e intrínsecamente mayores fricciones. Por el contrario si el sistema para el cual te estás identificando por ejemplo es para agenda de un trámite, el impacto de un posible fraude es muy bajo, entonces el sistema puede ponderar más la experiencia de uso y que la identificación sea más “light”.

Uruguay no es ajeno al tema, tiene una regulación al respecto que define la UCE en su política de Identifiación Digital. A grandes rasgos, la misma define cuatro niveles de fortaleza en el  registro del usuario y cuatro niveles de fortaleza en la autenticación del usuario. El cruce entre estas dos dimensiones indica cuál es la garantía de identidad de esa identificación digital y en consecuencia determinar que accesos o privilegios se le brinda al usuario.

• Nivel de identidad digital 0: Se configura cuando el nivel de registro es RID0 (registro básico sin identificador de la persona) y el nivel de autenticación es AE0 (una contraseña débil o PIN) o superior. También se configura cuando el nivel de registro es RID0 o superior y el nivel de autenticación AE0.
• Nivel de identidad digital 1: Se configura cuando el nivel de registro es RID1(registro con identificador único del usuario) y el nivel de autenticación es AE1 (una contraseña fuerte con políticas alineadas al NIST por ejemplo) o superior. También se configura cuando el nivel de registro es RID1 o superior y el nivel de autenticación AE1.
• Nivel de identidad digital 2: Se configura cuando el nivel de registro es RID2 (Registro con identificador único y validación en al menos otra base de datos pública o privada) y el nivel de autenticación es AE2 (Autenticación fuerte con al menos dos factores de autenticación) o superior. También se configura cuando el nivel de registro es RID2 o superior y el nivel de autenticación AE2.
• Nivel de identidad digital 3 (Equivalente a presencial): Es el único nivel de identidad digital equivalente al presencial. Se configura cuando el nivel de seguridad en el procedimiento de registro es RID3 (requiere registro biométrico, enrolamiento de factores de autenticación) y el nivel de autenticación es AE3 (Autenticación fuerte haciendo uso de firma digital con certificados digitales)

No menos importante es la definición de estándares y niveles de seguridad en cuanto a la integración e interoperabilidad con los distintos software que hacen uso de plataformas de identificación. Para ello la política referenciada también define niveles de seguridad.

A nivel global podemos encontrar equivalencias entre los  niveles y especificaciones definidas en las políticas de Identificación Digital con las definidas por otros países o normativas internacionales, a modo de ejemplo veremos como se puede equiparar con la normativa europea eIDAS, los estándares de US NIST 800 63 o ISO29115 (LoA)


 

LOA = level of assurance

eIDAS = Electronic Identification and Trust Services 

IAL = Identity Assurance Level

AAL = Authentication Assurance Level

RID = Registro de Identidad Digital

AE = Autenticación Electrónica

IDL = ID Level

Equivalencias

• US-IAL == UY-RID

• US-AAL == UY-AE

• UY-IDL = LOA = eIDAS

Generar sistemas estandarizados alineados a normativas internacionales permite entre otras cosas encontrar equivalencias entre las regulaciones de los distintos Estados de modo de estar preparados técnicamente para por ejemplo reconocimiento normativo entre países, siendo este punto  fundamental para “conectar” gobiernos electrónicos, y facilitar los servicios digitales transfronterizos.

En este sentido desde VaFirma trabajamos de forma continua en la alineación con estándares internacionales e integración tecnológica con servicios de confianza de certifiación electrónica equiparables en todo Latinoamérica. 

Te invito a conocer herramientas de identificación y firma digital transfronteriza como también contenido exclusivo en VaFirma.com -  Ingreso a Plataforma