Fecha de publicación: 07/06/2023

• Ya está disponible en el portal del CCN-CERT la última versión de la guía de seguridad de las TIC 1619 sobre el procedimiento de empleo seguro de esta plataforma automatizada de verificación de la identidad digital.

El Centro Criptológico Nacional (CCN) ha actualizado la guía de seguridad de las TIC 1619 sobre procedimiento de empleo seguro de Veridas Identity Verification service, un servicio de verificación de la identidad totalmente remoto y construido en base a algoritmos avanzados de IA.

El software principal de Veridas es la aplicación back-end o servidor, que es la que realiza el procesamiento para la verificación de la identidad a partir del conjunto de evidencias aportadas por el usuario. Ofrecido como un SaaS, permite llevar a cabo una triple comprobación basada en: la verificación documental (análisis de la foto del documento de identidad enviada por el usuario), la verificación de biometría facial (comparación entre la foto del documento y una foto selfie del usuario) y la video-identificación, en la que se contrasta la autenticidad de la foto selfie a partir de un video grabado por el usuario en el que aparece él mismo mostrando el anverso y el reverso de su documento.

Adicionalmente, Veridas ofrece una herramienta para facilitar la descarga y la revisión humana de los procesos de validación realizados, y que puede emplearse para una revisión en profundidad de los casos procesados.

El objeto de esta guía es facilitar la instalación y configuración segura del servicio, así como garantizar su despliegue en un dispositivo móvil tipo Smartphone que funcione con el sistema operativo Android 4.1 (o superior) o iOS 10.0 (o superior) y que lleve incorporadas dos cámaras (trasera y frontal) con capacidad para capturar imágenes con resolución HD. 

Esta última versión recoge las recomendaciones a seguir en las distintas fases de implantación del producto, desde su instalación y configuración hasta su puesta en marcha operativa. Finalmente, se incluye una checklist de las tareas a realizar en cada fase, así como un breve listado con las referencias y las abreviaturas empleadas en el documento.

Más información:

• CCN-STIC-1619 Procedimiento de empleo seguro Veridas Identity Verification Service

Atentamente,

Equipo CCN-CERT

Fecha de publicación: 01/06/2023

• Publicada la Guía CCN-STIC 105 con la actualización del Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y Comunicación.

El CCN-CERT, del Centro Criptológico Nacional, anuncia la actualización de la la guía CCN-STIC 105, correspondiente al Catálogo de Productos y Servicios STIC (CPSTIC), que recoge un listado de productos aprobados para el manejo de información clasificada y de productos y servicios cualificados para el manejo de información sensible bajo el alcance del ENS.

En los apartados de Productos Cualificados se incluyen todos los que han superado con éxito el proceso de inclusión en el CPSTIC descrito en la guía CCN-STIC 106. Esto implica que poseen una certificación funcional Common Criteria, una certificación funcional LINCE o una evaluación STIC en la que se incluyen los Requisitos Fundamentales de Seguridad (RFS) descritos en la guía CCN-STIC-140.

En el caso de productos multipropósito, pueden aparecer en una o varias familias de productos, siempre y cuando se haya evidenciado que cumplen con los RFS correspondientes a cada una de ellas.

En cuanto a Productos Aprobados, se incluyen todos aquellos que han superado con éxito el proceso de inclusión en el CPSTIC descrito en la guía CCN-STIC 102.

Más información:

• Guía CCN-STIC 105: “Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación”
• Nuevo portal web CPSTIC

Atentamente,

Equipo CCN-CERT

Fecha de publicación: 23/05/2023

• Ya está disponible en el portal del CCN-CERT el nuevo BP/14 con las recomendaciones para definir y elaborar la Declaración de Aplicabilidad de acuerdo con el Perfil de Cumplimiento Específico.

El Centro Criptológico Nacional (CCN) ha publicado el nuevo informe de Buenas Prácticas “BP/14: Declaración de Aplicabilidad en el ENS” en castellano, inglés y francés con el objetivo de ayudar a los organismos públicos a definir y a categorizar su Declaración de Aplicabilidad (DdA). Esta práctica representa el paso previo a la elaboración del plan de adecuación a la normativa y a la implementación de las medidas de seguridad, por lo que resulta esencial para proteger los activos y reducir los costes futuros de cualquier organización.

La Declaración de Aplicabilidad, en el ámbito del Esquema Nacional de Seguridad, es el documento en el que se formaliza la relación de medidas de seguridad que resultan de aplicación al sistema de información de que se trate, conforme a su categoría, y que se encuentran recogidas en el Anexo II del Real Decreto 311/2022, de 3 de mayo, que lo regula.

El presente informe de Buenas Prácticas establece el procedimiento para definirla a partir de la categorización del sistema, la determinación de los niveles de seguridad —en función de las denominadas “dimensiones de seguridad”— y la especificación de las medidas de aplicación.

Con relación a las fases de categorización del sistema y formalización de las medidas, el cuarto capítulo presenta un interesante análisis desde un punto de vista práctico, tomando como ejemplos el de una entidad local de naturaleza pública y el de un sistema de información de categoría alta.

En los apartados siguientes se incluye una definición del Perfil de Cumplimiento Específico (PCE) y se ilustra la manera de dar formato a la DdA para que el documento gane claridad y utilidad.

Por último, el BP/14 concluye con un decálogo de recomendaciones generales para la Declaración de Aplicabilidad, cuyo punto nº 7 nos recuerda la posibilidad de realizarla de forma automática a través del simulador del CCN-CERT (Anexo a la Guía).

Más información:

• BP/14 Declaración de Aplicabilidad en el ENS
• BP/14 Statement of Applicability in the ENS (English)
• BP/14 Déclaration d’Applicabilité dans l’ENS (Français)

Atentamente,

Equipo CCN-CERT