Seguritecnia 341

76 SEGURITECNIA Mayo 2008 II Jornadas de Seguridad en Entidades Financieras Concretados tanto los actores como las di feren- tes reglas, queda enlazarlas de forma que el resultado sea el deseado, esto es, que a una determinada aplica- ción, una vez autenticada se le autorice , en base prin- cipalmente a su pertenencia a grupos, a consumir de- terminados recursos, aplicándole la política adecuada. Es decir, se han definido una serie de reglas de autori- zación por medio de las cuales se autoriza a una deter- minada aplicación a que aplique una determinada po- lítica de validación o verificación. La labor principal de Indra Sistemas ha consis- tido, por tanto, en el diseño de un adecuado mapa de políticas y reglas que permitan dar los servicios necesarios en la actual idad, y que permita el cre- cimiento y evolución de la plataforma según sur- jan nuevas necesidades, ya sea incorporando nuevos componentes de servicio (TWS-DS para funcionali- dad de f irma en servidor, TWS-DR para implemen- tar el no repudio, etc.), ya sea incorporando nuevos PSCs con nuevos requerimientos. La f lexibi l idad, escalabi lidad, faci lidad de integración y senci l lez de la plataforma TrustedX® WS proporcionan la segu- ridad de disponer de los mimbres necesarios para un adecuado crecimiento de los servicios de infra- estructurales relacionados con PKI desplegados por el Banco de España. Conclusiones Mediante el despliegue e integración de los TrustedX® de Safelayer en la segunda fase del proyecto PKIBDE, el Banco de España ha cubierto las necesidades de firma electrónica y gestión de certificados más de- mandadas por sus aplicaciones corporativas, evitando recurrir a soluciones de corto plazo. Se ha apostado por una arquitectura basada en Web Services, con capacidades de escalabilidad tanto de re- cursos como de servicios, de modo que añadir nuevas funcionalidades como, por ejemplo, firma longeva o cifrado centralizado, no sea traumático para la infra- estructura desplegada. Indra consolida con este proyecto su experiencia en el despliegue de soluciones corporativas de firma e identificación, área en la que acumula un impor- tante número de experiencias de éxito, como los pro- yectos realizados para Mapfre, el Ministerio de Eco- nomía y Hacienda, el Ministerio de Agricultura, Pesca y Alimentación, el Instituto Nacional de Estadística, la Junta de Andalucía o el Congreso de los Diputados, entre otros. se ha logrado mediante una adecuada definición de re- glas y políticas de validación y verificación. A tenor de la regla, se pueden definir las CAs per- mitidas en la aplicación de la norma, los mecanismos de validación que se prefieren para la misma y el for- mato de la información de respuesta que se desea. Así, por ejemplo, mientras que los certi f icados de CERES-FNMT y del DNI se van a validar mediante el uso de VAs exclusivamente, los certificados corpora- tivos se evaluarán en primera instancia contra CRLs, y, en segunda instancia, contra la VA corporativa. También conforme a la regla se especif ica el for- mato de salida de la información. Una de las tareas más tediosas a la hora de manejar certificados es la multitud de posibilidades a tener en cuenta en fun- ción del PSC manejado. Diferentes extensiones, polí- ticas, formatos…, hacen que una aplicación que desee manejar un nuevo tipo de certi f icados deba inver- tir mucho tiempo y esfuerzo en adaptarse. TrustedX solventa de una manera elegante este inconveniente mediante el uso de planti l las de esti lo XSLT. Bási- camente existen planti l las para formatear la infor- mación contenida en el certificado, CRLs, respues- tas OCSP y sel los de tiempo. Adicionalmente, per- mite definir plantillas de información adicional que aglutinen toda la información necesaria. En el caso del Banco de España, se ha procedido a la creación de una plantilla para cada tipo de PSC, de forma que sea capaz de cumplimentar una ficha común de da- tos para las apl icaciones, tomando la información de diferentes atributos o extensiones según el PSC. De esta forma, una aplicación siempre manejará un XML idéntico de salida, independientemente del tipo de certificado. Una vez definidas las reglas se ha procedido a su agrupación en diferentes políticas en base a los crite- rios manifestados por el Banco de España. “La solución desplegada por Indra proporciona una gran flexibilidad y adaptabilidad, a la vez que mantiene las propiedades de escalabilidad, alta disponibilidad y la facilidad de gestión y administración necesarias en los procesos críticos de negocio”