POLÍTICA DE SEGURIDAD CONOCIMIENTO "0"

ACTUALIZACIÓN:7 JULIO 2019


Identificación del responsable del tratamiento:

Identidad: UmanID S.L.

CIF: B-88361068

Dirección Postal: Plaza de la Constitución 2, Of. 3.1 28522 - Rivas Vaciamadrid - Madrid, ESPAÑA

Teléfono: +34 911 377 397

Correo electrónico: soporte@umanid.com

 

Al ser una empresa de seguridad de conocimiento cero, los productos y servicios principales que ofrecemos se ajustan e incluso superan los requisitos tanto de las directivas europeas eIDAS, PSD2 y RGPD.

 

Cumplir con las leyes internacionales y proteger la privacidad de nuestros clientes es nuestra máxima prioridad.

 

 

1 ¿Qué es exactamente una política de seguridad de conocimiento cero?

 

El conocimiento se obtiene de la información resultante del procesamiento de un conjunto de datos, los datos son la mínima unidad del conocimiento y por sí solos carecen de un significado. Sí el conocimiento aportado por un usuario se reduce a datos distribuidos y estos se protegen con claves únicas controladas por el mismo usuario, toda la información concerniente a este usuario se considera nula para la plataforma dado que en ningún proceso individual es posible hacerse con el conjunto de datos en claro.

 

UmanID como Proveedor de Identidad Digital Verificada ha implementado la seguridad de conocimiento cero, ya que es la mayor garantía para nuestros clientes por los motivos descritos a continuación:

 

El usuario de UmanID es la única persona que tiene un control total sobre el cifrado y descifrado de sus datos. Con UmanID, el cifrado y el descifrado solo ocurren tras la petición explicita y autenticada desde el dispositivo verificado del usuario o cuando este lo solicita expresamente mediante los protocolos establecidos para dicho fin.

 

Cada dato almacenado en nuestros sistemas está cifrado bajo algoritmos de cifrado simétrico AES de 256 bits. En el proceso, se utilizan distintas claves y niveles de cifrado para aumentar la complejidad de distribución de cifrado, haciendo que el proceso de descifrado se lleve a cabo de forma fragmentada y por capas. Las claves de registro están protegidas con varias claves adicionales y vinculadas unívocamente al usuario. Este modelo de cifrado de varios niveles proporciona la protección de datos más avanzada disponible en la industria.

 

En la aplicación móvil, los únicos datos que se almacenan son datos que no poseen información alguna salvo para la plataforma (metadatos), se trata de datos necesarios para el correcto funcionamiento de la app (por ejemplo, el identificador del dispositivo móvil). A pesar de no tratarse de datos sensibles, esta información se almacena en el denominado elemento seguro, se trata de la parte del móvil especializada en el almacenamiento de contraseñas (la parte más segura del dispositivo).

 

Las comunicaciones entre el dispositivo del usuario y UmanID se cifran en la capa de red mediante TLS (Transport Layer Security), además de una capa de cifrado adicional para datos sensibles. También se utilizan técnicas de Pinning SSL que garantizan que los datos viajen cifrados y en una red segura que impiden que dichos datos sean interceptados por terceros.

 

Nuestra arquitectura y seguridad de conocimiento cero se construyó desde sus cimientos con la idea de que el usuario sea la única persona que puede acceder a sus datos y la máxima seguridad desde la obtención del dato hasta el almacenamiento. La plataforma mantiene el criterio de manejo mínimo necesario de datos de modo que cada procedimiento accede únicamente a los datos mínimos necesarios para responder a una solicitud; por ejemplo, cuando la plataforma devuelve una bandera de validación de correo electrónico no tiene por qué conocer el correo electrónico para llegar a ese dato, tampoco necesita conocer la procedencia del resultado, basta con utilizar la baliza relacionada y utilizar la clave correspondiente.  

 

Esto se ajusta perfectamente a los mayores estándares de seguridad global y por supuesto al RGPD.

Los datos se almacenan en el binario del texto resultante del cifrado AES-256, fragmentando la información y securizando con diversas claves no relacionadas entre sí. Al separar los datos y las claves de cifrado, ningún empleado de UmanID puede acceder a ningún dato de nuestros clientes sin previa solicitud expresa del mismo. Por lo tanto, tal como indica el articulo 34 del RGPD, Si se produjera una brecha en los datos del almacén de UmanID, el texto cifrado no tendría ningún valor para los delincuentes y, por lo tanto, no sería necesaria ninguna notificación.

 

Nuestro procedimiento de Firma Digital Avanzada garantiza que tras la Verificación realizada a los datos que el cliente nos solicite, solo él podrá acceder en el futuro a la información y gestión de sus datos operados por UmanID.

 

UmanID nunca accederá a los datos de ningún cliente para ningún propósito, primero porque el respeto de la privacidad del cliente es la cuestión política más importante de UmanID, segundo porque con nuestra arquitectura de conocimiento cero, es procedimentalmente imposible que podamos hacerlo.

 

 

2 La seguridad de tus datos es nuestra razón de ser.

 

¡Algo que tienes, algo que eres, algo que solo tú conoces!

SOLO el usuario tiene un Smartphone autorizado, solo el usuario licito puede ser autenticado biometricamente con dicho smartphone, solo el usuario conoce que PinCode estableció en su proceso de Verificación de Identidad Digital.

 

Cifrado de máximo nivel.

Toda la información del usuario es cifrada desde el mismo momento en que la procesa con UmanID. Se cifra tanto la comunicación, como los datos que viajan en ella. Cuando dicha información es verificada por nuestros auditores, se almacena cifrada en nuestros sistemas de forma fragmentada, securizada por diversas claves a distintos niveles de acceso. Como resultado la información se encuentra en capas distribuidas y fragmentadas accesibles sólo mediante la combinación de una serie de llaves.

 

El Cifrado más potente

Para el cifrado simétrico UmanID utiliza AES de 256 bits, ampliamente reconocido como el cifrado más potente que existe. Seria necesaria 2128 veces la potencia de cálculo de una clave de 128 bits, para poder hackear una clave de 256 bits simétrica. La teoría plantea que tomaría 3153 años agotar el espacio de la clave de 256-bit.

 

Autenticación con múltiples factores

UmanID es compatible con la autenticación de varios factores, el inicio de sesión biométrico y las validaciones OTP SMS / eMail, disponibles en los smartphones actuales.

 

Data Bunker Cloud

UmanID utiliza centros de datos propios y centros de datos de los mejores proveedores de Europa en varias ubicaciones geográficas para dar nuestros servicios de forma redundante y segura. El Data Bunker Cloud está bastionado bajos los mayores estándares de la industria de medios de pago PCI DSS y está diseñado para almacenar de forma cifrada y con el más alto control de acceso, todos los documentos del usuario.

 

Control de acceso a sistemas basado en roles

El concepto de seguridad de mínimo privilegio significa que los empleados solo deben tener acceso a la cantidad mínima de información que necesitan para realizar su trabajo. Esto se logra con el control de acceso basado en roles (RBAC por sus siglas en inglés).

 

Firma Electrónica

UmanID utiliza el certificado de firma digital cualificada con sellado de tiempo electrónico en su papel de tercero de confianza para certificar todo evento de firma realizado desde la aplicación, acorde a eIDAS. Dichos certificados son almacenados dentro del denominado Data Bunker Cloud que bajo las mejores prácticas de la industria de medios de pago guarda de forma cifrada cada uno de los documentos firmados por usuarios.

 

Resumen

UmanID S.L. ha sido creada con el único fin de proteger los datos de sus clientes. Somos una compañía creada por expertos en seguridad informática, cumplimiento normativo, verificación de identidades, cuyo único fin es ayudar a nuestros clientes en la gestión eficiente de sus datos en Internet.

 

La plataforma de UmanID es mejorada constantemente para proveer a nuestros clientes con lo último en tecnología y seguridad. Aquí solo mostramos un resumen de la arquitectura de la seguridad de UmanID.

 

Acceda desde aquí a nuestra política de privacidad.

Acceda desde aquí a nuestros términos y condiciones de uso.

 

 

3 Cuidamos cada detalle del valor de tus datos

 

Autenticidad

UmanID actúa como tercero de confianza frente a cualquier entidad a la que tú quieras hacer constar la autenticidad de tu información. Todos tus datos son cotejados y validados por nuestros auditores emitiendo como resultado final un certificado digital firmado por UmanID (firma digital y sello de tiempo de clave secreta de UmanID) en el que queda constancia fehaciente de dicho evento, sirviendo incluso de prueba judicial si así es requerido. Estos certificados son almacenados en el Data Bunker Cloud y son accesibles únicamente bajo petición expresa del propio usuario.

 

 

Autoría

Cada vez que el usuario realiza una solicitud desde la aplicación se levanta el proceso de verificación de PinCode el cual de ser superado termina por autorizar la ejecución de la acción solicitada. Este evento de autorización se registra en la plataforma como una huella digital que el usuario ha marcado de forma unívoca para la concreción de la solicitud. Sólo el usuario pudo haber ejecutado dicha acción ya que sólo él conoce la clave de PinCode y sólo el posee la sesión de aplicación desde la cual ejecuto la solicitud, incluso en algunos eventos también se incluye la biometría de la firma con el dedo del usuario realizada para esa acción así como las coordenadas donde se lleva a cabo el evento. Todo esto permite a UmanID certificar la autoría de las solicitudes registradas en la plataforma.

 

Confidencialidad

Como hemos descrito con anterioridad, toda la información registrada en la plataforma se encuentra cifrada bajo los mayores niveles de seguridad de la industria. Sólo el propio usuario tiene control de sus datos y NUNCA se comparten con un tercero salvo que el mismo usuario lo solicite, incluso en este caso el usuario tiene control para decidir qué información compartir y a quien, de modo que la confidencialidad de la información es resguardada en su totalidad por UmanID, siendo el usuario el que decide de forma explicita a quien compartir qué información. 

 

Integridad

Tan importante es la seguridad como la integridad de los datos. La plataforma maneja técnicas de Hashing y cifrado para asegurar que en ningún momento han sido alterados los contenidos originales. Se trata de una especie de huella digital del dato/documento la cual una vez incrustada en el mismo y protegida con una clave secreta, garantiza la imposibilidad de falsificar / modificar el contenido original.

 

 

Validez

Toda la información proporcionada por el usuario es cotejada y verificada por un auditor especializado. La aceptación / denegación de dicha información está sujeta a un riguroso procedimiento de validación. A demás, como parte de los procedimientos se llevan a cabo revisiones periódicas en las que el usuario debe aportar / actualizar información para mantener el status de validez otorgado en un inicio. Todo esto se hace con la finalidad de asegurar la validez de la información del usuario registrado, es parte fundamental de UmanID como proveedor de Identidad Digital Verificada.

 

 

4 Ampliación de los procedimientos de seguridad de UmanID.

 

UmanID no tiene acceso a operar en nombre de nuestros clientes, no tiene acceso a los PinCode de los usuarios ni tampoco tiene acceso a los registros almacenados dentro de sus sistemas Data Bunker Cloud. UmanID no puede obtener acceso al dispositivo de un cliente de manera remota ni tampoco puede descifrar la información del cliente. Por poner un ejemplo UmanID no tienen ni tan siquiera acceso a la dirección de email de nuestros clientes, ni al teléfono o los detalles de su suscripción.

 

Si el dispositivo de un usuario se pierde o es robado, nuestro cliente podrá materializar el proceso de recuperación de PinCode desde un nuevo dispositivo, en ningún caso podremos restaurar su perfil sin que nuestro cliente supere dicho proceso de recuperación.

 

La información que es almacenada y cifrada dentro de UmanID está disponible solamente para el usuario ya que es encriptada o descifrada instantáneamente tras la petición realizada en el dispositivo que se está utilizando como verificado.

 

UmanID utiliza el que probablemente sea el método de encriptación más reconocido a día de hoy, se trata del algoritmo AES (Advanced Encryption Standard), el cual dispone de una clave de 256-bit. Según Committee on National Security Systems, AES con una clave de longitud de 256-bit es valido para encriptar los datos más confidenciales de cualquier Gobierno. 

 

La información alojada en nuestro Data Bunker Cloud es cifrada múltiples veces en distintos procesos. Las diversas claves de cifrado utilizadas para cifrar y descifrar no se encuentran en código y son creadas para cada usuario de forma aleatoria.

 

Autenticación Dos de Tres Factores

Tal como comentamos al inicio, para proteger contra acceso no autorizado a la cuenta del cliente, UmanID también ofrece autenticación dos de tres factores.

La autenticación dos de tres factores es un enfoque de autenticación que requiere dos o más de los factores de autenticación de tres: un factor de conocimiento, un factor de posesión y un factor de injerencia.

UmanID utiliza algo que sabes (tu PinCode), algo que tienes (tu smartphone verificado) y algo que eres (tu autenticación biométrica en el dispositivo). Así proporcionamos a los clientes la máxima seguridad posible en la industria.

 

Además, gracias a ello, en caso de necesitar recuperar el acceso podemos generar procedimientos de control de accesos con OTPs (One Time Passwords) basados en tiempo y un solo uso.

UmanID genera un PinCode secreto usando un generador de números aleatorios criptográficamente seguro.

Este código es válido por un tiempo y es enviado al usuario por SMS o email.

 

Autenticación Fuerte de la App

Los servicios expuestos por UmanID vía API están basados en el estándar OAUTH 2.0 que favorece la denominada strong-authentication (Autenticación Fuerte) de cara a cualquier actor que consuma los servicios. De este modo, las aplicaciones móviles utilizan las funcionalidades de la plataforma de UmanID mediante tokens de sesión obtenidos a través de una autenticación de dos factores (descrita más arriba).

 

Cumplimiento del RGPD

UmanID cumple los requisitos del RGPD y nos comprometemos a garantizar que nuestros procesos empresariales y productos sigan cumpliendo los requisitos para nuestros clientes en la Unión Europea.

 

Protección de los datos médicos del paciente

UmanID cumple con los estándares globales de protección de datos de máxima seguridad tales como los datos médicos, estamos preparados para cumplir con la Ley de Protección de Datos (DPA) de cada Estado miembro.

 

Pruebas de penetración y escaneo de seguridad de terceros.

En UmanID por nuestra condición de compañía PCI-DSS Compliance, realizamos PENTESTING de forma periódica con expertos auditores. También realizamos escáners de seguridad ASV en la periodicidad que marca la industria.

 

Monitorización Remota 24x7

UmanID es monitorizada 24x7x365 por una red externa global que asegura que nuestros servicios estén disponibles para nuestros clientes.

 

Mensajes Falsificados o de Phishing.

Si recibe un mensaje que dice ser de UmanID pero usted tiene duda de su legitimidad, es posible que sea un "email de phishing", en el cual la dirección de email del remitente es falsificada.

 

En estos casos, tenga usted presente que UmanID jamás le solicitará ningún dato de su perfil verificado desde formularios web. Nunca le solicitaremos los datos de acceso a la App, o los datos de recuperación de acceso a la App, desde fuera de la propia App. Recuerde que solo es posible administrar su Identidad Digital Verificada desde la App UmanID.

 

Por último, permítanos indicarle que podríamos hacer mucho más extenso este informe, ya que hay una incalculable cantidad de procedimientos que no hemos documentado en el mismo.

 

Pero creemos que ampliar más estos detalles sería un incumplimiento de nuestra máxima, la seguridad de sus datos.

Un servicio de UmanID S.L. © 2019 All rights reserved.