26/04/2018
1
Privacidad por diseño, Seguridad por defecto
Como abordar el desafío “Open Banking” de manera segura y flexible.
Eugenio Diaz Lucero
Global Consulting Director APISERVICE
Temario
• Visión de la Información como un Activo
• Privacy by Design y su impacto en las Arquitecturas tecnológicas
• Como elaborar una estrategia para abordar el desafío del Open Banking, que permita operar de manera segura.
• La visión de la arquitectura empresarial hacia el “Open Banking” usando APIs seguras.
• Arquitectura APIManagment
• Ejemplos - Casos Reales
26/04/2018
2
Hoy en día los datos personales son uno de los principales
activos de una institución, que en base a su gestión se
genera riqueza
Terceros pueden tratar de acceder a ellos de manera
ilegítima y utilizarlos en sus propios procesos.
Los desafíos de la protección de datos personales dicen
relación con el cuidado del corazón de una industria.
Esto es lo que se ha dado en llamar economía de los datos.
La problemática en torno a los datos personales va mucho más allá:
el tratamiento de datos entraña riesgos y desafíos desde la óptica
del respeto y protección de los derechos de las personas, ya sea
aquellos denominados “fundamentales” o los simples derechos
subjetivos.
En efecto, muchas veces el resultado de un tratamiento de datos es
el otorgamiento o denegación de un determinado beneficio, la
apertura o el cierre de una oportunidad comercial o laboral, etc.
26/04/2018
3
Privacidad por Diseño, Seguridad por Defecto • El concepto privacidad por diseño fue acuñado en la década de los
noventa por Ann Cavoukian, Comisionada de Información y Privacidad de Ontario, Canadá, y se refiere a la implementación de la privacidad a partir de tres áreas de aplicación: sistemas de tecnologías de la información; prácticas de negocio responsables; y diseño físico e infraestructura en red.
• “La Privacidad por Diseño es un concepto que desarrollé allá en los años 90, para atender los efectos siempre crecientes y sistemáticos de las tecnologías de la información y las comunicaciones, y de los sistemas de datos en red a gran escala” Ann Cavoukian
La privacidad por diseño se soporta en 7 Principios:
• Proactivo, no reactivo; preventivo no correctivo
• Privacidad como la configuración predeterminada
• Privacidad incrustada en el diseño
• Funcionalidad total (“todas las partes ganan”, en lugar de, “si alguien gana otra persona pierde”)
• Seguridad extremo a extremo (protección del ciclo de vida completo)
• Visibilidad y transparencia (mantenerlo abierto)
• Respeto por la privacidad de los usuarios (mantener un enfoque centrado en el usarios)” [sic].
Privacy by Design y su impacto en las Arquitecturas tecnológicas
26/04/2018
4
1.- Proactivo, no reactivo; preventivo no correctivo El enfoque de Privacidad por Diseno (PbD por sus siglas en Ingles) esta caracterizado por medidas proactivas, en vez de reactivas. Anticipa y previene eventos de invasión de privacidad antes de que estos ocurran. PbD no espera a que los riesgos se materialicen, ni ofrece remedios para resolver infracciones de privacidad una vez que ya ocurrieron – su finalidad es prevenir que ocurran. En resumen, Privacidad por Diseno llega antes del suceso, no despues.
Privacy by Design y su impacto en las Arquitecturas tecnológicas
2.- Privacidad como la configuración predeterminada Todos podemos estar seguros de una cosa – ¡Lo predeterminado es lo que manda! La Privacidad por Diseno busca entregar el maximo grado de privacidad asegurandose de que los datos personales esten protegidos automaticamente en cualquier sistema de IT dado o en cualquier practica de negocios. Si una la persona no toma una acción, aun así la privacidad se mantiene intacta. No se requiere acción alguna de parte de la persona para proteger la privacidad – esta interconstruida en el sistema, como una configuración predeterminada.
Privacy by Design y su impacto en las Arquitecturas tecnológicas
26/04/2018
5
3.- Privacidad incrustada en el diseño La Privacidad por Diseno esta incrustada en el diseno y la arquitectura de los sistemas de Tecnologías de Información y en las practicas de negocios. No esta colgada como un suplemento, despues del suceso. El resultado es que la privacidad se convierte en un componente esencial de la funcionalidad central que esta siendo entregada. La privacidad es parte integral del sistema, sin disminuir su funcionalidad.
Privacy by Design y su impacto en las Arquitecturas tecnológicas
4.- Funcionalidad total (“todas las partes ganan”, en lugar de, “si alguien gana otra persona pierde”) Privacidad por Diseno busca acomodar todos los intereses y objetivos legítimos de una forma “ganar-ganar”, no a traves de un metodo anticuado de “si alguien gana, otro pierde”, donde se realizan concesiones innecesarias. Privacidad por Diseno evita la hipocresía de las falsas dualidades, tales como privacidad versus seguridad, demostrando que si es posible tener ambas al mismo tiempo.
Privacy by Design y su impacto en las Arquitecturas tecnológicas
26/04/2018
6
5.- Seguridad extremo a extremo (protección del ciclo de vida completo) Habiendo sido incrustada en el sistema antes de que el primer elemento de información haya sido recolectado, la Privacidad por Diseno se extiende con seguridad a traves del ciclo de vida completo de los datos involucrados – las medidas de seguridad robustas son esenciales para la privacidad, de inicio a fin. Esto garantiza que todos los datos son retenidos con seguridad, y luego destruidos con seguridad al final del proceso, sin demoras. Por lo tanto, la Privacidad por Diseno garantiza una administración segura del ciclo de vida de la información, desde la cuna hasta la tumba, desde un extremo hacia el otro.
Privacy by Design y su impacto en las Arquitecturas tecnológicas
6.- Visibilidad y transparencia (mantenerlo abierto) Privacidad por Diseno busca asegurar a todos los involucrados que cualquiera que sea la practica de negocios o tecnología involucrada, esta en realidad este operando de acuerdo a las promesas y objetivos declarados, sujeta a verificación independiente. Sus partes componentes y operaciones permanecen visibles y transparentes, a usuarios y a proveedores. Recuerde, confie pero verifique.
Privacy by Design y su impacto en las Arquitecturas tecnológicas
26/04/2018
7
7.- Respeto por la privacidad de los usuarios (mantener un enfoque centrado en el usarios) Por encima de todo, la Privacidad por Diseno requiere que los arquitectos y operadores mantengan en una posición superior los intereses de las personas, ofreciendo medidas tales como predefinidos de privacidad robustos, notificación apropiada, y facultando opciones amigables para el usuario. Hay que mantener al usuario en el centro de las prioridades.
Privacy by Design y su impacto en las Arquitecturas tecnológicas
Privacy by Design, Estrategias para implementar
26/04/2018
8
Jaap-Henk Hoepman. associated professor of
privacy enhancing protocols and privacy by design in the Digital Security group at the Institute for Computing and Information Sciences of the Radboud University Nijmegen and principal scientist of the Privacy & Identity Lab. I am also an associate professor in the IT Law section of the Transboundary Legal Studies department of the Faculty of Law of the University of Groningen.
Estrategia Patrón
Minimizar Seleccionar antes de recolectar, anonimizar;
pseudoanonimizar
Esconder (de todas las
partes, o de terceras)
Cifrado, ruteo de cebolla, credenciales anónimas, cifrado
homomórfico
Separar
Procesamiento distribuido y almacenamiento donde sea
posible. Separación de las tablas de bases de datos;
computación segura multiparte; no enlazamiento
Agregar Agregación a través del tiempo y geográfica; localización
dinámica granular
Informar Transparencia, notificación de eventos de acceso a datos,
Diseño UI
Controlar Consentimiento informado, diseño UI
Cumplir Control de acceso, gestión del derecho a la intimidad
Demostrar Gestión de los derechos de intimidad, llaves de ingreso
Estrategia de J-H. Hoepmann
26/04/2018
9
Cual es el desafío de hoy en día en la Industria Financiera????
Open Banking: La transformacion de los servicios financieros • ......................................................................................
• El 13 de enero de 2018 entró en vigor la Directiva revisada sobre servicios de pago (PSD2). Como comentamos en el otro artículo, la Directiva PSD2 tiene como objetivo la protección del usuario o cliente de servicios financieros, pues da mayor seguridad a los pagos electrónicos y al permiso de acceso a la cuenta; además de fomentar la competencia y la innovación en el sector financiero y, en concreto, en el sector de los pagos.
26/04/2018
10
26/04/2018
11
COMO HACERLO ??? APIManagment para el OpenBanking
Aplicaciones
de socios Aplicaciones de
colaboración Transferenci
as Omnicanal Pago línea
Sistemas de Backend
Dias
Cantidad de
interacciones
años
Cantidad de
transacciones
e integraciones
ESB / Integration
Tarjetas CORE BANCARIO HIPOTECARIO
RIESGO Front Cajas
La arquitectura que tenemos
Sistemas de contacto con clientes
26/04/2018
12
Sistemas de Backend
Dias
Cantidad de
Interacciones
Años
Cantidad de
transacciones
e integraciones
ESB / Integration
Seguro Riesgo Front Cajas
La arquitectura que tenemos
Sistemas de Compromiso
Incorporación
Dificultad de integrar y
gestionar los
desarrolladores de
aplicaciones y claves API
Escala
Las tecnologías de integración
tradicionales no
construido para escala web -
miles de millones de
interacciones
Agilidad
Incapacidad de TI para cumplir
las demandas del negocio
de entregar volumen de
LOB aplicaciones más rápido
Seguridad
Incapacidad de buena
calidad para la
seguridad
Visibilidad
Falta de conocimiento sobre el uso,
el rendimiento, los usuarios, los
productos, los patrones, los
dispositivos, las anomalías
Aplicaciones
de socios Aplicaciones de
colaboración Pasientes Omnicanai Doctores
Core Bancario Hipotecario
Sistemas de Backend
Dias
Cantidad de
interacciones
Años
Cantidad de
transacciones
e integraciones
ESB / Integracion
Seguro Riesgo Front de
Caja
Cerrando la brecha de la Arquitectura
Seguridad Persistencia Escalabilidad Analitica Desarrollador mgmt.
Plataforma API Inteligente
Sistemas de compromiso
Aplicaciones
de socios Aplicaciones de
colaboración Pasientes Omnicanai Doctores
Core Bancario Hipotecario
26/04/2018
13
Legado Backend
Microservicios Equipo
API
APIs Desarrollador,
Compañero
Aplicaciones Usuarios
finales
Visibilidad Seguridad Embarque Escala Agilidad
No debe ser lo que tenemos. Es lo que ellos
quieren. Un Cambio de mentalidad: Pensando "De fuera hacia dentro"
CONSUMIDORES PRODUCTORES
26/04/2018
14
OAuth2, JWT,
OpenID, SAML,
TLS
OWASP Threat
Protection
RBAC, Tercera Parte
Soporte IDM
Detección
de Bot*
Mediation, Caching &
Traffic Mgmt, Versioning
node.js
Tiempo de Ejecución
del Motor
Persistencia de
Datos
Despliegue Híbrido
/ Microgateway
Seguro API
Tiempo de
Ejecución
Plataforma Apigee Edge La solución más completa y robusta de la industria
Aplicaciones Backends
Negocio y
Métricas del Desarrollador
Detallado
Ejecución Analitica
Análisis de usuario
final
Captura de Datos e
Informes Personalizados
Rastreo y Diagnóstico
Analitica
Adaptable
Portal del
Desarrollador
SmartDocs
InteractivO
Documentación
Autoservicio
Incorporación de desarrolladores
Gestion de claves
Productos API
Administración
de Desarrollo
Socios /
Desarrolladore
s
API-impulsado
Automatización de
plataforma
Multi alquiler y
Escalado con aislamiento de
tráfico
Cero actualizaciones de
tiempo de inactividad
Cross-region
Automatizado
Enrutamiento y
conmutación por error
Aplicación de políticas
globales
Automatización
de operaciones
Editor de proxy basado
en flujo y políticas
preconstruidas
Estudio con API abierta /
Swagger
Prueba y Monitoreo
Extensibilidad con
código
(Java, node.js, Python, JS)
Gestión de versiones
Desarrollo de
APIS
API
Team
API
Monetización*
Integración CI / CD
* Solución complementaria opcional
API
Gateway
PR
OD
UC
TO
RE
S C
ON
SU
MID
OR
ES
26/04/2018
15
Apigee Edge OPEN Banking Acelerando su viaje de Transformación Digital
Servicios Analíticos Servicios del
Desarrollador Servicios API
Métricas de Ops
Métricas del desarrollador
Métricas de negocios
Rendimiento de la aplicación
Portal del Desarrollador
Modelado y Gestión
SmartDocs
Monetización
Gestión API
Seguridad
Firebase
Programabilidad API
DESARROLLADOR CONFIANZA PSD2 - OBWG
• Portal a medida
• Comercializar sandbox
• Código de muestra
• Funciones Listas APIs
• Recursos y Perfiles
• Capacidad de búsqueda
• Marco OAuth
• Gestión de Acceso
• Gestión de Token
COMPONENTES
Diseñado para ir donde nuestros clientes crecen.
SaaS COMPANIA
PRIVADA
MULTI CLOUD HIBRIDO
26/04/2018
16
Despliegue Banca
Edge
Microgateway(s)
Apigee Edge
Interfaz de gestión
Analítica
Portal del desarrollador
Servicios principales
INTERNET
Sistemas
Banco
Móviles y
Aplicaciones web
Regulador (Detener virus)
Cuota
OAuth 2.0
Clave API
Complementos personalizados
Aplicaciones
internas,
servicios
Backend
Sistemas
Core
Dirección de llamada API
Async
Descargar
configuración
en bootstrap
Fomentar
Analisis a
Edge
API
API
API
32
31% Fortune
100
8 of 12
Telco’s
60% Top 10
Retail
66%
26/04/2018
17
33
Por qué los enfoques tradicionales fallan
Backend
Systems Apigee WAF
API Key
Access
Token
User Agent
Contextual
Volume
x
x
x
x x x x
x * Other
Attributes Data
Warehouse
CRM, ERP, etc.
SOA
Microservices
34
Protección de lazo cerrado
26/04/2018
18
Apigee Sense - Detección de Bot
Lista Negra Datos de tráfico Modelos
Tablero
Apigee Sense
Apigee Edge Aplicación
DATOS DE TRÁFICO DE API
Bloquea o marca el tráfico bot
dependiendo de tus necesidades
ACCIONES DE MITIGACIÓN
APRENDIZAJE AUTOMÁTICO
MODELOS Y REGLAS
Monitoree continuamente miles de
millones de llamadas API para
identificar anomalías
Reconocimiento continuo
de patrones de bot y
creación de nuevas reglas
Completo y unificado en todo el ciclo de vida de la
API
36
Diseño Diseña primero. Documento
Smart. Soporte completo para
Swagger 2.0
Desarrollar Configuración: más de 30 políticas listas para usar y
configurables
Código: soporte integrado para Node, JavaScript y
Extensibilidad de Java
BaaS
Seguro Seguridad de extremo a extremo
Protección contra amenazas
Control de Acceso
Implementación simple de OAuth para sus API
Cumplimiento PCI y HIPAA
Analizar Visibilidad completa, desde el final de la
aplicación hasta el servidor
Recopilar de forma automática y continua
todos los datos de tráfico API fuera de la caja
Publicar Portal de Desarrolladores de Seguridad
Controlar Control centralizado, desarrollo descentralizado
Arquitectura Multi-tenant
Billones de llamadas a API, incluidas picos
grandes
Monetizar Planes de tarifas flexibles
Soporte internacional
Seguimiento de uso
Límites y notificaciones
Escala Autoservicio
Formular y Clasificar
Despliegue Flexible
26/04/2018
19
37
Top Related