26/04/2018

1

Privacidad por diseño, Seguridad por defecto

Como abordar el desafío “Open Banking” de manera segura y flexible.

Eugenio Diaz Lucero

Global Consulting Director APISERVICE

Temario

• Visión de la Información como un Activo

• Privacy by Design y su impacto en las Arquitecturas tecnológicas

• Como elaborar una estrategia para abordar el desafío del Open Banking, que permita operar de manera segura.

• La visión de la arquitectura empresarial hacia el “Open Banking” usando APIs seguras.

• Arquitectura APIManagment

• Ejemplos - Casos Reales

26/04/2018

2

Hoy en día los datos personales son uno de los principales

activos de una institución, que en base a su gestión se

genera riqueza

Terceros pueden tratar de acceder a ellos de manera

ilegítima y utilizarlos en sus propios procesos.

Los desafíos de la protección de datos personales dicen

relación con el cuidado del corazón de una industria.

Esto es lo que se ha dado en llamar economía de los datos.

La problemática en torno a los datos personales va mucho más allá:

el tratamiento de datos entraña riesgos y desafíos desde la óptica

del respeto y protección de los derechos de las personas, ya sea

aquellos denominados “fundamentales” o los simples derechos

subjetivos.

En efecto, muchas veces el resultado de un tratamiento de datos es

el otorgamiento o denegación de un determinado beneficio, la

apertura o el cierre de una oportunidad comercial o laboral, etc.

26/04/2018

3

Privacidad por Diseño, Seguridad por Defecto • El concepto privacidad por diseño fue acuñado en la década de los

noventa por Ann Cavoukian, Comisionada de Información y Privacidad de Ontario, Canadá, y se refiere a la implementación de la privacidad a partir de tres áreas de aplicación: sistemas de tecnologías de la información; prácticas de negocio responsables; y diseño físico e infraestructura en red.

• “La Privacidad por Diseño es un concepto que desarrollé allá en los años 90, para atender los efectos siempre crecientes y sistemáticos de las tecnologías de la información y las comunicaciones, y de los sistemas de datos en red a gran escala” Ann Cavoukian

La privacidad por diseño se soporta en 7 Principios:

• Proactivo, no reactivo; preventivo no correctivo

• Privacidad como la configuración predeterminada

• Privacidad incrustada en el diseño

• Funcionalidad total (“todas las partes ganan”, en lugar de, “si alguien gana otra persona pierde”)

• Seguridad extremo a extremo (protección del ciclo de vida completo)

• Visibilidad y transparencia (mantenerlo abierto)

• Respeto por la privacidad de los usuarios (mantener un enfoque centrado en el usarios)” [sic].

Privacy by Design y su impacto en las Arquitecturas tecnológicas

26/04/2018

4

1.- Proactivo, no reactivo; preventivo no correctivo El enfoque de Privacidad por Diseno (PbD por sus siglas en Ingles) esta caracterizado por medidas proactivas, en vez de reactivas. Anticipa y previene eventos de invasión de privacidad antes de que estos ocurran. PbD no espera a que los riesgos se materialicen, ni ofrece remedios para resolver infracciones de privacidad una vez que ya ocurrieron – su finalidad es prevenir que ocurran. En resumen, Privacidad por Diseno llega antes del suceso, no despues.

Privacy by Design y su impacto en las Arquitecturas tecnológicas

2.- Privacidad como la configuración predeterminada Todos podemos estar seguros de una cosa – ¡Lo predeterminado es lo que manda! La Privacidad por Diseno busca entregar el maximo grado de privacidad asegurandose de que los datos personales esten protegidos automaticamente en cualquier sistema de IT dado o en cualquier practica de negocios. Si una la persona no toma una acción, aun así la privacidad se mantiene intacta. No se requiere acción alguna de parte de la persona para proteger la privacidad – esta interconstruida en el sistema, como una configuración predeterminada.

Privacy by Design y su impacto en las Arquitecturas tecnológicas

26/04/2018

5

3.- Privacidad incrustada en el diseño La Privacidad por Diseno esta incrustada en el diseno y la arquitectura de los sistemas de Tecnologías de Información y en las practicas de negocios. No esta colgada como un suplemento, despues del suceso. El resultado es que la privacidad se convierte en un componente esencial de la funcionalidad central que esta siendo entregada. La privacidad es parte integral del sistema, sin disminuir su funcionalidad.

Privacy by Design y su impacto en las Arquitecturas tecnológicas

4.- Funcionalidad total (“todas las partes ganan”, en lugar de, “si alguien gana otra persona pierde”) Privacidad por Diseno busca acomodar todos los intereses y objetivos legítimos de una forma “ganar-ganar”, no a traves de un metodo anticuado de “si alguien gana, otro pierde”, donde se realizan concesiones innecesarias. Privacidad por Diseno evita la hipocresía de las falsas dualidades, tales como privacidad versus seguridad, demostrando que si es posible tener ambas al mismo tiempo.

Privacy by Design y su impacto en las Arquitecturas tecnológicas

26/04/2018

6

5.- Seguridad extremo a extremo (protección del ciclo de vida completo) Habiendo sido incrustada en el sistema antes de que el primer elemento de información haya sido recolectado, la Privacidad por Diseno se extiende con seguridad a traves del ciclo de vida completo de los datos involucrados – las medidas de seguridad robustas son esenciales para la privacidad, de inicio a fin. Esto garantiza que todos los datos son retenidos con seguridad, y luego destruidos con seguridad al final del proceso, sin demoras. Por lo tanto, la Privacidad por Diseno garantiza una administración segura del ciclo de vida de la información, desde la cuna hasta la tumba, desde un extremo hacia el otro.

Privacy by Design y su impacto en las Arquitecturas tecnológicas

6.- Visibilidad y transparencia (mantenerlo abierto) Privacidad por Diseno busca asegurar a todos los involucrados que cualquiera que sea la practica de negocios o tecnología involucrada, esta en realidad este operando de acuerdo a las promesas y objetivos declarados, sujeta a verificación independiente. Sus partes componentes y operaciones permanecen visibles y transparentes, a usuarios y a proveedores. Recuerde, confie pero verifique.

Privacy by Design y su impacto en las Arquitecturas tecnológicas

26/04/2018

7

7.- Respeto por la privacidad de los usuarios (mantener un enfoque centrado en el usarios) Por encima de todo, la Privacidad por Diseno requiere que los arquitectos y operadores mantengan en una posición superior los intereses de las personas, ofreciendo medidas tales como predefinidos de privacidad robustos, notificación apropiada, y facultando opciones amigables para el usuario. Hay que mantener al usuario en el centro de las prioridades.

Privacy by Design y su impacto en las Arquitecturas tecnológicas

Privacy by Design, Estrategias para implementar

26/04/2018

8

Jaap-Henk Hoepman. associated professor of

privacy enhancing protocols and privacy by design in the Digital Security group at the Institute for Computing and Information Sciences of the Radboud University Nijmegen and principal scientist of the Privacy & Identity Lab. I am also an associate professor in the IT Law section of the Transboundary Legal Studies department of the Faculty of Law of the University of Groningen.

Estrategia Patrón

Minimizar Seleccionar antes de recolectar, anonimizar;

pseudoanonimizar

Esconder (de todas las

partes, o de terceras)

Cifrado, ruteo de cebolla, credenciales anónimas, cifrado

homomórfico

Separar

Procesamiento distribuido y almacenamiento donde sea

posible. Separación de las tablas de bases de datos;

computación segura multiparte; no enlazamiento

Agregar Agregación a través del tiempo y geográfica; localización

dinámica granular

Informar Transparencia, notificación de eventos de acceso a datos,

Diseño UI

Controlar Consentimiento informado, diseño UI

Cumplir Control de acceso, gestión del derecho a la intimidad

Demostrar Gestión de los derechos de intimidad, llaves de ingreso

Estrategia de J-H. Hoepmann

26/04/2018

9

Cual es el desafío de hoy en día en la Industria Financiera????

Open Banking: La transformacion de los servicios financieros • ......................................................................................

• El 13 de enero de 2018 entró en vigor la Directiva revisada sobre servicios de pago (PSD2). Como comentamos en el otro artículo, la Directiva PSD2 tiene como objetivo la protección del usuario o cliente de servicios financieros, pues da mayor seguridad a los pagos electrónicos y al permiso de acceso a la cuenta; además de fomentar la competencia y la innovación en el sector financiero y, en concreto, en el sector de los pagos.

26/04/2018

10

26/04/2018

11

COMO HACERLO ??? APIManagment para el OpenBanking

Aplicaciones

de socios Aplicaciones de

colaboración Transferenci

as Omnicanal Pago línea

Sistemas de Backend

Dias

Cantidad de

interacciones

años

Cantidad de

transacciones

e integraciones

ESB / Integration

Tarjetas CORE BANCARIO HIPOTECARIO

RIESGO Front Cajas

La arquitectura que tenemos

Sistemas de contacto con clientes

26/04/2018

12

Sistemas de Backend

Dias

Cantidad de

Interacciones

Años

Cantidad de

transacciones

e integraciones

ESB / Integration

Seguro Riesgo Front Cajas

La arquitectura que tenemos

Sistemas de Compromiso

Incorporación

Dificultad de integrar y

gestionar los

desarrolladores de

aplicaciones y claves API

Escala

Las tecnologías de integración

tradicionales no

construido para escala web -

miles de millones de

interacciones

Agilidad

Incapacidad de TI para cumplir

las demandas del negocio

de entregar volumen de

LOB aplicaciones más rápido

Seguridad

Incapacidad de buena

calidad para la

seguridad

Visibilidad

Falta de conocimiento sobre el uso,

el rendimiento, los usuarios, los

productos, los patrones, los

dispositivos, las anomalías

Aplicaciones

de socios Aplicaciones de

colaboración Pasientes Omnicanai Doctores

Core Bancario Hipotecario

Sistemas de Backend

Dias

Cantidad de

interacciones

Años

Cantidad de

transacciones

e integraciones

ESB / Integracion

Seguro Riesgo Front de

Caja

Cerrando la brecha de la Arquitectura

Seguridad Persistencia Escalabilidad Analitica Desarrollador mgmt.

Plataforma API Inteligente

Sistemas de compromiso

Aplicaciones

de socios Aplicaciones de

colaboración Pasientes Omnicanai Doctores

Core Bancario Hipotecario

26/04/2018

13

Legado Backend

Microservicios Equipo

API

APIs Desarrollador,

Compañero

Aplicaciones Usuarios

finales

Visibilidad Seguridad Embarque Escala Agilidad

No debe ser lo que tenemos. Es lo que ellos

quieren. Un Cambio de mentalidad: Pensando "De fuera hacia dentro"

CONSUMIDORES PRODUCTORES

26/04/2018

14

OAuth2, JWT,

OpenID, SAML,

TLS

OWASP Threat

Protection

RBAC, Tercera Parte

Soporte IDM

Detección

de Bot*

Mediation, Caching &

Traffic Mgmt, Versioning

node.js

Tiempo de Ejecución

del Motor

Persistencia de

Datos

Despliegue Híbrido

/ Microgateway

Seguro API

Tiempo de

Ejecución

Plataforma Apigee Edge La solución más completa y robusta de la industria

Aplicaciones Backends

Negocio y

Métricas del Desarrollador

Detallado

Ejecución Analitica

Análisis de usuario

final

Captura de Datos e

Informes Personalizados

Rastreo y Diagnóstico

Analitica

Adaptable

Portal del

Desarrollador

SmartDocs

InteractivO

Documentación

Autoservicio

Incorporación de desarrolladores

Gestion de claves

Productos API

Administración

de Desarrollo

Socios /

Desarrolladore

s

API-impulsado

Automatización de

plataforma

Multi alquiler y

Escalado con aislamiento de

tráfico

Cero actualizaciones de

tiempo de inactividad

Cross-region

Automatizado

Enrutamiento y

conmutación por error

Aplicación de políticas

globales

Automatización

de operaciones

Editor de proxy basado

en flujo y políticas

preconstruidas

Estudio con API abierta /

Swagger

Prueba y Monitoreo

Extensibilidad con

código

(Java, node.js, Python, JS)

Gestión de versiones

Desarrollo de

APIS

API

Team

API

Monetización*

Integración CI / CD

* Solución complementaria opcional

API

Gateway

PR

OD

UC

TO

RE

S C

ON

SU

MID

OR

ES

26/04/2018

15

Apigee Edge OPEN Banking Acelerando su viaje de Transformación Digital

Servicios Analíticos Servicios del

Desarrollador Servicios API

Métricas de Ops

Métricas del desarrollador

Métricas de negocios

Rendimiento de la aplicación

Portal del Desarrollador

Modelado y Gestión

SmartDocs

Monetización

Gestión API

Seguridad

Firebase

Programabilidad API

DESARROLLADOR CONFIANZA PSD2 - OBWG

• Portal a medida

• Comercializar sandbox

• Código de muestra

• Funciones Listas APIs

• Recursos y Perfiles

• Capacidad de búsqueda

• Marco OAuth

• Gestión de Acceso

• Gestión de Token

COMPONENTES

Diseñado para ir donde nuestros clientes crecen.

SaaS COMPANIA

PRIVADA

MULTI CLOUD HIBRIDO

26/04/2018

16

Despliegue Banca

Edge

Microgateway(s)

Apigee Edge

Interfaz de gestión

Analítica

Portal del desarrollador

Servicios principales

INTERNET

Sistemas

Banco

Móviles y

Aplicaciones web

Regulador (Detener virus)

Cuota

OAuth 2.0

Clave API

Complementos personalizados

Aplicaciones

internas,

servicios

Backend

Sistemas

Core

Dirección de llamada API

Async

Descargar

configuración

en bootstrap

Fomentar

Analisis a

Edge

API

API

API

32

31% Fortune

100

8 of 12

Telco’s

60% Top 10

Retail

66%

26/04/2018

17

33

Por qué los enfoques tradicionales fallan

Backend

Systems Apigee WAF

API Key

Access

Token

User Agent

Contextual

Volume

x

x

x

x x x x

x * Other

Attributes Data

Warehouse

CRM, ERP, etc.

SOA

Microservices

34

Protección de lazo cerrado

26/04/2018

18

Apigee Sense - Detección de Bot

Lista Negra Datos de tráfico Modelos

Tablero

Apigee Sense

Apigee Edge Aplicación

DATOS DE TRÁFICO DE API

Bloquea o marca el tráfico bot

dependiendo de tus necesidades

ACCIONES DE MITIGACIÓN

APRENDIZAJE AUTOMÁTICO

MODELOS Y REGLAS

Monitoree continuamente miles de

millones de llamadas API para

identificar anomalías

Reconocimiento continuo

de patrones de bot y

creación de nuevas reglas

Completo y unificado en todo el ciclo de vida de la

API

36

Diseño Diseña primero. Documento

Smart. Soporte completo para

Swagger 2.0

Desarrollar Configuración: más de 30 políticas listas para usar y

configurables

Código: soporte integrado para Node, JavaScript y

Extensibilidad de Java

BaaS

Seguro Seguridad de extremo a extremo

Protección contra amenazas

Control de Acceso

Implementación simple de OAuth para sus API

Cumplimiento PCI y HIPAA

Analizar Visibilidad completa, desde el final de la

aplicación hasta el servidor

Recopilar de forma automática y continua

todos los datos de tráfico API fuera de la caja

Publicar Portal de Desarrolladores de Seguridad

Controlar Control centralizado, desarrollo descentralizado

Arquitectura Multi-tenant

Billones de llamadas a API, incluidas picos

grandes

Monetizar Planes de tarifas flexibles

Soporte internacional

Seguimiento de uso

Límites y notificaciones

Escala Autoservicio

Formular y Clasificar

Despliegue Flexible

26/04/2018

19

37