ES | EN
Intro
La seguridad es una pieza clave dentro de la plataforma. La plataforma cumple completamente con la normativa vigente en seguridad y protección de datos, así como con el Esquema Nacional de Seguridad.
La plataforma es capaz de proporcionar mecanismos de autenticación, autorización (por roles) y encriptación (información cifrada), tanto en la transferencia de información desde sistemas y dispositivos a la plataforma, como en el consumo de la información almacenada. Se garantiza así la confidencialidad y la integridad de la información almacenada.
Funcionalidades
La seguridad y privacidad de la plataforma se garantiza a diversos niveles:
Comunicación segura y confidencial: La plataforma puede configurarse para que sólo soporte comunicación SSL. La Plataforma se configurará para soportar la comunicación con certificados a nivel de identificación y autenticación y actuar, estos certificados podrán ser emitidos por cualquier entidad certificadora autorizada.
Autenticación y autorización de los clientes de la Plataforma: cualquier cliente de la plataforma, sea un sistema o un dispositivo debe autenticarse contra esta. En función del protocolo y el módulo usado esta autenticación se realiza de diversa forma, así, por ejemplo:
Cuando se utiliza comunicación HTTPS, por ejemplo, vía las APIS REST de plataforma, la plataforma ofrece un Identity Manager que actúa como OAuth2Server que debe invocarse para que nos genere el token OAuth2
Para simplificar la integración se ofrecen librerías clientes que hacen transparente esta comunicación.
El Digital Broker dentro de su protocolo de comunicación gestiona los tokens de conexión de sus clientes (Digital Clients) desde el propio Control Panel.
Privacidad de los datos: permite configurar niveles de privacidad en la información. Por defecto, la información (ontologías) puede ser pública o privada, es decir, visible para todo el mundo o solo para el “propietario” de dicha ontología. La plataforma además permite al propietario de cada ontología proporcionar a ciertos usuarios permisos de lectura, de escritura o ambos sobre sus ontologías, o si lo prefiere incluso decidir hacer sus ontologías públicas para así hacerlas visibles para todos los usuarios de la plataforma, fomentando así la colaboración.
Asignación de permisos de una ontología a otros roles y usuarios:
Encriptado de atributos de una ontología: la plataforma permite encriptar atributos de una ontología de forma transparente al repositorio donde se almacena gestionando la plataforma su encriptado y desencriptado:
Perfiles de acceso. se soporta la diferenciación por roles en el acceso a la plataforma. De esta manera, es fácilmente gestionable qué usuarios tienen acceso a qué información.
En el Control Panel se manejan un conjunto de roles predefinidos:
ADMINISTRATOR: Este rol tiene acceso de administración al Control Panel de la Plataforma, desde ahí puede gestionar todos los conceptos de una instancia de la plataforma creados por el resto de usuarios, incluyendo gestión de usuarios, ontologías, permisos, ...
DEVELOPER: Este rol puede usar todas las capacidades DaM e IoT de la plataforma sin restricciones, puede crear ontologías, APIS, reglas, ... Es el usuario tipo de la plataforma, y el que se crea por defecto. Tiene limitada su acceso a las capacidades IA de la plataforma, para controlar el consumo de recursos de la instalación.
ANALYTICS: este rol amplía las capacidades del rol Developer, permitiendo el acceso a las herramientas analíticas e IA, por tanto, tiene acceso al DataFlow, a los Notebooks, a los Modelos, ...
USER: Este rol tiene acceso en modo consulta a la plataforma, es decir, puede consumir información de la plataforma generada por otros, pero no subir información, puede por tanto consumir dashboards, APIs, consultar ontologías, ...
A través del concepto de Realm de Plataforma se pueden crear nuevos roles de aplicación a un proyecto/vertical, que la plataforma gestiona a través de su Identity Manager:
Con esta funcionalidad se pueden mapear usuarios a roles:
Extensibilidad: para escenarios que requerían configuraciones de seguridad particulares, y como característica adicional, la plataforma permite el desarrollo de plugins para adaptar la seguridad de la plataforma. Así por ejemplo la plataforma permite:
Integrar con un LDAP existente para el mapeo de los usuarios y grupos de este con los usuarios de Plataforma:
Integración con otras piezas, como Apereo CAS, generación de tokens JWT específicos, …
Soporte normativa GDPR: garantizando la seguridad de los datos sensibles del usuario contemplando Derecho de acceso, Derecho de borrado, Registros de actividades de procesamiento.
Auditoría: La plataforma dispone de un sistema de auditoría que permite que cada operación que ocurre en la plataforma sea auditada. Entre estas operaciones se incluye inicios de sesión y cierres de sesión en el Panel de control, comunicaciones entre dispositivos y sistemas, …
Encriptado de atributos de Ontologías
La Plataforma permite encriptar los datos almacenados en los atributos de las ontologías.
Para usar esto:
En la ontología se tiene que marcar como que contiene atributos encriptables, a través del Wizard.
Cada atributo que se quiera encriptar, se tiene que marcar como tal en el Wizard de creación de la ontología.
Cuando llega un dato de una ontología encriptable al broker, este se encarga de encriptar los atributos marcados como tal.
Plataforma ofrece una implementación base de Encryptor en plataforma, que es la pieza encargada de las acciones de encriptar/desencriptar, que utiliza lo siguiente:
Cifrado AES de 128 bits, más concretamente AES/CBC/PKCS5PADDING
La clave de cifrado (KEY) y el vector de inicialización (IV) se cargan de un fichero de configuración interno de plataforma, y se usan los mismos valores para todas las ontologías
La pieza Encryptor, puede ser sustituida con el mecanismo de plugin que ofrece la plataforma (1), pudiendo desarrollar una pieza que conecte con un HSM como Key Vault para obtener las claves de cifrado e IV de forma externa y segura.