Foro de PreparaTIC29

Tema 49 (interoperabilidad y servicios comunes): en el catálogo de sevicios (https://administracionelectronica.gob.e ... gital.html) me sorprende que lo primero que miro (Plataforma de Intermediación) tiene incoherencias:
En la versión tabla, línea 40, (https://administracionelectronica.gob.e ... D-2018.ods) dicen que el PID no se suminsitra como producto instalable ni tampoco como servicio cloud, pero en el catálogo en PDF (https://administracionelectronica.gob.e ... n-2018.pdf), pág. 39 dicen todo lo contrario: "Producto instalable (cliente ligero SCSP) Servicio en red para usuario final (cliente SCSP cloud).

Esto fastidia porque este tipo de preguntas son las típicas del tercer examen.

¿A quién creemos?

Por lo que veo en https://administracionelectronica.gob.e ... datos.html NO es un instalable, pero sí que permite el resto de posibilidades habituales : Librería+API, web sevice síncrono+ascíncron, cliente web...

Sin duda un error de la tabla, porque PID es instalable. De hecho careceria de sentido que no lo fuera dado que es un requisito importante de cumplimiento de la Ley 39/2015 y del ENI. Eso sí. Requiere SCSP V3. Y vamos, está ya bastante instalado e implantado. (Bien como instalable, bien como servicio). Las dos modalidades son posibles en PID.

Tienes varios casos de éxito de implantación en diferentes documentos de la AGE. Confía en la versión oficial del catálogo.
Saludos.
1+ticop

Más cuestiones sobre la Plataforma de Intermediación de Datos (PID) :

Como sabemos, la PID permite consultar una creciente cantidad de datos distintos: identidad, residencia, desempleo, titulaciones, datos catastrales, registros civiles, prestaciones, etc.

Ahora bien, mi pregunta va dirigida en el sentido de cómo podemos relacionar los distintos servicios web de verificación y consulta de la PID , con los distintos niveles de seguridad descritos en el ENS ( categorías: Básica, Media y Alta ).

El año pasado, en la defensa del opositor que le tocó leer antes que a mí, el tribunal le planteó preguntas de este tipo:
- "Ya que usted hace uso de la PID en su diagrama de contexto, esto implica, que su sistema debe ser de categoría 'Alta'... ¿ Es correcto ? "

Es decir, el tribunal estaba afirmando que, si nuestro sistema hacía uso de los servicios de la PID, esto implica que nuestro sistema necesita
tener una categoría concreta de seguridad según el Esquema Nacional de Seguridad.

No he localizado ningún documento, en donde se defina esta correspondencia entre servicio web de la PID y su categoría de seguridad asociada.

¿ Que opináis al respecto ?

Espero vuestras respuestas.

Editado :

http://administracionelectronica.gob.es ... rmediacion
http://administracionelectronica.gob.es/ctt/svd

Sección 'Noticias' - La plataforma de Intermediación de datos supera los 70 servicios :

"...Mención especial merecen los servicios de consulta del fichero de Titularidades Financieras, tanto por Interviniente como por Producto. Dicho fichero es responsabilidad de la Secretaría de Estado de Economía y Apoyo a la Empresa, y será el SEPBLAC (Servicio Ejecutivo -Comisión de Prevención del Blanqueo de Capitales e infracciones monetarias) el encargado del tratamiento. Los servicios están en producción desde el 5 de mayo de 2016.

Al Fichero de Titularidades Financieras se le aplicarán medidas de seguridad de nivel alto en aplicación de la normativa de protección de datos de carácter personal..."


--
Saludos

Sí parece razonable que el PID, como servicio "transversal", tenga categoría de seguridad "Alta".
Pero no parece razonable que hacer uso de un servicio común implique "contagiarse" de su categoría, porque eso va contra los principios del ENS: d) Líneas de defensa,  f) Función diferenciada.

sap_freelance escribió: ↑

21 May 2019, 16:42

...

Desconozco como fue exactamente la pregunta pero jamás he escuchado que ocurra eso que comentas con el uso del PID y la categoría del sistema. Además que no me suena muy razonable.

También comentar, respecto a lo último que pones (aunque no se que quieres decir exactamente), que no es lo mismo el nivel y medidas asociadas en cuanto a la antigua normativa, ya derogada, de protección de datos y la categoría y medidas asociadas del ENS. Son categorizaciones y medidas diferentes, que pueden coincidir o no. Lo que pones en negrita hace referencia al nivel en cuanto a protección de datos (que con la nueva normativa, no aplica) y de lo que hablas anteriormente es respecto a la categoría del ENS.

sap_freelance escribió: ↑

21 May 2019, 16:42

El año pasado, en la defensa del opositor que le tocó leer antes que a mí, el tribunal le planteó preguntas de este tipo:
- "Ya que usted hace uso de la PID en su diagrama de contexto, esto implica, que su sistema debe ser de categoría 'Alta'... ¿ Es correcto ? "

Es decir, el tribunal estaba afirmando que, si nuestro sistema hacía uso de los servicios de la PID, esto implica que nuestro sistema necesita
tener una categoría concreta de seguridad según el Esquema Nacional de Seguridad.

Supongo que el tribunal preguntaría eso porque a lo mejor el opositor lo había escrito o insinuado en su examen o exposición.

En cualquier caso, yo creo que el simple hecho de usar PID no se traduce en tener una categoría alta en nuestro sistema. Dependerá de qué servicios dentro de PID estemos consumiendo y qué información maneje nuestro sistema.

Creo que en realidad es al revés: si mi sistema debe tener categoría C y uso el sistema S, entonces S debe tener al menos categoría C.
(en otro caso mi sistema ya no seria de categoría C)