Acabamos de finalizar el lanzamiento del repositorio Maven para los proyectos en Java que quieran trabajar con la tecnología de PAPI. Maven es una herramienta de software para la gestión de proyectos desarrollados en Java. Una de sus principales características es la posibilidad de definir dependencias de otras librerías Java externas, siendo capaz de instalarlas y utilizarlas en nuestros proyectos.
Para utilizar el repositorio Maven de PAPI, utilizaremos la siguiente configuración:
<repository>
<id>papimaven</id>
<name>papi maven repository</name>
<url>https://forja.rediris.es/svn/papi-ee/trunk/maven/</url>
</repository>
Como está bajo el protocolo https, tendréis que tener importado el certificado digital de su servidor web. Podéis hacerlo de la siguiente manera:
echo |openssl s_client -connect forja.rediris.es:443 2>&1 |sed -ne ‘/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p’ | keytool -import -trustcacerts -alias forja -keystore $JAVA_HOME/lib/security/cacerts -storepass changeit -noprompt
Por ahora hay 4 módulos disponibles:
- papi-crypt: librería criptográfica para trabajar con los mensajes y las cookies de PAPI.
- papi-core: librería base para trabajar con la tecnología de PAPI.
- papi-filter: filtro J2EE que hace las funciones de PoA en Java.
- papi-jicgpoa: icGPoA desarrollado en Java.
- shib-filter: filtro J2EE que conecta un proveedor de identidad de Shibboleth con una infraestructura basada en PAPI.
Nosotros ahora mismo lo estamos utilizando para nuevos desarrollos basados en PAPI que ya os iremos contando en otras entradas del blog…
Los servicios web que utilizan SOAP para el envío de mensajes han tenido la suerte de contar con la especificación Web Services Security (WS-SEC), la cual les permite incluir tokens de seguridad en la cabecera SOAP.
Mensaje SOAP con WS-SEC
Los token de seguridad más comunes en WS-SEC son:
- Nombre de usuario: token donde se incluye el nombre de usuario y la contraseña, para poder autenticar al usuario.
- Certificados digitales: token donde se incluye el certificado digital del usuario.
- Aserciones SAML: token donde se incluye una aserción SAML que incluye información sobre el usuario.
De esta forma, se pueden proteger servicios web clásicos sin ningún problema de interoperabilidad, ya que existen numerosas implementaciones de WS-SEC para casi cualquier tipo de lenguaje de programación.
Para el caso de un escenario donde tenemos servicios web tipo REST, nos encontramos con un gran problema ya que el estándar WS-SEC no puede ser aplicado, ya que al usar peticiones HTTP estándares no existía forma de incluir dichos token de seguridad sin modificar los parámetros de cada petición, y no existe ningún estándar que cubra la necesidad de enviar tokens de seguridad en dicho escenario. Aunque el token de nombre de usuario (o Username Token) de WS-SEC podría mapearse sin muchos problemas al uso de HTTP Auth, si es cierto que no existe ninguna solución si nuestra arquitectura utiliza tokens basados en certificados digitales o aserciones SAML.
Afortunadamente, la semana pasada se publicó un draft a través de la IETF para la autenticación HTTP basada en tokens. Este draft busca dar una solución a la autenticación a través de tokens de OAuth, pero ofrece un modelo genérico que puede ser aprovechado por otro tipo de tokens más clásicos como los comentados más arriba.
Así, basándonos en dicho draft, una forma de proteger nuestros servicios web tipo REST utilizando certificados digitales quedaría tal como describe el siguiente ejemplo:
GET /resource/1 HTTP/1.1
Host: example.com
Authorization: Token token=»h480djs93hd8…yZT4=»,
class=»x509″,
method=»rsassa-pkcs1-v1.5-sha-256″,
nonce=»dj83hs9s»,
timestamp=»137134190″,
auth=»djosJKDKJSD8743243/jdk33klY=»
- token: es el certificado digital del usuario en base 64.
- class: indica el tipo de token, en este caso si es ‘x509′ significa que es un certificado digital.
- method: su valor será siempre ‘rsassa-pkcs1-v1.5-sha-256′, ya que de esta forma incluiremos un resumen o hash del mensaje enviado a través de la clave privada del usuario, tal como especifica dicho draft.
- nonce: es una cadena aleatoria.
- timestamp: es el timestamp del cliente cuando generó dicha petición.
- auth: es el resumen o hash calculado usuando la clave privada del usuario.
Para el caso de querer proteger el servicio web tipo REST utilizando aserciones SAML, tendríamos una petición de este estilo:
GET /resource/1 HTTP/1.1
Host: example.com
Authorization: Token token=»h480djs93hd8…yZT4=»,
class=»samlv2.0″,
method=»none»
- token: es la aserción SAML del usuario.
- class: indica el tipo de token, en este caso si es ‘samlv2.0′ significa que es una aserción SAML.
- method: su valor será siempre ‘none’.
Seguro que has recibido en algún momento un correo electrónico con información comercial de una tienda o portal a los cuales nunca distes tus datos y ni siquiera conoces. En este post vamos a informarte sobre cómo ejercer tu derecho de oposición para así evitar que utilicen tus datos para fines comerciales.
Para ello vamos a hacer uso de un correo electrónico que recibió uno de las personas que integran el equipo de PRiSE, pero antes de nada, veamos qué es el derecho de Oposición.
Según el Título III, Capítulo IV del Real Decreto Real Decreto 1720/20077, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal:
El derecho de oposición es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo en los siguientes supuestos: […]
b) Cuando se trate de ficheros que tengan por finalidad la realización de actividades de publicidad y prospección comercial, en los términos previstos en el artículo 51 de este reglamento, cualquiera que sea la empresa responsable de su creación.
Ahora que sabemos qué es, analicemos el correo comercial que recibimos y que vamos a utilizar de ejemplo. En el asunto teníamos un correo comercial general, sin referencia a la persona en concreto y que contenía la palabra «Publicidad».
Desde XXXXX nos ponemos en contacto con Vd. para informarle de XXXXX es responsable de un fichero de datos de carácter personal, en el cual se encuentran incluidos los datos de sus clientes, incluida su dirección de correo electrónico, cuya finalidad es la gestión de las relaciones comerciales con Vds., así como la comunicación de productos y servicios ofertados por XXXXX. Para el ejercicio de los derechos de acceso, rectificación, cancelación u oposición, deberá remitirse un escrito XXXXX en el que se concrete la solicitud correspondiente y al que acompañe fotocopia del Documento Nacional de Identidad del interesado, a la siguiente dirección: MMMMM
Hasta aquí todo bien: Te informan de tus derechos y cómo ejercerlos, la finalidad de la recogida de tus datos, etc., pero el correo seguía tal que así:
Queremos contar con su confianza, por lo que en el supuesto de que no nos indique expresamente lo contrario dentro del plazo de 30 días a contar desde la recepción de esta comunicación, entenderemos que nos da su consentimiento para el tratamiento de sus datos personales para los fines indicados anteriormente.
Aquí falló el correo: este último párrafo va en contra de la LSSI y de la LOPD, ya que tienes el derecho de oposición a que utilicen tus datos con esos fines, independientemente de que pasen 30 días o no. Tienes el derecho de oposición siempre que se realice una recogida de datos, sin límite de plazos. En los derechos no es válido el silencio positivo, es decir, que se considere cierto si no se dice nada.
En nuestro caso, para ejercer el derecho de oposición tendríamos que enviar una solicitud personalísima dirigida al responsable del tratamiento explicando cuáles son los motivos que justifican el ejercicio de este derecho.
La empresa deberá responderte en un plazo máximo de diez días (contando desde el día que reciben la solicitud) En caso de que no recibas respuesta o no se realice el proceso de excluir tus datos del tratamiento que se le está dando actualmente, podrías recurrir a la Agencia Española de Protección de Datos con tu caso.
Como comentamos anteriormente, en el asunto dejaba claro que era un correo publicitario general. En caso de que esto no fuera así, es decir, no pusiera «publicidad» y fuera un correo dirigido a la persona en cuestión, en vez de un derecho de oposición, se podría denunciar directamente a la Agencia Española de Protección de Datos por incumplimiento del Artículo 20 incluído en el capítulo III, «Comunicaciones comerciales por vía electrónica», de la LSSI:
Artículo 20. Información exigida sobre las comunicaciones comerciales, ofertas promocionales y concursos.
1. Las comunicaciones comerciales realizadas por vía electrónica deberán ser claramente identificables como tales y deberán indicar la persona física o jurídica en nombre de la cual se realizan.
En el caso en el que tengan lugar a través de correo electrónico u otro medio de comunicación electrónica equivalente incluirán al comienzo del mensaje la palabra «publicidad».
Otro punto a tratar es que el envío por correo en todo caso, no debe suponer ningún coste extra, ya que como podemos ver en el Artículo 51 del Real Decreto 1720/20077, de 21 de diciembre:
A tal efecto, deberá concederse al interesado un medio sencillo y gratuito para oponerse al tratamiento. En particular, se considerará cumplido lo dispuesto en este precepto cuando los derechos puedan ejercitarse mediante la llamada a un número telefónico gratuito o la remisión de un correo electrónico.
No se considerarán conformes a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, los supuestos en que el responsable del tratamiento establezca como medio para que el interesado pueda ejercitar su oposición el envío de cartas certificadas o envíos semejantes, la utilización de servicios de telecomunicaciones que implique una tarificación adicional al afectado o cualesquiera otros medios que impliquen un coste excesivo para el interesado.
Para más información sobre el derecho de Oposición:
- En el Real Decreto 1720/20077, de 21 de diciembre:
- Título III. Derechos de acceso, rectificación, cancelación y oposición.
- Artículo 24. Condiciones generales para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
- Capítulo IV. Derecho de oposición.
- Artículo 34. Derecho de oposición.
- Artículo 35. Ejercicio del derecho de oposición.
- Artículo 36. Derecho de oposición a las decisiones basadas únicamente en un tratamiento automatizado de datos.
- TÍTULO IV. Disposiciones aplicables a determinados ficheros de titularidad privada
- Capítulo I. Ficheros de información sobre solvencia patrimonial y crédito.
- Artículo 44. Ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
- Capítulo II. Tratamientos para actividades de publicidad y prospección comercial.
- Artículo 51. Derecho de oposición.
- Capítulo I. Ficheros de información sobre solvencia patrimonial y crédito.
- Título III. Derechos de acceso, rectificación, cancelación y oposición.
En este enlace podrás encontrar más información y documentos modelos para ejercer tu derecho de oposición.
Si eres una empresa y necesitas ayuda para poder garantizar que estos derechos se cumplan, ponte en contacto con nosotros.
Andalucía Emprende, Fundación Pública Andaluza y el Instituto Andaluz de la Mujer, organismo autónomo adscrito a la Consejería para la Igualdad y Bienestar Social, organizan el 30 de noviembre y 1 de diciembre en Málaga la primera Conferencia Internacional de Empresarias en el marco de los programas conjuntos Red de Cooperación de Emprendedoras y Servicio de asesoramiento a emprendedoras y empresarias.
El objetivo de esta conferencia es fomentar las redes internacionales de mujeres en el ámbito empresarial y las oportunidades de negocio entre empresarias, así como debatir sobre diferentes claves de éxito en el emprendimiento de mujeres.
No dudes en ponerte en contacto con nosotros para conocernos en Málaga!
Visita la página web del evento: http://www.generadoradelazos.es