Los procesos sSDLC ahorran tiempo, dinero y protección de datos. sSDLC (security Software Development Life Cycle) es el método por el cual se establece la seguridad desde las fases de desarrollo. Este proceso puede automatizarse utilizando herramientas de análisis estático del código (DAST), y herramientas de análisis dinámico del código (DAST). Además de estas automatizaciones, siempre se garantizará la seguridad en las comunicaciones (protocolos TLS) y en los flujos de autenticaciones.
SAST son las siglas de "Static Application Security Testing" (Pruebas estáticas de seguridad de aplicaciones). Es una técnica de seguridad de la información que permite evaluar la seguridad de una aplicación sin necesidad de ejecutarla, es decir, estáticamente. SAST se utiliza para analizar el código fuente de una aplicación y detectar posibles vulnerabilidades en su diseño y programación. Esta técnica es útil para identificar problemas de seguridad en una fase temprana del desarrollo de la aplicación, lo que permite corregirlos antes de que la aplicación se despliegue o publique. Algunos ejemplos de problemas que SAST puede detectar son: Inyecciones SQL, cross-site scripting (XSS), vulnerabilidades de seguridad en el almacenamiento de contraseñas, y otros. SAST es una herramienta valiosa para los equipos de desarrollo de software y seguridad de la información, ya que les permite identificar y corregir problemas de seguridad en una etapa temprana, lo que reduce el riesgo de explotación de vulnerabilidades y protege los datos y la información confidencial.
DAST son las siglas de "Dynamic Application Security Testing" (pruebas dinámicas de seguridad de las aplicaciones). Es una técnica de seguridad de la información que permite evaluar la seguridad de una aplicación mientras se ejecuta, en tiempo real. DAST se utiliza para detectar vulnerabilidades en aplicaciones web, como inyecciones SQL, cross-site scripting (XSS), y otras. Estas pruebas dinámicas se realizan mediante un escaneado de la aplicación que simula un ataque malicioso contra la misma. El objetivo de DAST es identificar y corregir vulnerabilidades antes de que los atacantes puedan explotarlas. Esto permite a los desarrolladores y a los equipos de seguridad de la información tomar medidas para proteger la aplicación y los datos que maneja.
Los protocolos seguros son estándares de comunicación que proporcionan un método seguro para transmitir información entre sistemas. Algunos ejemplos de este tipo de protocolos son SSL/TLS, SSH e IPSec. Aunque TLS 1.2 sigue siendo una opción segura para la transmisión de datos en la web, se recomienda utilizar TLS 1.3 para aprovechar las mejoras de seguridad y rendimiento. Muchos servicios web ya se han actualizado a TLS 1.3, por lo que es importante asegurarse de que un sitio web y sus servicios están actualizados para utilizar esta nueva versión.
Los flujos de autenticación son una forma eficaz de garantizar la seguridad de las transacciones en línea, ya que permite a los usuarios autenticarse de forma segura sin tener que introducir sus credenciales en el sitio web de una aplicación. Además, es una forma eficaz de gestionar las solicitudes de autenticación, ya que las notificaciones push aceleran el proceso y reducen la probabilidad de errores.
Los datos personales son cualquier información relacionada con una persona física identificada o identificable. Por persona física identificable se entiende toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante un identificador, como un nombre, un número de teléfono, una dirección IP, un número de identificación, datos de localización, etc.
Los servicios de Open Gateway se construyen como parte de Telefónica Kernel, una plataforma que protege el acceso a los datos de la compañía y sus capacidades telco.
Telefónica Kernel se ha construido con un enfoque de privacidad por diseño que proporciona un alto nivel de protección de la privacidad de los datos de clientes y usuarios finales de forma digital. Esto significa que el sistema aplica directamente los requisitos de privacidad abstrayendo esta complejidad al desarrollador.
Para Telefónica, la privacidad desde el diseño es uno de los aspectos esenciales a tener en cuenta en nuestros productos y servicios, desde su ideación hasta su creación. Para asegurar ese enfoque, pero también manteniendo APIs amigables para los desarrolladores, Telefónica está promoviendo la estandarización de un Marco de Privacidad en CAMARA con las otras compañías telco, trabajando duro para simplificar la aplicación de los requisitos de privacidad en nuestros sistemas.
En Open Gateway trabajamos para crear experiencias de usuario sin fricciones, lo que significa que el usuario no necesita interactuar con diferentes aplicaciones para concluir ningún proceso. Para ello, en Telefónica decidimos recoger directamente los requisitos legales de privacidad a través de interfaces diseñadas con un lenguaje comprensible para dar al cliente el control real de la experiencia digital.
Open Gateway ofrece un marco para gestionar automáticamente la privacidad. Con este enfoque, Telefónica Kernel ayudará al desarrollador a cumplir con los requisitos de privacidad, como el deber de información o la recopilación y revocación de bases legales.
No, Telefónica gestiona las preferencias de privacidad de los usuarios directamente con ellos a través de nuestros propios canales y en nuestros propios sistemas (por ejemplo, el Centro de Transparencia de Telefónica), incluyendo la gestión de las bases legales, como la obtención y revocación del consentimiento de los usuarios.
Es una normativa aplicable desde 2016, el Reglamento (UE) 2015/2120, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, por la que se establecen medidas relativas al acceso abierto a Internet (conocido también como Reglamento sobre neutralidad de la red, Open Internet Regulation u "OIR").
OIR concede a los usuarios finales el derecho a acceder y distribuir contenidos y servicios legales de su elección a través de su servicio de acceso a Internet. El Reglamento también consagra el principio de gestión no discriminatoria del tráfico para esos Servicios de Acceso a Internet, permitiendo una gestión razonable del tráfico. Por último, define las condiciones para la prestación de "Servicios Especializados", distintos de los Servicios de Acceso a Internet.
El Reglamento es aplicable a los proveedores de servicios de comunicaciones electrónicas (ISPs) como Telefónica.
Se aplica en toda la Unión Europea y, por el momento, también en el Reino Unido.
Por Servicio de Acceso a Internet (SAI) se entiende un servicio de comunicaciones electrónicas disponible al público que proporciona acceso a Internet (Internet ofrece un rendimiento de "mejor esfuerzo") y, por tanto, conectividad a prácticamente todos los puntos finales de Internet, con independencia de la tecnología de red y el equipo terminal utilizados.
Los servicios especializados (SS) son servicios optimizados para contenidos, aplicaciones o servicios específicos, o una combinación de los mismos, en los que la optimización es necesaria para cumplir los requisitos de los contenidos, aplicaciones o servicios en cuanto a un nivel específico de calidad. Deben cumplir dos condiciones:
Los SS no están sujetos a las restricciones de los modelos de negocio y precios de las SAI.
La normativa no exige una autorización previa en relación con las prácticas comerciales, las prácticas de gestión del tráfico o los servicios especializados.
Sólo aquellas APIs que impliquen conectividad en la red de Telefónica están sujetas a la OIR. Sólo el servicio de conectividad proporcionado en respuesta a la llamada API puede estar sujeto a la OIR. Otras capacidades proporcionadas por las APIs no están sujetas a la OIR.