1、 Unin Internacional de TelecomunicacionesUIT-T X.1171SECTOR DE NORMALIZACIN DE LAS TELECOMUNICACIONES DE LA UIT (02/2009) SERIE X: REDES DE DATOS, COMUNICACIONES DE SISTEMAS ABIERTOS Y SEGURIDAD Aplicaciones y servicios con seguridad Seguridad de la identidad en las redes Amenazas y requisitos para
2、la proteccin de la informacin que permite identificar a una persona en las aplicaciones que utilizan la identificacin basada en marcadores Recomendacin UIT-T X.1171 RECOMENDACIONES UIT-T DE LA SERIE X REDES DE DATOS, COMUNICACIONES DE SISTEMAS ABIERTOS Y SEGURIDAD REDES PBLICAS DE DATOS X.1X.199 INT
3、ERCONEXIN DE SISTEMAS ABIERTOS X.200X.299 INTERFUNCIONAMIENTO ENTRE REDES X.300X.399 SISTEMAS DE TRATAMIENTO DE MENSAJES X.400X.499 DIRECTORIO X.500X.599 GESTIN DE REDES DE INTERCONEXIN DE SISTEMAS ABIERTOS Y ASPECTOS DE SISTEMAS X.600X.699 GESTIN DE INTERCONEXIN DE SISTEMAS ABIERTOS X.700X.799 SEGU
4、RIDAD X.800X.849 APLICACIONES DE INTERCONEXIN DE SISTEMAS ABIERTOS X.850X.899 PROCESAMIENTO DISTRIBUIDO ABIERTO X.900X.999 SEGURIDAD DE LA INFORMACIN Y DE LAS REDES Aspectos generales de la seguridad X.1000X.1029 Seguridad de las redes X.1030X.1049 Gestin de la seguridad X.1050X.1069 Telebiometra X.
5、1080X.1099 APLICACIONES Y SERVICIOS CON SEGURIDAD Seguridad en la multidifusin X.1100X.1109 Seguridad en la red residencial X.1110X.1119 Seguridad en las redes mviles X.1120X.1139 Seguridad en la web X.1140X.1149 Protocolos de seguridad X.1150X.1159 Seguridad en las comunicaciones punto a punto X.11
6、60X.1169 Seguridad de la identidad en las redes X.1170X.1179 Seguridad en la TVIP X.1180X.1199 SEGURIDAD EN EL CIBERESPACIO Ciberseguridad X.1200X.1229 Lucha contra el correo basura X.1230X.1249 Gestin de identidades X.1250X.1279 APLICACIONES Y SERVICIOS CON SEGURIDAD Comunicaciones de emergencia X.
7、1300X.1309 Seguridad en las redes de sensores ubicuos X.1310X.1339 Para ms informacin, vase la Lista de Recomendaciones del UIT-T. Rec. UIT-T X.1171 (02/2009) i Recomendacin UIT-T X.1171 Amenazas y requisitos para la proteccin de la informacin que permite identificar a una persona en las aplicacione
8、s que utilizan la identificacin basada en marcadores Resumen La implantacin generalizada de marcadores de identificacin (incluidos los marcadores de identificacin por radiofrecuencias (RFID) puede causar inquietud ante posibles vulneraciones de la intimidad aprovechando las posibilidades que ofrece
9、la tecnologa RFID para recopilar (y procesar) datos de manera automtica, con la posibilidad de revelar dichos datos al pblico (de manera deliberada o accidental). En el caso de las aplicaciones que recurren a la identificacin por medio de marcadores y se basan en un marcador de identificacin persona
10、lizado para las aplicaciones de gestin personalizadas despus de su venta, las aplicaciones de atencin de la salud, etc., la cuestin de la proteccin de la intimidad se est convirtiendo en un problema cada vez ms grave. En esta Recomendacin se describen diversas infracciones de la informacin que permi
11、te identificar a la persona (IIP) a partir de aplicaciones que recurren a la identificacin por medio de marcadores, as como los requisitos para proteger la IIP. Adems, en esta Recomendacin se facilita una estructura bsica de proteccin de la IIP a partir de las caractersticas de la poltica de IIP. Or
12、genes La Recomendacin UIT-T X.1171 fue aprobada el 20 de febrero de 2009 por la Comisin de Estudio 17 (2009-2012) del UIT-T por el procedimiento de la Resolucin 1 de la AMNT. ii Rec. UIT-T X.1171 (02/2009) PREFACIO La Unin Internacional de Telecomunicaciones (UIT) es el organismo especializado de la
13、s Naciones Unidas en el campo de las telecomunicaciones y de las tecnologas de la informacin y la comunicacin. El Sector de Normalizacin de las Telecomunicaciones de la UIT (UIT-T) es un rgano permanente de la UIT. Este rgano estudia los aspectos tcnicos, de explotacin y tarifarios y publica Recomen
14、daciones sobre los mismos, con miras a la normalizacin de las telecomunicaciones en el plano mundial. La Asamblea Mundial de Normalizacin de las Telecomunicaciones (AMNT), que se celebra cada cuatro aos, establece los temas que han de estudiar las Comisiones de Estudio del UIT-T, que a su vez produc
15、en Recomendaciones sobre dichos temas. La aprobacin de Recomendaciones por los Miembros del UIT-T es el objeto del procedimiento establecido en la Resolucin 1 de la AMNT. En ciertos sectores de la tecnologa de la informacin que corresponden a la esfera de competencia del UIT-T, se preparan las norma
16、s necesarias en colaboracin con la ISO y la CEI. NOTA En esta Recomendacin, la expresin “Administracin“ se utiliza para designar, en forma abreviada, tanto una administracin de telecomunicaciones como una empresa de explotacin reconocida de telecomunicaciones. La observancia de esta Recomendacin es
17、voluntaria. Ahora bien, la Recomendacin puede contener ciertas disposiciones obligatorias (para asegurar, por ejemplo, la aplicabilidad o la interoperabilidad), por lo que la observancia se consigue con el cumplimiento exacto y puntual de todas las disposiciones obligatorias. La obligatoriedad de un
18、 elemento preceptivo o requisito se expresa mediante las frases “tener que, haber de, hay que + infinitivo“ o el verbo principal en tiempo futuro simple de mandato, en modo afirmativo o negativo. El hecho de que se utilice esta formulacin no entraa que la observancia se imponga a ninguna de las part
19、es. PROPIEDAD INTELECTUAL La UIT seala a la atencin la posibilidad de que la utilizacin o aplicacin de la presente Recomendacin suponga el empleo de un derecho de propiedad intelectual reivindicado. La UIT no adopta ninguna posicin en cuanto a la demostracin, validez o aplicabilidad de los derechos
20、de propiedad intelectual reivindicados, ya sea por los miembros de la UIT o por terceros ajenos al proceso de elaboracin de Recomendaciones. En la fecha de aprobacin de la presente Recomendacin, la UIT no ha recibido notificacin de propiedad intelectual, protegida por patente, que puede ser necesari
21、a para aplicar esta Recomendacin. Sin embargo, debe sealarse a los usuarios que puede que esta informacin no se encuentre totalmente actualizada al respecto, por lo que se les insta encarecidamente a consultar la base de datos sobre patentes de la TSB en la direccin http:/www.itu.int/ITU-T/ipr/. UIT
22、 2010 Reservados todos los derechos. Ninguna parte de esta publicacin puede reproducirse por ningn procedimiento sin previa autorizacin escrita por parte de la UIT. Rec. UIT-T X.1171 (02/2009) iii NDICE Pgina 1 Alcance . 1 2 Referencias . 1 3 Definiciones 2 3.1 Trminos definidos en otras Recomendaci
23、ones . 2 3.2 Trminos definidos en la presente Recomendacin . 3 4 Abreviaturas y acrnimos. 3 5 Convenciones 4 6 Panorama 4 7 Aplicaciones de empresa-consumidor que utilizan identificacin basada en marcadores 4 8 Modelo de referencia para aplicaciones empresa-consumidor que utilizan identificacin basa
24、da en marcadores 6 9 Violacin de la PII en aplicaciones empresa-consumidor que utilizan identificacin basada en marcadores 6 9.1 Fugas de informacin asociadas con el identificador. 7 9.2 Fuga de datos de antecedentes 7 9.3 Relacin entre las violaciones de la PII y el modelo de referencia 8 10 Requis
25、itos de proteccin PII para aplicaciones empresa-consumidor que utilizan identificacin basada en marcadores 8 10.1 Control de la PII por parte del usuario del marcador ID y/o del usuario del terminal D. 9 10.2 Autenticacin del usuario del marcador ID y/o del usuario del terminal ID 9 10.3 Control de
26、acceso a la PII del usuario del marcador ID en un servidor de aplicaciones 9 10.4 Confidencialidad de la informacin asociada con un marcador ID . 9 10.5 Consentimiento relativo al acopio de PII . 9 10.6 Salvaguardias tcnicas para los servidores de aplicacin. 9 10.7 Relacin entre los requisitos y las
27、 violaciones PII . 10 Anexo A Principios bsicos de aplicacin nacional . 11 Anexo B Principios bsicos de aplicacin internacional: restricciones en el libre flujo y la legitimidad 12 Apndice I Localizacin por parte del identificador en los servicios RFID. 13 Apndice II Servicio de proteccin PII (PPS)
28、para aplicaciones que utilizan identificacin basada en marcadores 14 II.1 Servicio de proteccin PII (PPS) para aplicaciones que utilizan identificacin basada en marcadores 14 II.2 Entidades de servicio del PPS para aplicaciones que utilizan identificacin basada en marcadores 14 iv Rec. UIT-T X.1171
29、(02/2009) Pgina II.3 Escenario general de servicio para el PPS 15 II.4 Funciones del PPS 16 Bibliografa 19 Rec. UIT-T X.1171 (02/2009) 1 Recomendacin UIT-T X.11711Amenazas y requisitos para la proteccin de la informacin que permite identificar a una persona en las aplicaciones que utilizan la identi
30、ficacin basada en marcadores 1 Alcance Esta Recomendacin abarca los siguientes objetivos, as como amenazas y requisitos, en lo que respecta a la proteccin de la informacin que permite identificar a una persona (PII) en las aplicaciones que utilizan la identificacin basada en marcadores: para describ
31、ir las amenazas contra la PII en entornos empresa-cliente de aplicaciones que utilizan identificacin basada en marcadores; para identificar los requisitos de proteccin de la PII en un entorno empresa-cliente de aplicaciones que utilizan identificacin basada en marcadores. Los siguientes objetivos qu
32、edan al margen de la presente Recomendacin: analizar las amenazas generales que pesan sobre la seguridad y los requisitos de las aplicaciones que utilizan identificacin basada en marcadores; analizar las amenazas y requisitos relacionados con la PII que sobrevienen entre un marcador de identificacin
33、 (ID) y un terminal ID; analizar las amenazas y requisitos relacionados con la PII que dependen de la marcacin ID y del mtodo de lectura que se consideren, por ejemplo, marcador de identificacin por radiofrecuencia (RFID) y terminal ID; definir y disear los formatos de mensajes y el mecanismo de pro
34、teccin PII, basndose en el perfil de poltica PII de usuario de una aplicacin que utilice identificacin basada en marcadores. NOTA 1 Habr que trabajar ms para definir dichos formatos, que pueden no quedar restringidos nicamente a la proteccin PII en el marco de la identificacin basada en marcadores,
35、y que requieren acaso un enfoque ms general (privacidad). En la presente Recomendacin, el usuario de un marcador ID cuenta con la capacidad de controlar el propio marcador ID, por lo cual se supone que dicho usuario es responsable del comportamiento de dicho ID. NOTA 2 En ciertos casos, el usuario d
36、el marcador ID carece de toda capacidad de control del marcador, lo que ocurre, por ejemplo, cuando un particular adquiere un producto marcado y el fabricante exige que el marcador ID permanezca activo con propsitos de garanta. En este caso, cabe la posibilidad de que el usuario del marcador ID slo
37、sea un particular que transporta y utiliza el producto marcado. De ah, que la presente Recomendacin no pueda aplicarse para resolver ese problema en el caso mencionado. Este escenario plantea problemas de legislacin y poltica (vase b-OECD), por lo cual el tema puede ser abordado en otra Recomendacin
38、. 2 Referencias Las siguientes Recomendaciones del UIT-T y otras referencias contienen disposiciones que, mediante su referencia en este texto, constituyen disposiciones de la presente Recomendacin. Al efectuar esta publicacin, estaban en vigor las ediciones indicadas. Todas las Recomendaciones y ot
39、ras referencias son objeto de revisiones por lo que se preconiza que los usuarios de esta _ 1Puede ocurrir que la presente Recomendacin no resulte aplicable en Alemania debido a la legislacin del pas. 2 Rec. UIT-T X.1171 (02/2009) Recomendacin investiguen la posibilidad de aplicar las ediciones ms r
40、ecientes de las Recomendaciones y otras referencias citadas a continuacin. Se publica peridicamente una lista de las Recomendaciones UIT-T actualmente vigentes. En esta Recomendacin, la referencia a un documento, en tanto que autnomo, no le otorga el rango de una Recomendacin. UIT-T X.1121 Recomenda
41、cin UIT-T X.1121 (2004), Marco general de tecnologas de seguridad para las comunicaciones mviles de datos de extremo a extremo. 3 Definiciones 3.1 Trminos definidos en otras Recomendaciones En la presente Recomendacin se utilizan los siguientes trminos definidos en otras Recomendaciones: 3.1.1 contr
42、ol de acceso b-UIT-T X.800: Prevencin del uso no autorizado en un recurso, incluida la prevencin del uso de un recurso de forma no autorizada. 3.1.2 servidor de aplicacin UIT-T X.1121: Entidad que se conecta a una red abierta para la comunicacin de datos con terminales mviles. 3.1.3 proveedor de ser
43、vicio de aplicacin (ASP) UIT-T X.1121: Entidad (persona o grupo) que suministra servicios de aplicacin a usuarios mviles a travs de un servidor de aplicacin. 3.1.4 autenticacin b-UIT-T X.811: Confirmacin de la identidad declarada de una entidad. NOTA El trmino “identidad“ se utiliza aqu, en la intel
44、igencia de que en el contexto de telecomunicaciones se trata de un identificador o conjunto de identificadores digno de confianza, lo que quiere decir que se considera fiable en una determinada situacin para representar a un elemento de red, equipo de terminal de red o usuario, una vez terminado el
45、correspondiente proceso de validacin. Tal como el trmino se utiliza en esta Recomendacin, no se puede concluir que los identificadores dignos de confianza representen la validacin positiva de una persona. 3.1.5 identificador b-UIT-T F.771: Serie de cifras, caracteres y smbolos o cualquier otra forma
46、 de datos, utilizados para identificar una entidad real. Un identificador se utiliza para representar una relacin entre la entidad real y su informacin/atributos en computador. Esta relacin no permite que los usuarios accedan a travs de sus terminales ID a la informacin/atributos de la entidad almac
47、enados en computador. 3.1.6 marcador ID b-UIT-T F.771: Pequeo objeto fsico que almacena una reducida cantidad de informacin, cantidad que constituye un identificador o incluye un identificador con otros datos de aplicacin adicionales, tales como nombre, ttulo, precio y direccin. 3.1.7 terminal ID b-
48、UIT-T F.771: Dispositivo que cuenta con una capacidad de captura de datos de marcadores ID y con otra capacidad, por ejemplo de comunicacin o de presentacin de informacin multimedios. La capacidad de captura de datos puede incluir una funcin que permita obtener el identificador a partir de identificadores ID, incluso sin capacidad de comunicacin, por ejemplo, cdigos de barra y cdigos de barra 2D. Entre los equipos que utilizan tcnicas de captura de datos cabe citar las que consisten en la utilizacin de cmaras digitales, dispositivos de barrido ptico, transpondedores R
