Noticias
El CCII desarrolla, junto a la AEPD, un sistema de limitación de contenidos mediante verificación de la edad
El Consejo General de Colegios Profesionales de Ingeniería Informática en España desarrolla, junto a la Agencia Española de Protección de Datos, un sistema de limitación de contenidos mediante verificación de edad en dispositivos móviles. Esta aplicación ya se encuentra en funcionamiento en IoS y está previsto que en el mes de enero se lance en Android. Todo ello fue presentado el pasado jueves 14 de diciembre, durante el acto del 30 aniversario de la AEPD.
Para la puesta en marcha de esta aplicación, desde el CCII se han tenido en cuenta tres factores: la fiabilidad del sistema, la sencillez de uso y la garantía de que los datos de identidad nunca salgan del dispositivo móvil del usuario.
Esta herramienta permite almacenar la identidad de un ciudadano partiendo de la lectura NFC de un documento electrónico de identidad -DNIe, pasaporte, NIE o cualquier documento de otros países que cumpla las normas ICAO, normas que proponen unas exigencias a nivel mundial para que sus fotos de identificación sean infalsificables y no puedan ser sustituidas- y acreditar que el usuario es mayor de cierta edad. La identidad se almacena tras asegurar que es un documento válido y asegurar mediante biometría -comparación de rostro- o uso del certificado del DNIe -conociendo su PIN y teniendo el certificado vigente- que el usuario es el propietario del documento electrónico de identidad utilizado. Solamente se puede acceder a la app y por tanto a la identidad mediante el uso de biometría en el teléfono, es decir, mediante la huella y el rostro.
Para el presidente del CCII, Fernando Suárez, esta aplicación "mantiene todas las garantías para que los datos de identidad salgan del teléfono móvil". Además, destaca, "los aspectos más importantes son la fiabilidad, es decir, que el usuario del documento es quien dice ser; que los datos no salgan del dispositivo en ningún momento a terceros y que el acceso se realiza mediante biometría".
El primer paso consiste en la creación de identidad del usuario en el almacenamiento seguro del teléfono. Mediante una comunicación por NFC, el teléfono del usuario podrá leer los datos almacenados en su documento electrónico de identidad para poder utilizarlos en su teléfono para acreditar su edad. Para ellos, el documento debe estar vigente en el momento de la lectura para permitir continuar con el proceso. Además, el sistema realizará una autenticación pasiva de los datos ICAO leídos para asegurar que la etiqueta NFC utilizada es un documento oficial, verificando las firmas de los elementos del mismo y comprobando que el certificado público está incluido en los certificados de confianza de la app de validación
Posteriormente se realizará la validación de la identidad del usuario. En este paso el usuario debe acreditar ser el dueño del documento que se ha leído. Para ello existirán dos opciones de validación:
• Firma electrónica del DG1 del documento leído con el certificado de firma incluido en el documento electrónico de identificación. Esta opción sólo estará disponible en aquellos documentos que incluyan certificados digitales, como puede ser el DNIe español.
• Comparación biométrica del rostro. Se realizará desde el teléfono sin enviar ninguna información a ningún servicio externo y consistirá en comparar la foto leída del documento electrónico de identidad con un selfie que realizará el usuario.
Para ello es clave que la identidad se almacene en el enclave seguro del teléfono. Tras realizar los pasos anteriores, se almacenará en el enclave seguro del teléfono la identidad que se ha leído. Estos datos no saldrán del teléfono en ningún caso y el acceso a los mismos solo se podrá realizar mediante el uso de biometría en el dispositivo, bien a través de la huella o bien a través del rostro.
Después se realizará la apertura de la app tras llamada de app de servicio de internet. La app de validación de edad podrá abrirse directamente por el usuario, pulsando sobre ella para consultar los datos disponibles en ella o configurar su identidad, pero podrá ser abierta mediante el uso de un enlace profundo a petición de una app de servicio de internet que requiera la validación de edad y que deberá enviar los parámetros necesarios para realizar dicha validación. En este caso, siempre se solicitará al usuario su voluntariedad y permiso para acreditar la edad, es decir para usar la verificación de edad, e informará de manera transparente al usuario de que una app está solicitando la verificación de edad.
Una vez recibida la solicitud de validación de edad del usuario por parte de una app de servicio de internet, la app de validación de edad debe comprobar que el identificador enviado el los parámetros de consulta se corresponde con uno de los identificadores autorizados por la app. En caso de tratarse de una app autorizada, se realizarán las comprobaciones oportunas y, en caso de cumplirse la acreditación de la edad solicitada, se realizará una llamada al enlace profundo correspondiente a la app que haya realizado la petición de validación de edad. En caso contrario la app que efectuó la petición de validación recibirá un estado “no existe acreditación de mayoría de edad".