Así avanza el proyecto Alastria ID
Por: Carlos Pastor y Moisés Menéndez
Abril ha sido clave para Alastria.ID, tanto por los avances en la definición del Proyecto, como por la difusión y conocimiento de la propuesta, no solo en el ámbito del Consorcio, sino con los propios reguladores.
El 3 de abril, Moisés Menéndez (ICADE/EVERIS) presentó el primer planteamiento de Alastria.ID al grupo de trabajo integrado por CNMV, TESORO, Banco de España, DG de Seguros, ICO, SEPBLAC y la Agencia de Protección de Datos. Posteriormente hemos mostrado también nuestro modelo de identidad, durante la reunión de la Financial Action Task Force (FATF) celebrada el 23 en la Sede de Naciones Unidas en Austria. Carlos Pastor (BME) y Leopoldo González Echenique (Herberth Smith) fueron los encargados de exponer la visión general de Alastria.ID. Esta convocatoria fue un hito de gran relevancia para Alastria y para el proyecto de identidad, en particular dada la confianza y credibilidad que ha merecido por parte del regulador nuestra primera propuesta.
Sesión plenaria para presentación del primer planteamiento del modelo
Poco después, el 25 de abril, tuvimos ocasión de celebrar una reunión plenaria del grupo de expertos y personas para presentar la situación del Proyecto y facilitar la coordinación con cada una de las áreas de trabajo que se están promoviendo.
Más de 80 personas están participando en estas actividades, representando todos los sectores del Consorcio, tanto empresas, como administración pública, organizaciones como los Registradores o el Consejo de la Abogacía, que ha anunciado su próxima incorporación.
En los siguientes links se puede acceder a las presentaciones utilizadas para informar de la situación del Proyecto en esta reunión.
· Informe estado del Proyecto:
- Link : Presentación del grupo de Trabajo de Alastria.ID
· Modelo Técnico:
- Link 1 GitHub de Identidad Alastria
- Link 2 Definición funcional general y diagramas temporales
- Link 3 Definición funcional detallada
Estos fueron los aspectos más relevantes del estado del Proyecto presentado en estas reuniones:
1. Concreción del Modelo conceptual.
Son muy relevantes los condicionantes de regulación que deben considerarse para la definición de un modelo de identidad. En particular están resultando determinantes de la solución propuesta las normas sobre:
· Privacidad, con todos los requerimientos que supone el Reglamento GDPR,
· EIDAS, importante como marco de referencia para plantear la universalización e interoperabilidad de la propuesta,
·Normas de la prevención del blanqueo de capitales, por los requerimientos en las medidas de identificación y conocimiento de los usuarios que imponen.
El modelo que estamos planteando de identidad se estructura sobre los siguientes elementos:
· Información soportada por el modelo.
·Intervinientes, participan en el modelo.
·Infraestructura Alastria ID.
Información soportada por el modelo, en todo momento bajo control absoluto del usuario:
o Datos del usuario. Basados en modelos y estándares, inicialmente se está utilizando la propuesta http://schema.org/Person que podremos ir ampliando, integrando nuevos estándares, como por ejemplo los DIDs planteados por W3C según se vayan necesitando en un futuro.
o Testimonios (attestations). Los datos tendrán diferentes niveles de seguridad en función a su confirmación y verificación por las propias entidades participantes en el modelo y las autoridades y terceros de confianza. Estos niveles, de 0 a 4, (levels of assurance) asimilan los criterios EIDAS condicionados por el tipo de verificación que se haya producido sobre el dato.
o Alegaciones (claims). Las peticiones de información al usuario desde cada servicio que utilice Alastria.ID como mecanismo de identificación y firma configuran las alegaciones. Estas serán diferentes por tipo de servicio y requerimientos legales en su caso (KYC y PBCs).
o Clave Privada y Pública. Bajo control absoluto del usuario y que se convierten en el mecanismo fundamental de control y acceso al sistema.
· Intervinientes que participan en el modelo:
o El Usuario. Como persona independiente o dependiente (representando una organización). Es el controlador real de toda a la información, datos, testimonios y la documentación vinculada.
o Los prestadores de servicio. Como personas y organizaciones ante los que el usuario debe identificarse y facilitar los datos que configuran cada alegación (claim).
o Los emisores de testimonios o verificadores. Los propios miembros y autoridades y terceros de confianza que verifican y testimonian los datos del usuario.
o Ecosistema Alastria. En proceso de análisis, la entidad o entidades que permiten la operación del modelo.
· Infraestructura Alastria.id presentaría la siguiente estructura y actividad:
o Aplicación: a través de la que el usuario interactúa con Alastria ID, almacena y custodia la llave privada y controla el repositorio de datos personales.
o Repositorio. En un repositorio off-chain, de elección y bajo control por el usuario se administrarían y almacenarían los elementos de información del modelo: claves, alegaciones, testimonios y documentos asociados, que podrían ser igualmente verificados.
o Blockchain Alastria: en la que se almacenan la clave pública del usuario y los hashes de los testimonios y alegaciones (evidencias de existencia que impiden la alteración), así como las revocaciones de los mismos. Nunca se almacenan directamente los propios datos personales.
2. Planteamiento tecnológico del primer MPV
El modelo está afectado por importantes y relevantes condicionantes que han obligado a una infraestructura muy particular. A los efectos del planteamiento del MPV se está trabajando como referencia con una versión de uPort. Con importantes adaptaciones para maximizar la funcionalidad cumpliendo con los requisitos funcionales y regulatorios.
El primer grupo de Smart Contracts que gestiona el sistema se encuentran desplegados en la infraestructura de pruebas y la segunda versión publicada en los repositorios técnicos.
Se está trabajando de manera concreta en el user experience y diferentes casos de usuario a los efectos de definir la aplicación que operaría el sistema.
3. Organización y actividades clave
El proyecto tiene muchas dimensiones y facetas de trabajo que han aconsejado la organización de los siguientes grupos:
· Organización. Este Grupo iniciará su actividad próximamente, una vez completada la fase de definición y su validación por los demás Grupos de trabajo y se tenga una comprensión de los requerimientos que va a implicar a nivel organizativo la operación de la aplicación. Igualmente, desde este grupo se promoverán los acuerdos de interoperabilidad de la solución con el objetivo de facilitar su adopción real por las Entidades del Consorcio.
· Funcionalidad y Experiencia de usuario. El objetivo es plantear los casos de uso que faciliten la implementación de los casos más relevantes y habituales de utilización de Alastria.ID. Básicamente se está centrando en la definición de APP móvil y las características de alegaciones principales según tipología de servicio ante el que identificarse o interactuar.
· Legal. Son tres los niveles del trabajo que se están desarrollando. En primer lugar, el marco general que regula todo el modelo. Mucho más específico es el apartado EIDAs en el que el equipo legal “core” se está centrando en establecer el marco asimilable a esta regulación europea y que facilitaría su adopción e interoperabilidad. Por último, la complejidad de las implicaciones GDPR ha obligado a organizar a nivel del Comité Legal de Alastria un grupo específico que también esta participando en la revisión del modelo de Alastria.ID desde sus implicaciones en este polémico ámbito.
· Tecnología. De manera completamente coordinada con el Comité de Tecnología de Alastria, se está trabajando en la propuesta de la solución técnica, como hemos señalado, inicialmente inspirada en Sovrin, Evernim y uPort, de quienes contamos con soporte.
Como señalábamos al principio, abril ha sido positivo en la evolución del Proyecto. Hemos fijado el modelo y hoja de ruta para poder disponer del primer MPV de Alastria ID y continuamos con los trabajos técnicos de implementación.
