La identidad digital de Alastria presenta su primer MVP

Tras casi un año de intenso trabajo, la Comisión de Identidad ha completado la primera implementación de referencia de los flujos de intercambio de datos definidos en el modelo Alastria_ID.

Este primer producto mínimo viable (MVP) está disponible para su consulta y uso en el github de Alastria e incluye las implementaciones de referencia de todos los elementos y actores que participan en el ciclo de vida de la información personal: emisor de credenciales, la función del usuario que recibe las credenciales utilizando un wallet en el móvil y el rol del proveedor de servicios.

El trabajo de construcción de este primer MVP recibió un fuerte impulso en abril de 2019 y finalizó en febrero 2020, gracias al trabajo colaborativo de un equipo de profesionales dedicados a Alastria por los socios para abordar el desarrollo de las piezas de software con un enfoque iterativo e incremental, basándose en el modelo definido previamente.

La Comisión de Identidad viene trabajando desde 2018 en la definición y validación del modelo de Alastria_ID, articulando dicho trabajo en tres ejes: funcional, técnico y legal-organizacional. El proceso de definición se apoyó también en la construcción de diversos elementos de software para demostrar el funcionamiento del modelo conceptual, entre ellos los smart contract de registro y ejemplos de uso limitados.

Ahora, con la primera versión del MVP, el equipo core ha completado las implementaciones de referencia de los elementos de software necesarios para cubrir las necesidades de cada uno de los actores del proceso (emisor, usuario y prestador de servicios) con el objetivo de demostrar que el modelo funciona y que se puede construir de forma sencilla y con tecnología disponible.

Para facilitar el uso de los Smart Contracts de registro y la construcción, validación y proceso de las credenciales y de las presentaciones, se ha construido una librería completa que expone una API fácil de usar que se usan directamente desde el wallet. Además, para construir implementaciones de referencia del emisor y prestador de servicios se ha definido e implementado una capa de servicios (swagger) que expone un conjunto de servicios que facilita la construcción de diversos casos de uso.

Para el MVP se ha utilizado como ejemplo el proceso de alquiler en línea de un coche. En este caso, la empresa de alquiler de vehículos (prestador de servicios) solicita al usuario tres datos: 1) carnet de conducir tipo B, 2) una tarjeta de crédito y 3) demostrar que el usuario es mayor de 25 años para aplicar un descuento. El usuario debe enviar esta información a la empresa de alquiler y para ello utiliza Alastria_ID y pide en ese momento a los emisores (o ya tiene en su wallet en ese momento) que certifiquen que el usuario cumple con estas condiciones: la autoridad de tráfico envía al usuario la credencial sobre su carnet de conducir; el banco de que tiene una tarjeta de crédito y la policía o el ayuntamiento de que es mayor de 25 años. El usuario desde su wallet realiza una “presentación” de las mismas por un canal seguro directamente a la empresa de alquiler. La empresa recibe las credenciales, las valida y procede a facilitar el coche. Todo este proceso se puede hacer directamente online sin necesidad de registro previo ni comprobación de los documentos originales por parte de la empresa de alquiler.

Todos estos flujos de información entre los actores se registran en la blockchain con diferentes smart contracts: el emisor cuando emite la credencial llama a un smart contract para registrar la emisión, el usuario registra en la blockchain que ha recibido la misma credencial; el usuario “envuelve” las credenciales en una presentación (la presentación es como el sobre que contiene las credenciales), indicando para qué las entrega y la fecha de validez, lo firma y registra que ha enviado la presentación; por último el proveedor de servicio comprueba que las credenciales son válidas, consultando el registro efectuado por los emisores de las mismas, y a continuación registra que ha recibido la presentación (el sobre con las credenciales).

El registro en la blockchain facilita el proceso comprobación de la validez de las credenciales sin necesidad de contacto directo entre el prestador del servicio de alquiler y los emisores, mejorando la comodidad y privacidad del usuario, a la vez que reduce el coste y aumenta las garantías para la empresa.

Además, el registro en blockchain facilita la revocación de las credenciales por parte de los emisores y la retirada (petición de borrado) de los datos personales a los usuarios. En caso, por ejemplo, de perdida, robo o retirada de la tarjeta de crédito por parte del banco al usuario, la entidad bancaria puede revocar esa credencial, que la empresa de alquiler no aceptará. Por su parte, el usuario puede pedir que se borre una presentación (con todas las credenciales) enviada a la empresa de alquiler, devolviendo al usuario el control exclusivo de su información, de forma rápida y sin la necesidad de cumplimentar ningún documento que de fe de esta solicitud, ni requerir la colaboración de la empresa de alquiler de coches, ya que la misma queda registrada en la blockchain.

Disponer del MVP es un importante logro para el proyecto de identidad digital de Alastria, no sólo para todos los socios que pueden utilizar las implementaciones de referencia para el desarrollo de soluciones comerciales para ellos mismos o sus clientes, sino también a nivel europeo. Recordemos que el modelo de identidad de Alastria ha sido introducido recientemente en la UNE donde está evolucionando de una norma “facto” a una norma formal y se ha elevado también a CEN/CENELEC e incluso ha servicio de inspiración para la ESSIF, la iniciativa de identidad descentralizada de la Comisión Europea dentro del programa EBSI. De hecho, el modelo Alastria_ID está siendo utilizado como estándar en algunos proyectos puestos en marcha por los socios, entre ellos Vottum, Validated ID y everis y el proyecto Digitalis.

En el caso de las implementaciones de referencia que conforman este primer MVP, la Comisión Europea también está analizando el código para utilizarlo como base para construir una implementación que esté disponible próximamente a nivel europeo.

La Comisión de Identidad afronta ahora el reto de construir un MVP2 para incorporar mejoras relativas a privacidad, rendimiento y experiencia de usuario. En la reunión prevista para el próximo 10 de marzo se presentará un primer análisis de todas las mejoras técnicas, funcionales y regulatorias-organizacionales. Dicha propuesta se refinará con todos los socios que quieran participar en los equipos de trabajo. Todas las propuestas se contrastarán con los estudios más recientes sobre RGPD, identidad y regulación europea en blockchain para identificar cuáles de ellas deben ser incorporadas para mejorar el ejercicio de los derechos de los usuarios en materia de protección de datos, de forma sencilla, fácil y evidenciable.

Se espera tener el MVP2 en un periodo de 6 meses, para cuyo cumplimiento es necesaria la máxima colaboración de los socios. En esta nueva versión se profundizará en la gobernanza en la identidad y Trust Framework; refuerzo de la privacidad como la utilización de pairwise or peer-to-peer DIDs, Zero Knowledge Proofs, mecanismos que garanticen la no trazabilidad en las consultas en blockchain para maximizar la privacidad, wallet con almacenamiento distribuido, y mecanismos de recuperación de claves y de identidad en caso de pérdida o robo. Para lograrlo, el grupo core aspira a contar con más socios que se sumen al trabajo colaborativo de la comisión siguiendo la metodología scrum, cuyas reuniones se mantienen de forma virtual todas las semanas y de manera presencial en los cambios sprint (cada 2 o 3 semanas), combinado con la utilización de slack y el repositorio github para la comunicación diaria.

Este importante resultado no hubiera sido posible sin el compromiso de los socios que han dedicado tiempo y recursos profesionales tanto para la definición y revisión del modelo de identidad como para el desarrollo de las implementaciones de referencia del MVP.

A riesgo de que alguno de los colaboradores se quede en el tintero y pidiendo de antemano disculpas por cualquier omisión, queremos agradecer especialmente las contribuciones de aquellos que han participado muy activamente en este proyecto:

  • En el aspecto legal, agradecemos especialmente las contribuciones de Andrea Ortega (Cuatrecasas), Sara Esclapés (Grant Thornton) y Sara Midori Martínez (HSF), junto a Ignacio Alamillo (Astrea), Leopoldo González Echenique (HSF), Julián Inza (EAD Trust), Alvaro Bourkaib (Cuatrecasas) y Miguel Ruiz Gallardón (Notario).
  • En la definición funcional y comparativa con otros modelos, el diseño de la Experiencia de usuario (UX) y la implementación del Wallet, destacan las aportaciones de Eva Fernández (Caixabank), Rony Demera (Tribalyte), Álvaro Gómez (Tribalyte), Samuel Sánchez (colaborador en Banco Santander) y Paula Pascual Cortes (Banco Santander), además de otros muchos socios que participaron en la definición de los primeros casos de uso.
  • A nivel técnico merece mención especial el trabajo de Eduardo Sánchez Mata (everis), Íñigo García de Mata (Grant Thornton), Marcos Serradilla (everis/ioBuilders), Juan Tavira (Banco Santander), Daniel de la Sota (colaborador en Banco Santander), Samuel Sánchez (colaborador en Banco Santander), María Salgado (IECISA), Roberto García Álvarez (IECISA) y Víctor Nieves (IECISA), además de otras muchas personas de distintas compañías que participaron en las primeras reuniones de diseño del modelo Alastria ID.
  • Apoyando con la metodología scrum destacan Marta Pastor (everis), Delia Estebaranz (Siag), Virginia Jiménez (Everis) y Juan Luis Gozalo (DevOps director de Alastria).
  • Por último señalar la colaboración entre las comisiones de Identidad y la de Estándares, en particular Ismael Arribas (Kunfud), Ignacio Alamillo (Astrea), Eusebio Felguera (Telefónica) y Miguel García Menéndez (Alastria) para posicionar el modelo Alastria ID como estándar “de facto” proponiéndolo como base para un estándar formal europeo.

Es de agradecer la ayuda de todos los miembros de la Junta Directiva que han apoyado este trabajo; merecen especial mención el primer sponsor de la Comisión de Identidad Moisés Menéndez (Everis/Iobuilders) y Coty de Monteverde (Banco Santander) que es la actual sponsor; también agradecemos la aportación del líder de la Comisión, Carlos Pastor (BME), y la todos los responsables de los socios que han impulsado la participación desinteresada de sus profesionales en la comisión, entendiendo la importancia de este proyecto para Alastria y para la adopción masiva de la tecnología blockchain en España y Europa.

A todos ¡GRACIAS! Y a los demás, os invitamos a sumaros a la Comisión de Identidad para seguir siendo pioneros en el uso de las tecnologías blockchain a nivel nacional e internacional.

The first Public-Permissioned Blockchain network in Spain and Europe with multisectorial associates. Alastria is a non-profit association.

The first Public-Permissioned Blockchain network in Spain and Europe with multisectorial associates. Alastria is a non-profit association.