Gran parte de los protocolos de autenticación de usuarios en la nueva era digital, tanto soluciones propietario en manos de empresas como IBM u Oracle, o abiertas como OpenID y OAuth 2.0 están basadas en APIs. Las APIs se han convertido en una pieza clave del engranaje porque abren posibilidades antes poco exploradas.
Gran parte de los protocolos de autenticación de usuarios en la nueva era digital, tanto soluciones propietario en manos de empresas como IBM u Oracle, o abiertas como OpenID y OAuth 2.0 están basadas en APIs. Las APIs se han convertido en una pieza clave del engranaje porque abren posibilidades antes poco exploradas.
La creación de productos de software tiene numerosos aspectos delicados, uno de ellos a buen seguro es la gestión de la identidad (Identity Management – IDM), sobre todo cuando se producen cambios por parte del usuario. Procesos de registro o acceso, modificaciones de información personal… Cualquier elemento dentro de esa gestión puede convertirse en un auténtico quebradero de cabeza para los desarrolladores, en un entorno volátil y con implicaciones en seguridad, donde los robos de identidad son espinosos en sectores como el bancario.
En todo este escenario, las APIs se han convertido en una pieza clave del engranaje porque abren posibilidades antes poco exploradas: por un lado facilitan los procesos de autenticación o, incluso, se convierten en el centro de toda la operativa de negocio. Un ejemplo son las APIs vinculadas a redes sociales como Facebook o Twitter, a partir de las cuales se gestionan los datos personales de todos los perfiles.
BBVA Connect es otro ejemplo de la utilidad de las APIs para la gestión de la identidad. BBVA Connect facilita la experiencia de los clientes del banco en páginas webs o aplicaciones de terceros, asociados con la entidad. Gracias a las APIs, los clientes tienen la opción de compartir sus datos de forma segura e inmediata (sin necesidad de ceder a la aplicación tercera las credenciales de la banca online, siempre gestionadas y custodiadas por BBVA) y los procesos de registro son ágiles y sencillos.
La identidad digital es un paraguas que abarca una gran cantidad de negocios o campos de producción de software: directorios, tarjetas digitales, proveedores de servicios y proveedores de identidad, procesos de autenticación mediante tokens de acceso, administración de contraseñas, control de registro y acceso, OpenID (estándar de autenticación de código abierto de la OpenID Foundation), OAuth (concretamente OAuth 2.0.), SAML (SAML 2.0.), Single sign-on… Son numerosos los ejemplos de protocolos y estándares de identidad digital, que permiten tanto la propia formación de esa identidad como su protección.
Las APIs y la identidad digital
Dentro de la gestión de la identidad y de cómo las APIs han facilitado ese proceso, SCIM (System for Cross-domain Identity Management) es un estándar que en 2011 marcó un camino a seguir. No fue un estándar que revolucionara la industria de la identidad digital, pero sí pone encima de la mesa una ordenación de las mejores prácticas del sector en esta materia. Empresas como Ping Identity, SailPoint, Nexus Group y UnboundID se aliaron con proveedores en la nube como Google, Cisco o Salesforce (uno de los grandes CRM-Customer Relationship Management) para lanzar y promover el protocolo de gestión de identidad en la nube simple.
El Sistema de Gestión de Identidad entre Dominios está diseñado para facilitar ese proceso en aplicaciones que están basadas en esa nube. El objetivo de SCIM es simplificar el desarrollo y la integración de los procesos de autenticación y autorización con plataformas o sistemas ya existentes. El estándar busca una mayor rapidez, un menor coste y una mayor facilidad a la hora de identificar y mover perfiles de usuario dentro y fuera de aplicaciones basadas en la nube.
SCIM está cimentado en una API REST que gestiona información en formato JSON. La API utiliza llamadas habituales como POST (creación de un usuario), GET (leer la información del perfil de un usuario), PUT (sustituir la información personal), DELETE (suprimir el usuario); o PATCH (actualizar los datos del perfil de usuario):
– Create = POST https://example.com/{v}/{resource}
– Read = GET https://example.com/{v}/{resource}/{id}
– Replace = PUT https://example.com/{v}/{resource}/{id}
¿Cómo se codifican los datos de cada usuario en formato JSON? Aquí un ejemplo de objetos SCIM con atributos simples como las cadenas de identificación y nombre de usuario; o atributos complejos como la dirección, email, número de teléfono…
Identidad digital y las soluciones de código abierto
Una de las debilidades de los procesos de identificación digital era el enorme desgaste que se infringía en los usuarios que deseaban autenticarse en varios servicios o plataformas a la vez. Cada proceso de ingreso exigía distintas identidades. Surge así la necesidad de crear protocolos de autenticación centralizada y gestión de políticas. Inicialmente, algunas empresas como IBM u Oracle lanzaron herramientas propietarias (IBM Tivoli Access Manager u Oracle Access Manager). Pero más tarde llegaron protocolos abiertos o de código abierto.
En el marco del opensource destacan OpenID Connect y OAuth 2.0, dos soluciones que han introducido un antes y un después en la gestión de la identidad y los procesos de autenticación en el desarrollo del software. Han permitido la independencia de soluciones de pago e impulsado la democratización a bajo coste. Tanto es así que sectores con un enorme porvenir como el Internet de las Cosas han apoyado gran parte de su desarrollo en protocolos abiertos como OAuth 2.0.
– OpenID Connect: un protocolo abierto que apuesta por la autenticación única de los usuarios y que forma parte de las especificaciones de OAuth 2.0. Permite a los desarrolladores autenticar a usuarios en sitios web a través del navegador (JavaScript) y aplicaciones móviles nativas sin la necesidad de asumir la responsabilidad del almacenamiento y gestión de contraseñas, con todo lo que eso conlleva de asunción de los efectos de perder esa información. Es un proceso de identificación fácil y garantizado. OpenID usa llamadas HTTP y formato JSON para identificar usuarios.
Las especificaciones de OpenID se lanzaron en febrero de 2014 y el programa de certificación OpenID Connect se publicó en abril de 2015. Detrás de ese programa hay compañías tan conocidas como Google, Microsoft, Ping Identity, ForgeRock, Nomura Research Institute o Paypal.
– OAuth 2.0: este marco de protocolo ha supuesto una auténtica revolución dentro de los procesos de gestión de identidad digital en el desarrollo de software. Facilita de una forma sencilla y garantizada un acceso limitado a un servicio HTTP por parte de aplicaciones de terceros, sin necesidad de nombres de usuario y contraseña, a través de token de acceso. Eso es lo que permite no poner en riesgo el uso de los recursos por otros proveedores o clientes cuando se vulnera una contraseña. OAuth 2.0 está disponible para aplicaciones web, aplicaciones de escritorio, teléfonos móviles… Además, este protocolo de autenticación es usado por la mayoría de empresas del sector tecnológico (Google, Twitter, Facebook…) y del Internet de las Cosas.
Recientemente, el poder legislativo en México aprobó la extinción de siete órganos autónomos que desempeñaban funciones clave en sectores tecnificados, como protección de datos personales y competencia económica. Entre las instituciones extintas se encuentran: Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) Comisión Federal de Competencia Económica (COFECE) Instituto […]
En el dinámico mundo de los pagos, ha surgido una nueva estrella en los últimos años: el Buy Now Pay Later (BNPL) es decir, la financiación a corto plazo que permite comprar ahora y pagar después. Este modelo permite a las empresas adquirir bienes o servicios y pagar por ellos en cuotas, a menudo sin […]
La forma a través de la cual se realiza el pago a los proveedores es un elemento a tener en cuenta dentro del departamento de tesorería y gestión de pagos, porque cada tipo de pago presenta sus propias ventajas o se adapta mejor a la estrategia de la empresa, la relación con el proveedor o […]
Por favor, si no lo encuentras, recuerda revisar la sección de correo no deseado
×
El correo electrónico con tu ebook está en camino
Te hemos enviado dos mensajes. Uno con el ebook solicitado y otro para confirmar tu correo electrónico y empezar a recibir la newsletter de BBVA API_Market
×
TRATAMIENTO DE DATOS PERSONALES
¿Quién es el Responsable del tratamiento de tus datos personales?
Banco Bilbao Vizcaya Argentaria, S.A. (“BBVA”), con domicilio social en Plaza de San Nicolás 4, 48005, Bilbao, España, C.I.F. A-48265169 Dirección de correo electrónico: contact.bbvaapimarket@bbva.com
¿Para qué y por qué utilizamos tus datos personales?
Para aquellas de las siguientes actividades para la que nos prestes tu consentimiento marcando la casilla correspondiente:
para la ejecución y gestión de tu solicitud, en concreto, recibir la newsletter de BBVA API_Market por medios electrónicos;
para enviarte comunicaciones comerciales, eventos y encuestas relativas a BBVA API_Market a la dirección de correo electrónico que nos hayas facilitado.
¿Durante cuánto tiempo conservaremos tus datos?
Conservaremos tus datos hasta que te des de baja para dejar de recibir nuestra newsletter o, en su caso, las comunicaciones comerciales, eventos y encuestas a las que te hayas suscrito. Tanto si te das de baja como si BBVA decide finalizar el servicio, tus datos serán eliminados.
¿Cómo puedo darme de baja para dejar de recibir la newsletter y/o comunicaciones de BBVA API_Market?
Puedes darte de baja en cualquier momento y sin necesidad de indicarnos ninguna justificación, remitiendo un correo electrónico a la siguiente dirección: contact.bbvaapimarket@bbva.com
¿A quién comunicaremos tus datos?
No cederemos tus datos personales a terceros, salvo que estemos obligados por una ley o que tú lo consientas previamente.
¿Cuáles son tus derechos cuando nos facilitas tus datos?
Consultar los datos personales que se incluyan en los ficheros de BBVA (derecho de acceso)
Solicitar la modificación de tus datos personales (derecho de rectificación)
Solicitar que no se traten tus datos personales (derecho de oposición)
Solicitar la supresión de tus datos personales (derecho de supresión)
Limitar el tratamiento de tus datos personales en los supuestos permitidos (limitación del tratamiento)
Recibir así como a transmitir a otra entidad, en formato electrónico, los datos personales que nos hayas facilitado y aquellos que se han obtenido de tu relación con BBVA (derecho de portabilidad)
Te responsabilizas de la veracidad de los datos personales que facilitas a BBVA y de mantenerlos debidamente actualizados.
Si consideras que no hemos tratado tus datos personales de acuerdo con la normativa, puedes contactar con el Delegado de Protección de Datos en la dirección dpogrupobbva@bbva.com
Puedes encontrar más información en el documento “Política de Protección de Datos Personales” de esta página web.
×
TRATAMIENTO DE DATOS PERSONALES
¿Quién es el Responsable del tratamiento de tus datos personales?
Banco Bilbao Vizcaya Argentaria, S.A. (“BBVA”), con domicilio social en Plaza de San Nicolás 4, 48005, Bilbao, España, C.I.F. A-48265169 Dirección de correo electrónico:contact.bbvaapimarket@bbva.com
¿Para qué y por qué utilizamos tus datos personales?
Para la ejecución y gestión de tu solicitud, en concreto, descargar el e-book/s solicitado.
BBVA informa te informa de que, salvo que indiques tu oposición enviando un correo a la siguiente dirección:contact.bbvaapimarket@bbva.com, BBVA podrá enviarte comunicaciones comerciales, encuestas y eventos relativas a productos y/o servicios de BBVA API Market a través de medios electrónicos.
¿Durante cuánto tiempo conservaremos tus datos?
Conservaremos tus datos mientras sea necesario para la gestión de la solicitud, así como para el envío de comunicaciones comerciales, eventos y/o, encuestas. BBVAconservará tus datos hasta que te des de baja para dejar de recibir dichas comunicaciones o, en su caso, hasta que finalice el servicio.Después, destruiremos tus datos.
¿Cómo puedo darme de baja para dejar de recibir newsletters y/o comunicaciones de BBVA API Market?
Puedes darte de baja en cualquier momento y sin necesidad de indicarnos ninguna justificación, remitiendo un correo electrónico a la siguiente dirección:contact.bbvaapimarket@bbva.com
¿A quién comunicaremos tus datos?
No cederemos tus datos personales a terceros, salvo que estemos obligados por una ley o que tú lo consientas previamente.
¿Cuáles son tus derechos cuando nos facilitas tus datos?
Consultar los datos personales que se incluyan en los ficheros de BBVA (derecho de acceso)
Solicitar la modificación de tus datos personales (derecho de rectificación)
Solicitar que no se traten tus datos personales (derecho de oposición)
Solicitar la supresión de tus datos personales (derecho de supresión)
Limitar el tratamiento de tus datos personales en los supuestos permitidos (limitación del tratamiento)
Recibir así como a transmitir a otra entidad, en formato electrónico, los datos personales que nos hayas facilitado y aquellos que se han obtenido de tu relación con BBVA (derecho de portabilidad)
Puedes ejercitar ante BBVA los citados derechos a través de la siguiente dirección:contact.bbvaapimarket@bbva.com
Te responsabilizas de la veracidad de los datos personales que facilitas a BBVA y de mantenerlos debidamente actualizados.
Si consideras que no hemos tratado tus datos personales de acuerdo con la normativa, puedes contactar con el Delegado de Protección de Datos de BBVA en la dirección dpogrupobbva@bbva.com
Puedes encontrar más información en el documento “Política de Protección de Datos Personales ” de esta página web.
Banco Bilbao Vizcaya Argentaria, S.A. titular de este portal utiliza cookies y/o tecnologías similares propias y de terceros para fines técnicos, de personalización, analíticos, de publicidad comportamental o publicidad relacionada con tus preferencias sobre la base de un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Si deseas obtener información más detallada, consulta nuestra Política de Cookies.
Panel de configuración de cookies
Este es el configurador avanzado de cookies propias y de terceros. Aquí puedes modificar parámetros que afectarán directamente a tu experiencia de navegación en esta web.
Cookies técnicas (necesarias)
Estas cookies son importantes para darte acceso seguro a zonas con información personal o para reconocerte cuando inicias sesión.
Denominación
Titular
Duración
Finalidad
gobp.lang
BBVA
1 mes
Preferencia de idioma
aceptarCookies
BBVA
1 año
Configuración Cookies aceptadas
_abck
BBVA
1 año
Ayuda a protegerse contra los ataques de sitios web maliciosos
bm_sz
BBVA
4 horas
Ayuda a protegerse contra los ataques de sitios web maliciosos
ADRUM_BTs
Salesforce Marketing Cloud
Sesión
Requerido para la supervisión del servicio, inherente al SFMC
ADRUM_BT1
Salesforce Marketing Cloud
Sesión
Requerido para la supervisión del servicio, inherente al SFMC
ADRUM_BTa
Salesforce Marketing Cloud
Sesión
Requerido para la supervisión del servicio, inherente al SFMC
ADRUM_BT
Salesforce Marketing Cloud
Sesión
Requerido para la supervisión del servicio, inherente al SFMC
xt_0d95e
Salesforce Marketing Cloud
Sesión
Recordar las preferencias del usuario (si las hay)
__s9744cdb192d044faa1bf201d29fafd1e
Salesforce Marketing Cloud
Sesión
Recordar las preferencias del usuario (si las hay)
wpml_browser_redirect_test
WPML
Sesión
Traducción de textos del portal
wp-wpml_current_language
WPML
24 horas
Traducción de textos del portal
Permiten medir, de forma anónima, el número de visitas o la actividad. Gracias a ellas podemos mejorar constantemente tu experiencia de navegación.
Dispones de una mejora continua en la experiencia de navegación.
Con tu selección no podemos ofrecerte una mejora continua en la experiencia de navegación.
Denominación
Titular
Duración
Finalidad
AMCV_***
Adobe Analytics
Sesión
ID de visitante único que se usan en las soluciones de Marketing Cloud
AMCVS_***
Adobe Analytics
2 años
ID de visitante único que se usan en las soluciones de Marketing Cloud
demdex (safari)
Adobe Analytics
180 días
Crear y almacenar identificadores únicos y persistentes
sessionID
Adobe Analytics
Sesión
Cookie interna de Launch usada para identificar al usuario
gpv_URL
Adobe Analytics
Sesión
plugin Adobe Analytics: getPreviousValue Capturar el valor de una determinada variable en la siguiente vista de página, en este caso la prop1
gpv_level1
Adobe Analytics
Sesión
Cookie utilizada para almacenar el levl1 del DataLayer de la página anterior.
gpv_pageIntent
Adobe Analytics
Sesión
Cookie utilizada para almacenar el pageIntent de la página anterior.
gpv_pageName
Adobe Analytics
Sesión
Cookie utilizada para almacenar el pagename de la página anterior.
aocs
Adobe Analytics
Sesión
Cookie que almacena los primeros valores recogidos al inicio de un proceso.
TTC
Adobe Analytics
Sesión
Cookie usada para almacenar el tiempo transcurrido entre el evento App Page Visit y App Completed.
TTCL
Adobe Analytics
Sesión
Cookie usada para almacenar el tiempo transcurrido entre el evento LogIn y App Completed.
s_cc
Adobe Analytics
Sesión
Determinar si las cookies están activas
s_hc
Adobe Analytics
Sesión
Cookie usada por Adobe con propositos de analítica.
s_ht
Adobe Analytics
Sesión
Cookie usada por Adobe con propositos de analítica.
s_nr
Adobe Analytics
2 años
Determinar el número de visitas de usuario
s_ppv
Adobe Analytics
Persistente
plugin Adobe Analytics: getPercentPageViewed Determinar el procentaje de página que visualiza un usuario
s_sq
Adobe Analytics
Sesión
Funcionalidades ClickMap/ActivityMap
s_tp
Adobe Analytics
Sesión
Cookie usada por Adobe con propositos de analítica.
s_visit
Adobe Analytics
2 años
Cookie usada por Adobe para saber cunado una sesión se ha iniciado.
Permiten que la publicidad que te mostramos sea personalizada y relevante para ti. Gracias a estas cookies no verás anuncios que no te interesen.
Dispones de una publicidad adaptada a ti y a tus preferencias.
Con tu selección pierdes la personalización de la publicidad, solo verás anuncios genéricos.
Denominación
Titular
Duración
Finalidad
OT2
VersaTag
90 días
Cookie de VersaTag usada para almacenar un id de usuario y el numero de visitas del usuario.
u2
VersaTag
90 días
Cookie de VersaTag en la que se almacena el ID del usuario
TargetingInfo 2
MediaMind
1 año
Cookie que sirve para asignar un número unico random que genera MediaMind.
Estas cookies están relacionadas con características generales como, por ejemplo, el navegador que utilizas.
Dispones de una experiencia y contenidos personalizados.
Con tu selección no podemos ofrecerte una navegación y contenidos personalizados.
Denominación
Titular
Duración
Finalidad
mbox
Adobe Target
9 días
Cookie usada por Adobe Target para hacer test de personalizacion de experencia del usuario.
×
Parece que estás navegando desde México, así que vamos a mostrarte el contenido personalizado para tu localización. Cambiar
Parece que estás navegando desde España, así que vamos a mostrarte el contenido personalizado para tu localización. Cambiar
Selecciona el país
Para poder acceder al área privada y sandbox correspondiente, selecciona el país de las APIs que quieres utilizar.
×
×
×
Preferencias de Navegación
Elige el país del que quieres que te mostremos su contenido por defecto.