febrero 2021

  Escrito por Raúl Garvía Izquierdo, Arquitecto de soluciones de Cálculo, una compañía de Sapiens.   El siguiente artículo es el primero de tres, en los que pretendo presentaros JWT y cómo usarlo para la autorización de recursos en entornos web. JSON Web Tokens (JWTs) son objetos JSON (Javascript Object Notation) que se usan para enviar información entre partes, normalmente un cliente web y un servidor, de manera segura. La especificación de JSON define la forma de crear objetos de texto plano en formato clave-valor. Por otra parte, JWT (publicado en RFC 7519) define un método para encapsular y compartir aserciones (claims) de manera segura utilizando los objetos JSON. Los principales casos de uso de JWT son: proveer de mecanismos de identificación de usuarios, proveer de mecanismos de autorización de acceso a recursos, intercambio seguro de datos privados, intercambios de datos de sesión entre cliente y servidor, etc. Qué son los JWT Son objectos JSON que están compuestos por cabecera (“header”), cuerpo (“payload”) y firma (“signature”). Payload Es el cuerpo del JWT y es un objeto json con la información enviada entre cliente y servidor, donde residen las aserciones mencionadas anteriormente (“claims”). Un ejemplo de payload podría el siguiente: { "name": "Juan", "user": "juan_garcia", "email": "juan_garcia@undominio.es", "admin": true }   En este caso vemos información relacionada con un usuario, pero podría ser cualquier tipo de información a intercambiar entre un cliente y un servidor. No hay restricciones sobre la información a intercambiar, pero es importante saber que los JWT no están encriptados por lo que cualquier persona que intercepte el token podría leer su contenido. Por ello, es importante que la transmisión del token se realice sobre una conexión segura (https) y no indicar información sensible del usuario. Hay tres clases de nombres de aserciones: registrados, públicos y privados. Nombres Registrados. Están incluidos en el registro IANA “JSON Web Token Claims” que está establecido en la definición de JWT. No son obligatorios, pero son un buen punto de partida como conjunto de nombres útiles. Al ser abreviaturas se consigue el objetivo de representación compacta propia de JWT. Estos nombres son: "iss" (Issuer) Claim: Creador del token. "sub" (Subject) Claim: Sujeto del token. "aud" (Audience) Claim:  Audiencia del token (a quien va dirigido). ”exp" (Expiration Time) Claim: Tiempo de expiración. "nbf" (Not Before) Claim: No antes de (tiempo desde que debe ser aceptado). "iat" (Issued At) Claim: Creado a (tiempo en el que fue creado). "jti" (JWT ID) Claim: JWT Id (identificador único). Nombres Públicos Son nombres personalizados pero públicos. Para evitar colisiones se recomienda que sean registrados en IANA JSON Web Token Registry.                    Nombres Privados Productores y consumidores de un JWT pueden acordar usar nombres de aserciones que son privados entre ellos. Header Describe las operaciones criptográficas aplicadas al JWT. Un ejemplo de cabecera sería: {   "alg": "HS256",   "typ": "JWT" } En este caso, podemos ver que el algoritmo usado para la firma del JWT es HS256. El receptor necesita saber qué firma/algoritmo se ha usado para así realizar la verificación. Signature: El contenido del payload es validado por el receptor de la información revisando la firma (signature). Es un Código de Autenticación

  Sum.cumo, una empresa de Sapiens, está apoyando al Centro de Vacunación de Hamburgo con su propio software y acelerando el proceso en el puesto de vacunación mediante la digitalización.     En el plazo de un mes, han programado el software panex, que ya se está utilizando en las salas de exposiciones de Hamburgo donde se realizan las vacunaciones. El objetivo de panex es automatizar el proceso de cada uno de los puestos del centro de vacunación respetando estrictamente la normativa de protección de datos de los pacientes y, por tanto, siendo capaz de registrar alrededor de 7.000 vacunas diarias. Los datos recogidos se transmiten al Instituto Robert Koch (RKI) para el seguimiento de la vacunación. Esto acelera los procesos del puesto de vacunación y optimiza la documentación para el seguimiento por parte del RKI.   ¿Qué ofrece la plataforma panex? Una vez que la persona que se va a vacunar se ha registrado en la zona de entrada y se ha comprobado su invitación al proceso de vacunación, panex genera un registro de datos, así como un código QR personalizado que incluye una hoja de ruta. De esta forma, se facilita el registro de las fases por las que la persona debe pasar. A continuación, mediante el escaneo del documento, se realiza un seguimiento electrónico de cada vacunación en el centro -sólo en el centro de vacunación-, donde se recogen datos como la identidad, la posibilidad de vacunación, el historial médico, la educación, la hora de vacunación, el médico, el lugar de vacunación y las posibles complicaciones. Por último, los datos de las páginas cumplimentadas y escaneadas se digitalizan mediante OCR.   ¿Cómo se utilizan nuestras soluciones técnicas? El proyecto ha sido desarrollado por sum.cumo, una empresa de Sapiens, utilizando modernos marcos de software que garantizan un funcionamiento seguro y de alta frecuencia. El uso de panex es exclusivamente dentro de las salas de exposición. Los datos de los pacientes se almacenan en la red local del Centro de Vacunación de Hamburgo, sólo con los datos de seguimiento de la vacunación. Durante el desarrollo de panex se garantizó el cumplimiento consecuente del Reglamento de Protección de Datos (GDPR) de la UE. Además, se asegura la supervisión del funcionamiento del software y de la base de datos durante todo el periodo de vacunación, siendo capaces de eliminar posibles errores lo antes posible y garantizando un proceso sin problemas.   Como empresa digital, nos preocupa especialmente poder apoyar la vacunación a tiempo y, por tanto, la protección de la población contra las enfermedad Covid-19 de la mejor manera posible con este importante proyecto. A través de panex, los procesos en el centro de vacunación se optimizan significativamente, en comparación con la documentación convencional en papel, la transferencia de datos al RKI se acelera significativamente a través de la digitalización.   Artículo escrito por Björn Freter, CEO de Sum.cumo   Acerca de Sapiens Sapiens International, presente en España tras la compra de Cálculo SA en 2019, facilita a las aseguradoras el éxito en un sector cambiante y en evolución. Ofrece plataformas de software digital, soluciones y servicios para