Servicios de AUTENTICACION de USUARIOS en banca on line y transacciones a través de Internet. Mecanismos y. Conozca las claves para establecer

Publicación Oficial

IT & TELECOMS

w w w . i i r . e s

26 y 27 de JUNIO de 2007

Hotel NH SANVY

MADRID

Conozca las claves para establecer

en banca on line y transacciones a través de Internet

Mecanismos

y

Servicios

de

AUTENTICACION

de

USUARIOS

¿Qué fue lo que tuvo más dificultad?

¿Cuáles fueron los aciertos y cuáles los errores?

¿Qué medidas tomar para ahorrar tiempo y costes?

... y mucho más

Portales Oficiales

Producido y desarrollado por

INTENSIVO

Seminario

4

Módulos de Formación Intensiva

3

Instructores Expertos

Julián Inza

ALBALIA INTERACTIVA

Pedro Sánchez

ATCA

Raúl Sánchez Reillo

UNIVERSIDAD CARLOS III

DE MADRID

>>

Conceptos clave a dominar: autenticación vs. identificación

>>

Problemática de los distintos métodos de autenticación

>>

Infraestructura, iniciativas y ejemplos de certificados digitales:

eDNI, pasaporte, tokens...

>>

Asignación y gestión de las claves OTP, SSO, autenticación de

doble factor: ¿alternativas o complementarias?

>>

Creación, actualización y mantenimiento de la base de datos

para la gestión de identidades

Best

Practices

+

Area show how it works

Mecanismos

y

Servicios

de

AUTENTICACION

de

USUARIOS

> > >

Inscríbase ahora

902 12 10 15

ATCA

IIR

•

www.iir.es

•

Recepción de los asistentes: 9.15 h. Comienzo de la Sesión: 9.30 h.

Café: 11.30 h. – 12.00 h. Almuerzo: 14.30 h. – 16.00 h. Clausura del Seminario: 18.30 h.

Horario

P

r o g r a m a

MADRID

•

26 y 27 de JUNIO de 2007

Sesión de fijación de objetivos

Durante 15 minutos, los asistentes expondrán sus objetivos principales a alcanzar con este Seminario. El Instructor los analizará y, en función de las prioridades del grupo, hará énfasis en los puntos del programa de mayor interés. Esta Sesión sirve también para dar a conocer a los participantes entre sí y es imprescindible para la integración del grupo.

MODULO

1

Conceptos clave QUE HAY QUE CONOCER

• Autenticación vs. Identificación • Problemática de los distintos métodos

de autenticación

•Algo que el usuario sabe: contraseñas usadas para el acceso a recursos informáticos, generalmente con un nombre de usuario asociado, y los PINs o NIPS para el acceso a transacciones bancarias

•Algo que éste posee

•Característica física del usuario o acto involuntario del mismo: autenticación biométrica

• Evolución de las soluciones de autenticación

MODULO

2

Tipos de SISTEMAS DE AUTENTICACION

• OATH y tokens compatibles

• Calculadoras OTP basadas en tarjetas EMV • Tarjetas de coordenadas

• Teclados en pantalla

• Claves de un solo uso: one time password

-OTP-• Dificultades de la creación de estas claves

• Gestión de las claves de un solo uso

• Alternativas a estas claves

• PIN /NIPs

• Sistemas Single Sign On (SSO)

• Claves

• Password

• Sistemas de autenticación de doble factor

• Dificultades y soluciones para la implementación de este tipo de sistemas

• Certificados digitales: qué son, qué conllevan,

qué infraestructura requieren, qué iniciativas hay

• eDNI

• Pasaporte

• Tarjetas, token, passphrase

• Biometría

• Voz, escritura, huella, patrones oculares, geometría de la mano

• Uso combinado de distintos sistemas

MODULO

3

Infraestructuras para la implantación

DE SISTEMAS DE AUTENTICACION

• Contextos de usuarios: empleados (intranet) y clientes

(extranet)

• Definición de las políticas de autenticación

• Estructura del departamento de gestión de identidad • Infraestructuras de gestión de identidad

• PMI: Privilege Management Infrastructure • Gestión de directorios

Mecanismos

y

INTENSIVO

A lo largo del Seminario se fomentará la participación de los asistentes de cara a sacar el máximo partido de las

experiencias y dudas concretas de cada uno. Además, cada Módulo finalizará con una sesión de

preguntas-respuestas que permitirá afianzar el conocimiento adquirido sobre los temas tratados y aclarar las cuestiones que

puedan surgir antes de pasar al siguiente Módulo.

Metodología INTERACTIVA

Servicios

de

Autenticación

de

• Conexión de los sistemas de autenticación con la base

de datos de clientes

• Conexión de los sistemas de autenticación con la base

de datos de empleados

• Incidencia de la LOPD en la gestión de identidad • Gestión unificada de la autenticación entre diferentes

sistemas tecnológicos

• Gestión de bajas

• Gestión de incidencias relacionadas

con la autenticación

• Medidas de seguridad de las bases de datos • Políticas de rendimiento: replicación, copias

de seguridad, o posibilidad de que no haya esa base de datos. Base de datos distribuida

MODULO

4

Ejemplos de servicios de autenticación

mediante CERTIFICADOS DIGITALES

• Introducción a la criptografía de clave pública

y a la firma electrónica

• PKI de uso público. Certificados cualificados. PSC

españoles. El DNI electrónico

• Normativa sobre firmas electrónicas y documentos

electrónicos

• Uso de certificados para autenticación y para firma

electrónica

• PKI de uso privado • Uso de certificados en SSL • SmartCard Logon

• Single Sign On basado en certificados

• Certificados y tarjetas chip en entornos

multiplataforma: smartphones, PDA, cajeros automáticos, receptores de TDT interactiva

Area Show How It Works

Experiencia práctica del sector bancario.

Ejemplos de implantación y estrategias

de éxito

•Implementación del sistema de autenticación •Mejores prácticas

•Funcionamiento del sistema: errores y soluciones

•Cómo seleccionar y definir el mejor sistema de autenticación según sus necesidades •Criterios para definir, actualizar y mantener

la base de datos de claves

Pedro Sánchez

Director de Seguridad Informática

ATCA Best Practices de ATCA Caso

IIR

•

www.iir.es

•

Todos los ponentes/instructor

es están confirmados. IIR se r

eserva la posibilidad de sustituirles, modificar el pr

ograma y de no

entr

egar la documentación de alguna ponencia si a ello se viera obligado, siempr

e por motivos ajenos a su voluntad • © IIR ESP

AÑA S.L. 2007

Usuarios

Nuestros INSTRUCTORES

Julián Inza

Presidente. ALBALIA INTERACTIVA

Actualmente es Presidente de Albalia Interactiva (entidad especializada en Banca, Medios de Pago, Gestión de Seguridad y Firma Electrónica).

Pionero de la certificación digital, anteriormente fue Director General de Camerfirma, Director Gerente de FESTE, Senior Vicepresident de Mobipay International (responsable de las áreas de Sistemas de Información, Innovación, Tecnología y Seguridad), Presidente de AECODI (Asociación del Sector de la Certificación Digital) y Director de Estrategia Tecnológica en Banesto.

En Banesto, diseñó en 1995 el primer sistema de Banca Virtual de España, el primer TPV virtual y la primera Autoridad de Certificación. Posteriormente, fue Responsable de lanzar proyectos como Banca WAP, Cibertienda (licencia GPL), SET Fácil, Virtual Cash Plus (primera tarjeta virtual de prepago), pago condicionado a operación B2B y banca por IRC.

Cuenta con amplia experiencia profesional en Operadoras de Telecomunicaciones, Proveedores de Hardware, Software, Consultoría, Servicios y Banca.

En la actualidad es, además, profesor del Instituto de Empresa, miembro del Observatorio del Notariado para la Sociedad de la Información, Coordinador del Foro de las Evidencias Electrónicas, Responsable del Area Legal de la Asociación Empresarial Impulsa Internet y miembro del Consejo Editorial de Financial Tech Magazine.

Raúl Sánchez Reillo

UNIVERSIDAD CARLOS III DE MADRID

Doctor Ingeniero de Telecomunicación por la E.T.S.I. Telecomunicación de Madrid.

Profesor Titular del Departamento de Tecnología Electrónica. Director del GUTI, Grupo Universitario de Tecnologías de Identificación desde 1994 formando parte de los siguientes proyectos: evaluación de equipos de identificación biométrica mediante huella y firma en el proyecto TASS. Diseño de Unidades de Lectura y Escritura de Tarjetas Inteligentes. Sistema de Control de Accesos mediante Tarjeta Inteligente de la E.T.S.I. de Telecomunicación. Proyecto TIPI ("Transacciones Seguras a través de Internet, mediante el empleo de tarjeta inteligente de personal investigador"). Proyecto del Plan Nacional de I+D (CICYT TEL96-l322). Sistema de Personalización Eléctrica de Tarjeta Monedero GemWGLO con máquina de sobremesa para CECA, a través de SAETIC, con aplicaciones Imagen de Banda Magnética, Telefónica, Transporte, Accesos, Ciudadano y Universitarias. Proyecto TABU ("Transacciones Seguras a través de Internet: Autenticación Biométrica de Usuarios"), Proyecto del Plan Nacional de I+D

OFERTA EXCLUSIVA para los asistentes

Seminario DISEÑADO ESPECIFICAMENTE PARA

Director de Seguridad Lógica

Director de Seguridad Informática

Director de Banca Virtual

Director de Internet

Entidades Financieras

Empresas que realicen Comercio Electrónico

IIR ofrece a todos los asistentes una suscripción

gratuita de 3 meses a “CIBERSUR”, efectiva a partir de la fecha de celebración de estas Jornadas

IIR España le ofrece la documentación

formativa más completa de su sector

Para adquirirla, contacte con:

Mª Rosa Vicente

Tel.

91 700 01 79

[email protected]

www.iir.es/doc

Conozca las posibilidades de patrocinio que nuestro departamento

de sponsorship puede ofrecerle

Contacte con

Nacho Flores

Tel.

91 700 49 05

Planifica tu FORMACION PARA 2007

Plan de Seguridad de Sistemas

Madrid, 22 y 23 de Mayo de 2007

Help Desk/CAU

Madrid, 22 y 23 de Mayo de 2007 Barcelona, 2 y 3 de Octubre de 2007

Plan de Continuidad de Negocio

Madrid, 29 y 30 de Mayo de 2007

Tipos de Replicación de CPDs

Madrid, 5 y 6 de Junio de 2007

Aplicación del ISO 27001

Madrid, 26 y 27 de Junio de 2007

Medidas de Seguridad de Protección de Datos

Madrid, 3 y 4 de Julio de 2007

Interacción de CPDs y Redes de Datos

Madrid, 25 y 26 de Septiembre de 2007

Métricas e Indicadores para Help Desk/CAU

Madrid, 16 y 17 de Octubre de 2007

Más información: www.iir.es/it

IIR España (Institute for International Research)es una compañía del Grupo Informa plc, el mayor especialista mundial en contenidos académicos, científicos, profesionales y comerciales. Cotizado en la Bolsa de Londres, Informa plc cuenta con 7.400 empleados y está presente en 43 países a través de 150 unidades operativas.

+ 120 líneas de negocio distintas

+ 10.000 eventos de formación e información a través de compañías como IIR, IBC o Euroforum

+ 2.000 productos de suscripción que incluyen: diarios académicos, noticias en tiempo real, revistas y boletines de noticias + 40.000 títulos académicos en catálogo a través de marcas tan prestigiosas como Taylor & Francis o Routledge

Además, a través de marcas tan reconocidas como ESI Internacional, Achieve Global, Forum o Huthwaite, Informa es el referente mundial en soluciones estratégicas de mejora del desarrollo o performance improvement.

En España, IIR es líder desde hace 20 años en el desarrollo y gestión de contenidos y eventos para empresas. Con un equipo de más de 100 personas, IIR España ofrece a sus clientes un servicio de formación e información integral con productos innovadores como los Written Courses (programas

modulares de formación a distancia) además de:

+ 500 conferencias, congresos y seminarios de producción propia anuales + 200 cursos de Formación In Company

www.informa.com www.iir.es

Estimado amigo:

Como profesional involucrado en la seguridad de los accesos a su negocio, sabe que la autenticación de usuarios, sigue siendo a día de hoy una asignatura pendiente.

Las amenaza de Internet relacionadas con la usurpación de identidad, han convertido en obsoletos aquellos mecanismos que únicamente chequean la identidad del usuario mediante un login y password y están impulsando la implantación de nuevos y más sofisticados métodos de autenticación.

Su responsabilidad es establecer un adecuado sistema de autenticación de usuario que permita a una persona autorizada el acceso a un determinado recurso, previa verificación de que cumple con las condiciones exigidas para dicho acceso.

Para ello

IIR España

2 Jornadas en las que de la mano de 2 Expertos Instructores, podrá analizar:

• Cuál es el mecanismo más adecuado para proteger la identidad en la red de empleados y clientes

• Cómo combinar métodos (PIN) y dispositivo (tarjeta)

• Las 3 categorías de métodos de autenticación en función de lo que utiliza para la verificación de identidad

• Análisis de las características del sistema de autenticación: tasas de fallo, económicamente factible para la organización, posibilidad de soportar con éxito cierto tipo de ataques

• La problemática de establecer un periodo transitorio de los mecanismos de autenticación de usuarios

• Cómo crear, actualizar y mantener la base de datos para el almacenamiento de claves

• Proceso de unificación de contraseñas

Asimismo, en el Area Show How it Works, podrá aprender cómo implantar ese sistema y evitar errores innecesarios.

Con la confianza de que este programa será de su interés. Le espero en Madrid los días 26 y 27 de Junio de 2007.

Trinidad Villar

Directora de Programas

PDF

Para inspección postal, abrir por aquí

DATOS DE FACTURACION EMPRESA:

JEFE DE CONTABILIDAD: DIRECCION:

(Rellenar sólo si la dirección de facturación es distinta a la del asistente)

CIF: DEPARTAMENTO:

POBLACION: C.P.:

TELEFONO: FAX:

FORMA DE PAGO IMPORTANTE Al realizar el pago indiquen la referencia CS0041

Titular de la tarjeta Número de la tarjeta

Caduca Fecha y firma

Cheque a nombre de IIR España

Transferencia bancaria a la cta. 0065-0120-60-0001011755 (Barclays) Visa Mastercard American Express Diners Club

Por favor

, r

ellene todos los datos

DATOS DE LOS ASISTENTES

CARGO: E-MAIL:

CARGO: E-MAIL:

EMPRESA:

TEL. DIRECTO: MOVIL:

TEL. DIRECTO: MOVIL:

SECTOR: CIF:

DIRECCION DEL ASISTENTE: POBLACION:

NUMERO DE EMPLEADOS EN SU OFICINA: 1-10 11-50 51-100 101-200 201-500 501-1.000 >1.000

C.P.: TELEFONO:

QUIEN AUTORIZA SU ASISTENCIA: CARGO:

RESPONSABLE DE FORMACION:

FAX:

¡Gracias por su inscripción!

FAX DIRECTO: 2º NOMBRE: 1º NOMBRE: FAX DIRECTO: Div . C/JB

IIR le recuerda que la inscripción a nuestras jornadas es personal

Sí, deseo inscribirme a

Mecanismos y Servicios

de Autenticación de Usuarios

Madrid • 26 y 27 de Junio de 2007

IIR Doc

No puedo asistir a estas Jornadas Estoy interesado en su documentación

Busque la información estratégica más relevante de su sector en www.iir.es/doc Más de 700 documentaciones inéditas de eventos celebrados por IIR disponibles para Vd.

Fecha y lugar de celebración

CS0041 www.iir.es Príncipe de Vergara, 109 28002 Madrid 91 319 62 18 [email protected]

902 12 10 15

Boletín de Inscripción

Precio:

1.399

€

Precio Especial para Grupos

IIR ofrece precios especiales a las empresas que inscriban a 3 o más

personas al mismo evento.

Para informarse, contacte con Diana Mayo, en el teléfono: 91 700 48 70

Cancelación

Deberá ser comunicada por escrito. Si se comunica hasta 2 días laborables antes del inicio del encuentro, se devolverá el importe menos un 10% en concepto de gastos administrativos. Pasado este periodo no se reembolsará el importe de la inscripción pero se admite la sustitución de su plaza, que deberá ser notificada por escrito hasta un día antes de la celebración del encuentro.

IIR le recuerda que la entrada a este acto únicamente estará garantizada si el pago del

seminario es realizado antes de la fecha de su celebración.

El precio incluye almuerzo, cafés y documentación

Información

Para beneficiarse de un precio especial en el Hotel NH Sanvy haga su reserva directamente en el Tel. 91 576 08 00, indicando que está Vd. inscrito en el evento de IIR España.

Certificado de Asistencia

A todos los asistentes que lo deseen se les expedirá un Certificado Acreditativo de Asistencia a este evento.

Transportista Oficial

Los asistentes a los eventos que IIR España celebre en 2007, obtendrán un descuento del 30% sobre tarifas completas en Business y un 40% sobre tarifas completas en Turista en los vuelos con Iberia (excepto para vuelos Nacionales por AIR NOSTRUM para los cuales obtendrán un 25% de descuento sobre tarifas completas Business y Turista). Para más información contacte con Serviberia, Tel. 902 400 500 o en cualquier delegación de Iberia, y/o Agencia de Viajes Iberia, indicándole el Tour Code BT7IB21MPE0017.

Datos Personales

En cumplimiento con el artículo 5 de la Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de Carácter Personal, le informamos de que los datos personales que aporte en el presente formulario serán incorporados a los ficheros de “Institute for International Research España, S.L.”, debidamente inscritos ante la Agencia Española de Protección de Datos, y cuyas finalidades son la gestión y cumplimiento de la relación establecida como consecuencia de la inscripción en el evento a que hace referencia, así como la gestión por parte de IIR de la selección de los asistentes al mismo, así como la realización de envíos publicitarios acerca de las actividades, servicios, ofertas, promociones especiales y de documentación de diversa naturaleza y por diferentes medios de información comercial, además de la gestión de la información de la que se disponga para la promoción de eventos, seminarios, cursos o conferencias que pudieran resultar de interés para los inscritos, de acuerdo con las labores de segmentación y obtención de perfiles relativa a los mismos, todo ello al objeto de personalizar el trato conforme a sus caraterísticas y/o necesidades. Mediante la presente, usted queda informado y consiente que sus datos puedan ser cedidos a patrocinadores, publicaciones, expositores en ferias u otros sujetos en base a la relación que IIR mantiene con los mismos para procurar una mayor eficiencia de la gestión de sus actividades.

Para el ejercicio de los derechos de acceso, rectificación, cancelación u oposición de sus datos por parte de IIR, deberá remitir un escrito identificado con la referencia “Protección de Datos” a “Institute for International Research España, S.L.”, con domicilio social en la calle Príncipe de Vergara nº 109, 28002 Madrid, en el que se concrete la solicitud y al que acompañe fotocopia de su Documento Nacional de Identidad.

Solicite nuestro catálogo