Tweet

Safelayer: Innovación Continua y Excelencia Tecnológica

Publicado en SIC- noviembre 2008
Dr. Francisco Jordán - Vicepresidente de Tecnología de Safelayer Secure Communications

I+D+i continuo, adopción exclusiva de estándares, gran exigencia en la interoperabilidad, máximo empeño en la calidad y evaluaciones de certificación de seguridad al máximo nivel, han hecho de la tecnología y productos de Safelayer los pilares de la estrategia tecnológica y de negocio de la compañía. La empresa se ha creado un nombre que es equivalente a: productos y soluciones innovadoras, alta cualificación y profesionalidad de su equipo humano, un modelo de negocio basado en canal especializado, y en definitiva, éxito en todos los proyectos y despliegues que se han acometido tanto a nivel nacional como internacional. Estas credenciales han hecho posible a la empresa de tecnología competir en un mercado global en presencia de grandes multinacionales del sector, y también importante desde un punto de vista de país, colocar a España como potencia tecnológica en la materia.

Una visión tecnológica dinámica

Desde la creación de Safelayer allá por el año 1999 se han manejado varias visiones tecnológicas acordes temporalmente con las olas que hemos vivido y que, gracias a dicha visión, han motivado la creación de nuevos productos. La propia evolución de la visión tecnológica en la compañía demuestra el espíritu emprendedor e innovador de ésta. En tecnología, creemos que la visión es fundamental para anticiparse en la creación de nuevos productos que puedan realmente aportar valor diferenciar y sobre todo, productos que hayan alcanzado un grado de madurez notable una vez que la ola tecnológica esté en su apogeo.

Por otra parte, en una compañía de producto como es la nuestra, la visión tecnológica debe perdurar puesto que marca fuertemente la estrategia y los objetivos de ésta. Así, aunque dinámica, la visión tecnológica descansa sobre unos cimientos mucho más estáticos e invariables, lo cual, además de preservar de la dispersión protege de las modas tecnológicas. Para Safelayer, los fundamentos básicos yacen en las tecnologías de Seguridad y Confianza basadas en PKI (Infraestructura de Clave Pública), desde el convencimiento que no puede existir una futura sociedad virtual o de la información que se asemeje a la bien establecida sociedad del papel actual sin autenticación fuerte y firma electrónica. Y hoy en día, la mejor tecnología para llevar a cabo esta misión es la de PKI.

El enunciado de la primera visión de la compañía fue el siguiente: "El propósito de las soluciones de SAFELAYER es proveer un Sistema de Firma Electrónica Avanzada, no-repudio y cifrado de alta seguridad y completo basado en Identificadores Electrónicos (eIDs)". Y con esta visión en mente nace la familia de productos KeyOne, una tecnología certificada Common Criteria EAL4+ que actualmente es el pilar en el que se basan los mayores y más importantes despliegues de identificadores digitales de España, y posiblemente de Europa y el Mundo, con el DNIe, ePassorts y mensajería OTAN (NMS) como principales abanderados.

El enunciado de la segunda visión de la compañía fue el siguiente: "Una vez asegurada la infraestructura mediante el despliegue de Identificadores Electrónicos (eIDs), debemos estar preparados para proveer soluciones para soportar aplicaciones XML y, sistemas y dispositivos no-PC". Y con esta visión en mente nace la familia de productos TrustedX, una tecnología que implementa la visión SOA (Service Oriented Architecture) y que a través de XML y los Servicios Web posibilita de forma óptima la integración de los elementos PKI en las aplicaciones corporativas bajo cualquier tipo de dispositivo.

Y por último, desde hace unos pocos años estamos trabajando en nuevas tecnologías que nos permitirán implementar la siguiente visión: "Seguridad es estructura y sintaxis, pero definitivamente, Confianza es semántica". Visión de enunciado corto, pero sin embargo, de fácil comprensión, y aunque no existe todavía la realización de la visión en una familia de productos, existe un convencimiento razonable que los problemas derivados de la seguridad y confianza en la futura compleja sociedad de la información sólo podrán ser resolubles desde la óptica de las tecnologías semánticas y de los sistemas inteligentes.

No obstante, la estrategia tecnológica no sólo se sustenta en la visión de esta. Al igual que en la alta cocina, no sólo la creatividad y la innovación son suficientes, sino que hacen falta materias primas e ingredientes excepcionales.

La estrategia tecnológica y la importancia de la innovación

Nuestra tecnología se sustenta en una estrategia que a su vez descansa sobre unas bases invariables y siempre presentes a lo largo del proceso de generación de todos nuestros productos, a saber: i) Fuerte I+D+i, ii) Estándares, iii) Interoperabilidad, iv) Certificaciones de Seguridad, y v) Calidad.

La componente de I+D+i de Safelayer es muy alta, no sólo por los recursos que se dedican a ésta, sino por la propia naturaleza e historia del equipo técnico que la representa. Provenientes y todavía activos en el mundo académico e investigador de la universidad, pensamos que en Safelayer se ha dado con la fórmula adecuada para combinar el espíritu creativo e innovador del campus universitario con la profesionalidad y visión de cliente que requiere el mundo altamente competitivo del negocio de la tecnología. Por otra parte, este espíritu de clara vocación por la investigación, el desarrollo y la innovación, han hecho que nuestros proyectos tecnológicos siempre se hayan visto avalados y soportados por los programas y organismos nacionales e internacionales existentes para dicho fin: Programas PROFIT, AVANZA I+D, CENIT, R+D+i/CIDEM, Marco de I+D Europeos; cuyo continuo soporte, junto con el de los accionistas de la compañía, ha sido de vital importancia en nuestra carrera. Aunque siempre importante, el soporte de terceros a nuestro trabajo no siempre viene por el lado financiero. El reconocimiento profesional procedente del propio sector es un espaldarazo francamente a considerar. A destacar los 2 últimos premios internacionales que ha recibido nuestro producto TrustedX: 1) Premio Europeo Teletrust 2007 al producto tecnológico de seguridad más innovador, y 2) Nominación en el Premio ICT-Prize 2007 de la Comisión Europea a los productos más innovadores de Europa.

Por su carácter tecnológico, investigador e innovador, en Safelayer existen muy pocos dogmas, no obstante, en cuanto a la ejecución de la visión tecnológica si existen 2 principios fundamentales: Estándares e Interoperabilidad. La visión debe realizarse única y exclusivamente utilizando estándares, y además, imponiendo que nuestros productos sean 100% interoperables con el resto. Estos 2 principios fundamentales son los únicos que garantizan la construcción real de sistemas abiertos, y por lo tanto la protección de la inversión de nuestros clientes.

Para todas las actividades tecnológicas que se encuentren centradas en la generación de productos de seguridad y confianza, parece un compromiso ineludible someter dichos productos a las más altas Certificaciones de Seguridad. Para eso existen unas métricas reconocidas mundialmente denominadas Criterios Comunes (Common Criteria - CC) relativo a los cuales España pertenece al selecto grupo (Common Criteria Recognition Arrangement - CCRA), a través del CNI/CCN, que puede emitir certificaciones que son aceptadas automáticamente por el resto de países. Es de justicia mencionar que la certificación CC EAL4+ (considerado en la actualidad el mayor nivel de certificación de seguridad que puede obtener un producto software) de nuestro producto KeyOne participó en la acreditación Española a nivel internacional. Al igual que se hizo en KeyOne, ahora se está trabajando para obtener el nivel CC EAL4+ de certificación para nuestro producto TrustedX (nivel mínimo exigible por la Directiva Europea de firma electrónica para ser considerado dispositivo seguro de creación de firma).

Íntimamente ligado con la certificación de seguridad se encuentra la Calidad. La certificación de seguridad CC EAL4+ exige la implantación de unos procesos de gestión, control, seguridad y calidad en el ciclo de vida de desarrollo y distribución del producto de altísimo nivel. En Safelayer, esta exigencia no sólo está avalada por las certificaciones CC, sino por certificaciones propiamente de calidad como la ISO9001: 2000 para todos los procesos de Diseño, Desarrollo de Software de Seguridad y Servicios de Consultoría y Formación en Infraestructuras de Clave Pública, y el Nivel 3 de la certificación de Calidad ISO/IEC 15504 SPICE (Software Process Improvement and Capability dEtermination) respecto a los procesos relevantes en el desarrollo de productos software. Estos certificados son el aval para nuestros clientes que cuando adquieren productos de Safelayer no están comprando únicamente una visión tecnológica de vanguardia, sino también una realización de máxima calidad y garantía.

La tecnológica, los productos

La familia de productos KeyOne es la más consolidada de nuestra oferta tecnológica. KeyOne está formada por una gama completa de componentes de infraestructura PKI (Clave Pública) desde los componentes de emisión y gestión de certificados digitales (Autoridad de Certificación y varios tipos de Autoridades de Registro) hasta los servicios de terceras partes de confianza (Autoridad de Validación OCSP y Autoridad de Sellado de Tiempo), incluyendo también aplicaciones y herramientas de integración de firma electrónica (Desktop y toolkits).

Mediante la oferta de KeyOne, una organización o corporación puede desplegar una infraestructura completa de certificación digital. Actualmente, entre otros, se usa en los tres mayores proyectos de certificación e identificación digital de nuestro país, en cuanto a volumen, como son CERES/FNMT, el DNI-e y el Pasaporte Electrónico. Igualmente, en el ámbito internacional destacan proyectos como la PKI para el sistema de mensajería segura de la NATO (NMS) u otros para diferentes instituciones de Francia, Alemania, Portugal, Andorra, Marruecos, Uruguay, Colombia o Panamá.

Pensamos que tecnológicamente KeyOne es la propuesta más moderna, flexible y completa de las pocas que existen a nivel global. Por otra parte, el hecho de que la PKI sea una tecnología altamente sensible para la seguridad de las infraestructuras críticas a nivel de país, hace de KeyOne el aval para que España se sitúe en el selecto y corto grupo que posee una solución comercial (out-of-box) nacional.

La familia de productos TrustedX nace ante la necesidad de adaptar/simplificar la oferta de integración y aplicaciones iniciada en KeyOne. En el tiempo que se detecta esa necesidad, las tecnologías de Servicios Web aun eran incipientes en la industria (ni siquiera existía el término SOA) pero sin embargo ya se apuntaba una tendencia hacia un mundo totalmente interconectado y dominado por 2 tecnologías básicas i) IP y ii) XML. TrustedX fue concebido como una oferta de "funcionalidad de seguridad y confianza como servicio" en la línea del concepto de SaaS (Software as a Service) más actual. La funcionalidad que TrustedX ofrece como servicio concentra la mayoría de necesidades de Autenticación, Autorización y Control de Acceso, gestión de claves y certificados digitales, firma electrónica básica, avanzada y longeva, cifrado de datos, custodia de documentos, y además, funciones de integración avanzadas que simplifican enormemente la introducción de los servicios en el núcleo corporativo de aplicación de las empresas y organizaciones. Otra de las ventajas que ofrece TrustedX como proveedor de servicios de seguridad y confianza, es que enmascara y oculta a las aplicaciones la complejidad de los numerosos formatos y protocolos que existen alrededor de esta tecnología (ASN.1, X.509, PKCS#, CMS, S/MIME, CAdES, XML, XML-DSig, XAdES, PDF-Signature, etc.) ofreciendo una interfaz única y uniforme en XML. Este hecho dota a TrustedX de propiedades "semánticas" en cuanto éste estandariza los conceptos que existen tras los diferentes formatos y protocolos simplificando así su comprensión y uso.

La familia de productos KeyOne y TrustedX se complementan perfectamente, dónde la última supone la prolongación de la primera en las aplicaciones consumidoras de la infraestructura de clave pública (PKI). Este hecho ha sido claramente entendido por el mercado, en el que TrustedX y soluciones similares (que no parecidas) están siendo rápidamente adoptadas como elementos de integración de la tecnología PKI en la lógica de negocio de las organizaciones.

Estratégicamente, es importante remarcar cómo las tecnologías se influencian y evolucionan. En el caso de KeyOne, la visión de TrustedX le ha aportado un alto grado de mejora en cuanto a la integración de la infraestructura en la lógica de aplicación corporativa. En KeyOne también se ha introducido una estrategia de integración SOA basada en servicios web, de forma que se puede automatizar la gestión del ciclo de vida de claves, certificados digitales e identificadores electrónicos (por ejemplo, tarjetas inteligentes) mediante el uso de interfaces web que pueden ser invocados y coreografiados desde el bus de servicio (Enterprise Service Bus o ESB) y/o integración de la corporación.

La visión tecnológica es muy importante a la hora de evolucionar los productos. En estos momentos Safelayer está trabajando alrededor de las tecnologías semánticas en general, y alrededor de las tecnologías de Web Semántica y su aplicación en la gestión, desarrollo e interoperabilidad de la seguridad y confianza en particular. Por poner un ejemplo, en la actualidad en Europa se está discutiendo mucho alrededor de la interoperabilidad entre los identificadores-e nacionales (DNIe en España, eID Belga, eID Estonio, la ECC -European Citizen Card-, etc.), y sobre la interoperabilidad de las firmas electrónicas generadas en los diferentes Estados Miembro. Técnicamente existen formatos, protocolos y estándares que implementan las diferentes soluciones, y parece que la discusión se está centrando en el mismo nivel técnico mediante el uso de pasarelas y/o puentes como elementos de interoperabilidad. En Safelayer pensamos que los mayores problemas de interoperabilidad actuales están más centrados en un plano conceptual sobre la confianza, y que, por ejemplo, la complejidad que supone la gestión de alrededor de un centenar de prestadores Europeos de Certificados Cualificados (no cualificados existen todavía más) en cuanto a la equiparación de nombres, comparación de calidad, seguridad, políticas de actuación, nivel de servicio, etc. entre estos, sólo se puede resolver con una visión tecnológica más avanzada, esto es, las tecnologías semánticas y de los sistemas inteligentes.

Tecnológicamente y a nivel de productos, Safelayer está demostrando una mayor coherencia que el resto de sus competidores tanto a nivel internacional como a nivel nacional. En cuanto a KeyOne, sus competidores son internacionales y se comprueba que estos han optado por estrategias de diversificación perdiendo el foco en sus productos de PKI, lo que, al contrario de KeyOne que ha seguido modernizándose, les ha conducido a una parada en su evolución tecnológica. En cuanto a TrustedX, no hemos identificado un competidor claro de producto al mismo nivel, aunque si existen soluciones parciales a nivel de servicio centralizado en outsourcing, de soluciones parciales a nivel inhouse por parte de algunos integradores, o de algún producto que soluciona partes específicas de la problemática. Así pues, Safelayer destaca por una trayectoria innovadora y su habilidad para articular las necesidades del mercado, ofreciendo una visión de producto comprometida con sus clientes y sus futuras necesidades de negocio.

Conclusión

En los nuevos sistemas que la sociedad reclama, las interacciones virtuales electrónicas no presenciales cada vez son más importantes en cualquier circunstancia, ya sea en las relaciones personales, profesionales o gubernamentales. La confianza es la base de las relaciones, por lo que los sistemas de identificación electrónica evolucionan hacia mecanismos cada vez más fiables, basados en la tecnología PKI. Es aquí dónde Safelayer se posiciona, proveyendo una tecnología innovadora, global y eficiente, como parte de la demanda de mecanismos fiables para los procesos virtuales de autenticación e identificación, firma electrónica y protección de la información, y por lo tanto como herramientas de mejora competitiva.