Condiciones necesarias para la Auditoría en tecnologías derivadas de Web Services e Identidad Federada

Abstract

Ante la necesidad de adaptarse a estándares y respetar el stack de protocolos que recomiendan organizaciones como W3C, OASIS o WS-I, surgen un conjunto de alternativas abiertas para la implementación de transacciones en Web services (de ahora en más, WS) que deban superar varios “saltos”, es decir, nodos intermedios, resguardando la confidencialidad y permitiendo la auditoría. La solución de seguridad debe garantizar la interoperabilidad, apto para semánticas de web services e identidad federada (Federated Identity, de ahora en más, FI) que permita la trazabilidad de los procesos que incluyen varios “saltos”. Las nuevas tecnologías en WS involucran más que SSL y firewalls. Si bien hay un importante avance en la implementación de seguridad más allá de la capa de red o transporte, vale analizar si: a) estas soluciones garantizan la interoperabilidad, b) proveen un esquema de seguridad para permitir WS Composition, c) Permiten implementar auditoría para WS y FI. Este último punto toma trascendental importancia considerando la exigencia regulatoria que imponen leyes actuales, entre ellas, Sarbanes –Oxley, en cuanto a la obligación de contar con pistas de auditoría para el control antifraude de sus procesos