Se hace un llamado de actualizacion de aplicaciones y se solicita incorporar a las mismas nuevas caracteristicas como ser la implementacion de un soft token, esta caracteristica deberia ser independiente al servicio de desarrollo, es decir desarrolladores deberian agregar estas funcionalidades pero las mismas pueden ser de terceros especializados en producir y desarrollar soluciones de autenticacion fuerte, doble factor y firmas transaccionales.
1-) Mencionan TOTP, que es OATH. Hay algún punto en contra de ofrecer encriptacion y semillas propietarias y no abiertas?
2-) No se especifica nada con respecto al lado servidor, solo se menciona la APP, pero contra que servidor de autenticacion se debe validar ?
3-)Soiicitan procesos de gestion de Tokens , esto se haria en un servidor ? seria mediante autogestion de clientes ?
4-) Piden notificación push, sms y correo electrónico. quienes proporcionarán los servicios de mensajería?
5-) Que significa sistema basado en templates ? podrian ser mas especificos ?
6-) OneSPan dispone de librerias especificas para generacion de soft token, firmas transaccionales, autenticacion fuera de banda, notificaciones push, etc pero ese codigo debe integrarse a la APP, no pueden separar las funcionalidades de seguridad de las de desarrollo e integracion ?
Se hace un llamado de actualizacion de aplicaciones y se solicita incorporar a las mismas nuevas caracteristicas como ser la implementacion de un soft token, esta caracteristica deberia ser independiente al servicio de desarrollo, es decir desarrolladores deberian agregar estas funcionalidades pero las mismas pueden ser de terceros especializados en producir y desarrollar soluciones de autenticacion fuerte, doble factor y firmas transaccionales.
1-) Mencionan TOTP, que es OATH. Hay algún punto en contra de ofrecer encriptacion y semillas propietarias y no abiertas?
2-) No se especifica nada con respecto al lado servidor, solo se menciona la APP, pero contra que servidor de autenticacion se debe validar ?
3-)Soiicitan procesos de gestion de Tokens , esto se haria en un servidor ? seria mediante autogestion de clientes ?
4-) Piden notificación push, sms y correo electrónico. quienes proporcionarán los servicios de mensajería?
5-) Que significa sistema basado en templates ? podrian ser mas especificos ?
6-) OneSPan dispone de librerias especificas para generacion de soft token, firmas transaccionales, autenticacion fuera de banda, notificaciones push, etc pero ese codigo debe integrarse a la APP, no pueden separar las funcionalidades de seguridad de las de desarrollo e integracion ?
1. No. No hay ningún punto en contra de una semilla propietaria. Siempre que las licencias de las semillas sean ILIMITADAS (en cantidad y en tiempo) para el Banco Nacional de Fomento, y las mismas no se tengan que comprar/licenciar por UNIDAD. Remitirse a la adenda enumerada.
2. Hacer el desarrollo de los servicios para autenticar y validar las firmas de la aplicación, es parte de lo que se pide en el llamado. La propuesta tiene que incluir los desarrollos, llave en mano de estos servicios, incluyendo el código fuente que va a pasar a ser propiedad de BNF. Remitirse a la adenda enumerada.
3. Los clientes se van a autogestionar las semillas. Este sistema de autogestión, en el servidor, así como también en las aplicaciones móviles, es parte de lo que se pide en el llamado. La propuesta tiene que incluir los desarrollos, llave en mano de la modificación de las aplicaciones de iOS y Android, además de los servicios a los que se conectan las aplicaciones, incluyendo todo el código fuente que va a pasar a ser propiedad de BNF.
4. Sobre este punto:
4.1. Notificaciones PUSH: se tiene que enviar utilizando Google Firebase (a Android y a iOS). Este envío tiene que hacerse a través de un servicio integrado a la plataforma de BNF, que tiene que ser desarrollado como parte de este llamado, y el código fuente desarrollado para esto va a pasar a ser propiedad de BNF.
4.2. SMS: se tiene que usar usando un servicio interno del BANCO, pero los envíos tienen que invocarse desde los servicios que tienen que ser desarrollados como parte de este llamado, que son los que envían los OTPs que sean necesarios para las validaciones requeridas de los teléfonos celulares.
4.3. EMAIL: se tiene que usar usando un servicio SMTP interno del BANCO, pero los envíos tienen que invocarse desde los servicios que tienen que ser desarrollados como parte de este llamado, que son los que envían los OTPs que sean necesarios para las validaciones requeridas de los correos electrónicos.
5. Que no tienen que estar incrustados en el código, sino el formato de estos sistemas tiene que ser guardado de manera independiente en PLANTILLAS (templates) para que sean de fácil modificación si surge algún requerimiento de cambio del contenido, o de la misma marca de BNF.
6. El llamado es llave en mano para ambas cosas: administración de semillas de soft token, validación, firmas, además del desarrollo completo de la integración con los servicios (APIs) y canales WEB, iOS y Android.