Salte al contenido principal
US flag Un sitio oficial del Gobierno de Estados Unidos

Los principios del manual de identidad

Concéntrese en las necesidades de los usuarios

  • Identifique sus audiencias potenciales
  • Comprenda las experiencias de acceso y las necesidades de identidad de sus audiencias
  • Realice investigaciones antes de crear o implementar un sistema
  • Haga pruebas de su producto para identificar puntos ciegos o áreas de mejoramiento
  • Cuando las mejores prácticas actuales no son lo suficientemente buenas para sus usuarios, pruebe nuevas soluciones y ayude a la adopción

Resolver problemas reales para los usuarios potenciales debe ser el foco de cualquier sistema, y ​​es doblemente importante cuando se construye un sistema de gestión de identidades. A lo largo de este manual, verá cómo satisfacer las necesidades del usuario es un principio rector en cada decisión tomada.

Uno de los primeros pasos que debe tomar es identificar a sus usuarios principales. Para login.gov, hemos identificado dos grupos como usuarios principales: el público en general y las personas involucradas en tecnología dentro de las agencias gubernamentales. El objetivo del sistema es apoyar y abordar las necesidades del público en general. Para decirlo claramente, queremos asegurarnos de que nuestro sistema haga que la gente se sienta cómoda al ingresar a los servicios gubernamentales. El público debe sentirse seguro de que login.gov funciona según la expectativa y no los decepcionará. El sistema también debe atender la experiencia completa de los usuarios a medida que tratan de lograr sus objetivos. Debido a que la verificación de identidad y la autenticación son tecnológicamente complejos, no es improbable que incluso la gente más experta en tecnología pueda atascarse si su teléfono se pierde o si un sistema tiene errores. Por lo tanto, en apoyo de la misión de cada agencia, los arquitectos y diseñadores de sistemas de manejo de identidad de los consumidores necesitan anticipar puntos de adherencia probables para que la gente no pierda el acceso a los servicios y beneficios.

Las agencias deben saber a qué porción del público sirven y cómo se pueden crear servicios para atender sus necesidades específicas. Esto ayudará a los equipos de integración de agencias a entender lo que necesitan si deciden implementar la plataforma login.gov o cualquier otro sistema de gestión de la identidad del consumidor.

Por último, deben hacerse pruebas continuamente de los diseños y herramientas cuando estén listos para compartirse y luego ajustar su proyecto en función de lo que se aprenda. En algunos casos, aprendemos que las mejores prácticas actuales no son lo suficientemente buenas. Y en esos casos somos empujados a probar nuevas maneras de entregar a los usuarios la mejor experiencia posible. Ese proceso implica más pruebas, educar a los usuarios y una voluntad para repetir.

Hay una serie de métodos de diseño específicos que practicamos para permanecer centrados en el usuario y usted puede leer sobre todos ellos y usarlos revisando los Métodos de Diseño de 18F (en inglés).

Sea transparente sobre cómo funciona

  • Involucre a expertos, partidarios y al público tempranamente y a menudo
  • Explique cómo y por qué está recopilando, compartiendo y almacenando datos
  • Construya una política de privacidad que las personas en general puedan acceder y entender
  • Construya una política de privacidad que sea inclusiva e informativa

Trabajar con transparencia (en inglés) y la creación de un sistema transparente debe ser la forma en que funciona cualquier agencia cuando se construye o implementa un sistema de gestión de la identidad. Para ejecutar este principio con login.gov, estamos construyendo la plataforma para que las partes interesadas puedan asesorarnos sobre las mejores prácticas y para que sigamos siendo responsables ante el público y nuestros socios en todo el Gobierno. Además, significa construir un sistema que informe a los usuarios sobre lo que se hace con su información para crear responsabilidad y generar confianza. Estamos involucrando a los usuarios y otras partes interesadas a través de nuestro acuerdo de recompra de GitHub (en inglés) y trabajando en la creación de foros públicos donde la gente pueda conversar sobre nuestro trabajo.

Para que un sistema de gestión de la identidad sea transparente para los usuarios finales, el sistema que usted cree incluirá funciones que informen a la gente sobre cómo funciona el sistema, por qué funciona de esa manera y cómo pueden controlar lo que ocurre con sus datos. También debe informar a los usuarios de la información que necesita una agencia al iniciar sesión en un servicio. También es importante informar a los usuarios qué información almacenarán sus sistemas y si se comparte algún dato con otras agencias. Si las personas que usan el sistema no se sienten cómodas con el intercambio de información, no deben verse obligadas a participar.

login.gov está trabajando para implementar todas estas características que mejoran la transparencia. Además, para ayudar a las personas a entender todo lo que está sucediendo, estamos creando una política de privacidad que explica cómo se comparten los datos y lo que significa no participar.

Construya un producto flexible

  • Desarrolle el producto en etapas y evalúe la efectividad después de cada etapa
  • Hable continuamente con las partes interesadas y expertos para evaluar las necesidades y los indicadores de éxito
  • Haga pruebas de su producto continuamente con los usuarios a medida que agrega nuevas herramientas y refina las viejas
  • Defina qué es un producto mínimo viable para sus necesidades de manejo de identidades
  • Planifique evolucionar en función de la tecnología y los estándares cambiantes

La tecnología y los estándares para la verificación y autenticación de identidad pueden cambiar rápidamente. Los sistemas de manejo de identidad de los consumidores deben adaptarse fácilmente a las normas cambiantes y reaccionar ante las nuevas amenazas de seguridad. Para hacer posible la adaptación a nuevas políticas y capacidades, la creación de productos usando métodos ágiles es una buena práctica, considerando versiones cambiantes en el proceso. En otras palabras, planificar las modificaciones para ayudar a que su servicio de identidad esté tan actualizado como sea posible y sea compatible con las normas y políticas actuales.

Estamos adoptando este principio para cada aspecto del proyecto en la creación de login.gov.

Lea esta guía (en inglés) a los principios y prácticas ágiles elaborados por el equipo de 18F para aprender más sobre lo que significa trabajar de manera ágil.

Use prácticas modernas de privacidad

  • Guarde la menor cantidad posible de datos de identificación personal
  • Proporcione a los usuarios otras formas para lograr sus objetivos
  • Proporcione a los usuarios el control sobre sus datos

Los sistemas de manejo de la identidad del consumidor almacenan información personal sobre los usuarios para que la gente no tenga que repetir los procesos de verificación y autenticación una y otra vez. Sin embargo, la recopilación y el almacenimiento de información personal causa preguntas éticas y legales que los diseñadores y desarrolladores del sistema deben considerar. A menudo, lo que primero viene a la mente son las cuestiones técnicas sobre la seguridad: la protección de la información contra el acceso y los usos no autorizados o ilegales. Sin embargo, hay que preocuparse también por los usos autorizados, legales de la información personal que violan las expectativas de privacidad de los usuarios. Los usuarios de login.gov necesitan estar seguros de que estamos manejando su información personal respetuosamente y apropiadamente.

El primer paso es solamente la recopilación de la información que usted necesita absolutamente. Y eso es lo que está haciendo login.gov. La verificación de identidad de alta seguridad para tareas delicadas requiere una amplia recolección de información. Sin embargo, muchas actividades no requieren altos niveles de seguridad (LOA, sigla en inglés) y login.gov apoya diferentes niveles para que las agencias puedan delinear claramente a usuarios que requieren niveles de seguridad más bajos y separarlos de aquellos usuarios con necesidades más delicadas, asegurando la usabilidad y la seguridad de los datos. Al minimizar la cantidad de información recopilada y almacenada no sólo se reduce el riesgo de seguridad sino que también se reducen las preocupaciones de los usuarios sobre la reutilización y divulgación de datos.

El siguiente paso es dar a los usuarios el mayor control posible sobre qué información se comparte. Creemos firmemente que la gente es dueña de sus datos, no nosotros, y siempre actuaremos consecuentemente. Si la gente no se siente cómoda con los requisitos de datos para usar un sistema, deben saber que no tienen que inscribirse y que hay otras maneras de lograr sus propósitos.

Al diseñar login.gov, también estamos trabajando en educar a los usuarios para que ayuden a proteger sus propios datos. Queremos que la gente entienda por qué tenemos que pedir ciertos tipos de información delicada, como números de Seguro Social, y cómo los estamos utilizando.

Construya sistemas de seguridad receptivos

  • Identifique las mejores prácticas de la industria y adhiérase a ellas
  • Cumpla con las regulaciones federales como FISMA y FedRamp
  • Establezca sistemas para monitorear y detectar fraudes
  • Utilice técnicas modernas de encripción en todo el montón de tecnología
  • Guarde solamente el mínimo absoluto de datos necesarios
  • Ayude a los usuarios a comprender las medidas de seguridad que deben cumplir

Para la gestión de la identidad del consumidor es clave determinar quién está tratando de acceder a la información personal y asegurarse de que sólo los usuarios autorizados puedan acceder a esa información. La razón por la que sistemas como este existen es para proteger la identidad del usuario de aquellos que buscan cometer robo o fraude.

Ser deliberado sobre la seguridad significa concentrar nuestra atención en lo que hay que proteger. Significa pensar cuidadosamente sobre cómo conseguir equilibrio entre la protección y la accesibilidad. Hacer esto exitosamente incluye educar a los usuarios sobre cómo pueden protegerse ellos mismos o mitigar los efectos de la delincuencia.

En el caso de login.gov, por ejemplo, tenemos que decidir exactamente qué datos almacenamos y por cuánto tiempo. También tenemos que decidir qué pasos deben tomar los usuarios para acceder a su información. Todas estas decisiones requieren una deliberación cuidadosa para determinar cuál es la mejor opción tanto para los usuarios como para las agencias y para asegurar máxima funcionalidad.

En la construcción de login.gov, estamos cumpliendo con las normas presentadas por el Instituto Nacional de Estándares y Tecnología (en inglés) (NIST 800-63-2) y adaptaremos sus planes preliminares de estándares nuevos (NIST 800-63-3) a medida que sean terminados. Los planes preliminares para los estándares adoptan un enfoque muy diferente para la autenticación y la prueba de identidad (cómo una persona inicia sesión y cómo verifica su identidad) de la versión actual. Además, seguimos las mejores practicas de seguridad del Gobierno (en inglés) incluyendo FedRAMP, operando en código abierto, realizando rigurosas evaluaciones rutinarias de seguridad, además del cumplimiento de la Ley Federal de Gestión de la Seguridad de la Información (FISMA, sigla en inglés).