Esta receta forma parte de la serie Aprenda CIAM con ejemplos: Cuatro recetas para mejorar la seguridad y la experiencia de usuario de su aplicación. Puede obtener más información sobre la serie descargando nuestras cuatro recetas en formato de libro de cocina. En esta receta, aprenderás a añadir autenticación sin contraseña a tu aplicación mediante passkeys. |
Los consumidores quieren ver y hacer más digitalmente, y confían en las marcas que son claras sobre cómo se utiliza su información para ofrecer valor.
Garantizar la privacidad de los datos de cualquier usuario, ya sea su empleado, cliente o persona contratada, rara vez es una consideración única.
Diferentes organismos reguladores tienen diferentes requisitos de cumplimiento dependiendo del tipo de datos con los que esté trabajando, ya sea el acceso de los usuarios a la información de salud (HIPAA) o la información personal relacionada con individuos en la UE (GDPR).
El cumplimiento de la privacidad de los datos es más que simplemente obtener el consentimiento adecuado. Es un marco para el acceso apropiado, que incluye la seguridad de los datos de tus consumidores.
¿Por qué es importante el cumplimiento de la privacidad de los datos?
Con las organizaciones más grandes viene una mayor responsabilidad con respecto a la profundidad del cumplimiento requerido por regulaciones como GDPR y CCPA. Dicho esto, ninguna organización, ni siquiera la más pequeña, se libra cuando se trata de la privacidad de los datos, y la seguridad es un componente importante de la privacidad de los datos.
Piense en cómo funciona la privacidad en el mundo real. Puedes poner cuatro paredes y una puerta alrededor de casi cualquier cosa. Pero si la puerta no tiene cerradura, ¿es ese espacio privado?
Fase 1: Implementar un registro de auditoría
Según el RGPD y la CCPA, las organizaciones, grandes y pequeñas, están obligadas a ciertas prácticas de auditoría, y la base de estas prácticas comienza con una capa de cumplimiento de auditoría, también conocida como registro de auditoría.
A diferencia de las herramientas SIEM o de registro del sistema, el registro de auditoría transmite el impacto de un incidente de seguridad en un mensaje legible, como un registro histórico de eventos, para evaluar el riesgo asociado con las acciones de un individuo o grupo en tu plataforma, en comparación con los permisos que tienen, y levantar una alerta cuando no coinciden.
Con Auth0 de Okta, no necesitas construir tu flujo de registro de auditoría. Nuestros registros están listos para la auditoría de fábrica, con varias certificaciones de cumplimiento integradas para ayudar a apoyar la preparación para el cumplimiento.
Sin embargo, eso es solo el principio. Los registros de auditoría te indican qué partes de tu plataforma se frecuentan y qué datos son visibles para tu mínimo común denominador. Depende de las organizaciones movilizar estos conocimientos en protección tangible para sus consumidores y proporcionar herramientas que les den control sobre sus datos.
Fase 2: Consentimiento
Las leyes de privacidad de datos pueden requerir que las organizaciones obtengan el consentimiento adecuado antes de procesar datos personales. Con Auth0 de Okta professional y enterprise, los clientes pueden obtener el consentimiento mediante el uso de indicaciones personalizadas.
Custom Prompts es una función creada en el lenguaje de plantillas Liquid, diseñada para dar a los desarrolladores un mayor control sobre la experiencia de inicio de sesión y registro, con plantillas parciales en varios puntos de entrada. Básicamente, con un poco de HTML, CSS y Javascript, los equipos pueden impulsar sus esfuerzos de consentimiento con Auth0 by Okta’s Universal Login alojado en la nube.
Estas plantillas parciales pueden lograr un consentimiento granular y capturar otra información en diferentes puntos del recorrido de autenticación, con tecnología de Auth0 by Okta Actions. En esta receta, agregaremos un prompt de registro usando Actions.
Receta
Ingredientes
- Universal Login
- Dominio personalizado (Marca > Dominios personalizados)
- Plantilla de páginapersonalizada
- Carguemos nuestra plantilla de consentimiento parcial en nuestro inicio de sesión con una llamada API.
Aquí está el consentimiento parcial.
<div class="ulp-field"> <input type="checkbox" name="ulp-terms-of-service" id="terms-of-service"> <label for="terms-of-service"> I accept the instructions. <a href="https://example.com/tos">términos y condiciones</a> </label> </div> |
Agregue esto a un comando curl y listo.
# Agrega tu propia información de inquilino URL='https://TENANT.ENVIRONMENT.auth0.com/api/v2/prompts/signup/partials' TOKEN='eyJhbGci…'
curl -X PUT \ -H 'Content-Type: application/json' \ -H "Authorization: Bearer $TOKEN" \\ -d "{\"signup\":{\"form-content-end\":\" <div class= 'ulp-field '> <input type= 'checkbox ' name= 'ulp-terms-of-service ' id= 'terms-of-service '> <label for= 'terms-of-service '> Acepto los <a href= 'https://example.com/tos '>términos y condiciones</a> </label> </div> " \ "$URL" |
- Dado que Universal Login está listo para admitir una UX consistente y de marca, tus parciales personalizados encajarán perfectamente con el resto de la IU.
- Para proteger este código del lado del cliente, debemos dar el paso adicional de crear una validación del lado del servidor, en forma de una acción previa al registro del usuario, navegando a Acciones > Biblioteca > Crear personalizado
- Agregue el siguiente código a la Acción, lo que evitará la validación del formulario sin consentimiento, luego Implementar para guardar.
- Navegue a Flows > Pre User Registration, y agregue su Custom Action.
- Ahora, cuando tu usuario dé su consentimiento, esto se documentará en su perfil (User Management > Users) en user_metadata.
- Navegue a Flows > Pre User Registration, y agregue su Custom Action.
exports.onExecutePreUserRegistration = async (event, api) => { const termsOfService = event.request.body['ulp-terms-of-service']; if(!termsOfService) { api.validation.error("invalid_payload", "Por favor, revisa los términos de servicio."); return; } api.user.setUserMetadata("termsOfService", true); }; |
Fase 3: Centro de preferencias
El cumplimiento de la privacidad de los datos requiere que los usuarios consientan la recopilación y el uso de sus datos personales, y que puedan revocarlo y acceder a sus datos, corregirlos o eliminarlos de su plataforma.
Un Centro de preferencias es un lugar donde los usuarios van a administrar sus preferencias, incluidos los boletines a los que se suscribieron y cualquier otro servicio intermedio que requiera consentimiento explícito.
Cuando las organizaciones invierten en una solución de identidad como Auth0 by Okta, la creación de centros de preferencias es muy fácil a través de la API de administración de Auth0.
Fase ∞: Seguridad de datos
Los actores maliciosos están tan activos como las organizaciones en la búsqueda de formas de aprovechar la última tecnología. La seguridad de los datos no tiene un final, pero Auth0 de Okta cuenta con herramientas potentes y personal experto a tu disposición para mantener la actividad fraudulenta fuera de tu plataforma.
¿Qué sigue?
Con su aplicación segura y en cumplimiento, es hora de usar CIAM para obtener una vista universal de su consumidor a través de múltiples canales.
En nuestra próxima receta, exploraremos la extensibilidad de CIAM integrando sus datos de consumidores en un sistema de marketing. Si desea ver eso, más todas las demás recetas, en una guía completa, descargue nuestro libro de cocina.
