Ultimas noticias de Ciber Seguridad del Centro Criptológico Nacional
  • El Centro Criptológico Nacional publica su Guía CCN-STIC 857 sobre este tipo de desarrollos en el contexto del Esquema Nacional de Seguridad.
  • El objetivo de la Guía es ayudar a los desarrolladores de aplicaciones de cibersalud a elaborar aplicaciones móviles seguras.
  • En el documento se recoge una serie de medidas para garantizar los requisitos mínimos de seguridad, en función de la finalidad de la aplicación, la arquitectura, el código fuente, el almacenamiento y protección de datos o la comunicación de red, entre otros.

El Centro Criptológico Nacional ha publicado la Guía CCN-STIC 857 Requisitos de seguridad para aplicaciones de cibersalud en el contexto del ENS, disponible en la parte pública de su portal, con el objetivo de ayudar a los desarrolladores de aplicaciones de Cibersalud a elaborar aplicaciones móviles seguras.

Concretamente, a lo largo de este documento se persigue evidenciar los requisitos mínimos exigibles para el funcionamiento seguro de una aplicación de salud, es decir, aquella destinada a colaborar en la detección, diagnóstico, vigilancia y tratamiento de una enorme variedad de patologías, en el contexto del Esquema Nacional de Seguridad (ENS). Para ello, se incluye lo que se ha denominado una Definición del Problema de Seguridad (DPS), la cual identifica los posibles escenarios de amenaza. Por tanto, los objetivos de seguridad de las aplicaciones móviles, sus plataformas y/o entornos de despliegue serán consecuencia de la DPS.

En este sentido, las diferentes medidas recogidas en la Guía para garantizar los requisitos mínimos de seguridad en las aplicaciones, los cuales deben ser satisfechos por sus fabricantes, están organizadas en función de los siguientes Objetivos de Seguridad:

  1. Prueba de la finalidad de la aplicación
  2. Prueba de la arquitectura
  3. Prueba del código fuente
  4. Prueba del software de terceros
  5. Prueba de la aplicación de la criptografía
  6. Prueba de la autenticación
  7. Prueba del almacenamiento y la protección de datos
  8. Prueba de los recursos de pago
  9. Prueba de las interacciones específicas de la plataforma
  10. Prueba de la comunicación de red
  11. Prueba de la resiliencia

Cabe destacar que los diferentes escenarios de amenaza y los objetivos de seguridad señalados en esta Guía se basan en la experiencia que el CCN ha venido adquiriendo a lo largo de los años, en su colaboración con otras instituciones nacionales e internacionales homólogas, en las Guías CCN-STIC del CCN y en otros documentos europeos e internacionales.

CCN-CERT (07/09/2020)

Guía CCN-STIC 857 Requisitos de seguridad para aplicaciones de cibersalud en el contexto del ENS


Más información