Note: Initially this project is mainly oriented to Catalan institutions, and at this moment the documentation is only in Catalan and Spanish. Contact us if you need an English translation (check our mail at the end of the document).
- Licencia del Buzón Ético y de Buen Gobierno
- Rasgos característicos del Buzón Ético y de Buen Gobierno
- Aportaciones de Xnet y Ayuntamiento de Barcelona a Globaleaks
- Introducción al Buzón Ético y de Buen Gobierno: Funcionamiento y Seguridad
- Instalación y configuración
- Datos de contacto
El 'Buzón Ético y de Buen Gobierno' es un canal seguro que permite la participación anónima de la ciudadanía para conocer cualquier acción u omisión contraria a los principios del buen gobierno y así reforzar la gestión pública.
Propuesta y creada por la organización independiente 'Xnet', ha sido desarrollada e implementada por el Ayuntamiento de Barcelona como extensión del software 'GlobaLeaks', desarrollado por el 'Hermes Center for Transparency and Digital Human Rights'.
Su código es libre, modificable y replicable siempre y cuando se reconozca e indique expresamente la autoría en partes iguales de Xnet y del Ayuntamiento de Barcelona:
- firmando el correspondiente protocolo de reconocimiento, y
- indicando la siguiente frase textual en el pie de página (tanto en la web del aplicativo GlobaLeaks, como en la web informativa que describa el funcionamiento y protocolos sobre requisitos, seguimiento, ámbitos de actuación y objetivos, definición de comunicación anónima, etc.): "Herramienta creada por Xnet y Ajuntament de Barcelona. Powered by GlobaLeaks"
El uso del código de la aplicación GlobaLeaks está bajo las condiciones de la licencia utilizada por la misma.
El Buzón Ético y de Buen Gobierno está basado en el software Globaleaks, y para su implementación en el sector público se han tomado las siguientes decisiones:
- Permite el anonimato del comunicador
- Es accesible desde un dominio de internet público, no exclusivo dentro de la red TORO
- Permite el acceso del comunicador tanto desde el navegador TOR como también desde una conexión internet normal
- Opcionalmente, el comunicador puede dar sus datos. Se pueden comunicar informaciones sin identificarse en absoluto.
- se utiliza una terminología propia: comunicador, receptor, comunicación
- según las normas reguladoras , se da una respuesta formal al comunicador, y por lo tanto ha habido que incorporar la funcionalidad (no existente anteriormente en Globaleaks) de devolver un documento oficial firmado como respuesta a la comunicación
- se definen unos roles diferenciados de gestión para asegurar la segregación de funciones y el auditabilidad: administrador de sistema, administrador de globaleaks, auditor del administrador de globaleaks, y receptor (se describen más adelante).
- se incorpora la figura del auditor de seguridad, que audita a los usuarios del sistema y su utilización
- no se permite a los receptores borrar los casos, con el fin de asegurar una trazabilidad con el gestor de expedientes
- la infraestructura se despliega en el cloud privat interno del Institut Municipal d'Informàtica
- servidores dedicados
- segmento de red específico, aislado del resto de redes corporativas
- separada en 3 capas, en vez de tener toda la instalación en un solo servidor como propone la instalación por defecto
- comunicadores se pueden conectar con navegador TOR a este segmento
- receptores sólo pueden acceder desde la red corporativa (vía https): se ha diferenciado el acceso vía proxy intermedio, dado que globaleaks prevé sólo un único punto de entrada para|por comunicador y receptor.
lista de las funcionalidades y de las mejoras implementadas en el Buzón:
- configuración adaptada a las especificidades del sector público (se puede consultar en el documento INSTALL_es.md
- desarrollo de una nueva funcionalidad que permite al receptor adjuntar ficheros de resolución, que podrá descargar el comunicador de forma anónima (incorporado en el repositorio de Globaleaks, a partir de la versión 2.65.0)
- creación de una imagen gráfica más moderna, reestructuración de algunos contenidos para mejorar la comprensión, formateo de algunos textos para mejorar la lectura (ficheros js, css, y miniaturas de imagen)
- traducciones al catalàn:
- de la interficie de globaleaks: literals de l'aplicació
- del web del proyecto: globaleaks.org
- nomenclatura propia: adaptaciones de traducciones dentro el producto
- configuración cuestionarios que respeten la normativa vigente (LOPD). Construcción de un fichero de configuración importable para la rápida creación del cuestionario (fichero importable json proporcionado en este repositorio)
- detección y corrección de errores del producto
En este proyecto se proporciona todo el detalle de la configuración usada, y se incluyen todos los desarrollos realizados, a fin de que se puedan usar en otros buzones, siempre de acuerdo con la licencia de uso.
En este apartado se hace una descripción del funcionamiento del Buzón, y de los requerimientos generales de seguridad que se han aplicado.
El Buzón es un canal seguro de comunicación electrónica bidireccional y asíncrona, que garantiza la confidencialidad y permite el anonimato de las informaciones.
La información se trata con clasificación 'Muy Crítica' y LOPD nivel ALTO (ALTA CONFIDENCIALIDAD):
- Las comunicaciones de datos son cifradas extremo en extremo mediante protocolo HTTPS.
- La información entregada por el comunicador se almacena cifrada siempre.
- Se han utilizado claves de encriptación de mecanismos de clave pública / clave privada que permiten mantener la privacidad entre comunicador y receptor.
- El receptor (órgano gestor del Buzón) tiene su clave privada.
- Cada información que se entra al Buzón abre un caso y se entrega un número único que sirve como elemento de comunicación del caso concreto.
- No se hace de registro (log) de comunicaciones al servidor de aplicación del buzón ético, con el fin de garantizar el anonimato del informador.
- Las notificaciones en los Receptores para|por nuevas informaciones, o nuevos datos de una información existente, se hacen por correo cifrado vía correo corporativo interno.
El receptor dispone de manuales de metodología de trabajo seguro.
El Ayuntamiento dispone de procedimiento de custodia de claves, para garantizar la recuperación de los documentos bajo procedimiento reglado (contingencia en caso de pérdida de claves).
El Ayuntamiento ofrece protección del puesto de trabajo corporativo (incluye antivirus y encriptación).
Se facilita el acceso anónimo de los comunicadores al Buzón a través del navegador TOR.
- La red TOR y su navegador es un software gratuito y de código abierto
La aplicación está hospedada en el cloud privado del Ayuntamiento, en un segmento especial y aislado de la red corporativa.
Definido en dos zonas:
- Internet por acceso de los comunicadores.
- Intranet para|por receptores y administradores.
Los servidores se han bastionado (protección específica de las configuraciones de los sistemas y productos) para evitar ataques.
La información adjuntada por el comunicador esta siempre cifrada en el servidor mediante Claves PGP para evitar cualquier acceso no deseado, incluso el de posibles administradores de sistemas.
Se ha realizado test de hacking ético por testear la infraestructura.
Comunicador
- Es quién comunica los casos.
Receptor
- Órgano gestor del Buzón.
- Es lo único que puede recibir los casos.
- La información está cifrada y sólo con su clave privada se puede descifrar.
Administrador funcional:
- Define a los usuarios de perfil receptor.
- No tiene acceso a los casos.
- Todas las acciones quedan registradas.
Administrador de sistemas:
- Mantiene el software, monitoriza el sistema, hace copias de seguridad.
- No puede leer la información sensible, ya que está cifrada.
Auditor del Administrador funcional:
- Revisa las acciones del administrador
- Revisa la creación y la activación/desactivación de los usuarios
- Registra las incidencias que se puedan producir
Acceso: barcelona.cat/bustiaetica
- Desde el pie de cualquier página de la web se puede acceder a la aplicación de envío y consulta del caso en un clic.
- Permite un acceso anónimo con el navegador TOR.
- Hay que exponer el caso en una ficha.
- Se pueden adjuntar documentos que quedan cifrados en el buzón.
- Hay que conservar el identificador del caso, para poder consultar la respuesta del Ayuntamiento y/o aportar más información y/o documentación.
Acceso: barcelona.cat/bustiaetica
- Desde el pie de cualquier página de la web se puede acceder a la aplicación para consultar el caso.
- Introduce el identificador del caso (código numérico de acceso), para poder consultar la respuesta del ayuntamiento y/o aportar más información a través de mensajes o de nuevos documentos.
El receptor recibe un aviso (vía un correo interno cifrado) de que hay una comunicación nueva o que se ha aportado más información.
Accede a la comunicación (por|para una dirección interna sólo accesible desde la red interna del Ayuntamiento):
- Ve la ficha resumen.
- Puede descargar todo el caso: ficha y documentos adjuntos.
- La documentación se descarga cifrada.
- Los documentos se descifran sólo con su clave privada
Hace tratamiento:
- Análisis de la comunicación: estudio de admisión y comprobaciones.
- Devuelve respuesta al comunicador a través de mensajes. Puede pedir más información.
- Adjunta documentos de respuesta firmados digitalmente, si es necesario.
- El receptor no puede borrar ninguna comunicación.
-
Para más información sobre el lanzamiento del Buzón, consultad la Nota de prensa de la presentación del Buzón.
-
Para más información sobre el funcionamiento y el marco regulador, consultad la web informativo del Buzón
-
Otras herramientas usadas fuera de Globaleaks para el tratamiento posterior de la información:
-
GPG4WIN para encriptar/desencriptar
-
Navegador TOR
-
Bitlocker para el cifrado del disco duro
En este repositorio se incluye el detalle de la configuración usada por el Buzón, y se adjuntan todos los ficheros de código desarrollados.
- Consultar el detalle en el fichero INSTALL_es.md
Para compartiros nuestra experiencia de implantación, asesoramiento de aspectos legales a tener en cuenta, y firmar el protocolo de reconocimiento (licencia), contacte con:
- [email protected]
- Dirección de Análisis, Dirección para la Transparencia y las Buenas Prácticas, Ayuntamiento de Barcelona