¶ Introducción
La presente guía técnica tiene por finalidad desarrollar los aspectos operativos y procedimentales necesarios para la correcta implementación de la Norma Técnica de Autenticación establecida por el Decreto Supremo N°9, de 2023, del Ministerio Secretaría General de la Presidencia.
Esta guía no crea obligaciones adicionales para los órganos de la Administración del Estado. Sin perjuicio de lo anterior, la Norma Técnica de Autenticación mandata a regular los aspectos operativos y procesos en esta guía técnica, los cuales se entienden integrados a dicha Norma:
i) Solicitud de integración por el órgano de la Administración del Estado al administrador del mecanismo oficial de autenticación (artículos 4 y 10).
ii) Entrega de credenciales e integración del mecanismo oficial de autenticación en la respectiva plataforma electrónica (artículo 10).
iii) Certificación de la integración y habilitación del mecanismo oficial de autenticación (artículo 10).
iv) Señalar los estándares o usos por los cuales se revoca la habilitación a un mecanismo de autenticación oficial (artículo 11).
v) Estándares mínimos para la autenticación en plataformas institucionales o en servicios compartidos, mediante ClaveÚnica u otros mecanismos propios o de terceros (artículos 3 bis y 17).
De este modo, el presente documento constituye un instrumento técnico-operativo de referencia, que será actualizado periódicamente en coordinación con los procesos de revisión de la norma técnica respectiva, a fin de mantener su alineación con los avances tecnológicos, normativos y de ciberseguridad que rigen el ecosistema digital del Estado de Chile.
¶ Requisitos Generales de los Mecanismos Oficiales de Autenticación
¶
Requisitos técnicos de los mecanismos oficiales de autenticación
Los estándares de mecanismos de autenticación corresponden al conjunto de requisitos técnicos, normativos y operativos de los sistemas utilizados para validar la identidad de usuarios en plataformas digitales del Estado.
Estos requisitos permiten que los mecanismos de autenticación—como ClaveÚnica—operen bajo un marco de confianza común, protejan la confidencialidad e integridad de los datos personales, y faciliten una experiencia segura y coherente para la ciudadanía.
De acuerdo con este marco normativo, los mecanismos oficiales de autenticación debiesen cumplir, como mínimo, los siguientes requisitos técnicos:
- Estándares de autenticación: protocolos de autenticación como por ejemplo OpenID Connect, OAuth 2.0, SAML 2.0.
- Seguridad y cifrado de datos: El mecanismo oficial de autenticación debe cumplir con principios y prácticas robustas de seguridad de la información. A continuación se detallan los requisitos técnicos mínimos en relación con la protección de datos:
- Transporte de datos: Todo intercambio de información entre el cliente (navegador u otra aplicación) y el servidor de autenticación debe realizarse a través de canales cifrados utilizando el protocolo TLS versión 1.2 con una configuración adecuada, o idealmente TLS 1.3 o sus versiones subsecuentes. No se debe permitir tráfico por HTTP sin cifrado, ni TLS desactualizado (por ejemplo, TLS 1.0 o 1.1).
- Cifrado y credenciales: Las contraseñas u otras credenciales sensibles no deben ser almacenadas en texto plano. Deben ser protegidas utilizando algoritmos de hashing avanzados para la protección de contraseñas y tokens, como Bcrypt, Argon2 o SHA-256 ajustándose a las prácticas criptográficas actualizadas.
- Tokens: En caso de utilizar tokens, estos deben estar basados en el estándar JWT (JSON Web Token) y firmados digitalmente con un algoritmo seguro, preferentemente RS256 (RSA con SHA-256, es decir, firma con clave pública) o superior. Se deben incluir tiempos de expiración limitados e identificadores únicos para prevenir su reutilización.
- Credenciales únicas para cada aplicación: estas credenciales deben estar integradas con el mecanismo oficial evitando la reutilización de accesos.
- Gestión segura de credenciales: prohibiendo su almacenamiento en código fuente u otras zonas no protegidas.
- Protección contra ataques comunes: El mecanismo debe incluir protecciones activas contra las amenazas más comunes:CSRF (Cross-Site Request Forgery), XSS (Cross-Site Scripting)m Replay attacks, fuerza bruta.
- Expiración automática de sesión: se debe hacer expirar la sesión luego de un tiempo fijo, y se debe permitir al usuario cerrar su sesión de forma explícita y segura.
- Política de privacidad de datos: Debe estar definida una política de privacidad, cuyo objetivo es:
- Garantizar el derecho constitucional del respeto y protección a la vida privada de las personas, así como la protección de sus datos personales, (artículo 19 N°4), asegurando que el tratamiento de datos cumpla con la Ley sobre Protección de la Vida Privada.
- Cumplir con el deber de adoptar, mantener y declarar una política de privacidad de los sistemas y sitios web de los órganos de la Administración del Estado.
- Informar a las personas la forma en que se recolectan o tratan datos de navegación y datos personales en el mecanismo oficial de autenticación.
- Poner en conocimiento de los titulares de datos personales los derechos que pueden ejercer respecto de ellos de acceder, rectificar, cancelar y oponerse al tratamiento de dichos datos cuando sea procedente y que sólo sean utilizados para las finalidades previstas en la ley.
- Fomentar una cultura de protección de datos en la ciudadanía.
- Registro y trazabilidad de los accesos:El mecanismo de autenticación tiene que implementar una trazabilidad que registre todas las interacciones relacionadas con la autenticación de usuarios. Este registro debiese incluir al menos:
- Eventos registrados: intentos de inicio de sesión (exitosos y fallidos), cambios de clave, entre otros.
- Información mínima por evento: Identificador del usuario, fecha y hora, Dirección IP de origen, Tipo de evento, Resultado (éxito o fallo)
- Almacenamiento seguro de logs: Esto para garantizar la integridad y confidencialidad de los registros. El acceso a los mismos debe estar restringido a personal autorizado.
- Doble factor de autenticación: Para mejorar la seguridad del acceso digital, se recomienda habilitar uno o más de los siguientes sistemas de doble factor de autenticación, en orden decreciente de prioridad:
- Factores biométricos (huella dactilar, reconocimiento facial u otros rasgos biométricos), implementados conforme a estándares de autenticación local segura (por ejemplo, FIDO2/WebAuthn con autenticadores de plataforma).
- Llaves en hardware (hardware security keys): por ejemplo, Yubikeys.
- WebAuthn (“Pass Keys”).
- Autenticación a través de Apps (por ejemplo, Authy o Google Authenticator) y Notificaciones Push.
- Códigos de una sola vez a través de mensajería segura, como Signal o WhatsApp.
- Códigos de una sola vez a través de SMS o mensajes grabados.
- Códigos de una sola vez a través de email.
- Solicitar factor de autenticación adicional según nivel de seguridad requerida en el procedimiento o trámite: Como se menciona en el punto anterior, en ciertos procedimientos administrativos o trámites electrónicos, los mecanismos oficiales de autenticación primaria —como ClaveÚnica — podrían no ofrecer un nivel de seguridad suficiente, especialmente cuando se trata de acciones sensibles, entrega de beneficios, firma electrónica avanzada o acceso a datos especialmente protegidos. En esos casos, los Órganos de la Administración del Estado (OAE) debiesen incorporar mecanismos, o utilizar los provistos por la Secretaría de Gobierno Digital, para esto el OAE, podrá declarar y solicitar un factor adicional, según lo descrito en el capítulo “3. Solicitud de Factor de Autenticación Adicional Según Nivel de Seguridad de Trámite Informado”, de la presente guía.
- Preguntas de seguridad: Se deja expresamente establecido que los esquemas de recuperación de clave que dependen de preguntas auxiliares no son mecanismos de 2FA válidos, así como tampoco no podrán basarse en información del usuario que sea accesible mediante el propio primer factor o que esté disponible en fuentes de acceso público.
- Desactivación del 2FA: Una vez que un 2FA ha sido activado, no debe permitirse su desactivación sin verificar nuevamente la identidad del usuario mediante un factor de seguridad de nivel igual o superior al originalmente configurado.
- Protocolo de alta y baja de usuarios: El mecanismo de autenticación tiene que definir de forma explícita el ciclo de vida de las cuentas de usuario, incluyendo la creación, modificación, desactivación y eliminación de accesos. El protocolo debiera contemplar como mínimo
- Alta de usuarios: enrolamiento con mecanismo de verificación inicial de identidad.
- Baja o bloqueo de usuarios: Tiene que considerar algún mecanismo automático o manual de revocación de accesos o bloqueo de cuentas.
- Medidas de prevención de accesos no autorizados: Los mecanismos oficiales de autenticación tienen que implementar controles específicos que prevengan accesos indebidos, automatizados o por fuerza bruta. Estas medidas están orientadas a reforzar la seguridad del proceso de autenticación y proteger la integridad de las cuentas de los usuarios. Se debiesen considerar, al menos, las siguientes prácticas:
- Validación de interacción humana: Incluir mecanismos como CAPTCHA, reCAPTCHA u otros equivalentes, para asegurar que la interacción sea realizada por una persona y no por un sistema automatizado.
- Límite de intentos fallidos: Configurar un número máximo de intentos consecutivos de autenticación fallida. Al alcanzarse el límite, se debe bloquear temporalmente la cuenta o sesión correspondiente.
- Monitoreo y alertas: Implementar mecanismos de monitoreo que permitan identificar patrones anómalos de autenticación (por ejemplo, múltiples intentos desde direcciones IP geográficamente distantes ) y generar alertas ante posibles amenazas o ataques.
- Deber de información ante incidentes de seguridad: Los Órganos de la Administración del Estado (OAE) que operen o integren mecanismos oficiales de autenticación deberán monitorear de forma continua sus sistemas y plataformas para detectar riesgos, amenazas o incidentes que puedan comprometer la seguridad del proceso de autenticación.
En caso de identificar vulnerabilidades, eventos sospechosos o incidentes efectivos que afecten la disponibilidad, integridad o confidencialidad del mecanismo de autenticación, deberán adoptar inmediatamente las medidas necesarias para su contención y mitigación. Adicionalmente, y en cumplimiento con lo establecido en la Ley N° 21.663 sobre Ciberseguridad, los OAE deberán:
- Reportar el incidente en el portal de Incidentes de la Agencia Nacional de Ciberseguridad, dentro de los plazos y formatos establecidos por dicha ley y su reglamento.
- Informar al administrador del mecanismo oficial de autenticación afectado, en caso de que el incidente involucre la integridad del mecanismo, su disponibilidad o los datos personales asociados.
- Registrar el incidente, que de acuerdo a los establecido en la ley 21.633, se debe registrar en un sistema de gestión de seguridad de la información, incluyendo acciones correctivas implementadas, plazos de recuperación y responsables del seguimiento.
Estas obligaciones de reporte e información se entienden sin perjuicio de otras normativas vigentes o instrucciones emanadas por la Agencia Nacional de Ciberseguridad.
¶ Integración a los mecanismos oficiales de autenticación
Los Órganos de Administración del Estado (OAE) debieran seguir un proceso para integrar mecanismos oficiales de autenticación. Este procedimiento incluye la solicitud de credenciales, implementación en entornos de prueba y la certificación de la integración, asegurando el cumplimiento de estándares técnicos y normativos antes de la activación del mecanismo en producción. A continuación, se detallan las etapas clave de este proceso.
- Solicitud de integración del OAE al administrador del mecanismo oficial de autenticación: Las instituciones públicas interesadas en integrar el mecanismo oficial de autenticación deben solicitar credenciales a través de un portal oficial de la Institución que ofrece el servicio destinado para este fin. Para lo cual, debe considerar:
- Indicar en el formulario el nombre de la Institución, datos del contacto técnico y administrativo, nombre de la aplicación a integrar y url, además de otros datos que la Institución considere de interés
- Al cumplir con los requisitos establecidos en el manual técnico, se envían credenciales de integración.
- El administrador del mecanismo oficial de autenticación llevará un registro de los solicitantes con el detalle dentro del proceso.
- Entrega de credenciales de integración al OAE por parte del administrador del mecanismo oficial de autenticación: Una vez obtenida las credenciales de integración, la institución pública iniciará el proceso de implementación del mecanismo oficial de autenticación.
- Configurar ambientes de prueba.
- Seguir, al menos, los siguientes pasos para autenticar: generar token de seguridad, solicitud de autenticación, validación de estado, intercambio de código, obtención de usuario y cierre se de sesión. Los pasos necesarios para autenticar serán entregados por el administrador del mecanismo oficial de autenticación.
- Realizar pruebas de autenticación para garantizar el correcto funcionamiento antes de solicitar la activación en producción.
- Certificación de la integración y habilitación del mecanismo oficial de autenticación: Previo al proceso de activación de las credenciales de producción, la integración pasará por un proceso de certificación para validar que cumple con los requisitos solicitados por el OAE administador.
- Verificación de lineamientos gráficos y protocolos de integración.
- Implementación de endpoints y gestión segura de credenciales.
- Requisitos adicionales establecidos por el administrador del mecanismo oficial de autenticación.
Nota: para mayor información sobre la integración del Mecanismo Oficial de Autenticación ClaveÚnica, consultar Manual de integración de Claveúnica
¶ Revocación de uso de mecanismo oficial de autenticación
El administrador del mecanismo de autenticación establecerá los lineamientos de revocación del las credenciales entregadas a los OAEs, dentro de las cuales podrían encontrarse:
- Detección de actividad sospechosa: posibles ataques o accesos irregulares al mecanismo de autenticación.
- Falta de actualización del mecanismo de autenticación: no implementación de mejoras o actualización de versiones recomendadas.
- Fallas en la integración que comprometen la autenticación.
- Uso indebido de credenciales: emplear credenciales en plataformas diferentes a las registradas en la solicitud de credenciales de producción
- Modificaciones no autorizadas en la integración.
- Fallo en gestión de usuarios autenticados: administración incorrecta de inicio/cierre de sesiones.
- Solicitud del OAE de desactivar credenciales por cambios en el sistema.
- Incumplimiento de lineamientos establecidos en el respectivo manual técnico de integración.
¶ Mecanismos Oficiales de autenticación Vigentes
En conformidad con lo establecido en la norma técnica de autenticación, los mecanismos oficiales de autenticación son los señalados a continuación.
- Clave Única de la Secretaría de Gobierno Digital.
- Cédula de Identidad Digital del Servicio de Registro Civil e Identificación.
¶ Nuevos Mecanismos Oficiales de Autenticación
En este capítulo se presentan las directrices y procedimientos que los Órganos de Administración del Estado (en adelante OAE) debieran seguir para solicitar, evaluar y obtener autorización para la implementación de un mecanismo oficial de autenticación.
El protocolo aquí detallado garantiza que cualquier mecanismo de autenticación propuesto cumpla con los estándares técnicos, normativos y de seguridad necesarios para su integración en plataformas estatales. Para ello, se establecen criterios de revisión, procesos de certificación y condiciones de aprobación, que buscan fortalecer los procesos de autenticación digital de las personas.
Importante: Las plataformas de uso interno de un OAE y a la que acceden exclusivamente las y los funcionarios de un OAE, no requiere de la validación como mecanismo oficial de autenticación.
¶ Indicaciones generales
¶
Etapas del Proceso de Solicitud nuevo mecanismo de autenticación
A continuación se describe el procedimiento general para gestionar la solicitud y validación de un mecanismo de autenticación oficial por parte de un Órgano de Administración del Estado.
1. Órgano de la Administración del Estado ingresa solicitud
La institución interesada presenta una solicitud formal a Gobierno Digital con el propósito de incorporar un nuevo mecanismo de autenticación en su plataforma. Dicha solicitud detallará claramente las características del mecanismo propuesto e incluir los antecedentes técnicos, normativos y operativos que respalden y justifiquen su implementación, asegurando así su alineación con los estándares vigentes y las necesidades del servicio público
2. Gobierno Digital revisa antecedentes
Gobierno Digital examinará la documentación proporcionada por la institución solicitante para confirmar que el mecanismo de autenticación propuesto cumple con los estándares mínimos exigidos por la normativa vigente. Este análisis incluye una evaluación detallada de los aspectos relacionados con la seguridad, la interoperabilidad y la pertinencia técnica del mecanismo, asegurando su idoneidad dentro del ecosistema digital del Estado y su coherencia con los principios establecidos en la política de autenticación
3. Gobierno Digital emite observaciones, cuando corresponda
Cuando se identifican aspectos que requieren ajustes técnicos, normativos u operativos, Gobierno Digital formulará observaciones dirigidas al OAE solicitante. Estas observaciones detallan de manera explícita los puntos que tienen que corregirse antes de continuar con el proceso de revisión de antecedentes, asegurando que la integración del mecanismo de autenticación cumpla con los estándares definidos y no represente riesgos para el entorno digital del Estado.
4. Institución envía correcciones
Una vez recibidas las observaciones por parte de Gobierno Digital, la institución solicitante procede a realizar los ajustes indicados en la documentación técnica, normativa u operativa relacionada con el mecanismo de autenticación. Finalizadas las correcciones, remite nuevamente los antecedentes revisados para continuar con el proceso de evaluación, asegurando que todas las recomendaciones hayan sido atendidas de manera adecuada.
5. Revisión final por Gobierno Digital
Gobierno Digital realiza una última revisión de la documentación corregida con el fin de verificar que los ajustes solicitados hayan sido incorporados correctamente. Esta etapa busca garantizar el cumplimiento íntegro de los requisitos técnicos, normativos y operativos establecidos.
6. Resolución de aprobación o rechazo
Luego de la revisión final, Gobierno Digital determinará si el mecanismo de autenticación propuesto cumple con todos los criterios técnicos, normativos y operativos establecidos. En caso de que se verifique su conformidad, se emite una resolución formal de aprobación, autorizando su implementación en la plataforma institucional. Por el contrario, si persisten observaciones críticas o se identifican incumplimientos respecto a los estándares vigentes, la solicitud puede ser rechazada. En tal situación, se detallan explícitamente los motivos que fundamentan la decisión, con el fin de orientar a la institución sobre los ajustes necesarios en futuras presentaciones.
¶ Requisitos y Actores para la Solicitud de un nuevo Mecanismo de Autenticación
Esta sección identifica a los actores responsables del proceso de solicitud, describe la manera en que se formaliza la petición y detalla la documentación técnica y administrativa acompañada. También se precisan las instancias encargadas de analizar la solicitud y evaluar su viabilidad.
- Quién solicita: La solicitud la realizará el Coordinador de Transformación Digital (en adelante CTD) de la institución correspondiente, el cual tendrá que validar que los requerimientos y documentación necesaria sean enviados correctamente, además de coordinar las respuestas y ajustes necesarios durante el proceso de evaluación.
- A nombre de quién se realiza la solicitud: El Organismo de Administración del Estado tramitará un oficio el cual será dirigido al/la Director/a de la Secretaría de Gobierno Digital del Ministerio de Hacienda, lo que formaliza la petición como una iniciativa institucional. Éste oficio será enviado a través de DocDigital, donde se detallan los antecedentes del mecanismo propuesto y su justificación.
- Requisitos de ingreso de solicitud
- Oficio firmado por el/la Jefe/a de Servicio, en el que se exponga la necesidad del nuevo mecanismo de autenticación.
- Indicar correo institucional del Coordinador de Transformación Digital (CTD), que valide su pertenencia a la institución y asegure la trazabilidad del proceso.
- Documentación técnica, normativa y operacional que respalde la solicitud, incluyendo estándares de seguridad, requisitos de implementación, modelo de atención ciudadana, términos y condiciones.
¶ Alcance de la solicitud
La solicitud de incorporación de un nuevo mecanismo de autenticación incluirá los siguientes elementos para su evaluación y aprobación por parte de Gobierno Digital:
- Definición del Objetivo: Se especificará la finalidad del mecanismo propuesto, detallando por qué es necesario y potenciales usuarios del mecanismos de autenticación.
- Justificación del uso de mecanismo oficial de autenticación: La institución explicará porque no es viable la utilización de los mecanismos oficiales de autenticación existentes como ClaveÚnica o Cédula de Identidad Digital, incluyendo restricciones técnicas, normativas o de alcance que impidan la implementación del mecanismo oficial disponible.
- Minuta técnica ANCI: La institución adjuntará una minuta técnica emanada por ANCI, que da cuenta de una opinión técnica sobre el nuevo mecanismo propuesto.
- Definición del público objetivo: Especificar quiénes serán los usuarios del nuevo mecanismo de autenticación. Para ello, justificará la necesidad de un sistema exclusivo para uso público.
- Periodo de uso del nuevo mecanismo de autenticación: Indicar si el mecanismo tendrá un uso permanente o temporal, detallando la duración estimada y las condiciones que podrían modificar su vigencia.
¶ Documentación técnica, normativa y operacional nuevo mecanismo de autenticación.
¶ Requisitos técnicos del nuevo mecanismo de autenticación
Los Organismos de Administración del Estado presentarán un documento técnico en donde se especifique el funcionamiento del mecanismo de autenticación propuesto, el cual contendrá al menos los pitem recomendados en el capítulo: “1. Requisitos técnicos de los mecanismos oficiales de autenticación”
¶ Protocolo de integración del mecanismo con la plataforma del OAE
El mecanismo oficial de autenticación contará con un protocolo de integración formal y documentado que permita su incorporación con las distintas plataformas digitales de los Organismos. Este protocolo incluirá al menos:
- Manual técnico de integración: Indicando cómo integrar el mecanismo a nuevas aplicaciones, cómo implementar, la integración por ejemplo instrucciones detalladas para desarrolladores sobre cómo consumir los endpoints de autenticación/autorización, parámetros requeridos, manejo de tokens, scopes y claims y procedimiento de certificación y activación de credenciales de producción.
- Ambiente de pruebas (sandbox) y ambiente qa: Espacios de prueba aislados para validar la integración antes de activar en producción la aplicación.
- Lineamientos de uso de marca: Directrices para el uso de logos, paleta de colores, estilos visuales, textos y comportamientos del login, asegurando una experiencia coherente para todos los OAE que lo integren, cumpliendo con los estándares y directrices de diseño, usabilidad y accesibilidad establecidas en el UI Kit de la Secretaría de Gobierno Digital.
- Soporte y mantenimiento: Información sobre canales de soporte, tiempos de respuesta y mantenimiento programado del mecanismo.
¶ Términos y condiciones
El nuevo sistema de autenticación digital incluirá términos y condiciones de uso, que definan con claridad su funcionamiento, medidas de seguridad y responsabilidades para la ciudadanía y las instituciones que lo utilicen. Algunos aspectos clave a considerar son:
- Aceptación de términos y condiciones: forma de aceptar los términos y condiciones definidos e informados.
- Alcance: Regular el uso del nuevo mecanismo, estableciendo los derechos, obligaciones y responsabilidades de los Órganos de Administración del Estado (OAE) y los ciudadanos en su aplicación como sistema de autenticación digital.
- Disponibilidad y gestión del servicio: Detalle de mantenimientos programados, mejoras o ajustes técnicos, gestión de incidentes de seguridad y continuidad operativa, planes en caso de incumplimiento de términos y condiciones por parte de usuarios y/o instituciones.
- Derechos y obligaciones de los usuarios y OAEs: Uso en autenticación solo en entidades autorizadas, cumplimiento de estándares técnicos, garantizar la seguridad del sistema y reporte de incidentes.
- Glosario: Lista de términos relacionados al tema y sus definiciones correspondientes.
- Modificación de términos y condiciones: forma de informar los cambios de los términos y condiciones ajustados por la Institución.
- Privacidad y protección de datos: Datos personales que recopila el método de autenticación, registro de autenticación, considerando la Ley de protección de datos personales.
- Propiedad y uso del nuevo mecanismo de autenticación: El sistema de autenticación es propiedad de la institución que lo desarrolla, y su uso está limitado a entidades autorizadas. Cualquier modificación o integración con plataformas privadas debe ser aprobada previamente por la institución responsable.
¶
Modelo de atención para soporte ciudadano e institucional
El soporte de atención garantizará una experiencia clara, eficiente y segura para ciudadanos e instituciones que utilizan el nuevo mecanismo de autenticación. A continuación, se presentan los puntos mínimos a considerar:
- Canales de atención: Por ejemplo, plataforma en línea con sección de ayuda y preguntas frecuentes, atención telefónica para consultas urgentes, soporte vía correo electrónico y/o mensajería instantánea.
- Tipos de consultas: definir según su naturaleza y nivel de complejidad SLA de atención (Service Level Agreement) ciudadana e Institucional.
- Niveles de Soporte: indicar la forma en que se atienden consultas según su complejidad y el tipo de usuario.
- Procedimientos de Atención: garantizar una experiencia eficiente para ciudadanos e instituciones.
¶
Procedimiento de gestión interna Secretaría de Gobierno Digital
- Recepción de solicitud
La institución enviará el oficio de solicitud a través de la plataforma DocDigital, formalizando así su requerimiento de integración con el sistema de autenticación. Para avanzar con el análisis, se remitirán al correo electrónico claveunica@digital.gob.cl los siguientes documentos complementarios: el documento técnico, los términos y condiciones de uso, y el modelo de atención ciudadana e institucional.
Una vez validada la completitud de los antecedentes, el equipo técnico de Gobierno Digital realiza el análisis correspondiente. El plazo de revisión técnica (SLA) es de 20 días hábiles, contados desde la recepción completa de la documentación en el correo indicado y plataforma DocDigital. - Comunicación de Aprobación/Rechazo de solicitud:
La comunicación será realizada a través de un oficio enviado por la plataforma DocDigital dirigido al Jefe/a de Servicio de la institución solicitante. En caso de ser aprobado el nuevo mecanismo de autenticación su vigencia será permanente. - Canal de consultas:
Para resolver dudas sobre el proceso de integración, documentación requerida o aspectos técnicos del mecanismo de autenticación, las instituciones pueden ingresar sus consultas a través de la Mesa de Servicios de Gobierno Digital.
¶ Solicitud de factor de autenticación adicional según nivel de seguridad del trámite informado
En aquellos casos en que un procedimiento administrativo o trámite electrónico requiera un nivel de seguridad superior al proporcionado por el factor primario del mecanismo oficial de autenticación, la Secretaría de Gobierno Digital (SGD) podrá proveer uno o más factores adicionales que cumplan con los estándares de seguridad establecidos a lo largo de esta guía técnica. Sin perjuicio de lo anterior, el Órgano de la Administración del Estado (OAE) responsable del trámite deberá declarar formalmente el procedimiento que lo requiere, especificando su nivel de seguridad, el tipo de información tratada, los riesgos asociados y la justificación para la incorporación del factor adicional. Esta declaración y solicitud se realizará mediante el protocolo establecido por la SGD y requerirá la siguiente información:.
- Nombre del trámite o procedimiento: título oficial del trámite o plataforma afectada.
- Cliente ID Integración: identificador de la plataforma integrada a ClaveÚnica.
- Descripción breve: resumen de la finalidad del trámite en pocas líneas.
- Tipo de información manejada: indicar si incluye datos personales, financieros, de salud, etc.
- Nivel de riesgo: estimación de riesgo ante un acceso indebido (Bajo / Medio / Alto).
- Nivel de seguridad requerido: básico, medio o alto, según lo definido en el análisis de riesgos.
- Justificación técnica: breve explicación de por qué se requiere un nivel adicional.
- Fecha de implementación requerida: prevista o real.
- Responsable: nombre y cargo de la persona que valida la información.
¶ Agradecimientos
La Secretaría de Gobierno Digital agradece la colaboración de las siguientes personas, quienes participaron en el proceso validación del contenido mínimo que debe contener esta guía, fortaleciendo la calidad técnica de este documento:
- Cristian Bravo Lillo (ANCI)
- José Flores (CHILETEC)
- Federico Burgos (ACTI)
- Nicolas Chelebifski (SII)
- Andrés Loyola (SII)
- Claudio Delgado (CHILETEC)
- Thierry de Saint Pierre (ACTI)