8 ene. 2011

Información "pública" en sitio de AFIP

Tal y como publicó Fernando hace unos días, había errores en la implementación del sistema de datos biométricos de AFIP y ahora, en este comentario en el sitio de Fabio, alguien ha publicado que varios Web Service de Regimen Percepcion IVA (wswhomo) de AFIP se encuentra publicado (¿por error?).
La información corresponde a certificados digitales, credenciales de acceso, archivos de la implementación de los WS sobre HTTPS (muy importante considerando que los fuentes están publicados), archivos PDF con manuales de uso y de programación (¡sic!), archivos fuentes PHP y de texto TXT con información personal, incluso de números de CUIT de empresas y ciudadanos argentinos:

Luego de 4 días de haberse publicado ese comentario, la información sigue estando disponible para cualquier usuario, sin autenticación.

Mientras muchos se llenan la boca hablando sobre las regulaciones argentinas y que somos un país avanzado porque tenemos leyes, nadie parece preocuparse por hacerlas cumplir.

¿Es esto legal? ¿Cumple AFIP con la ley de Habeas Data? ¿Qué hace la DNPDP sobre el asunto?

Actualización 09/01: gracias al comentario de Alan, parece ser que esa es la información que AFIP brinda para desarrollar aplicaciones usando los Webservices de AFIP.

Actualización 15/01: a pesar de que supuestamente la información era pública y estaba disponible para los desarrolladores luego de nuestra denuncia los documentos fueron eliminados, como se ve a continuación.

Cristian de la Redacción de Segu-Info

6 comentarios:

  1. No está publicado por error. Es la documentación que te dan para desarrollar aplicaciones usando los Webservices de AFIP. Son docs y ejemplos dummy y es todo válido únicamente para el entorno de homologación.

    ResponderEliminar
  2. Estimados, más allá que sea información con documentación para el desarrollo de aplicaciones, la misma no puede realizar una infracción a la normativa vigente de Protección de Datos Personales en Argentina.

    En el caso concreto, por ser una base que pertenece a un órgano del Estado, la misma debe cumplir con el nivel de seguridad MEDIO (Disposición 11/2006 DNPDP) (además del básico por supuesto). En el caso que se realice tratamiento de datos sensibles, debería cumplirse con el nivel ALTO.

    Según he podido revisar, en la documentación publicada, existen "restos" de datos personales reales, utilizados para la prueba y puesta en funcionamiento del sistema. Dicha publicación, es clara infracción al pto. 7 de las normativa de Seguridad de Nivel Medio de la Disposición 11/2006 que dice:

    7. Las pruebas de funcionamiento de los sistemas de información, realizadas con anterioridad a su puesta operativa no se realizarán con datos/archivos reales, a menos que se aseguren los niveles de seguridad correspondientes al tipo de datos informatizados tratados.

    Conclusión: DEBE respetarse con la normativa de protección de datos personales, máxime si se trata de tratamiento por parte del Estado, quien debería ser ejemplo para la sociedad.

    Esto es sólo analizando uno de los puntos, quisiera ver la demostración de todos los demás puntos de seguridad (como por ejemplo, los informes de las auditorías internos o externas que se obliga a realizar anualmente).

    De manera que cito y apoyo el último párrafo de Cristian...

    ¿Es esto legal? ¿Cumple AFIP con la ley de Habeas Data? ¿Qué hace la DNPDP sobre el asunto?

    ResponderEliminar
  3. ¿El CUIT es un dato crítico?

    FYI: la AFIP publica un padrón completo con los CUITs, nombres y apellidos, situación tributaria, etc.:

    http://www.afip.gob.ar/genericos/cInscripcion/archivoCompleto.asp

    La misma información está disponible online para obtener constancias de inscripción (que, hasta donde tengo entendido, es necesario verificar para realizar operaciones comerciales):

    https://seti.afip.gob.ar/padron-puc-constancia-internet/ConsultaConstanciaAction.do

    Si bien no los he podido revisar porque no están más publicados, en este caso seguramente eran CUIT especiales de empresas relacionados a la operatoria del servicio web de percepción de IVA (o sea, datos de público conocimiento), necesarios para poder probar los sistemas en homologación (la prueba no se realiza con datos reales ya que son datos ficticios sin ninguna validez fiscal)

    Igualmente tanto al realizar las pruebas como en producción, entiendo que tecnicamente (del lado del usuario) se contemplaría el nivel de seguridad correspondiente ya que se establecen canales de comunicación encriptados y se identifica a los usuarios mediante certificados digitales (claves públicas y privadas).

    Pueden interiorizarse sobre webservices de AFIP en el sitio de nuestro proyecto de software libre :

    http://www.pyafipws.com.ar/

    Espero que AFIP vuelva a subir la información técnica ya que es muy importante para los desarrolladores y contribuyentes, respecto a la transparencia e igualdad de condiciones, entre otros.

    ResponderEliminar
  4. Hola Mariano,

    Tal y como dices, si es necesario AFIP, debería subir de nuevo la info en forma transparente, documentada, en su sitio destinado para ese fin y siguiendo un proceso acorde a la importancia y relevancia de la información involucrada.

    Cristian

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!