Liveform - ARGOS Identity

1. Descripción general del documento

1.1 Propósito

Este documento es un recurso elaborado para que los equipos de revisión de seguridad y redes de organizaciones clientes externas puedan comprender la arquitectura de comunicación de red y las políticas de seguridad de datos del servicio Liveform proporcionado por ARGOS Identity.

1.2 Destinatarios

Responsables de revisión de seguridad e información de las organizaciones clientes
Personal de auditoría del lado del encargante en relaciones de encargo y recepción de tratamiento de información
Departamentos de cumplimiento normativo / auditoría

1.3 Alcance

Ruta de comunicación End-to-End del servicio Liveform
Métodos de cifrado en tránsito y en reposo
Mecanismos de autenticación y autorización
Control de acceso / auditoría / cumplimiento normativo

Este documento está redactado utilizando terminología de seguridad estandarizada y nombres de protocolos de uso común en la industria, y no incluye identificadores de recursos internos específicos de ARGOS Identity (nombres de servidores, funciones, dominios, etc.).

2. Introducción a la categoría de servicio

Liveform es una de las 4 categorías ofrecidas por ARGOS Identity, y es un servicio de verificación de identidad End-to-End que incluye interfaz de usuario (UI).

2.1 Características principales

Pantalla lista para usar de inmediato sin que la organización cliente implemente una UI propia
Realización integral de verificaciones dentro de un único flujo de trabajo
La organización cliente puede activar o desactivar cada elemento de verificación desde el panel de administración

2.2 Estructura de participantes

Rol	Descripción
End User	Usuario de la organización cliente. Ingresa imágenes de documento de identidad, selfis e información personal a través de la UI de Liveform
Cliente (Customer)	Empresa que encarga el procesamiento KYC a ARGOS (encargante en la relación de encargo y recepción de tratamiento de información)
ARGOS Identity	Encargado del tratamiento de información que realiza el procesamiento KYC y la entrega de resultados

3. Flujo de comunicación de red

3.1 Ruta de comunicación End-to-End (conceptual)

3.2 Descripción por etapas de comunicación

Etapa	Origen	Destino	Protocolo
① Carga de UI	Navegador del End User	CDN / Web de ARGOS	HTTPS (TLS)
② Envío de datos KYC	Navegador del End User	API Gateway de ARGOS	HTTPS (TLS) + cifrado adicional en capa de aplicación
③ Procesamiento de verificación	API Gateway	Cómputo serverless (Lambda)	Interno AWS (cifrado entre servicios)
④ Almacenamiento de datos	Capa de procesamiento de verificación	DynamoDB / S3	AWS SDK (HTTPS, SigV4)
⑤ Notificación de resultados	Capa de procesamiento de verificación	Endpoint Webhook del cliente	HTTPS (TLS 1.2+)
⑥ Estado de progreso en tiempo real	Capa de procesamiento	Navegador del End User	WSS (Secure WebSocket)

3.3 Tipos de datos

Clasificación de datos	Ejemplos	Método de tratamiento
Imágenes de documento de identidad	Pasaporte, licencia de conducir, etc.	Almacenamiento cifrado con KMS en almacenamiento de objetos
Imágenes faciales	Selfis, vídeos de detección de vida	Igual que el anterior
Información de identificación	Nombre, fecha de nacimiento, número de identificación	Los campos sensibles se almacenan en DB con cifrado adicional en capa de aplicación
Registros de actividad	Resultados de verificación, cambios de estado	Se conservan por separado en registro de auditoría (Audit Trail)

4. Protocolos y normas de comunicación

4.1 Seguridad de la capa de transporte

TLS 1.2 o superior obligatorio (todos los puntos de entrada externos son HTTPS únicamente)
Uso de certificados emitidos por AWS Certificate Manager (ACM) (renovación automática)
AWS CloudFront / API Gateway se encarga de la terminación TLS en los accesos externos

4.2 Protocolos utilizados

Protocolo	Uso
HTTPS (TLS 1.2+)	Todas las comunicaciones HTTP externas
WSS (Secure WebSocket)	Canal en tiempo real UI ↔ backend
AWS SigV4	Firma de autenticación para llamadas a servicios internos de AWS

4.3 Política de puntos de entrada externos

Los puntos de entrada expuestos al exterior se limitan exclusivamente a AWS API Gateway + AWS CloudFront
La capa de procesamiento de verificación no es accesible directamente desde el exterior (solo llamadas internas de AWS)

5. Cifrado de datos

5.1 Cifrado en tránsito (In-Transit)

Tramo	Método
End User ↔ Liveform UI	TLS 1.2+
Liveform UI ↔ API Gateway	TLS 1.2+
Payload de aplicación (campos sensibles)	Cifrado híbrido (véase 5.2)
Entre servicios AWS	Cifrado interno de AWS

5.2 Cifrado de payload en capa de aplicación (esquema híbrido)

Al payload transmitido desde el End User hacia la capa de procesamiento de verificación se le aplica un cifrado adicional además de TLS.

Componente	Algoritmo / Especificación
Intercambio de clave de sesión	RSA-2048 + OAEP padding + SHA-256
Cifrado del cuerpo	AES-256-GCM
Garantía de integridad	Verificación del Auth Tag integrado en modo GCM

Flujo de procesamiento:

El cliente genera una clave de sesión AES-256 de un solo uso
La clave de sesión se cifra con la clave pública del servidor (RSA-2048) y se transmite
El cuerpo se cifra con AES-256-GCM usando la clave de sesión
El servidor descifra la clave de sesión con la clave privada RSA → descifra el cuerpo + verifica el Auth Tag

5.3 Cifrado en reposo (At-Rest)

Activo de datos	Cifrado primario	Cifrado secundario (refuerzo selectivo)
Imágenes de documento / selfi (almacenamiento de objetos)	Cifrado lado servidor de AWS S3	AWS KMS
Información de identificación / datos personales (DB)	Cifrado lado servidor de DynamoDB	Los campos sensibles con AES-256 + AWS KMS
Registros de auditoría	Cifrado lado servidor de DynamoDB	—

5.4 Gestión de claves

Basado en AWS Key Management Service (KMS)
Uso de Multi-Region Key para una gestión de claves coherente entre regiones
AWS KMS está basado en HSM (Hardware Security Module) con certificación FIPS 140-2 Level 3

6. Autenticación y autorización

6.1 Etapa API Gateway — Autenticación primaria

Todas las llamadas de entrada externas deben superar la validación de API Key definida por AWS API Gateway para llegar a la capa de procesamiento de verificación.

API Key única por proyecto: ARGOS emite una clave independiente por proyecto de cliente
Validación de cabecera: API Gateway verifica automáticamente el valor de la cabecera de solicitud (x-api-key)
Ausencia o discrepancia: Rechazo inmediato en la etapa API Gateway (sin llegar a la capa de procesamiento de verificación)

6.2 Opcional — Lista blanca de IP (Custom Authorizer)

Se puede configurar una lista de IP de origen permitidas por proyecto
AWS Lambda Authorizer compara la IP del cliente con la lista blanca
En caso de discrepancia, se devuelve IAM Deny Policy → API Gateway rechaza la solicitud

6.3 Flujo especial — Private Token

Emisión y verificación de un token de un solo uso (Private Token) en flujos especiales como reverificación de identidad o reautenticación facial
Combinación de letras, números y _. de entre 8 y 64 caracteres
Almacenado en DynamoDB, con verificación de tiempo de expiración y estado de invalidación
Firma JWT (JSON Web Token) con HMAC-SHA256 aplicada

6.4 Bloqueo de bots y automatización

Aplicación de CAPTCHA Cloudflare Turnstile
El token se verifica en el servidor tras ser firmado con JWT (HMAC-SHA256)

6.5 Llamadas internas

Las llamadas entre servicios internos de AWS se basan en IAM Role + firma SigV4
Aplicación del principio de mínimo privilegio (cada servicio solo tiene acceso a los recursos necesarios)

7. Integridad y prevención de alteraciones

Tramo	Método de garantía de integridad
Cuerpo del payload	Verificación del Auth Tag del modo AES-256-GCM
Canal TLS	Integridad integrada en TLS 1.2+ (HMAC / AEAD)
Imágenes de documento de identidad	Verificación de suma de comprobación MRZ (Machine Readable Zone) + algoritmos de detección de alteraciones
Datos de entrada	Validación de formato y rango (correo electrónico, género, fecha de nacimiento, etc.)
Llamadas internas	Resumen de solicitud incluido en la firma AWS SigV4

8. Control de acceso y aislamiento

8.1 Aislamiento en capa de red

El acceso externo se limita a API Gateway / CloudFront
La capa de procesamiento de verificación no es accesible directamente desde el exterior
La capa de almacenamiento de datos solo es accesible mediante AWS SDK + IAM Role

8.2 Separación de privilegios

Principio de mínimo privilegio AWS IAM: solo se otorgan los permisos mínimos necesarios al rol de ejecución (Role) de cada servicio
Las llamadas directas entre servicios se limitan mediante IAM Policy

9. Registro y auditoría

9.1 Registros del sistema

Los registros de ejecución de todas las funciones serverless se recopilan automáticamente en AWS CloudWatch Logs
Las llamadas a la API de AWS se auditan automáticamente mediante AWS CloudTrail

9.2 Registros de aplicación

Los eventos por etapa de verificación se registran en una tabla de auditoría independiente (cambios de estado, resultados de verificación, acciones de administrador, etc.)

9.3 Retención

El período de retención de CloudWatch Logs / registros de auditoría de aplicación se define por separado según los requisitos de cumplimiento normativo

10. Cumplimiento normativo

10.1 Certificaciones obtenidas

ISO/IEC 27001 — Certificación de norma internacional de gestión de seguridad de la información

10.2 Certificaciones de infraestructura en la nube (heredadas de AWS)

Los servicios de AWS utilizados por ARGOS (Lambda, API Gateway, DynamoDB, S3, KMS, CloudFront) poseen las siguientes certificaciones:

SOC 1 / SOC 2 / SOC 3
ISO 27001 / 27017 / 27018
PCI-DSS Level 1
HIPAA Eligible
FedRAMP Moderate

10.3 Derechos del interesado

Procedimientos de respuesta a solicitudes (acceso, rectificación, supresión, portabilidad) basados en la Ley de Protección de Datos Personales / GDPR
Sujeto a acuerdo de tratamiento separado entre encargante y encargado

Apéndice A. Glosario de términos

Término	Definición
TLS	Transport Layer Security — protocolo de cifrado de capa de transporte
AES-256-GCM	Clave simétrica AES de 256 bits + Galois/Counter Mode (cifrado autenticado)
RSA-2048	Algoritmo de clave pública RSA de 2048 bits
OAEP	Optimal Asymmetric Encryption Padding (relleno estándar para RSA)
KMS	AWS Key Management Service (basado en HSM con certificación FIPS 140-2 Level 3)
SigV4	AWS Signature Version 4 (estándar de firma para llamadas a la API de AWS)
IAM	AWS Identity and Access Management
HMAC	Hash-based Message Authentication Code
JWT	JSON Web Token

Apéndice B. Consultas

Para consultas técnicas sobre este documento, póngase en contacto con el canal de soporte técnico y comercial de ARGOS Identity.

Resumen

Categorías de Servicio

Documentation Index

​1. Descripción general del documento

​1.1 Propósito

​1.2 Destinatarios

​1.3 Alcance

​2. Introducción a la categoría de servicio

​2.1 Características principales

​2.2 Estructura de participantes

​3. Flujo de comunicación de red

​3.1 Ruta de comunicación End-to-End (conceptual)

​3.2 Descripción por etapas de comunicación

​3.3 Tipos de datos

​4. Protocolos y normas de comunicación

​4.1 Seguridad de la capa de transporte

​4.2 Protocolos utilizados

​4.3 Política de puntos de entrada externos

​5. Cifrado de datos

​5.1 Cifrado en tránsito (In-Transit)

​5.2 Cifrado de payload en capa de aplicación (esquema híbrido)

​5.3 Cifrado en reposo (At-Rest)

​5.4 Gestión de claves

​6. Autenticación y autorización

​6.1 Etapa API Gateway — Autenticación primaria

​6.2 Opcional — Lista blanca de IP (Custom Authorizer)

​6.3 Flujo especial — Private Token

​6.4 Bloqueo de bots y automatización

​6.5 Llamadas internas

​7. Integridad y prevención de alteraciones

​8. Control de acceso y aislamiento

​8.1 Aislamiento en capa de red

​8.2 Separación de privilegios

​9. Registro y auditoría

​9.1 Registros del sistema

​9.2 Registros de aplicación

​9.3 Retención

​10. Cumplimiento normativo

​10.1 Certificaciones obtenidas

​10.2 Certificaciones de infraestructura en la nube (heredadas de AWS)

​10.3 Derechos del interesado

​Apéndice A. Glosario de términos

​Apéndice B. Consultas