...

A continuación se detallan, a nivel conceptual, los pasos a realizar por las aplicaciones para la correcta publicación y consumo de los servicios y el correcto procesado de la mensajería tanto que envían como que reciben.

Publicación de servicios:

Tal y como se especifica en la Normativa de Seguridad publicada por la Unidad de Seguridad TIC (USTIC) al respecto de los requisitos de seguridad web y que se puede encontrar en este enlace:

• Para la comunicación entre el servicio web y el usuario hay que cifrar siempre los canales de comunicación mediante TLS, que es un protocolo criptográfico que permite cifrar los canales de comunicación. Este protocolo, aplica privacidad, autenticación e integridad de datos como propiedades del canal de comunicación. La versión mínima debe ser TLS 1.2 y además hay que evitar utilizar algoritmos y protocolos criptográficos que tengan debilidades significativas conocidas o que sean insuficientes para los requisitos de seguridad actuales.

• Para la comunicación con otras aplicaciones y/o servicios web, emplear una criptografía robusta como en el punto anterior, es decir, TLS 1.2 o superior con algoritmos y protocolos sin debilidades, sea cual sea el método o protocolo utilizado, por ejemplo, HTTPS o FTPS.

Es decir, todas las publicaciones de servicios de interoperabilidad independientemente del protocolo o estándar utilizado, deben emplear como mínimo TLS 1.2. Esto implica que todos los servicios web tanto SOAP como REST que utilizan el protocolo HTTP se deben publicar mediante HTTPS, siguiendo las directrices indicadas por la USTIC.

Envío de mensajería:

Envío Asíncrono:

...