Objetivo: Mejorar la gestión de seguridad y acceso entre etapas del onboarding.
Descripción: implementar controles de seguridad más estrictos en el proceso de onboarding para evitar el acceso directo a etapas intermedias sin la debida validación de los pasos anteriores. Es necesario mejorar la gestión de cookies y la validación de transiciones entre pasos.
Detalles de Implementación:
Eliminación de cookies Post-Registro: automatizar la eliminación de la cookie que contiene la información del ciudadano una vez que el proceso de onboarding (tercer paso) se complete satisfactoriamente.
Control de acceso a rutas: restringir el acceso directo a las rutas /liveness y /register asegurando que cada paso solo sea accesible después de haber completado y validado el paso anterior.
Implementación de token de validación (no obligatorio): considerar Introducir un sistema de tokens que se genere al finalizar cada etapa y sea necesario para acceder a la siguiente. Este token debe ser validado para permitir la transición a la siguiente página.
Auditoría de seguridad de cookies: realizar una revisión y fortalecimiento de las políticas de seguridad relacionadas con la gestión de cookies, especialmente las que almacenan datos sensibles como la cédula y nombre del ciudadano.
Resolución: la verificación de la cookie de debe realizar en el tercer paso (register) tomando en cuenta la el valor encriptado de la cookie generada en el segundo paso.
Objetivo: Mejorar la gestión de seguridad y acceso entre etapas del onboarding.
Descripción: implementar controles de seguridad más estrictos en el proceso de onboarding para evitar el acceso directo a etapas intermedias sin la debida validación de los pasos anteriores. Es necesario mejorar la gestión de cookies y la validación de transiciones entre pasos.
Detalles de Implementación:
/livenessy/registerasegurando que cada paso solo sea accesible después de haber completado y validado el paso anterior.Resolución: la verificación de la cookie de debe realizar en el tercer paso (register) tomando en cuenta la el valor encriptado de la cookie generada en el segundo paso.