"Un boleto para todo". Es bajo este lema que los ferrocarriles federales suizos (SPF) brindan a sus clientes una oferta de movilidad integrada. Estos pueden comprar a través de una plataforma central no solo boletos de tren, sino también boletos para centros de bienestar, elevadores de esquí y transporte público local.

Más de 260 socios ponen a disposición de SBB estos servicios. Configurar dicho ecosistema digital requiere asumir una serie de desafíos de seguridad informática. En particular, para apoyar diferentes organizaciones de ventas, cada una con sus propios sistemas boutique y su propio panorama de aplicaciones. Y hacer cargo de la protección contra el fraude, el procesamiento de clientes delicados o garantizar la integridad de las transacciones financieras.

Zero Trust, Token e IAM

Esta es la razón por la cual SBB desplegó la solución de aire IAM (Identity and Access Management) de la compañía Zurich Ergon Informatik. Esta solución reúne varios conceptos de seguridad, como Zero Trust, el intercambio de token de intercambio y la gestión de autorizaciones. Los SCB, que emplean a unas 35,000 personas, tienen una solución estandarizada y escalable, que sirve como plataforma de autenticación central.

Con el enfoque de confianza cero, los equipos de TI de CFF aseguran que la identidad y las autorizaciones del usuario se verifiquen constantemente para minimizar los riesgos. Token Exchange permite, por su parte, el intercambio seguro de tokens de acceso entre diferentes áreas de confianza. Los tokens aseguran la verificación de la identidad y la de las autorizaciones de acceso de un usuario sin revelar la información de conexión adecuada. El intercambio de tokens facilita así la integración de aplicaciones entre diferentes organizaciones, como es el caso entre los CFF y sus socios.

La segmentación fortalece la seguridad

Para optimizar la seguridad, Airlock utiliza la segmentación. Por lo tanto, un servidor front-end puede contactar a un sistema de back-end en otra área de seguridad. Si cada área tiene sus propios tokens de acceso, el sistema frontal no puede transmitir el token existente, pero debe intercambiarlo por un nuevo sésamo con el servidor de autorización. Esta segmentación evita que un atacante acceda a otros servidores, al intercambiar tokens OAuth 2.0, desde un sistema de compromiso.

"El IAM de Airlock está perfectamente integrado en nuestro paisaje informático", dice Michael Gerber, el arquitecto de TI responsable del proyecto en el CFF. Es precisamente la simplicidad de la integración lo que nos convenció, tanto para la cobertura de varias instancias como para la velocidad de despliegue. »»