1. /
  2. Application Security for Mobile Network Providers
Seguridad de aplicaciones para proveedores de redes móviles

Seguridad de aplicaciones para proveedores de redes móviles

  • Lleve más aplicaciones al mercado más rápidamente
  • Promueva la innovación
  • Mantenga su red protegida

El portal de Symantec Code Signing le permite encontrar el equilibrio entre la innovación y la velocidad de salida al mercado y la seguridad de la red y los clientes.
Los proveedores de red móvil compiten ferozmente por los suscriptores y obtienen los beneficios de las redes más rápidas, los dispositivos más inteligentes y las mejores aplicaciones. Los operadores de redes móviles han recurrido a una creciente comunidad mundial de desarrolladores para ofrecer a los clientes más motivos que les lleven a usar sus dispositivos móviles. Sin embargo, el código con errores o malicioso no solo interrumpe el servicio que se le presta al usuario, sino que también pone en riesgo toda la red.
Leer la hoja de datos: Portal de firma de código Symantec

Cómo ayuda la firma de código a los proveedores de red móvil

El software descargado mediante redes móviles (con o sin el conocimiento del suscriptor) representa un riesgo real. En la venta de software tradicional, un comprador puede confirmar el origen de la aplicación y su integridad examinando el paquete. Symantec Code Signing crea una especie de "envoltorio" digital que muestra la fuente del código y confirma que no se haya modificado desde la firma. El portal de firma de código de Symantec ofrece a los proveedores de red móvil el control de la prueba y la aprobación del proceso antes de que el código llegue a la red.

Permita el acceso a las aplicaciones desde orígenes conocidos y aprobados

El portal de firma de código de Symantec requiere que los desarrolladores pasen por un proceso de validación riguroso y comprobado para adquirir un Id. de publicador. El desarrollador utiliza el Id. de publicador para firmar el código y, luego, lo carga en el portal de firma de código de Symantec. Symantec valida la firma del publicador, luego, quita la firma digital del publicador y genera un nuevo par de claves, firma el contenido y lo envía nuevamente al publicador con el Id. de contenido único, recién generado, para su uso seguro en la plataforma del publicador. Al requerir a los desarrolladores que firmen su código mediante un portal exclusivo, los operadores de red permiten el acceso a aplicaciones creadas por orígenes conocidos y verificados.

Integre la prueba al proceso de aprobación

El éxito en el mercado móvil requiere innovación constante para competir por los suscriptores y para aprovechar los servicios de datos que generan ingresos. Los proveedores de red y los distribuidores de plataformas móviles que integran Symantec Code Signing a su proceso de aprobación ayudan a acelerar el tiempo de salida al mercado mediante la optimización del proceso de desarrollo. Una vez que se cargan las aplicaciones, los revisores tienen acceso sencillo basado en Web a las firmas digitales para una rápida aprobación. Una API de publicador permite a los desarrolladores integrar Symantec Code Signing a su proceso de generación.

Más control y mejor protección

Con un certificado de firma de código tradicional, el desarrollador firma todos los códigos con la misma firma digital. Si se detecta código con errores o malicioso, el certificado se debe revocar y todo el código con la firma digital pierde su validez.
El portal de firma de código de Symantec utiliza un proceso de firma de dos pasos para crear una firma digital única para cada evento de firma de código. Como cada aplicación tiene una firma digital única, esta se puede rastrear y revocar sin interrumpir el acceso a otro código o contenido publicado por el desarrollador. Esto les brinda a los operadores de red más control y mejor protección de la red al mismo tiempo que estimula la innovación.

Servicio de firma de portal de marca privada

Para los proveedores de red y los distribuidores de plataformas móviles que desean tener control sobre la firma de código y el proceso de aprobación, Symantec ofrece un servicio de firma de portal de marca privada. Para obtener más información, póngase en contacto con: CodeSigningEMEA@symantec.com.

Preguntas más frecuentes del Portal de firma de código de Symantec

¿Qué es la firma de código y por qué la necesito?

La firma de código crea un "envoltorio" digital que muestra a los clientes la identidad de la empresa responsable del código y confirma que este no se ha modificado desde la aplicación de la firma. En la venta de software tradicional, un comprador puede confirmar el origen de la aplicación y su integridad examinando el paquete. Cada vez más, los clientes descargan aplicaciones a sus teléfonos móviles, instalan complementos y agregados, e interaccionan con aplicaciones sofisticadas basadas en Web. Si descargan código malicioso o con errores, se arriesgan a poner en peligro su propia seguridad y la funcionalidad de las redes móviles. Symantec Code Signing protege su marca y su propiedad intelectual al hacer sus aplicaciones identificables y más difíciles de falsificar o dañar mediante una firma digital.

¿Cómo funciona el Portal de firma de código de Symantec?

Los certificados de firma de código se basan en la criptografía de clave pública. Un desarrollador o publicador de software utiliza una clave privada para agregar una firma digital a su código o contenido. Las aplicaciones y plataformas de software utilizan una clave pública para descifrar la firma durante la descarga y comparar el hash usado para firmar la aplicación con el hash de la aplicación descargada. Es posible que el código firmado de una fuente de confianza sea aceptado automáticamente o que una advertencia de seguridad requiera que el usuario final vea la información de la firma y decida si confía o no en el código.
Con un certificado de firma de código, el desarrollador firma todos los códigos con la misma firma digital. Al hacerlo, identifica el origen del código y que el código no haya sido manipulado desde la firma. El portal de firma de código utiliza un proceso de firma de dos pasos para crear una firma digital única cada vez que se firma un código. Esto hace que cada versión de código publicada sea más fácil de seguir y de revocar. El desarrollador utiliza un Id. de publicador para firmar código e iniciar sesión en el portal de firma de código. A continuación, el desarrollador carga el código en el portal de firma de código. Symantec valida la firma del publicador, luego, quita la firma digital del publicador y genera un nuevo par de claves, firma el contenido y lo envía nuevamente al publicador con el nuevo Id. de contenido, recién generado.

¿Cuál es la diferencia entre un Id. de publicador y un Id. de contenido?

Un Id. de publicador es el certificado digital que usted recibe cuando se inscribe en un portal de firma. Contiene la información de su organización y se usa para firmar digitalmente el código o el contenido antes de que usted lo cargue en el portal de firma. También se usa para realizar la autenticación cuando se inicia sesión en el portal de firma. El Id. de contenido es el certificado único de firma de código que crea Symantec cuando se firma su contenido en el portal de firma. Es la única firma que será de confianza en el dispositivo del usuario final para realizar descargas y ejecuciones de manera segura. Para firmar código con un portal de firma, debe comprar un Id. de publicador y un paquete de Id. de contenido o "eventos de firma".

¿Cuántos Id. de publicador necesito?

Cada cuenta de un portal de firma de código viene con un Id. de publicador (también llamado certificado de administrador). Un administrador puede iniciar sesión en el portal de firma de código y comprar Id. de publicador adicionales para diferentes grupos de desarrollo de la organización. Al usar una sola cuenta con varios Id. de publicador, la organización tiene un portal para ver los eventos de firma de código y realizar un seguimiento, y cada grupo tiene una identidad única que se puede revocar o modificar para mayor seguridad.

¿Cuántos Id. de contenido o eventos de firma necesito?

Se consume un Id. de contenido cada vez que se firma una aplicación o un código. Los Id. de contenido se venden mediante el Portal de firma de código de Symantec en paquetes de eventos de firma. Usted necesitará un evento de firma para cada aplicación que firma, incluidas las versiones diferentes. Si tiene una aplicación con Windows Mobile que consiste en un archivo .cab que contiene un archivo .exe y un archivo .dll, firmar su aplicación genera tres firmas (una por cada archivo: .dll, .exe y .cab), pero solo se consume un evento de firma.

¿Debo firmar todos los archivos incluidos en el archivo .cab o solo el archivo .cab?

Se deben firmar todos los archivos ejecutables incluidos en el archivo .cab. El Portal de firma de código de Symantec firma automáticamente todos los archivos ejecutables incluidos cuando el archivo .cab se carga para la firma.

¿Cuánto tiempo toma realizar una firma de código con el Portal de firma de código de Symantec?

Symantec firma automáticamente las aplicaciones aprobadas. La firma de código puede tomar algunos minutos o varios días, según el tipo de servicios de firma que use y según los requisitos de la red móvil o de la plataforma del dispositivo. Para las aplicaciones que acceden a API seguras, es posible que el distribuidor o el proveedor de red requieran que se realicen pruebas. El desarrollador firma la aplicación y la envía al recinto de ensayos que, luego, la carga en el portal de firma de código. Symantec notifica al distribuidor o al proveedor de la red que la aplicación ya está lista para la firma. Cuando el distribuidor o el proveedor de la red aprueba la aplicación, Symantec completa el proceso de firma. Los desarrolladores pueden realizar un seguimiento del estado de su aplicación en el portal de firma de código. Para obtener más información acerca de los requisitos de aprobación y de pruebas, póngase en contacto directamente con el distribuidor o el proveedor de la red.

¿Por qué debo renovar mi Id. de publicador o Id. de administrador?

Los Id. de publicador y de administrador caducan después de 12 meses. Symantec utiliza un proceso sólido y probado para autenticar y verificar las organizaciones antes de emitir certificados de clase 3, como la firma de código. El proceso de renovación anual garantiza que una organización legítima use el Id. de publicador y que el contacto esté autorizado a desarrollar para esa organización. Este proceso es necesario antes de emitir certificados de firma de código, incluidos los Id. de publicador para usted.

¿Existe una manera de que el proceso de firma de código con el portal de firma de código se realice mediante script?

Symantec ofrece APIs para cuentas de fabricante y proveedor para utilizarlas con el Portal de firma de código de Symantec. Puede solicitar estas guías de APIs a su representante de cuentas local o su equipo de asistencia técnica.

¿Cuánto tiempo dura una firma digital?

El Portal de firma de código de Symantec firma código con firmas digitales de 10 años. Incluso si el Id. de publicador caduca, el Id. de contenido y la firma digital, que son únicos, siguen siendo válidos.

¿Puedo acceder a mi portal de firma de código en equipos diferentes?

Usted puede acceder al portal de firma de código en cualquier equipo con un token de USB que contenga el Id. de publicador, siempre que el equipo cumpla con los requisitos mínimos del sistema. Sin embargo, debe adquirir y descargar su Id. de publicador desde el mismo equipo. Si tiene problemas con la descarga, confirme que esté usando el mismo equipo, navegador y perfil de inicio de sesión que usó cuando se inscribió. Symantec recomienda que los desarrolladores compren Id. de publicador adicionales, en lugar de compartir certificados, para lograr una mejor administración y una mayor seguridad.

¿Cómo sabe alguien si puede confiar en mi firma digital?

Cuando simplemente firma su código, garantiza que este no ha sido manipulado y proviene de usted, pero no verifica quién es usted. Una autoridad de certificación de otro publicador es más confiable que un certificado autofirmado, porque el solicitante del certificado ha tenido que pasar un proceso de examen y autenticación. Cuando las aplicaciones y las plataformas de software verifican una firma digital, acceden a un certificado "raíz" para determinar si la autoridad de certificación que emitió el certificado es de confianza. Dado que los certificados raíz de Symantec están preinstalados en la mayoría de los dispositivos y están integrados en la mayoría de las aplicaciones, las firmas digitales de Symantec son de confianza en la mayoría de los casos, lo que reduce las alertas y los mensajes de error.

¿Qué sucede si pierdo mi token de USB o mi Id. de publicador, o si se ven afectados?

Un token de USB con un Id. de publicador o una contraseña de token no se puede reemplazar en caso de pérdida o robo porque usted no quiere que ninguna otra persona lo encuentre y lo use para iniciar sesión en su nombre. Si su clave privada se pierde o está en peligro, o si su información cambia, debe revocar el Id. de publicador de inmediato y reemplazarlo por un certificado digital nuevo.

Contactar con Ventas

Para aumentar las descargas primero inspire confianza
Firma de código para desarrolladores de Microsoft