luisza / dfva Goto Github PK

Hay que hacer varias pruebas para comprobar que los datos se validen con los formularios, con la nueva funcionalidad de verificación por formulario

Revisar las vistas y verificar que la institución que pide la comprobación sea la misma que lanzó la petición.

• POST /authenticate/{id_transaction}/institution_show/
• POST /sign/{id_transaction}/institution_show/

Se pretende que las verificaciones de documentos y certificados y las revisiones de suscriptor conectado no se guarden en la base de datos

y también

dfva/corebase/ca_management/simpleCA/init.py

y de requirements

./requirements.txt:pyOpenSSL==18.0.0

Actualmente la expresión regular para validar las cédulas es

r'^(\d{9,11})$'

pero estas no contemplan el formato del BCCR
que es algo como esto

  boolean dev=identification.matches("\\d{2}-\\d{4}-\\d{4}");
  if(!dev){
  	dev=identification.matches("[1|5]\\d{11}");
  }

Actualmente se utiliza la base de datos en plano, y se almacenan las claves sin mayor protección.
La idea era utilizar HSM, pero hay implicaciones técnicas que imposibilitan la implementación por lo que sería conveniente utilizar encripción de la base de datos para almacenar la información sencible y utilizar el salt como llave de encripción.

Otra opción podría ser almacenar parte en la base de datos y parte en sistema de archivos.

Indexar los modelos de petiones para que las consulta de check sean más rápidas.

No están echas las pruebas que verifican las rutas /sign/{id_transaction}/institution_show/