Introducción

Contexto SPIN

SPIN by OXXO nace y crece de manera acelerada. Entre los diversos retos que tiene en su evolución del producto y mejorar la experiencia de sus usuarios, hoy su proceso de autorización de transacciones interbancarias o inter usuarios es validada con un código de seguridad.

Buscan mejorar la experiencia que se tiene con el código de seguridad por dos razones principales: ​

  • Incrementar la seguridad migrando del código de seguridad a un token digital​

  • Mitigar la problemática existente de bloqueo de transacciones por olvido de código de seguridad y no contar con un proceso de reseteo del mismo.​

Objetivo general

Construir, en una primera fase, el desarrollo del motor generador de un token y, en una fase posterior, integrarlo con las pantallas del nuevo flujo para el front-end para autorización de transacciones vía el token digital para:​

  • usuarios nuevos, en su onboarding habilitar su token​

  • usuarios existentes, hacer su reemplazo de código de seguridad por token​

  • usuarios hoy con código de seguridad bloqueado, resetear y habilitar su token​

Índice

Table of Contents

Propuesta de solución

Una vez iniciado el proyecto, el equipo comenzó a analizar y diseñar las bases en las que estaríamos trabajando y lograr el objetivo principal. Para ello, dedicamos tiempo en entender la solución enconjunto con el equipo involucrado en SPIN principalmente.

Se identificaron los siguientes componentes a desarrollar en el tiempo:

Diagrama de arquitectura - Orden de despliegue

Marco tecnológico

Protocolo gRPC

En gRPC, una aplicación cliente puede llamar directamente a un método en una aplicación de servidor en una máquina diferente como si fuera un objeto local, lo que facilita la creación de aplicaciones y servicios distribuidos. Como en muchos sistemas RPC, gRPC se basa en la idea de definir un servicio, especificando los métodos que se pueden llamar de forma remota con sus parámetros y tipos de devolución. En el lado del servidor, el servidor implementa esta interfaz y ejecuta un servidor gRPC para manejar las llamadas de los clientes. En el lado del cliente, el cliente tiene un stub (denominado simplemente cliente en algunos idiomas) que proporciona los mismos métodos que el servidor.

Diagrama conceptual

Los clientes y servidores de gRPC pueden ejecutarse y comunicarse entre sí en una variedad de entornos, desde servidores dentro de Google hasta su propio escritorio, y pueden escribirse en cualquiera de los lenguajes compatibles con gRPC. Entonces, por ejemplo, puede crear fácilmente un servidor gRPC en Java con clientes en Go, Python o Ruby. Además, las últimas API de Google tendrán versiones gRPC de sus interfaces, lo que le permitirá incorporar fácilmente la funcionalidad de Google en sus aplicaciones.

¿Por qué querría usar gRPC?
Los principales escenarios de uso:

  • Sistemas distribuidos de baja latencia y altamente escalables.

  • Desarrollo de clientes móviles que se comunican con un servidor en la nube.

  • Diseñar un nuevo protocolo que debe ser preciso, eficiente e independiente del idioma.

  • Diseño en capas para permitir la extensión, por ejemplo. autenticación, balanceo de carga, registro y monitoreo, etc.

¿Quién está usando esto y por qué?
gRPC es una base de computación nativa en la nube(Proyecto CNCF).

Google ha estado usando muchas de las tecnologías y conceptos subyacentes en gRPC durante mucho tiempo. La implementación actual se está utilizando en varios de los productos en la nube de Google y en las API externas de Google. También está siendo utilizado por Square, netflix, CoreOS, ventana acoplable, CucarachaDB, cisco, Redes de enebroy muchas otras organizaciones e individuos e incluso en el sector fianciero y bancario.

Fuente:

https://grpc.io/docs/what-is-grpc/introduction/
|
https://fintechdigital.atlassian.net/wiki/spaces/TPP/pages/2365653064

Protocolo REST

¿Qué es REST?
La transferencia de estado representacional (REST) es una arquitectura de software que impone condiciones sobre cómo debe funcionar una API. En un principio, REST se creó como una guía para administrar la comunicación en una red compleja como Internet. Es posible utilizar una arquitectura basada en REST para admitir comunicaciones confiables y de alto rendimiento a escala. Puede implementarla y modificarla fácilmente, lo que brinda visibilidad y portabilidad entre plataformas a cualquier sistema de API.

Los desarrolladores de API pueden diseñar API por medio de varias arquitecturas diferentes. Las API que siguen el estilo arquitectónico de REST se llaman API REST.

Fuente: https://aws.amazon.com/es/what-is/restful-api/#:~:text=La API RESTful es una,llevar a cabo varias tareas.

Pruebas automatizadas con Rest Assured

REST Assured es un DSL de Java para simplificar las pruebas de servicios basados ​​en REST construidos sobre HTTP Builder. Admite solicitudes POST, GET, PUT, DELETE, OPTIONS, PATCH y HEAD y se puede utilizar para validar y verificar la respuesta de estas solicitudes.

Fuente:

https://github.com/rest-assured/rest-assured/wiki/Usage

K6

¿Qué es k6?

Grafana k6 es una herramienta de pruebas de carga de código libre que hace fácil a equipos de software testear el rendimiento de sus aplicaciones.

Con k6, puedes testear la fiabilidad y rendimiento de aplicaciones e identificar regresiones y errores más tempranamente. k6 te ayudará a construir aplicaciones rápidas y robustas que puedan escalar.

Casos de uso

Los usuarios de k6 suelen ser desarrolladores, ingenieros de control de calidad y DevOps. Ellos utilizan k6 para probar el rendimiento de las APIs, los microservicios y los sitios web. Los casos de uso más comunes de k6 son:

  • Pruebas de carga. k6 está optimizado para un consumo mínimo de recursos del sistema y diseñado para ejecutar pruebas con alta carga (spike, stress, soak tests) .

  • Browser testing. Con k6 browser, puedes interactuar con el navegador para validar la interfaz web o rendimiento. Ejecuta browser tests juntos o separados de otros tests de carga.

  • Pruebas de chaos. Puede utilizar k6 para simular tráfico como parte de sus experimentos de chaos, lanzarlos desde el script de k6 o injectar fallos en Kubernetes con xk6-disruptor.

  • Monitoreo del rendimiento. Con k6, puede automatizar la ejecución de tests frequentemente con una pequeña cantidad de carga para supervisar continuamente el rendimiento y disponibilidad de su entorno de producción.

¿Qué no hace k6?

k6 es una herramienta de pruebas de carga de alto rendimiento, que se puede programar en JavaScript. El diseño de la arquitectura para tener estas capacidades trae algunas compensaciones:

  • No ejecuta nativamente en un navegador

    Por defecto, k6 no renderiza las páginas web de la misma manera que lo hace un navegado. Los navegadores pueden consumir muchos recursos del sistema. No usando el navegador, nos permite ejecutar tests de más carga en una misma máquina. Sin embargo, con k6 browser, puedes interactuar con navegadores reales y monitorizar métricas del frontend en tus tests de k6.

  • No se ejecuta en NodeJS. Por lo general, JavaScript no es adecuado para obtener un alto rendimiento. Para lograr el máximo rendimiento, la herramienta en sí está escrita en Go, incorporando un tiempo de ejecución de JavaScript que permite un fácil scripting de pruebas. Si quieres importar módulos npm o librerías usando las APIs de NodeJS, puedes empaquetar módulos npm con webpack e importarlos en tus pruebas.

Fuente:

https://k6.io/docs/es/#que-es-k6

Entregables

A continuación, enlistaremos los entregables comprometidos para este proyecto y la documentación que dejamos como referencia para dar contexto e incluso la continuidad de la siguiente fase de implementación en los procesos que así lo considere SPIN.

Lo que podrán encontrar son los diseños de arquitectura, códigos fuente, documentación específica entre otros.

Token Digital

El Token Digital está compuesto de los siguientes componentes, los cuales se conectan al servicio de agregación que es el que se expone para ser consumido de acuerdo con los intereses que así lo considere SPIN.

A continuación dejamos el diagrama de arquitectura que muestra la conexión entre componentes que brinda nuestra solución:

Diagrama de Arquitectura - Token Digital

 

El detalle de los componentes los encontrarán en las siguientes URLs:

Servicio

URL

Aggregation Service

https://fintechdigital.atlassian.net/wiki/spaces/TPP/pages/2404941832

Token Service

https://fintechdigital.atlassian.net/wiki/spaces/TPP/pages/2365030494

HSM Adapater Service

https://fintechdigital.atlassian.net/wiki/spaces/TPP/pages/2373943297

Token Activation Service

https://fintechdigital.atlassian.net/wiki/spaces/TPP/pages/2365292650

Autorización desde app web

Para implementar este flujo es necesario que la aplicación tenga una funcionalidad que permita generar un token digital y presentárselo al usuario para que lo ingrese en otro medio, por ejemplo una PWA. Los pasos a seguir son los siguientes:

  1. Autenticación desde la página web y pantalla de solicitud de Token digital.

  2. Generación de token digital en el dispositivo.

  3. Validación de token digital y generación de token de autorización de acción protegida.

  4. Validación de token de autorización de acción protegida y ejecución de acción protegida.

Diagrama de secuencia - Autorización Token para web

Mock del cliente

Se construyó un mock para realizar pruebas de desarrollo emulando un cliente de la aplicación.

Herramienta usada: Vue 2.

Escenario

Descripción

URL

Escenario básico

Este escenario agrupa las funcionalidades básicas para usar token digital desde un dispositivo

https://fintechdigital.atlassian.net/wiki/spaces/TPP/pages/2385477827/Mock+cliente#Escenario-b%C3%A1sico

Escenario PWA

En éste escenario se usa el dispositivo para generar el TOTP y la validación se realiza en la PWA

https://fintechdigital.atlassian.net/wiki/spaces/TPP/pages/2385477827/Mock+cliente#Escenario-PWA

Escenario de Autenticación vía OTP

Es este escenario el TOTP es generado y validado directamente por el servidor, para ello se transfiere al usuario el TOTP a través de un tercer factor de autenticación.

https://fintechdigital.atlassian.net/wiki/spaces/TPP/pages/2385477827/Mock+cliente#Escenario-de-Autenticaci%C3%B3n-via-OTP

Entregas parciales por sprint

Nuestro proyecto fue planetado realizarse en un tipo de 12 sprints dividios en sprint de 2 semanas cada uno, con el objetivo de entregar valor a través del trabajo comprometido en el equipo.

Es por ello que, en elsiguiente link encontrarán los objetivos comprometidos y los entregables que evidencian nuestras entregas parciales e incrementales:

https://fintechdigital.atlassian.net/wiki/spaces/TPP/pages/2333475124

Asimismo, se realizaron 2 revisiones de avances para dar seguimiento estratégico a los principales stakeholders y sponsors del proyecto.

Documentación adicional

Documento

Descripción

URL

Aprobador

Diagramas de Arquitectura (C4, primeros 2 niveles)

Conjunto de diagramas que describen los componentes del proyecto.​

https://fintechdigital.atlassian.net/wiki/spaces/TPP/pages/2346483713

Miguel C

Diagramas de secuencia

Esquemas conceptuales que representa el comportamiento del sistema del proyecto.

https://fintechdigital.atlassian.net/wiki/spaces/TPP/pages/2363293843

Miguel C

Configuración para iniciar microservicio

Serie de valores que permiten administrar la configuración de los microservicios desarrollados.

https://fintechdigital.atlassian.net/wiki/spaces/TPP/pages/2490007582

Miguel C

Postman de los servicios

Colecciones de lo que se ha desarrollado para automatizar, configurar pruebas y comprobar el correcto funcionamiento.

https://fintechdigital.atlassian.net/wiki/spaces/TPP/pages/2404941832/ffss-token-aggregation-service#Datos-de-prueba

Jessy Schuler

Documentación de endpoints​

En formato Swagger documentar los endpoints desarrollados para el proyecto.​

https://fintechdigital.atlassian.net/wiki/spaces/TPP/pages/2373779457
 

https://fintechdigital.atlassian.net/wiki/spaces/TPP/pages/2362966155

Miguel C + JC del Villar

Diccionario de datos - MongoDB

Listado de nombres, definiciones y características de los campos y atributos de la base de datos a utilizar para el proyecto.

https://fintechdigital.atlassian.net/wiki/spaces/TPP/pages/2467921943

Miguel C

Plan de pruebas

Plan de pruebas donde se describen el detalle de las pruebas a ejecutarse en el proyecto.

https://fintechdigital.atlassian.net/wiki/spaces/TPP/pages/2372108289

Dorian Romero

Casos de prueba

Identificar en los casos de prueba del proyecto las etiquetas que permitan la ejecución del set de pruebas correspondiente en formato CSV

https://fintechdigital.atlassian.net/wiki/spaces/TPP/pages/2383642658

Dorian Romero

Ejecución de pruebas

Evidencia del proceso de pruebas ejecutado para el proyecto con los resultados arrojados. - Scripts de pruebas automatizadas (REST + gRPC), resultados y evidencias

https://fintechdigital.atlassian.net/wiki/spaces/TPP/pages/2382659747
 

Hugo Flores

Diagramas de infraestructura

Diagramas que permitan comprender la infraestructura del proyecto para que se pueda administrar, mejorar y mantener seguro.

 

https://fintechdigital.atlassian.net/wiki/spaces/TPP/pages/2346483713/Arquitectura+Token+Digital+-+SPIN#Diagrama-de-infraestructura

Ricardo P + Miguel C

Capacidades de microservicios (pods)

Conocer la proyección de consumo de los endpoints del proyecto.​

https://fintechdigital.atlassian.net/wiki/spaces/TPP/pages/2472968218

Mario Mendez

Métricas para monitoreo de infraestructura (logs para crear dashboards)

Los servicios del proyecto estarán reportando su estado mediante dos vías: reporte de logs y reporte de métricas.

https://fintechdigital.atlassian.net/wiki/spaces/TPP/pages/2485682258/Observabilidad+de+servicios+-+Token+Digital#Reporte-de-logs

Mario Mendez

Métricas para monitoreo de negocio/semántico

Planificar de acuerdo con los objetivos o estrategia de la funcionalidad del negocio.

https://fintechdigital.atlassian.net/wiki/spaces/TPP/pages/2485682258/Observabilidad+de+servicios+-+Token+Digital#Reporte-de-m%C3%A9tricas

Mario Mendez

Estrategia y ejecución de pruebas

Plan de estrategia

Para lograr los resultados esperados y considerar casos positivos y negativos se realizó una estrategia de pruebas para garantizar el uso correcto del framework de QA que se tiene en SPIN, nuestros desarrollos llegarán hasta staging, por lo que garantizar que funcione de acuerdo con lo diseñado, es de suma importancia para este proyecto.

Consulta el detalle del Plan de estrategia:

https://fintechdigital.atlassian.net/wiki/spaces/TPP/pages/2372108289

Secciones del plan de prueba

Sección

Descripción

URL

Casos de prueba

Los casos de prueba son los escenarios que se utilizan para medir la funcionalidad de la aplicación a través de un conjunto de ciertas acciones o condiciones para verificar los resultados esperados.

https://fintechdigital.atlassian.net/wiki/spaces/TPP/pages/2383642658

Automatización de pruebas

Es el proceso de utilizar herramientas de software que ejecutan software recién desarrollado o actualizaciones a través de una serie de pruebas para identificar posibles errores de codificación, cuellos de botella y otros obstáculos para el rendimiento.

https://fintechdigital.atlassian.net/wiki/spaces/TPP/pages/2419523695

https://fintechdigital.atlassian.net/wiki/spaces/TPP/pages/2419818670

Pruebas de rendimiento

Evalúan el rendimiento de un sistema con una carga de trabajo determinada. Ayudan a medir la fiabilidad, la velocidad, la escalabilidad y la capacidad de respuesta de una aplicación.

https://fintechdigital.atlassian.net/wiki/spaces/TPP/pages/2466283608

https://fintechdigital.atlassian.net/wiki/spaces/TPP/pages/2466447471

Ejecución de pruebas

Tipo de prueba

Resultados

Pruebas Automatizadas

https://fintechdigital.atlassian.net/wiki/spaces/TPP/pages/2383806538

Pruebas de Rendimiento

https://fintechdigital.atlassian.net/wiki/spaces/TPP/pages/2382790799

Transferencia de conocimiento (KT)

Con la finalidad de garantizar el éxito de la entrega de los compromisos de este proyecto, compartimos el material que se trabajó en nuestro periodo de transferencia de conocimiento con el propósito de mostrar el resultado de lo trabajado.

Roadmap

Para más detalle:

https://fintechdigital.atlassian.net/wiki/spaces/TPP/pages/2450194433

Dificultades encontradas

La ejecución de desplegar el código en ambientes previos, la interacción, el flujo de trabajo y la resolución de problemas con Genesys, fueron temas que provocaron atrasos por la falta de conocimiento de sus procesos, la participación repentina e incluso por la falta de acuerdos de equipos. Es importante que cada nuevo involucramiento con una área, un nuevo proceso o equipo de trabajo que pudiera impactarnos, tener una sesión de alineamiento para generar los acuerdos, explicar el objetivo del proyecto, compartir los pedidos y fechas posibles de entrega para coordinar los espacios y se de seguimiento al trabajo colaborativo.

Conclusiones generales

El generador del Token Digital, se encuentra disponible para ser consumido de acuerdo con los intereses de la empresa.

Sugerimos explorar otros métodos de cifrado, mecanismos que ayuden a reforzar la seguridad, entre otros para seguir evolucionando de acuerdo con el alcance y nuevas formas de usar este componente.


https://fintechdigital.atlassian.net/browse/PALO-461