Ruta: Portal de Indecopi (http://www.indecopi.gob.pe/) Reglamentos Tcnicos (http://www.indecopi.gob.pe/destacado-reglamentos-comisiones-crt-pres.jsp) Firmas Digitales (http://www.indecopi.gob.pe/destacado-reglamentos-firmaDigital-preg-frec.

jsp)

Fuente: http://www.indecopi.gob.pe/servicios-FirmaCerDigital-que-es.jsp

FIRMA Y CERTIFICACIN DIGITAL PRESENTACIN

La firma digital es una herramienta tecnolgica que permite garantizar. la autora e integridad de los documentos digitales, posibilitando que stos gocen de una caracterstica que nicamente era propia de los documentos en papel. Una firma digital es un conjunto de datos asociados a un mensaje digital que permite garantizar la identidad del firmante y la integridad del mensaje. La firma digital no implica asegurar la confidencialidad del mensaje; un documento firmado digitalmente puede ser visualizado por otras personas, al igual que cuando se firma hologrficamente. La firma digital es un instrumento con caractersticas tcnicas y normativas, sto significa que existen procedimientos tcnicos que permiten la creacin y verificacin de firmas digitales, y existen documentos normativos que respaldan el valor legal que dichas firmas poseen.

FIRMA Y CERTIFICACIN DIGITAL - LEGISLACIN

Regulacin sobre Firmas Digitales 1. Ley N 27269 Ley de Firmas y Certificados Digitales y su modificatoria Ley 27310 2. Ley N 28403 que dispone la reaudacin de un aporte por supervisin y control anual por parte del Indecopi de las Entidades de Certificacin y de Verificacin/Registro de Firmas Digitales Acreditadas bajo su mbito. 3. D.S. N 019-2002-JUS Reglamento de la Ley de Firmas y Certificados Digitales y su modificatoria D.S N 024-2002-JUS 4. Res N 0103-2003/CRT-INDECOPI que aprob las Disposiciones Complementarias al Reglamento de la Ley de Firmas y Certificados Digitales.

FIRMA Y CERTIFICACIN DIGITAL PROCEDIMIENTOS

Procedimientos Todos los procedimientos para una Acreditacin en Firmas Digitales se inician en la Secretara Tcnica de la Comisin de Reglamentos Tcnicos y Comerciales; y se resuelven por la Comisin de Reglamentos Tcnicos y Comerciales. Acreditacin de Entidades de Certificacin de Firmas Digitales: Acreditacin de Entidades de Verificacin/ Registro de Firmas Digitales:

Acreditacin de Entidades de Certificacin de Firmas Digitales: 1. El costo de este procedimiento equivale al 100% de la UIT. El pago debe realizarse en las oficinas del Indecopi. 2. Debe presentarse una solicitud dirigida al Secretario Tcnico de la Comisin de Reglamentos Tcnicos y Comerciales. 3. Presentar una copia de la Escritura Pblica de Constitucin de la empresa solicitante; y adjuntar los poderes* correspondientes. 4. Presentar la Memoria Descriptiva de acuerdo al formato aprobado por la Comisin de Reglamentos Tcnicos y Comerciales; as como el organigrama estructural y funcional. 5. Adjuntar documentos que acrediten el domicilio del pas. 6. Presentar una Declaracin Jurada que seale que se cuenta con la infraestructura e instalaciones necesarias. 7. Declaracin de prcticas de certificacin y documentacin que comprende el sistema de gestin implementado conforme a los incisos a y d del artculo 11 del Reglamento. 8. Declaracin jurada del cumplimiento de los requisitos sealados en los incisos b y c del artculo 11 del Reglamento. 9. Informe favorable de la entidad sectorial correspondiente, cuando lo solicite la autoridad administrativa competente, en caso de personas jurdicas supervisadas. 10. Constancia de pago de los derechos administrativos correspondientes.

Acreditacin de Entidades de Verificacin/ Registro de Firmas Digitales: 1. El costo del presenta procedimiento es equivalente al 100% de la UIT. El pago debe realizarse en las oficinas del Indecopi. 2. Debe presentarse una solicitud dirigida al Secretario Tcnico de la Comisin de Reglamentos Tcnicos y Comerciales. 3. Adjuntar una copia de la Escritura Pblica de Constitucin de la empresa solicitante, as como los poderes* correspondientes. 4. Presentar una Memoria Descriptiva de acuerdo al formato aprobado por la Comisin de Reglamentos Tcnicos y Comerciales. 5. Declaracin Jurada que indique que se cuenta con la infraestructura e instalaciones necesarias. 6. Documentos que acrediten el domicilio en el pas. 7. Declaracin de prcticas de verificacin/ registro. 8. Declaracin Jurada que indique el cumplimiento de los requisitos sealados en los artculos 33 y 34 del Reglamento. 9. Constancia de pago de los derechos administrativos correspondientes.

Nota: a. b. Los gastos de la auditora sern de cuenta del solicitante El plazo mximo de tramitacin es, de acuerdo a ley, de 120 das hbiles. Si luego de la Resolucin emitida por la autoridad del Indecopi, el solicitante desea presentar un Recurso de Reconsideracin o un Recurso de Apelacin y/o Adhesin, debe hacerlo dentro de los 15 das tiles posteriores a la Notificacin de dicha Resolucin. (El trmite tiene un costo equivalente al 10% de la UIT).

c.

* Especificaciones para la entrega de poderes:

a. b. c.

Personas Naturales: la firma deber estar legalizada por un Notario. Personas Jurdicas: el documento deber contener las facultades otorgadas al representante y la representacin con la que acta el Poderdante; su firma deber ser legalizada por un Notario. Poderes Otorgados en el Extranjero: estos debern estar legalizados por un funcionario consular peruano.

d.

Poderes Otorgados en Idioma Extranjero: debern presentarse con su correspondiente traduccin al idioma espaol (el responsable de la traduccin debe suscribir el documento).

FIRMAS DIGITALES - GUAS DE ACREDITACIN PARA ENTIDADES DE CERTIFICACIN DIGITAL Y ENTIDADES CONEXAS
El Reglamento de Firmas y Certificados Digitales aprobado por el Decreto Supremo 019-2002-JUS design a INDECOPI como Autoridad Administrativa Competente de la Infraestructura Oficial de Firma Digital.

Esta condicin fue ratificada por el Reglamento que reemplaz a aquel, aprobado por el Decreto Supremo 004-2007-PCM y publicado el 14 de enero de 2007 en el Diario Oficial El Peruano.

En tal condicin, el INDECOPI -a travs de su Comisin de Reglamentos Tcnicos y Comerciales- ha aprobado: 1) la Gua de Acreditacin para Entidades de Certificacin Digital; 2) la Gua de Acreditacin para Entidades de Verificacin / Registro de Datos; 3) la Gua de Acreditacin para Prestadoras de Servicios de Valor Aadido.

Cada Gua puede definirse como el conjunto sistematizado de los requisitos a ser cumplidos por la empresa u organismo que desee obtener, de la Comisin de Reglamentos Tcnicos y Comerciales de INDECOPI, su acreditacin como Entidad de Certificacin Digital, o como Entidad de Registro / Verificacin de Datos, o como Prestadora de Servicios de Valor Aadido (como por ejemplo el servicio de intermediacin electrnica).

Las Guas fueron elaboradas por un equipo de consultores que fue contratado gracias al financiamiento del Programa de Modernizacin y Descentralizacin del Estado de la Presidencia del Consejo de Ministros. De ellas se puede afirmar que:

Se encuentran ajustadas a la Ley de Firmas y Certificados Digitales (N 27269), al Reglamento de la misma y a las normas tcnicas internacionales sobre la materia; cada uno de los requisitos de acreditacin sealado en las Guas contiene la referencia correspondiente a la ley, el reglamento y las normas tcnicas internacionales pertinentes;

Recogen las principales observaciones formuladas por el Registro Nacional de Identificacin y Estado Civil -RENIEC-, que fue el nico agente pblico o privado que present observaciones durante el perodo de discusin pblica de los proyectos;

El documento principal -el proyecto de Gua de Acreditacin de Entidades de Certificacin Digital- fue revisado por la consultora canadiense ENTRUST, que tuvo participacin en el diseo de la Infraestructura de Firma Digital de la administracin del Estado del Canad; las sugerencias de ENTRUST compatibles con la normativa peruana sobre la materia fueron incorporadas al proyecto.

Finalmente, es pertinente recordar que, segn la Ley y el Reglamento de Firmas y Certificados Digitales, los documentos electrnicos (contratos, ofertas, oficios, cartas, etctera) que lleven firma digital basada en un certificado digital emitido por una entidad acreditada ante INDECOPI, tendrn el mismo efecto jurdico que un documento manuscrito.

Gua de Acreditacin para Entidades de Certificacin Digital

Gua de Acreditacin para Entidades de Verificacin / Registro de Datos

Gua de Acreditacin para Prestadoras de Servicios de Valor Aadido

Gua de Acreditacin de Software para Firmas Digitales

FIRMAS DIGITALES - GUA DE ACREDITACIN PARA ENTIDADES DE CERTIFICACIN DIGITAL

Gua de Acreditacin para Entidades de Certificacin Digital - EC ANEXO 1 - Marco de la Poltica de Emisin de Certificados Digitales ANEXO 2 - Requisitos de Seguridad para la Acreditacin ANEXO 3 - Reglamento de la Ley de Firmas y Certificados Digitales ANEXO 4 - Documento Estndar de una Poltica de Seguridad ANEXO 5 - Controles de los Estndares ISO/IEC 17799 e ISO/IEC 27001, Secciones 5 a 15 ANEXO 6 - Norma Marco sobre Privacidad APEC ANEXO 7 - Reglamento Especfico de Acreditacin Prestadores de Servicios de Certificacin Digital ANEXO 8 - Reglamento Especfico de Acreditacin Entidad de Certificacin - EC ANEXO 9 - Memoria Descriptiva y Organigrama Estructural y Funcional Entidad de Certificacin (EC) ANEXO 10 - Ficha de Solicitud de Acreditacin como Entidad de Certificacin (EC) ANEXO 11 - Estndares Reconocidos para la Acreditacin ANEXO 12 - Requerimientos de Usabilidad

FIRMAS DIGITALES - GUA DE ACREDITACIN PARA ENTIDADES DE VERIFICACIN / REGISTRO DE DATOS

Gua de Acreditacin para Entidades de Verificacin / Registro de Datos - ER ANEXO 1 - Marco de la Poltica de Registro para la Emisin de Certificados Digitales ANEXO 2 - Reglamento de la Ley de Firmas y Certificados Digitales ANEXO 3 - Modelo de Poltica de Seguridad de la ER ANEXO 4 - Controles de los Estndares ISO/IEC 17799, Secciones 5 a 15 ANEXO 5 - Reglamento General de Acreditacin Prestadores de Servicios de Certificacin Digital ANEXO 6 - Norma Marco sobre Privacidad APEC ANEXO 7 - Reglamento Especfico de Acreditacin Entidad de Registro o Verificacin - ER ANEXO 8 - Memoria Descriptiva y Organigrama Estructural y Funcional Entidad de Registro o Verificacin (ER) ANEXO 9 - Ficha de Solicitud de Acreditacin como Entidad de Registro (ER) ANEXO 10 - Estndares Reconocidos para la Acreditacin

FIRMAS DIGITALES - GUA DE ACREDITACIN PARA PRESTADORAS DE SERVICIOS DE VALOR AADIDO

Gua de Acreditacin para Prestadoras de Servicios de Valor Aadido - SVA ANEXO 1 - Marco de la Poltica de Prestacin de Servicios de Valor Aadido ANEXO 2 - Reglamento de la Ley de Firmas y Certificados Digitales ANEXO 3 - Modelo de Poltica de Seguridad del SVA ANEXO 4 - Controles de los Estndares ISO/IEC 17799, Secciones 5 a 15 ANEXO 5 - Norma Marco sobre Privacidad APEC ANEXO 6 - Reglamento General de Acreditacin Prestadores de Servicios de Certificacin Digital ANEXO 7 - Reglamento Especfico de Acreditacin Prestador de Servicios de Valor Aadido ANEXO 8 - Memoria Descriptiva y Organigrama Estructural y Funcional Prestador de Servicios de Valor Aadido (SVA) ANEXO 9 - Ficha de Solicitud de Acreditacin como Prestador de Servicios de Valor Aadido (SVA) ANEXO 10 - Estndares Reconocidos para la Acreditacin ANEXO 11 - Requerimientos de Usabilidad

Gua de Acreditacin de una EC Infraestructura Oficial de Firma Electrnica (IOFE): sistema confiable, acreditado, regulado y supervisado por la Autoridad Administrativa Competente, provisto de instrumentos legales y tcnicos que permiten generar firmas electrnicas y proporcionar diversos niveles de seguridad respecto a: 1) la integridad de los mensajes de datos y documentos electrnicos; 2) la identidad de su autor, lo que es regulado conforme a la Ley. El sistema incluye la generacin de firmas electrnicas, en la que participan entidades de certificacin y entidades de registro o verificacin acreditadas ante la Autoridad Administrativa Competente, incluyendo a la Entidad de Certificacin Nacional para el Estado Peruano (ECERNEP), las Entidades de Certificacin para el Estado Peruano (ECEP) y las Entidades de Registro o Verificacin para el Estado Peruano (EREP).

Niveles de seguridad: son los diversos niveles de garanta que ofrecen las variedades de firmas electrnicas, cuyos beneficios y riesgos deben ser evaluados por la persona, empresa o institucin que piensa optar por una modalidad de firma electrnica para enviar o recibir mensajes de datos o documentos electrnicos. Reglamento de la Ley de Firmas y Certificados Digitales: el Reglamento de la Ley N 27269 - Ley de Firmas y Certificados Digitales, modificada por la Ley N 27310, aprobado por Decreto Supremo N 004-2007-PCM del 12 de enero de 2007, y publicado en el Diario Oficial El Peruano con fecha 14 de enero de 2007. Servicio OCSP (Protocolo del estado en lnea del certificado, por sus siglas en ingls): permite utilizar un protocolo estndar para realizar consultas en lnea al servidor de la Autoridad de Certificacin sobre el estado de un certificado.

Suscriptor o titular de la firma digital: persona natural responsable de la generacin y uso de la clave privada, a quien se le vincula de manera exclusiva con un mensaje de datos firmado digitalmente utilizando su clave privada. En el caso que el titular del certificado sea una persona natural, sobre la misma recaer la responsabilidad de suscriptor. En el caso que una persona jurdica sea el titular de un certificado, la responsabilidad de suscriptor recaer sobre el representante legal designado por esta entidad. Si el certificado est designado para ser usado por un agente automatizado, la titularidad del certificado y de las firmas digitales generadas a partir de dicho certificado correspondern a la persona jurdica, la cual deber ser duea del agente automatizado. La atribucin de responsabilidad de suscriptor, para tales efectos, corresponde al representante legal, que en nombre de la persona jurdica solicita el certificado digital. Titular de certificado digital: persona natural o jurdica a quien se le atribuye de manera exclusiva un certificado digital.

3. ACRNIMOS
AAC CC CEN CP CPS CRL o LCR CRT CWA EAL EC EC EP EC ERNEP ER EREP ETSI FBCA FIPS IEC IETF IOFE ISO NTP OCSP OID PKI PSC RFC RPS SHA SVA TSL VAPS

Autoridad Administrativa Competente (CRT del INDECOPI) Common Criteria Comit Europeo de Normalizacin Polticas de Certificacin Declaracin de Prcticas de Certificacin de una EC Certificate Revocation List (Lista de Certificados Revocados) Comisin de Reglamentos Tcnicos y Comerciales CEN Workshop Agreements Evaluation Assurance Level Entidad de Certificacin Entidad de Certificacin para el Estado Peruano Entidad de Certificacin Nacional para el Estado Peruano Entidad de Registro o Verificacin Entidad de Registro para el Estado Peruano European Telecommunications Standards Institute Federal Bridge Certification Authority Federal Information Processing Standards International Electrotechnical Commission Internet Engineering Task Force Infraestructura Oficial de Firma Electrnica International Organization for Standardization Norma Tcnica Peruana Online Certificate Status Protocol (Protocolo del estado en lnea del certificado) Identificador de Objeto Public Key Infrastructure (Infraestructura de Clave Pblica) Prestador de Servicios de Certificacin Digital Prestador de Servicios de Criptogrficos Request for Comment Declaracin de Prcticas de Registro o Verificacin de una ER Secure Hash Algorithm Prestador de Servicios de Valor Aadido (por ejemplo TimeStamping) Lista de Estado de Servicio de Confianza Declaracin de Prcticas de Valor Aadido

4. ARQUITECTURA JERRQUICA DE CERTIFICACIN DEL ESTADO PERUANO Y MECANISMO DE INTEROPERABILIDAD

El Reglamento de la Ley N 27269 - Ley de Firmas y Certificados Digitales (modificada por la Ley N 27310), aprobado por Decreto Supremo N 004-2007-PCM, designa al RENIEC como ECERNEP5, ECEP y EREP6.

TSL El mecanismo de interoperabilidad utilizado con el propsito de proveer, de modo ordenado, la informacin del estado de los Proveedores de Servicios de Certificacin (PSCs) acreditados y supervisados por INDECOPI y por tanto autorizados a operar en el marco de la IOFE es la TSL, Lista de Estado de Servicio de Confianza. La TSL consiste en un lista blanca que contiene la relacin de los PSCs acreditados y es elaborada siguiendo el estndar ETSI TS102 231. Dicha lista es firmada digitalmente por INDECOPI a efectos de asegurar su integridad y estar disponible para que las aplicaciones de software puedan procesarla.

5. METODOLOGA
La metodologa empleada para la realizacin de la presente Gua de Acreditacin toma como referente al documento denominado USA Government Public Key Infrastructure cross certification criteria and methodology7, vesin 1.3 emitido en Enero del ao 2006 por la Autoridad

de Polticas de la Infraestructura Federal de PKI del gobierno estadounidense.

Asimismo, la presente Gua de Acreditacin incluye el documento "Marco de la Poltica de emisin de certificados digitales", el cual establece los lineamientos para la elaboracin de la CPS. Dicho documento est basado en los Lineamientos8 para el marco de la poltica de emisin de certificados que pueden ser usados en comercio electrnico transnacional, emitido por el APEC Telecommunications & Information Working Group - APEC eSecurity Task Group9;

6. LINEAMIENTOS DE LA POLTICA DE SEGURIDAD DE LA INFRAESTRUCTURA OFICIAL DE FIRMA ELECTRNICA - IOFE

Estos lineamientos se estructuran conforme al marco legislativo peruano que comprende: la Ley N 27269 - Ley de Firmas y Certificados Digitales, modificada por la Ley N 27310 y su Reglamento (aprobado por Decreto Supremo N 004-2007-PCM).

Asimismo, incorporan los lineamientos establecidos por los Principios rectores para esquemas de autenticacin electrnica basados en PKI, que fueran suscritos por el Per en su condicin de economa miembro del APEC (Asia-Pacific Economic Cooperation, en espaol Cooperacin Econmica del Asia-Pacfico) mediante la denominada Declaracin de Lima, siendo la intencin de estas polticas facilitar la aceptacin transnacional de Entidades de Certificacin (EC) extranjeras y el establecimiento de acuerdos de reconocimiento transnacional para tales efectos. Por otro lado, se tom en consideracin para efectos del presente documento, el hecho que es de consenso general y adems es recogido por la legislacin vigente10, que no basta un nico nivel de seguridad11 para todas las aplicaciones de PKI.

10 En

el Glosario de Trminos recogido en la Octava Disposicin Final del Reglamento de la Ley de Firmas y Certificados Digitales, se establece la definicin de Niveles de Seguridad que se transcribe a continuacin: Octava Disposicin Final.- Glosario de Trminos () Niveles de seguridad: son los diversos niveles de garanta que ofrecen las variables de firma electrnica cuyos beneficios y riesgos deben ser evaluados por la persona, empresa o institucin que piensa optar por una modalidad de firma electrnica para enviar o recibir mensajes de datos o documentos electrnicos.

11 El

nivel de seguridad asociado con un certificado de clave pblica es una asercin del grado de confianza que un usuario puede tener razonablemente en el vnculo de la clave pblica de un suscriptor con el nombre y los atributos consignados en el certificado.

Ciertas transacciones son menos crticas o implican alguna operacin de bajo valor monetario y pueden soportar un nivel de mayor riesgo comparado con otras que requieren de un mayor nivel de seguridad. En tal sentido, se recogen estas diferencias y se presentan tres niveles: Medio (M), Medio Alto (M+) y Alto (A) de seguridad, descritos en las subsecciones siguientes. La presente Gua de Acreditacin slo se refiere a los dos primeros niveles de seguridad para certificados de usuario finales. Otro factor tan importante como la seguridad es la usabilidad. Deben incorporarse criterios que sean consecuentes con el fin social del empleo de la tecnologa, en particular, de la certificacin digital. Finalmente, a travs del presente documento, se establece la interoperabilidad y equivalencia de condiciones de seguridad entre los especificados por APEC en la Declaracin de Lima y el nivel de seguridad medio (M) y medio alto (M+), para efectos de la implementacin de la poltica de seguridad de la IOFE, los mismos que se consignan a continuacin:

I. MARCO LEGISLATIVO/LEGAL Los presentes lineamientos son conformes al marco legal estipulado y establecen parmetros para la constitucin y operacin de ECs que facilitan la aceptacin transnacional de los servicios que stas proveen. Tal marco permite y propugna la aceptacin de servicios generados en otras jurisdicciones. Dicho marco dota de efectos legales a los documentos y firmas electrnicas producidos tanto por ECs nacionales como extranjeras, y facilita la predictibilidad legal a nivel transnacional. El referido marco no determina el empleo de ningn tipo de tecnologa en particular. Propugna ms bien la neutralidad tecnolgica, la adopcin permanente de los estndares del mercado, el desarrollo de la tecnologa existente y la introduccin de nueva tecnologa.

III: MARCO OPERACIONAL (RELATIVO A LAS OPERACIONES DE ECs) General El empleo del estndar X.509 y el RFC 3647, que actualiza la versin correspondiente al RFC 2527, para las Polticas de Certificacin (CP) y la Declaracin de Prcticas de Certificacin (CPS) propugna el proceso de reconocimiento transnacional.

Registro y Validacin del Certificado El establecimiento de procedimientos para el registro y validacin de la identidad del usuario que toman en consideracin los procedimientos usados para tales efectos en otras jurisdicciones, propugnan el reconocimiento transnacional de certificados 12. Cada vez que un certificado expire (vencimiento del tiempo de vigencia) o sea revocado, el usuario debe repetir el mismo ciclo inicial de verificacin de su identidad ante una ER acreditada a fin de adquirir un nuevo certificado digital.
12 Se

refiere a la interoperabilidad legal y tcnica dentro de la Infraestructura de Clave Pblica (PKI) por parte de los pases miembros del APEC en funcin al cumplimiento de disposiciones y estndares internacionales. Esto implica el reconocimiento mutuo de documentos electrnicos firmados digitalmente.

Manejo de claves No se permite el empleo de los depsitos de claves privadas de backup (Key Escrow) para las claves de firma digital pues minan la confianza en el uso del sistema e impiden el reconocimiento transnacional de certificados (ver anexo 11). Se propugna el reconocimiento transnacional de los certificados en la medida que se incorpore el uso de buenas prcticas para la generacin de claves, las cuales sean derivadas de estndares y fuentes aceptadas internacionalmente. Se genera confianza en el sistema y se propugna el reconocimiento transnacional de los certificados cuando se adoptan las buenas prcticas internacionales referidas a la distincin entre los certificados asignados para procesos de cifrado (confidencialidad), de autenticacin y de firma digital (no repudio).

Ingeniera criptogrfica Se propugna la interoperabilidad y el reconocimiento transnacional de los certificados mediante el uso de algoritmos criptogrficos de reconocimiento internacional de tamao y seguridad criptogrfica suficiente. Se incrementa la seguridad y se propugna el reconocimiento transnacional de certificados al asegurar que las claves criptogrficas y los algoritmos sean lo suficientemente seguros para proteger de ataques el resultado criptogrfico durante el tiempo de vigencia del certificado. Se propugna el reconocimiento transnacional de los certificados mediante la realizacin de los procesos criptogrficos con dispositivos certificados de conformidad con el estndar FIPS 140213 u otro equivalente. Nombres distinguidos Se propugna la interoperabilidad mediante el uso de buenas prcticas para la estandarizacin de los contenidos de los componentes de Nombres diferenciados en el certificado. En particular, el uso del estndar X.509, as como la poltica OID para representar la aplicabilidad pretendida del certificado digital, propugnan el reconocimiento transnacional.

Estndares de Directorio Se promueve la confianza del usuario y se propugna el reconocimiento transnacional de certificados mediante: El uso de estndares internacionales y ms comnmente aceptados, tales como el X.500 Directory Service o LDPA (Lightweight Directory Access Protocol) v3 que facilita la interoperabilidad de las aplicaciones, sistemas y operaciones de PKI. El uso de buenas prcticas internacionales para la seguridad del personal, seguridad de control y control de seguridad fsica de conformidad con los estndares NTP-ISO/IEC 17799 (BS 7799 parte I), reconocido tambin como ISO/IEC 27002, e ISO/IEC 27001 (BS 7799 parte II). El uso de por lo menos controles duales para las operaciones de los

servicios y procesos de las ECs (por ejemplo control y manejo de la clave pblica de la EC) de conformidad con la RFC 3647. El uso de guas para los sistemas e integridad del software y control que cumplen con FIPS o estndares reconocidos equivalentes. El establecimiento de polticas de archivo que aseguren la retencin del material relevante por una duracin mnima suficiente (mnimo de 10 aos). El uso del sellado de tiempo (estndares de Time Stamp RFC 3161 y RFC 3628) y mecanismos de seguridad para prevenir cualquier cambio intencional en los documentos archivados, tales como el uso de resmenes (hashes). El aseguramiento que el propsito general del repositorio y de la lista de certificados revocados Certificate Revocation List (CRL) estn disponibles cuando sean requeridos. La garanta de la disponibilidad para la recepcin y actuacin frente a requerimientos de revocacin de certificados cuando se produzcan.

Lineamientos de gestin Se promueve la confianza del usuario y se propugna el reconocimiento transnacional de certificados mediante: El establecimiento de planes de continuidad de negocio y recuperacin de desastres. El establecimiento de provisiones o guas en la eventualidad que una EC o ER deje de funcionar. El empleo de auditoras/evaluaciones de conformidad realizadas por una tercera parte independiente, como parte de una buena prctica de seguridad para la acreditacin o licenciamiento14.
14 Documento

disponible en ingls en: http://www.apectel29.gov.hk/download/estg_20.doc

IV: NIVELES DE SEGURIDAD DE PKI

Alcance Los niveles de seguridad integran diversos aspectos relativos a la IOFE. Se exige que todos ellos ostenten un nivel de seguridad mnimo, de modo que en conjunto brinden una garanta sobre su uso. Dispositivos criptogrficos: tanto el hardware (chip) como el firmware (sistema operativo) deben de cumplir con certificaciones de seguridad: Nivel de Seguridad Medio: FIPS 140-2 Nivel de Seguridad 1 (mnimo). Nivel de Seguridad Medio Alto FIPS 140-2 Nivel de Seguridad 2 (mnimo). Nivel de Seguridad Alto FIPS 140-2 Nivel de Seguridad 3 (mnimo).