Manual de Prácticas de la Infraestructura de Firma Electrónica de la Comisión Nacional de Bancos y Seguros 1 Tabla de Contenidos Introducción ......................................................................................................................................... 2 Alcance ................................................................................................................................................ 2 I. Marco Teórico .................................................................................................................................. 4 Infraestructura de Llave Pública (PKI) ........................................................................................... 4 Firmas Digitales ......................................................................................................................... 4 El Uso de Certificados Digitales ................................................................................................ 5 Tokens de Seguridad .................................................................................................................. 5 Firma Biométrica ............................................................................................................................ 7 Firma Biométrica ............................................................................................................................ 7 Tableta Gráfica ........................................................................................................................... 8 II. Manual de Prácticas de la Infraestructura de Firma Electrónica (IFE) de la CNBS ....................... 9 1. Consideraciones Generales ......................................................................................................... 9 1.1. Confiabilidad y Garantías .................................................................................................... 9 1.1.1. Confiabilidad .............................................................................................................. 9 1.1.1.1 Identidad e integridad............................................................................................ 9 1.1.1.2 Cifrado para la Confidencialidad de la Información ........................................... 10 1.1.1.2.1 Autenticación y Cifrado basado en Enlace (capa 3 y 4) ............................. 10 1.1.1.2.2 Cifrado y Autenticación de Aplicaciones.................................................... 10 1.1.1.3 Procesos Robustos .............................................................................................. 11 1.1.1.4 Situaciones de Compromiso ............................................................................... 11 1.1.2. Garantías ................................................................................................................... 11 1.1.2.1 Garantías Implícitas en los Certificados ............................................................. 11 1.1.2.1.1 Autenticidad. ............................................................................................... 11 1.1.2.1.2 Integridad .................................................................................................... 12 1.1.2.1.2 No-Repudiación .......................................................................................... 12 1.1.2.1.3 Control de Acceso ....................................................................................... 12 1.1.2.1.4 Confidencialidad ......................................................................................... 12 1.2 Regulación ......................................................................................................................... 12 1.3. Un Proceso de Registro Confiable .................................................................................... 13 2 1.4 Marco de responsabilidades ............................................................................................... 13 1.5 Protección adecuada de Componentes Clave ..................................................................... 13 1.6 Un ambiente criptográfico robusto ..................................................................................... 13 1.7 Componentes de la IFE de la CNBS .................................................................................. 14 1.7.1 El Oficial de Registro de Firma Electrónica ............................................................... 14 1.7.2 Administradores y Oficiales de Infraestructura de Firma Electrónica (IFE) .............. 15 1.7.3 Sitio Web IFE ............................................................................................................. 15 1.7.3.1 Publicación de Información ................................................................................ 16 2. Infraestructura de Llave Pública (PKI) en la CNBS ................................................................. 18 2.1 Componentes PKI de la CNBS .......................................................................................... 19 2.1.1 Componentes PKI en la Institución (usuaria de la IFE) ............................................. 19 2.1.1.1 El Oficial de Registro de Firma Electrónica ....................................................... 19 2.1.1.2 Aplicación de Registro ........................................................................................ 19 2.1.2 Componentes PKI en la CNBS (Locales) y Remotos ................................................ 20 2.1.2.1 Autoridad de Registro ......................................................................................... 21 2.1.2.1.1 Autoridad de Registro y Cadena de Confianza ........................................... 21 2.1.2.1.2 Proceso de Registro ..................................................................................... 21 2.1.2.1.3 Funciones de la Autoridad de Registro ....................................................... 21 2.1.2.1.4 Composición de la Autoridad de Registro (RA) ......................................... 22 2.1.2.2 Autoridad de Certificación .................................................................................. 22 2.1.2.2.1 Arquitectura ................................................................................................. 22 2.1.2.2.2 Conectividad................................................................................................ 25 2.1.2.2.3 Distribución de Certificados de CA Raíz .................................................... 25 2.1.2.2.4 Protección de Red para CA‟s ...................................................................... 25 2.1.2.2.5 Interacción entre ORFEs y CA.................................................................... 25 2.1.2.3 El Directorio Activo de la CNBS ........................................................................ 26 2.1.2.3.1 Entidades y el Directorio Activo de la CNBS ............................................. 26 2.1.2.3.2 Raíz.............................................................................................................. 27 2.1.2.3.3 Usuarios de la CNBS: Organización ........................................................... 27 2.1.2.3.4 Nodos adicionales: Unidades organizacionales .......................................... 27 2.1.2.3.5 Estructura de Nombre Único ....................................................................... 27 3 2.1.2.3.6 Impacto de la Estructura de la Institución en el Directorio de la CNBS ..... 28 2.1.2.3.7 Integración de la Infraestructura de Directorio ........................................... 28 2.1.2.3.8 Determinación de Dominio y Membrecía para CA‟s ................................. 28 2.1.2.4 Modulo Criptográfico ......................................................................................... 29 2.1.2.5 Administradores y Oficiales de Infraestructura de Firma Electrónica (IFE) ...... 29 2.1.2.6 Sitio Web IFE ..................................................................................................... 29 2.2 Certificados ........................................................................................................................ 30 2.2.1 Identidad Digital ......................................................................................................... 30 2.2.2 Usos de de los Certificados......................................................................................... 31 2.2.3 Entidades Certificables ............................................................................................... 32 2.3 Publicación y Responsabilidades del Repositorio .............................................................. 33 2.3.1 Directorio y Servicios de Validación de Certificados ................................................ 33 2.3.1.1 Servicios del Directorio ...................................................................................... 33 2.3.1.1.1 Período de Retención de los Certificados ................................................... 33 2.3.1.1.2 Período de Retención de los CRL ............................................................... 33 2.3.1.2 Servicios de Validación de Certificados ............................................................. 33 2.3.1.2.1 Tipos de Servicios de Validación provistos ................................................ 34 2.3.1.2.2 Verificación inicial del Certificado del Root CA de la CNBS .................... 34 2.3.1.2.3 Significado de la Información de Validación de un Certificado ................. 35 2.3.2 Tiempo o Frecuencia de Publicación .......................................................................... 35 2.3.3 Controles de Acceso sobre el Directorio .................................................................... 35 2.4 Identificación y Autenticación del Suscriptor .................................................................... 36 2.4.1 Nombres ...................................................................................................................... 36 2.4.1.1 Tipos de Nombres ............................................................................................... 36 2.4.1.2 Necesidad de que los nombres sean significativos ............................................. 37 2.4.1.3 Seudónimos de los Suscriptores.......................................................................... 37 2.4.1.4 Reglas para interpretar Formas de Nombres varios ............................................ 38 2.4.1.5 Nombres únicos .................................................................................................. 38 2.4.1.6 Reconocimiento, Autenticación y Función de las Marcas .................................. 39 2.4.1.6.1 Llaves Públicas y Privadas .......................................................................... 39 2.4.1.6.2 Certificado ................................................................................................... 39 4 2.4.2 Validación de la Identidad Inicial ............................................................................... 39 2.4.2.1 Autenticación de Identidad Individual ............................................................... 40 2.4.2.2 Autenticación de Identidad Organizacional ....................................................... 40 2.4.2.3 Validación de Autoridad ..................................................................................... 41 2.4.2.4 Verificación de Información ............................................................................... 41 2.4.2.5 Método para probar la posesión de una llave privada ......................................... 41 2.4.3 Identificación y Autenticación (I&A) para Requerimientos de Re-Llaves ................ 41 2.4.4 Solicitudes para cambios de estatus de certificados ................................................... 42 2.4.4.1 Solicitud de Suspensión de Certificado de Usuario Final ................................... 42 2.4.4.2 Solicitud de Revocación de Certificado de Usuario Final .................................. 43 2.4.4.3 Terminación de la Suspensión de Certificado de un Usuario final ..................... 44 2.4.4.4 Solicitud de Revocación de Certificado de una OCA de la CNBS ..................... 44 2.5 Requerimientos Operacionales del Ciclo de vida de un Certificado .................................. 45 2.5.1 Solicitud de Certificación ........................................................................................... 45 2.5.1.1 ¿Quién puede someter una Solicitud de Certificación? ...................................... 45 2.5.2 Proceso de Solicitud de Certificación ......................................................................... 45 2.5.2.1 Presentación de Solicitud de Certificación ......................................................... 46 2.5.2.2 Aprobación o Denegación de la Solicitud de Certificación ................................ 47 2.5.2.3 Tiempo para procesar una Solicitud de Certificación ......................................... 48 2.5.3 Emisión de Certificados .............................................................................................. 49 2.5.3.1 Acciones de la CA durante la Emisión de Certificados ..................................... 49 2.5.3.2 Notificación por parte de la CA de la emisión de Certificados .......................... 50 2.5.4 Aceptación de Certificados ......................................................................................... 50 2.5.4.1 Conducción Constitutiva de Aceptación del Certificado .................................... 50 2.5.4.2 Publicación del Certificado por la CA ................................................................ 51 2.5.5 Uso de Certificados y par de Llaves ........................................................................... 51 2.5.5.1 Llave Privada del Sujeto y Uso del Certificado .................................................. 51 2.5.5.2 Llave Pública de las Partes Dependientes y Uso del Certificado ....................... 52 2.5.6 Renovación de Certificados ........................................................................................ 53 2.5.7 Certificado de Re-Llave .............................................................................................. 53 2.5.8 Modificación de Certificados ..................................................................................... 53 5 2.5.9 Suspensión y Revocación de Certificados .................................................................. 53 2.5.9.1 ¿Quién puede solicitar una suspensión o una revocación de Certificado? ......... 54 2.5.9.2 Suspensión .......................................................................................................... 54 2.5.9.2.1 Circunstancias para la Suspensión .............................................................. 54 2.5.9.2.2 Procedimiento para la Solicitud de Suspensión .......................................... 54 2.5.9.2.3 Tiempo durante el cual la CA debe procesar una Solicitud de Suspensión de Certificado .................................................................................................................. 55 2.5.9.2.4 Límites en el Período de Suspensión........................................................... 55 2.5.9.2.5 Terminación de la Suspensión..................................................................... 55 2.5.9.2.6 Tiempo dentro del cual la CA debe procesar una Solicitud de Terminación de Suspensión ............................................................................................................. 56 2.5.9.3 Revocación .......................................................................................................... 56 2.5.9.3.1 Circunstancias para la Revocación de un Certificado ................................. 56 2.5.9.3.2 Procedimiento para realizar una Solicitud de Revocación de Certificado .. 57 2.5.9.3.3 Tiempo durante el cual la CA debe procesar una Solicitud de Revocación de Certificado ............................................................................................................. 58 2.5.9.4 Revocación – Verificación de Requerimientos para Partes Dependientes ......... 58 2.5.9.5 Significado de los Códigos de Razón del CRL ................................................... 59 2.5.9.6 Frecuencia de Emisión de los CRL ..................................................................... 60 2.5.9.7 Máxima Latencia para CRL‟s ............................................................................. 60 2.5.9.8 Disponibilidad de las Revisiones del Estatus de Revocación en Línea .............. 61 2.5.9.9 Requerimientos para la Revisión de Revocación en Línea ................................. 61 2.5.9.9.1 Otras Formas de Anuncio de Revocación Disponible ................................ 61 2.5.9.9.2 Requerimientos Especiales concernientes a Llaves Comprometidas .......... 61 2.5.10 Servicios de Validación de Certificados ................................................................... 62 2.5.10.1 Características Operacionales ........................................................................... 62 2.5.10.2 Significado de las Respuestas ........................................................................... 63 2.5.11 Fin de Suscripción .................................................................................................... 64 2.5.12 Fideicomiso de llaves y Recuperación ..................................................................... 64 2.6 Cambio de Llave de la CA .............................................................................................. 64 2.7 Generación e Instalación del par de Llaves .................................................................... 65 6 2.7.1 Generación del Par de Llaves ................................................................................ 65 2.7.2 Entrega de la Llave Privada al Sujeto .................................................................... 65 2.7.3 Entrega de la Llave Pública del Sujeto al Emisor del Certificado ......................... 66 2.7.4 Entrega de la Llave Pública a Usuarios y Partes Dependientes ............................ 66 2.7.5 Tamaño de las Llaves ............................................................................................ 67 2.7.6 Generación de Parámetros de Llave Pública y Revisión de Calidad ..................... 67 2.7.7 Propósitos para la Utilización de Llaves ............................................................... 67 2.8 Protección de la Llave Privada ....................................................................................... 67 2.8.1 Estándares para el Módulo Criptográfico .............................................................. 67 2.8.2 Control Multipersonal de Llave Privada (M de N)................................................ 67 2.8.3 Respaldo de la Llave privada................................................................................. 68 2.8.4 Archivo de la Llave Privada .................................................................................. 68 2.8.5 Transferencia de la Llave Privada al Módulo Criptográfico ................................. 68 2.8.6 Almacenamiento de la Llave Privada en el Modulo Criptográfico ....................... 69 2.8.7 Método de Activación de la Llave Privada ........................................................... 69 2.8.8 Método de Desactivación de una Llave Privada ................................................... 69 2.8.9 Método de Destrucción de la Llave Privada .......................................................... 69 2.8.10 Rating del Modulo Criptográfico .......................................................................... 70 2.9 Otros Aspectos de la Administración del Par de Llaves ................................................. 70 2.9.1 Almacenamiento de la Llave Pública .................................................................... 70 2.9.2 Períodos Operacionales y Períodos de Uso del Par de llaves ................................ 70 2.10 Datos de Activación ................................................................................................... 71 2.10.1 Instalación y Generación de Datos de Activación ................................................. 71 2.10.2 Protección de los Datos de Activación .................................................................. 71 2.10.3 Otros Aspectos de los Datos de Activación........................................................... 72 2.11 2.10.3.1 Transmisión de los Datos de Activación ...................................................... 72 2.10.3.2 Destrucción de los Datos de Activación ...................................................... 72 Certificados y Perfiles CRL ....................................................................................... 72 2.11.1 Perfiles de Certificado ........................................................................................... 72 2.11.1.1 Perfil Operacional del OCA 1 ...................................................................... 72 2.11.1.2 Perfil Operacional del OCA 2 ...................................................................... 74 7 2.11.1.3 Perfil del Certificado de Firma Calificada Emitido por el OCA 1 ............... 75 2.11.1.4 Perfil del Certificado de Firma Calificada Emitido por el OCA 2 ............... 76 2.11.1.5 Perfil del Certificado de Autenticación del Sujeto Emitido por el OCA 1 . 78 2.11.1.6 Perfil del Certificado de Autenticación del Sujeto Emitido por el OCA 2 . 79 2.11.2 3 Perfiles de los CRL ................................................................................................ 81 2.11.2.1 Perfil del CRL del OCA 1 ............................................................................ 81 2.11.2.2 Perfil del CRL del OCA 2 ............................................................................ 81 2.11.2.3 Perfil del CRL Delta del OCA 1 .................................................................. 82 2.11.2.4 Perfil del CRL Delta del OCA 2 .................................................................. 82 Firma Biométrica en la CNBS ............................................................................................. 84 3.1 Componentes de la Firma Biométrica de la CNBS ........................................................ 84 3.1.1 Componentes de la Firma Biométrica en la Institución (miembro de Interconexión Financiera) .................................................................................................... 84 3.1.1.1 El Oficial de Registro de Firma Electrónica ................................................ 84 3.1.1.2 Aplicación de Firma Biométrica .................................................................. 85 3.1.2 Componentes de la Firma Biométrica en la CNBS (Locales) y Remotos ............. 85 3.1.2.1 Autoridad de Registro .................................................................................. 85 3.1.2.1.1 Autoridad de Registro y Cadena de Confianza ........................................ 85 3.1.2.1.2 Proceso de Registro .................................................................................. 85 3.1.2.1.3 Funciones de la Autoridad de Registro ..................................................... 86 3.1.2.1.4 Composición de la Autoridad de Registro (RA) ...................................... 87 3.1.2.2 Aplicación de Firma Biométrica .................................................................. 87 3.1.2.2.1 Infraestructura ........................................................................................... 87 3.1.2.2.2 Conectividad ............................................................................................. 87 3.1.2.2.3 Protección de Red para la Aplicación ....................................................... 88 3.6.1.1 Motor de Procesamiento de Firma Biométrica ............................................ 88 3.6.1.2 El Directorio Activo de la CNBS ................................................................. 88 3.6.1.3 Administradores y Oficiales de Infraestructura de Firma Electrónica (IFE) 3.6.1.4 3.2 89 Sitio Web IFE ............................................................................................... 89 Firma Biométrica ............................................................................................................ 90 8 3.2.1 Firma Biométrica ................................................................................................... 90 3.2.2 Usos de la Firma Biométrica ................................................................................. 90 3.2.3 Usuarios de la Firma Biométrica ........................................................................... 90 3.3 Consideraciones sobre el Repositorio y la Verificación de Firmas Biométricas ............ 91 3.3.1 Servicio del Directorio........................................................................................... 91 3.3.2 Validación de la Firma Biométrica ........................................................................ 91 3.3.3 Controles de Acceso sobre el Directorio y demás aplicaciones de Firma Biométrica 3.4 92 Identificación y autenticación del Suscriptor .................................................................. 92 3.4.1 Nombre .................................................................................................................. 92 3.4.2 Validación de la Identidad Inicial .......................................................................... 92 3.4.2.1 Autenticación de Identidad Individual ......................................................... 92 3.4.2.2 Validación de Autoridad .............................................................................. 93 3.4.2.3 Verificación de Información ........................................................................ 93 3.4.3 3.5 Solicitudes para cambios de estatus de certificados .............................................. 93 3.4.3.1 Solicitud de Suspensión de Firma Biométrica de un Usuario Final ............. 94 3.4.3.2 Solicitud de Revocación de Firma Biométrica de un Usuario Final ............ 95 3.4.3.3 Terminación de la Suspensión de Firma Biométrica de un Usuario Final ... 95 Requerimientos Operacionales del Ciclo de Vida de una Firma Biométrica ................. 96 3.5.1 Solicitud de Registro de Firma Biométrica ........................................................... 96 3.5.1.1 3.5.2 ¿Quién puede someter una Solicitud de Registro de Firma Biométrica? ..... 96 Proceso de Solicitud de Registro de Firma Biométrica ......................................... 96 3.5.2.1 Presentación de Solicitud de Registro de Firma Biométrica ........................ 97 3.5.2.2 Aprobación o Denegación de la Solicitud de Registro de Firma Biométrica 98 2.5.2.3 Tiempo para procesar una Solicitud de Registro de Firma Biométrica .............. 99 3.5.3 Proceso de Registro de la Firma Biométrica ....................................................... 100 3.5.3.1 3.5.4 Conducción Constitutiva del Registro de la Firma Biométrica ................. 100 Suspensión y Revocación de Firmas Biométricas ............................................... 101 3.5.4.1 ¿Quién puede solicitar una suspensión o una revocación de una Firma Biométrica? 101 9 3.5.4.2 Suspensión.................................................................................................. 101 3.5.4.2.1 Circunstancias para la Suspensión .......................................................... 101 3.5.4.2.2 Procedimiento para la Solicitud de Suspensión ...................................... 102 3.5.4.2.3 Límites en el Período de Suspensión ...................................................... 102 3.5.4.2.4 Terminación de la Suspensión ................................................................ 102 3.5.4.3 Revocación ................................................................................................. 102 3.5.4.3.1 Circunstancias para la Revocación de una Firma Biométrica ................ 102 3.5.4.3.2 Procedimiento para realizar una Solicitud de Revocación de una Firma Biométrica...................................................................................................... 103 4. Instalación, Administración y Controles Operacionales ................................................... 104 4.1 Controles de Seguridad Física....................................................................................... 104 4.1.1 Ubicación y Construcción ................................................................................... 104 4.1.2 Acceso Físico ....................................................................................................... 105 4.1.3 Energía Eléctrica y Aire Acondicionado ............................................................. 106 4.1.4 Exposición al agua ............................................................................................... 106 4.1.5 Prevención y Protección de Incendios ................................................................. 106 4.1.6 Dispositivos de Almacenamiento ........................................................................ 106 4.1.7 Eliminación de Residuos ..................................................................................... 107 4.1.8 Respaldo Externo ................................................................................................. 107 4.2 Procedimientos de Control ............................................................................................ 107 4.2.1 Roles de Confianza .............................................................................................. 107 4.2.2 Número de Personas requeridas por Tarea .......................................................... 108 4.2.3 Identificación y Autenticación para cada Tarea .................................................. 109 4.2.4 Roles que requieren la separación de Funciones ................................................. 109 4.3 Controles de Personal ................................................................................................... 109 4.3.1 Calificaciones, Experiencia y Requerimientos de Separación ............................ 110 4.3.2 Procedimientos de Revisión de Antecedentes ..................................................... 110 4.3.3 Requerimientos de Entrenamiento....................................................................... 110 4.3.4 Frecuencia de Re-entrenamiento y Requisitos .................................................... 111 4.3.5 Frecuencia de la Rotación de Personal y Secuencia ............................................ 111 4.3.6 Sanciones por Acciones No Autorizadas............................................................. 111 10 4.3.7 4.4 Documentación suministrada al Personal ............................................................ 112 Procedimientos de Registros de Auditoria .................................................................... 112 4.4.1 Tipos de Eventos Registrados.............................................................................. 112 4.4.1.1 Datos de Registro ....................................................................................... 112 4.4.1.2 Certificados y Firmas Biométricas ............................................................. 113 4.4.1.3 Administración de SSCD ........................................................................... 113 4.4.1.4 Administración de Revocación .................................................................. 113 4.4.2 Frecuencia del Registro de Procesamiento .......................................................... 113 4.4.3 Períodos de Retención de los Registros de Auditoría.......................................... 113 4.4.4 Protección de los Registros de Auditoría ............................................................ 114 4.4.5 Procedimiento de Respaldo de los Registros de Auditoría.................................. 114 4.4.6 Sistema de Recolección de Auditoría (Interno vs. Externo) ............................... 114 4.4.7 Notificación a los Sujetos de los Eventos Causados ........................................... 114 4.4.8 Evaluaciones de Vulnerabilidad .......................................................................... 114 4.5 Archivo de Registros ..................................................................................................... 115 4.5.1 Tipos de Registros Archivados ............................................................................ 115 4.5.2 Periodo de Retención de Archivos ...................................................................... 115 4.5.3 Protección de Archivos ........................................................................................ 115 4.5.4 Procedimientos de Respaldo de Archivos ........................................................... 116 4.5.5 Requerimientos para el Marcaje de Tiempo de los archivos (Time-Stamping) Archivos ............................................................................................................................. 116 4.5.6 Sistema de Recolección de Archivos (Interno o Externo) ................................... 116 4.5.7 Procedimiento para Obtener y Verificar Información del Archivo ..................... 116 4.6 Compromiso y Recuperación de Desastres ................................................................... 116 4.6.1 Procedimientos de Manejo de Incidentes y Compromiso ................................... 116 4.6.2 Recuperación después de la corrupción de Recursos Computacionales ............. 117 4.6.3 Procedimientos de Llave Privada comprometida ................................................ 117 4.6.4 Capacidades de Continuidad del Negocio después de un Desastre ..................... 118 4.7 Terminación de la IFE .................................................................................................. 118 5 Auditoría de Cumplimiento y otras Evaluaciones ............................................................. 119 6 Consideraciones Legales ................................................................................................... 121 11 6.1 Confidencialidad en la Información de la Institución ................................................... 121 6.1.1 Tipos de Información de Carácter confidencial .................................................. 121 6.1.1.1 Documentación Operacional y de Configuración ...................................... 121 6.1.1.2 Información de Auditoría ........................................................................... 121 6.1.1.3 Confidencialidad de la Información Personal ............................................ 121 6.1.2 Tipos de Información No considerados de Carácter confidencial ....................... 122 6.1.2.1 Certificados e Información del Estado de los Certificados ........................ 122 6.1.2.2 Documentación del Servicio de Certificación de la CNBS ....................... 122 6.1.3 Revelación de Información de Revocación de Certificados ................................ 122 6.1.4 Entrega de Información a Autoridades Legales .................................................. 123 6.1.5 Entrega de Información como parte de Evidencia documental o con Fines de Investigación forense ......................................................................................................... 123 6.2 Privacidad de la Información Personal ......................................................................... 124 6.2.1 Información de Carácter Confidencial ................................................................ 124 6.2.2 Información considerada No Confidencial .......................................................... 124 6.2.3 Responsabilidad para la Protección de Información Confidencial ...................... 125 6.2.4 Notificación y Consentimiento para el Uso de Información Confidencial ......... 125 6.2.5 Divulgación relativa a los Procesos Judiciales o Administrativos ...................... 125 6.2.6 Otras Circunstancias para la Divulgación de Información .................................. 125 6.3 Derechos de Propiedad Intelectual ................................................................................ 126 6.4 Límites de Responsabilidad y Renuncia ....................................................................... 126 6.5 Sanciones ...................................................................................................................... 127 6.5.1 6.6 Causales de Sanciones ......................................................................................... 127 Vigencia y Terminación ................................................................................................ 127 6.6.1 Vigencia ............................................................................................................... 127 6.6.2 Terminación ......................................................................................................... 128 6.7 Reformas ....................................................................................................................... 128 6.7.1 Procedimientos para la Reforma del presente Manual ........................................ 128 6.7.2 Mecanismos de Notificación ............................................................................... 128 6.7.3 Cambios en OID .................................................................................................. 128 6.8 Procedimiento para la Resolución de Disputas ............................................................. 128 12 7 6.8.1 Jerarquía del Manual de Prácticas ....................................................................... 128 6.8.2 Procedimiento ...................................................................................................... 129 6.8.3 Legislación Aplicable .......................................................................................... 129 Tabla de Acrónimos y Definiciones .................................................................................. 130 7.1 Acrónimos ..................................................................................................................... 130 7.2 Definiciones .................................................................................................................. 131 13 Introducción El Manual de Prácticas de la Infraestructura de Firma Electrónica de La Comisión Nacional de Bancos y Seguros tiene como objetivo la creación de un marco legal y tecnológico que conlleve a la Administración de la Infraestructura de Firma Electrónica (IFE) de la CNBS, conformada por la Infraestructura de Llave Pública (PKI) y la Firma Biométrica. La implementación de dicha Infraestructura se observa en cumplimiento del los artículos 50 y 51 de la Ley del Sistema Financiero de la República de Honduras. La IFE de la CNBS permitirá: 1. Cambiar la forma de envío, de manuscrita a electrónica, de todas las comunicaciones establecidas entre la Comisión Nacional de Bancos y Seguros (CNBS) y las Instituciones dentro de la Red de Interconexión Financiera, contando con los más altos estándares de seguridad, los cuales incluirán la utilización de firmas biométricas en combinación con firma Digital. 2. Brindar el servicio de una Autoridad Certificadora confiable a las Instituciones dentro de la Red de Interconexión Financiera, las cuales podrán incorporar dicho servicio a la plataforma de sus servicios electrónicos con el fin de asegurar las transacciones ahí efectuadas. 3. Proveer a la CNBS de mecanismos de autenticación dentro de la Infraestructura de Llave Pública con el fin de asegurar los accesos a las aplicaciones y dispositivos de la red Interna de la CNBS. Así mismo incorporación al interno de la CNBS del uso de firma biométrica en los documentos propios de la Institución. Alcance Este Manual está enfocado a la administración y las mejores prácticas que permitan la Implementación de una Infraestructura de Llave Pública y Firma Biométrica, que aseguren los siguientes aspectos funcionales: a. Utilización de un mecanismo robusto de autenticación. b. Verificación de la Integridad de la Información. 2 c. Asegurar la confidencialidad de la Información y de las transacciones que se transmitan dentro de la Red de Interconexión Financiera y las Redes internas de la CNBS. d. Asegurar el no Repudio de las firmas electrónicas de un documento emitido al interno de la CNBS y cualquier otro documento intercambiado entre las instituciones usuarias de la IFE y la CNBS. e. Que el Certificado emitido por la Autoridad Certificadora de la CNBS sea un certificado reconocido, para que la firma digital de los usuarios tenga el mismo valor jurídico que la firma manuscrita en relación con los consignados en papel en cumplimiento del artículo 51 de la Ley del Sistema Financiero de la República de Honduras. 3 I. Marco Teórico Infraestructura de Llave Pública (PKI) En criptografía, una infraestructura de Llave pública (PKI) es una combinación de hardware y software, políticas y procedimientos de seguridad que permiten la ejecución con garantías de operaciones criptográficas como el cifrado, la firma digital o el no repudio de transacciones electrónicas. La seguridad en el uso de la infraestructura PKI depende en cierta medida de cómo se guarden las claves privadas. Existen dispositivos especiales denominados tokens de seguridad diseñados para facilitar la integridad y seguridad de la clave privada, así como evitar que ésta pueda ser exportada. Firmas Digitales Cuando la información es transmitida desde una de las partes hacia la otra, el receptor de la información puede desear saber que la información no ha sido alterada durante el envío de la misma; asimismo, el receptor podrá desear tener certeza sobre la identidad del emisor o remitente; el uso de Firmas Digitales a través de criptografía de llave pública pueden proveer con seguridad: (1) la identidad del firmante y (2) que el mensaje recibido no fue alterado durante la transmisión. Una Firma Digital es el análogo electrónico de una firma escrita. La Firma Digital puede ser utilizada para probar a un tercero que la información fue firmada por el emisor o remitente. A diferencia de su contraparte escrita, las firmas digitales adicionalmente verifican la integridad de la información. Vale la pena mencionar que las firmas digitales también pueden ser generadas para datos almacenados y programas, de forma tal que la integridad de los datos y los programas pueda ser verificado en cualquier momento. 4 El Uso de Certificados Digitales En la Criptografía de Llave Publica se habla de manipular dos llaves: Llave Pública y Llave Privada. La llave privada es utilizada en el proceso de generación de la firma y la llave pública (Certificado Digital) es utilizada en el proceso de verificación de dicha firma. Un intruso, que no tenga conocimiento de la llave privada del Firmante, no puede generar la Firma correcta de dicho firmante. En otras palabras, las Firmas no pueden ser falsificadas. Sin embargo, utilizando la llave publica del Firmante, cualquier persona puede verificar un mensaje debidamente firmado. El usuario de una llave pública requiere la certeza que la llave pública representa al propietario del par de llaves. Es decir, la existencia de un vínculo confiable entre la identidad del usuario y la llave pública de dicho usuario. Este vínculo de confianza mutua se logra con la formulación de un Certificado de llave pública por parte de una tercera persona, autorizada para tales efectos por una Autoridad Certificadora que cumpla con las normas ANSI X9.57-1997 de Administración de Certificados. Las llaves públicas y privadas serán utilizadas para un solo fin, en consecuencia, los pares de llaves de Firmas Digitales no pueden ser utilizadas para cifrado y los pares de llaves de cifrado no pueden ser utilizadas para firmas digitales. Tokens de Seguridad Un token de seguridad (también token de autenticación o token criptográfico) es un dispositivo electrónico que se le da a un usuario autorizado de un servicio computarizado para facilitar el proceso de autenticación. Los tokens electrónicos tienen un tamaño pequeño que permiten ser cómodamente llevados en el bolsillo o la cartera y son normalmente diseñados para atarlos a un llavero. Los tokens electrónicos se usan para almacenar claves criptográficas como firmas digitales, o datos biométricos como las huellas digitales. Algunos diseños se hacen a prueba de alteraciones, otro pueden incluir teclados para la entrada de un PIN. 5 Existe más de una clase de token de autenticación, como ser: los generadores de contraseñas dinámicas "OTP" y los tokens USB, estos últimos permiten llevar la identidad digital de la persona y almacenar contraseñas y certificados. 6 Firma Biométrica La biometría en la informática consiste en la aplicación de técnicas matemáticas y estadísticas sobre los rasgos físicos o de conducta de un individuo, para poder verificar identidades o también identificar individuos. Al contrario que en el caso de un número secreto o contraseña, nuestros rasgos distintivos garantizan que somos la persona autorizada, pues estos rasgos no podrán ser ni interceptados, ni robados, ni transferidos a otra persona. Las posibilidades de uso de los datos biométricos en la firma electrónica no se quedan en la simple identificación de la persona, como en el caso del control de acceso; mediante una contraseña podemos obtener acceso o accionar un proceso, sin embargo, apoyándonos en rasgos dinámicos y biométricos como la firma escrita, logramos también documentar un acto de voluntad del individuo, un acto que es inseparable de la persona y que no puede darse por error. La firma biométrica surge pues a partir de la captación de la firma escrita, la cual por las características señaladas, predestinada para ser usada en la firma de contratos, documentos, recibos y protocolos. El aspecto dinámico de la firma escrita es muy importante, no solo porque constituye la forma perfecta de documentar un acto voluntario, sino porque permite identificar al autor, es decir, permite unir cada firma electrónica a una única persona en concreto. La firma biométrica está dividida en datos estáticos y datos dinámicos. Los datos estáticos se desprenden del trazado de la firma en dos dimensiones, y pueden revelar al grafólogo ciertos rasgos inequívocos. Los datos dinámicos en la firma biométrica son mucho más fáciles de analizar que los datos dinámicos en la firma sobre el papel, pues los datos en soporte electrónico son exactos. Sólo los datos dinámicos, la presión, la dirección, la velocidad y los cambios en la velocidad de la firma, son capaces de ofrecer una seguridad máxima en el momento de identificar una firma. 7 Cualquier persona puede, después de cierto tiempo practicando, imitar el trazado de la firma escrita de otra persona y no es difícil adquirir una muestra de la firma de cualquier persona. Con todo, lo que el falsificador no puede conocer y, aunque conociera, no podría imitar, son los rasgos dinámicos de la firma. Tableta Gráfica Una tableta gráfica (o tableta de digitalización, tableta gráfico, tableta de dibujo) es un dispositivo de entrada de la computadora que permite capturar imágenes hechas a mano y gráficos, de forma similar a cuando se dibuja una imagen con papel y lápiz. Estas tabletas también pueden ser utilizadas para capturar datos o firmas a mano, convirtiéndose así en un elemento necesario para la implementación de las firmas biométricas, pues provee el mecanismo para la captura de los datos estáticos y dinámicos de una firma. Una tableta gráfica consiste en una superficie plana sobre la cual se puede dibujar una imagen utilizando un bolígrafo sujeto a la misma. La imagen en general no aparece en la tableta, más bien se muestra en el monitor del ordenador. Algunas tabletas sin embargo, vienen con una pantalla, como una pantalla secundaria del computador, permitiendo observar directamente lo que se hace con el lápiz. Algunas tabletas son diseñadas como un remplazo para el ratón, como el principal dispositivo de navegación para las computadoras de escritorio. 8 II. Manual de Prácticas de la Infraestructura de Firma Electrónica (IFE) de la CNBS La IFE de la CNBS es un mecanismo de autenticación que asegura la identidad de un individuo en las comunicaciones establecidas al interno de la CNBS, y en las comunicaciones externas con Instituciones del Sistema Financiero, así como con otras Instituciones gubernamentales y del sector privado con las que se acuerde la comunicación utilizando dicha tecnología. La IFE de la CNBS se encuentra compuesta por el híbrido formado al implementar dos de las tecnologías más importantes y respetables de firma electrónica: Infraestructura de Llave Pública (PKI) y Firma Biométrica. 1. Consideraciones Generales 1.1. Confiabilidad y Garantías Una Infraestructura de Firma Electrónica busca asegurar dos principales aspectos funcionales de seguridad: Confiabilidad y otras Garantías. 1.1.1. Confiabilidad 1.1.1.1 Identidad e integridad La confiabilidad en la identidad del emisor y la integridad del mensaje está sustentada en las Firmas Digitales y Firmas Biométricas provistas por la comunicación utilizando la IFE de la CNBS. El grado de confianza que un receptor tenga sobre la identidad del emisor depende de varios factores como ser: a. Un proceso confiable de suscripción de las Instituciones al servicio de interconexión soportado por la IFE de la CNBS. b. Un proceso seguro y rastreable de emisión de Certificados a las aplicaciones y personal de la Institución. c. La imposibilidad de producir un certificado falso o una firma biométrica falsa. 9 d. El vinculo irrefutable entre el Certificado y el contenido del mensaje a través de la Firma Digital. e. El vínculo irrefutable entre la firma manuscrita y el contenido del mensaje a través de la Firma Biométrica. f. La capacidad de revocación inmediata de Certificados comprometidos y la verificación en línea del estatus de revocación del Certificado. 1.1.1.2 Cifrado para la Confidencialidad de la Información La confianza en la confidencialidad del contenido del mensaje es alcanzado a través del cifrado de la IFE. Toda la infraestructura para comunicación de interconexión con la IFE provee protección contra posibles interceptores cuando el mensaje (o archivos) se encuentran en tránsito. 1.1.1.2.1 Autenticación y Cifrado basado en Enlace (capa 3 y 4) Toda comunicación entre Entidades en las siguientes redes: Red Interna de la CNBS, así como la Red Externa de la misma relacionada a la comunicación con las Instituciones miembros de Interconexión Financiera. Dichas redes serán cifrada sobre un algoritmo estándar probado, donde la llave de cifrado sea o exceda los 128bit (en otras palabras, AES128, 256 etc.). Se utilizará IPSEC o SSL VPN para el cifrado basado en enlace. 1.1.1.2.2 Cifrado y Autenticación de Aplicaciones Cada archivo transportado a través de las redes deberá ser cifrado y firmado, en caso de uso de SSL como interface de aplicación primaria, SSLv3d será usado para el cifrado de subida, en donde la autenticación basada en certificados mutuos debe ocurrir (navegador/browser – Server). Cualquier mensaje que contenga información en la cual se haga responsable al Banco por transacciones monetarias, debe ser firmado y cifrado, incluyendo la información que apruebe o rechace la transacción. 10 1.1.1.3 Procesos Robustos El nivel de confianza en los contenidos y origen de la Firma Electrónica es determinado por la robustez de los procesos de Registro, Certificación y Revocación. La descripción del Servicio de interconexión con la IFE especificará los altos niveles de calidad de dichos procesos. La Descripción de Servicio forma una parte integral de la relación contractual entre las Instituciones y la CNBS. 1.1.1.4 Situaciones de Compromiso La confianza puede ser comprometida cuando una llave privada es expuesta. Por ejemplo, cuando un Token (o cualquier otro dispositivo de autenticación que se utilice) es robado, o una clave (contraseña) es revelada. La confianza también puede ser comprometida cuando una relación entre el propietario y la Institución a la que pertenece dicho propietario es rota, por ejemplo, cuando un empleado abandona la Institución. En este caso, el Certificado que contiene la correspondiente llave pública necesita ser declarado inválido inmediatamente, es decir, necesita ser revocado. Así mismo debe ser daa de baja la Firma Biométrica del empleado cesante. 1.1.2. Garantías 1.1.2.1 Garantías Implícitas en los Certificados El utilizar la IFE de la CNBS, le da a las instituciones las siguientes garantías relacionadas a la emisión de documentos firmados electrónicamente, ya bien sea con firma digital o biométrica: 1.1.2.1.1 Autenticidad. Las Instituciones tienen la garantía de la identidad del emisor de cualquier instrucción, declaración, solicitud o respuesta, ya que puede ser comprobado que la persona que origina el mensaje es el único propietario de la llave firmante. A través de la verificación de la firma, el receptor del mensaje puede confirmar que el remitente especificado en el encabezado del mensaje es en realidad el propietario de la firma del mensaje. 11 1.1.2.1.2 Integridad Las Instituciones tienen la garantía que los datos que reciben corresponden exactamente con el original enviado por el remitente. A través de la verificación de la firma, el receptor de un mensaje puede confirmar que el contenido de mensaje no ha sido alterado durante la transmisión. 1.1.2.1.2 No-Repudiación Las Instituciones son capaces de comprobar que un remitente determinado efectivamente ha firmado la instrucción, declaración, solicitud o respuesta, ya que puede ser probado que el remitente es el único propietario de la llave de firma necesaria para producir la Firma Digital y/o Firma Biométrica. Debido a que la Firma es verificable, el receptor puede probar que el remitente fue el único capaz de producirla, por lo que es en efecto el que originó el mensaje. 1.1.2.1.3 Control de Acceso Llaves privadas son protegidas por HSM el cual está basado en un Circuito Integrado (IC). Las llaves son guardadas en tokens o ubicadas en un modulo de seguridad de hardware. 1.1.2.1.4 Confidencialidad El nivel transaccional de cifrado garantiza a las Instituciones que solo el receptor indicado puede leer e interpretar los datos, ya que puede ser probado que el receptor es el único propietario de la única llave de descifrado. 1.2 Regulación Los Artículos 50 y 51 de la Ley del Sistema Financiero establecen la atribución de la Comisión Nacional de Bancos y Seguros para emitir las normas que regularan la Firma Electrónica, así como regular, mantener y supervisar a la IFE de la CNBS, con el propósito de lograr servicios de carácter sólidos. 12 1.3. Un Proceso de Registro Confiable Las Instituciones usuarios de la IFE deberán someter a un proceso de selección bajo condiciones definidas por la CNBS a los Oficiales de Registro de Firma Electrónica, quienes, deberán trabajar en parejas (siempre que sea posible). 1.4 Marco de responsabilidades La CNBS implementará procedimientos, acuerdos estrictos en los niveles de servicio, así como en las actualizaciones del directorio de usuarios que deberán seguir las Instituciones usuarias de la IFE, para poder deducir responsabilidad por errores, fraude, u omisiones. 1.5 Protección adecuada de Componentes Clave Los componentes clave de la IFE de la CNBS estarán física y operacionalmente protegidos y aislados de otros servicios. Adicionalmente, la comunicación con la IFE de la CNBS solamente será posible con Autoridades de Registro certificadas mediante el uso de protocolos seguros y confiables. La disponibilidad de la Autoridad de Certificación y el Directorio de la CNBS son críticos para el servicio de revocación de certificados, la cual será asegurada a través de un sistema de redundancia. 1.6 Un ambiente criptográfico robusto Algoritmos estándar serán utilizados con llaves que contengan la máxima longitud práctica. Por otra parte, siempre y cuando sea posible, tanto las llaves privadas en el servidor, como las que se encuentren en el lado del cliente, serán generadas y guardadas en hardware y protegidas a través de claves/contraseñas. Siempre que la solución tecnológica apropiada esté disponible, las llaves serán guardadas en un modulo de seguridad de hardware. 13 1.7 Componentes de la IFE de la CNBS La IFE de la CNBS está compuesta por el híbrido de dos tecnologías (PKI y Firma Biométrica).- Los de componentes, se describirán a nivel de detalle en cada una de los apartados específicos de dichas Tecnologías (2.1 y 3.1). Los componentes genéricos comunes, cuyo servicio es ofrecido a ambas tecnologías, se describen a continuación: 1.7.1 El Oficial de Registro de Firma Electrónica Cada Institución usuario de la IFE debe asignar personas responsables para la administración de los servicios de la IFE en su institución. Estas personas son denominadas Oficial de Registro de Firma Electrónica (ORFE). Cada Institución usuaria de la IFE necesitará un mínimo de dos ORFE. El primero de ellos, denominado el titular, podría bien ser la misma figura que ahora cumple con las funciones de administración de accesos a Interconexión Financiera, pues las nuevas tareas constituyen una versión mejorada de las actividades que venía realizando anteriormente. El segundo de ellos, denominado el suplente, deberá ser asignado con carácter de permanente por su responsabilidad de suplir al primero, aunque esta asignación no le imposibilita para que desarrolle otras actividades que la Institución estime conveniente durante los períodos en que su labor de sustitución no sea requerida. Tener dos ORFE le permitirá a las Instituciones implementar autorización dual por medio del principio de cuatro ojos, lo cual previene que operaciones sensitivas sean confinadas a una sola persona. Tener múltiples ORFE es ventajoso; cuando un Oficial de Registro de Firma Electrónica no es capaz de cubrir al otro en la recuperación es una operación sensitiva o muy complicada, en cuyo caso un tercer ORFE podría ser requerido. Sin embargo, para efectos de requerimiento de la CNBS, solamente se exigirán dos ORFE, 14 quedando a discreción de la Institución a asignación de más ORFEs. En todos los casos, la CNBS registrará inicialmente a los ORFE de cada Institución. La Institución proveerá los nombres de las personas para estos roles en la Forma de Seguridad de la CNBS. Los ORFE deben ser físicamente identificados por personal de la CNBS, a fin de otorgarle los permisos y potestades para la administración de la IFE de la CNBS en su Institución. 1.7.2 Administradores y Oficiales de Infraestructura de Firma Electrónica (IFE) Son empleados permanentes de la Gerencia de Informática de la CNBS, designados por esa dependencia, cuyas funciones principales son las siguientes: Instalar, configurar y dar mantenimiento al equipo y software de la IFE de la CNBS. Apoyar en las labores de capacitación a los ORFE de las Instituciones. Atender las solicitudes de registro de los ORFE de las instituciones. Proveer de los dispositivos de autenticación de la IFE a las Instituciones. Realizar respaldos y recuperación conforme lo establecido por el manual de procedimientos de la IFE creado para tal fin. Proveer servicios de soporte e información a los usuarios de la IFE. Velar por el buen funcionamiento de la IFE de la CNBS. 1.7.3 Sitio Web IFE Cualquier usuario puede contactarse con el Oficial IFE de la CNBS a través de los siguientes medios: Teléfono +504 xxxxxx Fax +504 xxxxxx Email [email protected] La Infraestructura de Firma Electrónica mantendrá un sitio web que proveerá acceso a información y servicios de PKI y Firma Biométrica. El acceso a tal sitio web será garantizado (24 horas al día/7 días a la semana) a través de la Red de 15 Interconexión. La utilización de los servicios antes mencionados requerirá autenticación personal basada en Certificado. El sitio web podrá ser accedido vía URL a través de la siguiente dirección: https://interconexion/ife.cnbs.gov.hn 1.7.3.1 Publicación de Información La CNBS pondrá a la disposición de los solicitantes, suscriptores y partes dependientes el Sitio Web IFE con información sobre las Aplicaciones, manejo de certificados y servicios de certificación de la CNBS. El acceso al sitio web IFE de la CNBS será accesible a través de interconexión y disponible para las Instituciones usuarias de la IFE 24 horas al día, los 7 días de la semana. El Sitio Web IFE de la CNBS estará disponible en línea en la URL https://interconexion/ife.cnbs.gov.hn La CNBS publicará en todo momento la versión actualizada de los siguientes documentos: Normas reguladoras de firmas electrónicas administradas por la Comisión Nacional de Bancos y Seguros. Manual de Prácticas de la IFE de la CNBS. Adicionalmente, la siguiente información podrá ser accedida en el Sitio Web IFE de la CNBS: Información pertinente al uso de Certificados y el manejo de tokens. Información relacionada al uso de aplicaciones y dispositivos para la firma biométrica. Acuerdo(s) estándares de Suscriptores Forma(s) para solicitud de Certificados Información acerca de Proveedor de Servicios de Certificación (CNBS) – nombre, número de registro (cuando la Ley y la Regulación Nacional lo designe), dirección, información de contacto Un listado de los ORFE y forma de contacto 16 Certificado Raíz de la CA y su valor hash (huella digital, SHA1) Certificados de la CA Intermedia y Operacional de la CNBS (huella digital, SHA1) 17 2. Infraestructura de Llave Pública (PKI) en la CNBS La implementación de una Infraestructura de Llave Pública en la CNBS opera los siguientes cambios en el desarrollo de las siguientes actividades: 1. Asegurar el control de acceso a Interconexión financiera a través de la utilización de Tokens dentro del marco de una Infraestructura de Llave Pública. 2. Utilización de Tokens USB en el marco de PKI como mecanismo de autenticación segura para los accesos a las aplicaciones y dispositivos de la red Interna de la CNBS. 3. Empleo de tokens USB para el envío seguro de Correos Electrónicos dentro de la Infraestructura de Correos de la CNBS. 4. Utilización de Tokens USB para el cifrado de información. 5. Proveer un servicio de Certificación Confiable a ser utilizado por las Instituciones de Interconexión Financiera y otras instituciones usuarias de la IFE para asegurar las transacciones electrónicas que realicen. A fin de implementar lo anterior, la red interna de la CNBS y de interconexión financiera deberá proveer los siguientes servicios: 1. Firmas Digitales, la utilización de las mismas establecerá la no repudiación, es decir, la capacidad que permita garantizar la autenticidad del emisor. 2. Utilización de Tokens: Provee autenticación a dos factores para el inicio de sesión con Tokens. El token actúa como un certificado almacenado que necesita ser avalado por un sistema que ejecuta una aplicación PKI. 3. Protocolo de Seguridad en Internet, alguna suite de protocolos que permiten una comunicación cifrada y firmada digitalmente entre dos computadoras o entre una computadora y un router a través de una red. 4. Sistema para el cifrado de archivos: Soporta el cifrado y descifrado de archivos y carpetas. 5. Conexiones de Web seguras utilizando Secure Sockets Layer (SSL) o Transport Layer Security (TLS): Ambos protocolos proveen autenticación para clientes y servidores mediante canales de comunicación segura a través de las redes de la CNBS. 18 2.1 Componentes PKI de la CNBS 2.1.1 Componentes PKI en la Institución (usuaria de la IFE) 2.1.1.1 El Oficial de Registro de Firma Electrónica Corresponden al ORFE ya descrito en el apartado 1.7.1. Dentro de PKI, sus funciones principales serán las siguientes: a. Administración de Certificados en línea i. Identificación de Usuarios Finales de su Institución. ii. Registro de Usuarios Finales de su Institución. iii. Envío de datos revisados y completos a la CA de la CNBS para la emisión, suspensión, terminación, revocación y renovación de certificados de los usuarios de su Institución. iv. Activación de certificados en los tokens. v. Seguimiento del ciclo de vida de un token. vi. Validación de las solicitudes de suspensión y revocación. b. Servir como persona de contacto con la CNBS para administración de Certificados fuera de línea. c. Realizar copias de respaldo regularmente en caso de que sean necesarios para propósitos de recuperación o para uso en una maquina de respaldo. La NoRepudiación no está en riesgo, ya que la maquina primaria y la de respaldo representan a la misma entidad lógica. 2.1.1.2 Aplicación de Registro La Aplicación de Registro (RAA) es el software utilizado por los Oficiales de Registro de Firma Electrónica (ORFE) para administrar a los usuarios finales y sus certificados. Para usuarios finales, incluyendo Oficiales de Registro de Firma Electrónica, la Autoridad de Registro provee: 19 a. Control de acceso de ingreso y egreso b. Generación del par de llaves criptográficas c. Certificación d. Renovación de Certificado y llave automática. Para los ORFE, la RAA brinda funciones adicionales: a. Registro de nuevos usuarios finales b. Configuración de usuarios finales para Certificación y Recuperación. c. Revocación de Certificados de usuarios finales en caso de que sus llaves, tokens (o cualquier dispositivo de autenticación), o claves (contraseñas) hayan sido comprometidos o extraviados. d. Suspender Certificados de usuarios finales. e. El ORFE envía los requerimientos de administración de Certificados en línea a la Autoridad de Certificación de la CNBS. 2.1.2 Componentes PKI en la CNBS (Locales) y Remotos La Aplicación de Registro Local del usuario final y las funciones criptográficas interactúan a través de los siguientes componentes: a. Autoridad de Registro b. Autoridad de Certificación c. El Directorio Activo de la CNBS d. Módulo Criptográfico e. Administradores y Oficiales de la IFE f. Sitio Web de la IFE 20 2.1.2.1 Autoridad de Registro 2.1.2.1.1 Autoridad de Registro y Cadena de Confianza La Autoridad de Registro (RA) deberá ser operada por la CNBS, quien tiene un papel protagónico en la cadena de confianza mediante la suscripción de las Instituciones al servicio PKI de la CNBS y a través del registro de los ORFE de cada Institución usuaria de la IFE. El registro de los usuarios finales de una Institución es realizada por los Oficiales de Registro de Firma Electrónica de la Institución (ORFE), quienes utilizan una aplicación de registro Local/Remota (RAA). 2.1.2.1.2 Proceso de Registro a. La CNBS registra a la Institución y a los Oficiales de Registro de Firma Electrónica de la misma. La Institución es registrada en el Directorio activo de la CNBS. La CNBS inscribe los ORFE, basada en la recolección de datos de la Forma de Seguridad de la CNBS. La CNBS configurará el Directorio activo de la CNBS con los nombres de los dos primeros ORFE tal como se especifican en la Forma de Seguridad de la CNBS, a los cuales se les asignan claves secretas. b. Una vez que los ORFE se han certificado a sí mismos utilizando las claves secretas, pueden proceder a registrar a los usuarios finales de la Institución. Utilizando la RAA, los ORFE definen los usuarios finales en el Directorio activo de la CNBS. Los usuarios finales registrados en el Directorio activo quedan configurados para Certificación por los Oficiales de Registro de Firma Electrónica. 2.1.2.1.3 Funciones de la Autoridad de Registro Las funciones del RA de la CNBS son las siguientes: a. Identificación y autenticación de los ORFE’s b. Registro de ORFE’s c. Envío de datos revisados y completos a la CA de la CNBS para la emisión, suspensión, terminación, revocación y renovación de certificados de los usuarios 21 finales de la CNBS. d. Activación de certificados en los tokens de los usuarios finales de la CNBS. e. Seguimiento al ciclo de vida del un token de los usuarios finales de la CNBS. f. Validación de las solicitudes de suspensión y revocación de los usuarios finales de la CNBS. Todas las solicitudes de la Autoridad de Registro (RA) tendrán la hora de entrega sellada y registrada como evidencia. La Administración de Certificados y cualquier otra tarea de aplicación de negocios podrán ser combinadas en una sola persona. 2.1.2.1.4 Composición de la Autoridad de Registro (RA) La Autoridad de Registro de la CNBS estará compuesta por: a. El Departamento Legal y el personal técnico en sistemas asignado por la Gerencia de Informática de la CNBS (ORFE’s de la CNBS) para efectos de suscripciones al servicio PKI y registro de la Institución y los primeros dos ORFE. b. Únicamente por el personal técnico en sistemas asignado por la Gerencia de Informática (ORFE’s) para el resto de las funciones descritas para la RA. c. Aplicación RA conectada en línea para registrar y certificar usuarios finales. 2.1.2.2 Autoridad de Certificación 2.1.2.2.1 Arquitectura Los modelos confiables CA proveerán los Servicios de certificación a todas las partes involucradas, bajo las Normas Reguladoras de Firmas Electrónicas Administradas por La Comisión Nacional de Bancos y Seguros, y pueden tener diferentes niveles, siendo una jerarquía clásica de tres la más práctica para la CNBS: 1. CA Raíz (Root CA). La CA Raíz es la CA más sensible del sistema, pues su certificado establece el inicio de la cadena de confianza. La CA Raíz firma el certificado de la CA subordinada ubicada bajo ella en la jerarquía. Por tanto las funciones primarias de la CA Raíz consisten en 22 procesar las aplicaciones de certificación, emisión de certificados y administración del ciclo de vida de los certificados emitidos por la misma, así como dar mantenimiento a los servicios de validación de certificados. Al implementar PKI, una organización puede decidir implementar una o más Raíces, las cuales actúan como anclas de confianza. En la CNBS, se ha determinado que un ancla común y neutral debería ser construida de manera tal que pueda proveer flexibilidad al diseño en desarrollo de la CNBS. La CA Raíz deberá estar fuera de línea, independiente, ubicada en la bóveda principal del Banco Central de Honduras BCH. 2. CA Intermedia (Intermediate CA). La Autoridad de Certificación Intermedia es una autoridad de certificación de confianza de alto nivel, cuyo certificado es emitido por la CA Raíz, a su vez la CA Intermedia emite certificados a las CA Operacionales. A medida que el mercado financiero se desarrolle, en donde más y más aplicaciones podrán soportar servicios de certificados, la CA Intermedia proveerá una escalabilidad rápida y segura sin utilizar la CA Raíz cada vez que un nuevo CA operacional (OCA) sea instalado. De igual manera permitirá la revocación de una OCA sin la intervención del CA Raíz. La CA Intermedia deberá estar fuera de línea, independiente, y ser ubicada en las instalaciones de la Comisión Nacional de Bancos y Seguros. 3. CA Operacionales (operational CA o Issuing CA). CA Operacionales realizan una variedad de funciones, muchas de las cuales tienen relación directa con los usuarios finales. A continuación se muestran algunas de las obligaciones de CA operacionales: a. Notificación de la emisión de Certificados al suscriptor, quien a la vez es el sujeto por el cual el certificado ha sido emitido. b. Notificación de la emisión de certificado a otros que no sean el sujeto por el cual el certificado ha sido emitido. c. Notificación de revocación o suspensión de un certificado al sujeto cuyo certificado ha sido revocado o suspendido. 23 Dos CA’s operacionales han sido diseñadas para la Infraestructura de la CNBS: a. OCA Interna. Emitirá los certificados para la autenticación SSL, firma y cifrado de archivos para el uso interno de la CNBS. b. OCA Externa. Emitirá los certificados para la autenticación SSL, firmas y cifrado de archivos para las aplicaciones de interconexión financiera. Las OCA’s deberán estar en línea y ser ubicada en las instalaciones de la Comisión Nacional de Bancos y Seguros. A continuación un gráfico que ilustra esta infraestructura: Figura 1 CA Niveles de Jerarquía CA Raíz Autofirmada Lista de Certificados Revocados Firmado por la CA Raíz CA Intermedia Firmada por la CA Raíz Lista de Certificados Revocados Firmado por la CA Intermedia CA Operacional Interna Firmada por la CA Intermedia CA Operacional Externa Firmada por la CA Intermedia Lista de Certificados Revocados Firmado por la CA Operacional Externa Lista de Certificados Revocados Firmado por la CA Operacional Interna CA 3-tier Topology CA Raíz Fuera de línea Standalone CA CA Intermedia Fuera de línea Standalone CA CAs Operacionales de línea Enterprise CAs 24 Las CAs serán operadas y administradas por la CNBS. Las CAs de la CNBS podrán utilizar tantas Autoridades de Registro como se desee. 2.1.2.2.2 Conectividad El cliente estará conectado a la aplicación de la CNBS utilizando la red de Interconexión Financiera de la CNBS (extranet), utilizando un browser para cargar y descargar archivos. Usuarios de la CNBS tendrán acceso a aplicaciones locales utilizando una red local (intranet). En el diseño de la CNBS, todos los servidores que participaran en los servicios de llave pública estarán conectados en la red extranet. Las Autoridades de Certificación (CAs) requieren acceso de red a la lista de revocación de certificados (CRL) y a los puntos de distribución de certificados CA para obtener los certificados padre (de la estructura de árbol) de la CA y sus correspondientes CRL’s. Los servidores conectados a la red interna no tendrán permitido obtener contenido http de servidores web que estén conectados al internet. Esta regla debe ser definida en las reglas de seguridad de la CNBS y aplicada a los servidores de certificados también. 2.1.2.2.3 Distribución de Certificados de CA Raíz Tanto para los usuarios de interconexión, como los usuarios internos de la CNBS será llevada a cabo a través de Políticas de Grupo por dominio. 2.1.2.2.4 Protección de Red para CA’s Las CA’s Raíz e Intermedia deberán ser mantenidas fuera de línea y apagadas. Las OCA’s deberán ser instaladas en segmentos aislados dedicados, protegidos con un Firewall y un Reverse Proxy. 2.1.2.2.5 Interacción entre ORFEs y CA En base a los requerimientos de los ORFE, la Autoridad Certificadora: a. Producirá los Certificados contra presentación de las claves secretas de activación y las llaves públicas del usuario final. 25 b. Publicará los Certificados en el Directorio activo de la CNBS. c. Revocará Certificados y pondrá a disposición dicha información en el Directorio de la CNBS. La Autoridad de Certificación aceptará las solicitudes presentadas por los ORFE solamente si las mismas se encuentran dentro de sus atribuciones, verificando previamente lo siguiente: a. El ORFE tiene un Certificado valido. b. La solicitud del ORFE tiene una firma valida. c. El ORFE tienen efectivamente la responsabilidad de la Administración de Certificados. d. El ORFE utilizó un certificado de negocios para firmar la solicitud. 2.1.2.3 El Directorio Activo de la CNBS 2.1.2.3.1 Entidades y el Directorio Activo de la CNBS Todas las entidades registradas están definidas en los Directorios Activos (AD, por sus siglas en inglés de Active Directory) de la CNBS: El AD propiamente dicho de la CNBS y el AD de Interconexión Financiera. Los ADs de la CNBS deben cumplir el estándar X.500. No todas las entidades que son registradas necesitan ser certificadas. Es decir, algunas entidades pueden ser utilizadas simplemente para completar la estructura organizacional sin tener que ser certificadas, por ejemplo, en el caso del AD de Interconexión1: nombre de las Instituciones Financieras. Una vez definidas en cualquiera de los ADs de la CNBS, las entidades no pueden ser eliminadas o cambiadas. Los ADs de la CNBS contienen la verificación de firma y certificados cifrados de todos los usuarios finales certificados. El Módulo Criptográfico de enlace de la CNBS automáticamente obtiene los certificados del AD correspondiente cuando son necesarios para cifrar o para verificar firmas. 1 Para los efectos del presente Manual y tomando en consideración las buenas prácticas en cuanto a la revelación de información, únicamente se expondrá la estructura concerniente al AD de Interconexión. 26 2.1.2.3.2 Raíz El nodo de la CNBS en el diagrama es denominado como la raíz del árbol. Seguidamente, se encuentran las Instituciones conocidas como usuarios de la CNBS. 2.1.2.3.3 Usuarios de la CNBS: Organización Los nombres de usuarios de la CNBS son los nombres propios de cada una de las Instituciones miembro de Interconexión. Cada una de las Instituciones contiene nodos adicionales. 2.1.2.3.4 Nodos adicionales: Unidades organizacionales Pueden existir nodos representando unidades organizacionales, por ejemplo, ORFE’s, mientras que nodos posteriores pueden ser usuarios finales. Los nombres de estos nodos son definidos por los Oficiales de Registro de Firma Electrónica, siguiendo los lineamientos de la CNBS. 2.1.2.3.5 Estructura de Nombre Único Cada nodo se encuentra identificado individualmente por su Nombre Único (DN, por sus siglas en 27 inglés Distinguished Name). Cada Certificado incluye el DN de cada nodo. El DN está escrito utilizando la sintaxis X.500, donde se expresa la ruta completa y los tipos de nodo, tales como organización (o), unidad organizacional (ou) y nombre común (cn). Un ejemplo del DN de una persona en la notación formal se describe a continuación: cn=james- smith,ou=tegucigalpa,o=bancoabcd,o=CNBS. 2.1.2.3.6 Impacto de la Estructura de la Institución en el Directorio de la CNBS En el AD de Interconexión, se deben registrar la menor cantidad de niveles posibles; a fin de que reorganizaciones internas de las Instituciones miembro de Interconexión no invaliden el árbol del directorio, por lo tanto no deberían reflejar demasiado detalle. 2.1.2.3.7 Integración de la Infraestructura de Directorio La arquitectura de la CNBS establece no integrar la CA’s Raíz e Intermedias con ninguno de los AD’s, a fin de mantener las CA’s independientes del ambiente de dichos Directorios. Debido a que las CA’s estarán desconectadas de la red, ellas no podrán actuar como servicios de inscripción para clientes por lo que no es necesario que estén registradas en el AD. En contraste, los CA’s operacionales si estarán integradas con el AD correspondiente, para que los clientes puedan utilizar e inscribir certificados de usuarios y de computadoras automáticamente después de que ellos hayan autenticado sus credenciales de dominio de manera exitosa. 2.1.2.3.8 Determinación de Dominio y Membrecía para CA’s La OCA Externa de la CNBS deberá ser miembro del AD de Interconexión, en donde el mismo orden organizacional deberá ser mantenido. Para cumplir con los niveles de seguridad requeridos, todos los CA’s Raíz e Intermedio trabajarán como miembros de sus propios grupos de trabajo, lo cual permitirá desconexión de las computadoras de la red para prevenir un ataque potencial a dicha red. Con el propósito de minimizar el rediseño de bosque en el servicio de certificación, los OCA’s son definidos como miembros de dominio en el nivel superior del bosque, es decir la raíz del bosque del Dominio. El número limitado de administradores en el dominio raíz también es fundamental para administrar las OCA’s, como miembros del dominio raíz del bosque. 28 2.1.2.4 Modulo Criptográfico El Modulo de Criptografía debe ser capaz de realizar las siguientes funciones: a. Firma de mensajes y verificación de firmas. b. Cifrado y descifrado de mensajes. c. Validación de Certificados. 2.1.2.5 Administradores y Oficiales de Infraestructura de Firma Electrónica (IFE) Son empleados permanentes de la Gerencia de de Informática asignados por esta, como se indica en el apartado 1.7.2, cuyas funciones específicas en relación a PKI serán las siguientes: Instalar, configurar y dar mantenimiento a los CA’s del Sistema PKI. Proveer de los dispositivos de autenticación del Sistema PKI. Apoyar en las labores de capacitación a los Oficiales de Registro de Firma Electrónica de las Instituciones. Velar por el correcto aprovisionamiento, renovación, revocación y suspensión de los certificados acorde con las políticas establecidas por la CNBS a tal efecto. Realizar respaldos y recuperación conforme lo establecido por el manual de procedimientos del Sistema PKI. Proveer servicios de soporte e información a los usuarios de la IFE. Proveer Información sobre el estatus de los Certificados Atender y procesar las solicitudes de suspensión de Certificados 2.1.2.6 Sitio Web IFE Las generalidades del Sitio Web de la IFE ya han sido expuestas en el apartado 1.7.3. El sitio web IFE proveerá de manera adicional acceso a la siguiente información y servicios de PKI: Acceso a los Servicios de Validación de Certificados (para verificar la Validez de Certificados); Acceso al Directorio de Servicios (para búsqueda y descarga de Certificados); 29 Acceso a documentos directamente relacionados a la operación de las OCA’s y la RA de la CNBS; así como software descargable para usos de Certificados. El sitio web también puede contener servicios adicionales provistos por las OCA’s y RA de la CNBS. 2.2 Certificados 2.2.1 Identidad Digital Un Certificado Digital es un archivo electrónico firmado por la Autoridad Certificadora que contiene la llave pública del usuario final e identifica irrevocablemente al propietario. Es una garantía que el propietario está en posesión de la llave privada correspondiente. La PKI de la CNBS proveerá a cada usuario los certificados necesarios para autenticación, firma y cifrado de documentos. La CNBS utilizará el formato estándar X509v3. Contenido de los Certificados: a. Identificación del propietario. b. Versión del Certificado. c. Numero Serial. d. Identificación de la Autoridad Certificadora de la CNBS. e. Identificador de llave pública y algoritmo. f. Periodo de validez del Certificado g. La finalidad del Certificado: por ejemplo, Firma Digital h. La firma de la Autoridad Certificadora i. Extensiones de Certificado El certificado es almacenado en el Directorio Activo de la CNBS. 30 2.2.2 Usos de de los Certificados Usualmente, los usuarios de los certificados no son los propietarios sino solo hacen la función de remitentes. A menudo, los remitentes son llamados usuarios finales de confianza. Los remitentes obtienen los Certificados de los propietarios, aunque existe la posibilidad que sean obtenidos del AD de la CNBS. Se debe recordar los Certificados se utilizan para: a. Autenticación de un Usuario final a un alto nivel de seguridad. b. Creación y verificación de firmas digitales. c. Cifrado del mensajes. Las CA’s Operacionales de la CNBS serán utilizadas para emitir los Certificados de Autenticación de Firmas Calificadas a usuarios finales, así como Certificados No-Públicos, No –Calificados al sistema de infraestructura y servicios de la CNBS. Los términos Calificados y No Calificados son utilizados con respecto a la regulación de la CNBS. La tabla inferior muestra los Certificados emitidos por la CA operacional de la CNBS, los cuales estarán públicamente disponibles y sujetos al presente Manual de Prácticas de Certificación de la CNBS. CA Nombre de Tipo de Certificado Uso de Certificado Certificado CA Certificado de Firma Certificado de Interconexión No Crea y verifica las firmas digitales Operacional 1 Digital Calificada Calificado para usuario final calificadas, además brinda soporte a la / no-repudiación al nivel más alto CA Certificado operacional 2 Autenticación de Certificado de Interconexión No Autenticación de empleados de Calificado para usuario final instituciones financieras que trabajan con las aplicaciones de la CNBS. La tabla inferior muestra los Certificados emitidos por las CA’s operacionales de la CNBS, los cuales no estarán disponibles públicamente y por tanto no estarán sujetos al presente Manual de 31 Prácticas de Certificación de la CNBS. La administración de Llaves y ciclos de vida de dichos Certificados no-públicos estará descrito en un documento interno. CA Nombre de Certificado Tipo de Certificado CA Certificado de ingreso Certificado Operacional (login) del Token, calificado Certificado de Firma de Certificado Código calificado 1/ CA No-Publico, Uso de Certificado No- Autenticación de empleados de la CNBS. No-Publico, No- Asegurar integridad de datos No-Publico, No- Autenticación Interna No-Publico, No- Autenticación e integridad de datos de Operacional 2 Certificado de Certificado Autenticación del calificado Controlador de Dominio Certificado de solicitud Certificado de Certificación calificado Certificado de Servidor Certificado Web calificado Certificado de Intercambio de CA Certificado solicitudes de Certificados No-Publico, No- Autenticación de servidor web No-Publico, No- Intercambio de Llaves calificado 2.2.3 Entidades Certificables El Oficial de Registro de Firma Electrónica tiene la decisión de quien o que adquiere una Certificación. Los Certificados identifican entidades que son de interés a los correspondientes usuarios. Por ejemplo, los Certificados pueden ser emitidos a nombre de: b. La Institución c. Departamentos d. Individuos Debe realizarse una discusión con los departamentos legales y de negocios para identificar que entidades necesitan ser Certificadas. No es una práctica aconsejable identificar aplicaciones, pues éstas usualmente utilizan Certificados emitidos en nombre de la Institución, departamento o 32 empresa, pero no se identifican a sí mismos. Adicionalmente, emitir Certificados en nombre de la Institución o departamento los hace reusables para diferentes propósitos, por consiguiente los certificados deben ser emitidos a nombre de personas individuales en las Instituciones. 2.3 Publicación y Responsabilidades del Repositorio 2.3.1 Directorio y Servicios de Validación de Certificados 2.3.1.1 Servicios del Directorio El Directorio activo de la CNBS proveerá servicios en línea vía LDAP y HTTP de los Certificados de interconexión y los CRL’s emitidos por el Root CA y sus CA’s subordinados. No existe restricción en cuanto al acceso de los certificados publicados por la CNBS, los cuales se encontrarán disponibles 24 horas al día, los 7 días de la semana. 2.3.1.1.1 Período de Retención de los Certificados Certificados de Firma Calificada serán retenidos por el Servicio de Directorio de la CNBS por 30 años después de la expiración del certificado. De forma tal que sea posible determinar la identidad del creador de una firma. 2.3.1.1.2 Período de Retención de los CRL Los CRL de la CNBS serán retenidos por el Servicio de Directorio activo de la CNBS por 16 años después de la expiración del CRL. De forma tal que sea posible determinar la validez de un certificado en un punto determinado del tiempo. 2.3.1.2 Servicios de Validación de Certificados Los servicios de validación de certificados de la CNBS se realizarán a través del OCSP, el cual responderá sobre el estatus del certificado, siendo éste revisado contra los Certificados emitidos por el Root CA de la CNBS y sus CA’s subordinadas. Todos los certificados son verificables en cualquier momento por los Servicios de Validación de 33 Certificados. Dicho servicio se encontrará disponible 24/7, sin interrupción programada. Un certificado se considera oficialmente suspendido o revocado luego que su estado ha sido cambiado de “bueno” a “revocado”, es decir, cuando se ha procedido a atender la solicitud de suspensión o revocación. El estado actual de un certificado siempre podrá ser consultado por medio del OCSP. La CNBS garantiza la actualización del estatus de los Certificados, al revisar el OCSP de la CNBS dentro de las primeras 24 horas de haber sido recibida una solicitud autorizada. Así mismo, el CRL correspondiente será publicado en un periodo no mayor a 48 horas después de haber recibido la solicitud. En caso de existir dudas en las partes dependientes, se deberá obtener la información sobre el estatus actualizado del OCSP de la CNBS. 2.3.1.2.1 Tipos de Servicios de Validación provistos La validación de certificados utilizando OCSP deberá ser preferida sobre el uso de CRL’s, ya que el OCSP puede proveer información más oportuna pertinente al estatus de revocación de un certificado. El retardo entre la recepción de la solicitud o reporte de suspensión o revocación y el cambio en la información del status de Certificado y su disponibilidad a todas las partes dependientes variará de acuerdo al método de validación de Certificados: Para validación de Certificado utilizando el OCSP de la CNBS deberá ser no mayor a un día (24 horas) Para validación de Certificados utilizando el más reciente CRL no deberá ser mayor a dos días (48 horas) 2.3.1.2.2 Verificación inicial del Certificado del Root CA de la CNBS Siendo el Certificado del Root CA auto firmado, constituye el ancla de confianza para todos los Certificados emitidos por la CNBS. Por tanto, la huella digital (fingerprint) de dicho Root CA debe ser examinado antes de comenzar el procedimiento. El fingerprint del Certificado emitido por la Root CA de la CNBS será mostrado en el Sitio Web IFE de la CNBS. El proceso de Generación de la Root CA tendrá lugar como un acto legal frente a testigos para asegurar la respectiva 34 transparencia de dicho proceso, siguiendo los lineamientos establecido en el documento de Instalación de las CAs. 2.3.1.2.3 Significado de la Información de Validación de un Certificado El significado de la información de validación de un certificado será descrito para el CRL en la sección 2.5.9.5 y para el OCSP en la sección 2.5.10.2. 2.3.2 Tiempo o Frecuencia de Publicación Los siguientes lineamientos para frecuencia y tiempo de publicación en la página Web de la IFE serán aplicados: Certificados Publicación inmediatamente seguida de la generación y aceptación del Sujeto. CRL de los OCA’s Delta CRL diario y un CRL completo semanalmente Políticas, Lineamientos Políticas y lineamientos serán publicados tras su respectiva aprobación. 2.3.3 Controles de Acceso sobre el Directorio La información publicada por el Servicio de Directorio Activo de la públicamente accesible, continuamente disponible. CNBS es información La CNBS ha implementado medidas de seguridad físicas y lógicas para prevenir que personas no autorizadas puedan adicionar, borrar o modificar las entradas del repositorio. La integridad de los Certificados es asegurada mediante la limitación de derechos para cambios en la base de datos y en acceso restringido al sistema. Adicionalmente, el Servicio de Directorio de la CNBS cuenta con un mecanismo de integridad interno. La CNBS frecuentemente realizará una revisión de integridad en los archivos de datos para poder detectar cualquier tipo de corrupción de base de datos de bajo nivel. 35 2.4 Identificación y Autenticación del Suscriptor 2.4.1 Nombres 2.4.1.1 Tipos de Nombres Todos los Certificados emitidos contienen Nombres Únicos X.509 en el campo de emisor. Los siguientes atributos serán aplicados: countryName (C) HN organizationName (O) CNBS organizationalUnitName (OU) Institución Financiera commonName (CN) CA Externa CNBS Todos los Certificados contienen Nombres Únicos X.509 en el campo del Sujeto. Los siguientes atributos serán aplicados: countryName (C) <País del Sujeto (Código ISO 3166)> organizationName (O) Opcional: <Organización del Sujeto> organizationalUnitName (OU) Opcional: <Unidad Organizacional del Sujeto> commonName (CN) Opcional: <PN: seudónimo> utilizado solo en Certificados de Firma givenName <Nombre Dado (como se encuentra escrito en el documento de identificación)> surName <nombre de pila (como se encuentra escrito en el documento de identificación)> serialNumber <Número de Identificación único (código personal)> Certificados de Firma Calificada contienen una dirección de correo electrónico (tipo rfc822Name), 36 el mismo asignado por la CNBS para uso en interconexión financiera, en la extensión SubjectAltName. La longitud de la cadena máxima para cada nombre de pila, nombre dado, numero serial, nombre común, nombre de organización y unidad organizacional es 64. Los atributos ´commonName´, ´givenName´, ´surName´, organización´ y unidad organizacional’ están codificados como UTF8- String. Estos atributos pueden contener caracteres especiales (UTF8 Unicode). 2.4.1.2 Necesidad de que los nombres sean significativos El nombre del Sujeto y el emisor contenidos en un Certificado deben ser significativos en el sentido de que la CA operacional tenga evidencia de la asociación existente entre estos nombres y las entidades a las cuales pertenecen. 2.4.1.3 Seudónimos de los Suscriptores El Sujeto puede elegir un seudónimo2 durante el proceso de Solicitud de Certificado. Si un Sujeto desea utilizar un seudónimo para Certificados Calificados en lugar de un nombre, debe indicarse que se está utilizando un seudónimo (nombre diferentes al verdadero nombre del Sujeto o del nombre organizacional), para ello deberá agregar el prefijo “PN”. El Certificado indicará que identidad ha sido autenticada pero es protegida. En caso de utilizar seudónimos, el seudónimo elegido será escrito en el Nombre común del Sujeto DN. Nombre de Pila y Nombre Dado no serán utilizados en esa instancia. El Uso de seudónimos para Certificados de Autenticación de Sujetos no está permitido. 2 Con el debido cumplimiento de las reglas de creación de usuarios del AD de la CNBS. 37 En cualquier caso, el Sujeto debe proveer su nombre y detalles de contacto a la CNBS. La CNBS está autorizada para proveer el nombre de una persona a cualquier entidad que esté explícitamente autorizada por el Sujeto, Suscriptor o una Institución o entidad del Gobierno autorizada y previa solicitud por escrito. El Sujeto es el único responsable por el seudónimo elegido. La CNBS no es responsable por la verificación de la ortografía y significado del seudónimo. La CNBS está habilitada, sin ninguna responsabilidad hacia ningún solicitante de Certificado, el rechazar o suspender cualquier Solicitud de Certificado debido al uso ilegal seudónimos u otras razones. 2.4.1.4 Reglas para interpretar Formas de Nombres varios No estipulado. 2.4.1.5 Nombres únicos Cada certificado digital contiene un conjunto único de atributos de nombre único. Estos atributos incluyen una recopilación del nombre de la persona, nombre de la compañía, unidad organizacional e identificador único. El identificador único puede ser el código personal de documento de identificación o un identificador único asignado por la CNBS (para cada Certificado que utiliza un seudónimo). Cualquier solicitud de Certificado digital que no sea único, será automáticamente rechazada por la CNBS. Aplicaciones que son rechazadas por la CNBS por el motivo de no contener un nombre único, serán notificadas tan pronto como sea operacionalmente posible. Un Sujeto o Suscriptor puede tener dos o más Certificados con el mismo Nombre Único del Suscriptor. 38 2.4.1.6 Reconocimiento, Autenticación y Función de las Marcas 2.4.1.6.1 Llaves Públicas y Privadas Todo derecho de propiedad intelectual en las Llaves Públicas o Privadas generadas será atribuible a la entidad por la cual y para la cual dichas llaves fueron generadas (CA de confianza, usuarios finales) o la entidad designada por dicha entidad. Entidades subordinadas y Usuarios finales no podrán obtener ningún derecho de cualquier tipo en relación a los Certificados, su contenido, formato o estructura. 2.4.1.6.2 Certificado Solicitantes de Certificado tienen prohibido utilizar sus nombres en sus Aplicaciones de Certificado si los mismos infringen los derechos de propiedad intelectual de otros. Sin embargo, la CNBS no verifica si un Solicitante de certificado tiene derechos de propiedad intelectual sobre el nombre que aparece en la Solicitud de Certificado. La CNBS no arbitrará, mediará, o de ninguna otra manera, resolverá cualquier disputa concerniente a la propiedad de cualquier nombre de dominio, marca, nombre comercial o marca de servicio. La CNBS se reserva el derecho en cualquier momento de suspender o revocar cualquier Certificado en concordancia con los procedimientos y políticas establecidas en este Manual de Practicas de Certificación y las Políticas de Certificación aplicables en la legislación del país. La CNBS otorga licencias no-exclusivas y revocables a todas las entidades PKI Subordinadas, usuarios finales, Partes Dependientes y otras entidades para reproducir y distribuir copias de los Certificados emitidos por la OCA de la CNBS para los fines de proveer, utilizando y/o dependiendo en los Certificados y los Servicios de Certificación en concordancia con lo previsto en este Manual. 2.4.2 Validación de la Identidad Inicial El Oficial de la IFE de la CNBS y el ORFE de cada Institución actuando en nombre de la Institución que represente asegura que los Sujetos son debidamente identificados y autenticados, y que las formas de Solicitud de certificación presentadas están completas, precisas y debidamente 39 autorizadas. El Oficial de la IFE de la CNBS y el ORFE de cada Institución registran toda la información utilizada para verificar la identidad de los Sujetos y, si es aplicable, cualquier atributo especifico del Sujeto, incluyendo cualquier número de referencia en la documentación utilizada para verificación, y cualquier limitación en su validez. 2.4.2.1 Autenticación de Identidad Individual La autenticación de la identidad individual está basada en la presencia personal (física) del Solicitante ante el ORFE. El Solicitante debe de identificarse a sí mismo con un documento de identificación valido emitido por la entidad financiera y por la Institución emisora de documentos de identificación debidamente autorizada, por ejemplo: pasaporte actualizado o cedula de identidad de la República de Honduras, así como el carnet de empleado. 2.4.2.2 Autenticación de Identidad Organizacional Cuando el Sujeto es una persona que es identificada en asociación con una persona jurídica, u otra entidad organizacional, la evidencia que debe ser provista es la siguiente: Nombre completo (incluyendo abreviaciones y nombre oficial) del Sujeto; Un número de Identidad con reconocimiento nacional, u otro atributo del Sujeto el cual puede ser utilizado, para distinguir (en la medida de lo posible) la persona de otras con el mismo nombre; Nombre completo de la persona jurídica u otra entidad organizacional asociada; y, Cualquier información de registro relevante existente (registro de la compañía) de la persona jurídica u otra entidad organizacional asociada; Evidencia de que el Sujeto está asociado con la persona jurídica u otra entidad organizacional. Cada vez que un Solicitante requiera la inclusión de información de cierta organización en un 40 servicio de la IFE, el Solicitante debe proveer evidencia escrita que la organización tiene completo conocimiento de este hecho. En todos los casos, documentos legales adecuados, que prueben los datos a ser Certificados deben ser presentados a través de métodos alternos. El Oficial de Registro deberá realizar la autenticación. 2.4.2.3 Validación de Autoridad Cuando un servicio de la IFE incluye el nombre de un individuo como un representante autorizado de la organización, el empleo de ese individuo y su autoridad de actuar en representación de la organización también debe ser confirmado. El ORFE requerirá evidencia escrita del Solicitante de Certificación para confirmar la información estipulada arriba (ya sea proveyendo una forma firmada por un representante autorizado de la organización asociada o mediante la firma de la Solicitud sometida, por un representante autorizado de la organización asociada). 2.4.2.4 Verificación de Información Información sometida por el Sujeto es verificada contra el Registro Residente de la Institución a la que el Sujeto pertenece. El resultado de la verificación y corrección del proceso de validación de identidad inicial completo es revisado por una segunda función de confianza autorizada por el OCA de la CNBS. 2.4.2.5 Método para probar la posesión de una llave privada Solicitudes de Certificados a la OCA de la CNBS solo pueden ser aceptadas como Solicitudes de Certificado PKCS#10 para ser transportada de manera segura a la OCA de la CNBS. La verificación de la firma en la solicitud de la PKSC#10 constituye prueba suficiente de la posesión de la correspondiente Llave Privada. 2.4.3 Identificación y Autenticación (I&A) para Requerimientos de Re-Llaves Certificados de Re-Llaves es el método utilizado por la CNBS para proveer un nuevo Certificado a 41 un Sujeto después de la expiración de un Certificado previo. Por consiguiente, un nuevo par de llaves será generado y la emisión de un nuevo Certificado que certifique la nueva Llave Publica será requerida. La validación de la identidad del Solicitante de Certificado tendrá lugar en concordancia con la validación de identidad inicial. 2.4.4 Solicitudes para cambios de estatus de certificados Las OCA’s de la CNBS proveerán servicios para suspensión, terminación de suspensión y revocación de Certificados. La suspensión de operación de un certificado es el reconocimiento del certificado como temporalmente invalido. La operación de un Certificado invalido puede ser reactivado (terminación de la suspensión). La revocación de un certificado es el reconocimiento del Certificado como permanente inválido. 2.4.4.1 Solicitud de Suspensión de Certificado de Usuario Final Personas o entes organizacionales autorizados para solicitar una suspensión de Certificados pueden someter el requerimiento mediante: a. Correo Electrónico al ORFE de su Institución El ORFE de cada Institución deberá proveer a todos los usuarios finales de su Institución un correo electrónico Oficial de la IFE al que pueda ser localizado, el que deberá revisar de manera periódica a fin de atender a tiempo completo (24 horas / 7 días a la semana). El correo desde el cual el Usuario haga la solicitud, también deberá ser el correo Oficial de la IFE. b. Presencia física ante el ORFE de su Institución. Todo usuario del sistema deberá tener conocimiento de la ubicación física de la oficina del ORFE. Para solicitudes de suspensión de un Certificado, el solicitante debe identificarse a si mismo 42 mediante un documento de identificación valido. Para suspensión vía correo electrónico, la clave secreta (contraseña) de suspensión del Certificado es necesaria. La clave de Suspensión es determinada por el Sujeto durante la Solicitud de Certificación. Asimismo, el solicitante deberá especificar la siguiente información: Nombre y Apellido del Sujeto; Numero de Contrato del Suscriptor; Numero de Contrato General (en caso de existir); Numero de Serie de Certificado; y Razón de Suspensión. 2.4.4.2 Solicitud de Revocación de Certificado de Usuario Final Personas o entes organizacionales autorizados para solicitar la revocación de un Certificado pueden someter el requerimiento mediante a. Correo Electrónico al ORFE de su Institución El ORFE de cada Institución deberá proveer a todos los usuarios finales de su Institución un correo electrónico Oficial de la IFE en el que pueda ser localizado, el que deberá revisar de manera periódica a fin de atender a tiempo completo (24 horas / 7 días a la semana). El correo desde el cual el Usuario haga la solicitud, también deberá ser el correo Oficial de la IFE. a. Presencia física ante el ORFE de su Institución. Todo usuario del sistema deberá tener conocimiento de la ubicación física de la oficina del ORFE. Para solicitudes de revocación de un Certificado, el solicitante debe identificarse a si mismo mediante un documento de identificación valido. 43 Asimismo, el solicitante deberá especificar la siguiente información: Nombre y Apellido del Sujeto; Numero de Contrato del Suscriptor; Numero de Contrato General (en caso de existir); Numero de Serie de Certificado; y Razón de Revocación. 2.4.4.3 Terminación de la Suspensión de Certificado de un Usuario final Personas o entidades organizacionales autorizadas para solicitar la terminación de la suspensión de un Certificado pueden someter la solicitud al ORFE de su Institución de forma presencial. Para solicitudes de terminación de la suspensión de un Certificado, el solicitante debe identificarse a si mismo mediante un documento de identificación valido. Asimismo, el solicitante deberá especificar la siguiente información: Nombre y Apellido del Sujeto; Numero de Contrato del Suscriptor; Numero de Contrato General (en caso de existir); Numero de Serie de Certificado; y Razón por la cual se termina la Suspensión. 2.4.4.4 Solicitud de Revocación de Certificado de una OCA de la CNBS Certificados OCA de la CNBS no deberán ser suspendidos. De ser necesarios, el certificado de una OCA de la CNBS puede ser revocada antes de que su validez expire. Una solicitud de revocación de Certificado de CA confiable debe ser realizada por escrito en papel. 44 Toda solicitud de revocación requiere ser válida. El Oficial IFE de la CNBS debe autenticar que una solicitud de revocación del Certificado de una OCA de la CNBS está completa, precisa y debidamente autorizada. Dicha validez deberá ser determinada por su cumplimiento o nocumplimiento con los procedimientos del presente Manual (ver 2.4.4.2), los cuales incluyen referencias a la autoridad de la persona que podrá realizar la solicitud. La revocación de Certificados de CA será llevada a cabo después de la comunicación del Oficial IFE de la CNBS con la Jefatura de la unidad de Servicios de Certificación de la CNBS. 2.5 Requerimientos Operacionales del Ciclo de vida de un Certificado Este apartado es utilizado para especificar las disposiciones impuestas a la OCA de la CNBS, Sujetos, Suscriptores, u otros participantes con respecto al ciclo de vida de un Certificado. 2.5.1 Solicitud de Certificación 2.5.1.1 ¿Quién puede someter una Solicitud de Certificación? Toda persona de una Institución miembro de Interconexión Financiera, cuyos datos estén disponibles en los Registros de la Institución a la que pertenecen y cuyo perfil sea acorde a los autorizados por la CNBS, está habilitado para aplicar a Certificados. El ORFE de cada Institución somete las Aplicaciones de Certificados a la OCA de la CNBS en nombre del Solicitante, una vez aceptada la forma de Solicitud ha sido llenada por el Solicitante. 2.5.2 Proceso de Solicitud de Certificación Este sub apartado es utilizado para describir el procedimiento para procesar Solicitudes de Certificación. El ORFE de la Institución realiza procedimientos de identificación y autenticación para validar la Solicitud de Certificación. Siguiendo estos pasos, el ORFE aprueba o rechazan la Solicitud de Certificación. 45 2.5.2.1 Presentación de Solicitud de Certificación Todos los datos requeridos serán almacenados en una base de datos de la CNBS y archivados electrónicamente en concordancia con las mejores prácticas de almacenamiento de Datos Personales en forma electrónica. Data Fuente Propósito Nombre, nombre dado Documento de identificación Certificado (si un seudónimo no es utilizado) Seudónimo Forma de solicitud Certificado Número de Identificación Documento de identificación Certificado Documento de identificación Identificación y autenticación Personal Lugar y Fecha de nacimiento para solicitud, revocación y suspensión Dirección y detalles de Forma de Solicitud contacto Administrador de Relación con cliente (mantenido confidencial en base de datos CA) Tipo de Documento de Documento de identificación Identificación Identificación y autenticación para solicitud, revocación y suspensión Fecha de emisión de Documento de identificación documento de ID Documento de ID valido ID Documento de identificación hasta Validación de Documento de ID Emisor de documento de Documento of identificación ID y país emisor Tipo Validación de Documento de de Certificado (Sujeto o entidad jurídica) Validación de Documento de ID Forma de Solicitud Administrador de Relación con cliente (mantenido confidencial en base de datos CA) 46 Nombre Organización Forma de Solicitud Certificado Unidad Organizacional Forma de Solicitud Certificado Número De Registro Forma de Solicitud Administrador de Relación con cliente (mantenido confidencial en base de datos CA) Administrador de Relación con cliente (mantenido confidencial en base de datos CA) Organizacional Forma de Solicitud Dirección de la Organización y detalles de contacto Correo electrónico Forma de Solicitud Administrador de Relación con cliente (mantenido confidencial en base de datos CA) Forma de Solicitud Identificación vía correo provisto por Sujeto Pregunta de seguridad de suspensión electrónico para suspensión Forma de Solicitud Frase clave (contraseña) de suspensión Punto de Identificación vía correo electrónico para suspensión servicio de Forma de Solicitud CRM cliente – entrega de token El ORFE debe ejecutar el procedimiento de validación de identidad inicial tal como se describe en el numeral 2.4.2 En particular: a) La autenticación de identidad individual (2.4.2.1); b) La autenticación de identidad organizacional (2.4.2.2); y c) Validación de autoridad (2.4.2.3) La forma de Solicitud debe estar debidamente firmada por el Sujeto indicando que los datos ahí consignados corresponden a su persona. Así mismo, en dicha solicitud autoriza al ORFE que gestione en su nombre la Solicitud de Certificación y realice todas las verificaciones pertinentes. 2.5.2.2 Aprobación o Denegación de la Solicitud de Certificación El ORFE debidamente autorizado de cada Institución acepta o rechaza la Solicitud utilizando datos de la Base de Datos de la Institución a la que el usuario pertenece (2.4.2.4), tomando en consideración lo siguiente: 47 Si el Solicitante ha proveído información completa, suficiente y verdadera de su persona en la Solicitud de Certificación; y Si la ejecución del proceso de Solicitud es conforme a este Manual. El ORFE deberá rechazar una Solicitud de Certificación en los siguientes casos: Documento de identificación no es válido; o El Solicitante no tiene autorización para solicitar la emisión de Certificado (2.5.1.1); Si la información de la Sección 2.4.2 concerniente a Identificación y autenticación de toda la información requerida del sujeto no puede ser completada; o La inexistencia de registro de datos en la Institución a la que el Sujeto pertenece o los datos no son consistentes con la forma de Solicitud de Certificación; o La forma de Solicitud no está firmada por el Solicitante u ORFE. Después de una verificación positiva de la Solicitud, el ORFE identifica por sí mismo con su Certificado de Autenticación y envía un requerimiento a la CNBS a través de la plataforma tecnológica para tal fin. Después de la validación exhaustiva realizada por el ORFE, el mismo debe firmar la Forma de Solicitud indicando su aprobación o denegación de la solicitud, consignando la razón de la denegación. 2.5.2.3 Tiempo para procesar una Solicitud de Certificación El tiempo estipulado para procesar una Solicitud de Certificación no debe exceder de 48 horas después de recibir la documentación completa por parte del Sujeto. Una Solicitud de Certificación permanece activa hasta que es rechazada o revocada. 48 2.5.3 Emisión de Certificados 2.5.3.1 Acciones de la CA durante la Emisión de Certificados Los Tokens y las llaves públicas y privadas serán gestionadas por el ORFE. El proceso de emisión de certificados será el siguiente: a. Generación de PIN del token seleccionado b. Generación de par de llaves para cada Certificado en el token como Secure Signature Creation Device (SSCD). c. Generación apropiada de números de solicitud de Certificado y envío a la OCA de la CNBS vía canal de comunicación autenticado y cifrado; seguidamente, la Llave Publica es leída del SSCD y puesta en una solicitud PKCS#10, incluida en un paquete de datos firmados PKCS#7. d. El Oficial de Registro de Firma Electrónica valida la solicitud de certificación mediante: Verificación de firma de la solicitud de Certificado. Verificación de validez de solicitud de Certificado, así como su estructura y contenido completo. Comparación de la solicitud de Certificado contra la existencia de una solicitud de token. Comparación de la información en la solicitud del Certificación contra la solicitud de Certificación aprobada. e. Luego de una validación exitosa, la OCA de la CNBS genera un Certificado como una declaración firmada digitalmente que une la información de identificación del Sujeto a su Llave Privada. f. Creación del mensaje de resultados con el Certificado, para un posterior envió de mensaje de respuesta vía canal de comunicación autenticado y cifrado. g. Grabar los Certificados en el token. h. Generación del PIN 49 2.5.3.2 Notificación por parte de la CA de la emisión de Certificados Una vez emitidos exitosamente los Certificados, la OCA de la CNBS lo enviará al perfil de usuario del Sujeto. 2.5.4 Aceptación de Certificados Después de la emisión del Certificados, el Sujeto debe ingresar junto al ORFE al perfil de su aplicación para descargar los certificados en su token. Una vez hecho esto el ORFE debe informar al Usuario sobre el Uso y cuidado que debe dar al token recibido, así mismo deberá indicar al Usuario donde encontrar dicha información para una posterior consulta. Por consiguiente, el Sujeto es informado de las precauciones de seguridad necesarias para firmas calificadas y su significado legal, lo cual debe constar en un documento firmado por el Usuario, el cual será denominado Contrato de Uso de Tokens de la Infraestructura de Firma Electrónica de la CNBS. 2.5.4.1 Conducción Constitutiva de Aceptación del Certificado El Sujeto debe mostrarse en persona ante el ORFE, asimismo identificarse a través de un documento de ID. Luego ambos proceden a grabar en el token los certificados del Sujeto. Posteriormente el Usuario confirma la lectura del material de información provisto y firma el contrato de Uso de Tokens de la IFE de la CNBS. El token es entregado al Sujeto. Procedimiento para aceptación de Certificados por el Sujeto: a. El Sujeto se presente personalmente. b. Identificación de Sujeto (de acuerdo a numeral 2.4.2.1); c. El ORFE de manera conjunta con el Usuario procede a grabar los certificados en el token que será entregado al Sujeto. d. El ORFE instruye al Sujeto sobre el Uso del token y el cuidado que debe tener sobre las llaves. e. El Sujeto acepta recepción del token incluyendo los Certificados con el contenido apropiado; 50 f. Mediante la firma del Contrato de Uso de Tokens de la IFE de la CNBS, el sujeto confirma haber recibido instrucciones y haber leído material de información acerca del token y uso de llaves; g. El ORFE entrega el token y una copia del Acuerdo de Uso de Tokens de la IFE de la CNBS al Usuario. h. Todos los documentos serán agregados al archivo del Sujeto y se enviará una copia al Oficial de la IFE de la CNBS. 2.5.4.2 Publicación del Certificado por la CA Los Certificados del Sujeto son publicados al activarlos en el Servicio de Directorio Activo de Certificación de la CNBS. El Sujeto tiene que dar su consentimiento para la publicación de su Certificado (el cual consta en el Acuerdo de Uso de Tokens de la IFE de la CNBS). 2.5.5 Uso de Certificados y par de Llaves 2.5.5.1 Llave Privada del Sujeto y Uso del Certificado Los Certificados Calificados de la OCA de la CNBS solo podrán ser utilizados para la creación de Firmas Seguras (en el sentido de la No-Repudiación) siguiendo la respectiva Política de Certificados Calificados (CP) de la CA Intermedia. Las siguientes obligaciones están incluidas en el Contrato de Uso de Tokens de la IFE de la CNBS: El Certificado será utilizado legalmente en concordancia con el Contrato de Uso de Tokens de la IFE de la CNBS y este Manual. El uso del Certificado debe ser consistente con las extensiones del campo KeyUsage incluido en el Certificado (por ejemplo, si una firma digital no está habilitada, entonces el Certificado no debe ser utilizado para firma); El uso de Llave Privada correspondiente a la llave Publica en el Certificado solo está permitido una vez que el Sujeto ha aceptado el Contrato de Uso de Tokens de la IFE 51 de la CNBS y ha aceptado el contenido del certificado por su conocimiento sobre el mismo; El medio conteniendo los datos con la Llave Privada deberá ser asegurado personalmente. El Sujeto deberá proteger sus Llaves Privadas de uso no autorizado y deberán descontinuar el uso de la Llave Privada una vez que el Certificado haya expirado, sido suspendido o revocado; Números de Identificación Personal (PIN, PUK) para identificación en relación a los medios de datos conteniendo Llave Privadas permanecerán secretos; y El Contrato de Uso de Tokens de la IFE de la CNBS requerirán que los Sujetos notifiquen inmediatamente al ORFE de su Institución, aquellos casos en los que se sospeche que la llave privada se encuentra comprometida o ha sido utilizada indebidamente. 2.5.5.2 Llave Pública de las Partes Dependientes y Uso del Certificado Previo a cualquier acto de confianza, las Partes dependientes revisarán de manera independiente los siguientes aspectos: La conveniencia del uso de un Certificado para cualquier propósito y determinarán si el Certificado será utilizado para un propósito adecuado, y que el mismo no esté prohibido o restringido por este Manual. Así el Servicio de Certificación de la CNBS no es responsable por la revisión de la conveniencia del uso del Certificado; Que el Certificado está siendo utilizado en concordancia con extensiones del campo KeyUsage incluidas en el Certificado (por ejemplo, si una Firma Digital no está habilitada, entonces el Certificado no puede ser confiable para validar la firma del Sujeto); y El estatus del Certificado y todas las CA´s en la cadena que emitieron el Certificado. Si cualquiera de los Certificados en la Cadena de Certificados han sido revocados, la Parte Dependiente no podrá confiar en el Certificado del Sujeto o en otro Certificado revocado en la cadena de Certificado. 52 2.5.6 Renovación de Certificados La Renovación de Certificados es la emisión de un nuevo Certificado a un Sujeto sin cambiar la llave pública o cualquier otra información en el Certificado. 2.5.7 Certificado de Re-Llave Certificado de Re-Llave significa se refiere a la generación de un nuevo par de llaves y solicitud para la emisión de un nuevo Certificado que certifique la nueva Llave Publica. El Sujeto y/o el Oficial de Registro de Firma Electrónica será informado 30 días previo a la expiración de la validez del certificado por vía correo postal o correo electrónico. Si un Certificado ha expirado, se le requiere al Suscriptor aplicar para un nuevo Certificado en concordancia con la sección 2.4.2. 2.5.8 Modificación de Certificados La CNBS no realizará cambios a un Certificado existente, ya que esto entorpecería la verificación de cualquier firma digital en el Certificado y causaría la invalidez del Certificado. En una situación en donde la información referida en el Certificado ha cambiado o debería ser cambiada, la CNBS emitirá un nuevo Certificado conteniendo la información modificada. Un ejemplo es aquel en el que el Suscriptor cambie su nombre, situación que obligaría a la emisión de un nuevo Certificado conteniendo el nuevo nombre. En caso de que información material en un Certificado haya sido cambiada, se le requiere al Sujeto la revocación el Certificado y aplicar para nuevos Certificados. 2.5.9 Suspensión y Revocación de Certificados Todas las solicitudes de suspensión y revocación requieren ser validas. Tal validez deberá ser determinada por su cumplimiento o no-cumplimiento con los procedimientos de este Manual, en 53 cual incluye referencias a la autoridad de la persona que puede hacer la solicitud. 2.5.9.1 ¿Quién puede solicitar una suspensión o una revocación de Certificado? Las siguientes personas o entidades están autorizadas para iniciar la suspensión o revocación de Certificados emitidos bajo los términos y condiciones de este Manual: Sujeto; Suscriptor (por ejemplo, ORFE que firmó la Forma de Solicitud de Certificación, mediante el cual el ORFE verificó la validez de la solicitud y el Sujeto autorizó al ORFE para gestionar la solicitud de sus certificados); La CNBS (quien puede ejecutar la suspensión o revocación del Certificado basado en circunstancias establecidas en los numerales 2.5.9.2.1 y 2.5.9.3.1) La revocación es realizada por el ORFE basado en una solicitud legalmente autorizada. 2.5.9.2 Suspensión 2.5.9.2.1 Circunstancias para la Suspensión La OCA de la CNBS suspenderá sin retardo alguno un Certificado en los siguientes casos: 1. Una solicitud de suspensión elegible es recibida; y 2. Validez de una Orden Judicial o una Regulación de la CNBS pertinente a la suspensión del Certificado. La suspensión de Certificados emitidos por la OCA de la CNBS ocurre inmediatamente después de la solicitud de suspensión. 2.5.9.2.2 Procedimiento para la Solicitud de Suspensión Una solicitud para suspensión de un Certificado procederá de la siguiente manera: La persona solicitante somete una solicitud de suspensión al ORFE. El ORFE se asegura de que la Solicitud de Suspensión está debidamente formulada; 54 El ORFE se asegura que la persona solicitante está debidamente identificada, autenticada y autorizada El ORFE se autentica por si mismo utilizando el (Certificado de Autenticación); El ORFE procesa la suspensión; El ORFE informa sin demora al Oficial de la IFE de la CNBS sobre la Suspensión La OCA de la CNBS informa al Sujeto y/o Suscriptor vía correo electrónico sobre la suspensión. 2.5.9.2.3 Tiempo durante el cual la CA debe procesar una Solicitud de Suspensión de Certificado El máximo retraso entre el recibo de una solicitud de suspensión y el cambio al estatus del Certificado, y que la información esté disponible a todas las partes involucradas depende del método de validación de Certificado: Para validación de Certificado que utilizan un Responder OCSP confiable del Servicio de Certificación de la CNBS no deberá ser mayor a un día (24 horas). Para validación de Certificado utilizando el más reciente CRL, será como máximo dos días (48 horas). En caso de duda, las partes dependientes podrán tener la información del estatus más reciente del Responder – OCSP confiable del Servicio de Certificación de la CNBS. 2.5.9.2.4 Límites en el Período de Suspensión No hay límites en relación al período de Suspensión. 2.5.9.2.5 Terminación de la Suspensión Una vez que el Certificado ha sido suspendido, la suspensión es manejada con una de las siguientes tres maneras: Una entrada para el certificado suspendido permanece en el CRL hasta la expiración del Certificado sin ninguna otra acción (a la petición de validación de Certificado, el OCSP-R dará una respuesta negativa); 55 La entrada CRL para el Certificado suspendido es reemplazada por una entrada de revocación para el mismo Certificado y un CRL actualizado es emitido (a la petición de validación de Certificado, OCSP-R dará una respuesta negativa); La suspensión de un Certificado es explícitamente terminada; la entrada se remueve del CRL y un nuevo CRL es emitido (a la petición de validación de Certificado, OCSPR dará una respuesta positiva); Una solicitud para la terminación de una suspensión solo será aceptada en forma escrita firmada por el Sujeto, en donde el Sujeto confirma que la Llave Privada y los Códigos de Activación estuvieron únicamente bajo su control durante el periodo de suspensión. 2.5.9.2.6 Tiempo dentro del cual la CA debe procesar una Solicitud de Terminación de Suspensión Se requiere un lapso de 24 horas para asegurar que los Certificados suspendidos están por lo menos en un CRL Delta. 2.5.9.3 Revocación 2.5.9.3.1 Circunstancias para la Revocación de un Certificado La Revocación de Certificados ocurre de manera inmediata a una Solicitud de Revocación de Certificado valida recibida por el ORFE de una Institución miembro de Interconexión Financiera, en concordancia con la Sección 2.5.9.3.2 de este Manual. La acción de Revocación deberá tomar lugar dentro de un periodo no mayor a 24 horas desde la recepción de una solicitud de revocación valida en una o más de las siguientes circunstancias: La Llave Privada correspondiente a la Llave Publica en el Certificado ha sido extraviada, descubierta sin autorización, robada o comprometida de cualquier manera; La afiliación contractual entre la Institución Miembro de interconexión financiera y el Sujeto ha sido terminada; 56 El Sujeto ha sido trasladado dentro de la misma Institución a una Unidad (departamento o división) donde no requiere utilizar los Servicios de Certificación de la CNBS. La relación entre la Institución y la CNBS ha finalizado. El Sujeto propietario del Certificado no cumple con las obligaciones materiales de sus contratos con el Servicio de Certificación de la CNBS, o los aplicables de cualquier Manual de la IFE, o el presente Manual; El ORFE o la OCA de la CNBS recibe información oficial pertinente a cambios de cualquier información incluida en los cambios de Certificado; El ORFE o el Servicio de Certificación de la CNBS recibe información oficial que el Sujeto o Suscriptor han proveído información falsa a la CNBS con el propósito de recibir el Certificado; Cumplimiento de una Orden Judicial pertinente a la revocación del Certificado; Si existe la sospecha probable de que los algoritmos, parámetros y dispositivos utilizados para la producción y aplicación de la Llave Privada no son confiables y no garantizan la seguridad contra falsificación de las firmas producidas; En caso de terminación de la OCA de la CNBS Cualquier otra circunstancia material que requiera investigación para asegurar la seguridad, integridad o confiabilidad de los Servicios de Certificación de la CNBS. 2.5.9.3.2 Procedimiento para realizar una Solicitud de Revocación de Certificado Una persona que solicite la revocación de un certificado requiere comunicar dicha solicitud al respectivo ORFE de su Institución (en caso de que no sea el mismo el solicitante), quien a su vez iniciará la revocación del Certificado de manera diligente. El procedimiento es como a continuación se describe: La persona solicitante somete una Solicitud de Revocación; El ORFE se asegura que la Solicitud de Revocación está debidamente llenada; El ORFE se asegura que la persona solicitante está debidamente identificada, autenticada y autorizada; 57 El ORFE se autentica a sí mismo (utilizando un Certificado); El ORFE procesa la revocación; El ORFE informa sin demora al Oficial de la IFE de la CNBS sobre la Revocación La OCA de la CNBS informa al Sujeto y/o Suscriptor vía correo electrónico sobre la revocación. 2.5.9.3.3 Tiempo durante el cual la CA debe procesar una Solicitud de Revocación de Certificado El máximo retraso permitido entre el recibo de una solicitud de revocación y el cambio de a estatus de Certificado, y que dicha información esté disponible a todas las partes involucradas depende del método de validación de Certificado: Para validación de Certificado utilizando un Responder OCSP confiable del Servicio de Certificación de la CNBS no deberá ser mayor a un día (24 horas). Para validación de Certificado utilizando el más reciente CRL, no deberá ser mayor a dos días (48 horas). En caso de duda, las partes dependientes deben obtener la información del estatus más reciente del Responder – OCSP confiable de la CNBS. 2.5.9.4 Revocación – Verificación de Requerimientos para Partes Dependientes Las Partes dependientes deberán verificar el estatus de los Certificados en los cuales desean depender. Un método por el cual las partes dependientes pueden verificar el estatus es consultar el CRL más reciente utilizando los Servicios de Directorio activo de Certificación de la CNBS. Un certificado suspendido o revocado aparece en un CRL publicado solamente 48 horas después de su suspensión o revocación. Repuestas de la OCSP están basadas en el estatus del Certificado en la base de datos de Certificados internos de la CNBS y son, por lo tanto, actualizados de manera inmediata en cuanto se realizan cambios en el estatus de Certificados. La CNBS recomienda que las partes dependientes verifiquen el estatus actual por medio del Responder OCSP confiable del Servicio de Certificación 58 de la CNBS. 2.5.9.5 Significado de los Códigos de Razón del CRL Cuando un Certificado es revocado, la OCA de la CNBS específica por qué la acción fue tomada. Esto se realiza especificando la razón de revocación; estas razones están definidas por RFC 3280 e incluyen: Código de Razón CRL Significado No especificado Certificado fue revocado sin ningún código de razón específico o por otra razón no definida. KeyCompromise La Llave Privada del Sujeto asociada con el Certificado ha sido comprometida. Esto significa que el token o su contraseña están en posesión de un individuo no autorizado. Esto incluye el caso del extravió del token. cACompromise El modulo criptográfico (HSM) en donde la Llave Privada de la CA es almacenada, ha sido comprometido y está en posesión de un individuo no autorizado. affiliationChanged Este código será empleado: Si cualquier información sustantiva en el Certificado del Sujeto ha sido alterada. O si el Sujeto ha terminado su relación con la organización indicada en el atributo de Nombre Único del Certificado. Superseded Un Certificado de reemplazo ha sido emitido a un Sujeto y la razón no cabe dentro de las mencionadas anteriormente. Esta revocación típicamente es utilizada cuando un token o el Sujeto han cambiado su nombre legal. cessationOfOperation La afiliación del Sujeto o del Suscriptor del Servicio de Certificación de la CNBS ha sido terminada por cualquier razón. certificateHold El Certificado ha sido Suspendido. El Servicio de Certificación de la CNBS no avalará el Certificado durante el periodo de suspensión. removeFromCRL Sin un Certificado es suspendido con el código de razón „CertificateHold‟, es posible “reactivar” el Certificado. La terminación del proceso de suspensión todavía listará al Certificado en el CRL, pero con el código razón en RemoveFromCRL. 59 Nota: Este es especifico al código de razón CertificateHold, y solo es utilizado en los Delta CRLs 2.5.9.6 Frecuencia de Emisión de los CRL Generada y Tipo Contenido Firmada Validez (incl. Tiempo Traslape Tiempo de traslape) CA Raíz de Total/ Certificados revocados 3 meses la CNBS completo emitidos por la CA revocación) (a la 1 semana (a la 1 semana (a la 2 días Raíz de la CNBS CA Total/ Certificados revocados 3 Intermedia completo emitidos por la CA revocación) de la CNBS meses Intermedia de la CNBS CA Total/ Certificados revocados 4 Operacional completo emitidos por la OCA de revocación) de la CNBS días la CNBS Incremental/ Certificados revocados 24 horas Delta emitidos por la OCA de revocación) (a la la CNBS El periodo de tiempo entre thisUpdate y nextUpdate indica la validez del CRL. Por razones técnicas (toma algún tiempo crear el CRL), el próximo CRL normalmente será emitido antes del día indicado (durante el tiempo de traslape), pero no será emitido posteriormente. Si un Certificado listado en el CRL expira, será removido de los CRL’s emitidos posteriormente. CRL’s serán archivados por un periodo definido en la Sección 2.1.1.2 2.5.9.7 Máxima Latencia para CRL’s Los CRL’s son posteados en el repositorio dentro de un tiempo razonable después de su generación. Esto es generalmente hecho automáticamente dentro de los minutos de la generación. 60 2.5.9.8 Disponibilidad de las Revisiones del Estatus de Revocación en Línea Los Servicios de Validación de Certificados de la CNBS por medio de Responder-OCSP proveen Revisión de Estatus de los Certificados en línea para los Certificados emitidos por el Root CA y las CA’s de confianza de la CNBS. Todos los Certificados son verificables en cualquier momento por los Servicios de Validación de Certificados sin interrupciones programadas. El Responder OCSP confiable de la CNBS tiene carga balanceada y es redundante para propósito de Alta Disponibilidad. Disponibilidad Estimada es de 99.9%. 2.5.9.9 Requerimientos para la Revisión de Revocación en Línea Respuestas de la OCSP están basadas en el estatus del certificado en la base de datos interna de Servicios de Certificación de la CNBS y son por consiguiente, actualizados inmediatamente una vez que el estatus del Certificado cambia. La CNBS recomienda que las Partes Dependientes deben revisar los estatus más actualizados utilizando el Responder OCSP confiable del Servicio de Certificación de la CNBS. Otro mecanismo provisto es la Revisión de de Estatus de Certificados fuera de línea por medio del CRL descargable por los Servicios de Directorio Activo de Certificación de la CNBS. 2.5.9.9.1 Otras Formas de Anuncio de Revocación Disponible No aplicable. 2.5.9.9.2 Requerimientos Especiales concernientes a Llaves Comprometidas Si existe sospecha de que algoritmos, parámetros y/o dispositivos utilizados para la generación y uso de Llaves Privadas no continúan siendo seguros, una investigación apropiada es iniciada por el Administrador IFE de la CNBS. Una Llave Privada de la OCA de la CNBS comprometida tiene como resultado la revocación inmediata de la Llave Privada del CA. La OCA de la CNBS realizará los esfuerzos razonables para notificar a las Partes Dependientes si 61 descubre, o tiene razones para creer, que alguna Llave Privada de uno de sus propios CA´s ha sido comprometida. 2.5.10 Servicios de Validación de Certificados Los Servicios de Validación de Certificados de la CNBS por medio del Responder OCSP proveen validación del Estatus de los Certificados en línea acorde a RFC 2560 para Certificados emitidos por la Root CA y los CA’s confiables de la CNBS. El Responder – OCSP se encuentra disponible en el URL http:// 2.5.10.1 Características Operacionales Acceso al Responder OCSP para revisar la validez del estatus de un Certificados de firma no está restringido, el acceso no requiere autenticación. Para la validación de otros Certificados Calificados, el Responder OCSP confiable de la CNBS acepta también solicitudes autenticadas. El Responder OCSP confiable de la CNBS realiza las siguientes tareas: Autentica al usuario que llama si el que origina el llamado está utilizando el canal autenticado para acceder el OCSP. Valida solicitudes de estatus de los Certificados para los siguientes eventos definidos en el RFC: 1. Si el mensaje de solicitud esta debida formado; 2. Si el responder está debidamente configurado para proveer el servicio solicitado; 3. Si la solicitud contiene la información necesaria para responder. Si la validación falla, respuesta de error es preparado y enviado. Si la solicitud del Estatus de Certificado es válido (en concordancia con RFC), el Responder OCSP consulta a la base de datos de Certificados sobre la información de estatus del Certificado. 62 Prepara un mensaje de respuesta y firma el mensaje respuesta utilizando la Llave Privada asociada con el Certificado de Responder Confiable designado (Certificado OCSP de la CNBS) Retorna la respuesta al emisor Registra la finalización de la solicitud de estatus del Certificado en el registro de auditoría junto con el estatus de la operación. La OCSP firma respuestas utilizando Certificados de respuesta confiables que soportan algoritmos hash SHA1 y extensión nonce. Si el Certificado Responder confiable ha expirado o ha sido revocado, el Responder OCSP se detiene; El Responder OCSP Confiable de la CNBS nunca da información de validación de estatus de Certificados firmados por un Certificado no-valido. Notar que mensajes de error no deben ser firmados. 2.5.10.2 Significado de las Respuestas Un Responder OCSP es utilizado para responder a solicitudes de estatus de Certificados y puede emitir una de tres respuestas posibles: “bueno”, “revocado” y “desconocido”. Respuesta OCSP Significado Bueno El estado “bueno” indica una respuesta positiva a la solicitud de estatus. Esta respuesta positiva indica que el Certificado no está Suspendido ni revocado, pero no necesariamente significa que la hora a la cual fue producida la respuesta está dentro de intervalo de validez del Certificado. Revocado El estado de “revocado” indica que el Certificado ha sido revocado (ya sea permanentemente o temporalmente suspendido) Desconocido El Certificado no se encuentra en la base de datos. La solicitud fue realizada para solicitar el estatus de certificados que no fueron emitidos por la CNBS o por Certificados que han sido borrados. 63 2.5.11 Fin de Suscripción Un Suscriptor puede terminar su Suscripción de Certificación ante el OCA de la CNBS por: Permitir que su Certificado expire sin reemplazar el Certificado; y Revocación de su Certificado antes de la expiración del Certificado sin reemplazar el Certificado. 2.5.12 Fideicomiso de llaves y Recuperación Ningún participante del Servicio de Certificación de la CNBS podrá emplear el contrato de fideicomiso de Llaves Privadas de Certificados de Firma Calificado del Suscriptor. 2.6 Cambio de Llave de la CA El cambio de llaves no es un proceso automático. Las llaves expiran al mismo tiempo que sus Certificados asociados. El Servicio de Certificación de la CNBS incita al cambio de llaves tres (3) años antes de la expiración de sus Certificados, como se muestran en la siguiente tabla: CA Periodo Validez de Periodo Operacional (Día de detención de emisión) CA Raiz 16 años 9 años 8 años 3 años OCA 1 4 años 2 años OCA 2 4 años 2 años CA Intermedia (o de políticas) En el “Día de Detención de Emisión” la CA cesa de emitir certificados con la llave vieja e inicia la generación de nuevas llaves. Las nuevas llaves serán certificadas por el Servicio de Certificación de la CNBS (de acuerdo a los requerimientos de Regeneración de llaves). El nuevo certificado de la nueva Llave Pública es publicado en el Directorio de Servicio de Certificación de la CNBS. 64 Solicitudes de Certificación recibidas después del “Día de Detención de Emisión” serán firmadas con la nueva Llave Privada de la CA. La OCA de la CNBS minimiza la interrupción por el cambio de Llave de la CA a los usuarios finales y a las partes dependientes en su cadena de confianza. En este sentido, la OCA de la CNBS continúa emitiendo los CRLs firmados con la Llave Privada original hasta que la fecha de expiración del par de llaves originales es alcanzada. Esto significa que después del “día de detención de emisión”, dos CRLs con el mismo contenido se encuentran disponibles, el primero firmado con la Llave original y el segundo CRL firmado con la nueva Llave. 2.7 Generación e Instalación del par de Llaves 2.7.1 Generación del Par de Llaves La generación del par de llaves por parte de la OCA de la CNBS es realizada por varios individuos (preseleccionados, entrenados, y de confianza, que han suscrito una declaración jurada a perpetuidad de confidencialidad), utilizando sistemas y procedimientos que proveen la seguridad y criptografía requerida para la generación de las llaves. Las llaves Privadas de la OCA de la CNBS deberán ser generadas y almacenadas en un Modulo de Seguridad Hardware (HSM), el cual esta certificado por FIPS 140-2 Nivel 3 para la generación y almacenamiento de las llaves, el cual protege a la llave de su divulgación externa. La OCA de la CNBS realiza la generación de Par de Llaves en un token, el cual es evaluado como EAL4+ de acuerdo con el ISO 7816-1 al 4 asegurando que la firma contenida en la Llave Privada no podrá salir del token. 2.7.2 Entrega de la Llave Privada al Sujeto Las llaves privadas (token) son distribuidas al ORFE correspondiente. La distribución de dichos 65 dispositivos se encuentra registrada por la OCA de la CNBS. Las llaves Privadas (token) serán entregadas personalmente por el ORFE a los Sujetos. Las llaves privadas se encuentran protegidas en caso de su utilización incorrecta y la información no puede ser extraída del token. El uso de la Llave Privada requiere el ingreso de un PIN el cual también será entregado por el ORFE. 2.7.3 Entrega de la Llave Pública del Sujeto al Emisor del Certificado Las llaves Públicas son generadas en un token en la Fábrica de Tokens. Para su certificación, la llave pública del sujeto deberá ser exportada desde el token y transportada seguramente a la OCA de la CNBS como una Solicitud de Certificado PKCS#10 utilizando una sesión en línea SSL. La verificación de una firma en una Solicitud de Certificado PKCS#10 constituye prueba suficiente de la posesión de la respectiva Llave Privada. El mecanismo utilizado para la entrega de la Llave Publica asegura que: (i) La Llave Pública no ha sido alterada durante su transporte; y (ii) El Solicitante del Certificado posee la Llave Privada correspondiente a la Llave Pública que ha sido transferida. 2.7.4 Entrega de la Llave Pública a Usuarios y Partes Dependientes Toda las Llaves Publicas de la OCA de la CNBS estarán disponibles desde el directorio activo del Servicio de Certificación de la CNBS. Adicionalmente los valores hash (huella, fingerprint) del Certificado de la CA Raíz auto firmado para la validación inicial estarán disponibles según lo expuesto en la sección 2.3.1.2.2. La Llave Pública del Sujeto será entregada mediante el token utilizado para almacenar el Par de Llaves del Sujeto. Durante la generación del Certificado, el sistema CA verifica que el Certificado del Sujeto pueda ser corroborado utilizando la Llave Pública de la OCA de la CNBS. Si el sujeto acordó la publicación de su Certificado en el Repositorio del Servicio de Certificación de la CNBS, el certificado podrá ser descargado. 66 2.7.5 Tamaño de las Llaves Key Tamaño Llave de Firma de CA 2048 bit Llave de Firma del Sujeto 2048 bit Llave de Autenticación de Sujeto 1024 bit El algoritmo Criptográfico utilizado es RSA 1024Bit/2048 Bit (PKCS#1) 2.7.6 Generación de Parámetros de Llave Pública y Revisión de Calidad No Aplicable 2.7.7 Propósitos para la Utilización de Llaves La Llave Privada del Sujeto deberá ser utilizada de conformidad con la sección 2.5.5. La Llave de Firma Privada de la CA será utilizada solo para la certificación del Usuario final y para la firma de la Lista de Revocación conforme al campo de uso de la llave X.509 v3, tal como lo estipula el Servicio de Certificación de la CNBS. 2.8 Protección de la Llave Privada 2.8.1 Estándares para el Módulo Criptográfico El HSM utilizado por la OCA de la CNBS reúne los requisitos señalados en FIPS 140-2, nivel 3. Los tokens, que son utilizadas como un medio para transportar La Llave Privada del Sujeto, serán evaluados según el criterio común (ISO 7816-1 al 4) con la evaluación nivel EAL4+. 2.8.2 Control Multipersonal de Llave Privada (M de N) La OCA de la CNBS ha implementado un mecanismo técnico y procedimental que requiere la 67 participación de varias personas de confianza para realizar operaciones criptográficas sensitivas. Ninguna persona por si sola tendrá a su alcance toda la información de activación para acceder a cualquiera de la Llaves Privadas de la CA. 2.8.3 Respaldo de la Llave privada La Llave Privada de la OCA de la CNBS será respaldada y almacenada de manera segura en caso de pérdida debido a interrupciones en el fluido eléctrico o fallas en el equipo. El respaldo de la Llave de la CA ocurrirá como parte del proceso de generación de dicha llave. La Llave Privada de la CA respaldada deberá mantenerse en secreto, a fin de conservar su autenticidad e integridad. El procedimiento de regeneración de Llaves será documentado y será realizado bajo un doble control, dicho procedimiento se desarrollará en un lugar seguro. Las Llaves Privadas de los Sujetos para el uso de firmas digitales serán generadas y almacenadas en un Token, del cual no se podrán extraer, por lo tanto no se respaldan para su recuperación. 2.8.4 Archivo de la Llave Privada Si el par de llaves de la OCA de la CNBS llegan al final de su periodo de validez, dicho par de llaves será destruido de manera segura conforme a este DCP. 2.8.5 Transferencia de la Llave Privada al Módulo Criptográfico El Servicio de Certificación de la CNBS genera el Par de llaves de la CA en el HSM, dispositivo en el cual serán utilizadas las llaves. Las Llaves Privadas del Sujeto que contienen la Firma y Certificados de Autenticación son creados en los tokens y no podrán ser transferidas en o desde un modulo criptográfico. 68 2.8.6 Almacenamiento de la Llave Privada en el Modulo Criptográfico Las Llaves privadas de la OCA de la CNBS contenidas en HSM deberán ser almacenadas de forma cifrada. Las Llaves privadas del Certificado de Firma Calificado y el Certificado de Autenticación del Sujeto solo serán almacenadas en el token y no podrán ser extraídas de la misma. 2.8.7 Método de Activación de la Llave Privada La llave Privada de la OCA de la CNBS solo podrá ser activada introduciendo un número predefinido de Tarjetas de Operador en el HSM ejecutado en el modo cumplimiento de FIPS. La activación de Llave Privada de CA requiere la entrada y validación de un PIN o frase clave que cumpla con los parámetros de seguridad especificados. El uso de Llave Privada mediante token requiere el ingreso de un PIN: Las Llaves Privadas para Firma calificada están protegidas por un PIN de firma. El ingreso del PIN de Firma activa una Llave Privada para la Firma Calificada, que permite la generación de una firma (cada generación de firma requiere ingresar el PIN nuevamente). La Llave privada para Autenticación está protegida por una PIN de token. El PIN de token activa la Llave Privada para una sesión (hasta que la fuente de poder o el token se detenga o la aplicación del cliente es terminada). 2.8.8 Método de Desactivación de una Llave Privada Refiérase a la Sección 2.8.9. 2.8.9 Método de Destrucción de la Llave Privada Las Llaves Privadas de la OCA de la CNBS serán destruidas si ya no se necesitan, o cuando el certificado al cual corresponden ha expirado o ha sido revocado. Las Llaves Privadas serán 69 destruidas de manera que prevengan su pérdida, robo, modificación, exhibición no autorizada o uso no autorizado. Para los tokens, esto podrá ser realizado mediante destrucción física del hardware. Los Sujetos podrán regresar sus tokens para destrucción segura en un Punto de Servicio de Certificación al de la CNBS. 2.8.10 Rating del Modulo Criptográfico Ver Sección 2.8.1 2.9 Otros Aspectos de la Administración del Par de Llaves 2.9.1 Almacenamiento de la Llave Pública Todos los Certificados emitidos (incluyendo todos los expirados, revocados o suspendidos) serán retenidos y archivados como parte de la rutina de procedimientos de la OCA de la CNBS. El periodo de retención después de la expiración de los Certificados será de diez (10) años. 2.9.2 Períodos Operacionales y Períodos de Uso del Par de llaves El periodo operacional de un Certificado termina con su expiración o revocación. El periodo operacional para un par de llaves es el mismo que el periodo operacional para los certificados asociados, excepto que pueden continuar siendo utilizados para verificación de firma. Adicionalmente, la OCA de la CNBS dejará de emitir nuevos Certificados en un día apropiado previo a la expiración del Certificado CA, por lo que ningún Certificado será emitido por un CA Subordinado después de la expiración de cualquier Certificado CA Superior. Certificado Certificado de la CA Raíz (self-signed) Periodo de Validez Hasta 16 años 70 Certificado de la CA Intermedia Hasta 8 años Certificado Calificado de la OCA Hasta 4 años Certificado de Firma Calificada para el usuario Hasta 2 años Final Certificado de Autenticación para Usuario Final Hasta 2 años Certificado Calificado del Responder OCSP Hasta 4 años La aplicabilidad de algoritmos criptográficos y parámetros estará constantemente supervisada por la administración. Si un algoritmo o una longitud de Llave no ofrece suficiente seguridad durante el periodo de validez del Certificado, el Certificado será revocado y una nueva Solicitud de Certificado será iniciada. 2.10 Datos de Activación 2.10.1 Instalación y Generación de Datos de Activación Un PIN o frase-clave será utilizado para proteger el acceso a la Llave Privada. Si esta información debe ser transmitida al Sujeto, deberá ser vía un canal con protección adecuada. El Sujeto deberá ser notificado del día del envío, método y día de entrega de cualquier dato de activación. Como parte del método de entrega, el Sujeto deberá aceptar el recibo del token y de los datos de activación. Adicionalmente, el Sujeto deberá también recibir y reconocer el recibo de información concerniente al uso y control del modulo criptográfico. 2.10.2 Protección de los Datos de Activación Los datos de activación deberán ser memorizados, no escritos. Si se escriben, debe ser asegurado a un mismo nivel en que los datos son protegidos por el modulo criptográfico. Los datos de activación nunca deben ser compartidos. Los Sujetos deberán proteger los datos de activación para sus Llaves Privadas, para prevenir 71 perdida, robo, modificación, exhibición no autorizada, o uso no autorizado de dichas Llaves Privadas. 2.10.3 Otros Aspectos de los Datos de Activación 2.10.3.1 Transmisión de los Datos de Activación Los Sujetos deberán proteger los datos de activación para sus Llaves Privadas utilizando métodos de protección contra la perdida, robo, modificación, exhibición no autorizada o uso no autorizado de dichas Llaves Privadas. 2.10.3.2 Destrucción de los Datos de Activación Los datos de activación de Llaves privadas de la OCA de la CNBS deberán ser de removidos utilizando métodos que protejan contra la perdida, robo, modificación, exhibición no autorizada o uso no autorizado de la Llave Privada, protegida por esos datos de activación. Después de que el periodo de retención del registro, descrito en la Sección 5.5.2 expira, la CA deberá decomisar los datos de activación mediante destrucción física o sobre-escritura. 2.11 Certificados y Perfiles CRL Todos los Certificados Digitales emitidos por el Servicio de Digitalización de la CNBS cumplen con los perfiles CRL y los Certificados Digitales descritos en RFC 3280. 2.11.1 Perfiles de Certificado 2.11.1.1 Perfil Operacional del OCA 1 X.509 V1 Standard Versión Numero Serial Algoritmo de Firma Critico Atributo OCA 1 del Servicio de Certificación de la CNBS – Firma de la Política CA Contenido V3 Asignada automáticamente por la CA de Certificación Sha1WithRSAEncryption 72 X.509 V1 Standard Nombre Único del Emisor Critico Atributo No Identificador de Llave identificador de Llave Valido No Antes Valido No Después Nombre Único del Sujeto RSA Llave Publica Key store Extensiones X.509 V3 Identificador de Llave Autoridad Identificador de Llave Sujeto Uso de Llave No Si Políticas de Certificado No BasicConstraints Acceso de Información Autoridad Yes No certPolicyID CPSuri ca accessMethod No accessLocation accessMethod accessLocation distributionPoint CRLDistributionPoint Algoritmo de Huella Digital Huella Digital Versión CA Nombre de la Plantilla del Certificado OCA 1 del Servicio de Certificación de la CNBS – Firma de la Política CA Contenido CN= CNBSPSI(PCA) OU= CNBS O= CNBSC= HN Issuing Date Issuing Date + 6 años CN= CNBSPSI(CA1) OU= CNBS O= CNBSC=HN 2048 bit HSM de la OCA Sha1 hash el IssuerPublicKey Sha1 hash of SubjectPublicKey keyCertSign (RFC 3280) crlSign (RFC3280) 1.3.6.1.4.1.25177.1.1.2 http:// True OCA ldap://e OCSP http://ocsp.e-me.lv/responder.eme ldap://e http:// Sha1 Huella Digital de Certificado Nombre de Certificado 73 2.11.1.2 Perfil Operacional del OCA 2 X.509 V1 Standard Versión Numero Serial Critico Atributo No Identificador de Llave Identificador de Llave Algoritmo de Firma Nombre Único del Emisor Valido No Antes Valido No Después Nombre Único del Sujeto RSA Llave Publica Key store Extensiones X.509 V3 Identificador de Llave Autoridad Sujeto Identificador de Llave Uso de Llave No Si CertificatePolicies No BasicConstraints Acceso de Información Autoridad Si No certPolicyID CPSuri UserNotice ca accessMethod No accessLocation accessMethod accessLocation distributionPoint CRLDistributionPoint Algoritmo de Huella Digital Huella Digital Versión CA Nombre de la Plantilla OCA 2 del Servicio de Certificación de la CNBS – Firma de la Política CA Contenido V3 Asignado automáticamente por la CA de Certificación Sha1WithRSAEncryption CN= CNBSPSI(PCA) OU= CNBS O= CNBSC=HN Día de Emisión Día de emisión + 6 años CN= CNBSSI(CA2) OU= CNBS O= CNBSC=HN 2048 bit HSM de la OCA Sha1 hash of IssuerPublicKey Sha1 hash of SubjectPublicKey keyCertSign (RFC 3280) crlSign (RFC3280) 1.3.6.1.4.1.25177.1.1.2 http:// True OCA ldap:// OCSP http://ocsp.e-me.lv/responder.eme ldap:// Sha1 Huella digital de Certificado Nombre de Certificado 74 X.509 V1 Standard del Certificado Critico Atributo OCA 2 del Servicio de Certificación de la CNBS – Firma de la Política CA Contenido 2.11.1.3 Perfil del Certificado de Firma Calificada Emitido por el OCA 1 X.509 V1 Standard Versión Numero Serial Critico Atributo No Identificador de Llave Algoritmo de Firma Nombre Único del Emisor Valido No Antes Valido No Después Nombre Único del Sujeto RSA Llave Publica Key store X.509 V3 Extensions Identificador de Llave Autoridad Uso de Llave QCStatements CertificatePolicies BasicConstraints SubjectAltName Acceso de Información Autoridad Si No No Si No No statementId certPolicyID CPSuri UserNotice ca Rfc822Name accessMethod Certificado de Firma del sujeto del Servicio de Certificación de la CNBS OCA1 firmado Contenido V3 Asignado automáticamente por la CA de Certificación Sha1WithRSAEncryption CN= CNBSSI(CA1) OU= CNBS O= CNBSC=HN Día de emisión Día de emisión + 2 años SER= <unique ID Number (personal code or other system generated unique ID)> givenName = <given name> surName = <surname> optional: [OU= <Organizational Unit>] optional: [O= <Organization>] C= <country> 2048 bit Token Sha1 hash of IssuerPublicKey nonRepudiation (RFC3280) Id-etsi-pcs-QcCompliance (0.4.0.1862.1.1) 1.3.6.1.4.1.25177.1.1.2 http:// Falso Optional: [Email address of the Subject] OCA 75 X.509 V1 Standard Critico CRLDistributionPoint No Algoritmo de Huella Digital Huella Digital Versión CA Nombre de la Plantilla del Certificado Identificador de Llave Sujeto Uso de Llave extendida Políticas de aplicación Atributo accessLocation accessMethod accessLocation distributionPoint Certificado de Firma del sujeto del Servicio de Certificación de la CNBS OCA1 firmado Contenido ldap:// Ocsp http:// ldap://e Sha1 Huella Digital de Certificado Nombre Certificado No Identificador de Llave Sha1 hash of SubjectPublicKey Secure Email (OID 1.3.6.1.5.5.7.3.4) [1] Application Certificate Policy: Policy Identifier = Secure Email 2.11.1.4 Perfil del Certificado de Firma Calificada Emitido por el OCA 2 X.509 V1 Standard Versión Numero Serial Algoritmo de Firma Nombre Único del Emisor Valido No Antes Valido No Después Nombre Único del Sujeto Critico Atributo Certificado de Firma del sujeto del Servicio de Certificación de la CNBS OCA2 firmado Contenido V3 Asignado automáticamente por la CA de Certificación Sha1WithRSAEncryption CN= CNBSSI(CA2) OU= CNBS O= CNBSC=HN Día de emisión Día de emisión + 2 años SER= <unique ID Number (personal code or other system generated unique ID)> givenName = <given name> surName = <surname> optional: [OU= <Organizational Unit>] optional: [O= <Organization>] 76 X.509 V1 Standard RSA Llave Publica Key store X.509 V3 Extensions Identificador de Llave Autoridad Uso de Llave QCStatements CertificatePolicies BasicConstraints SubjectAltName Acceso de Información Autoridad CRLDistributionPoint Algoritmo de Huella Digital Huella Digital Versión CA Nombre de la Plantilla del Certificado Identificador de Llave Sujeto Uso de Llave extendida Políticas de aplicación Critico Atributo No Identificador de Llave Si No No Certificado de Firma del sujeto del Servicio de Certificación de la CNBS OCA2 firmado Contenido C= <country> 2048 bit Token Sha1 hash of IssuerPublicKey Si No No statementId certPolicyID CPSuri ca Rfc822Name accessMethod nonRepudiation (RFC3280) Id-etsi-pcs-QcCompliance (0.4.0.1862.1.1) 1.3.6.1.4.1.25177.1.1.2 http://www.e-me.lv/repository Falso Optional: [Email address of the Subject] OCA No accessLocation accessMethod accessLocation distributionPoint ldap:// Ocsp http:// ldap:// Sha1 Huella Digital de Certificado Nombre Certificado No Identificador de Llave Sha1 hash of SubjectPublicKey Secure Email (OID 1.3.6.1.5.5.7.3.4) [1] Application Certificate Policy: Policy Identifier = Secure Email 77 2.11.1.5 Perfil del Certificado de Autenticación del Sujeto Emitido por el OCA 1 X.509 V1 Standard Versión Numero Serial Critico Atributo No Identificador de Llave Algoritmo de Firma Nombre Único del Emisor Valido No Antes Valido No Después Nombre Único del Sujeto RSA Llave Publica Key store X.509 V3 Extensions Identificador de Llave Autoridad Uso de Llave CertificatePolicies BasicConstraints SubjectAltName Acceso de Información Autoridad CRLDistributionPoint Algoritmo de Huella Digital Huella Digital Versión CA Si No Si No No certPolicyID CPSuri UserNotice ca Rfc822Name accessMethod No accessLocation accessMethod accessLocation distributionPoint Certificado de Autenticación del sujeto del Servicio de Certificación de la CNBS OCA1 firmado Contenido V3 Asignado automáticamente por la CA de Certificación Sha1WithRSAEncryption CN= CNBSSI(CA1) OU= CNBS O= CNBSC=HN Día de emisión Día de emisión + 2 años SER= <unique ID Number (personal code or other system generated unique ID)> givenName = <given name> surName = <surname> optional: [OU= <Organizational Unit>] optional: [O= <Organization>] C= <country> 1024 bit Token Sha1 hash of IssuerPublicKey digitalSignature (RFC3280) 1.3.6.1.4.1.25177.1.1.1 http:// Falso Optional: [Email address of the Subject] OCA Sha1 Huella Digital de Certificado 78 X.509 V1 Standard Nombre de la Plantilla del Certificado Identificador de Llave Sujeto Uso de Llave extendida Políticas de aplicación Critico Atributo No Identificador de Llave Certificado de Autenticación del sujeto del Servicio de Certificación de la CNBS OCA1 firmado Contenido Nombre Certificado Sha1 hash of SubjectPublicKey Secure Email (OID 1.3.6.1.5.5.7.3.4) [1] Application Certificate Policy: Policy Identifier = Secure Email Certificados utilizados para aplicaciones pueden requerir que un propósito particular sea indicado para que el Certificado sea aceptable para esa aplicación. Si un CA incluye usos de llave extendidos para satisfacer dichas aplicaciones, pero no desea restringir los usos de las llaves, la CA puede incluir keyPurposeID y anyExtendedKeyUsage. Si la llave anyExtendedKeyUsage está presente, la extensión no debería ser crítica. 2.11.1.6 Perfil del Certificado de Autenticación del Sujeto Emitido por el OCA 2 X.509 V1 Standard Versión Numero Serial Algoritmo de Firma Nombre Único del Emisor Valido No Antes Valido No Después Nombre Único del Sujeto Critico Atributo Certificado de Autenticación del sujeto del Servicio de Certificación de la CNBS OCA 2 firmado Contenido V3 Asignado automáticamente por la CA de Certificación Sha1WithRSAEncryption CN= CNBSSI(CA2) OU= CNBS O= CNBSC=HN Día de emisión Día de emisión + 2 años SER= <unique ID Number (personal code or other system generated unique ID)> givenName = <given name> surName = <surname> optional: [OU= <Organizational Unit>] 79 X.509 V1 Standard Critico Atributo RSA Llave Publica Key store X.509 V3 Extensions Identificador de Llave Autoridad Uso de Llave CertificatePolicies No Identificador de Llave BasicConstraints SubjectAltName Acceso de Información Autoridad CRLDistributionPoint Algoritmo de Huella Digital Huella Digital Versión CA Nombre de la Plantilla del Certificado Identificador de Llave Sujeto Uso de Llave extendida Políticas de aplicación Si No Si No No certPolicyID CPSuri UserNotice ca Rfc822Name accessMethod No accessLocation accessMethod accessLocation distributionPoint Certificado de Autenticación del sujeto del Servicio de Certificación de la CNBS OCA 2 firmado Contenido optional: [O= <Organization>] C= <country> 1024 bit Token Sha1 hash of IssuerPublicKey digitalSignature (RFC3280) 1.3.6.1.4.1.25177.1.1.2 http:// ‘’ Falso Optional: [Email address of the Subject] OCA ldap:// Ocsp ldap:// http:// Sha1 Huella Digital de Certificado Nombre Certificado No Identificador de Llave Sha1 hash of SubjectPublicKey Secure Email (OID 1.3.6.1.5.5.7.3.4) [1] Application Certificate Policy: Policy Identifier = Secure Email 80 2.11.2 Perfiles de los CRL 2.11.2.1 Perfil del CRL del OCA 1 CRL Standard Version Algoritmo de Firma Nombre único del Emisor Atributo Valido No Antes Próxima Actualización Número del CRL CRL más reciente Identificador de Llave de Autoridad Versión de la CA Identificador de Llave CRL del OCA 1 del Servicio de Certificación de la CNBS OCA 1 firmado Contenido V2 Sha1WithRSAEncryption CN= CNBSSI(CA1) OU= CNBS O= CNBSC=HN Issuing Date Issuing Date + 10 days Allocated automatically by certifying CA ldap:// http:// Sha1 hash of IssuerPublicKey Version of CA Certificate 2.11.2.2 Perfil del CRL del OCA 2 CRL Standard Version Algoritmo de Firma Nombre único del Emisor Atributo Valido No Antes Próxima Actualización Número del CRL CRL más reciente Identificador de Llave de Autoridad Identificador de Llave CRL del OCA 2 del Servicio de Certificación de la CNBS OCA 2 firmado Contenido V2 Sha1WithRSAEncryption CN= CNBSSI(CA2) OU= CNBS O= CNBSC=HN Issuing Date Issuing Date + 10 days Allocated automatically by certifying CA ldap:// http:// Sha1 hash of IssuerPublicKey 81 CRL Standard Versión de la CA Atributo CRL del OCA 2 del Servicio de Certificación de la CNBS OCA 2 firmado Contenido Version of CA Certificate 2.11.2.3 Perfil del CRL Delta del OCA 1 CRL Standard Version Algoritmo de Firma Nombre único del Emisor Valido No Antes Próxima Actualización Número del CRL Indicador del CRL Delta Identificador de Llave de Autoridad Versión de la CA Atributo Identificador de Llave CRL Delta del OCA 1 del Servicio de Certificación de la CNBS OCA 1 firmado Contenido V2 Sha1WithRSAEncryption CN= CNBSSI(CA1) OU= CNBS O= CNBSC=HN Issuing Date Issuing Date + 1 days Allocated automatically by certifying CA CRL, sobre el cual el CRL Delta se encuentra basado Sha1 hash of IssuerPublicKey Version of CA Certificate 2.11.2.4 Perfil del CRL Delta del OCA 2 CRL Standard Version Algoritmo de Firma Nombre único del Emisor Valido No Antes Próxima Actualización Número del CRL Indicador del CRL Delta Identificador de Llave de Atributo Identificador CRL Delta del OCA 2 del Servicio de Certificación de la CNBS OCA 2 firmado Contenido V2 Sha1WithRSAEncryption CN= CNBSSI(CA2) OU= CNBS O= CNBSC=HN Issuing Date Issuing Date + 1 days Allocated automatically by certifying CA CRL, sobre el cual el CRL Delta se encuentra basado Sha1 hash of IssuerPublicKey 82 CRL Standard Autoridad Versión de la CA Atributo de Llave CRL Delta del OCA 2 del Servicio de Certificación de la CNBS OCA 2 firmado Contenido Version of CA Certificate 83 3 Firma Biométrica en la CNBS La implementación de Firma Biométrica en la CNBS, en virtud de los altos estándares de seguridad que provee en la identificación inequívoca de un individuo, persigue operar los siguientes cambios en el desarrollo de las siguientes actividades: 1. Cambiar la forma de envío de los documentos, de forma manuscrita a digital, utilizando la firma biométrica en los documentos requeridos por la Comisión Nacional de Bancos y Seguros a las Instituciones miembros de Interconexión Financiera. 2. Sustituir el uso de papel para todas las comunicaciones emitidas por la CNBS hacia las Instituciones Miembros de Interconexión Financiera. 3. Incorporar el uso de Firmas Biométricas, en lugar de la firma manuscrita en toda la documentación administrada al interno de la CNBS, a fin de poder migrar a una administración de documentos digitalizada. 3.1 Componentes de la Firma Biométrica de la CNBS 3.1.1 Componentes de la Firma Biométrica en la Institución (miembro de Interconexión Financiera) 3.1.1.1 El Oficial de Registro de Firma Electrónica Corresponden al ORFE ya descrito en el apartado 1.7.1. Dentro de la Firma Biométrica, sus funciones principales serán las siguientes: a. Administración de las Firmas Biométricas de los usuarios de su Institución. b. Servir como persona de contacto con la CNBS para la administración de Firmas Biométricas de los usuarios de su Institución. c. Realizar copias de respaldo regularmente en caso de que sean necesarios para propósitos de recuperación o para uso en una maquina de respaldo. La NoRepudiación no está en riesgo, ya que la maquina primaria y la de respaldo representan 84 a la misma entidad lógica. 3.1.1.2 Aplicación de Firma Biométrica La Aplicación de Firma Biométrica (BSA) es el software utilizado por los Oficiales de Registro de Firma Electrónica (ORFE) para administrar el proceso de registro de las firmas biométricas de los usuarios finales. Así mismo, algunos módulos de la BSA pueden proveer a los usuarios finales las herramientas para la elaboración, diseño, envío, recepción y monitoreo de documentos firmados biométricamente. 3.1.2 Componentes de la Firma Biométrica en la CNBS (Locales) y Remotos La Aplicación de Registro Local del usuario final y las funciones criptográficas interactúan a través de los siguientes componentes: a. Autoridad de Registro b. Aplicación de Firma Biométrica c. Motor de Procesamiento de Firma Biométrica d. El Directorio de la CNBS e. Administradores y Oficiales de la IFE f. Sitio Web de la IFE 3.1.2.1 Autoridad de Registro 3.1.2.1.1 Autoridad de Registro y Cadena de Confianza Entiéndase que esta autoridad de registro es la misma ya descrita el apartado 2.1.2.1.1. 3.1.2.1.2 a. Proceso de Registro Al igual que en lo descrito en el numeral 2.1.2.1.2, a la CNBS corresponderá registrar a la Institución y a los Oficiales de Registro de Firma Electrónica de la misma. 85 La Institución es registrada en el Directorio Activo de la CNBS. La CNBS inscribe los ORFE, basada en la recolección de datos en la Forma de Seguridad de la CNBS. La CNBS configurará el Directorio activo de la CNBS con los nombres de los dos primeros ORFE tal como se especifican en la Forma de Seguridad de la CNBS, a los cuales se les asignan claves secretas. b. Una vez que los ORFE se han certificado a sí mismos utilizando las claves secretas, pueden proceder a registrar a los usuarios finales de la Institución. Utilizando la BSA, los ORFE definen los usuarios finales en el Directorio de la CNBS. Los usuarios finales registrados son por tanto configurados para registrar la firma biométrica de los Oficiales de Registro de Firma Electrónica. La Autoridad de Registro acepta las solicitudes solamente si las mismas se encuentran dentro de las potestades de los ORFE. Adicionalmente, la Autoridad de Registro verifica los aspectos siguientes: a. El ORFE se ha identificado con las credenciales correctas. b. La solicitud del ORFE tiene una firma valida. c. El ORFE tienen efectivamente la responsabilidad de la Administración de Firmas Biométricas. 3.1.2.1.3 Funciones de la Autoridad de Registro Por tanto, las funciones de una RA en el ámbito de Firma Biométrica son las siguientes: a. Identificación y autenticación de los ORFE’s y los usuarios finales b. Registro de ORFE’s y usuarios finales c. Reenvío de datos revisados y completos a la CNBS para la identificación y verificación de la Firma Biométrica registrada. d. Apoyo en el Registro de Firmas Biométricas. e. Seguimiento al ciclo de vida de una Firma Biométrica. f. Validación de las solicitudes de suspensión y revocación de Firma Biométrica. 86 Todas las solicitudes de la Autoridad de Registro (RA) tendrán la hora de entrega sellada y registrada como evidencia. La Administración de Firmas Biométricas y cualquier otra tarea de aplicación de negocios podrán ser combinadas en una sola persona. El ORFE también tendrá la función de contacto, en caso de necesitar contactar a la CNBS debido a que la administración de la firma biométrica en línea no sea posible. De lo anterior se desprende que existirán subsidiarias de la RA (es decir ORFE’s), utilizadas para los propósitos antes mencionados en las siguientes ubicaciones: a. Instituciones b. CNBS 3.1.2.1.4 Composición de la Autoridad de Registro (RA) La Autoridad de Registro de la CNBS estará compuesta por: d. El personal del Departamento Legal y el personal técnico en sistemas asignado por la División de Seguridad Informática de la CNBS (ORFE’s de la CNBS) para efectos de suscripciones al servicio PKI y registro de la Institución y los primeros dos ORFE. e. Aplicación BSA conectada en línea con la Instituciones usuarias de la IFE para registrar y gestionar la firma biométrica de los usuarios finales. 3.1.2.2 Aplicación de Firma Biométrica 3.1.2.2.1 Infraestructura Corresponde a la ya descrita en el numeral 3.1.1.2 3.1.2.2.2 Conectividad El cliente estará conectado a la aplicación de la CNBS utilizando la red de Interconexión Financiera de la CNBS (extranet), utilizando un browser para cargar y descargar archivos. Usuarios de la CNBS tendrán acceso a aplicaciones locales utilizando una red local (intranet). En el diseño de la CNBS, todos los servidores que participaran en los servicios de firma biométrica estarán conectados en la red extranet. 87 3.1.2.2.3 Protección de Red para la Aplicación El equipo utilizado para hospedar los aplicativos de la Firma biométrica deberá ser instalado en segmentos aislados dedicados, protegidos con un Firewall y un Reverse Proxy. 3.6.1.1 Motor de Procesamiento de Firma Biométrica Cada firma es analizada por el motor de procesamiento de firma biométrica y convertida en una plantilla. Estas plantillas son luego procesadas para formar el perfil de la firma del usuario. El perfil es una estructura sólida que contiene información sobre los parámetros dinámicos de la firma y no es afectada por factores externos al usuario. La base de datos del perfil de firma solo puede ser administrada por un sistema administrador autorizado por dicho motor de procesamiento de firma, a fin de asegurar una gestión integral del mismo. El ORFE a través de la BSA podrá realizar una serie de operaciones por cada perfil de usuario, incluyendo el registro, suspensión temporal y borrado del perfil de usuario (entendiéndose que este último no tendrá lugar en términos físicos reales, pues podríamos hablar más bien de una suspensión permanente). Cada vez que un usuario utiliza la Aplicación de Firma Biométrica para firmar, el motor de procesamiento de firma compara la firma realizada con el perfil previamente registrado para dicho usuario. Cada vez que un usuario aplica su firma a través de la Aplicación de Firma Biométrica, el motor de procesamiento de firma continúa aprendiendo y afina el perfil del usuario. Esto permite que el sistema brinde seguimiento y se adapte a los cambios graduales que la firma manuscrita sufre con el tiempo. 3.6.1.2 El Directorio Activo de la CNBS Considerando que el Directorio Activo al que se refiere este apartado corresponde al mismo sobre el cual ya se desarrollaron disposiciones en la sección 2.1.2.3, se deberán seguir las disposiciones ya indicadas. Siendo el único requerimiento adicional la correcta incorporación del correo electrónico proporcionado por Interconexión Financiera a dicho Directorio Activo por parte de los 88 ORFE’s de cada Institución. 3.6.1.3 Administradores y Oficiales de Infraestructura de Firma Electrónica (IFE) Personal asignado por la Gerencia de Informática de la CNBS, como se indica en el apartado 1.7.2, cuyas funciones específicas en relación a Firma Biométrica serán las siguientes: Instalar, configurar y dar mantenimiento a los equipos del Sistema de Firma Biométrica. Proveer los dispositivos de Firma Biométrica. Apoyar en las labores de capacitación a los Oficiales de Registro de Firma Electrónica de las Instituciones. Velar por el correcto registro, suspensión temporal y suspensión permanente de las Firmas Biométricas acorde con las normas establecidas por la CNBS a tal efecto. Realizar respaldos y recuperación conforme lo establecido por el manual de procedimientos de Firma Biométrica. Proveer servicios de soporte e información a los usuarios de la IFE. Atender y procesar las solicitudes de suspensión de Firmas Biométricas. 3.6.1.4 Sitio Web IFE Las generalidades del Sitio Web de la IFE ya han sido expuestas en el apartado 1.7.3. El sitio web IFE proveerá de manera adicional acceso a la siguiente información y servicios de PKI: Acceso a la Aplicación de Firma Biométrica. Acceso a documentos directamente relacionados a la operación de la Firma Biométrica y el software descargable para el uso de dichas firmas. El sitio web también puede contener servicios adicionales provistos por la CNBS. 89 3.2 Firma Biométrica 3.2.1 Firma Biométrica La Firma biométrica es el dato electrónico que resulta de la captación de la firma manuscrita a través de dispositivos electrónicos. Dicha firma biométrica, al igual que la firma manuscrita identifica irrevocablemente al propietario. Es una garantía que el firmante corresponde a la persona dueña de la firma. La firma biométrica está compuesta por: a. Aspectos Dinámicos, tales como la presión, la dirección, la velocidad y los cambios en la velocidad de la firma. b. Aspectos Estáticos, son aquellos tradicionales que a través de la historia han sido reconocidos para identificar una firma: forma y tamaño. La firma biométrica es almacenada en las Bases de Datos de la CNBS. 3.2.2 Usos de la Firma Biométrica En este caso, los usuarios de la firma biométrica son los propietarios personales de la firma utilizada, es decir, nadie puede en nombre de otra persona plasmar la rúbrica de una firma ajena. Las Firmas Biométricas serán utilizadas para: a. Autenticación de un Usuario Final a un alto nivel de seguridad en la aplicación de Firma Biométrica. b. Firma de documentos intercambiados entre la CNBS y las Instituciones usuarias de la Infraestructura de Firma Electrónica. 3.2.3 Usuarios de la Firma Biométrica Los Usuarios de la Firma Biométrica serán todos aquellos que la CNBS designe. Salvo modificación del presente Manual, los usuarios autorizados deberán ser los siguientes: a. Comisionados de la CNBS. b. Secretario General de la CNBS. 90 c. Superintendentes de la CNBS d. Gerente de las Institución usuaria de la IFE. e. Contador General de la Institución usuaria de la IFE. f. Auditor de la Institución usuaria de la IFE. g. Cualquier otra persona autorizada por la CNBS para firmar en el intercambio de documentos realizado entre la misma y las Instituciones usuarias de la IFE. La Firma Biométrica será emitida únicamente a nombre de Individuos, aún cuando su firma implique la representación de una Institución o una dependencia de esta, la asociación de dicha firma se realizará a nivel de responsabilidad individual. 3.3 Consideraciones sobre el Repositorio y la Verificación de Firmas Biométricas 3.3.1 Servicio del Directorio Es responsabilidad del ORFE de cada Institución mantener actualizada la Unidad Organizativa de su Institución, así como administrar los usuarios de firma biométrica, su información y el registro de los mismos en los grupos correspondientes, tal como lo establecen las Guías elaboradas para tal fin. Es importante que la información sobre el correo electrónico creado para los Servicios de Interconexión Financiera se encuentre asociado en el perfil del usuario en el Directorio Activo. 3.3.2 Validación de la Firma Biométrica Haciendo uso del motor de procesamiento de Firma Biométrica, la Aplicación de Firma Biométrica y la Red de Interconexión Financiera, la IFE ofrece una validación inmediata de la firma biométrica que un usuario ha ingresado en un momento dado. Intento de firmas de un usuario, que resulten en una acción manifiesta de usurpación serán rechazadas y debidamente almacenado dicho intento en la bitácora de transacciones, los cuales serán objeto de revisión periódica y puestos a la disposición de auditoría. 91 3.3.3 Controles de Acceso sobre el Directorio y demás aplicaciones de Firma Biométrica La CNBS ha implementado medidas de seguridad físicas y lógicas para prevenir que personas no autorizadas puedan adicionar, borrar o modificar las entradas del repositorio y demás aplicaciones y bases de datos utilizadas para la Administración de la Firma Biométrica. 3.4 Identificación y autenticación del Suscriptor 3.4.1 Nombre El nombre consignado y asociado a la Firma Biométrica corresponderá al asignado en el Directorio Activo. Por tanto es necesario que dichos nombres o seudónimos sean asignados según las instrucciones ya estipuladas para tal fin en la Red de Interconexión Financiera, en el sentido que posteriormente se tenga evidencia de la asociación existente entre el nombre y el firmante a la que la firma pertenece. 3.4.2 Validación de la Identidad Inicial El Oficial de la IFE de la CNBS y el ORFE de cada Institución actuando en nombre de esta, asegura que los Sujetos son debidamente identificados y autenticados, y que las formas de solicitud de registro de Firma Biométrica presentadas están completas, precisas y debidamente autorizadas. El Oficial de la IFE de la CNBS y el ORFE registra toda la información utilizada para verificar la identidad de los Sujetos y, si es aplicable, cualquier atributo especifico del Sujeto, incluyendo cualquier número de referencia en la documentación utilizada para verificación, y cualquier limitación en su validez. 3.4.2.1 Autenticación de Identidad Individual La autenticación de la identidad individual está basada en la presencia personal (física) del 92 Solicitante en la RA. El Solicitante debe de identificarse a sí mismo con un documento de identificación valido emitido por la entidad financiera y por la institución emisora de documentos de identificación debidamente autorizada, por ejemplo: pasaporte vigente o tarjeta de identidad de la República de Honduras, así como carnet de empleado. 3.4.2.2 Validación de Autoridad Cuando un servicio de la IFE incluye el nombre de un individuo como un representante autorizado de la organización, el empleo de ese individuo y su autoridad de actuar en representación de la organización también debe ser confirmado en forma impresa en papel. El ORFE requerirá evidencia escrita impresa en papel del Solicitante de firma biométrica para confirmar la información estipulada arriba (ya sea proveyendo una forma firmada impresa en papel por un representante autorizado de la organización asociada o mediante la firma impresa en papel de la Solicitud sometida, por un representante autorizado de la organización asociada). 3.4.2.3 Verificación de Información La información sometida por el Sujeto es verificada contra el Registro Residente de la CNBS. El resultado de la verificación y corrección del proceso de validación de identidad inicial completo es revisado por una segunda función de confianza autorizada por la IFE de la CNBS. 3.4.3 Solicitudes para cambios de estatus de certificados La IFE de la CNBS proveerá servicios para suspensión, terminación de suspensión y revocación de firmas biométricas. La suspensión de operación de una firma biométrica es el reconocimiento de la firma biométrica como temporalmente invalida. La operación de una firma biométrica inválida puede ser reactivada (terminación de la suspensión). La revocación de un certificado es el reconocimiento 93 de certificados como permanentemente inválido. 3.4.3.1 Solicitud de Suspensión de Firma Biométrica de un Usuario Final Personas o entes organizacionales autorizados para solicitar una suspensión de firma biométrica pueden someter el requerimiento mediante: a. Correo Electrónico al ORFE de su Institución El ORFE de cada Institución deberá proveer a todos los usuarios finales de su Institución el correo electrónico Oficial de la IFE al que pueda ser localizado, el que deberá revisar de manera periódica a fin de atender a tiempo completo (24 horas / 7 días a la semana). El correo desde el cual el Usuario haga la solicitud, también deberá ser el correo Oficial de la IFE. b. Presencia física ante el ORFE de su Institución. Todo usuario del sistema deberá tener conocimiento de la ubicación física de la oficina del ORFE. Para solicitudes de suspensión de una firma biométrica, el solicitante debe identificarse a si mismo mediante un documento de identificación valido. Para suspensión vía correo electrónico, la clave secreta (contraseña) de suspensión de firma biométrica es necesaria. La clave de Suspensión es determinada por el Sujeto durante la Solicitud de firma biométrica. Asimismo, el solicitante deberá especificar la siguiente información: Nombre y Apellido del Sujeto; Numero de contrato del Suscriptor; Numero de contrato General (en caso de existir); Razón de Suspensión. 94 3.4.3.2 Solicitud de Revocación de Firma Biométrica de un Usuario Final Personas o entes autorizados para solicitar la revocación de una Firma Biométrica pueden someter el requerimiento mediante a. Correo Electrónico al ORFE de su Institución El ORFE de cada Institución deberá proveer a todos los usuarios finales de su Institución un correo electrónico Oficial de la IFE en el que pueda ser localizado, el que deberá revisar de manera periódica a fin de atender a tiempo completo (24 horas / 7 días a la semana). Vale la pena mencionar que el correo desde el cual el Usuario haga la solicitud, también deberá ser el correo Oficial de la IFE. b. Presencia física ante el ORFE de su Institución. Todo usuario del sistema deberá tener conocimiento de la ubicación física de la oficina del ORFE. Para solicitudes de revocación de un Certificado, el solicitante debe identificarse a si mismo mediante un documento de identificación valido. Asimismo, el solicitante deberá especificar la siguiente información: Nombre y Apellido del Sujeto; Numero del contrato del Suscriptor; Numero de contrato General (en caso de existir); Razón de Revocación. 3.4.3.3 Terminación de la Suspensión de Firma Biométrica de un Usuario Final Personas o entidades organizacionales autorizadas para solicitar la terminación de la suspensión de una firma biométrica pueden someter la solicitud al ORFE de su Institución de forma presencial. Para solicitudes de terminación de la suspensión de una firma biométrica, el solicitante debe 95 identificarse a si mismo mediante un documento de identificación valido. Asimismo, el solicitante deberá especificar la siguiente información: Nombre y Apellido del Sujeto; Numero de contrato del Suscriptor; Numero de contrato General (en caso de existir); Razón por la cual se termina la Suspensión. 3.5 Requerimientos Operacionales del Ciclo de Vida de una Firma Biométrica Este apartado es utilizado para especificar las disposiciones impuestas a los Sujetos, Suscriptores, u otros participantes con respecto al ciclo de vida de una Firma Biométrica. 3.5.1 Solicitud de Registro de Firma Biométrica 3.5.1.1 ¿Quién puede someter una Solicitud de Registro de Firma Biométrica? Toda persona de una Institución miembro de Interconexión Financiera, cuyos datos estén disponibles en los Registros de la Institución a la que pertenecen y cuyo perfil sea acorde a los autorizados por la CNBS, está habilitado para aplicar a Firmas Biométricas. El ORFE de cada Institución somete las Aplicaciones de Firma Biométrica a la Aplicación de Firma Biométrica en nombre del Solicitante, una vez aceptada la forma de Solicitud ha sido llenada por el Solicitante. 3.5.2 Proceso de Solicitud de Registro de Firma Biométrica Este sub apartado es utilizado para describir el procedimiento para procesar Solicitudes de Registro de Firma Biométrica. El ORFE de la Institución realiza procedimientos de identificación y autenticación para validar la Solicitud de Registro de Firma Biométrica. Siguiendo estos pasos, el ORFE aprueba o rechazan la Solicitud de Registro de Firma Biométrica. 96 3.5.2.1 Presentación de Solicitud de Registro de Firma Biométrica Todos los datos requeridos serán almacenados en una base de datos de la CNBS y archivados electrónicamente en concordancia con las mejores prácticas de almacenamiento de Datos Personales en forma electrónica. Data Fuente Propósito Nombre, nombre dado Documento de identificación Firma Biométrica (si un seudónimo no es utilizado) Seudónimo Forma de solicitud Firma Biométrica Número de Identificación Documento de identificación Firma Biométrica Documento de identificación Identificación y autenticación Personal Lugar y Fecha de nacimiento para solicitud, revocación y suspensión Dirección y detalles de Forma de Solicitud contacto Administrador de Relación con cliente (mantenido confidencial en base de datos) Tipo de Documento de Documento de identificación Identificación Identificación y autenticación para solicitud, revocación y suspensión Fecha de emisión de Documento de identificación documento de ID Documento de ID valido ID Documento de identificación hasta Validación de Documento de ID Emisor de documento de Documento of identificación ID y país emisor Tipo Validación de Documento de de Certificado Validación de Documento de ID Forma de Solicitud (Sujeto o entidad jurídica) Administrador de Relación con cliente (mantenido confidencial en base de datos) Nombre Organización Forma de Solicitud Certificado 97 Unidad Organizacional Forma de Solicitud Certificado Número De Registro Forma de Solicitud Administrador de Relación con cliente (mantenido confidencial en base de datos) Administrador de Relación con cliente (mantenido confidencial en base de datos) Organizacional Forma de Solicitud Dirección de la Organización y detalles de contacto Correo electrónico Forma de Solicitud Administrador de Relación con cliente (mantenido confidencial en base de datos) Forma de Solicitud Identificación vía correo para provisto por Sujeto Pregunta de seguridad de suspensión suspensión Forma de Solicitud Frase clave (contraseña) de suspensión Identificación vía correo para suspensión Forma de Solicitud Perfil de Usuario Definición del tipo de usuario que será: Administrador, creador y/o firmante. Punto de servicio de Forma de Solicitud CRM cliente – entrega de tableta de firma El ORFE debe ejecutar el procedimiento de validación de identidad inicial tal como se describe en el numeral 3.4.2. La forma de la Solicitud debe estar firmada por el Sujeto indicando que los datos ahí consignados corresponden a su persona. Así mismo, que en dicha solicitud autoriza al ORFE para que gestione en su nombre la Solicitud de Registro de Firma Biométrica y realice todas las verificaciones pertinentes. 3.5.2.2 Aprobación o Denegación de la Solicitud de Registro de Firma Biométrica El ORFE debidamente autorizado de cada Institución acepta o rechaza la Solicitud utilizando datos de la Base de Datos de la Institución a la que el usuario pertenece (3.4.2.3), tomando en consideración lo siguiente: 98 Si el Solicitante ha proveído información completa, suficiente y verdadera de su persona en la Solicitud de Certificación; y Si la ejecución del proceso de Solicitud es conforme a este Manual. El ORFE deberá rechazar una Solicitud de Certificación en los siguientes casos: Documento de identificación no es válido; o El Solicitante no tiene autorización para solicitar la emisión de Certificado (3.5.1.1); Si la información de la Sección 3.4.2 concerniente a Identificación y autenticación de toda la información requerida del sujeto no puede ser completada; o La inexistencia de registro de datos en la Institución a la que el Sujeto pertenece o los datos no son consistentes con la forma de Solicitud de Certificación; o La Forma de la Solicitud no está firmada por el Solicitante u ORFE. Después de una verificación positiva de la Solicitud, el ORFE identifica por sí mismo con sus credenciales y envía un requerimiento a la CNBS a través de la plataforma tecnológica para tal fin. Después de la validación realizada por el ORFE, el mismo debe firmar la Forma de la Solicitud indicando su aprobación o denegación de la solicitud, consignando la razón de la denegación. 2.5.2.3 Tiempo para procesar una Solicitud de Registro de Firma Biométrica El tiempo estipulado para procesar una Solicitud de Registro de Firma Biométrica no debe exceder de 48 horas después de recibir la documentación completa por parte del Sujeto. Una Solicitud de Registro de Firma Biométrica permanece activa hasta que es rechazada o revocada. 99 3.5.3 Proceso de Registro de la Firma Biométrica Después de presentada y aprobada la Solicitud de Registro de Firma Electrónica, el Sujeto debe ingresar junto al ORFE al aplicativo para el Registro de firma. Una vez ahí, el Sujeto deberá registrar su firma. Hecho esto el ORFE debe informar al Usuario sobre el Uso y cuidado que debe dar a la tableta de firma recibida, así mismo deberá indicar al Usuario donde encontrar dicha información para una posterior consulta. Por consiguiente, el Sujeto es informado de las precauciones de seguridad necesarias para firmas calificadas y su significado legal, lo cual debe constar en un documento firmado por el Usuario, el cual será denominado contrato de Uso de Firma Biométrica de la Infraestructura de Firma Electrónica de la CNBS. 3.5.3.1 Conducción Constitutiva del Registro de la Firma Biométrica El Sujeto debe mostrarse en persona ante el ORFE, asimismo identificarse a través de un documento de ID. Luego ambos proceden a registrar la firma utilizando el aplicativo provisto para dicho fin. Posteriormente el Usuario confirma la lectura del material de información provisto y firma un Acuerdo de Uso de Firma Biométrica de la IFE de la CNBS. La tableta de firma es entregada al Sujeto. Procedimiento para aceptación del Registro de Firma Biométrica por el Sujeto: a. El Sujeto se presente personalmente. b. Identificación de Sujeto (de acuerdo a numeral 3.4.2.1); c. El ORFE de manera conjunta con el Usuario procede a registrar la firma biométrica del Sujeto. d. El ORFE instruye al Sujeto sobre el Uso de la Firma Biométrica y el cuidado que debe tener sobre la misma y la tableta de firma. e. El Sujeto acepta y recibe la tableta de firma; f. Mediante la firma del contrato de Uso de Firma Biométrica de la IFE de la CNBS, el sujeto confirma haber recibido instrucciones y haber leído material de información acerca del uso de la Firma Biométrica y la tableta de firma; 100 g. El ORFE entrega una copia del Acuerdo de Uso de Firma Biométrica de la IFE de la CNBS al Usuario. h. Todos los documentos serán agregados al archivo del Sujeto y se enviará una copia al Oficial de la IFE de la CNBS. 3.5.4 Suspensión y Revocación de Firmas Biométricas Toda solicitud de suspensión y revocación requieren ser validas. Tal validez deberá ser determinada por su cumplimiento o no-cumplimiento con los procedimientos de este Manual, en cual incluye referencias a la autoridad de la persona que puede hacer la solicitud. 3.5.4.1 ¿Quién puede solicitar una suspensión o una revocación de una Firma Biométrica? Las siguientes personas o entidades están autorizadas para iniciar la suspensión o revocación de Firmas Biométricas emitidas bajo los términos y condiciones de este Manual: Sujeto; Organización o dependencia autorizado (por ejemplo, la División de Recursos Humanos que indique que el Sujeto estará temporalmente fuera del servicio de la Institución); La CNBS (quien puede ejecutar la suspensión o revocación del Certificado basado en circunstancias establecidas en los numerales 3.5.4.2.1 y 5.5.4.3.1) La revocación es realizada por el ORFE basado en una solicitud legalmente autorizada. 3.5.4.2 Suspensión 3.5.4.2.1 Circunstancias para la Suspensión La CNBS suspenderá sin retardo alguno una Firma Biométrica en los siguientes casos: 1. Una solicitud de suspensión elegible es recibida; y 101 2. Validez de una Orden Judicial o una Regulación de la CNBS pertinente a la suspensión de la Firma Biométrica. La suspensión de Firmas Biométricas ocurre inmediatamente después de la solicitud de suspensión. 3.5.4.2.2 Procedimiento para la Solicitud de Suspensión La solicitud para la suspensión de una firma Biométrica procederá de la siguiente manera: La persona solicitante somete una solicitud de suspensión al ORFE. El ORFE se asegura de que la Solicitud de Suspensión está debidamente formulada; El ORFE se asegura que la persona solicitante está debidamente identificada, autenticada y autorizada El ORFE se autentica por si mismo utilizando sus credenciales de acceso; El ORFE procesa la suspensión; El ORFE informa sin demora al Oficial de la IFE de la CNBS sobre la Suspensión 3.5.4.2.3 La CNBS informa al Sujeto y/o Suscriptor vía correo electrónico sobre la suspensión. Límites en el Período de Suspensión No hay límites en relación al período de Suspensión. 3.5.4.2.4 Terminación de la Suspensión Una solicitud para la terminación de una suspensión solo será aceptada en forma escrita e impresa firmada por el Sujeto. 3.5.4.3 Revocación 3.5.4.3.1 Circunstancias para la Revocación de una Firma Biométrica La Revocación de una Firma Biométrica ocurre de manera inmediata a una Solicitud de Revocación de Firma valida recibida por el ORFE de una Institución miembro de Interconexión Financiera, en concordancia con la Sección 2.5.4.3.2 de este Manual. La acción de Revocación deberá tomar lugar 102 dentro de un periodo no mayor a 24 horas desde la recepción de una solicitud de revocación valida en una o más de las siguientes circunstancias: La afiliación contractual entre la Institución Miembro de interconexión financiera y el Sujeto ha sido terminada; El Sujeto ha sido trasladado dentro de la misma Institución a una Unidad (departamento o división) donde no requiere utilizar los Servicios de Firma Biométrica. La relación entre la Institución y la CNBS ha finalizado. El Sujeto propietario de la Firma Biométrica no cumple con las obligaciones materiales del contrato con el Servicio de Infraestructura de Firma Electrónica de la CNBS, o los aplicables de cualquier Manual de la IFE, o el presente Manual; El ORFE o la IFE de la CNBS recibe información oficial que el Sujeto o Suscriptor han proveído información falsa a la CNBS con el propósito de recibir la Firma Biométrica; Cumplimiento de una Orden Judicial pertinente a la revocación de una Firma Biométrica; Si existe la sospecha probable de que los algoritmos, parámetros y dispositivos utilizados para la producción y aplicación de la Firma Biométrica no son confiables y no garantizan la seguridad contra falsificación de las firmas producidas; En caso de terminación de la IFE de la CNBS Cualquier otra circunstancia material que requiera investigación para asegurar la seguridad, integridad o confiabilidad de los Servicios de la IFE de la CNBS. 3.5.4.3.2 Procedimiento para realizar una Solicitud de Revocación de una Firma Biométrica Una persona que solicite la revocación de una Firma Biométrica requiere comunicar dicha solicitud al respectivo ORFE de su Institución (en caso de que no sea el mismo el solicitante), quien a su vez iniciará la revocación de la Firma Biométrica de manera diligente. El procedimiento es como a continuación se describe: La persona solicitante somete una Solicitud de Revocación; 103 El ORFE se asegura que la Solicitud de Revocación está debidamente llenada; El ORFE se asegura que la persona solicitante está debidamente identificada, autenticada y autorizada; El ORFE se autentica a sí mismo (utilizando sus credenciales de acceso); El ORFE procesa la revocación; El ORFE informa sin demora al Oficial de la IFE de la CNBS sobre la Revocación La CNBS informa al Sujeto y/o Suscriptor vía correo electrónico sobre la revocación. 4. Instalación, Administración y Controles Operacionales La IFE de la CNBS implementa las Regulaciones de Seguridad basadas en el Estándar de Seguridad de Información ISO 27002: 2005 (antes 17799:2005) el cual recomienda los requerimientos de Seguridad de este Manual. El cumplimiento de estas normas está incluido en los requerimientos de auditoría independiente del Servicio de Certificación de la CNBS descritos en la Sección 4.4. 4.1 Controles de Seguridad Física La IFE de la CNBS utiliza sistemas confiables y productos que están protegidos contra modificación y aseguran la seguridad técnica y criptográfica de los procesos soportados por ellos. La IFE de la CNBS implementa Regulaciones y Procedimientos de Seguridad Física, los cuales soportan los requerimientos de seguridad de este Manual. Los procedimientos y Regulaciones de Seguridad Física contienen información de seguridad sensitiva y solo están disponible una vez acordado con la IFE de la CNBS. Un resumen de los requerimientos se describe a continuación. 4.1.1 Ubicación y Construcción La IFE de la CNBS se desarrolla en el interior de una ambiente protegido físicamente que detiene, previene y detecta el uso no autorizado de acceso, o exhibición de información sensitiva y sistemas abiertos o encubiertos. 104 La IFE de la CNBS mantendrá instalaciones de recuperación de desastres para sus operaciones. Las instalaciones de recuperación de desastres del Servicio de Certificación y Firma Biométrica de la CNBS estarán protegidas por múltiples niveles de seguridad física comparables a los de las instalaciones primarias de la IFE de la CNBS. 4.1.2 Acceso Físico Los sistemas de la IFE de la CNBS están protegidos por un mínimo de tres niveles de seguridad física, requiriéndose el acceso al nivel inferior antes de tener acceso a los niveles superiores. Privilegios de acceso físico son restringidos progresivamente en cada nivel. La protección provista es conmensurable con los riesgos identificados. La CNBS asegura que el acceso físico a los servicios críticos está controlado y los riesgos físicos a sus recursos están minimizados. Una clara descripción del ambiente físico de la IFE de la CNBS está disponible. Esto incluye: Zonas de seguridad implementadas y sus propiedades de protección (preventivo, represivo, detective y correctivo); La relación con los recurso críticos de seguridad; Cuáles miembros del personal de la IFE de la CNBS tienen acceso a determinadas zonas. Es implementada una protección adecuada (preventivo, represivo, detective y correctivo) contra incendios, humo, fallas de energía eléctrica, agua, tormentas, etc., basado en un documento de análisis de riesgo. En el lugar se encuentran Sistemas de control de acceso. Códigos de Acceso a zonas de alta seguridad son cambiados regularmente. Mecanismos y procedimientos son implementados para asegurar que cualquier persona que entre en el área físicamente segura siempre esté en compañía de una persona autorizada. 105 La responsabilidad de mantener la descripción anterior, análisis de riesgo, e inventario está asignada al Administrador IFE de la CNBS. La revisión periódica de lo anteriormente descrito es una tarea administrativa. 4.1.3 Energía Eléctrica y Aire Acondicionado Las instalaciones seguras de la IFE de la CNBS están equipadas con sistemas primarios y de respaldo: Sistemas de energía eléctrica asegurados de manera continua e ininterrumpida. Así como Sistemas de ventilación, aire acondicionado y control de humedad relativa. 4.1.4 Exposición al agua La IFE de la CNBS ha tomado precauciones razonables para minimizar el impacto de exposición al agua de los sistemas informáticos. 4.1.5 Prevención y Protección de Incendios La IFE de la CNBS cuenta con las medidas de seguridad necesarias para prevenir y controlar el fuego u otras exposiciones dañinas a las llamas o al humo en caso de incendio. 4.1.6 Dispositivos de Almacenamiento Todos los dispositivos que contengan software de producción, datos, archivos o información de respaldo estarán almacenados en el interior de las instalaciones de la IFE de la CNBS o en una instalación de almacenaje externo con controles de acceso físico y lógicos apropiados diseñados para limitar el acceso a personal autorizado y proteger dichos medios de daños accidentales (agua, fuego y electromagnético). 106 4.1.7 Eliminación de Residuos Las impresiones en papel de documentos sensibles y materiales son triturados antes de su eliminación. Los medios utilizados para recolectar o transmitir información sensitiva deberán ser alterados hasta volverse ilegibles antes de ser desechados. Los dispositivos criptográficos serán físicamente destruidos o alterados en concordancia con los lineamientos del fabricante previo a su desecho. 4.1.8 Respaldo Externo La IFE de la CNBS realiza respaldos de rutina de sistemas de datos críticos, datos de registro de auditoría y otra información sensitiva. El respaldo externo de medios se encuentra almacenado de una manera físicamente segura utilizando las instalaciones de recuperación de la IFE de la CNBS. 4.2 Procedimientos de Control 4.2.1 Roles de Confianza Todas las actividades críticas y sensitivas de la IFE de la CNBS son combinadas en roles descritos en la Descripción del IFE de la CNBS. Los Roles de Confianza generalmente incluyen funciones que involucran las siguientes responsabilidades: Oficiales de Registro de Firma Electrónica: Es el Responsable de operar los sistemas confiables de la CA y la firma biométrica en el día a día. Aprueban la generación, revocación y suspensión de los Certificados y Firmas Biométricas de uso propio de la CNBS. Adicionalmente es el encargado de suministrar los dispositivos al Sujeto; Administrador IFE: Es el responsable de administrar la implementación de prácticas de seguridad. Autorizados para instalar, configurar y mantener los sistemas confiables de la CA y de la firma biométrica. Así mismo es el responsable de finalizar los procedimientos de suspensión y revocación. Autorizado para realizar respaldo y recuperación de sistema; Auditores de Sistema: Es responsable para ver archivos y auditar registros de la los 107 sistemas confiables de CA y la firma biométrica. La IFE de la CNBS considera las categorías de personal identificados en esta sección como personas de confianza que gozan de una función de confidencialidad. Funciones y responsabilidades de confianza incluyen requerimientos para: Implementar y actuar en concordancia con la política de seguridad de información de la Institución; Proteger los recursos de accesos no-autorizados, exhibición, modificación, destrucción o interferencia; Ejecutar procesos o actividades de seguridad particulares. Asegurar que la responsabilidad sea asignada a cada individuo por sus acciones; y Reportar eventos de seguridad o eventos potenciales u otros riesgos de seguridad para la Institución. 4.2.2 Número de Personas requeridas por Tarea La IFE de la CNBS establece, mantiene y ejecuta procedimientos de control para asegurar la segregación de funciones basadas en responsabilidad de tarea y para asegurar que múltiples Personas de Confianza son requeridas para realizar tareas sensitivas. Las siguientes actividades requieren como mínimo dos personas de confianza que tengan acceso físico o lógico al dispositivo o a la ubicación: Acceso lógico y físico al HSM, Sistema de tokens, Sistema de Tabletas, tokens y Tabletas. Acceso físico a archivos de datos. Acceso lógico a sistemas críticos, sensitivos o centrales de la IFE de la CNBS y sus sistemas de respaldo. 108 4.2.3 Identificación y Autenticación para cada Tarea La identificación y autenticación del personal toma lugar por la admisión a áreas de seguridad relevante y por acceso a sistemas críticos por medio de tokens. En los sistemas de control las autorizaciones de los usuarios son administrados por roles. 4.2.4 Roles que requieren la separación de Funciones La Descripción de la Organización regula que la asignación de personas a los roles sea mutuamente excluyente. Los siguientes principios constituyen la base: Los Roles de Liderazgo no pueden tomar control de las tareas operacionales o administrativas. Los Roles de Asesoramiento y Vigilancia (en particular auditoría interna y externa) no pueden tomar control de tareas administrativas u operacionales; y Los Roles de Administración no pueden tomar control de tareas operacionales. Exclusiones adicionales aplican para la separación de las siguientes responsabilidades sensitivas de los Servicios de Certificación: Personas que administran los derechos de acceso a las instalaciones de la IFE de la CNBS, no pueden hacerse cargo de otras tareas administrativas; La administración de los sistemas productivos debe tomar lugar por medio de otras personas distintas a las que se desempeñan en los componentes de la red; 4.3 Controles de Personal Para todo el personal que tenga interés en ser Personal de Confianza para realizar funciones en la IFE de la CNBS, previamente debe someterse a la verificación de la identidad, la cual es realizada a través de la presencia física de dicho personal y mediante una revisión de documentos reconocidos de identificación, como ser el pasaportes o tarjeta de identidad y la Declaración Jurada de confidencialidad perpetua. La identidad se confirma adicionalmente a través del 109 procedimiento de revisión de antecedentes descrito en la Sección (2.4.2 y 3.4.2) . La IFE de la CNBS asegura que el personal ha obtenido la confianza, aprobación y asignación por parte de la Gerencia de Informática antes de que dicho personal: Obtenga el acceso a los dispositivos de acceso y a las instalaciones requeridas; y Emita las credenciales electrónicas para acceder y realizar funciones específicas en lFE de la CNBS u otros sistemas de IT. 4.3.1 Calificaciones, Experiencia y Requerimientos de Separación La descripción de Puestos bien definidos son utilizados para documentar las funciones de seguridad y otros Roles de Confianza y Responsabilidad, las cuales son comunicadas claramente a los candidatos durante el proceso de asignación. 4.3.2 Procedimientos de Revisión de Antecedentes La IFE de la CNBS conducirá una investigación apropiada de todo el personal que sirve en funciones de Confianza (previo a su contratación y periódicamente posteriormente cuando sea necesario), para verificar su confiabilidad y capacidad en concordancia con los requerimientos de este Manual y la practicas de personal de la CNBS o su equivalente. El personal que falle en una investigación inicial o periódica no continuará en servicio en un Rol de Confianza determinado. 4.3.3 Requerimientos de Entrenamiento La IFE de la CNBS debe asegurar permanentemente que el personal que realice funciones gerenciales con respecto a la operación IFE reciba amplio entrenamiento en: 110 a) Conciencia sobre la seguridad; b) Los principios y mecanismos de seguridad de la OCA y la RA c) Todas las versiones en uso del software en el sistema de emisión de CA (OCA); d) Los principios y mecanismos de seguridad de la Firma Biométrica e) Todas las versiones en uso de software para la administración de firmas biométricas f) Todas las funciones que se espera que desempeñen; y g) Procedimientos de continuidad de negocios y recuperación de desastres. 4.3.4 Frecuencia de Re-entrenamiento y Requisitos Los requerimientos de la Sección 4.3.3 ser mantendrán vigentes para acomodar los cambios en los servicios de la IFE. Cursos de actualización se llevarán a cabo según sea necesario y se revisarán estos requerimientos al menos una vez al año. 4.3.5 Frecuencia de la Rotación de Personal y Secuencia No hay estipulaciones. 4.3.6 Sanciones por Acciones No Autorizadas La IFE de la CNBS establece, mantiene y aplica las Normas de Personal de la CNBS como parte de las Normas de Seguridad de la Información de la CNBS, para la disciplina del personal en caso de realizar acciones no-autorizadas. Acciones disciplinarias incluyen medidas que van hasta la terminación de la relación laboral con causa justificada. La frecuencia y el daño causado por las acciones no autorizadas servirán de medida para determinar la acción disciplinaria a aplicar a cada caso concreto. 111 4.3.7 Documentación suministrada al Personal La IFE de la CNBS deberá brindar a su personal (incluyendo Personal de Confianza) el entrenamiento requerido y todo lo necesario para realizar sus funciones y responsabilidades de manera correcta y satisfactoria. 4.4 Procedimientos de Registros de Auditoria Todas las bitácoras incluyen los siguientes elementos: Día y hora de entrada; Serial o número de secuencia de entrada (para entradas de bitácora automáticas) Tipo de entrada; Origen de la entrada (ej. Terminal, puerto, ubicación, cliente, etc.); y Identidad de la entidad que realiza la entrada de la bitácora. 4.4.1 Tipos de Eventos Registrados 4.4.1.1 Datos de Registro Toda información de Registro (mostrada en la sección 2.5.2.1) es registrada, incluyendo la siguiente: Tipos de documento(s) presentados por el Solicitante para soporte de su registro; Registro de datos de identificación únicos, números o una combinación de ambos (por ejemplo, número de tarjeta de Identidad o pasaporte) documentos de identificación; Ubicación de almacenaje de copias de aplicaciones y documentos de identificación, incluyendo el Acuerdo de Suscriptor firmado; Cualquier elección especifica en el Acuerdo de Suscripción (por ejemplo, Consentimiento para publicación del Certificado) Identidad de la entidad que acepta la Solicitud; y Nombre de la CA receptora y Autoridad de Registro que somete la solicitud de Certificación o de firma biométrica. 112 4.4.1.2 Certificados y Firmas Biométricas La Gerencia de Informática de la CNBS registra todos los eventos relacionados con el ciclo de vida de los Certificados y las Firmas Biométricas. 4.4.1.3 Administración de SSCD La Gerencia de Informática de la CNBS registra todos los eventos relacionados con el ciclo de vida de las llaves generadas, incluyendo cualquier llave de Sujeto generada por la CA; así mismo registra todos los eventos relacionados con el ciclo de vida, incluyendo la preparación, distribución y disposición de los SSCDs (relacionado a los tokens los y HSMs) 4.4.1.4 Administración de Revocación La IFE de la CNBS registra todas las solicitudes y reportes relacionados con la suspensión, revocación y terminación de los Certificados o de las Firmas Biométricas, así como la acción resultante de dichas solicitudes. 4.4.2 Frecuencia del Registro de Procesamiento Los Registros de auditoría son revisados por personal de la IFE semanalmente y todos los eventos significativos son explicados en un resumen de registro de auditoría. Dichas revisiones involucran la verificación de que los registros no han sido alterados, y luego inspeccionando brevemente todas las entradas en los registros, con una investigación más a fondo de cualquier alerta o irregularidad en los registros. Las acciones tomadas para continuar estas revisiones deben ser documentadas. 4.4.3 Períodos de Retención de los Registros de Auditoría Los registros de auditoría serán retenidos in situ por lo menos dos meses después de su procesamiento y seguidamente archivado en concordancia con la Sección 4.5.2 113 4.4.4 Protección de los Registros de Auditoría Los registros de Auditoria son protegidos con un sistema de registro de auditoría electrónica que incluye mecanismos para proteger los archivos de bitácoras de lectura no autorizada, modificación, eliminación u otra alteración. El sistema de registro de auditoría también incluye mecanismos para estampar hora (time-stamp) en las entradas. Información de auditoría manual está protegida de lectura no autorizada, modificación y destrucción. 4.4.5 Procedimiento de Respaldo de los Registros de Auditoría Respaldos incrementales de registros de auditoría son creados diariamente y respaldos enteros son realizados semanalmente. 4.4.6 Sistema de Recolección de Auditoría (Interno vs. Externo) Datos auditados automáticamente son generados y registrados a un nivel de aplicación, red y de sistema operativo. Datos auditados generados manualmente son registrados por el Personal de Confianza de la IFE de la CNBS. 4.4.7 Notificación a los Sujetos de los Eventos Causados Cuando un evento es registrado por el sistema de recolección de auditoría, una notificación no es requerida para los individuos, organización, mecanismo o Aplicación que causó el evento. Durante las evaluaciones de vulnerabilidad continua, la relevancia de seguridad de los eventos registrados será evaluada y las medidas necesarias serán tomadas. 4.4.8 Evaluaciones de Vulnerabilidad Los eventos en el proceso de auditoría son registrados, en parte, para monitorear las vulnerabilidades del sistema. Evaluaciones de vulnerabilidad de seguridad son realizadas, repasadas y revisadas. Las mismas se encuentran basadas en datos registrados automáticamente en tiempo real y son realizadas a diario, semanal y anualmente. 114 4.5 Archivo de Registros 4.5.1 Tipos de Registros Archivados Los Registros de la IFE de la CNBS concernientes a la operación de sus servicios son archivados y retenidos por un periodo mínimo estipulado en Sección 4.5.2 Todos los registros físicos e información de identificación deberán ser archivados por la entidad que directamente provee los servicios al Suscriptor (es decir, ORFE de las Instituciones y los Oficiales de Registro de la CNBS). En todos los casos, los registros pueden ser archivados en papel o forma electrónica. Documentos impresos serán archivados en la Secretaria General, los archivos electrónicos en la Gerencia de Informática, de la CNBS. 4.5.2 Periodo de Retención de Archivos Los Registros de archivos impresos en papel y archivos electrónicos serán mantenidos por un periodo de por lo menos cinco (5) años. Dicho periodo puede ser extendido con respecto a registros específicos e información en base a solicitud especial de cualquier interesado . 4.5.3 Protección de Archivos Los archivos electrónicos están localizados en ubicaciones separadas (Datacenter de respaldo del Servicio de la IFE de la CNBS) y protegido por sistemas de control de acceso. Ninguna persona puede modificar o destruir el material archivado electrónicamente, y acceso a ellos se encuentra estrictamente restringido. Medios conteniendo los datos archivados y las aplicaciones requeridas para procesar los archivos de datos serán mantenidos para asegurar que los archivos de datos puedan ser accedidos por el periodo de tiempo establecido en la sección 5.5.2 115 4.5.4 Procedimientos de Respaldo de Archivos Se cuenta con procedimientos de respaldo adecuados (ya sea por replicación de la base de datos al sitio secundario del Servicio de la IFE de la CNBS o por respaldo fuera de línea), a fin de que en el caso de pérdida o destrucción de los archivos primarios, un conjunto completo de copias se encuentre disponible en un corto periodo de tiempo. 4.5.5 Requerimientos para el Marcaje de Tiempo de los archivos (Time-Stamping) Archivos Las entradas de base de datos contienen información de fecha y hora precisas. Dicha información de hora no necesita estar basada en criptografía. 4.5.6 Sistema de Recolección de Archivos (Interno o Externo) La IFE de la CNBS utiliza un sistema de recolección archivos internos. 4.5.7 Procedimiento para Obtener y Verificar Información del Archivo Solamente personal de confianza autorizado será capaz de obtener acceso al archivo. La integridad de la información se verificará cuando se restablezca. 4.6 Compromiso y Recuperación de Desastres 4.6.1 Procedimientos de Manejo de Incidentes y Compromiso Respaldos de la siguiente información: Datos de Aplicación de Certificados, datos de auditoría, y registros de base de datos para todos los Certificados y firmas biométricas emitidos, de la IFE será mantenida en un almacenaje externo y puesta a disposición en caso de un compromiso o desastre. Respaldos de las Llaves privadas de la CA serán generados y mantenidos de acuerdo a la Sección 2.8.3. 116 Los procedimientos para el manejo de los incidentes de seguridad de información y por compromiso de las Llaves Privadas de la CA de la CNBS se encuentran documentadas en el Plan de Recuperación de Desastres interno de la IFE de la CNBS. El Plan de Recuperación de Desastres interno de la IFE de la CNBS describe los procedimientos y responsabilidades para el manejo de este tipo de incidentes. El objetivo del Plan de Recuperación de Desastres es la recuperación inmediata de la disponibilidad y seguridad continua de los Servicios de la IFE. Los fundamentos de estos procedimientos se encuentran especificados en las siguientes secciones. 4.6.2 Recuperación después de la corrupción de Recursos Computacionales Después de un compromiso, asumido o real, de los recursos, software o desastre de datos, procedimientos de recuperación serán empleados (en concordancia con la Sección 3.11.4) 4.6.3 Procedimientos de Llave Privada comprometida Si la Llave Privada de la OCA de la CNBS es comprometida o hay sospecha de compromiso, la OCA de la CNBS deberá por lo menos: Informar a los Sujetos, CA´s con certificación cruzada y a las Partes Dependientes. Terminar los servicios de Certificación y Distribución de LRCs para los Certificados y CRLs emitidos utilizando la Llave Privada comprometida. Si una Llave Privada es comprometida o se sospecha que ha sido comprometida, la RA deberá por lo menos, informar a la CA y solicitar la revocación del Certificado de la RA. Si la Llave Privada de un Sujeto está comprometida o se sospecha que ha sido comprometida, el Sujeto deberá por lo menos, informar a las Partes Dependientes y solicitar la revocación de su Certificado. 117 4.6.4 Capacidades de Continuidad del Negocio después de un Desastre La Alta Disponibilidad de los servicios de la IFE de la CNBS está garantizado con la implementación de la instalación hot-standby del sistema de información. En el caso de corrupción o pérdida de recursos computacionales, software o datos, la IFE de la CNBS tiene preparado un Plan de Continuidad de Negocio y recuperación de Desastre. El Plan establece y hace operacional una instalación localizada en una zona específica que es capaz de proveer servicios de la IFE en concordancia con este Manual. El restablecimiento de servicios críticos como Revocación/Suspensión de Certificados, Validación de Certificados y firmas biométricas, así como Publicación de CRLs puede ser realizado con una escala de tiempo de cuatro horas máximo. Funcionalidad total será provista dentro de setenta y dos (72) horas. Este plan incluye una prueba de disponibilidad completa y periódica para tal instalación. Dicho plan será referenciado con una documentación apropiada y disponible a las partes interesadas para su inspección. 4.7 Terminación de la IFE En el caso que sea necesario para la IFE de la CNBS cesar operaciones, la CNBS notificará a los Suscriptores, Partes Dependientes y otras entidades de dicha terminación previa a la terminación de la CA y los servicios de firma biométrica. Cuando la terminación de la CA o del servidor de firmas biométricas sea requerida, la CNBS desarrollará un plan de terminación para minimizar la interrupción a los clientes, suscriptores y partes dependientes. Los siguientes factores serán considerados: Publicación de notificación por la terminación a las partes afectadas, tales como Suscriptores y Partes Dependientes; Revocación de los Certificados emitidos por la OCA de la CNBS; Revocación de las Firmas Biométricas; 118 Preservación de los archivos y registros de la CA por los periodos de tiempo requeridos en este Manual; Continuación de Servicios de Soporte de Clientes y continuación de Suscriptores; Continuación de servicios de revocación, tales como la emisión de CRLs o el mantenimiento de los servicios de revisión de estatus en línea. Disposición de la Llave Privada de la CA y el hardware – tokens conteniendo dicha Llave Privada; 5 Provisiones necesarias para la transición de los servicios del CA a un sucesor CA; y Asegurar la confidencialidad de los datos personales. Auditoría de Cumplimiento y otras Evaluaciones Una evaluación de Seguridad para la Infraestructura de Firma Electrónica es realizada, tanto para los Servicios de Certificación de la CNBS como para los Servicios de Firma Biométrica. El cumplimiento de los Servicios de la IFE de la CNBS a este Manual serán revisados para cambios significativos anualmente, la primera vez se realiza una re-evaluación completa después de tres años y luego cada cuatro años. Los tópicos cubiertos por la auditoria de cumplimiento anual incluirán: a. Seguridad física b. Evaluación tecnológica c. Administración de Servicios de CA y RA (incluyendo controles ambientales de la CA, operaciones de Administración de Llaves, controles CA de Infraestructura/Administración y Administración de ciclo de vida de Certificado) d. Administración de los Servicios de Firma Biométrica e. Revisión de personal f. Manuales y Guías de la IFE relevantes g. Contratos h. Consideraciones de protección de datos y privacidad 119 i. Documentos de Planificación de recuperación de desastres El auditor DEBE SER externo a los Servicios de la IFE de la CNBS y no deberá tener ninguna relación jerárquica con la IFE de la CNBS. Excepciones significativas o deficiencias identificadas durante la auditoria de cumplimiento resultarán en la determinación de acciones a tomar. Esta determinación es hecha por la administración de la IFE de la CNBS con aportaciones del auditor. La administración de la IFE de la CNBS es la responsable de desarrollar e implementar un plan de acción correctivo. Una copia del reporte de auditoría será encontrada en el sitio web IFE de la CNBS. 120 6 Consideraciones Legales 6.1 Confidencialidad en la Información de la Institución 6.1.1 Tipos de Información de Carácter confidencial 6.1.1.1 Documentación Operacional y de Configuración La IFE de la CNBS mantiene un número de documentos internos confidenciales que detallan la operación y configuración del Sistema de Firmas Electrónicas y su Servicio de Validación de dichas firmas. Estos documentos son de carácter confidencial y no deberán ser divulgados, salvo ciertas excepciones requeridas debido a propósitos de consultoría y auditoria. 6.1.1.2 Información de Auditoría Toda la información de auditorías recibidas por la CNBS respecto a la IFE de la CNBS deberán ser tratados como información confidencial, con la excepción de un número limitado de resúmenes de dichas auditorias las cuales podrán ser publicadas por la IFE de la CNBS, bajo condición de confidencialidad o disposición de autoridad basada en ley. Es decir, que podrán darse a conocer conforme a órdenes judiciales u otros procedimientos establecidos en ley. 6.1.1.3 Confidencialidad de la Información Personal Toda la información personal recabada o utilizada por la IFE de la CNBS es hecha en cumplimiento con la Inspección de estado de Datos de la CNBS y se mantiene confidencial en cumplimiento con la regulación de la CNBS. 121 6.1.2 Tipos de Información No considerados de Carácter confidencial 6.1.2.1 Certificados e Información del Estado de los Certificados Todos los certificados emitidos por la OCA de la CNBS para uso público estarán disponibles públicamente. En todos los casos, la información del estatus de todos los certificados emitidos dentro del Servicio de Certificación de la CNBS deberá estar a la disposición de cualquiera que cuente con acceso a: los Servicios de Validación de Certificados de acuerdo con este Manual, las Normas de los Certificados u otro documento relevante (ej. Contrato de parte dependiente). 6.1.2.2 Documentación del Servicio de Certificación de la CNBS Los siguientes documentos de la IFE de la CNBS estarán disponibles al público y no serán considerados información confidencial: Normas aprobadas para la IFE y Manuales para las prácticas la IFE, como el presente Manual. Otros documentos aprobados para su publicación por la IFE de la CNBS 6.1.3 Revelación de Información de Revocación de Certificados La razón por la cual se ha revocado un certificado o una firma biométrica de la CNBS puede ser hecho público. La información acerca de la revocación o validación de los certificados y firmas biométricas estará disponible a través de la utilización del Responder-OCSP y el Listado de Revocación de Certificado (CRLs). Los servicios de validación del Servicio de Firma Electrónica de la CNBS mostrarán si un certificado requerido o una firma biométrica es válida, está revocado o si el Servicio de Validación desconoce el estatus del Certificado o la Firma Biométrica. Ninguna otra información será publicada. 122 6.1.4 Entrega de Información a Autoridades Legales Ningún documento o archivo conservado por la IFE de la CNBS será entregado a ninguna persona o institución de orden público o privada excepto cuando: Exista una orden o requerimiento judicial constituido legalmente Cuando el requirente se encuentre debidamente constituido e identificado, y Cuando se cumpla con los demás procedimientos legales. 6.1.5 Entrega de Información como parte de Evidencia documental o con Fines de Investigación forense En general, ningún documento o archivo confidencial almacenado por la IFE de la CNBS será entregado a ninguna persona excepto cuando: Exista un solicitud judicial constituida debidamente (ej. aquel que cumpla con los procedimientos legales) para la producción de la información; y La persona que somete la solicitud debe estar autorizada para hacerlo y debe estar debidamente identificada. La IFE de la CNBS estará obligada a entregar información como evidencia documentada impresa en papel o con fines de investigación de cualquier parte de la IFE de la CNBS en cualquier lugar donde se han seguido los procedimientos legales apropiados. Se podrá establecer un procedimiento eficiente dentro de la IFE de la CNBS para dicho propósito, el cual deberá estar sujeto a la ley aplicable y a la aprobación de la autoridad correspondiente. 123 6.2 Privacidad de la Información Personal Toda la información personal almacenada o utilizada por la IFE de la CNBS está protegida. Información personal será exhibida a una tercera persona solo en el caso que sea ordenada por una orden judicial. 6.2.1 Información de Carácter Confidencial Toda la información personal recabada o utilizada por la IFE de la CNBS se realiza en cumplimiento de la Inspección de estado de Datos de la CNBS y se basa en la distinción suministrada en este Manual. La información de Registro tiene el carácter de información confidencial excepto cuando exista un consentimiento expreso por parte de la entidad a la cual se refiere la información. En el caso que la CNBS cese de proveer los servicios de Firma Electrónica, como parte del procedimiento de terminación, se requerirá transferir la información personal y cualquier otra información correspondiente al cumplimiento de los Servicios de Firma Electrónica a otra Autoridad emisora de Firmas Electrónicas local o cualquier otra entidad designada por la CNBS o las autoridades competentes. En todos los casos, el almacenamiento y disponibilidad de dicha información con el fin de mantener el Servicio de Firmas Electrónicas a los usuarios deberán ser satisfechos. 6.2.2 Información considerada No Confidencial Con sujeción a las leyes locales, la Información del estatus del Certificado y los Certificados deberán ser exhibidos por cualquier razón que resulte relevante para el uso de dicha información y el estatus del certificado de acuerdo al consentimiento otorgado por el usuario Final a través del Contrato de Suscripción u otras autorizaciones. Excepto en el caso que exista una declaración expresa, al momento de la aceptación del certificado, el usuario final puede autorizar al Servicio 124 de Certificación de la CNBS para publicar la información contenida en el Certificado emitido, así como cualquier otra información requerida para provisión de los Servicios de Certificación. 6.2.3 Responsabilidad para la Protección de Información Confidencial Todas las entidades de la IFE de la CNBS que reciban información privada deberán asegurar la misma, de cualquier exhibición a terceras personas y deberá cumplir en todo momento con las normas y leyes de confidencialidad establecidas. 6.2.4 Notificación y Consentimiento para el Uso de Información Confidencial Excepto en los casos estipulados en este Manual, la información confidencial no será utilizada sin el consentimiento de la parte a quien la información se refiere. 6.2.5 Divulgación relativa a los Procesos Judiciales o Administrativos La IFE de la CNBS deberá estar autorizado para revelar información confidencial sí, con buena fe, cree que: La exhibición de la información resulta necesaria en respuesta a una citación u orden judicial; y La exhibición es necesaria en respuesta a un procedimiento judicial, administrativo o de cualquier índole legal durante el periodo de investigación en una acción jurisdiccional, tal como ser citaciones, interrogatorios, requerimientos para su admisión y requerimientos para la preparación de documentos. 6.2.6 Otras Circunstancias para la Divulgación de Información Sin estipulación. 125 6.3 Derechos de Propiedad Intelectual Todos los derechos de propiedad intelectual, incluyendo los derechos de autor en todos los certificados, firmas biométricas, CRLs, Mensajes de estado del Certificados OCSP, Directorios de Certificado, Directorios de Firmas Biométricas pertenecen y permanecen en propiedad de la IFE de la CNBS. 6.4 Límites de Responsabilidad y Renuncia La IFE de la CNBS deberá proveer Servicios de Firma Electrónica de acuerdo a este Manual. Las únicas garantías brindadas por el Manual de la CNBS en la operación de la IFE de la CNBS se establecen en el Uso de los Certificados y el Uso de las Firmas Biométricas. Cualquier otra garantía (establecida en la ley u otro) están excluidas, incluyendo cualquier garantía: Respecto a la precisión y confiabilidad de la información contenida en certificados y/o firmas biométricas que no esté provista por y/o verificada por la IFE de la CNBS; Que se desvíe de este Manual; y Respecto a los asuntos fuera del control razonable del la IFE de la CNBS. La IFE de la CNBS no es responsable por cualquier tipo de daños (incluyendo daños especiales, derivados, incidentales, indirectos o punibles), sin importar si han sido notificados de ellos (o su probabilidad), o si son o no razonablemente previsibles, derivados de: Transacciones subyacentes entre Usuarios Finales y partes dependientes; Uso o apoyo en los certificados, llaves de criptografía, firmas digitales, firmas biométricas o lo Servicios de Certificación en maneras que no se adecuan con los fines permitidos por este Manual; Productos y/o servicios provenientes de terceras partes (incluyendo hardware y software); Incumplimiento por la IFE de la CNBS con la legislación de Protección de Información, la legislación de Protección a la Persona o cualquier otra legislación o regulación requerida; y Cualquier pérdida o daño indirecto o derivado, perdida de ganancias, perdida de buena 126 voluntad, perdida de ahorros anticipados, pérdida de ingresos, perdida de negocios, interrupción de negocios o perdida de información. En ningún caso la IFE de la CNBS será responsable por cualquier tipo de daño. Sin embargo, para subsanar el daño, se reserva el derecho de aplicar las sanciones correspondientes a los infractores o iniciar los procesos legales en los casos que así corresponda. 6.5 Sanciones 6.5.1 Causales de Sanciones Hasta el límite permitido por el Reglamento de Sanciones a ser aplicadas a las Instituciones del Sistema Financiero y a otros Sujetos Sancionables, se aplicarán sanciones por: Incumplimiento de la Parte dependiente de cumplir con las obligaciones correspondientes; Confianza de la Parte dependiente en un certificado o firma biométrica que no es razonable bajo las circunstancias; o Falla de la Parte Dependiente de verificar el estado de dicho certificado o firma biométrica para determinar si el mismo ha expirado o ha sido revocado. El contrato aplicable podrá incluir obligaciones sujetas a sanciones adicionales. 6.6 Vigencia y Terminación 6.6.1 Vigencia El presente Manual entrará en vigencia a partir de la fecha de su, aceptación y firma en el contrato pertinente. 127 6.6.2 Terminación Este Manual a medida que sea reformado deberá mantenerse en vigencia hasta que sea reemplazado por una versión nueva. 6.7 Reformas 6.7.1 Procedimientos para la Reforma del presente Manual Para el mantenimiento y aprobación de este Manual, se debe definir un procedimiento interno con la debida participación de los niveles administrativos. Lo que hará posible que este Manual refleje las prácticas actualizadas del Servicio de la IFE de la CNBS. 6.7.2 Mecanismos de Notificación La actualización de este Manual será brindada en la página web del Sitio Web de la IFE de la CNBS. 6.7.3 Cambios en OID En caso de una actualización de este Manual, se asignará un nuevo OID solo si existiesen diferencias significativas con la versión anterior. La decisión para la asignación de un nuevo OID es parte del proceso de actualización de esta Manual. 6.8 Procedimiento para la Resolución de Disputas 6.8.1 Jerarquía del Manual de Prácticas En la posibilidad de que surja un conflicto entre este Manual y otras políticas, planes, acuerdos, contratos o procedimientos, donde el objeto del conflicto sea entre este Manual y: Un contrato del suscriptor, este Manual prevalecerá; Un contrato con Parte Dependiente, este Manual prevalecerá; y 128 Cualquier política, plan, procedimientos u otra práctica operacional o de documentación, este Manual prevalecerá. 6.8.2 Procedimiento En caso de surgir una disputa fuera o en conexión con estas prácticas, y/o contratos relacionados, antes de iniciar un trámite legal, las partes en disputa deberán de forma interna conciliar dicha disputa o diferencias por medio de una negociación hecha en base a la buena fe. Si las partes son incapaces de resolver dicha disputa por medio de la negociación, dentro del término de un mes desde que surgió la disputa, las partes acordarán someterse a los tribunales de justicia de Honduras, conforme a las Leyes del país. Independientemente de las medidas adoptadas por las partes para la resolución de la disputa, de conformidad con el presente Manual, la IFE de la CNBS conservará su derecho a solicitar medidas cautelares en el caso de la efectiva o presunta violación material del presente Manual o cualquier otra circunstancia relacionada con la disputa que pueda afectar total o parcialmente la seguridad de los Servicios de la IFE de la CNBS. 6.8.3 Legislación Aplicable Este Manual será regido e interpretado conforme a las Normas Reguladoras de Firmas Electrónicas Administradas por la Comisión Nacional de Bancos y Seguros. 129 7 Tabla de Acrónimos y Definiciones 7.1 Acrónimos AD Directorio Activo (Active Directory) CA Autoridad de Certificación (Certification Authority) CN Nombre Común (Common Name) CNBS Commision de Nacional de la Bancos y Seguros CP Politica de Certificación (Certification Policy) CRL Listado de Revocación de Certificados (Certificate Revocation List) CRM Customer Relationship Management CSP Proveedor de Servicio de Certificación (Certification Service Provider) DC Componente de Dominio (Domain Component) DN Nombre Único (Distinguished Name) FIPS Estándares de Procesamiento de Información Federal de los Estados Unidos (United State Federal Information Processing Standards). I&A Identificación y Autenticación (Identification and Authentication) IFE Infraestructura de Firma Electrónica ISO Organización Internacional para la Estandarización (International Organization for Standardization) O Organización OCA Autoridad Certificadora Operacional OCSP Protocolo del Estado del Certificado en Línea (Online Certificate Status protocol) OID Identificador de Objeto (Object Identifier) ORFE Oficial de Registro de Firma Electrónica OU Unidad Organizacional (Organizational Unit) PIN Número de Identificación Personal (Personal Identification Number) PKCS Estándar Criptográfico de Llave Pública (Public-Key Cryptography Standard) PKI Infraestructura de Llave Pública (Public Key Infrastructure) RA Autoridad de Registro (Registration Authority) RAA Aplicación de la Autoridad de Registro (Registration Authority Application) 130 RFC Solicitud de comentarios (Request for Comments) RSA Un algoritmo específico de Llave Pública SSCD Dispositivo Seguro de Creación de Firma (Secure Signature Creation Device) SSL Protocolo de Capa de Conexión Segura (Secure Sesion Layer) URL Localizador uniforme de Recursos (Uniform Resource Locator) 7.2 Definiciones Definición Descripción AES128,256 AES (por su significado en ingles Advanced Encryption Standard), es un algoritmo criptográfico aprobado para la protección de datos electrónicos. El algoritmo AES es capaz de utilizar llaves criptográficas de 128, 192 y 256 bits. BCH Banco Central de Honduras CA Es una entidad de confianza, responsable de emitir y revocar los certificados digitales o certificados, utilizados en la firma electrónica o el no repudio de transacciones, para lo cual se emplea la criptografía de clave pública. Jurídicamente es un caso particular de Prestador de Servicios de Certificación. Certificado Digital Es un documento digital mediante el cual un tercero confiable (una autoridad de certificación) garantiza la vinculación entre la identidad de un sujeto o entidad y su Llave 131 (clave) pública. Cifrado El cifrado es el proceso de convertir el texto plano (o en claro) en un galimatías ilegible, denominado texto cifrado o criptograma. CNBS Comisión Nacional de Bancos y Seguros CP Política de Certificación. Un conjunto de reglas que indican la aplicabilidad de un Certificado a una comunidad Particular y/o Clase de Solicitud con requerimientos de seguridad en común. Criptografía Es el arte o ciencia de cifrar y descifrar información utilizando técnicas que hagan posible el intercambio de mensajes de manera segura que solo puedan ser leídos por las personas a quienes van dirigidos. Criptografía de Llave Publica Un algoritmo criptográfico asimétrico que utiliza (reversible) dos llaves relacionadas, una pública y una privada; tiene la propiedad que, dada la llave pública, es computacionalmente imposible derivar la llave privada. Criptografía de Llave Pública reversible es un algoritmo criptográfico asimétrico en donde los datos cifrados con la llave pública solo pueden ser descifrados utilizando la llave privada y viceversa, datos cifrados utilizando la llave privada solo pueden ser descifrados utilizando la llave pública. 132 CRL Listado de Revocación de Certificados. Una lista mantenida por la CA de los Certificados que ha emitido y que han sido revocados antes de Fecha de su expiración natural. Directorio Activo Directorio Activo es un servicio de directorio utilizado para guardar información relativa a los recursos de red de un dominio. Dominio Grupo Lógico de computadoras que comparte una base de datos central, dicha base de datos central es el Directorio Activo. Entidad Un elemento autónomo al interior del Servicio de Certificación. Este puede ser CA, RA o una entidad final. Entidad Legal (o jurídica) Un grupo o área geográfica que tiene reconocimiento legal, por ejemplo: una corporación, un sindicato, un estado o nación. FIPS Estándares de Procesamiento de Información Federal (por sus siglas en inglés Federal Information Processing Standards) Firma Biométrica Captación de la firma escrita a través de dispositivos electrónicos, asegurando la identidad del firmante, predestinada por tanto a ser usada en la firma de contratos, documentos, recibos y protocolos. Firma Digital (Firma Electrónica) Es un método criptográfico que asocia la identidad de una persona o de un equipo informático al mensaje o documento. El cual 133 cuando es debidamente implementado provee los siguientes servicios: 1. Autenticación de Origen 2. Integridad de datos 3. No-repudiación de Firmante Firmante Corresponde a la entidad que genera una Firma Digital sobre los datos. HSM Modulo de Seguridad de Hardware (por sus siglas en Inglés Hardware Security Module), que suministra un entorno seguro para el almacenamiento y custodia de datos cifrados. IC Circuito integrado (por sus siglas en inglés Integrated circuit) Institución Institución miembro de Interconexión Financiera. IPSEC IPsec (abreviatura de Internet Protocol security) es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec también incluye protocolos para el establecimiento de claves de cifrado. Llave (Clave) Criptográfica Es una secuencia de números o letras mediante la cual en criptografía: 1. Se transforma del texto plano en texto cifrado o viceversa. 2. Verificación o autenticación de que alguien 134 está autorizado para acceder a un servicio o un sistema informático. 3. Firma digital de documentos. Llave Pública La parte pública de un par de llaves asimétricas utilizadas para el cifrado de llave pública técnicas. La llave pública se utiliza normalmente para la verificación de las firmas digitales o para cifrar los mensajes que se envían al propietario de la llave privada. Llave Privada En un criptosistema asimétrico (o de llave pública), dentro del par de llaves que le conforman, corresponde a la llave que pertenece a una entidad y que solo es del conocimiento de dicha entidad. Material de Llaves Los datos (por ejemplo: llaves, certificados y vectores de inicialización) necesarios para establecer y mantener relaciones de llaves criptográficas. Mensaje Los datos a ser firmados. Modulo Criptográfico Es el conjunto conformado por hardware, software, firmware, o una combinación de los mismos, para implementar procesos o lógica criptográfica, incluyendo algoritmos criptográficos. Navegador Un navegador web (del inglés, web browser) es una aplicación software que permite al usuario recuperar y visualizar documentos de 135 hipertexto, comúnmente descritos en HTML, desde servidores web de todo el mundo a través de Internet. No repudiación (No-repudio) Es una manera de garantizar que el generador de un mensaje no pueda negar posteriormente el envío del mismo. Tableta o Pad La Tableta para la firma biométrica, es un dispositivo capaz de registrar el trazado de la firma escrita y todos sus aspectos, tales como tiempo, presión y trazado. Par de Llaves Cuando es utilizado en el contexto de criptografía de llave pública, incluye: una llave pública y su correspondiente llave privada. Parte Dependiente Repositorio de un Certificado que actúa en dependencia de un Certificado y/o Firma Digital verificada utilizando ese Certificado. PKI Infraestructura Conjunto de completo Llave de (Clave) Pública. organizaciones, practicas, procesos, plataformas de servidores, software y estaciones de trabajo empleados con el propósito de administrar políticas, Certificados y Llaves. RA Autoridad de Registro. Entidad que ha recibido de la CA la responsabilidad de identificar y autenticar Sujetos y de verificar su autoridad para actuar en nombre de un sujeto. La RA no firma ni emite Certificados. 136 Re-Llave Es el Acto de reemplazar un Certificado expirado mediante la emisión de un par de Llaves nuevo. Repositorio Un sistema para almacenar y distribuir Certificados u otra información relevante a Certificados. Repudiación La negación de una entidad de haber participado parcial o totalmente en una comunicación. Servidor En informática, un servidor es una computadora que, formando parte de una red, provee servicios a otras denominadas clientes Servidor de Firmas Es un servidor en el cual se almacenan y se administran las firmas recopiladas con el respectivo software. SSL Secure Sockets Layer -Protocolo de Capa de Conexión Segura- (SSL) es un protocolo criptográfico que proporciona comunicaciones seguras por una red, comúnmente Internet. SSL VPN Un SSL VPN (por sus siglas en inglés Secure Sockets Layer virtual private network) es una clase de VPN que puede ser utilizada con un Navegador web. En contraste con el IPsec VPN tradicional, un SSL VPN no requiere la instalación de un software especial en la computadora del usuario final. TI (Tecnologías de Informática) se encargan del diseño, desarrollo, fomento, mantenimiento y 137 administración de la información por medio de sistemas informáticos, para información, comunicación o ambos. Token Un token de seguridad (también token de autenticación o token criptográfico) es un dispositivo electrónico que se le da a un usuario autorizado de un servicio computarizado para facilitar el proceso de autenticación. Usuario Final Un Sujeto, Parte Dependiente o sistema TI (que no sea CA o RA) que utiliza las llaves y Certificados creados por el Proveedor de Servicios de Certificación. Verificador Es la entidad que verifica la autenticidad de una Firma Digital. VPN La Red Privada Virtual (RPV), en inglés Virtual Private Network (VPN), es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada, como por ejemplo Internet. X.500 El servicio de directorio X.500 es una forma de estándar para desarrollar un directorio electrónico de personas en una organización, de manera tal que puedan ser parte de un directorio global disponible para cualquiera en el mundo con acceso a Internet. Como directorio en algunas ocasiones es denominado Directorio Global de Páginas Blancas. 138 139