Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

1/2 Report of Independent Accountants To the

Anuncio 
IT Risk and Assurance Tel: 91 572 72 00
Advisory Service
Tel: 91 572 72 70
Torre Picasso www.ey.com/es
Plaza Pablo Ruiz Picasso
28020 Madrid
Report of Independent Accountants
To the Management of CAMERFIRMA S.A.
We have examinated the assertion by the management of CAMERFIRMA S.A., that is providing
its Certification Authority (CA) services, during the period from April 13 th, 2013 to April 13th,
2014, Camerfirma has:
·
Disclosed its certificate life cycle management practices and procedures, including its
commitment to provide certificates in conformity with “CA/Browser Forum Guidelines”
and provided such services in accordance with its disclosed practices in the
Certification Practice Statement and
·
Maintained effective controls to provide reasonable assurance that:
- Subscriber information was properly authenticated (for the registration activities
performed by Camerfirma and verified, and
- The integrity of keys and certificates it manages was established and protected
throughout their life cycles based on the “AICPA/CICA WebTrust for
Certification Authorities”.
Camerfirma’s management is responsible for its assertion. Our responsibility is to express an
opinion on management’s assertion based on our examination.
Camerfirma makes uses of external registration authorities for specific subscriber registration
activities as disclosed in Camerfirma’s business practice disclosures. Our examination did not
extend to the controls of external registration authorities.
Our examination was conducted in accordance with attestation standards established by the
American Institute of Certified Public Accountants, and accordingly, included:
(1) Obtaining an understanding of Camerfirma’s certificate life cycle management practices and
procedures, including its relevant controls over the issuance, renewal, and revocation of
certificates.
(2) Selectively testing transactions executed in accordance with disclosed certificate life cycle
management practices
(3) Testing and evaluating the operating effectiveness of the controls, and
(4) Performing such other procedures as we considered necessary in the circumstances.
We believe that our examination provides a reasonable basis in our opinion.
1/2
Inherent limitations
Because of inherent limitations in controls, errors or fraud may occur and not be detected.
Furthermore, the projection of any conclusions, based on our findings, to the future periods is
subject to the risk that the validity of such conclusions may be altered because of:
(1) changes made to the system or controls
(2) the failure to make needed changes to the system, or
(3) deterioration in the degree of effectiveness of the controls
Auditor’s Opinion
In our opinion, for the period from April 13th, 2013 to April 13th, 2014, Camerfirma
management’s assertion, is fairly stated, in all material respects, based on the “AICPA/CICA
WebTrust for Certification Authorities”.
Exclusions
The WebTrust seal of assurance for certification authorities on Camerfirma’s Web site
(http://www.camerfirma.es/) contributes a symbolic representation of the contents of this report
and it is not intended, nor should it be construed, to update this report or provide any additional
assurance.
The relative effectiveness and significance of specific controls at Camerfirma and their effect on
assessments of control risk for subscribers and relying parties, are dependent on their
interaction with the controls and other factors present at individual subscriber and relying party
locations. We have performed no procedures to evaluate the effectiveness of controls at
individual subscriber and relying party locations
This report does not include any representation as to the quality of Camerfirma’s services
beyond those covered by the “WebTrust for Certification Authorities”, nor the suitability of any of
Camerfirma’s services or any customer’s intended purpose.
ERNST & YOUNG, S.L.
Independent Accountants
Madrid, Spain
May 30th, 2014
Manuel Giralt Herrero
Partner
2/2
MANIFESTACIONESDELOSADMINISTRADORESSOBRESUSPRÁCTICASDENEGOCIO
Y SUS CONTROLES EN RELACIÓN CON SUS OPERACIONES COMO AUTORIDAD DE
CERTIFICACIÓNDURANTEELPERIODOQUEVADESDEABRILDE2013HASTAABRIL
DE2014
23demayode2014
LaAutoridaddeCertificaciónACCamerfirma,S.A.(enadelante,Camerfirma)operacomo
DelegadasvinculadasalasanterioresydefinidasenelAnexo1deestaManifestación,que
proporcionantodasellaslossiguientesserviciosdeAutoridaddeCertificación:
RegistrodeSuscriptor
EmisióndeCertificados
RenovacióndeCertificados
DistribucióndeCertificados
SuspensióndeCertificados
RevocacióndeCertificados
Procesamiento de la información del estado de los certificados (utilizando un
repositorioonline)
Gestióndelciclodevidadeunatarjetadecircuitointegrada.
Parallevaracabolaprestacióndeserviciosdecertificación,Camerfirmahaceuso delas
Autoridades de Registro para la identificación de los solicitantes de los certificados,
conformealasnormasdelaDeclaracióndePracticasdeCertificación(CPS)yelConvenio
suscritoconCamerfirma.
LaDireccióndeCamerfirmaesresponsabledeestablecerymantenerloscontrolesefectivos
sobre las operaciones de las AC de Camerfirma, incluyendo las Manifestaciones de sus
PrácticasdeNegociocomoAC,laintegridaddeServicio(incluidosloscontrolesdelagestión
delciclodevidadeloscertificadosydesusclaves)ylosControlesdelEntornodelaAC.Esos
controlescontienenmecanismosdemonitorizaciónysetomanaccionesparacorregirlas
deficienciasencontradas.
Existenlimitacionesinherentesenalgunoscontroles,incluyendolaposibilidaddeerrores
humanosylaevasiónoanulacióndeloscontroles.Comoconsecuencia,inclusoloscontroles
efectivos pueden proporcionar solamente una seguridad razonable respecto a las
operaciones de Camerfirma como Autoridad de Certificación. Adicionalmente, debido a
cambiosdelascondiciones,laefectividaddeloscontrolespuedevariarcadaciertotiempo.
LaDireccióndelaCamerfirmahaevaluadoloscontrolessobresusoperacionescomoAC
DelegadasvinculadasalasanterioresydefinidasenelAnexodeestaManifestación. Enbase
adichaevaluación,enopinióndelaDireccióndeCamerfirma,duranteelperiododel13de
abrilde2013al12deabrilde2014:
HizopúblicassusPrácticasdeNegociosobrelaGestióndelCiclodeVidadeloscertificados
y de sus claves, y sus prácticas sobre la privacidad de la información, y suministro tales
serviciosdeacuerdoconlaspracticasmanifestadas.
-Mantuvocontrolesefectivosparaproporcionarunaseguridadrazonabledeque:
Lainformación delsuscriptor es autenticadaadecuadamente (por laactividadde
registrollevadaacaboporCamerfirma.
Laintegridaddeloscertificadosydesusclavesseestablecióyprotegióaloslargo
detodosusciclosdevida.
Lainformacióndelossuscriptoresypartesdeconfianzaestárestringidaapersonal
autorizadoy,protegidadeusosnoespecificaosenlasmanifestacionesdeprácticas
denegociodeCamerfirma.
Semanifiestelacontinuidaddelasoperacionesalagestióndelciclodevidadelas
clavesycertificados;y
Lastaresdeexplotación,mantenimientoydesarrollodelossistemasdelaACson
autorizadas convenientemente u realizadas para mantener la integridad de los
mismos.
TodoellodeacuerdoconloscriteriosAICPA/CICAWebTrustparaAutoridadesde
Certificación-ValidaciónExtendida,incluyendolossiguientes:
DeclaracióndePrácticasdeCertificación.
Políticas de Certificados Personales para ciudadanos, empleados públicos y
entidades.
PolíticasdeCertificadosnopersonales.
Integridaddelservicio
Controlesenlagestióndedelciclodevidadelasclaves
GeneracióndelasClavesdelaAC.
Almacenamiento,copiasdeseguridadyrecuperacióndelasclavesdelaAC
DistribucióndelaClavepúblicadelaAC
UsodelaClavedelaAC
DestruccióndelaclavedelaAC
ArchivodeclavesdelaAC
Gestióndelciclodevidadelatarjetadecircuitointegrado
ControlesenlaGestióndelCiclodeVidadelCertificado
Registrodesuscriptores
Renovacióndecertificados
Emisióndecertificados
Distribucióndecertificados
Renovacióndecertificados
ProcesamientodelainformacióndelestadodelosCertificados
ControlesdeEntornodelaAC
GestióndelaCPSyCP
Gestióndelaseguridad
ClasificaciónygestióndeActivos
Seguridaddelpersonal
Seguridadfísicaymedioambiental
Gestióndeoperaciones
Gestióndeaccesoalsistema
Sistemasdesarrolladosymantenidos
Gestióndelacontinuidaddenegocio
Seguimientoyconformidad
Registrodeincidencias
RosarioMárquezdePrado
DirectoraGeneral
ACCamerfirma,S.A.
ANEXOI
ESTRUCTURADEAUTORIDADESDECERTIFICACIONPROPIEDADDE
ACCAMERFIRMASA
AC Camerfirma gestiona gestión dos estructuras jerarquizadas (Chambers of Commerce
RootJCC,GlobalChambersignRootJCS).
A)JERARQUÍACHAMBERSOFCOMMERCEROOT(JCC)
Esta Jerarquía está diseñada para construir una red de confianza donde las
Autoridades de Registro que son gestionadas por las Cámaras de Comercio,
Industria y Navegación, teniendo como objetivo fundamental la emisión de
certificadosdigitalesdeidentidadempresarial.
LasAutoridadesdecertificaciónintermediasquecomponenestajerarquíason:
1.-ExpressCorporateServer.1.3.6.1.4.1.17326.10.11
DelaEntidadRaíz(JCC)dependeunaAutoridaddeCertificaciónintermedia
Certificados para servidor seguro de
(1.3.6.1.4.1.17326.10.11.4)
Certificado
de
sello
electrónico
(1.3.6.1.4.1.17326.10.11.5)
páginas
de
HTML
empresa.
2.-FirmadeCódigo.1.3.6.1.4.1.17326.10.12
3.-Sellosdetiempo.1.3.6.1.4.1.17326.10.13
4.-CorporateServerEV.1.3.6.1.4.1.17326.10.14
Estaautoridaddecertificaciónintermediaemitecertificadosdigitalespara
servidores de páginas HTML con protocolo HTTPS con la misma
Autoridad de Certificación se rige por una normativa adicional Extended
Validation (EV) s
5.-ACCamerfirmaSA.1.3.6.1.4.1.17326.10.9.1
Loscertificadosfinalessedirigena:
Personasfísicas.
Pertenenciaaentidad.1.3.6.1.4.1.17326.10.9.2
Representación.1.3.6.1.4.1.17326.10.9.3
Apoderamiento.1.3.6.1.4.1.17326.10.9.5
PersonasJurídicas.1.3.6.1.4.1.17326.10.9.4
DeFacturaelectrónica.1.3.6.1.4.1.17326.10.9.7
Decifrado.1.3.6.1.4.1.17326.10.9.6
DeRespondedorOCSP1.3.6.1.4.1.17326.10.9.8
B)JERARQUÍACHAMBERSIGNGLOBALROOT(JCS)
EstaJerarquíaestacreadaparalaemisióndecertificadosdondelasAutoridadesde
Registro no se enmarcan en el ámbito de las Cámaras de Comercio, ni donde las
Políticasdecertificaciónexigenqueloscertificadosemitidosseanempresariales.Es
por lo tanto una jerarquía con unámbito de actuaciónmucho másamplio que la
jerarquía(JCC).
LaprimeraAutoridaddeCertificaciónintermediacorrespondeaCamerfirmacuya
funciónseráladeemitircertificadossectoriales.
LasiguienteAutoridaddeCertificacióndesegundonivelenlaJerarquíaesRACER
(ReddeAltaCapilaridaddeEntidadesdeRegistro),cuyaprincipalcaracterísticaes
que puede utilizar cualquier agente como Autoridad de Registro siempre que
previamente haya recibido la adecuada formación y haya sido objeto de una
Auditoria que verifique que se encuentra en disposición de dar adecuado
Certificación.
JCC, RACER es una AC multi-política de propósito general no aplicada a ningún
sectorparticularqueemitecertificadosdeentidadfinal.
EnelcasodelcertificadoRACERseañadeuncertificadodepersonafísicaqueno
determinalarelaciónovinculacióndelapersonafísicaconunaentidadjurídicay
simplementegarantizalaidentidaddelapersonafísicacomoFirmante/Suscriptor,
titulardelcertificado,actuandoensupropionombre.Seelimina,respectoaJCCla
políticadeemisióndelcertificadoderespondedordeOCSP.
Documentos relacionados
cronograma de validacion gerencia regional nombre del centro
cronograma de validacion gerencia regional nombre del centro
FIRMA EN ADOBE READER DC Versión 1.0 Mayo
FIRMA EN ADOBE READER DC Versión 1.0 Mayo
Normativa de los Certificados
Normativa de los Certificados
FIRMA EN ADOBE READER DC EN SISTEMAS
FIRMA EN ADOBE READER DC EN SISTEMAS
Diapositiva 1
Diapositiva 1
Descargar
Anuncio
Anuncio