San José, 50 metros Este del Museo Nacional. Apartado Postal: 5589-1000 San José, Costa Rica. Correo Electrónico: informacion@firmadigital.go.cr www.firmadigital.go.cr Tel:(506) 2248-1515 SISTEMA NACIONAL DE CERTIFICACIÓN DIGITAL SISTEMA NACIONAL DE CERTIFICACIÓN DIGITAL Ley de certificados, firmas digitales y documentos electrónicos N° 8454 Reglamento a la ley de certificados, firmas digitales y documentos electrónicos Política de certificados para la jerarquía nacional de certificadores registrados Política de formatos oficiales de los documentos electrónicos firmados digitalmente Directrices para las Autoridades de Registro. Características de cumplimiento de Autoridades de Registro (RA) de la jerarquía nacional de certificadores registrados de Costa Rica Política de sellado de tiempo del Sistema Nacional de Certificación Digital Contenido Ley de CerƟficados, Firmas Digitales y Documentos Electrónicos N° 8454 ........................ 15 Capítulo I Disposiciones generales ....................................................... 17 Ar culo 1.– Ámbito de aplicación ................................................................17 Ar culo 2.– Principios...................................................................................17 Capítulo II Documentos ......................................................................... 18 Ar culo 3.– Reconocimiento de la equivalencia funcional...........................18 Ar culo 4.– Calificación jurídica y fuerza probatoria....................................18 Ar culo 5.– En par cular y excepciones.......................................................18 Ar culo 6.– Ges ón y conservación de documentos electrónicos ...............19 Ar culo 7.– Sa sfacción de los requisitos fiscales ........................................20 Capítulo III Firmas digitales .................................................................... 21 Ar culo 8.– Alcance del concepto ................................................................21 Ar culo 9.– Valor equivalente ......................................................................21 Ar culo 10.– Presunción de autoría y responsabilidad ................................21 Capítulo IV CerƟficación digital ............................................................. 22 Sección I. Los cer ficados .......................................................................22 Ar culo 11.– Alcance....................................................................................22 Ar culo 12.– Mecanismos ............................................................................22 Ar culo 13.– Homologación de cer ficados extranjeros .............................23 Ar culo 14.– Suspensión de cer ficados digitales .......................................23 Ar culo 15.– Revocación de cer ficados digitales .......................................24 Ar culo 16.– Revocación por el cese de ac vidades del cer ficador...........24 Ar culo 17.– Conservación de efectos .........................................................25 Sección II. Cer ficadores ..........................................................................25 Ar culo 18.– Definición y reconocimiento jurídico ......................................25 Ar culo 19.– Requisitos, trámites y funciones .............................................25 Ar culo 20.– Corresponsalía ........................................................................25 Ar culo 21.– Auditorías................................................................................26 Ar culo 22.– Cesación voluntaria de funciones ...........................................26 Sección III. Administración del Sistema de Cer ficación...........................26 Ar culo 23.– Dirección .................................................................................26 5 Contenido Ar culo 24.– Funciones ................................................................................26 Ar culo 25.– Jefatura ...................................................................................27 Capítulo V Ar Ar Ar Ar Ar Ar Ar Sanciones ........................................................................... 28 culo 26.– Sanciones a cer ficadores ......................................................28 culo 27.– Amonestación .........................................................................28 culo 28.– Multa.......................................................................................28 culo 29.– Suspensión ..............................................................................29 culo 30.– Revocatoria de la inscripción ..................................................30 culo 31.– Procedimiento.........................................................................30 culo 32.– Publicidad ...............................................................................30 Capítulo VI Disposiciones finales y transitorias ..................................... 31 Ar culo 33.– Reglamentación ......................................................................31 Transitorio Único.– .......................................................................................31 Reglamento a la ley de cerƟficados , firmas digitales y documentos electrónicos ..................... 33 CAPÍTULO PRIMERO ............................................................................... 35 Disposiciones generales Ar Ar Ar Ar culo 1º– Propósito. .................................................................................35 culo 2º– Definiciones. .............................................................................36 culo 3º– Aplicación al Estado..................................................................42 culo 4º– Incen vo de los mecanismos de gobierno electrónico. ...........42 CAPÍTULO SEGUNDO .............................................................................. 43 Cer ficados Digitales Ar Ar Ar Ar Ar culo 5º– Contenido y caracterís cas. .....................................................43 culo 6º– Tipos de cer ficados. ...............................................................43 culo 7º– Obligaciones de los usuarios. ...................................................44 culo 8°– Plazo de suspensión de cer ficados. ........................................44 culo 9º– Revocación por cese de ac vidades. ........................................44 6 Contenido CAPÍTULO TERCERO ................................................................................ 45 Cer ficadores Ar Ar Ar Ar Ar Ar Ar Ar Ar Ar Ar Ar Ar culo 10.– Reconocimiento jurídico. ........................................................45 culo 11.– Comprobación de idoneidad técnica y administra va. ...........45 culo 12.– Formalidades de la solicitud. ..................................................45 culo 13.– Caución. ..................................................................................47 culo 14.– Tramite de la solicitud. ............................................................47 culo 15.– Oposiciones.............................................................................48 culo 16.– Resolución. ..............................................................................48 culo 17.– Silencio posi vo. .....................................................................49 culo 18.– Recursos. .................................................................................49 culo 19.– Funciones. ...............................................................................49 culo 20.– Divulgación de datos. ..............................................................50 culo 21.– Corresponsalías. ......................................................................51 culo 22.– Actualización permanente de datos. ......................................51 CAPÍTULO CUARTO ................................................................................. 52 Dirección de Cer ficadores de Firma Digital Ar Ar Ar Ar Ar Ar Ar culo 23.– Responsabilidad. .....................................................................52 culo 24.– Funciones. ...............................................................................52 culo 25.– Cooperación interins tucional. ...............................................53 culo 26.– Jefatura. ..................................................................................53 culo 27.– Régimen interior......................................................................53 culo 28.– Comité Asesor de Polí cas. .....................................................53 culo 29.– Funciones del Comité Asesor de Polí cas. ..............................54 CAPÍTULO QUINTO ................................................................................. 56 Sanciones Ar culo 30.– Aplicación de mecanismos alterna vos de solución de conflictos. ...........................................................................56 Ar culo 31.– Multas. ....................................................................................56 Ar culo 32.– Suspensión. .............................................................................56 Ar culo 33.– Revocatoria de la inscripción. .................................................56 Ar culo 34.– Publicidad de las sanciones.....................................................56 Ar culo 35.– Determinación de responsabilidades adicionales...................57 Ar culo 36.– Medios de ejecución. ..............................................................57 7 Contenido CAPÍTULO SEXTO .................................................................................... 57 Disposiciones finales Ar culo 37.– Vigencia...................................................................................57 ANEXO ÚNICO ..............................................................................................57 PolíƟca de cerƟficados para la jerarquía nacional de cerƟficadores registrados ................... 59 1. Introducción ................................................................................ 63 1.1 Resumen ...........................................................................................63 1.2 Nombre e iden ficación del documento...........................................65 1.3 Par cipantes en la PKI .......................................................................65 1.4 Uso del cer ficado ............................................................................67 1.5 Administración de la Polí ca .............................................................68 1.6 Definiciones y acrónimos ..................................................................69 2. Responsabilidades de publicación y del repositorio ..................... 69 2.1 Repositorios ......................................................................................69 2.2 Publicación de información de cer ficación .....................................69 2.3 Tiempo o frecuencia de publicación .................................................70 2.4 Controles de acceso a los repositorios ..............................................70 3. IdenƟficación y autenƟcación ...................................................... 70 3.1 Nombres............................................................................................70 3.2 Validación inicial de iden dad...........................................................76 3.3 Iden ficación y auten cación para solicitudes de re–emisión de llaves..........................................................................78 3.4 Iden ficación y auten cación para solicitudes de revocación ..........78 4. Requerimientos operacionales del ciclo de vida del cerƟficado .... 79 4.1 Solicitud de cer ficado......................................................................79 8 Contenido 4.2 Procesamiento de la solicitud de cer ficado ....................................82 4.3 Emisión de cer ficado .......................................................................84 4.4 Aceptación de cer ficado .................................................................85 4.5 Uso del par de llaves y del cer ficado ...............................................86 4.6 Renovación de cer ficado .................................................................89 4.7 Re–emisión de llaves de cer ficado ..................................................90 4.8 Modificación de cer ficados .............................................................91 4.9 Revocación y suspensión de cer ficado ............................................91 4.10 Servicios de estado de cer ficado...................................................101 4.11 Finalización de la suscripción ..........................................................101 4.12 Custodia y recuperación de llave ....................................................101 5. Controles operacionales, de gesƟón y de instalaciones ...............102 5.1 Controles sicos ..............................................................................102 5.2 Controles procedimentales .............................................................104 5.3 Controles de personal .....................................................................106 5.4 Procedimientos de bitácora de auditoría ........................................109 5.5 Archivado de registros.....................................................................111 5.6 Cambio de llave ...............................................................................113 5.7 Recuperación de desastre y compromiso .......................................114 5.8 Terminación de una CA o RA ...........................................................116 6. Controles técnicos de seguridad ..................................................117 6.1 Generación e instalación del par de llaves ......................................117 6.2 Controles de ingeniería del módulo criptográfico y protección de la llave privada .........................................................122 6.3 Otros aspectos de ges ón del par de llaves ....................................128 6.4 Datos de ac vación .........................................................................129 6.5 Controles de seguridad del computador .........................................130 6.6 Controles técnicos del ciclo de vida ................................................131 9 Contenido 6.7 Controles de seguridad de red ........................................................132 6.8 Sellado de empo (“Time–Stamping”) ...........................................133 7. Perfiles de CerƟficados, CRL y OCSP ............................................133 7.1 Perfil del Cer ficado ........................................................................133 7.2 Perfil de la CRL.................................................................................138 7.3 Perfil de OCSP..................................................................................139 8. Auditoría de cumplimiento y otras evaluaciones .........................140 8.1 Frecuencia o circunstancias de evaluación .....................................141 8.2 Iden dad/calidades del evaluador ..................................................141 8.3 Relación del evaluador con la en dad evaluada .............................141 8.4 Aspectos cubiertos por la evaluación..............................................142 8.5 Acciones tomadas como resultado de una deficiencia ...................143 8.6 Comunicación de resultados ...........................................................143 9. Otros asuntos legales y comerciales ............................................143 9.1 Tarifas ..............................................................................................143 9.2 Responsabilidad financiera .............................................................144 9.3 Confidencialidad de la información comercial ................................144 9.4 Privacidad de información personal ................................................145 9.5 Derechos de propiedad intelectual .................................................146 9.6 Representaciones y garan as ..........................................................146 9.7 Renuncia de garan as .....................................................................148 9.8 Limitaciones de responsabilidad legal.............................................148 9.9 Indemnizaciones .............................................................................148 9.10 Plazo y Finalización..........................................................................148 9.11 No ficación individual y comunicaciones con par cipantes...........149 9.12 Enmiendas.......................................................................................149 9.13 Disposiciones para resolución de disputas......................................150 9.14 Ley gobernante ...............................................................................150 10 Contenido 9.15 Cumplimiento con la ley aplicable ..................................................150 9.16 Disposiciones varias ........................................................................150 9.17 Otras disposiciones .........................................................................151 10. Anexo A: Definiciones y acrónimos .............................................151 10.1 Definiciones.....................................................................................151 10.2 Abreviaturas: ...................................................................................156 11. Anexo B: Documentos de referencia ...........................................158 PolíƟca de formatos oficiales de los documentos electrónicos firmados digitalmente ..................... 159 1. Introducción ....................................................................................163 1.1 Administración de la Polí ca ...........................................................163 1.1.1 Organización que administra el documento ...................................163 1.1.2 Persona de contacto........................................................................163 2. Resumen ..........................................................................................164 3. Definiciones, conceptos generales y abreviaturas .............................164 3.1 Definiciones y conceptos generales ......................................................164 3.2 Abreviaturas..........................................................................................165 4. PolíƟca de Formatos Oficiales de los Documentos Electrónicos Firmados Digitalmente .................................................166 4.1 Resumen ...............................................................................................166 4.2 Iden ficación ........................................................................................166 4.3 Comunidad de usuarios y aplicabilidad ................................................167 4.4 Cumplimiento .......................................................................................167 4.5 Vigencia ................................................................................................167 5. Especificación de los Formatos Oficiales ...........................................168 5.1 Uso de Formatos Avanzados .................................................................168 11 Contenido 5.2 Responsabilidades ................................................................................170 5.2.1 Firma digital del documento electrónico ........................................170 5.2.2 Verificación de la validez de la firma digital en el documento electrónico ............................................................................................171 5.2.3 Consideraciones adicionales para la inclusión de los atributos ......172 Directrices para las Autoridades de Registro. CaracterísƟcas de cumplimiento de Autoridades de Registro (RA) de la jerarquía nacional de cerƟficadores registrados de Costa Rica .............. 173 1. Disposiciones Generales ..................................................................177 1.1 Administración del documento .......................................................179 1.1.1 Organización que administra el documento ...................................179 1.1.2 Persona de contacto........................................................................180 2. Controles del Personal .....................................................................180 2.1 Disposiciones generales ........................................................................180 2.2 Requerimientos de documentación del Agente de Registro ................180 2.3 Requerimientos Capacitación ...............................................................181 2.4 Procedimiento de suspensión o desvinculación ...................................182 3. Controles İsicos ...............................................................................182 3.1 Exigencias mínimas de seguridad sica ................................................182 3.2 Procedimientos de monitoreo ..............................................................183 4. Controles lógicos ..............................................................................183 4.1 Controles de seguridad de las estaciones de trabajo ...........................183 4.2 Controles de la aplicación de la RA .......................................................184 5. Controles de seguridad de la RED .....................................................186 6. Controles de seguridad de la información.........................................186 12 Contenido 6.1 Directrices generales ............................................................................186 6.2 Procedimientos de almacenamiento, manipulación y destrucción de documentos .................................................................187 7. Controles del ciclo de vida del cerƟficado .........................................187 8. Acuerdos operacionales ...................................................................187 PolíƟca de sellado de Ɵempo del Sistema Nacional de CerƟficación Digital ......................... 189 1. Introducción.....................................................................................193 1.1 Administración de la Polí ca.................................................................194 2. Resumen ..........................................................................................194 3. Definiciones y abreviaturas ..............................................................194 3.1 Definiciones ..........................................................................................194 3.2 Abreviaturas..........................................................................................196 4. Conceptos Generales........................................................................196 4.1 Servicios de Sellado de Tiempo (TSS) ...................................................196 4.2 Autoridad de Sellado de Tiempo (TSA) .................................................196 4.3 Suscriptores ..........................................................................................199 4.4 Polí ca de Sellado de Tiempo y la Declaración de prác cas de la TSA ................................................................................199 5. PolíƟcas de Sellado de Tiempo .........................................................199 5.1 Resumen ...............................................................................................199 5.2 Iden ficación ........................................................................................199 5.3 Comunidad de usuarios y aplicabilidad ................................................110 5.4 Cumplimiento .......................................................................................110 6. Obligaciones y responsabilidades. ....................................................110 6.1 Obligaciones de la TSA ..........................................................................110 13 Contenido 6.2 Obligaciones del suscriptor ...................................................................202 6.3 Obligaciones de partes que con an......................................................202 6.4 Responsabilidades ................................................................................202 7. Requerimientos en prácƟcas de la TSA .............................................203 7.1 Prác cas y declaraciones de divulgación ..............................................203 7.2 Ges ón del Ciclo de vida de las llaves...................................................203 7.3 Sellado de empo .................................................................................205 7.4 Ges ón de la TSA y operaciones ...........................................................206 7.5 Organización .........................................................................................210 14 >ĞLJĚĞĐĞƌƟĮĐĂĚŽƐ͕ĮƌŵĂƐĚŝŐŝƚĂůĞƐLJ ĚŽĐƵŵĞŶƚŽƐĞůĞĐƚƌſŶŝĐŽƐEΣϴϰϱϰ Ley de cer ficados, firmas digitales y documentos electrónicos N° 8454 Publicada el 13 de octubre del año 2005, en La Gaceta 197 8454 ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE COSTA RICA DECRETA: LEY DE CERTIFICADOS, FIRMAS DIGITALES Y DOCUMENTOS ELECTRÓNICOS CAPÍTULO I DISPOSICIONES GENERALES ARTÍCULO 1.– Ámbito de aplicación Esta Ley se aplicará a toda clase de transacciones y actos jurídicos, públicos o privados, salvo disposición legal en contrario, o que la naturaleza o los requisitos par culares del acto o negocio concretos resulten incompa bles. El Estado y todas las en dades públicas quedan expresamente facultados para u lizar los cer ficados, las firmas digitales y los documentos electrónicos, dentro de sus respec vos ámbitos de competencia. ARTÍCULO 2.– Principios En materia de cer ficados, firmas digitales y documentos electrónicos, la implementación, interpretación y aplicación de esta Ley deberán observar los siguientes principios: a) Regulación legal mínima y desregulación de trámites. b) Autonomía de la voluntad de los par culares para reglar sus relaciones. c) U lización, con las limitaciones legales, de reglamentos autónomos por la Administración Pública para desarrollar la organización y el servicio, interno o externo. d) Igualdad de tratamiento para las tecnologías de generación, proceso o almacenamiento involucradas. 17 Ley de cer ficados, firmas digitales y documentos electrónicos N° 8454 CAPÍTULO II DOCUMENTOS ARTÍCULO 3.– Reconocimiento de la equivalencia funcional Cualquier manifestación con carácter representa vo o declara vo, expresada o transmi da por un medio electrónico o informá co, se tendrá por jurídicamente equivalente a los documentos que se otorguen, residan o transmitan por medios sicos. En cualquier norma del ordenamiento jurídico en la que se haga referencia a un documento o comunicación, se entenderán de igual manera tanto los electrónicos como los sicos. No obstante, el empleo del soporte electrónico para un documento determinado no dispensa, en ningún caso, el cumplimiento de los requisitos y las formalidades que la ley exija para cada acto o negocio jurídico en par cular. ARTÍCULO 4.– Calificación jurídica y fuerza probatoria Los documentos electrónicos se calificarán como públicos o privados, y se les reconocerá fuerza probatoria en las mismas condiciones que a los documentos sicos. ARTÍCULO 5.– En parƟcular y excepciones En par cular y sin que conlleve la exclusión de otros actos, contratos o negocios jurídicos, la u lización de documentos electrónicos es válida para lo siguiente: a) La formación, formalización y ejecución de los contratos. b) El señalamiento para no ficaciones conforme a la Ley de no ficaciones, citaciones y otras comunicaciones judiciales. c) La tramitación, ges ón y conservación de expedientes judiciales y administra vos; asimismo, la recepción, prác ca y conservación de prueba, incluida la recibida por archivos y medios electrónicos. De igual manera, los órganos jurisdiccionales que requieran la actualización de cer ficaciones y, en general, de otras piezas, podrán proceder sobre simples impresiones de los documentos en línea efectuadas por el despacho o aceptar las impresiones de dichos documentos en línea, aportadas por la parte interesada y cer ficadas notarialmente. 18 Ley de cer ficados, firmas digitales y documentos electrónicos N° 8454 d) La emisión de cer ficaciones, constancias y otros documentos. e) La presentación, tramitación e inscripción de documentos en el Registro Nacional. f) La ges ón, conservación y u lización, en general, de protocolos notariales, incluso la manifestación del consen miento y la firma de las partes. No se podrán consignar en documentos electrónicos: a) Los actos o negocios en los que, por mandato legal, la fijación sica resulte consustancial. b) Las disposiciones por causa de muerte. c) Los actos y convenios rela vos al Derecho de familia. d) Los actos personalísimos en general. ARTÍCULO 6.– GesƟón y conservación de documentos electrónicos Cuando legalmente se requiera que un documento sea conservado para futura referencia, se podrá optar por hacerlo en soporte electrónico, siempre que se apliquen las medidas de seguridad necesarias para garan zar su inalterabilidad, se posibilite su acceso o consulta posterior y se preserve, además, la información rela va a su origen y otras caracterís cas básicas. La transición o migración a soporte electrónico, cuando se trate de registros, archivos o respaldos que por ley deban ser conservados, deberá contar, previamente, con la autorización de la autoridad competente. En lo rela vo al Estado y sus ins tuciones, se aplicará la Ley del Sistema Nacional de Archivos, N.° 7202, de 24 de octubre de 1990. La Dirección General del Archivo Nacional dictará las regulaciones necesarias para asegurar la ges ón debida y conservación de los documentos, mensajes o archivos electrónicos. 19 Ley de cer ficados, firmas digitales y documentos electrónicos N° 8454 ARTÍCULO 7.– SaƟsfacción de los requisitos fiscales Cuando la emisión de un acto o la celebración de un negocio jurídico en soporte electrónico conlleve el pago de requisitos fiscales, el obligado al pago deberá conservar el comprobante respec vo y exhibirlo cuando una autoridad competente lo requiera. 20 Ley de cer ficados, firmas digitales y documentos electrónicos N° 8454 CAPÍTULO III FIRMAS DIGITALES ARTÍCULO 8.– Alcance del concepto En éndese por firma digital cualquier conjunto de datos adjunto o lógicamente asociado a un documento electrónico, que permita verificar su integridad, así como iden ficar en forma unívoca y vincular jurídicamente al autor con el documento electrónico. Una firma digital se considerará cer ficada cuando sea emi da al amparo de un cer ficado digital vigente, expedido por un cer ficador registrado. ARTÍCULO 9.– Valor equivalente Los documentos y las comunicaciones suscritos mediante firma digital, tendrán el mismo valor y la eficacia probatoria de su equivalente firmado en manuscrito. En cualquier norma jurídica que se exija la presencia de una firma, se reconocerá de igual manera tanto la digital como la manuscrita. Los documentos públicos electrónicos deberán llevar la firma digital cer ficada. ARTÍCULO 10.– Presunción de autoría y responsabilidad Todo documento, mensaje electrónico o archivo digital asociado a una firma digital cer ficada se presumirá, salvo prueba en contrario, de la autoría y responsabilidad del tular del correspondiente cer ficado digital, vigente en el momento de su emisión. No obstante, esta presunción no dispensa el cumplimiento de las formalidades adicionales de auten cación, cer ficación o registro que, desde el punto de vista jurídico, exija la ley para un acto o negocio determinado. 21 Ley de cer ficados, firmas digitales y documentos electrónicos N° 8454 CAPÍTULO IV CERTIFICACIÓN DIGITAL Sección I Los cerƟficados ARTÍCULO 11.– Alcance En éndese por cer ficado digital el mecanismo electrónico o digital mediante el que se pueda garan zar, confirmar o validar técnicamente: a) La vinculación jurídica entre un documento, una firma digital y una persona. b) La integridad, auten cidad y no alteración en general del documento, así como la firma digital asociada. c) La auten cación o cer ficación del documento y la firma digital asociada, únicamente en el supuesto del ejercicio de potestades públicas cer ficadoras. d) Las demás que establezca esta Ley y su Reglamento. ARTÍCULO 12.– Mecanismos Con las limitaciones de este capítulo, el Estado, las ins tuciones públicas y las empresas públicas y privadas, las personas jurídicas y los parculares, en general, en sus diversas relaciones, estarán facultados para establecer los mecanismos de cer ficación o validación que convengan a sus intereses. Para tales efectos podrán: a) U lizar mecanismos de cer ficación o validación máquina a máquina, persona a persona, programa a programa y sus interrelaciones, incluso sistemas de llave pública y llave privada, firma digital y otros mecanismos digitales que ofrezcan una óp ma seguridad. b) Establecer mecanismos de adscripción voluntaria para la emisión, la percepción y el intercambio de documentos electrónicos y firmas asociadas, en función de las competencias, los intereses y el giro comercial. 22 Ley de cer ficados, firmas digitales y documentos electrónicos N° 8454 c) De consuno, ins tuir mecanismos de cer ficación para la emisión, la recepción y el intercambio de documentos electrónicos y firmas asociadas, para relaciones jurídicas concretas. d) Instaurar, en el caso de dependencias públicas, sistemas de cer ficación por intermedio de par culares, quienes deberán cumplir los trámites de la Ley de contratación administra va. e) Fungir como un cer ficador respecto de sus despachos y funcionarios, o de otras dependencias públicas, en el caso del Estado y las demás ins tuciones públicas. f) Ofrecer, en el caso de las empresas públicas cuyo giro lo admita, servicios comerciales de cer ficación en condiciones de igualdad con las empresas de carácter privado. g) Implantar mecanismos de cer ficación para la tramitación, gesón y conservación de expedientes judiciales y administra vos. ARTÍCULO 13.– Homologación de cerƟficados extranjeros Se conferirá pleno valor y eficacia jurídica a un cer ficado digital emi do en el extranjero, en cualesquiera de los siguientes casos: a) Cuando esté respaldado por un cer ficador registrado en el país, en virtud de exis r una relación de corresponsalía en los términos del ar culo 20 de esta Ley. b) Cuando cumpla todos los requisitos enunciados en el ar culo 19 de esta Ley y exista un acuerdo recíproco en este sen do entre Costa Rica y el país de origen del cer ficador extranjero. ARTÍCULO 14.– Suspensión de cerƟficados digitales Se podrá suspender un cer ficado digital en los siguientes casos: a) Por pe ción del propio usuario a favor de quien se expidió. b) Como medida cautelar, cuando el cer ficador que lo emi ó tenga sospechas fundadas de que el propio usuario haya comprome do su confiabilidad, desatendido los lineamientos de seguridad establecidos, suplido información falsa al cer ficador u omi do cualquier otra información relevante, para obtener o renovar el 23 Ley de cer ficados, firmas digitales y documentos electrónicos N° 8454 cer ficado. En este caso, la suspensión podrá ser recurrida ante la Dirección de Cer ficadores de Firma Digital regulada en la siguiente sección, con aplicación de lo dispuesto en el ar culo 148 de la Ley General de la Administración Pública. c) Si contra el usuario se ha dictado auto de apertura a juicio, por delitos en cuya comisión se haya u lizado la firma digital. d) Por orden judicial o de la Dirección de Cer ficadores de Firma Digital. En este úl mo caso, cuando esta lo determine o cuando el Ente Costarricense de Acreditación (ECA) acredite que el usuario incumple las obligaciones que le imponen esta Ley y su Reglamento. e) Por no cancelar oportunamente el costo del servicio. ARTÍCULO 15.– Revocación de cerƟficados digitales El cer ficado digital será revocado en los siguientes supuestos: a) A pe ción del usuario, en favor de quien se expidió. b) Cuando se confirme que el usuario ha comprome do su confiabilidad, desatendido los lineamientos de seguridad establecidos, suplido información falsa al cer ficador u omi do otra información relevante, con el propósito de obtener o renovar el cer ficado. c) Por fallecimiento, ausencia legalmente declarada, interdicción o insolvencia del usuario persona sica, o por cese de ac vidades, quiebra o liquidación, en el caso de las personas jurídicas. d) Por orden de la autoridad judicial o cuando recaiga condena firme contra el usuario, por delitos en cuya comisión se haya u lizado la firma digital. ARTÍCULO 16.– Revocación por el cese de acƟvidades del cerƟficador El cese de ac vidades del cer ficador implicará la revocatoria de todos los cer ficados que haya expedido, salvo que anteriormente hayan sido traspasados a otro cer ficador, previo consen miento del usuario. 24 Ley de cer ficados, firmas digitales y documentos electrónicos N° 8454 ARTÍCULO 17.– Conservación de efectos La suspensión o revocación de un cer ficado digital no producirá, por sí sola, la invalidez de los actos o negocios realizados con anterioridad al amparo de dicho cer ficado. Sección II CerƟficadores ARTÍCULO 18.– Definición y reconocimiento jurídico Se entenderá como cer ficador la persona jurídica pública o privada, nacional o extranjera, que emite cer ficados digitales y está debidamente autorizada según esta Ley o su Reglamento; asimismo, que haya rendido la debida garan a de fidelidad. El monto de la garan a será fijado por la Dirección de Cer ficadores de Firma Digital y podrá ser hipoteca, fianza o póliza de fidelidad de un ente asegurador, o bien, un depósito en efec vo. Sin perjuicio de lo dispuesto en los ar culos 3, 9 y 19 de esta Ley, los cer ficados digitales expedidos por cer ficadores registrados ante la Dirección de Cer ficadores de Firma Digital, solo tendrán pleno efecto legal frente a terceros, así como respecto del Estado y sus ins tuciones. ARTÍCULO 19.– Requisitos, trámites y funciones La Dirección de Cer ficadores de Firma Digital será la encargada de establecer, vía reglamento, todos los requisitos, el trámite y las funciones de las personas que soliciten su registro ante esta Dirección; para ello, el ECA, a solicitud del Ministerio de Ciencia y Tecnología, deberá fijar los requerimientos técnicos para el estudio, de acuerdo con la Ley N.º 8279, de 2 de mayo de 2002, y las prác cas y los estándares internacionales. ARTÍCULO 20.– Corresponsalía Los cer ficadores registrados podrán concertar relaciones de corresponsalía con en dades similares del extranjero, para efectos de homologar los cer ficados digitales expedidos por estas en dades o que estas hagan lo propio en el exterior con los emi dos por los cer ficadores registrados. 25 Ley de cer ficados, firmas digitales y documentos electrónicos N° 8454 Se deberá informar a la Dirección de Cer ficadores de Firma Digital, acerca del establecimiento de relaciones de esta clase, de previo a ofrecer ese servicio al público. ARTÍCULO 21.– Auditorías Todo cer ficador registrado estará sujeto a los procedimientos de evaluación y auditoría que acuerde efectuar la Dirección de Cer ficadores de Firma Digital o el ECA. ARTÍCULO 22.– Cesación voluntaria de funciones Los cer ficadores registrados de carácter privado podrán cesar en sus funciones, siempre y cuando avisen, a los usuarios, con un mes de an cipación como mínimo, y con dos meses a la Dirección de Cer ficadores de Firma Digital. Sección III Administración del Sistema de CerƟficación ARTÍCULO 23.– Dirección La Dirección de Cer ficadores de Firma Digital, perteneciente al Ministerio de Ciencia y Tecnología, será el órgano administrador y supervisor del Sistema de Cer ficación. ARTÍCULO 24.– Funciones La Dirección de Cer ficadores de Firma Digital tendrá las siguientes funciones: a) Recibir, tramitar y resolver las solicitudes de inscripción de los cer ficadores. b) Llevar un registro de los cer ficadores y cer ficados digitales. c) Suspender o revocar la inscripción de los cer ficadores y de cerficados, así como ejercer el régimen disciplinario en los casos y en la forma previstos en esta Ley y su Reglamento. d) Expedir claves y cer ficados a favor de los cer ficadores registrados, y mantener el correspondiente repositorio de acceso público, con las caracterís cas técnicas que indique el Reglamento. 26 Ley de cer ficados, firmas digitales y documentos electrónicos N° 8454 e) Fiscalizar el funcionamiento de los cer ficadores registrados, para asegurar su confiabilidad, eficiencia y el cabal cumplimiento de la norma va aplicable, imponiendo, en caso necesario, las sanciones previstas en esta Ley. La supervisión podrá ser ejercida por medio del ECA, en el ámbito de su competencia. f) Mantener una página electrónica en la red Internet, a fin de divulgar, permanentemente, información rela va a las ac vidades de la Dirección de Cer ficadores de Firma Digital y el registro correspondiente de cer ficadores. g) Señalar las medidas que es me necesarias para proteger los derechos, los intereses y la confidencialidad de los usuarios, así como la con nuidad y eficiencia del servicio, y velar por la ejecución de tales disposiciones. h) Dictar el Reglamento respec vo para el registro de cer ficadores. i) Las demás funciones que esta Ley o su Reglamento le señalen. ARTÍCULO 25.– Jefatura El superior administra vo de la Dirección de Cer ficadores de Firma Digital será el director, quien será nombrado por el ministro de Ciencia y Tecnología y será un funcionario de confianza, de conformidad con el inciso g) del ar culo 4, del Estatuto de Servicio Civil. El director deberá declarar sus bienes oportunamente, de acuerdo con la Ley contra el enriquecimiento ilícito de los servidores públicos. 27 Ley de cer ficados, firmas digitales y documentos electrónicos N° 8454 CAPÍTULO V SANCIONES ARTÍCULO 26.– Sanciones a cerƟficadores Previa oportunidad de defensa, la Dirección de Cer ficadores de Firma Digital podrá imponerles, a los cer ficadores, las siguientes sanciones: a) Amonestación. b) Multa hasta por el equivalente a cien salarios base; para la denominación salario base se considerará lo indicado en el ar culo 2 de la Ley N.º 7337, de 5 de mayo de 1993. c) Suspensión hasta por un año. d) Revocatoria de la inscripción. El cer ficador a quien se le haya revocado su inscripción, no podrá volver a registrarse durante los siguientes cinco años, ya sea como tal o por medio de otra persona jurídica en la que figuren las mismas personas como representantes legales, propietarias o dueñas de más de un vein cinco por ciento (25%) del capital. ARTÍCULO 27.– Amonestación Se aplicará la amonestación, a los cer ficadores, en los siguientes casos: a) Por la emisión de cer ficados digitales que no incluyan la totalidad de los datos requeridos por esta Ley o su Reglamento, cuando la infracción no requiera una sanción mayor. b) Por no suministrar a empo los datos requeridos por la Dirección de Cer ficadores de Firma Digital, en ejercicio de sus funciones. c) Por cualquier otra infracción a la presente Ley que no tenga prevista una sanción mayor. ARTÍCULO 28.– Multa Se aplicará la multa, a los cer ficadores, en los siguientes casos: 28 Ley de cer ficados, firmas digitales y documentos electrónicos N° 8454 a) Cuando se emita un cer ficado y no se observen las polí cas de seguridad o de cer ficación previamente divulgadas, de modo que cause perjuicio a los usuarios o a terceros. b) Cuando no se suspenda o revoque, oportunamente, un cer ficado, estando obligados a hacerlo. c) Por cualquier impedimento u obstrucción a las inspecciones o auditorías por parte de la Dirección de Cer ficadores de Firma Digital o del ECA. d) Por el incumplimiento de los lineamientos técnicos o de seguridad impar dos por la Dirección de Cer ficadores de Firma Digital. e) Por la reincidencia en la comisión de infracciones, que hayan dado lugar a la sanción de amonestación, dentro de los dos años siguientes. ARTÍCULO 29.– Suspensión Se suspenderá al cer ficador que: a) No renueve oportunamente la caución que respalde su funcionamiento o la rinda en forma indebida. b) Reincida en cualesquiera de las infracciones que le hayan merecido una sanción de multa, dentro de los siguientes dos años. ARTÍCULO 30.– Revocatoria de la inscripción Se podrá revocar la inscripción de un cer ficador cuando: a) Se compruebe la expedición de cer ficados falsos. b) Se compruebe que el cer ficador suministró información o presentó documentos falsos, con el fin de obtener el registro. c) Reincida en cualesquiera de las infracciones que le hayan merecido una sanción de suspensión, dentro de los cinco años siguientes. 29 Ley de cer ficados, firmas digitales y documentos electrónicos N° 8454 ARTÍCULO 31.– Procedimiento Todas las sanciones serán impuestas mediante el procedimiento administra vo ordinario, previsto en la Ley General de la Administración Pública, salvo en el caso de amonestación, en que podrá aplicarse el procedimiento sumario. ARTÍCULO 32.– Publicidad Excepto el caso de amonestación, todas las sanciones administravas impuestas serán publicadas por medio de reseña o transcripción íntegra en La Gaceta, sin perjuicio de que, en atención al caso concreto, se disponga, además, publicarlas en uno o más medios de circulación o difusión nacional. Asimismo, la Dirección de Cer ficadores de Firma Digital dispondrá la publicación electrónica en su página de información en Internet. 30 Ley de cer ficados, firmas digitales y documentos electrónicos N° 8454 CAPÍTULO VI DISPOSICIONES FINALES Y TRANSITORIAS ARTÍCULO 33.– Reglamentación El Poder Ejecu vo reglamentará esta Ley dentro de los seis meses siguientes a su publicación. Además, para el trámite eficiente de sus asuntos, cada dependencia pública podrá adoptar las medidas par culares de aplicación de esta Ley de acuerdo con sus necesidades. TRANSITORIO ÚNICO.– Los rubros presupuestarios requeridos para que la Dirección de Cer ficadores de Firma Digital entre en funcionamiento, deberán ser incluidos por el Ministerio de Hacienda, a propuesta del Ministerio de Ciencia y Tecnología, en el primer presupuesto remi do a la Asamblea Legisla va, después de promulgada esta Ley. Rige a par r de su publicación. Asamblea Legisla va.–San José, a los vein trés días del mes de agosto de dos mil cinco. COMUNÍCASE AL PODER EJECUTIVO Gerardo González Esquivel PRESIDENTE Daysi Serrano Vargas Luis Paulino Rodríguez Mena PRIMERA SECRETARIA SEGUNDO SECRETARIO daa.– Dado en la Presidencia de la República, San José, a los treinta días del mes de agosto del dos mil cinco. Ejecútese y publíquese. ABEL PACHECO DE LA ESPRIELLA FERNANDO GUTIÉRREZ ORTIZ Ministro de Ciencia y Tecnología 31 ZĞŐůĂŵĞŶƚŽĂůĂůĞLJĚĞĐĞƌƟĮĐĂĚŽƐ͕ ĮƌŵĂƐĚŝŐŝƚĂůĞƐLJĚŽĐƵŵĞŶƚŽƐ ĞůĞĐƚƌſŶŝĐŽƐ Reglamento a la ley de cer ficados, firmas digitales y documentos electrónicos Nº 33018 EL PRESIDENTE DE LA REPÚBLICA Y EL MINISTRO DE CIENCIA Y TECNOLOGÍA Con fundamento en lo dispuesto en los ar culos 140, incisos 3) y 18) y 146 de la Cons tución Polí ca; y el ar culo 33 de la Ley de Cer ficados, Firmas Digitales y Documentos Electrónicos, Nº 8454 del 30 de agosto del 2005. Considerando: 1º– Que la sociedad de la información y del conocimiento se debe construir sobre la base de la confianza de los ciudadanos y sobre la garan a de la u lización de las tecnologías de la información y las comunicaciones en un doble plano: la protección y confidencialidad de los datos de carácter personal y la seguridad de las transacciones electrónicas. 2º– Que la Ley Nº 8454, Ley de Cer ficados, Firmas Digitales y Documentos Electrónicos, establece el marco jurídico general para la u lización transparente, confiable y segura en nuestro medio de los documentos electrónicos y la firma digital en las en dades públicas y privadas. 3º– Que el ar culo 33 de dicha ley establece que el Poder Ejecu vo deberá reglamentarla ley en un plazo de 6 meses, regulación que debe servir para garan zar la disponibilidad de los sistemas e infraestructuras telemá cas, la seguridad y auten cidad de las transacciones, así como la confidencialidad e integridad de la información. Por tanto, DECRETAN: Reglamento a la Ley de CerƟficados, Firmas Digitales y Documentos Electrónicos CAPÍTULO PRIMERO Disposiciones generales Ar culo 1º– Propósito. El presente texto servirá para reglamentar y dar cumplida ejecución a la Ley de Cer ficados, Firmas Digitales y Documentos Electrónicos, número 8454 del 30 de agosto del 2005. Tendrá 35 Reglamento a la ley de cer ficados, firmas digitales y documentos electrónicos el carácter y la jerarquía de reglamento general, en los términos del arculo 6.1.d) de la Ley General de la Administración Pública, frente a los demás reglamentos par culares o autónomos en la materia. Ar culo 2º– Definiciones. Para los efectos del presente Reglamento, se entenderá por: 1) AUTENTICACIÓN: Verificación de la iden dad de un individuo. a. En el proceso de registro, es el acto de evaluar las credenciales de la en dad final (por ejemplo, un suscriptor) como evidencia de que realmente es quien dice ser. b. Durante el uso, es el acto de comparar electrónicamente las credenciales y la iden dad enviada (Ej., código de usuario y contraseña, cer ficado digital, etc.) con valores previamente almacenados para comprobar la iden dad. 2) AUTENTICACIÓN MUTUA: Proceso mediante el cual dos en dades verifican su iden dad en forma recíproca. 3) AUTENTICIDAD: La veracidad, técnicamente constatable, de la iden dad del autor de un documento o comunicación. La auten cidad técnica no excluye el cumplimiento de los requisitos de auten cación o cer ficación que desde el punto de vista jurídico exija la ley para determinados actos o negocios. 4) AUTORIDAD DE REGISTRO (AR): En dad delegada por el cerficador registrado para la verificación de la iden dad de los solicitantes y otras funciones dentro del proceso de expedición y manejo de cer ficados digitales. Representa el punto de contacto entre el usuario y el cer ficador registrado. 5) BITÁCORAS DE AUDITORIA: Registro cronológico de las ac vidades del sistema, que son suficientes para habilitar la reconstrucción, revisión, y la inspección de la secuencia del entorno y las ac vidades secundarias o primarias para cada evento en la ruta de una transacción desde su inicio hasta la salida del resultado final. 36 Reglamento a la ley de cer ficados, firmas digitales y documentos electrónicos 6) CERTIFICACIÓN: Proceso de creación de un cer ficado de llave pública para un suscriptor. 7) CERTIFICADO DIGITAL: Una estructura de datos creada y firmada digitalmente por un cer ficador, del modo y con las caracterís cas que señalan este Reglamento, la Norma INTE /ISO 21188 versión vigente y las polí cas que al efecto emita la DCFD, cuyo propósito primordial es posibilitar a sus suscriptores la creación de firmas digitales, así como la iden ficación personal en transacciones electrónicas. Sin perjuicio del concepto anterior, la DCFD podrá autorizar a los cer ficadores registrados la generación de cer ficados con propósitos diferentes o adicionales a los indicados. (Así reformado el inciso anterior por el ar culo 1° del decreto ejecu vo N° 34890 del 27 de octubre de 2008) 8) CERTIFICADO SUSPENDIDO: Cesación temporal o interrupción de la validez de un cer ficado. 9) CERTIFICADO VÁLIDO: Se refiere a aquel cer ficado que se encuentra ac vo, que ha sido emi do por un cer ficador registrado. 10) CERTIFICADOR: La persona jurídica pública o privada, nacional o extranjera, prestadora del servicio de creación, emisión y operación de cer ficados digitales. 11) CERTIFICADOR RAÍZ: El nodo superior autocer ficante de la jerarquía nacional de cer ficadores registrados. 12) CERTIFICADOR REGISTRADO: El cer ficador inscrito y autorizado por la Dirección de Cer ficadores de Firma Digital. 13) CERTIFICADOR PADRE: Cer ficador registrado que se encuentra en la posición inmediata superior con respecto a otro cer ficador registrado, en la jerarquía de cer ficadores. 37 Reglamento a la ley de cer ficados, firmas digitales y documentos electrónicos 14) CERTIFICADOR SUBORDINADO: Cer ficador registrado que se encuentra en la posición inmediata inferior con respecto a otro cer ficador registrado, en la jerarquía de cer ficadores. 15) COMPROMISO: Violación de la seguridad de un sistema, por haber ocurrido una divulgación no autorizada de información sensible. 16) CONTROL MÚLTIPLE: Condición mediante la cual dos o más partes, separada y confidencialmente, enen la custodia de los componentes de una llave par cular, pero que individualmente no enen conocimiento de la llave resultante. 17) DATOS DE ACTIVACIÓN: Valores de datos (que no son las llaves), que son requeridos para operar los módulos criptográficos y que necesitan ser protegidos (ejemplo: PINs, frase clave, biométricos o llaves distribuidas manualmente). 18) DECLARACIÓN DE LAS PRÁCTICAS DE CERTIFICACIÓN (DPC): Declaración de las prác cas que u liza el cer ficador para la emisión de los cer ficados (define el equipo, las polí cas y los procedimientos que el cer ficador u liza para sa sfacer los requerimientos especificados en las polí cas del cer ficado que son soportados por él). 19) DIRECCIÓN DE CERTIFICADORES DE FIRMA DIGITAL (DCFD): Dependencia del Ministerio de Ciencia y Tecnología, encargada de la administración y supervisión del sistema de cer ficación digital. 20) DISPOSITIVO O MODULO SEGURO DE CREACION DE FIRMAS (MSCF): Disposi vo que resguarda las claves y el cer ficado de un suscriptor, u lizado para generar su firma digital y que, al menos, garan za: a. Que los datos u lizados para la generación de la firma solo pueden producirse una vez en la prác ca y se garanza razonablemente su confidencialidad; 38 Reglamento a la ley de cer ficados, firmas digitales y documentos electrónicos b. Que existe una expecta va razonable de que los datos u lizados para la generación de la firma no pueden ser descubiertos por deducción y la firma está protegida contra falsificación por medio de la tecnología disponible a la fecha, siendo posible detectar cualquier alteración posterior; y, c. Que los datos empleados en la generación de la firma pueden ser protegidos de modo fiable por el firmante legí mo, contra su u lización por cualesquiera terceros. 21) DOCUMENTO ELECTRÓNICO: Cualquier manifestación con carácter representa vo o declara vo, expresada o transmi da por un medio electrónico o informá co. 22) ENTE COSTARRICENSE DE ACREDITACIÓN (ECA): La dependencia pública a que se refiere la “Ley del Sistema Nacional para la Calidad”, número 8279 de 2 de mayo del 2002. 23) ENTIDAD FINAL: Suscriptor del cer ficado. 24) FIRMA DIGITAL: Conjunto de datos adjunto o lógicamente asociado a un documento electrónico, que permita verificar su integridad, así como iden ficar en forma unívoca y vincular jurídicamente al autor con el documento. 25) FIRMA DIGITAL CERTIFICADA: Una firma digital que haya sido emi da al amparo de un cer ficado digital válido y vigente, expedido por un cer ficador registrado. 26) INFRAESTRUCTURA DE LLAVE PÚBLICA (PKI por sus siglas en inglés): Se refiere a una estructura de hardware, so ware, personas, procesos y polí cas que emplean tecnología de firma digital para proveer una asociación verificable entre una llave pública y un suscriptor específico que posee la llave privada correspondiente. 27) INTEGRIDAD: Propiedad de un documento electrónico que denota que su contenido y caracterís cas de iden ficación han 39 Reglamento a la ley de cer ficados, firmas digitales y documentos electrónicos permanecido inalterables desde el momento de su emisión, o bien que –habiendo sido alterados posteriormente– lo fueron con el consen miento de todas las partes legi madas. 28) LEY: La Ley de Cer ficados, Firmas Digitales y Documentos electrónicos, Ley número 8454 del 30 de agosto del 2005. 29) LGAP: La Ley General de la Administración Pública. 30) LINEAMIENTOS TÉCNICOS: El conjunto de definiciones, requisitos y regulaciones de carácter técnico–informá co, contenido en la Norma INTE /ISO 21188 versión vigente y en las polí cas que al efecto emita la DCFD. (Así reformado el inciso anterior por el ar culo 1° del decreto ejecu vo N° 34890 del 27 de octubre de 2008) 31) LRC: Lista de revocación de cer ficados. 32) MECANISMO EN LÍNEA PARA VERIFICAR EL ESTADO DEL CERTIFICADO: Mecanismo mediante el cual se permite a las partes que con an, consultar y obtener, la información del estado de un cer ficado sin requerir para ello el uso de una LRC. 33) OFICINA DE TARJETAS (card bureau): Agente del cer ficador registrado o de la autoridad de registro que personaliza la tarjeta de circuito integrado (o tarjeta inteligente), que con ene la llave privada del suscriptor (como mínimo). 34) PARTE CONFIANTE: Se refiere a las personas sicas, equipos, servicios o cualquier otro ente que con a en la validez de un cer ficado emi do por un cer ficador específico. 35) POLÍTICAS DEL CERTIFICADO (PC): Conjunto de reglas que indican la aplicabilidad del cer ficado a una comunidad par cular y/o clase de aplicaciones con los requerimientos comunes de seguridad. 40 Reglamento a la ley de cer ficados, firmas digitales y documentos electrónicos 36) PROTOCOLO EN LÍNEA PARA DETERMINAR EL ESTADO DEL CERTIFICADO (OCSP POR SUS SIGLAS EN INGLÉS): Protocolo suplementario para determinar el estado actual de un cer ficado. 37) RECUPERACIÓN DE LLAVES: Capacidad de restaurar la llave privada de una en dad a par r de un almacenamiento seguro, en el caso de que se pierda, corrompa o que por cualquier otra razón se convierta en no u lizable. 38) RE–EMISIÓN DE LLAVES DEL CERTIFICADO: Proceso por medio del cual una en dad con un par de llaves y un cer ficado previamente emi dos, luego de la generación de un nuevo par de llaves, recibe un nuevo cer ficado y una nueva llave pública. 39) REGLAMENTO: Este Reglamento. 40) RENOVACIÓN DEL CERTIFICADO: Proceso donde una en dad emite una nueva instancia de un cer ficado existente, con un nuevo período de validez. 41) REPOSITORIO: Sistema de almacenamiento y distribución de cer ficados e información relacionada (Ej., almacenamiento y distribución de cer ficados, almacenamiento y recuperación de polí cas de cer ficación, estado del cer ficado, etc.). 42) ROL DE CONFIANZA: Función de trabajo que permite ejecutar labores crí cas. Si dichas labores se ejecutan de una forma insa sfactoria puede ocurrir un impacto adverso, que dará como resultado una degradación en la confianza que provee el cer ficador. 43) SELLO DE GARANTÍA (tamper evident): Caracterís cas de un disposi vo que proveen evidencia de que exis ó un intento de ataque sobre él. 44) SERVICIOS DE VALIDACIÓN DE CERTIFICADOS: Servicios provistos por el cer ficador registrado o sus agentes que ejecutan la tarea de confirmar la validez del cer ficado a una tercera parte que con a. 41 Reglamento a la ley de cer ficados, firmas digitales y documentos electrónicos 45) SUSCRIPTOR: La persona sica a cuyo favor se emite un cer ficado digital y que lo emplea para los propósitos señalados en el inciso 7) anterior, en conjunto con las claves, contraseñas y/o disposi vos necesarios al efecto y de cuya custodia es responsable. 46) VERIFICACIÓN DE FIRMA: Con relación a la firma digital, significa determinar con precisión: (1) que la firma ha sido creada durante el período operacional de un cer ficado válido, u lizando la llave pública listada en el cer ficado; y, (2) que el mensaje no ha sido alterado desde que la firma fue creada. Ar culo 3º– Aplicación al Estado. A los efectos del párrafo segundo del ar culo 1º de la Ley, los Supremos Poderes, el Tribunal Supremo de Elecciones, los demás órganos cons tucionales y todas las en dades públicas podrán adoptar separadamente las disposiciones par culares que requiera su ámbito específico de competencia o la prestación del servicio público, incluyendo la posibilidad de fungir como cer ficador respecto de sus funcionarios. Ar culo 4º– Incen vo de los mecanismos de gobierno electrónico. Con excepción de aquellos trámites que necesariamente requieran la presencia sica del ciudadano, o que éste opte por realizarlos de ese modo, el Estado y todas las dependencias públicas incen varán el uso de documentos electrónicos, cer ficados y firmas digitales para la prestación directa de servicios a los administrados, así como para facilitar la recepción, tramitación y resolución electrónica de sus ges ones y la comunicación del resultado correspondiente. En la emisión de los reglamentos par culares a que se refieren los ar culos 2º, inciso c) y 33 de la Ley, todas las dependencias públicas procurarán ajustar sus disposiciones a los principios de neutralidad tecnológica e interopera vidad. En ningún caso se impondrán exigencias técnicas o jurídicas que impidan o dificulten injus ficadamente la interacción con las oficinas públicas por medio de firmas o cer ficados digitales emi dos por un cer ficador registrado. En lo rela vo a la conservación de los documentos electrónicos, así como la migración de documentos de soporte sico a electrónico, se aplicará lo dispuesto en el ar culo 6º de la Ley. 42 Reglamento a la ley de cer ficados, firmas digitales y documentos electrónicos CAPÍTULO SEGUNDO CerƟficados Digitales Ar culo 5°– Contenido y caracterís cas. El contenido, condiciones de emisión, suspensión, revocación y expiración de los cer ficados digitales, serán los que se señalan en la Norma INTE /ISO 21188 versión vigente y las polí cas que al efecto emita la DCFD. (Así reformado por el ar culo 1° del decreto ejecu vo N° 34890 del 27 de octubre de 2008) Ar culo 6°– Tipos de cer ficados. La DCFD establecerá los pos de cer ficados que podrán emi r los cer ficadores, con estricto apego a las normas técnicas y estándares internacionales aplicables que promuevan la interoperabilidad con otros sistemas. En el caso de los cer ficados digitales que vayan a ser u lizados en procesos de firma digital y de auten cación de la iden dad, los cer ficadores necesariamente deberán: 1) U lizar al menos un proceso de verificación y registro presencial (cara a cara) de sus suscriptores. (Así reformado el inciso anterior por el ar culo 1° del decreto ejecu vo N° 34890 del 27 de octubre de 2008) 2) Guardar copia de la documentación u lizada para verificar la iden dad de la persona. 3) Registrar de forma biométrica (fotogra a, huellas digitales, etc.) al suscriptor a quién le será emi do un cer ficado. 4) Requerir el uso de módulos seguros de creación de firma, con cer ficación de seguridad que se indique conforme a las normas internacionales y a las Polí cas establecidas por la DCFD. (Así reformado el inciso anterior por el ar culo 1° del decreto ejecu vo N° 34890 del 27 de octubre de 2008) 5) Establecer un contrato de suscripción detallando el nivel de servicio que ofrece y los deberes y responsabilidades de las partes. 43 Reglamento a la ley de cer ficados, firmas digitales y documentos electrónicos 6) La DCFD podrá establecer cualquier otro requisito que considere per nente, en tanto emisor y gestor de polí cas del sistema de firma digital. Ar culo 7º– Obligaciones de los usuarios. Para los efectos de los ar culos 14, inciso d) y 15 de la Ley, todos los suscriptores del sistema de cer ficados y firmas digitales estarán obligados a: 1) Suministrar a los cer ficadores la información veraz, completa y actualizada que éstos requieran para la prestación de sus servicios. 2) Resguardar estrictamente la confidencialidad de la clave, contraseña o mecanismo de iden ficación que se les haya asignado con ese carácter, informando inmediatamente al cer ficador en caso de que dicha confidencialidad se vea o se sospeche que haya sido comprome da. 3) Acatar las recomendaciones técnicas y de seguridad que le señale el correspondiente cer ficador. Ar culo 8°– Plazo de suspensión de cer ficados. Cuando un cer ficado digital deba ser suspendido por incurrir en alguna de las causales establecidas en el ar culo 14 de la Ley , éste será revocado y, una vez desaparecido el mo vo de suspensión, se procederá a la emisión de un nuevo cer ficado. (Así reformado por el ar culo 1° del decreto ejecu vo N° 34890 del 27 de octubre de 2008) Ar culo 9º– Revocación por cese de ac vidades. Para los efectos del ar culo 16 de la Ley, en el caso del cese de ac vidades de un cer ficador, éste mismo –o la DCFD en su defecto– ges onarán el traslado de la cartera de suscriptores que así lo hayan consen do a otro cer ficador, que expedirá los nuevos cer ficados. 44 Reglamento a la ley de cer ficados, firmas digitales y documentos electrónicos CAPÍTULO TERCERO CerƟficadores Ar culo 10.– Reconocimiento jurídico. Solo tendrán pleno efecto legal frente a terceros, así como respecto del Estado y sus ins tuciones, los cer ficados digitales expedidos por cer ficadores registrados ante la Dirección de Cer ficadores de Firma Digital. Las firmas y cer ficados emi dos dentro o fuera del país que no cumplan con esa exigencia no sur rán efectos por sí solos, pero podrán ser empleados como elemento de convicción complementario para establecer la existencia y alcances de un determinado acto o negocio. Ar culo 11.– Comprobación de idoneidad técnica y administra va. Para obtener la condición de cer ficador registrado, se requiere poseer idoneidad técnica y administra va, que serán valoradas por el ECA, de conformidad con los lineamientos técnicos establecidos en las Normas INTE–ISO/IEC 17021 e INTE/ISO 21188 versión vigente, las polí cas fijadas por la DCFD y los restantes requisitos que esa dependencia establezca, de acuerdo con su norma va específica. A fin de cumplir con lo establecido en el párrafo anterior, el cer ficador contará con el plazo de un año contado a par r de la fecha en que se le otorgó el registro por parte de la DCFD , con el propósito de lograr la acreditación respec va por parte del ECA. Si en el plazo señalado no lograra obtener la acreditación, se le cancelará su registro por parte de la DCFD y no podrá ser registrado nuevamente hasta tanto no presente la acreditación del ECA. (Así reformado por el ar culo 1° del decreto ejecu vo N° 34890 del 27 de octubre de 2008) Ar culo 12.– Formalidades de la solicitud. La solicitud de inscripción del cer ficador se presentará debidamente auten cada ante la DCFD y deberá incluir la siguiente información: 1) Nombre o razón social de la solicitante, número de cédula de persona jurídica, domicilio y dirección postal, así como los correspondientes números telefónicos y de fax (si lo tuviera), su si o Web en Internet y al menos una dirección de correo electrónico para la recepción de comunicaciones de la DCFD. En el caso de los sujetos privados, deberá adjuntar además una cer - 45 Reglamento a la ley de cer ficados, firmas digitales y documentos electrónicos ficación de personería jurídica con no menos de un mes de expedida, o el acuerdo de nombramiento debidamente cer ficado, en el caso de los funcionarios públicos. Dicho documento deberá acreditar, en el primer supuesto, que la persona jurídica se encuentra debidamente cons tuida de acuerdo con la ley y en pleno goce y ejercicio de su capacidad jurídica. (Así reformado el inciso el anterior por el ar culo 1° del decreto ejecu vo N° 34890 del 27 de octubre de 2008) 2) Iden ficación completa de la persona o personas que fungirán como responsables administra vos del cer ficador ante la DCFD. Ésta o éstas necesariamente serán los firmantes de la gesón y ostentarán la representación legal u oficial de la solicitante. (Así reformado el inciso el anterior por el ar culo 1° del decreto ejecu vo N° 34890 del 27 de octubre de 2008) 3) Iden ficación completa de la persona o personas que fungirán como responsables técnicos del cer ficador, si no fueren las mismas del punto anterior. Se entenderá por tales a la persona o personas que recibirán y custodiarán las claves, contraseñas y/o mecanismos de iden ficación asignados al cer ficador y que podrán firmar digitalmente en su nombre. 4) La dirección sica precisa del establecimiento o local desde el cual se realizará la ac vidad de cer ficación digital. 5) Documentación en la cual se demuestre a juicio de la DCFD , que cuenta con los requisitos para brindar el servicio de cer ficación digital (con personal calificado, con los conocimientos y experiencia necesarios para las labores que realizan, procedimientos de seguridad y de ges ón apropiados, así como la infraestructura adecuada para realizar las ac vidades de cer ficación digital, todo acorde a los requerimientos de las normas INTE/ISO 21188 versión vigente, INTE–ISO/IEC 17021 versión vigente, así como a las polí cas dictadas por la DCFD ). (Así reformado el inciso el anterior por el ar culo 1° del decreto ejecu vo N° 34890 del 27 de octubre de 2008) 6) Cer ficación de composición y propiedad del capital social, si la solicitante fuera una sociedad mercan l. 46 Reglamento a la ley de cer ficados, firmas digitales y documentos electrónicos 7) (Derogado este inciso por el ar culo 3° del decreto ejecu vo N° 34890 del 27 de octubre de 2008) Ar culo 13.– Caución. Los sujetos privados deberán rendir una caución que será u lizada para responder por las eventuales consecuencias civiles, contractuales y extracontractuales de su ac vidad. Esta caución será rendida preferiblemente por medio de una póliza de fidelidad expedida por el Ins tuto Nacional de Seguros. El monto –de acuerdo con la Ley– será fijado por la DCFD en consulta con el Ins tuto Nacional de Seguros, tomando en consideración los riesgos y responsabilidades inherentes en la labor de cer ficación digital. (Así reformado el párrafo anterior por el ar culo 1° del decreto ejecu vo N° 34890 del 27 de octubre de 2008) Cuando la caución esté sujeta a vencimiento, necesariamente deberá ser renovada por el interesado al menos dos meses antes de la fecha de expiración. Ar culo 14.– Tramite de la solicitud. Recibida la solicitud de inscripción, la DCFD procederá a: 1) Apercibir al interesado en un plazo no mayor de diez días hábiles y por una única vez sobre cualquier falta u omisión que deba ser subsanada, así como la necesidad de ampliar la documentación que se indica en el inciso 5 de ar culo 12 de este reglamento, para dar inicio a su trámite. Al efecto, se aplicará lo dispuesto en la “Ley de Protección al Ciudadano del Exceso de Requisitos y Trámites Administra vos”, número 8220 de 4 de marzo del 2002; y –en cuanto fuere necesario– lo dispuesto en el ar culo 340 de la LGAP. 2) Posteriormente, la DCFD estará facultada para que en caso necesario proceda a realizar una visita al domicilio donde se realizará la ac vidad de cer ficación digital, con el fin de constatar la veracidad de lo indicado en los documentos aportados por el solicitante. 3) En caso de resultar favorable la solicitud y resueltas las oposiciones que se indican en el ar culo 15 de este Reglamento a favor del solicitante, se le prevendrá para que en el plazo de cinco días hábiles presente el comprobante de pago de la caución señalada en el ar culo 13 anterior. 47 Reglamento a la ley de cer ficados, firmas digitales y documentos electrónicos (Así reformado por el ar culo 1° del decreto ejecu vo N° 34890 del 27 de octubre de 2008) Ar culo 15.– Oposiciones. Tramitada la solicitud ante la DCFD , ésta le entregará un resumen al solicitante, el cual deberá ser publicado en el Diario Oficial La Gaceta , sin perjuicio de que la DCFD lo haga también en los medios electrónicos establecidos en la Ley y este Reglamento. Dentro de los cinco días hábiles siguientes a la publicación, quien se sin ere legí mamente perjudicado por la solicitud planteada, deberá comunicarlo a la DCFD, presentando todas las pruebas per nentes. En tal caso, la DCFD conferirá audiencia al interesado por un plazo de cinco días hábiles para que se refiera a los hechos planteados. Una vez vencido el plazo indicado y resueltas las posibles oposiciones, se le prevendrá al solicitante a fin de que aporte el pago respec vo de la caución indicada en el ar culo 13 de este Reglamento. No se aplicará lo dispuesto en este ar culo cuando la ges ón corresponda a una dependencia pública. (Así reformado por el ar culo 1° del decreto ejecu vo N° 34890 del 27 de octubre de 2008) Ar culo 16.– Resolución. Cumplido lo dispuesto en el ar culo anterior, la DCFD resolverá lo que corresponda –incluyendo las oposiciones formuladas, si las hubiere– en un plazo no mayor de quince días, por medio de resolución fundada que no ficará a los interesados. Si el acuerdo fuera favorable, se publicará a través de los medios electrónicos previstos en la Ley y este Reglamento. Ar culo 17.– Silencio posi vo. La ges ón que no haya sido resuelta dentro del plazo que señala el ar culo precedente se entenderá aprobada. Ar culo 18.– Recursos. Contra lo resuelto por la DCFD, se admi rá el recurso de reposición, aplicándose al efecto lo dispuesto en los ar culos 346, siguientes y concordantes, de la LGAP. Ar culo 19.– Funciones. Los cer ficadores registrados tendrán las siguientes atribuciones y responsabilidades: 1) Expedir las claves, contraseñas o disposi vos de iden ficación a sus suscriptores, en condiciones seguras y previa verificación 48 Reglamento a la ley de cer ficados, firmas digitales y documentos electrónicos fehaciente de su iden dad. Lo mismo hará respecto de sus cerficadores subordinados cuando los hubiere, los cuales también deberán registrarse ante la DCFD. El cer ficador no podrá copiar o conservar información rela va a la clave privada de firma digital de un suscriptor y deberá abstenerse de tomar conocimiento o acceder a ella bajo ninguna circunstancia. 2) Llevar un registro completo y actualizado de todos sus suscriptores, para lo cual les requerirá la información necesaria. En el caso de los cer ficadores, comerciales, no se solicitará de sus clientes más información personal que la que sea estrictamente necesaria, quedando obligados a mantenerla bajo estricta confidencialidad, con la salvedad prevista en el inciso úl mo de este ar culo. 3) Expedir el cer ficado digital que respalde la firma digital de los suscriptores de sus servicios y de sus cer ficadores subordinados, así como suspenderlo o revocarlo bajo las condiciones previstas en la Ley y este Reglamento. 4) Prestar los servicios ofrecidos a sus suscriptores, en estricta conformidad con las polí cas de cer ficación que haya comunicado al público y que hayan sido aprobados por la DFCD. 5) Conservar la información y registros rela vos a los cer ficados que emitan, durante no menos de diez años contados a par r de su expiración o revocación. En caso de cese de ac vidades, la información y registros respec vos deberán ser remi dos a la DCFD, quien dispondrá lo rela vo a su adecuada conservación y consulta. 6) Mantener un repositorio electrónico, permanentemente accesible en línea y publicado en internet para posibilitar la consulta de la información pública rela va a los cer ficados digitales que haya expedido y de su estado actual, de la manera que se indique en la Norma INTE /ISO 21188 versión vigente y en los lineamientos que sobre el par cular dicte la DCFD. (Así reformado el inciso anterior por el ar culo 1° del decreto ejecu vo N° 34890 del 27 de octubre de 2008) 7) Suministrar, con arreglo a las disposiciones cons tucionales y legales per nentes, la información que las autoridades competen- 49 Reglamento a la ley de cer ficados, firmas digitales y documentos electrónicos tes soliciten con relación a sus suscriptores y a los cer ficados que les hayan sido expedidos. 8) Impar r lineamientos técnicos y de seguridad a los suscriptores y cer ficadores subordinados, con base en los que a su vez dicte la DCFD. 9) Acatar las instrucciones y directrices que emita la DCFD para una mayor seguridad o confiabilidad del sistema de firma digital. (Así reformado el inciso anterior por el ar culo 1° del decreto ejecu vo N° 34890 del 27 de octubre de 2008) 10) Rendir a la DCFD los informes y datos que ésta requiera para el adecuado desempeño de sus funciones y comunicarle a la mayor brevedad cualquier otra circunstancia relevante que pueda impedir o comprometer su ac vidad. Ar culo 20.– Divulgación de datos. En adición al repositorio en línea a que se refiere el ar culo previo, todo cer ficador registrado deberá mantener un si o o página electrónica en Internet, de alta disponibilidad y protegida con esquemas de seguridad razonables para impedir su subplantación, por medio del cual suministre permanentemente al público al menos los datos siguientes, empleando un lenguaje fácilmente comprensible y en idioma español: 1) Su nombre, dirección sica y postal, número(s) telefónico(s) y de fax (si lo tuviera), así como un mecanismo de contacto por medio de correo electrónico. 2) Los datos de inscripción ante la DCFD y su estado actual (ac vo o suspendido). 3) Las polí cas de cer ficación que aplica y que son respaldados y aprobados por la DCFD 4) El resultado final más reciente de evaluación o auditoría de sus servicios, efectuada por el Ente Costarricense de Acreditación. 5) Cualesquiera restricciones establecidas por la DCFD. 6) Cualquier otro dato de interés general que disponga la Ley, este Reglamento o la DCFD. 50 Reglamento a la ley de cer ficados, firmas digitales y documentos electrónicos Ar culo 21.– Corresponsalías. Al informar a la DCFD sobre el establecimiento de relaciones de corresponsalía conforme al ar culo 20 de la Ley, se deberá especificar si la homologación de cer ficados expedidos por cer ficadores extranjeros está o no sujeta a alguna clase de restricción o salvedad y, caso afirma vo, en qué consiste. Lo mismo se hará al momento de ofrecer este servicio al público. Ar culo 22.– Actualización permanente de datos. Los cer ficadores deberán mantener permanentemente actualizada la información que requieran la DCFD y el ECA para el cumplimiento de sus funciones. Cualquier cambio de domicilio sico o electrónico, o de cualquier otro dato relevante, deberá ser comunicado de inmediato a ambas ins tuciones. (Así reformado por el ar culo 1° del decreto ejecu vo N° 34890 del 27 de octubre de 2008) 51 Reglamento a la ley de cer ficados, firmas digitales y documentos electrónicos CAPÍTULO CUARTO Dirección de CerƟficadores de Firma Digital Ar culo 23.– Responsabilidad. La Dirección de Cer ficadores de Firma Digital – perteneciente al Ministerio de Ciencia y Tecnología– será el órgano administrador y supervisor del sistema nacional de cer ficación digital. Tendrá el carácter de órgano de desconcentración máxima y las resoluciones dictadas en los asuntos de su competencia agotarán la vía administra va. La DCFD tendrá, de pleno derecho, el carácter de cer ficador raíz. No obstante, para garan zar una óp ma efec vidad en el cumplimiento de esta función, podrá ges onar el apoyo de otro órgano, en dad o empresa del Estado, a los efectos de que supla la infraestructura material y el personal idóneo necesarios para operar la raíz, debiendo acreditar la operación técnica de la misma ante el ECA, para lo cual tendrá un plazo de un año a par r de que la misma entre en operación completa. (Así reformado el párrafo anterior por el ar culo 1° del decreto ejecu vo N° 34890 del 27 de octubre de 2008) Ar culo 24.– Funciones. La Dirección de Cer ficadores de Firma Digital (DCFD tendrá las funciones que señala la Ley. El registro de cer ficados digitales a que se refiere el inciso b) del ar culo 24 de la Ley tendrá un contenido y propósitos puramente cuan ta vos y estadís cos. La DCFD tendrá la responsabilidad de definir polí cas y requerimientos para el uso de cer ficados digitales que deberán ser especificados en una Polí ca de Cer ficados o acuerdos complementarios; en especial la DCFD será el emisor y el gestor de las polí cas para el Sistema de Cerficadores de Firma Digital. (Así reformado el párrafo anterior por el ar culo 1° del decreto ejecu vo N° 34890 del 27 de octubre de 2008) Dentro de sus ac vidades, la DCFD procurará realizar programas de difusión en materia de Firma Digital, así como en la media de sus posibilidades establecer enlaces de cooperación con organismos o programas internacionales relacionados con esta materia. (Así reformado el párrafo anterior por el ar culo 1° del decreto ejecu vo N° 34890 del 27 de octubre de 2008) 52 Reglamento a la ley de cer ficados, firmas digitales y documentos electrónicos Ar culo 25.– Cooperación interins tucional. Se autoriza a las ins tuciones del Estado para presupuestar y girar recursos, en la medida de sus posibilidades jurídicas y materiales, a fin de contribuir a lograr los obje vos de la DCFD. Ar culo 26.– Jefatura. El superior administra vo de la DCFD será el Director, quien será nombrado por el Ministro de Ciencia y Tecnología y será un funcionario de confianza, de conformidad con el inciso g) del ar culo 4, del Estatuto de Servicio Civil. El Director deberá declarar sus bienes oportunamente, de conformidad con lo establecido en la Ley Contra la Corrupción y el Enriquecimiento Ilícito en la Función Pública. (Así reformado el párrafo anterior por el ar culo 1° del decreto ejecu vo N° 34890 del 27 de octubre de 2008) Quien sea designado Director deberá reunir los siguientes requisitos: 1) Poseer un tulo universitario per nente al cargo, con grado mínimo de licenciatura. 2) Tener experiencia profesional demostrable en el tema. 3) Estar incorporado al respec vo colegio profesional y al día en sus obligaciones con éste. 4) Los demás que establezca el manual de clasificación y puestos del Ministerio de Ciencia y Tecnología. Ar culo 27.– Régimen interior. El régimen de servicio al que estará sujeto el personal de la DCFD será el establecido en el reglamento autónomo de servicio del Ministerio de Ciencia y Tecnología, que se aplicará también al Director en lo que legalmente sea procedente. Ar culo 28.– Comité Asesor de Polí cas. El Director de la DCFD contará con la asesoría de un comité de polí cas, integrado por representantes de los siguientes órganos y en dades: 1) Banco Central de Costa Rica; 2) Tribunal Supremo de Elecciones; 3) Poder Ejecu vo; 4) Poder Judicial; 53 Reglamento a la ley de cer ficados, firmas digitales y documentos electrónicos 5) Consejo Nacional de Rectores (CONARE), en representación del sector académico; y, 6) Asociación Cámara Costarricense de Tecnologías de la Información y Comunicaciones (CAMTIC), en representación del sector privado. Cada una de esas dependencias designará a un representante propietario y otro suplente, por períodos de dos años, reelegibles automácamente y en forma indefinida salvo manifestación en contrario de la respec va dependencia. Deberá tratarse en todos los casos de profesionales con grado mínimo de licenciatura, graduados en materias afines y con experiencia demostrable en el tema. El cargo será desempeñado en forma ad honórem. (Así reformado el párrafo anterior por el ar culo 1° del decreto ejecu vo N° 34890 del 27 de octubre de 2008) El Comité Asesor será presidido por el Director de la DCFD. Se reunirá ordinariamente al menos una vez cada seis meses y extraordinariamente cada vez que lo convoque el Director de la DCFD o lo soliciten por escrito al menos cuatro de sus integrantes. (Así reformado el párrafo anterior por el ar culo 1° del decreto ejecu vo N° 34890 del 27 de octubre de 2008) En lo demás, el Comité ajustará su funcionamiento al régimen de los órganos colegiados previsto en la LGAP. Ar culo 29.–Funciones del Comité Asesor de Polí cas. El Comité Asesor tendrá las siguientes funciones: 1) Recomendar a la DCFD las polí cas generales de operación del sistema nacional de cer ficación digital, observando los estándares y buenas prác cas internacionales de la materia; 2) Interpretar, aclarar o adicionar esas polí cas ante las dudas o consultas de cualquier operador del sistema; 3) Evaluar y actualizar periódicamente las polí cas de operación, formulando –en caso necesario– las recomendaciones per nentes a la DCFD; y, 54 Reglamento a la ley de cer ficados, firmas digitales y documentos electrónicos 4) Aconsejar a la DCFD en cualquier otro aspecto que ésta someta a su consideración. 5) Funcionar como Comité para la preservación de la imparcialidad, conforme a los parámetros señalados en la norma INTE– ISO/IEC 17021 versión vigente. (Así adicionado el inciso anterior por el ar culo 2° del decreto ejecuvo N ° 34890 del 27 de octubre de 2008) Salvo caso de urgencia, la adopción o modificación de polí cas que afecten la operación del sistema nacional de cer ficación digital se hará previa consulta pública, en la que se invitará a las en dades públicas y privadas, organizaciones representa vas y público en general a ofrecer comentarios y sugerencias per nentes; todo conforme a los ar culos 361 y 362 de la LGAP. 55 Reglamento a la ley de cer ficados, firmas digitales y documentos electrónicos CAPÍTULO QUINTO Sanciones Ar culo 30.– Aplicación de mecanismos alterna vos de solución de conflictos. Tanto antes como durante la tramitación de los procedimientos disciplinarios por quejas o denuncias planteadas contra un cer ficador, la DCFD procurará aplicar mecanismos alterna vos de resolución de conflictos para encontrar salidas que permitan tutelar los derechos legí mos de las partes, así como la con nuidad y confiabilidad del sistema, todo conforme a la legislación aplicable. Ar culo 31.– Multas. El pago de las multas impuestas conforme al ar culo 28 de la Ley se realizará por medio de Entero de Gobierno, dentro de los diez días hábiles siguientes a la firmeza de la resolución que las imponga. El cobro de multas no canceladas oportunamente se realizará conforme a lo dispuesto en el ar culo 36 siguiente. Ar culo 32.– Suspensión. La suspensión que se aplique de acuerdo con el ar culo 29 de la Ley implicará la imposibilidad para el cer ficador sancionado de expedir nuevos cer ficados digitales o de renovar los que expiren durante el plazo de la suspensión. No afectará en nada los emidos previamente. En los casos del inciso a) del referido ar culo, si al cabo del plazo de suspensión el cer ficador persiste en no renovar debidamente la caución a pesar de la prevención que en ese sen do se le hará, se procederá conforme al ar culo 30, inciso c) de la Ley, a efectos de declarar la revocatoria de la inscripción. Ar culo 33.– Revocatoria de la inscripción. Para los efectos del arculo 30, inciso a) de la Ley, se entenderá por “cer ficado falso” aquel que no esté respaldado por una solicitud previa demostrable del correspondiente suscriptor o cuyo trámite no haya seguido los procedimientos de seguridad establecidos para la clase de cer ficado de que se trate. Ar culo 34.– Publicidad de las sanciones. Para los propósitos del ar culo 32 párrafo segundo de la Ley, la publicación electrónica de las sanciones impuestas se mantendrá: 56 Reglamento a la ley de cer ficados, firmas digitales y documentos electrónicos 1) En el caso de multa, por todo el lapso en que ésta permanezca sin cancelar y posteriormente por dos años a par r del pago. 2) En el caso de suspensión o revocatoria de la inscripción, durante cinco años desde la firmeza de la resolución sancionatoria. Ar culo 35.– Determinación de responsabilidades adicionales. Si corresponde, lo rela vo a la responsabilidad civil en que pueda haber incurrido un cer ficador se examinará y resolverá en el mismo procedimiento en que se discuta la responsabilidad disciplinaria. Caso de es marse que ha lugar al pago de una indemnización, el acto final prevendrá al cer ficador su oportuno pago, dentro del plazo que al efecto se señalará y que no excederá de un mes. De llegarse a considerar además que los hechos inves gados suponen la posible comisión de un ilícito penal, la Dirección ordenará tes moniar las piezas correspondientes y pondrá los hechos en conocimiento del Ministerio Público. Ar culo 36.– Medios de ejecución. Si el cer ficador sancionado no realiza oportunamente el pago a que estuviere obligado, se procederá a ejecutar la caución por el monto respec vo. En tal caso (así como para el reclamo de cualquier saldo en descubierto que pudiera subsis r) se aplicará en lo per nente lo dispuesto en los ar culos 149 y 150 de la LGAP. La DCFD será el órgano competente para realizar las in maciones de ley, así como para expedir el tulo ejecu vo, si corresponde. CAPÍTULO SEXTO Disposiciones finales Ar culo 37.– Vigencia. Rige a par r de su publicación. Dado en la Presidencia de la República.–San José, a los veinte días del mes de marzo del dos mil seis. ANEXO ÚNICO (Derogado este Anexo por el ar culo 3° del decreto ejecu vo N° 34890 del 27 de octubre de 2008). 57 PŽůşƟĐĂĚĞĐĞƌƟĮĐĂĚŽƐƉĂƌĂůĂ ũĞƌĂƌƋƵşĂŶĂĐŝŽŶĂůĚĞĐĞƌƟĮĐĂĚŽƌĞƐ registrados DireccióŶĚĞĞƌƟĮĐĂĚŽƌĞƐĚĞ&ŝƌŵĂŝŐŝƚĂů Ministerio de Ciencia y Tecnología OID 2.16.188.1.1.1.1 Versión: 1.1 20 de mayo, 2013 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados Control de versiones Fecha Versión Consulta pública Autor(es) Comité de Polí cas Comité Técnico Aprobado Lic. Oscar Solís Director DCFD 03–12–07 Borrador Comité de Polí cas Lic. Oscar Solís Director DCFD 04–09–08 1.0 Comité de Polí cas Lic. Oscar Solís Director DCFD 03–04–13 Consulta pública (1.1) Comité de Polí cas Dirección de Cer ficadores de Firma Digital Alexander Barquero Director DCFD Actualizaciones para cer ficados digitales de persona jurídica, vigencia y unicidad de los cer ficados. 10–05–13 Borrador (1.1) Dirección de Cer ficadores de Firma Digital Alexander Barquero Director DCFD Se incorporan las observaciones de la consulta pública, de acuerdo al aviso del martes 16 de abril del 2013 en el Alcance Digital Nº 68 del diario oficial La Gaceta Nº 72. 20–05–13 1.1 Dirección de Cer ficadores de Firma Digital Alexander Barquero Director DCFD Oficialización y entrada en vigencia de la versión 1.1 de la polí ca. 26–10–07 Descripción Se presenta la versión para discusión final del comité de polí cas y aprobación del Director de la DCFD. Se incorporan las observaciones de la consulta pública, de acuerdo al edicto publicado el día lunes 19 de noviembre del 2007 en el diario oficial La Gaceta Nº 222. Oficialización y entrada en vigencia de la polí ca. 61 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados 1. Introducción Este documento define las Polí cas de Cer ficado (en adelante CP) dictadas por la Dirección de Cer ficadores de Firma Digital (en adelante DCFD) para el Sistema Nacional de Cer ficación Digital. La autoridad cer ficadora registrada debe implementar las polí cas en los servicios de cer ficación que incluyen: la emisión, ges ón, suspensión y revocación de los cer ficados. Las siguientes secciones describen las polí cas de acatamiento obligatorio que deben ser implementadas por la Autoridad Cer ficadora Raíz (en adelante CA Raíz) y por cualquier otra Autoridad Cer ficadora Registrada (en adelante CA) en los niveles inferiores de la jerarquía nacional de cer ficadores registrados. Sin embargo, este documento no pretende ser una guía exhaus va para la evaluación del cumplimiento de los requisitos necesarios para un proceso de acreditación. La guía detallada para la evaluación de una autoridad cer ficadora que desea incorporarse al sistema de cer ficación nacional, debe solicitarse a la DCFD, y la misma se adhiere a los lineamientos establecidos en: la norma INTE–ISO–21188:2007 “Infraestructura de llave pública para servicios financieros– Estructura de prác cas y polí cas”. Este CP se ha desarrollado conforme a lo es pulado en el RFC 3647: ”Internet X.509 Public Key Infrastructure. Cer ficate Policy and Cer ficaon Prac ces Framework”. 1.1 Resumen Estas Polí cas de Cer ficado (CP) son específicamente aplicables a: Autoridad Cer ficadora Raíz (CA Raíz). Autoridades Cer ficadoras de Polí cas (CA de Polí cas) dentro de la jerarquía nacional de cer ficadores registrados. Autoridades Cer ficadoras emisoras (CA emisoras) que se registren ante la DCFD, y que emitan los cer ficados a las en dades finales. Suscriptores y partes que con an. 63 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados Las polí cas nacionales contemplan los siguientes pos de cer ficados, definidos en este documento como: Cer ficados para CA emisoras. Cer ficados de auten cación de persona sica. Cer ficados de firma digital de persona sica. Cer ficados de agente electrónico (auten cación) de persona jurídica. Cer ficados de sello electrónico (firma digital) de persona jurídica. Cer ficados de autoridades de sellado de empo (TSA). Los diferentes pos de cer ficados están definidos en la polí ca y se implementan a través de una jerarquía de tres niveles: el primero corresponde a la raíz nacional, el segundo nivel corresponde a las autoridades cer ficadoras de polí cas y el tercer nivel a las CA emisoras de cer ficados. El siguiente diagrama detalla la estructura de la jerarquía nacional de cer ficadores registrados: Diagrama de la jerarquía nacional de cerƟficadores registrados 64 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados 1.2 Nombre e idenƟficación del documento Este documento es la “Polí ca de Cer ficados para la Jerarquía Nacional de Cer ficadores Registrados” y se referencia mediante el iden ficador de objeto (OID): 2.16.188.1.1.1.1 Sección 2 16 188 1 1 1 1 Descripción joint–iso–itu–t Country Costa Rica Organización Dirección de Cer ficadores de Firma Digital Polí cas Polí ca de Cer ficados para la jerarquía nacional de cer ficadores registrados Las polí cas derivadas para la jerarquía nacional de cer ficadores registrados son: PolíƟca para cerƟficados generados por la jerarquía nacional de cerƟficadores registrados Polí ca de cer ficados de CA emisora del Sistema Nacional de Cer ficación Digital Polí ca de cer ficados de persona sica del Sistema Nacional de Cer ficación Digital • Firma digital • Auten cación Polí ca de sellado de empo del Sistema Nacional de Cer ficación Digital Polí ca de cer ficados de persona jurídica del Sistema Nacional de Cer ficación Digital • Sello electrónico • Agente electrónico 1.3 OID 2.16.188.1.1.1.1.1 2.16.188.1.1.1.1.2 2.16.188.1.1.1.1.3 2.16.188.1.1.1.1.5 2.16.188.1.1.1.1.6 2.16.188.1.1.1.1.7 ParƟcipantes en la PKI 1.3.1 Autoridades cerƟficadoras Las autoridades cer ficadoras (CA) son todas las en dades autorizadas a emi r cer ficados de llave pública dentro de la jerarquía nacional 65 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados de cer ficadores registrados. Esto incluye: CA Raíz. CA de Polí cas. CA emisoras. La CA Raíz y las CAs de Polí cas son parte de la jerarquía nacional administrada por el Ministerio de Ciencia, Tecnología y Telecomunicaciones (MICITT). Ambas se regulan a través de la Dirección de Cer ficadores de Firma Digital (DCFD). Las CAs emisoras deben implementar esta polí ca, para formar parte de la jerarquía nacional de cer ficadores registrados. 1.3.2 Autoridades de Registro Una Autoridad de Registro (RA) es una en dad que verifica la idendad de los solicitantes que aplican por un cer ficado. La RA debe validar los requisitos de iden ficación del solicitante, dependiendo del po de cer ficado y de la especificación de la polí ca per nente. Además, tramita las solicitudes de revocación para los cer ficados y valida la información contenida en las solicitudes de cer ficados. Las Autoridades de Registro se regulan en el documento de “Directrices para las Autoridades de Registro. Caracterís cas de cumplimiento de Autoridades de Registro (RA) de la jerarquía nacional de cer ficadores registrados de Costa Rica” emi do por la DCFD para este propósito. 1.3.3 Suscriptores Se define como suscriptor a todos los usuarios finales a quienes se les ha emi do un cer ficado por una CA, dentro de la jerarquía nacional de cer ficadores registrados. El suscriptor puede ser una persona sica o una persona jurídica. 1.3.4 Partes que conİan Una parte que con a es una persona sica o jurídica que actúa confiando en un cer ficado y/o en las firmas digitales generadas a par r de un cer ficado, emi dos bajo la jerarquía nacional de cer ficadores registrados. Una parte que con a puede o no ser también un suscriptor. 66 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados 1.3.5 Otros parƟcipantes Sin es pulaciones. 1.4 Uso del cerƟficado 1.4.1 Usos apropiados del cerƟficado Tipo Cer ficados de CA emisora Cer ficados de firma digital de persona sica Cer ficados de auten cación de persona sica Cer ficados de sello electrónico de persona jurídica Cer ficados de agente electrónico de persona jurídica Cer ficados de Autoridad de Sellado de Tiempo (TSA) o o o o • o o • o o • o o Descripción de uso apropiado Operar la infraestructura PKI y emi r cer ficados a suscriptores dentro de la cadena de confianza. Digital Signature. Cer ficate Signing. Off–line CRL Signing. CRL Signing. Firma digital Digital Signature. Non–Repudia on. Auten cación Digital Signature. Key Encipherment. Sello electrónico Digital Signature. Non–Repudia on. • o o o • o o Agente electrónico Digital Signature. Key Encipherment. Data Encipherment. Sellado de empo Digital Signature. Non–Repudia on. • 1.4.2 Usos prohibidos del cerƟficado Los cer ficados emi dos deben ser u lizados dentro del marco de la Ley 8454 “Ley de cer ficados, firmas digitales y documentos electrónicos” y su reglamento. Cualquier otro uso del cer ficado no especificado en la Ley 8454, su reglamento y en esta CP (y sus polí cas asociadas) está fuera del alcance y responsabilidad de estas polí cas. 67 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados 1.5 Administración de la PolíƟca 1.5.1 Organización que administra el documento Dirección de Cer ficadores de Firma Digital Ministerio de Ciencia, Tecnología y Telecomunicaciones, dirección: San José, 50 metros Este del Museo Nacional. Apartado Postal: 5589–1000 San José, Costa Rica. Correo electrónico: [email protected] o [email protected] 1.5.2 Persona de contacto Jefatura de la Dirección de Cer ficadores de Firma Digital: Director de Cer ficadores de Firma Digital, correo electrónico: [email protected] o [email protected]. Tel. (506) 2248–1515, ext. 189. 1.5.3 Persona que determina la adecuación de la CPS a la PolíƟca El Director de la Dirección de Cer ficadores de Firma Digital será el encargado de determinar la adecuación de la declaración de prác cas de cer ficación (CPS) de todas las autoridades cer ficadoras que desean pertenecer a la jerarquía nacional de cer ficadores registrados. 1.5.4 Procedimientos de aprobación de la CP La polí ca y las subsecuentes enmiendas o modificaciones deben ser propuestas por la DCFD o por el Comité Asesor de Polí cas, y presentadas al Director de la DCFD, quien posterior a su análisis y correcciones, las somete a consulta pública (salvo casos de urgencia) en la que se invitará a las en dades públicas y privadas, organizaciones representa vas y público en general a ofrecer comentarios y sugerencias per nentes; 68 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados todo conforme a los ar culo 3611 y 3622 de la Ley General de Administración Pública (LGAP). La encargada de la aprobación final de la CP es la DCFD. 1.6 Definiciones y acrónimos Ver Anexo A: Definiciones y acrónimos 2. Responsabilidades de publicación y del repositorio 2.1 Repositorios Las autoridades emisoras son responsables de las funciones de repositorio para su propia CA. Las listas de los cer ficados emi dos a usuarios finales no se deben hacer públicas. Sobre la revocación de cer ficados de suscriptores, las autoridades emisoras deben publicar el aviso de revocación de los cer ficados de sus suscriptores. 2.2 Publicación de información de cerƟficación La CA emisora debe mantener un repositorio basado en Web que permita a las partes que con an verificar en línea la revocación y cualquier otra información necesaria para validar el estado del cer ficado. La CA emisora debe proporcionar a las partes que con an la información de cómo encontrar el repositorio adecuado para verificar el estado del cer ficado y los servicios de validación de cer ficados en línea (OCSP) para la verificación en línea. 1 2 Ar culo 361.– 1. Se concederá audiencia a las en dades descentralizadas sobre los proyectos de disposiciones generales que puedan afectarlas. 2. Se concederá a las en dades representa vas de intereses de carácter general o corpora vo afectados por la disposición la oportunidad de exponer su parecer, dentro del plazo de diez días, salvo cuando se opongan a ello razones de interés público o de urgencia debidamente consignadas en el anteproyecto. 3. Cuando, a juicio del Poder Ejecu vo o del Ministerio, la naturaleza de la disposición lo aconseje, el anteproyecto será some do a la información pública, durante el plazo que en cada caso se señale. Ar culo 362.– En la disposición general se han de consignar expresamente las anteriores que quedan total o parcialmente reformadas o derogadas. 69 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados La CA emisora debe mantener publicada, entre otros aspectos, la versión actualizada de: La polí ca de los cer ficados que implementa. La plan lla del acuerdo de suscriptor. Los cer ficados en la cadena de confianza. Las listas de revocación. La información de la CA Raíz está publicada en el si o Web del MICITT, en la siguiente dirección: h p://www.firmadigital.go.cr 2.3 Tiempo o frecuencia de publicación Las actualizaciones de las polí cas de cer ficado se publicarán de acuerdo con lo establecido en la sección 9.12 de este documento. Las actualizaciones de acuerdos de suscriptores serán publicadas, cuando sufran modificaciones. La información de estados de cer ficado es publicado de acuerdo con las disposiciones de esta polí ca, de acuerdo a la sección 4.9.7 de “Frecuencia de emisión de CRL”. 2.4 Controles de acceso a los repositorios La información publicada en el repositorio es información accesible únicamente para consulta. La CA emisora debe establecer controles para prevenir que personas no autorizadas agreguen, eliminen o modifiquen información de los repositorios. 3. IdenƟficación y autenƟcación 3.1 Nombres 3.1.1 Tipos de nombres En la sección 3.1.4 se explican las reglas para interpretación del código de iden ficación, la que, en el caso de las personas sicas nacionales corresponde al número de cédula, para personas sicas extranjeras o diplomá cas, al número único de permanencia y para las personas 70 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados jurídicas corresponde al número de cédula de persona jurídica. El uso del campo número de serie (serial number OID 2.5.4.5) se establece de acuerdo al RFC 3039 “Internet X.509 Public Key Infrastructure Qualified Cer ficates Profile” como un atributo del nombre dis n vo del sujeto. A con nuación se presentan los formatos de los nombres para el suscriptor del cer ficado dependiendo de su po. Cuando los datos se encuentran en itálica significan que son valores de ejemplo. En el caso de la CA Raíz: Atributo Valor Country (C) CR Organiza on (O) MICIT Organiza on Unit (OU) DCFD Common Name CA RAIZ NACIONAL – COSTA RICA Serial Number {OID:2.5.4.5} CPJ–2–100– 098311 Descripción El código de país es asignado de acuerdo al estándar ISO 31663. El Ministerio de Ciencia, Tecnología y Telecomunicaciones es el responsable de la Raíz Nacional. La Dirección de Cer ficadores de Firma Digital. Nombre de la CA Raíz. Número de cédula de persona jurídica en el Registro Nacional. El prefijo CPJ corresponde a Cédula Persona Jurídica. En el caso de las CA de Polí cas: Atributo Valor Country (C) CR Organiza on (O) MICIT Organiza on Unit (OU) DCFD 3 Descripción El código de país es asignado de acuerdo al estándar ISO 3166. El Ministerio de Ciencia, Tecnología y Telecomunicaciones es el responsable de las CA de Polí cas. La Dirección de Cer ficadores de Firma Digital. Norma ISO 3166 “Códigos para la representación de los nombres de los países y sus subdivisiones. Parte 1: Códigos de los países”. Esta norma establece los códigos de dos caracteres para la asignación del país 71 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados CA POLITICA CA POLITICA + Nombre de la políƟca – PERSONA COSTA RICA Common Name FISICA – COSTA RICA Número de cédula de persona jurídica Serial Number CPJ–2–100– en el Registro Nacional. El prefijo CPJ {OID:2.5.4.5} 098311 corresponde a Cédula Persona Jurídica. En el caso de las CA emisoras: Atributo Descripción Valor Country (C) CR Organiza on (O) CORP. EJEMPLO S.A4 Organiza on Unit (OU) CA EJEMPLO Common Name Serial Number {OID:2.5.4.5} El código de país es asignado de acuerdo al estándar ISO 3166. Nombre de la empresa o ins tución definido en la cer ficación de personería jurídica. Unidad organizacional de la persona jurídica responsable de la CA emisora. CA + Nombre CA– Polí ca. La Polí ca puede ser: CA EJEMPLO– PERSONA FISICA, PERSONA JURÍDICA, SELLADO PERSONA FISICA DE TIEMPO, u otra definida por la CA Raíz. Número de cédula de persona jurídica en el CPJ–9–999– Registro Nacional, debe ser validada durante el 999999 proceso de registro. En el caso de suscriptor persona sica: Atributo Country (C) Organiza on (O) Organiza on Unit (OU) Common Name 4 Valor Descripción El código de país es asignado de acuerdo al CR estándar ISO 3166. La polí ca iden fica si se trata de un cer ficado para: Persona Física, Persona Jurídica o Sellado PERSONA FISICA de Tiempo, o bien otra definida por la jerarquía nacional de cer ficadores registrados. La clase de cer ficado es: CIUDADANO, CIUDADANO EXTRANJERO o DIPLOMATICO. JUAN PEREZ PÉREZ (FIRMA) Nombre del suscriptor, según documento de iden ficación oficial, en mayúsculas y sin ldes El propósito debe ser FIRMA o AUTENTICACION. Los valores en itálica son colocados a manera de ejemplo. 72 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados Serial Number {OID:2.5.4.5} Surname (SN) {OID:2.5.4.4} GivenName (G) {OID:2.5.4.42} CPF–01–0449– 0161 PEREZ PEREZ JUAN El formato del documento de iden ficación se especifica en la sección 3.1.4 “Reglas para la interpretación de varias formas de nombres”. Se registran los dos apellidos del suscriptor, en mayúsculas y sin ldes. Se registra el nombre del suscriptor, en mayúsculas y sin ldes. En el caso de suscriptor para persona jurídica: Atributo Country (C) Organiza on (O) Organiza on Unit (OU) Common Name Serial Number {OID:2.5.4.5} Subject Alterna ve Name {OID:2.5.29.17} Valor Descripción El código de país es asignado de acuerdo al esCR tándar ISO 3166. La polí ca iden fica si se trata de un cer ficado PERSONA para: Persona Física, Persona Jurídica o Sellado JURÍDICA de Tiempo, o bien otra definida por la jerarquía nacional de cer ficadores registrados. Iden ficador opcional para unidades organizacionales vinculadas jurídicamente a la persona jurídica solicitante. Razón social/Nombre de la persona jurídica CORTE que solicita el cer ficado, según la información SUPREMA DE del Registro de Personas Jurídicas de Registro JUSTICIA (SELLO Nacional. El propósito debe ser SELLO ELECELECTRONICO) TRÓNICO o AGENTE ELECTRÓNICO. El formato de la cédula de persona jurídica se CPJ–2–300– especifica en la sección 3.1.4 “Reglas para la 042155 interpretación de varias formas de nombres”. Dns=www. Valor opcional donde se coloca el nombre del poder–judicial. dominio, y aplica únicamente para los cer ficago.cr dos de AGENTE ELECTRÓNICO. En el caso de suscriptor para autoridad de sellado de empo: Atributo Country (C) Organiza on (O) Valor Descripción El código de país es asignado de acuerdo al estándar ISO 3166. LABORATORIO Nombre de la empresa o ins tución que soliciCOSTARRICENSE ta el cer ficado. DE METROLOGIA CR 73 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados Organiza on Unit (OU) Common Name Serial Number {OID:2.5.4.5} Iden ficador consecu vo para la autoridad de sellado de empo. Este campo es responsabili0001 dad de la empresa o ins tución proporcionarlo, y es u lizado para mantener la con nuidad del negocio. TSA + Nombre de la persona jurídica, según la TSA información del Registro de Personas Jurídicas LABORATORIO de Registro Nacional. Se concatena el propósiCOSTARRICENSE to de TSA (Time Stamping Authority) para indiDE METROLOGIA car que es una autoridad de sellado de empo. El formato de la cédula de persona jurídica se CPJ–3–007– especifica en la sección 3.1.4 “Reglas para la 351220 interpretación de varias formas de nombres”. 3.1.2 Necesidad de nombres significaƟvos El nombre significa vo corresponde al nombre especificado en el documento oficial presentado por el solicitante en el momento de registro. Además para evitar errores de interpretación en el nombre de personas sicas, se registra el nombre y los apellidos en atributos separados (GivenName y SurName, respec vamente). 3.1.3 Anonimato o pseudónimos de los suscriptores De acuerdo con la ley 8454, “Ley de cer ficados, firmas digitales y documentos electrónicos” y su reglamento, los cer ficados de firma digital no admiten anonimato para cumplir con el requisito de “No Repudio”. El pseudónimo no se considera un nombre significa vo del solicitante y no se u lizará como parte del cer ficado. 3.1.4 Reglas para la interpretación de varias formas de nombres CerƟficados de CA emisora La cédula de persona jurídica es definida por el Registro de Personas Jurídicas de Registro Nacional y debe cumplir el siguiente formato: Tipo de documento Prefijo Formato Cédula de persona jurídica CPJ CPJ–9–999–999999 74 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados CerƟficados de firma digital y autenƟcación de persona İsica El nombre común ene concatenado el propósito del cer ficado entre paréntesis, el cual puede ser únicamente uno de los siguientes: (FIRMA) (AUTENTICACION) El número de cédula de persona sica y el número único de permanencia deben cumplir el siguiente formato: Tipo de documento Cédula de persona sica Número único de permanencia Prefijo CPF NUP Formato CPF–99–9999–9999 NUP–9XXX999999995 CerƟficados de sello electrónico y agente electrónico de persona jurídica y de autoridad de sellado de Ɵempo La cédula de persona jurídica debe cumplir el siguiente formato: Tipo de documento Cédula de persona jurídica Prefijo CPJ Formato CPJ–9–999–999999 3.1.5 Unicidad de los nombres Para cada suscriptor, la CA emisora debe asegurar que el “nombre dis n vo del suscriptor” (subject disƟnguished name) es único dentro 5 El número único de permanencia (NUP) está conformado por los siguientes elementos: • Código de No Nacional, es un dígito, y siempre se asignan los números 1 o 5. • Código de país, es un código alfanumérico de acuerdo con el ISO–3166 “Códigos para la representación de los nombres de los países y sus subdivisiones. Parte 1: Códigos de los países.” con formato de 3 letras, por ejemplo: NIC = Nicaragua, CRI = Costa Rica, USA = Estados Unidos de América, COL= Colombia, etc. • Consecu vo por país, corresponde a la numeración de seis dígitos, que representa la can dad de personas que han ingresado con estatus migratorio al país en el momento de la inscripción. • Dígitos de verificación, son dos dígitos que verifican la consistencia de la notación para ese extranjero. 75 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados de la jerarquía nacional de cer ficadores registrados, a través de una verificación dentro del proceso de inscripción. 3.1.6 Reconocimiento, autenƟcación y rol de las marcas registradas La jerarquía nacional de cer ficadores registrados no arbitrará, mediará o resolverá ninguna disputa concerniente a la propiedad de nombres de dominio, nombres de empresas, ins tuciones o personas jurídicas, o marcas registradas. 3.2 Validación inicial de idenƟdad 3.2.1 Método para probar posesión de la llave privada El solicitante del cer ficado debe demostrar que posee la llave privada correspondiente a la llave pública que estará listada en el cer ficado. El método de prueba de posesión de la llave privada puede ser el PKCS#10, u otras demostraciones criptográficas equivalentes, aprobadas por la DCFD. 3.2.2 AutenƟcación de idenƟdad de persona jurídica La iden dad de la persona jurídica solicitante debe ser confirmada por la CA emisora, o por la RA, donde aplique, de acuerdo con los procedimientos establecidos. Como mínimo, se debe verificar el nombre o razón social, la cédula de persona jurídica y representante legal debidamente acreditado contra las bases de datos oficiales correspondientes. En el caso de los cer ficados de persona jurídica, si el solicitante requiere incluir información en el campo “unidad organizacional” (Organiza on Unit), la CA emisora, o donde aplique, la RA, deberá solicitar toda la información necesaria al suscriptor para garan zar el vínculo jurídico entre la unidad organizacional en cues ón y la persona jurídica solicitante. En el caso de los cer ficados de agente electrónico de persona jurídica, si el solicitante requiere incluir uno o más nombres DNS en el campo “nombre alterna vo del sujeto” (Subject Alterna ve Name, o también conocido como SAN por sus siglas en inglés), la CA emisora, o donde 76 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados aplique, la RA, debe verificar la información de DNS suministrada por el solicitante, contra los datos oficiales correspondientes. 3.2.3 AutenƟcación de idenƟdad de persona İsica Para la iden ficación de la persona sica la CA emisora o RA verifica la validez y vigencia del documento legalmente aceptado, presentado por el solicitante. Este proceso debe realizarse en forma presencial (cara a cara). La CA emisora, o donde aplique, la RA, debe verificar la información suministrada por el solicitante contra los datos oficiales correspondientes. 3.2.4 Información del suscriptor no verificada No aplica, la información incluida en el cer ficado es verificada durante el proceso de auten cación de la iden dad. 3.2.5 Validación de la Autoridad La CA emisora, o donde aplique, la RA, debe validar la autoridad que posee el solicitante para ges onar un po de cer ficado específico. Además, debe validar que el solicitante no posea impedimentos legales de acuerdo a la información oficial vigente para tales efectos. En el caso de cer ficados de persona sica, debe validar que sea mayor de edad. En el caso de cer ficados de persona jurídica, debe validarse que sea un personero o un representante con facultades suficientes para hacer la solicitud de los cer ficados. La CA emisora, o donde aplique, la RA, debe verificar la información suministrada por el solicitante contra los datos oficiales correspondientes. 77 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados 3.2.6 Criterios para interoperabilidad Se permi rá la interoperabilidad de los cer ficados emi dos, siempre y cuando la CA emisora cumpla con la polí ca de la raíz y estén adscritas a la jerarquía nacional de cer ficadores registrados. La homologación de cer ficados extranjeros se hará de acuerdo con la legislación aplicable y los procedimientos establecidos por la DCFD para tales casos. 3.3 IdenƟficación y autenƟcación para solicitudes de re–emisión de llaves 3.3.1 IdenƟficación y autenƟcación para re–emisión de llaves ruƟnaria No se permite la re–emisión de cer ficados. En dado caso, se debe optar por un nuevo cer ficado. 3.3.2 IdenƟficación y autenƟcación para la re–emisión de llaves después de una revocación Bajo estas circunstancias la re–emisión de llaves no aplica. 3.4 IdenƟficación y autenƟcación para solicitudes de revocación Los procedimientos de revocación deben asegurar, previo a cualquier revocación, que la solicitud de revocación ha sido generada por el suscriptor del cer ficado o por una en dad autorizada para tales propósitos. Los procedimientos aceptados para la auten cación de solicitudes de revocación presentadas por el suscriptor incluyen alguno de los siguientes medios: La recepción de un mensaje firmado digitalmente por el suscriptor del cer ficado. Mediante la validación de una “frase de desa o” (challenge phrase). Presencialmente, a través de los procesos de auten cación de iden dad (secciones 3.2.2 y 3.2.3). 78 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados Cualquier otro medio aprobado por la DCFD que permita una auten cación robusta. Los procedimientos aceptados para la auten cación de solicitudes de revocación presentadas por una en dad autorizada para tales efectos (ver sección 4.9.2), incluye la recepción de un mensaje firmado por una autoridad competente. 4. Requerimientos operacionales del ciclo de vida del cerƟficado 4.1 Solicitud de cerƟficado 4.1.1 Quién puede presentar una solicitud de cerƟficado En la siguiente lista se detallan las personas que pueden presentar una solicitud de cer ficado: Para el caso de cer ficados de CA de polí cas, el Director de Cer ficadores de Firma Digital. Para el caso de cer ficados de CA emisoras, el representante legal o apoderado con poderes suficientes de la en dad a ser registrada. Para el caso de cer ficados de firma digital y auten cación de persona sica, cualquier persona mayor de edad con un documento de iden dad legalmente aceptado, que será el sujeto a cuyo nombre se emita el cer ficado. Para el caso de cer ficados de sello electrónico y agente electrónico de persona jurídica, el personero o representante con facultades suficientes de la persona jurídica a la que representa (por ejemplo un tramitador de cer ficados digitales de persona jurídica debidamente registrado ante el Registro Nacional). Para los cer ficados de Autoridad de Sellado de Tiempo, el representante legal o apoderado con poderes suficientes de la en dad de sellado de empo (TSA). 79 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados 4.1.2 Proceso de inscripción y responsabilidades Durante el proceso de inscripción, el solicitante debe firmar un acuerdo de suscriptor, donde se establecen las responsabilidades y deberes asumidos con el uso del cer ficado. La DCFD ene la responsabilidad de: Ejecutar el proceso de registro y verificación de iden dad de las CA emisoras. Velar porque la en dad solicitante cumpla los requisitos establecidos en la Ley 8454, Ley de cer ficados, firmas digitales y documentos electrónicos y su reglamento. Informar al suscriptor de sus deberes y responsabilidades con respecto al uso del cer ficado. Emi r el cer ficado de acuerdo con la información suministrada en la solicitud de cer ficado. La CA emisora ene la responsabilidad de: Validar la iden dad de la RA que remite las solicitudes. Validar la información suministrada en la solicitud. Emi r el cer ficado de acuerdo con la información suministrada en la solicitud. Enviar el cer ficado a la RA para que sea entregado al suscriptor. La RA ene la responsabilidad de: Ejecutar el proceso de registro y verificación de iden dad y de las facultades del solicitante para solicitar un determinado cerficado dependiendo del po de cer ficado. Remi r la solicitud de cer ficado digital a la CA emisora, firmada digitalmente. Informar al suscriptor de sus deberes y responsabilidades con respecto al uso del cer ficado. El solicitante ene las siguientes responsabilidades dependiendo del po de cer ficado: 80 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados CerƟficados de CA emisora Completar el formulario de inscripción de cer ficado y proveer información correcta y verdadera. Esta información debe presentarse ante la RA, para este caso la DCFD. Presentar un documento de iden ficación legalmente aceptado y vigente, así como una personería jurídica vigente (con menos de un mes de emi da) donde se establezca su relación como representante legal o apoderado con poderes suficientes de la empresa o ins tución a cer ficar. Generar la solicitud de cer ficado de forma que se demuestre la posesión de la llave privada correspondiente a la llave pública entregada, cumpliendo lo es pulado en el apartado 3.2.1. Firmar el acuerdo de suscriptor. CerƟficados de firma digital y autenƟcación de persona İsica Completar el formulario de inscripción de cer ficado y proveer información correcta y verdadera. Presentar un documento de iden ficación legalmente aceptado y vigente. Ingresar confidencialmente la “frase de desa o” (“challenge phrase”), que será requerida en el proceso de revocación del cer ficado. Generar la solicitud de cer ficado de forma que se demuestre la posesión de la llave privada correspondiente a la llave pública entregada, cumpliendo con lo dispuesto en el apartado 3.2.1. Firmar el acuerdo de suscriptor. CerƟficados de sello electrónico y agente electrónico de persona jurídica Completar el formulario de inscripción de cer ficados y proveer información correcta y verdadera. Presentar un documento de iden ficación legalmente aceptado y vigente, así como una personería jurídica con menos de un mes de emi da, o los documentos legales suficientes que 81 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados garan cen su relación como personero o representante con facultades suficientes de la persona jurídica solicitante. Para los cer ficados de agente electrónico, en el caso de requerir que uno o varios nombres DNS formen parte del campo nombre alterna vo del sujeto (Subject Alterna ve Name o SAN por sus siglas en inglés) es necesario que el personero o representante con facultades suficientes de la persona jurídica solicitante, presente evidencia de que el nombre de dominio solicitado está registrado a nombre de la persona jurídica que representa (ver sección 7.1.2.3). Generar la solicitud de cer ficado cumpliendo con el apartado 3.2.1 de este CP y presentarla ante la CA, con lo que se demuestra la posesión de la llave privada correspondiente a la llave pública entregada. Firmar el acuerdo de suscriptor. CerƟficados de Autoridad de Sellado de Tiempo (TSA) Completar el formulario de inscripción de cer ficado y proveer información correcta y verdadera ante la DCFD. Cumplir con todas las responsabilidades señaladas anteriormente para solicitante de cer ficados de sello electrónico y agente electrónico de persona jurídica. 4.2 Procesamiento de la solicitud de cerƟficado 4.2.1 Ejecución de las funciones de idenƟficación y autenƟcación CerƟficados de CA emisora y de autoridad de sellado de Ɵempo La encargada de estas funciones es la DCFD, en dad que debe velar por el cumplimiento de la iden ficación y la auten cación de acuerdo con las disposiciones establecidas en la sección 3.2. CerƟficados de firma digital y autenƟcación de persona İsica o cerƟficados de sello electrónico y agente electrónico de persona jurídica La encargada de estas funciones es la autoridad de registro (RA), o donde aplique la CA, que debe velar por el cumplimiento de la iden fi- 82 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados cación y la auten cación de acuerdo con las disposiciones establecidas en la sección 3.2. 4.2.2 Aprobación o rechazo de solicitudes de cerƟficado CerƟficados de CA emisora y de autoridad de sellado de Ɵempo (TSA) La DCFD debe administrar y supervisar el proceso de cer ficación, en par cular lo concerniente a la aceptación o rechazo de las aplicaciones para cer ficados de autoridad cer ficadora. Para optar por un cer ficado de autoridad cer ficadora, la CA solicitante debe cumplir con todos los requisitos establecidos en la Ley 8454, su Reglamento y demás lineamientos establecidos por la DCFD. CerƟficados de firma digital y autenƟcación de persona İsica o cerƟficados de sello electrónico y agente electrónico de persona jurídica La RA debe rechazar cualquier solicitud de cer ficado que no cumpla con la Ley, su Reglamento y demás lineamientos establecidos por la DCFD. Asimismo, la CA emisora debe rechazar cualquier solicitud proveniente de una RA que no cumpla con los requisitos para la emisión del cer ficado. 4.2.3 Tiempo para procesar solicitudes de cerƟficado El empo de procesamiento de solicitudes de cer ficados ( empo entre la solicitud emi da a la CA y la emisión del cer ficado al suscriptor) de persona sica, cuando el proceso se realice en forma automá ca, no debe ser mayor a diez minutos. En cualquier otro caso, las CA y RA procesarán las solicitudes de cerficados dentro de un empo razonable, a menos que se especifiquen otros parámetros en el acuerdo de suscriptor, en la CPS o en otros acuerdos entre los par cipantes. 83 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados 4.3 Emisión de cerƟficado 4.3.1 Acciones de la CA durante la emisión de cerƟficados CerƟficados de CA y cerƟficados de autoridad de sellado de Ɵempo (TSA) La CA debe verificar que el solicitante cumple con los requisitos de esta polí ca, con las normas técnicas y con la legislación aplicable. CerƟficados de firma digital y autenƟcación de persona İsica o cerƟficados de sello electrónico y agente electrónico de persona jurídica La CA debe verificar que las solicitudes de cer ficado provengan de RAs autorizadas. Una vez creado el cer ficado, la CA debe remi rlo a la RA desde la cual ingresó la solicitud. 4.3.2 NoƟficación al suscriptor por parte de la CA sobre la emisión del cerƟficado CerƟficados de CA emisora y cerƟficados de autoridad de sellado de Ɵempo (TSA) La DCFD debe no ficar a la CA emisora o la TSA solicitante sobre la emisión del cer ficado, de acuerdo a los procedimientos definidos para tales efectos. CerƟficados de firma digital y autenƟcación de persona İsica En este caso, la entrega del cer ficado es presencial por lo tanto la no ficación es inmediata. CerƟficados de sello electrónico y agente electrónico de persona jurídica Cuando las circunstancias lo permitan, la RA, o donde aplique la CA, entregará los cer ficados en forma presencial, en cuyo caso la no ficación será inmediata. En cualquier otro caso, la no ficación se realizará de acuerdo a los procedimientos definidos para tales efectos. 84 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados 4.4 Aceptación de cerƟficado 4.4.1 Conducta consƟtuƟva de aceptación de cerƟficado CerƟficados de CA emisora y cerƟficados de autoridad de sellado de Ɵempo (TSA) El proceso de instalación del cer ficado respec vo por parte de la CA emisora o TSA solicitante, cons tuirá la aceptación del cer ficado. CerƟficados de firma digital y autenƟcación de persona İsica El cer ficado se da por aceptado cuando la persona firma digitalmente un comprobante de aceptación del cer ficado entregado, esta es la primera vez que se usa y permite al suscriptor verificar que el cer ficado está funcionando correctamente. CerƟficados de sello electrónico y agente electrónico de persona jurídica El proceso de instalación de los cer ficados respec vos por parte de la persona jurídica que u liza los cer ficados, cons tuirá la aceptación de los cer ficados. 4.4.2 Publicación del cerƟficado por la CA La CA no debe publicar información de los cer ficados emi dos en los repositorios de acceso público. 4.4.3 NoƟficación de la emisión del cerƟficado por la CA a otras enƟdades No se definen en dades externas que necesiten o requieran ser noficadas acerca de los cer ficados emi dos por las CA. 85 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados 4.5 Uso del par de llaves y del cerƟficado 4.5.1 Uso de la llave privada y del cerƟficado por el suscriptor El uso de la llave privada correspondiente a la llave pública contenida en el cer ficado solamente debe ser permi do una vez que el suscriptor haya aceptado el cer ficado emi do. Dicho uso debe realizarse en concordancia con la norma va aplicable, lo es pulado en este CP, y los contratos de suscriptor respec vos. Los suscriptores deben proteger sus llaves privadas del uso no autorizado y deben descon nuar su uso después de la expiración o revocación del cer ficado. CerƟficados de CA • • • CA raíz: la llave privada sólo puede ser u lizada para firmar cerficados de CA de polí cas. CA polí cas: Las CA de polí cas son CA emisoras cuya llave privada únicamente puede ser u lizada para firmar cer ficados de CA emisoras subordinadas (SubCa) y autoridades cer ficadoras de sellado de empo. CA emisora de persona sica o persona jurídica: la llave privada solo debe ser u lizada para firmar cer ficados de auten cación y firma digital de personas sicas o cer ficados de sello electrónico y agente electrónico de personas jurídicas. CerƟficados de firma digital y autenƟcación de persona İsica El uso que se le dé a los cer ficados de persona sica debe ser acorde con lo dispuesto en la sección 6.1.7. 86 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados CerƟficados de sello electrónico de persona jurídica Los cer ficados de sello electrónico serán u lizados para actos de la persona jurídica suscriptora, salvo aquellos casos donde se determine su inadmisibilidad legal o administra va. Dichos actos generan responsabilidad de conformidad con el Ar culo 10 de la Ley de Cer ficados, Firmas Digitales y Documentos Electrónicos No. 8454. 6 Cada persona jurídica deberá desarrollar y establecer los mecanismos de seguridad informá ca y de infraestructura sica, así como los reglamentos, procedimientos o polí cas que considere per nentes para resguardar y delimitar el uso de dicho cer ficado en su organización. Las personas jurídicas que hagan uso de los cer ficados de sello electrónico deberán proveer las herramientas necesarias y adecuadas para que tanto los ciudadanos como otras administraciones puedan verificar la validez de sus sellos electrónicos. Con respecto a la u lización de las llaves, el uso que se le dé a los cerficados de sello electrónico debe ser acorde con lo dispuesto la sección 6.1.7. CerƟficados de agente electrónico de persona jurídica Con respecto a la u lización de las llaves, el uso que se le dé a los cer ficados de agente electrónico debe ser acorde con lo dispuesto la sección 6.1.7. CerƟficados autoridad de sellado de Ɵempo (TSA) La llave privada solo debe ser u lizada para prestar el servicio de sellado de empo. 6 Ar culo 10.– Presunción de autoría y responsabilidad Todo documento, mensaje electrónico o archivo digital asociado a una firma digital cer ficada se presumirá, salvo prueba en contrario, de la autoría y responsabilidad del tular del correspondiente cer ficado digital, vigente en el momento de su emisión. 87 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados 4.5.2 Uso de la llave pública y del cerƟficado por la parte que conİa Las partes que con an deben aceptar las es pulaciones establecidas en este CP, en lo que les resulte aplicable, como condición indispensable para confiar en el cer ficado. La confianza en un cer ficado debe ser razonable, de acuerdo con las circunstancias. Si las circunstancias indican la necesidad de verificaciones adicionales, la parte que con a debe obtener tales verificaciones para que la confianza sea considerada razonable. Antes de cualquier acto de confianza las partes que con an deben evaluar en forma independientemente: La per nencia del uso del cer ficado para cualquier propósito dado y determinar que la voluntad del cer ficado, de hecho, sea u lizada para un propósito apropiado que no está prohibido o de otra forma restringido por este CP. Las CA o RA no son responsables por la evaluación de la per nencia en el uso de un cer ficado. Que el cer ficado sea u lizado de acuerdo con las disposiciones de esta CP (por ejemplo: Si en el cer ficado faltan los propósitos de firma y no repudio en el atributo de KeyUsage, entonces el cer ficado no puede ser confiable para validar la firma de un suscriptor). El estado del cer ficado y el estado de todos los cer ficados de las CA en la cadena que emi eron el cer ficado. Si cualquiera de los cer ficados en la cadena del cer ficado ha sido revocado, la parte que con a es la única responsable de inves gar si la confianza en una firma digital efectuada por un suscriptor antes de la revocación de un cer ficado en la cadena es razonable. Cualquier confianza de este po es asumida únicamente bajo el riesgo de la parte que con a. Si se determina que el uso del cer ficado es apropiado, las partes que con an deben u lizar el hardware y so ware necesario para ejecutar la verificación de la firma digital u otra operación criptográfica que ellos deseen efectuar, como una condición para confiar en los cer ficados relacionados con tales operaciones. 88 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados 4.6 Renovación de cerƟficado La renovación del cer ficado no está permi da por esta CP, cuando un cer ficado requiera ser renovado debe solicitarse un nuevo cer ficado, de acuerdo con la sección 4.1 de este CP. 4.6.1 Circunstancias para renovación de cerƟficado No aplica. 4.6.2 Quién puede solicitar renovación No aplica. 4.6.3 Procesamiento de solicitudes de renovación de cerƟficado No aplica. 4.6.4 NoƟficación al suscriptor sobre la emisión de un nuevo cerƟficado No aplica. 4.6.5 Conducta consƟtuƟva de aceptación de un cerƟficado renovado No aplica. 4.6.6 Publicación por la CA del cerƟficado renovado No aplica. 4.6.7 NoƟficación por la CA de la emisión de un cerƟficado a otras enƟdades No aplica. 89 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados 4.7 Re–emisión de llaves de cerƟficado La re–emisión del cer ficado no está permi da por esta CP, cuando un cer ficado requiera ser re–emi do debe solicitarse un nuevo cer ficado, de acuerdo con la sección 4.1 de este CP. 4.7.1 Circunstancia para re–emisión de llaves de cerƟficado No aplica. 4.7.2 Quién puede solicitar la cerƟficación de una nueva llave pública No aplica. 4.7.3 Procesamiento de solicitudes de re–emisión de llaves de cerƟficado No aplica. 4.7.4 NoƟficación al suscriptor sobre la reemisión de un nuevo cerƟficado No aplica. 4.7.5 Conducta consƟtuƟva de aceptación de un cerƟficado reemiƟdo No aplica. 4.7.6 Publicación por la CA de los cerƟficados reemiƟdos No aplica. 4.7.7 NoƟficación por la CA de la reemisión de un cerƟficado a otras enƟdades No aplica. 90 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados 4.8 Modificación de cerƟficados 4.8.1 Circunstancias para modificación del cerƟficado Cuando se requiera la modificación de la información contenida en un cer ficado debe revocarse y realizar una solicitud para un nuevo cerficado, de acuerdo con la sección 4.1. 4.8.2 Quién puede solicitar modificación del cerƟficado No aplica. 4.8.3 Procesamiento de solicitudes de modificación del cerƟficado No aplica. 4.8.4 NoƟficación al suscriptor de la emisión de un nuevo cerƟficado No aplica. 4.8.5 Conducta consƟtuƟva de aceptación del cerƟficado modificado No aplica. 4.8.6 Publicación por la CA de los cerƟficados modificados No aplica. 4.8.7 NoƟficación por la CA de emisión de cerƟficado a otras enƟdades No aplica. 4.9 Revocación y suspensión de cerƟficado 4.9.1 Circunstancias para la revocación CerƟficados de CA: 91 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados A pe ción de la CA que considera o sospecha que su llave privada fue comprome da. Iden ficación o componentes de afiliación inválidos. Violación del acuerdo de suscriptor. Insolvencia, cese de ac vidades, quiebra o liquidación de la CA. Se comprueba la expedición de cer ficados falsos. Reincidencia en cualquiera de las infracciones que le hayan merecido una sanción de suspensión, dentro de los cinco años siguientes. Cuando se enen razones para creer que el cer ficado no fue emi do de acuerdo a los lineamientos de la CP aplicable. Cuando se determina que los pre–requisitos para la emisión del cer ficado no fueron sa sfechos. CerƟficados de firma digital y autenƟcación de persona İsica, de sello electrónico y agente electrónico de persona jurídica, y de sellado de Ɵempo: A pe ción del suscriptor, a favor de quién se expidió, quién ene razones o sospechas para creer que su llave privada ha sido comprome da. Cuando se confirme que el suscriptor ha comprome do su confiabilidad, desatendiendo los lineamientos de seguridad establecidos, suplido información falsa al cer ficador u omi do otra información relevante, con el propósito de obtener o re– emi r el cer ficado. Por fallecimiento (en el caso de persona sica), ausencia legalmente declarada, interdicción o insolvencia. Cuando el suscriptor finaliza el contrato por voluntad propia. Por errores de información del cer ficado, por ejemplo el nombre del suscriptor o alguno de los atributos. El acuerdo entre el suscriptor y la CA emisora se ha terminado. Cuando se enen razones para creer que el cer ficado no fue emi do de acuerdo a los lineamientos de la CP aplicable. Cuando se determina que los pre–requisitos para la emisión del cer ficado no fueron sa sfechos. Cuando la información incluida dentro del cer ficado es incorrecta o ha cambiado. Para el caso de los cer ficados de persona jurídica, cuando ven- 92 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados za el plazo social de la persona jurídica o cuando la misma sea disuelta. Adicionalmente, cuando se determine que el uso del cer ficado atenta contra la seguridad del Sistema Nacional de Cer ficación Digital. Esto se determinará con base en la legislación aplicable, la naturaleza y el número de denuncias recibidas, la iden dad del denunciante, y cualquier otra que la DCFD determine. 4.9.2 Quién puede solicitar revocación De pleno derecho el suscriptor del cer ficado puede solicitar la revocación de su cer ficado, ya sea por voluntad propia o por compromiso de su llave privada. En caso de sospecha o compromiso de su llave privada, la no ficación debe realizarla en forma inmediata a la CA correspondiente. Para todos los casos, la CA emisora del cer ficado y la autoridad judicial competente pueden solicitar la revocación del cer ficado. Asimismo, pueden solicitar la revocación los siguientes par cipantes según el po de cer ficado: Para cerƟficados de CA emisora o TSA El representante legal o apoderado con poderes suficientes de la CA emisora o TSA. La DCFD. sica Para cerƟficados de firma digital y autenƟcación de persona İ- El Tribunal Supremo de Elecciones, en caso de fallecimiento. Para cerƟficados de sello electrónico y agente electrónico de persona jurídica El personero o representante con facultades suficientes de la persona jurídica suscriptora del cer ficado (por ejemplo el tramitador de cer ficados digitales de persona jurídica vigente y 93 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados debidamente registrado ante el Registro Nacional). El Registro Nacional, por medio de su registro de personas jurídicas. Además, cualquier persona puede solicitar la revocación de un cer ficado ante la CA correspondiente presentando evidencia contundente que revele el compromiso de la llave privada del suscriptor. 4.9.3 Procedimiento para la solicitud de revocación Verificar que la solicitud de revocación ha sido presentada por el suscriptor del cer ficado o por una autoridad competente, de acuerdo con la sección 3.4. Las solicitudes para la revocación de cer ficados de CA emisoras deben ser auten cadas por sus en dades superiores dentro de la jerarquía nacional de cer ficadores registrados, para asegurar que la revocación de una CA emisora ha sido solicitada por una en dad autorizada para tales efectos. Para los casos donde un suscriptor posea dos o más cer ficados vigentes del mismo po y propósito, la CA emisora tendrá la responsabilidad de brindar al suscriptor la información suficiente que le permita determinar con exac tud cuál de los cer ficados es el que dicho suscriptor desea revocar, así como de informarle al momento de la revocación del estado de sus otros cer ficados vigentes. 4.9.4 Periodo de gracia para solicitud de revocación No se es pulan periodos de gracia para revocación de cer ficados, salvo los impuestos por la ley para realizar apelaciones. 4.9.5 Tiempo dentro del cual la CA debe procesar la solicitud de revocación Las solicitudes de revocación deben ser procesadas en un rango de empo razonable, de acuerdo con el procedimiento para la solicitud de revocación (ver sección 4.9.3). Cuando la solicitud provenga del suscrip- 94 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados tor y se u licen mecanismos electrónicos automa zados, la revocación debe realizarse en forma inmediata. 4.9.6 Requerimientos de verificación de revocación para las partes que conİan Las partes que con an deben evaluar el estado del cer ficado y el estado de todos los cer ficados de las CA en la cadena a la que pertenece el cer ficado, antes de confiar en él. En caso de que cualquiera de los cer ficados en la cadena del cer ficado haya sido revocado, la parte que con a es la única responsable de inves gar si la confianza en una firma digital efectuada por un suscriptor antes de la revocación de un cer ficado en la cadena es razonable. Cualquier confianza de este po es asumida únicamente bajo el riesgo de la parte que con a. Para estos propósitos las partes que con an pueden verificar el estado del cer ficado mediante el servicio de OCSP o la lista de revocación más reciente, de acuerdo con su grado de tolerancia al riesgo. 4.9.7 Frecuencia de emisión de CRL CA Raíz La CA Raíz debe actualizar su lista de revocación cada cuatro meses y cada vez que se presente una revocación del cer ficado de una CA de Polí cas, en cuyo caso se debe no ficar a las CA subsecuentes. CA de PolíƟcas La CA de Polí cas debe actualizar su lista de revocación cada dos meses y cada vez que se presente una revocación del cer ficado de una CA emisora, en cuyo caso se debe no ficar a todas las CA emisoras. CA emisora La CA emisora debe actualizar y publicar las listas de revocación al menos una vez a la semana. Además deberá publicar los Delta CRL una vez al día. 95 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados 4.9.8 Latencia máxima para CRLs La CA o TSA debe publicar la CRL en el repositorio en un plazo no mayor a dos horas posterior a su generación. 4.9.9 Disponibilidad de verificación de revocación/estado en línea Todas las CA o TSA deben mantener disponible un repositorio con información del estado de los cer ficados emi dos por ésta, el cual puede ser accedido vía Web. Adicionalmente, para la CA emisora registrada es obligatorio implementar el servicio de validación en línea OCSP. 4.9.10 Requerimientos para verificar la revocación en línea La parte que con a debe verificar el estado de un cer ficado en el cual desea confiar, u lizando los mecanismos de verificación del estado de cer ficados establecidos en la sección anterior. 4.9.11 Otras formas de advertencias de revocación disponibles No se es pulan. 4.9.12 Requerimientos especiales por compromiso de llaves reemiƟdas La DCFD debe no ficar en el menor empo posible a todos los par cipantes de la jerarquía nacional de cer ficadores registrados acerca del compromiso de la llave privada de alguna de las CA. 4.9.13 Circunstancias para suspensión 4.9.13.1 Suspensión de cerƟficados para personas İsicas o cerƟficados para de personas jurídicas De conformidad con el ar culo 14 de la ley 8454 de cer ficados digitales, las circunstancias de suspensión son: a. Por pe ción del propio usuario a favor de quién se expidió el cer ficado. 96 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados b. c. d. Como medida cautelar, cuando el cer ficador que lo emi ó tenga sospechas fundadas de que el propio usuario haya comprome do su confiabilidad, para obtener el cer ficado. Si contra el usuario se ha dictado auto de apertura a juicio, por delitos en cuya comisión se haya u lizado la firma digital. Por no cancelar oportunamente el costo del servicio. Para los efectos prác cos se puede implementar la suspensión de cer ficados de personas sicas o de personas jurídicas, como la anulación técnica del cer ficado, que evite que pueda seguir siendo u lizado para el propósito de firma por parte del suscriptor. Además, ninguna CA emisora podrá expedirle un cer ficado de firma o sello electrónico mientras el estado de suspensión se encuentre vigente. Este aspecto será determinado por las declaraciones de prác cas de cer ficación o el acuerdo de suscriptor definido por la CA que emita los cer ficados. 4.9.13.2 Suspensión de una CA Se puede suspender una CA emisora, si existe una orden judicial o por decisión de la DCFD, o cuando el ECA acredite que la CA emisora incumple las obligaciones que le impone la ley 8454 y su reglamento. Para este caso en par cular el reglamento define la suspensión de la CA emisora en el ar culo 32, como la imposibilidad para el cer ficador sancionado de expedir nuevos cer ficados digitales o de renovar los que expiren durante el plazo de suspensión. Esta suspensión no afectará a los cer ficados emi dos previamente. 4.9.14 Quién puede solicitar la suspensión De pleno derecho, el suscriptor del cer ficado puede solicitar la suspensión de su propio cer ficado. Asimismo, pueden solicitar la suspensión otros par cipantes según el po de cer ficado: 97 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados CerƟficados de CA y cerƟficados de autoridad de sellado de Ɵempo (TSA) El representante legal o apoderado con poderes suficientes de la CA emisora o TSA. El Ente Costarricense de Acreditación. La autoridad judicial competente. La DCFD. CerƟficados de firma digital y autenƟcación de persona İsica La autoridad judicial competente. La CA emisora. CerƟficados de sello electrónico y agente electrónico de persona jurídica El personero o representante con facultades suficientes de la persona jurídica suscriptora del cer ficado, o el tramitador de cer ficados digitales de persona jurídica vigente y debidamente registrado ante el Registro Nacional. La autoridad judicial competente. La CA emisora. 4.9.15 Procedimiento para la solicitud de suspensión El procedimiento de suspensión depende del po de cer ficado y del solicitante de la suspensión, de acuerdo con: CerƟficados de CA emisora o TSA El representante legal o apoderado con poderes suficientes de la CA emisora debe: o Presentar un documento de iden ficación legalmente aceptado y vigente, así como la personería jurídica vigente (con menos de un mes de emi da) donde se establezca su relación como representante legal o apoderado con poderes suficientes de la empresa o ins tución suscriptora del cer ficado. 98 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados o Implementar los controles y procedimientos para no expedir nuevos cer ficados digitales o de renovar los que expiren durante el plazo de suspensión. Ente Costarricense de Acreditación (ECA) o Comunicar a la DCFD el incumplimiento de la acreditación o de las obligaciones que imponen la ley 8454, Ley de cerficados, firmas digitales y documentos electrónicos y su reglamento. La autoridad judicial competente o Remi r a la DCFD la resolución en la que se ordena la suspensión, los alcances y los plazos de la misma. La DCFD o No ficar a la CA correspondiente las razones por las cuales se le va a suspender. o Recibir las pruebas de descargo correspondientes, en caso de que las hubieran. o Comunicar a las CA emisoras la resolución correspondiente. CerƟficados de firma digital y autenƟcación de persona İsica Suscriptor del cer ficado o Puede presentarse ante una RA de la CA que emi ó el cerficado y solicitar la suspensión. o Puede solicitar la suspensión vía web, proporcionando la respuesta a la “frase desa o” (challenge phrase) que suministró durante el proceso de aplicación del cer ficado. o Puede solicitar la suspensión a través del centro de atención al cliente de la CA que emi ó el cer ficado. o Por cualquier otro medio autorizado por la DCFD y que cumpla con un mecanismo de auten cación robusto. La autoridad judicial competente o Remi r a la DCFD la resolución en la que se ordena la suspensión, los alcances y los plazos de la misma. o La DCFD comunica a la CA emisora respec va, la resolución judicial para suspender el cer ficado de firma digital emi do para el suscriptor en cues ón. La CA emisora o Contar con las jus ficaciones para emi r la suspensión. 99 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados o o Si la suspensión es recurrida ante la Dirección de Cer ficadores de Firma Digital, la CA emisora debe esperar la resolución de la DCFD para suspender el cer ficado. Si fuera el caso, se procede con la suspensión (o revocación) del cer ficado. CerƟficados de sello electrónico y agente electrónico de persona jurídica El personero o representante con facultades suficientes de la persona jurídica suscriptora del cer ficado, o el tramitador de cer ficados digitales de persona jurídica vigente y debidamente registrado ante Registro Nacional debe: o Presentar ante la autoridad de registro correspondiente, la documentación que lo acredita como personero o representante con facultades suficientes o tramitador de cer ficados digitales de la persona jurídica. o Solicitar la suspensión del cer ficado. La autoridad judicial competente: o Remi r a la DCFD la resolución en la que se ordena la suspensión, los alcances y los plazos de la misma. La CA emisora: o Contar con las jus ficaciones para emi r la suspensión. o Si la suspensión es recurrida ante la Dirección de Cer ficadores de Firma Digital, la CA emisora debe esperar la resolución de la DCFD para suspender el cer ficado. o Si fuera el caso, se procede con la suspensión (o revocación) del cer ficado. 4.9.16 Límites del periodo de suspensión De acuerdo con el ar culo 8 del reglamento de la Ley 8454 de cerficados, firmas digitales y documentos electrónicos, la suspensión (o revocación) se mantendrá por todo el plazo en que subsista la causal que le dio origen. 100 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados 4.10 Servicios de estado de cerƟficado 4.10.1 CaracterísƟcas operacionales El estado de los cer ficados debe estar disponible a través de los CRL publicados en un si o Web (en el URL especificado en el CP) y para las CA emisoras de cer ficados de firma digital de personas sicas, es obligatorio implementar un servicio OCSP. 4.10.2 Disponibilidad del servicio La CA debe mantener los servicios de verificación del estado de los cer ficados disponibles 24 x 7 x 365. 4.10.3 CaracterísƟcas opcionales El servicio OCSP, que permite consultar el estado de cer ficados es una caracterís ca opcional para la CA de la Raíz y las CAs de polí cas. Sin embargo, para las CA emisoras cons tuye una caracterís ca obligatoria. 4.11 Finalización de la suscripción Un suscriptor puede finalizar su suscripción de las siguientes formas: Revocando su cer ficado antes del vencimiento (fecha de expiración). Cuando expira el cer ficado. 4.12 Custodia y recuperación de llave 4.12.1 PolíƟca y prácƟcas de custodia y recuperación de llave La CA no debe custodiar llaves de suscriptores para ningún cer ficado cuyo propósito sea de firma digital, únicamente se man enen respaldos de sus propias llaves privadas de acuerdo con el Plan de Con nuidad de Negocio. Para los efectos de Plan de Con nuidad de Negocio, las llaves privadas de las CA deben estar en custodia y respaldadas bajo estrictas 101 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados normas de seguridad, y almacenadas en disposi vos criptográficos FIPS 140–2 nivel 3, que garan zan la no divulgación de las llaves. 4.12.2 PolíƟcas y prácƟcas de recuperación y encapsulación de llave de sesión Sin es pulaciones para esta sección. 5. Controles operacionales, de gesƟón y de instalaciones La Autoridad Cer ficadora Raíz man ene controles de seguridad no– técnicos (esto es, controles sicos, procedimientos y de personal) para asegurar la ejecución de las funciones de generación de llave, auten cación de los sujetos, emisión del cer ficado, revocación del cer ficado, auditoría y almacenamiento. 5.1 Controles İsicos 5.1.1 Localización y construcción del siƟo Las operaciones de la CA deben estar dentro de un ambiente de protección sica que impida y prevenga usos o accesos no autorizados o divulgación de información sensible. Las instalaciones de la CA deben contar con al menos cuatro perímetros de seguridad sica (área de recepción, área de servicios de soporte– clima zación, energía, comunicaciones, etc.–, área de operación de la CA, área de custodia de material criptográfico). Un perímetro es una barrera o entrada que provee un control de acceso para individuos y requiere una respuesta posi va para proceder a ingresar a la siguiente área. Cada perímetro sucesivo se encuentra más restringido, con controles de acceso más estrictos. Las instalaciones donde se crean los cer ficados de la CA se deben proteger con su propio y único perímetro sico, y las barreras sicas (paredes, barrotes) deben ser sólidas, extendiéndose desde el piso real al cielo raso real. Asimismo, estas barreras deben prevenir las emisiones de radiación electromagné ca. 102 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados 5.1.2 Acceso İsico Los controles de acceso sico deben evitar el acceso no autorizado a las instalaciones de la CA. Adicionalmente, el acceso al recinto donde se encuentran las operaciones de la autoridad cer ficadora debe u lizar controles con 2 factores de auten cación como mínimo (al menos uno de ellos debe ser biométrico). Cuando las instalaciones operacionales de la CA estén desocupadas, deben estar cerradas con llave y con las alarmas debidamente ac vadas. Los perímetros deben ser auditados y controlados para verificar que solo puede tener acceso el personal autorizado debidamente iden ficado. Los derechos de acceso a las instalaciones de la CA deben revisarse y actualizarse regularmente, al menos cada seis meses o cuando se presente movimiento en el personal relacionado con labores de operación de la CA. Los visitantes o personal de servicio de soporte tercerizado que requiera acceso a las instalaciones operacionales de la CA, deben ser escoltados y registrarse el responsable de autorizar el acceso, la fecha y hora de entrada y salida. 5.1.3 Energía y aire acondicionado El equipo de la autoridad cer ficadora debe protegerse contra fallas en el fluido eléctrico corriente y otras anomalías en la energía. Las instalaciones de la CA deben estar equipadas con sistemas de energía primario y de respaldo para asegurar con nuidad del fluido eléctrico. Las instalaciones deben contar con sistemas de aire acondicionado redundantes. El equipo instalado para clima zar el recinto, debe ser capaz de controlar la humedad rela va del mismo. 103 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados 5.1.4 Exposiciones al agua Las instalaciones de la CA deben ser construidas y equipadas, y contar con procedimientos implementados para prevenir inundaciones y otros daños por exposición al agua. 5.1.5 Prevención y protección contra fuego Las instalaciones de la CA deberán contar con procedimientos implementados para la prevención y protección al fuego. Además de ser construidas y equipadas para prevenir, detectar y suprimir incendios o daños producidos por la exposición a llamas o humo. 5.1.6 Almacenamiento de medios La CA debe asegurar el adecuado manejo y protección de los medios de almacenamiento de información, que contengan datos crí cos o sensi vos del sistema, contra daños accidentales (agua, fuego, electromagne smo) y debe impedir, detectar y prevenir su uso no autorizado, acceso o su divulgación. 5.1.7 Eliminación de residuos La CA debe implementar controles para la eliminación de residuos (papel, medios, equipos y cualquier otro desecho) con el fin de prevenir el uso no autorizado, el acceso o divulgación de información privada y confidencial contenida en los desechos. 5.1.8 Respaldo fuera de siƟo La CA debe mantener respaldos de los datos crí cos del sistema y de cualquier otra información sensi va, incluyendo los datos de auditoría, en una instalación segura fuera del si o principal. 5.2 Controles procedimentales 5.2.1 Roles de confianza Los empleados, contra stas y consultores designados para ges onar 104 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados la infraestructura de confianza deben ser considerados “personas de confianza” sirviendo en “roles de confianza”. Los roles de confianza deben incluir, al menos, roles que contemplen las siguientes responsabilidades: a. b. c. d. e. f. g. responsabilidad general de administrar la implementación de las prác cas de seguridad de la CA; aprobación de la generación, revocación y suspensión de los cer ficados; instalación, configuración y mantenimiento de los sistemas de la CA; operación diaria de los sistemas de la CA, respaldo y recuperación de sistemas; funciones de auditoria interna para ejecutar la inspección y mantenimiento de las bitácoras del sistema de la CA y de los registros de auditoría; funciones de ges ón del ciclo de vida de llaves criptográficas (ejemplo, custodios de componentes de llaves); desarrollo de sistemas de la CA. 5.2.2 Número de personas requeridas por tarea La CA debe establecer, mantener y ejecutar procedimientos de control rigurosos para asegurar la segregación de funciones, basados en las responsabilidades del trabajo y la can dad de personas de confianza que ejecutan las tareas sensi vas. 5.2.3 IdenƟficación y autenƟcación para cada rol La CA debe confirmar la iden dad y autorización de todo el personal que intente iniciar labores de confianza. La auten cación de la iden dad debe incluir la presencia sica de la persona y una verificación por medio de documentos vigentes de iden ficación legalmente reconocidos, tales como la cédula de iden dad para los ciudadanos costarricenses, o el documento único de permanencia, en caso de extranjeros. 105 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados 5.2.4 Roles que requieren separación de funciones Los roles que requieren separación de los deberes incluyen (pero no está limitado) a los encargados de ejecutar las siguientes responsabilidades: La validación de información en aplicaciones de cer ficado y de solicitudes o información del suscriptor. La aceptación, rechazo, otros procesamientos de la aplicación de cer ficado, solicitud de revocación, información de afiliación. La emisión, o revocación de los cer ficados, incluyendo personal con acceso a porciones restringidas del repositorio. La generación, emisión o destrucción de los cer ficados de la CA. La puesta en operación de la CA en producción. La auditoría interna de la operación de la CA y RA debe ser ejecutada por un rol par cular. 5.3 Controles de personal 5.3.1 Requerimientos de experiencia, capacidades y autorización Las personas seleccionadas para laborar en roles de confianza deben contar con un contrato y deben: Haber aprobado exitosamente el programa de entrenamiento apropiado. Haber demostrado capacidad para ejecutar sus deberes. Haber aceptado las cláusulas de confidencialidad. No poseer otros deberes que puedan interferir o causar conflicto con los de la CA. No tener antecedentes de negligencia o incumplimiento de labores. No tener antecedentes penales. 5.3.2 Procedimientos de verificación de antecedentes La CA debe contar con procedimientos para verificar la experiencia y 106 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados los antecedentes del personal que intenta obtener un rol de confianza. Algunos aspectos de la inves gación de antecedentes incluyen: Confirmación de empleos anteriores. Verificación de referencias profesionales. Título académico obtenido. Búsqueda de antecedentes criminales. Verificación de registros financieros y credi cios. La verificación de registros financieros y credi cios debe ser repe da para el personal de confianza al menos una vez cada tres años. Los antecedentes deben ser evaluados por la CA para tomar las acciones que sean razonables, de acuerdo al po, magnitud y frecuencia del comportamiento descubierto por la inves gación respec va. Los factores revelados en el proceso de verificación pueden ser considerados como mo vos para re rar al funcionario del puesto de confianza. 5.3.3 Requerimientos de capacitación Todo el personal involucrado en las operaciones de la CA debe estar capacitado apropiadamente, en aspectos tales como: operación del software y hardware, polí cas y procedimientos organizacionales, procedimientos de seguridad y operacionales, y las es pulaciones legales. 5.3.4 Requerimientos y frecuencia de re–capacitación La CA debe capacitar al personal cuando se presenten cambios significa vos en las operaciones de la CA, por ejemplo cuando se producen actualizaciones de hardware o so ware, cambios en los sistemas de seguridad, etc. La CA debe proveer los programas de entrenamiento y actualización a su personal para asegurar que el personal man ene el nivel requerido de eficiencia para ejecutar sus labores sa sfactoriamente. 5.3.5 Frecuencia y secuencia en la rotación de las funciones La CA debe efectuar una rotación de sus roles de trabajo. La frecuen- 107 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados cia de la rotación del personal debe ser al menos: una vez cada tres años, para la CA emisora. una vez cada cinco años, para la CA Raíz. Antes de asumir las nuevas labores, el personal debe recibir a una actualización de la capacitación que le permita asumir las tareas sa sfactoriamente. 5.3.6 Sanciones para acciones no autorizadas La CA debe ejecutar las acciones administra vas y disciplinarias apropiadas contra el personal que violente las normas de seguridad establecidas en esta polí ca o su CPS, de acuerdo a lo es pulado en el contrato de trabajo definido para los roles de confianza. Además debe llevar un registro de la frecuencia y severidad de las acciones, con el fin de determinar la sanción que debe ser aplicada. 5.3.7 Requerimientos para contraƟstas independientes La CA puede contratar personal externo o consultores solamente si existe una relación claramente definida con el contra sta y bajo las siguientes condiciones: existe un contrato con cláusulas propias de los roles de confianza y es pula sanciones para las acciones no autorizadas. no se posee personal disponible para llenar los roles de confianza contratados. los contra stas o consultores cumplen con los mismos requisitos del punto 5.3.1. una vez finalizado el servicio contratado se revocan los derechos de acceso. 5.3.8 Documentación suministrada al personal La CA debe suministrar suficiente documentación al personal para que ejecute un rol, donde se definen los deberes y procedimientos para el correcto desempeño de su función. 108 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados 5.4 Procedimientos de bitácora de auditoría La CA debe mantener controles para proveer una seguridad razonable de que: los eventos relacionados con el ambiente de operación de la CA, la ges ón de las llaves y los cer ficados, son registrados exacta y apropiadamente; se man ene la confidencialidad y la integridad de los registros de auditoría vigentes y archivados; los registros de auditoría son archivados completa y confidencialmente; los registros de auditoría son revisados periódicamente por personal autorizado. 5.4.1 Tipos de eventos registrados La CA debe registrar los pos de eventos que se presentan en sus operaciones. La CA debe mantener las bitácoras manuales o automá cas, indicando para cada evento la en dad que lo causa, la fecha y hora del mismo. La CA debe registrar los eventos relacionados con: la ges ón del ciclo de vida de las llaves de la CA; la ges ón del ciclo de vida del disposi vo criptográfico; la ges ón del ciclo de vida del sujeto de cer ficado; la información de solicitud de cer ficados; la ges ón del ciclo de vida del cer ficado; los eventos sensibles de seguridad; Las bitácoras de auditoría no deben registrar las llaves privadas de ninguna forma y los relojes del sistema de cómputo de la CA deben estar sincronizados con el servicio de empo UTC–6 para un registro exacto de los eventos. 5.4.2 Frecuencia de procesamiento de la bitácora El personal de la CA emisora con el rol de auditor debe realizar al menos tres revisiones por año de las bitácoras de auditoría, sin necesidad de ser avisadas; mientras que la CA de la Raíz debe realizar al menos una revisión anual de las bitácoras. 109 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados Además de las revisiones oficiales, las bitácoras de auditoría deben ser revisadas en respuesta a una alerta, por irregularidades o incidentes dentro de los sistemas de la CA. El procesamiento de la bitácora de auditoría consiste en una revisión de las bitácoras y la documentación de los mo vos para los eventos significa vos, y todas las acciones deben ser documentadas. Las bitácoras de auditorías actuales y archivadas deben ser recuperadas solamente por personal autorizado, ya sea por razones válidas del negocio o por seguridad. 5.4.3 Periodo de retención para la bitácora de auditoría Las bitácoras de auditoría deben ser mantenidas en el sistema por al menos dos meses posterior a su procesamiento y deber ser archivadas de acuerdo a la sección 5.5.2. 5.4.4 Protección de bitácora de auditoría Las bitácoras de auditorías actuales o archivadas deben mantenerse de forma que se prevenga su revelación, modificación, destrucción no autorizada o cualquier otra intromisión. 5.4.5 Procedimientos de respaldo de bitácora de auditoría La CA debe mantener copias de respaldo de todos los registros auditados. 5.4.6 Sistema de recolección de auditoría (interno vs. externo) Los procesos de auditoría de seguridad deben ejecutarse independientemente y no deben, de ninguna forma, estar bajo el control de la CA, los procesos de auditoría deben ser invocados al iniciar el equipo y terminarlos solo cuando el sistema es apagado. En caso de que el sistema automa zado de auditoría falle, la operación de la CA debe cesar hasta que las capacidades de auditoría puedan ser reestablecidas. 110 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados 5.4.7 NoƟficación al sujeto que causa el evento Cuando un evento es almacenado por la bitácora, no se requiere noficar al causante de dicho evento. 5.4.8 Evaluación de Vulnerabilidades La CA y el personal opera vo deben estar vigilantes de intentos para violar la integridad del sistema de generación de cer ficados, incluyendo equipo, localización sica y personal. Las bitácoras deben ser revisadas por un auditor de seguridad para los eventos que poseen acciones repe vas, solicitudes para información privilegiada, intentos de acceso al sistema de archivos y respuestas no auten cadas. Los equipos donde se ejecutan las operaciones de la CA emisora deben someterse a análisis semestrales de vulnerabilidades. 5.5 Archivado de registros 5.5.1 Tipos de registros archivados La CA debe almacenar los registros para establecer la validez de una firma y de la operación propia de la infraestructura PKI. Se deben archivar los siguientes datos: Durante la inicialización del sistema de la CA: la acreditación de la CA (si es necesaria); el CP y el CPS; cualquier acuerdo contractual para establecer los límites de la CA; la configuración del sistema. Durante la operación de la CA: modificaciones o actualizaciones de cualquiera de los ítems anteriores; solicitudes de cer ficados o de revocación; documentación para auten car la iden dad del suscriptor; 111 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados documentación de recepción y aceptación del cer ficado; documentación de recepción de disposi vos de almacenamiento de llaves; todos los cer ficados y CRLs (información de revocación) tanto emi dos o publicados; bitácoras de auditoría; otros datos o aplicaciones para verificar el contenido de los archivos; todos los trabajos comunicados o relacionados a polí cas, otras CA y cumplimiento de auditoría. 5.5.2 Periodos de retención para archivo Todos los archivos deben mantenerse por un periodo de al menos diez años. Además de mantener los controles para que los archivos puedan ser leídos durante el periodo de retención definido. 5.5.3 Protección de archivo Los archivos no deben modificarse o eliminarse por alguna operación no autorizada del equipo de la CA. La CA debe mantener la lista de personas autorizadas a mover los registros a otros medios. Los medios de almacenamientos deben estar guardados en instalaciones seguras, los registros deben ser e quetados con un nombre disn vo, la fecha y hora de almacenamiento y la clasificación del po de información. 5.5.4 Procedimientos de respaldo de archivo La CA debe mantener procedimientos adecuados de respaldo de archivos ( sicos y electrónicos), tanto en el si o principal como en el alterno, que aseguren la disponibilidad de los mismos, de acuerdo a un análisis de riesgos determinado por los factores de operación de la CA. 5.5.5 Requerimientos para sellado de Ɵempo de registros Los cer ficados, las listas de revocación (CRL) y otras entradas en la bases de datos de revocación debe contener información de fecha y 112 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados hora. Esta información de fecha y hora no necesita tener una base criptográfica, pero si debe estar sincronizada con el servicio de empo de la UTC–6. 5.5.6 Sistema de recolección de archivo (interno o externo) Los sistemas de archivos de la CA son internos al ámbito de sus operaciones y deben conservar las pistas de auditoría. 5.5.7 Procedimientos para obtener y verificar la información archivada Solamente el personal de confianza autorizado está habilitado para obtener acceso al archivo. La CA debe realizar pruebas de restauración de la información archivada al menos una vez al año. La integridad de la información debe ser verificada cuando es restaurada. 5.6 Cambio de llave La CA debe cambiar periódicamente sus llaves de firma, de acuerdo con los años de validez de sus cer ficados en la jerarquía nacional de cer ficadores registrados ( empo de uso) y considerando que el úl mo cer ficado otorgado debe poder ser verificado durante su vigencia ( empo operacional), tal como se muestra en el siguiente cuadro: Nivel de jerarquía Cer ficado de suscriptores Tiempo máximo de uso en años 4 Tiempo operacional en años 4 Descripción El cer ficado emi do al usuario es otorgado por un máximo de 4 años, al finalizar ese periodo pierde su validez. 113 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados CA emisoras Tiempo máximo de uso en años 8 CA Polí cas 12 24 CA Raíz 24 48 Nivel de jerarquía Tiempo operacional en años 12 Descripción A la CA emisora se le otorga un cer ficado con una validez de máximo 8 años, durante ese periodo puede emi r cer ficados a los usuarios o suscriptores. Sin embargo el úl mo cer ficado emi do antes de vencer su validez, debe tener la misma efec vidad, es decir, cuatro años para el usuario o suscriptor. Entonces su empo de uso es 8 años (con capacidad para emi r cer ficados de suscriptor), pero dura cuatro años más en operación para validar las listas de revocación, de ahí que el empo operacional es por 12 años. La CA de polí cas ene una validez de máximo 12 años, y el úl mo cer ficado otorgado a una CA emisora debe garan zar la operación por doce años más. Por estos mo vos el periodo operacional de la CA de Polí cas debe ser de al menos 24 años. Siguiendo el mismo criterio la validez de la CA Raíz es máximo 24 años, más 24 años que pueda operar la CA de Polí ca, da como resultado los 48 años de empo operacional para el cer ficado de la CA Raíz. Del cuadro anterior, se deduce que en determinado momento puede haber dos cer ficados del mismo nivel y po ac vos, donde el empo de traslape de la vigencia de los cer ficados debe ser de al menos el empo operacional del cer ficado de un suscriptor. Los responsables de las CAs tendrán la obligación de garan zar que el empo máximo de uso en años de los cer ficados de niveles inferiores se ajusta con el empo operacional de todos los niveles superiores. 5.7 Recuperación de desastre y compromiso 5.7.1 Procedimientos para el manejo de incidente y compromiso La CA debe contar con polí cas y procedimientos formales para el reporte y atención de incidentes. 114 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados Los funcionarios ejecutando roles de confianza deben velar por la seguridad de las instalaciones y la CA debe mantener procedimientos para que estos funcionarios reporten los incidentes. La CA debe mantener un plan de recuperación de desastres, si el equipo de la CA es dañado entonces las operaciones de la CA deben reestablecerse lo más pronto posible, dando prioridad a la capacidad de revocar cer ficados de suscriptor. Si la CA no puede ser reestablecida dentro de una semana, entonces su llave se reporta como comprome da y todos sus cer ficados son revocados. En casos excepcionales, la DCFD puede otorgar extensiones para la CA. 5.7.2 Corrupción de datos, soŌware y/o recursos computacionales Posterior a una corrupción de recursos computacionales, so ware o datos, la CA afectada debe realizar, en forma oportuna, un reporte del incidente y una respuesta al evento. 5.7.3 Procedimientos de compromiso de llave privada de la enƟdad La CA debe mantener controles para brindar una seguridad razonable de que la con nuidad de las operaciones se mantenga en caso de compromiso de las llaves privadas de la CA. Los planes de con nuidad del negocio de la CA deben referirse al compromiso o sospecha de compromiso de las llaves privadas de la CA como un desastre. En caso de que la llave de la CA se haya comprome do, el superior de la CA deberá revocar el cer ficado de CA, y la información de la revocación debe publicarse inmediatamente. 5.7.4 Capacidad de conƟnuidad del negocio después de un desastre La CA debe contar con un proceso administra vo para desarrollar, probar, implementar y mantener sus planes de con nuidad del negocio. 115 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados La CA debe desarrollar, probar, mantener e implementar un plan de recuperación de desastres des nado a mi gar los efectos de cualquier desastre natural o producido por el hombre. Los planes de recuperación de desastres se enfocan en la restauración de los servicios de sistemas de información y de las funciones esenciales del negocio. El si o alterno debe contar con protecciones de seguridad sica equivalentes al si o principal. El si o alterno, deben tener la capacidad de restaurar o recobrar operaciones esenciales dentro de las vein cuatro horas siguientes al desastre, con al menos soporte para las siguientes funciones: revocación de cer ficados y publicación de información de revocación. 5.8 Terminación de una CA o RA En caso de que la terminación de la CA se dé por conveniencia, reorganización, o por otras razones que no estén relacionadas con la seguridad, entonces se deben tomar las previsiones antes de terminar la CA para evitar el compromiso de toda la infraestructura. En este caso, puede ser que ningún cer ficado firmado por la CA deba ser revocado. En caso de que la terminación de la CA esté relacionada con eventos de seguridad, entonces la CA debe considerarse como una CA comprome da. Antes de la terminación de la CA, toda la información relacionada con la operación de la CA deben ser enviados a la DCFD para su custodia. Cuando se presenta la terminación de una RA, todos los archivos de datos deben ser enviados a la CA respec va para su custodia. Si se presenta un compromiso de la llave de la CA o un desastre donde las instalaciones de la CA están sicamente dañadas y todas las copias de las llaves de firma de la CA están destruidos, entonces la CA debe solicitar que se revoque su cer ficado. Cada CA o RA debe desarrollar un plan de terminación que minimice el impacto y la interrupción del servicio provisto a los clientes, suscrip- 116 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados tores y partes que con an. Dicho plan debe darle tratamiento al menos a los siguientes puntos: No ficación a las partes afectadas asumiendo el costo de la misma. Procedimiento de revocación del cer ficados (de la CA, CA subordinadas, los u lizados en RA para sus operaciones, suscriptores, etc. según sea el caso). La preservación de toda la información en concordancia con este CP y la norma va aplicable. La con nuación de los servicios de validación de los cer ficados y de soporte a los suscriptores. Procedimientos para la eliminación de las llaves privadas y del hardware que las con ene. Disposiciones para la transición de los servicios a una CA sucesora. 6. Controles técnicos de seguridad En esta sección se definen las medidas de seguridad tomadas por la CA para proteger sus llaves criptográficas y los datos de ac vación. La ges ón de las llaves es un factor crí co que permite asegurar que todas las llaves privadas están protegidas y solamente pueden ser ac vadas por personal autorizado. 6.1 Generación e instalación del par de llaves La CA mantendrá controles para brindar seguridad razonable de que los pares de llaves de la CA, se generan e instalan de acuerdo con el protocolo definido para la generación de llaves. 6.1.1 Generación del par de llaves El proceso de generación de llaves ejecutado por la CA previene la pérdida, divulgación, modificación o acceso no autorizado a las llaves privadas que son generadas. Este requerimiento aplica para toda la jerarquía nacional de cer ficadores registrados hasta llegar a los suscriptores. 117 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados CerƟficados de CA emisora La CA debe generar las llaves mediante un proceso seguro por medio del módulo criptográfico de hardware, que cumple como mínimo el estándar Fips 140–2 nivel 3 y a un procedimiento acorde con la “ceremonia de generación de llaves” definida en el anexo D de la norma INTE/ ISO 21188 “Infraestructura de llave pública para servicios financieros– Estructura de prác cas y polí cas.”. La CA garan za que la llave privada de firma nunca permanecerá fuera del módulo donde fue generada, a menos que se almacene en un mecanismo de recuperación de llaves. El proceso de generación de llaves de CA debe producir llaves que: a. b. c. d. sean apropiadas para la aplicación o propósito des nado y que sean proporcionales a los riesgos iden ficados; usen un algoritmo aprobado en este CP, de acuerdo a la sección 7.1.3; tengan una longitud de llave que sea apropiada para el algoritmo y para el período de validez del cer ficado de la CA, de acuerdo con la sección 6.1.5 de tamaños de llave; tomen en cuenta los requisitos del tamaño de llave de la CA padre (la CA que le emi ó el cer ficado) y subordinada (la CA que recibe el cer ficado); CerƟficados de firma digital y autenƟcación de persona İsica La generación de las llaves de los suscriptores requiere que los módulos de criptogra a asociados cumplan al menos con el estándar Fips 140–2 nivel 2, o bien que posean al menos la cer ficación Common Criteria EAL 4+ en el perfil de protección SSCD po 3. CerƟficados de sello electrónico y agente electrónico de persona jurídica La generación de las llaves de los cer ficados de persona jurídica requiere que los módulos de criptogra a asociados cumplan al menos con el estándar Fips 140–2 nivel 3, o bien que posean al menos la cer ficación Common Criteria EAL 4+ en el perfil de protección SSCD po 3. 118 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados CerƟficados de autoridad de sellado de Ɵempo (TSA) La TSA debe generar las llaves mediante un proceso seguro, con un módulo criptográfico de hardware, que cumpla al menos con el estándar Fips 140–2 nivel 3. 6.1.2 Entrega de la llave privada al suscriptor Se debe generar y mantener la llave privada dentro de los límites del módulo criptográfico, es decir el módulo criptográfico debe generar la llave privada localmente. 6.1.3 Entrega de la llave pública al emisor del cerƟficado Las llaves públicas transferidas deben ser entregadas a través de mecanismos que aseguren que la llave pública no se altera durante el tránsito. CerƟficados de CA emisora La llave pública debe ser entregada mediante un método fuera de banda, tal como: almacenado en un módulo criptográfico de la en dad; otros medios seguros que garan cen auten cidad e integridad. CerƟficados de firma digital y autenƟcación de persona İsica La llave pública debe ser entregada por la RA a través de medios legibles por computadoras desde una fuente auten cada; CerƟficados de sello electrónico y agente electrónico de persona jurídica La llave pública debe ser distribuida u lizando uno de los siguientes métodos: medios legibles por computadoras desde una fuente auten cada; 119 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados almacenado en un módulo criptográfico de la en dad; otros medios seguros que garan cen auten cidad e integridad. CerƟficados de autoridad de sellado de Ɵempo (TSA) La llave pública debe ser entregada mediante un método fuera de banda, tal como: almacenado en un módulo criptográfico de la en dad; otros medios seguros que garan cen auten cidad e integridad. 6.1.4 Entrega de la llave pública de la CA a las partes que conİan La distribución de la llave pública se realiza a través del cer ficado digital y del repositorio público respec vo. 6.1.5 Tamaños de llave El tamaño de las llaves debe ser suficientemente largo para prevenir que otros puedan determinar la llave privada u lizando cripto–análisis durante el periodo de uso del par de llaves. CerƟficados de CA emisora La llave de la CA raíz debe tener un tamaño mínimo de 4096 bits. La CA de Polí cas debe mantener llaves con un tamaño mínimo de 2048 bits. Para las CA emisoras debe tener un tamaño de 2048 bits. CerƟficados de firma digital y autenƟcación de persona İsica y cerƟficados de sello electrónico y agente electrónico de persona jurídica y de TSA El tamaño de las llaves para el suscriptor debe ser de 2048 bits. La longitud de la llave pública que será cer ficada por la CA, debe ser menor o igual al tamaño de la llave privada de firma de la CA. 120 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados 6.1.6 Generación de parámetros de llave pública y verificación de calidad La CA genera y verifica los parámetros de llave pública de acuerdo con el estándar FIPS 186–2 (Digital Signature Standard–DSS) que define el cripto–algoritmo u lizado en la generación. 6.1.7 Propósitos de uso de llave (Campo “keyusage” de X.509 v3) CerƟficados de CA emisora La CA Raíz únicamente podrá emi r cer ficados de firma para las Autoridades de Polí cas y para las CRL respec vas. Las CAs de polí cas únicamente podrán emi r cer ficados de firma a las CA emisoras y para sus CRLs. La CA emisora no puede emi r cer ficados con el uso de encripción. CerƟficados de firma digital y autenƟcación de persona İsica Los suscriptores tendrán dos cer ficados emi dos uno con el uso de firma digital y el otro con el uso de auten cación. Para firmar: digitalSignature + nonRepudia on Para auten carse: digitalSignature + keyEncipherment CerƟficados de sello electrónico y agente electrónico de persona jurídica Los suscriptores tendrán dos cer ficados emi dos uno con el uso de sello electrónico (firma digital) y el otro con el uso de agente electrónico (auten cación). Para sello electrónico: digitalSignature + nonRepudia on Para agente electrónico: digitalSignature + keyEncipherment + dataEncipherment 121 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados 6.2 Controles de ingeniería del módulo criptográfico y protección de la llave privada 6.2.1 Estándares y controles del módulo criptográfico CerƟficados de CA emisora La CA debe mantener controles para asegurar que las llaves privadas de la CA permanecen confidenciales y man enen su integridad y el acceso al hardware criptográfico de la CA está limitado a individuos autorizados. Las llaves privadas de la CA deben ser respaldadas, guardadas y recuperadas por personal autorizado con roles de confianza, u lizando controles múl ples en un ambiente sicamente seguro. Las copias de respaldo de las llaves privadas de la CA Raíz deben estar sujetas al mismo o mayor nivel de controles de seguridad que las llaves que actualmente están en uso. La recuperación de las llaves de la CA debe llevarse a cabo de una forma tan segura como el proceso de respaldo. El estándar de módulos criptográficos es el “Security Requirements for Cryptographics Modules” (actualmente FIPS140). Los módulos criptográficos para las CAs Emisoras deben cer ficarse como mínimo con el FIPS 140–2 nivel 3. CerƟficados de firma digital y autenƟcación de persona İsica El suscriptor debe cumplir con los controles definidos en el acuerdo de suscriptor y u lizar módulos criptográficos basados como mínimo en el estándar FIPS 140–2 nivel 2, o bien que posean al menos la cer ficación Common Criteria EAL 4+ en el perfil de protección SSCD po 3. CerƟficados de sello electrónico y agente electrónico de persona jurídica Los suscriptores de cer ficados de persona jurídica deben cumplir con los controles definidos en el acuerdo de suscriptor y u lizar un mó- 122 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados dulo criptográfico basado como mínimo en el estándar FIPS 140–2 nivel 3, o bien que posean al menos la cer ficación Common Criteria EAL 4+ en el perfil de protección SSCD po 3. CerƟficados de autoridad de sellado de Ɵempo (TSA) El cer ficado de TSA debe cumplir con los controles definidos en el acuerdo de suscriptor y u lizar un módulo criptográfico basado como mínimo en el estándar FIPS 140–2 nivel 3. 6.2.2 Control mulƟ–persona de llave privada (m de n) CerƟficados de CA emisora Para la ac vación de la llave privada de firma de la CA se debe u lizar controles de acceso de múl ples partes (es decir, “m” de “n”) con un valor mínimo de 3 para “m”. Si las llaves privadas de la CA son respaldadas, estas deben ser respaldadas, guardadas y recuperadas por personal autorizado con roles de confianza, u lizando controles múl ples en un ambiente sicamente seguro. La can dad de personal autorizado para llevar a cabo esta función debe mantenerse al mínimo. CerƟficados de firma digital y autenƟcación de persona İsica Sin es pulaciones. CerƟficados de sello electrónico y agente electrónico de persona jurídica Para la ac vación de la llave privada de sello electrónico y/o agente electrónico de persona jurídica se debe u lizar controles de acceso que resguarden la llave privada. Una vez ac vado el disposi vo de firma, se debe mantener resguardado sicamente y monitoreado, para evitar uso inapropiado. 123 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados CerƟficados de autoridad de sellado de Ɵempo (TSA) Para la ac vación de la llave privada de firma del TSA se debe u lizar controles de acceso de múl ples partes (es decir, “m” de “n”) con un valor mínimo de 3 para “m”. Una vez ac vado el disposi vo de firma se debe mantener resguardado sicamente y monitoreado, para evitar otros usos. 6.2.3 Custodia de llave privada No se deben implementar servicios de custodia de llaves de firmas emi das a terceros. 6.2.4 Respaldo de llave privada Los respaldos de llaves privadas de la CA son únicamente para propósitos de recuperación en caso de una con ngencia o desastre. Los planes de con nuidad del negocio de la CA deben incluir procesos de recuperación de desastres para todos los componentes crí cos del sistema de la CA, incluyendo el hardware, so ware y llaves, en el caso de falla de uno o más de estos componentes. Las copias de respaldo de las llaves privadas de la CA deberían estar sujetas al mismo o mayor nivel de controles de seguridad que las llaves que actualmente están en uso. La recuperación de las llaves de la CA debe llevarse a cabo de una forma tan segura como el proceso de respaldo. Las llaves privadas de cer ficados de firma digital de los suscriptores no son respaldadas por ningún mo vo en la CA, y estas permanecen dentro de los límites de los disposi vos criptográficos donde fueron generadas. 6.2.5 Archivado de llave privada La CA no archiva la llave privada de ninguno de los suscriptores. En el caso de la CA, ésta debe archivar su par de llaves (pública y privada) en forma encriptada en concordancia con las disposiciones de protección de llaves definidas en este CP, por un plazo acorde con la legislación aplicable. 124 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados 6.2.6 Transferencia de llave privada hacia o desde un módulo criptográfico Las llaves privadas de la CA son generadas por un módulo criptográfico seguro. En el evento que una llave privada es transportada desde un módulo criptográfico a otro, la llave privada debe estar encriptada durante su transporte. La llave privada usada para encriptar el transporte de la llave privada debe estar protegida contra divulgación no autorizada. 6.2.7 Almacenamiento de la llave privada en el módulo criptográfico Los disposi vos criptográficos u lizados para el almacenamiento del respaldo de las llaves privadas de la CA deben ser guardados de forma segura, en un si o alterno, para que sean recuperados en el caso de un desastre en el si o primario Las partes de la clave secreta o los componentes necesarios para usar y ges onar los disposi vos criptográficos de recuperación de desastres, deberían estar también guardados con seguridad en una ubicación fuera del si o primario. Las llaves privadas de la CA deben ser almacenadas y u lizadas dentro de un disposi vo criptográfico seguro que cumpla como mínimo con el perfil de protección apropiado de los requisitos del estándar FIPS 140–2 nivel 3 6.2.8 Método de acƟvación de llave privada CerƟficados de CA emisora Los métodos de ac vación de llaves de la CA están protegidos y para accederlos se deben contar con mecanismos de auten cación de al menos dos factores de seguridad. Los datos de ac vación deben estar distribuidos en roles de confianza que ejecutan diversas personas. 125 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados CerƟficados de firma digital y autenƟcación de persona İsica Los métodos de ac vación de llaves para un usuario deben contar con al menos un factor de seguridad. CerƟficados de sello electrónico y agente electrónico de persona jurídica Los métodos de ac vación de llaves para un usuario deben contar con al menos un factor de seguridad. CerƟficados de autoridad de sellado de Ɵempo (TSA) Los métodos de ac vación de llaves de autoridades de sellado de empo están protegidos mediante una combinación de al menos dos factores de seguridad. Los datos de ac vación deben estar distribuidos en roles de confianza que ejecutan diversas personas. 6.2.9 Método de desacƟvación de llave privada CerƟficados de CA emisora Para la CA Raíz y de Polí cas es obligatorio que los módulos criptográficos, los cuales han sido ac vados, no estén desatendidos o abiertos al acceso no autorizado. Después de usarlos, estos deben ser desac vados manualmente o por un empo de expiración por estado pasivo. Los módulos de hardware criptográfico deben ser removidos y almacenados cuando no estén en uso. En el caso de las CA emisoras los equipos se man enen en línea, para dichos efectos una vez ac vados los disposi vos criptográficos, estos se deben mantener monitoreados y protegidos contra accesos no autorizados. CerƟficados de firma digital y autenƟcación de persona İsica Sin es pulaciones. 126 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados CerƟficados de sello electrónico y agente electrónico de persona jurídica Cuando los equipos que hospedan los cer ficados de persona jurídica se encuentran en línea, estos se deben mantener monitoreados y protegidos contra accesos no autorizados. Cuando los equipos no estén en uso entonces los módulos de hardware criptográfico deben ser removidos y almacenados. CerƟficados de autoridad de sellado de Ɵempo (TSA) Cuando los equipos que hospedan el cer ficado sellado de empo se encuentran en línea, estos se deben mantener monitoreados y protegidos contra accesos no autorizados. Cuando los equipos no estén en uso entonces los módulos de hardware criptográfico deben ser removidos y almacenados. 6.2.10 Método de destrucción de llave privada El procedimiento para la destrucción de llaves privadas debe incluir la autorización para destruirla. CerƟficados de CA emisora La CA raíz, las CA de polí cas y la CA emisora deben destruir los respaldos de las llaves privadas que han expirado. Para los módulos criptográficos de hardware, estos deben ser limpiados por medio de inicialización de ceros (Zeroize Command). CerƟficados de firma digital y autenƟcación de persona İsica Los módulos criptográficos de hardware que hospedan la llave privada deben ser limpiados por medio de inicialización de ceros (Zeroize Command). CerƟficados de sello electrónico y agente electrónico de persona jurídica Los módulos criptográficos de hardware que hospedan la llave pri- 127 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados vada deben ser limpiados por medio de inicialización de ceros (Zeroize Command). CerƟficados de autoridad de sellado de Ɵempo (TSA) La TSA debe destruir los respaldos de las llaves privadas que han expirado. Para los módulos criptográficos de hardware, estos deben ser limpiados por medio de inicialización de ceros (Zeroize Command). 6.2.11 Clasificación del módulo criptográfico CerƟficados de CA emisora La capacidad del módulo criptográfico de la CA emisora es expresada en cumplimiento como mínimo del estándar Fips 140–2, nivel 3. CerƟficados de firma digital y autenƟcación de persona İsica El módulo criptográfico para los suscriptores de cer ficados de firma digital y auten cación debe cumplir como mínimo con el estándar Fips 140–2, nivel 2, o bien debe poseer al menos la cer ficación Common Criteria EAL 4+ en el perfil de protección SSCD po 3. CerƟficados de sello electrónico y agente electrónico de persona jurídica El módulo criptográfico para los cer ficados de persona jurídica debe cumplir como mínimo con el estándar Fips 140–2, nivel 3, o bien que posean al menos la cer ficación Common Criteria EAL 4+ en el perfil de protección SSCD po 3. CerƟficados de autoridad de sellado de Ɵempo (TSA) La TSA debe cumplir como mínimo con el estándar Fips 140–2, nivel 3 6.3 Otros aspectos de gesƟón del par de llaves Las CA de la jerarquía nacional de cer ficadores registrados deben establecer los medios necesarios para ges onar en forma segura las llaves de los suscriptores durante el ciclo de vida de las mismas. 128 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados 6.3.1 Archivado de la llave pública La CA debe mantener controles para sus propias llaves, de acuerdo a lo es pulado en la sección 5.5. Las llaves archivadas de la CA deberían estar sujetas al mismo o mayor nivel de control de seguridad que las llaves que están en uso actualmente. 6.3.2 Periodo operacional del cerƟficado y periodo de uso del par de llaves Los periodos de uso de la llave son descritos en la sección 5.6, de acuerdo a la siguiente tabla: 6.4 Nivel de jerarquía Tiempo de uso en años Cer ficado de usuario CA emisoras CA Polí cas CA Raíz 4 8 12 24 Tiempo operacional en años 4 12 24 48 Datos de acƟvación La CA man ene estrictos controles en los datos de ac vación para operar los módulos criptográficos y que necesitan ser protegidos (ejemplo un PIN, una frase de paso o “password”, una medida biométrica o una parte de llave mantenida manualmente). 6.4.1 Generación e instalación de los datos de acƟvación CerƟficados de CA emisora Se debe contar con datos de ac vación de múl ples factores para protección de los accesos al uso de llaves privadas y su ac vación requiere de un control de múl ples partes (es decir, “m” de “n”) con un valor mínimo de tres para “m”. CerƟficados de firma digital y autenƟcación de persona İsica Se deben generar e instalar sus propios datos de ac vación para 129 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados proteger y prevenir perdidas, robos, modificación, divulgación o uso no autorizado de sus llaves privadas. CerƟficados de sello electrónico y agente electrónico de persona jurídica Se debe contar con controles para protección de los accesos al uso de llaves privadas. En par cular, se requiere generar sus propios datos de ac vación para prevenir uso no autorizado de la llave privada. CerƟficados de autoridad de sellado de Ɵempo (TSA) Se debe generar e instalar sus propios datos de ac vación para proteger y prevenir perdidas, robos, modificación, divulgación o uso no autorizado de sus llaves privadas. Adicionalmente, como parte de los datos de ac vación se requiere de un control de múl ples partes (es decir, “m” de “n”) con un valor mínimo de tres para “m”. 6.4.2 Protección de los datos de acƟvación Los datos de ac vación deberían ser memorizados, sin mantener respaldo escrito. Si se escriben, estos deberían de estar almacenados en un nivel de seguridad semejante al de los módulos criptográficos para protegerlos, y en una localización diferente a la de los módulos criptográficos. 6.4.3 Otros aspectos de los datos de acƟvación Los datos de ac vación de los módulos criptográficos de la CA Raíz y CA de Polí cas deben ser cambiados al menos una vez cada año. Y en el caso de las CA emisoras o TSA la frecuencia debe ser al menos una vez cada dos meses. 6.5 Controles de seguridad del computador El equipo de la CA debe usar sistemas opera vos que: Requieran auten cación para poder ser accedidos Provean capacidad para mantener bitácoras y registros de se- 130 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados guridad con fines de auditoría Cumplan con requerimientos y controles de seguridad, al menos tan estrictos como los definidos en este CP. Luego de que la plataforma donde opera el equipo de la CA ha sido aprobada, debe con nuar operando bajo los mismos parámetros aprobados. 6.5.1 Requerimientos técnicos de seguridad de computador específicos Los equipos donde operan los sistemas de la CA, que requieran acceso remoto deben poseer auten cación mutua y los sistemas opera vos deberían estar configurados de acuerdo con los estándares del sistema opera vo de la CA y ser revisados periódicamente. Las actualizaciones y parches de los sistemas opera vos deberían ser aplicados de manera oportuna y la u lización de programas u litarios del sistema debería ser restringida al personal autorizado, y debe estar estrictamente controlado. 6.5.2 Clasificación de la seguridad del computador Los sistemas sensibles de la CA requieren un ambiente informá co dedicado y aislado, que implemente el concepto de sede computacional confiable con procesos de auditoria que ejecuten pruebas de seguridad al menos dos veces al año. 6.6 Controles técnicos del ciclo de vida La CA debe mantener controles en los equipos de seguridad (hardware y so ware) requeridos para operar en una infraestructura PKI desde el momento de la compra hasta su instalación, de forma que reduzcan la probabilidad que cualquiera de sus componentes sea violentado. Todo el hardware y so ware que ha sido iden ficado para operar las CA debe ser enviado y entregado con métodos que provean una adecuada cadena de custodia. 131 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados 6.6.1 Controles para el desarrollo de sistemas La CA debe mantener controles que proporcionen una seguridad razonable de las ac vidades de desarrollo y mantenimiento de los sistemas de la CA. Los nuevos sistemas o para la expansión de los sistemas existentes, deben especificar los requisitos de control, seguir procedimientos de prueba de so ware y control de cambios para la implementación de so ware. La CA debe mantener controles sobre el acceso a las bibliotecas fuente de programas. 6.6.2 Controles de gesƟón de seguridad Los Administradores de la CA son los responsables de garan zar que se cumplan los procedimientos de seguridad correctamente. Además de ejecutar revisiones periódicas para asegurar el cumplimiento de los estándares de implementación de seguridad. 6.6.3 Controles de seguridad del ciclo de vida La CA debe incluir controles en la ges ón de seguridad por medio de herramientas y procedimientos que verifiquen la adherencia a la configuración de seguridad de los sistemas opera vos y redes. 6.7 Controles de seguridad de red El equipo de la CA debe estar dentro de los límites de la red interna, operando bajo un nivel de seguridad de red crí co. La red de la CA debe estar protegida contra ataques. Los puertos y servicios que no se requieran deben estar apagados. En el caso de la CA Raíz debe estar off–line y aislada de la red organizacional. Los niveles crí cos de seguridad de red, deben incluir: La encripción de las conexiones involucradas con las operaciones de la CA. 132 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados Los si os Web están provistos de cer ficados SSL. La red está protegida por firewalls y sistemas de detección de intrusos. Los accesos externos a información de bases de datos de la CA están prohibidos. La CA debe controlar la ruta de acceso del usuario desde la Terminal hasta los servicios. Los componentes de la red local deben mantenerse en un ambiente sicamente seguro y sus configuraciones deben ser auditadas periódicamente. Los datos sensibles deben encriptarse cuando se intercambian sobre redes públicas o no confiables. La CA debe definir los procedimientos de control del cambio para el hardware, los componentes de la red y los cambios de configuración del sistema. 6.8 Sellado de Ɵempo (“Time–Stamping”) Los cer ficados, CRL y otras entradas en la base de datos de revocaciones deben contener la fecha y hora, sincronizadas u lizando los servicios UTC–6. El sellado de empo es una caracterís ca opcional. 7. Perfiles de CerƟficados, CRL y OCSP Este capítulo especifica el formato de las CRL y OCSP, tales como información del perfil, versión y extensiones u lizadas. En el caso de la jerarquía nacional de cer ficadores registrados, los OCSP son un mecanismo opcional para la CA Raíz y las CA de Polí cas, debido a que son pocos los cer ficados emi dos y por tanto revocados por ellas. La verificación del estado de los cer ficados para las CA emisoras cons tuye un factor crí co de seguridad para diversas aplicaciones, por lo tanto deben obligatoriamente implementar los dos métodos de validación: OCSP y CRL. 7.1 Perfil del CerƟficado Los cer ficados digitales deben cumplir con: 133 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados Estándar X.509 versión 3. RFC3280: Internet X.509 Public Key Infrastructure Cer ficate and CRL Profile. RFC 3039 “Internet X.509 Public Key Infrastructure Qualified Cer ficates Profile. ISO 3166–1 “Códigos para la representación de los nombres de los países y sus subdivisiones. Parte 1: Códigos de los países”. Cómo mínimo el cer ficado con ene: Campo Versión Número de serie Algoritmo de firma Emisor Válido desde Valor o restricciones V3, los cer ficados deben ser X.509 versión 3. Valor único emi do dentro del ámbito de cada CA emisora. El Algoritmo de firma debe ser como mínimo SHA1RSA. Nombre de la CA Emisora. Ver sección 7.1.4. Este campo especifica la fecha y hora a par r de la cual el cer ficado es válido. Las fechas establecidas para el periodo de validez deben ser sincronizadas con respecto al servicio de empo UTC–6. Válido hasta Este campo especifica la fecha y hora a par r de la cual el cer ficado deja de ser válido. Las fechas para la validez del cer ficado deben ser sincronizadas con el servicio de empo UTC–6. Sujeto Nombre del suscriptor. Ver sección 7.1.4. Llave pública del sujeto Codificado de acuerdo con el RFC 3280. Con un largo de llave mínima de 2048 bits y algoritmo RSA. Iden ficador de llave de Este campo es usado por los diversos so ware de validación la autoridad para ayudar a iden ficar a la autoridad cer ficadora registrada que emi ó el cer ficado en la cadena de confianza. Referencia el campo “Subject Key Iden fier” de la CA emisora del cer ficado. Iden ficador de la llave Este campo es usado por so ware de validación para ayudar del sujeto a iden ficar un cer ficado que con ene una determinada llave pública. Polí ca del cer ficado Describe las polí cas aplicables al cer ficado, especifica el OID y la dirección URL donde se encuentra disponible el CP respec vo. Uso de la llave Debe indicar los usos permi dos de la llave. Este campo debe ser marcado como un CAMPO CRÍTICO. Ver sección 1.4.1 Usos apropiados del cer ficado 134 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados Campo Valor o restricciones Punto de distribución del Este campo es usado para indicar las direcciones donde CRL puede ser encontrado el CRL correspondientes a la CA que emi ó el cer ficado, de tal forma que se pueda validar si el cer ficado en cues ón ha sido revocado o no. En el caso del cer ficado de la CA Raíz, este atributo no debe especificarse. Acceso a la información Este campo es usado para indicar las direcciones donde puede la autoridad de ser encontrado el cer ficado de la CA emisora. Además, para indicar la dirección donde puede accederse el servicio de OCSP, de tal forma que se pueda validar si el cer ficado en cues ón ha sido revocado o no. En el caso del cer ficado de la CA Raíz, este atributo no debe especificarse. Usos extendidos de la Referencia otros propósitos de la llave, adicionales al uso. De llave acuerdo con la sección 7.1.2.5. Restricciones básicas Para el caso de la CA emisora la extensión PathLenConstraint debe ser igual a cero. Ver sección 7.1.2.4 Restricciones básicas. 7.1.1 Número(s) de versión Todos los cer ficados emi dos dentro de la jerarquía nacional de cer ficadores registrados deben ser X.509 versión 3 o superior. 7.1.2 Extensiones del cerƟficado 7.1.2.1 Key Usage El “key usage” es una extensión crí ca que indica el uso del cer ficado de acuerdo con el RFC 3280 “Internet X.509 Public Key Infrastructure Cer ficate and CRL Profile”. Ver sección 1.4.1 Usos apropiados del cer ficado. 7.1.2.2 Extensión de políƟca de cerƟficados La extensión de “cer ficatepolicies” del X.509 versión 3 es el iden ficador del objeto de este CP de acuerdo con la sección 7.1.6. La extensión no es considerada como crí ca. 7.1.2.3 Nombre alternaƟvo del sujeto La extensión “subjectAltName” es opcional y solamente se puede usar para cer ficados de agente electrónico de persona jurídica. En caso 135 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados de ser u lizada, el uso de esta extensión debe ser “NO crí co” y únicamente está permi do el uso del nombre DNS, en concordancia con la sección 4.1.2. 7.1.2.4 Restricciones básicas Para el caso de las CAs emisoras se debe colocar el campo “PathLenghtConstraint” con un valor de 0, para indicar que la CA no permite más sub–niveles en la ruta del cer ficado. Es un campo crí co. 7.1.2.5 Uso extendido de la llave La extensión permite configurar los propósitos de la llave, y no es considerada crí ca. A con nuación se presenta el cuadro con los propósitos comunes: OID Descripción Tipos de cerƟficado 1.3.6.1.5.5.7.3.1 Auten cación de servidor 1.3.6.1.5.5.7.3.2 Auten cación del cliente 1.3.6.1.5.5.7.3.4 1.3.6.1.5.5.7.3.8 1.3.6.1.4.1.311.20.2.2 Protección del correo Sellado de empo Smart Card Logon Agente electrónico Auten cación de persona sica Agente electrónico Firma de persona sica Sellado de empo Auten cación de persona sica 7.1.2.6 Puntos de distribución de los CRL La extensión “CRL Distribu on Points” con ene las direcciones URL de la localización donde las partes que con an pueden obtener el CRL para verificar el estado del cer ficado. La extensión NO es crí ca. 7.1.2.7 IdenƟficador de llave de Autoridad El método para la generación del iden ficador está basado en la llave pública de la CA emisora del cer ficado, de acuerdo a lo descrito por el RFC 3280 “Internet X.509 Public Key Infraestructura Cer ficate and CRL Profile”. La extensión NO es crí ca. 136 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados 7.1.2.8 IdenƟficador de la llave del sujeto La extensión no es crí ca, y el método para la generación del iden ficador de llave está basado en la llave pública del sujeto del cer ficado y es calculado de acuerdo con uno de los métodos descritos en el RFC 3280 “Internet X.509 Public Key Infrastructure Cer ficate and CRL Profile”. 7.1.3 IdenƟficadores de objeto de algoritmos Los cer ficados generados dentro de la jerarquía nacional de cer ficadores registrados deben usar uno de los siguientes algoritmos: sha–1WithRSAEncryp on OID ::= {iso(1) member–body(2) us(840) rsadsi(113549) pkcs(1) pkcs–1(1) 5} sha256WithRSAEncryp on OID::= {iso(1) member–body(2) us(840) rsadsi(113549) pkcs(1) pkcs–1(1) 11} El algoritmo SHA–1 se man ene como algoritmo válido para soportar los cer ficados que sean emi dos por CAs cons tuidas al amparo de versiones anteriores de la polí ca, sin embargo toda CA nueva o renovada a par r de la emisión de la presente polí ca deberá emi r cer ficados u lizando el algoritmo SHA256. 7.1.4 Formas del nombre Los nombres dentro de la jerarquía nacional de cer ficadores registrados deben cumplir las regulaciones de la sección 3.1.1. Adicionalmente, los cer ficados de suscriptores generalmente deben incluir el URL donde se encuentran los términos del uso de los cer ficados y los acuerdos entre las partes. 7.1.5 Restricciones del nombre Los nombres se escriben en mayúsculas y sin ldes, únicamente se debe aceptar el carácter Ñ como un caso especial para los nombres de personas sicas y jurídicas. 137 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados El código de país es de dos caracteres y se asigna de acuerdo al estándar ISO 3166–1 “Códigos para la representación de los nombres de los países y sus subdivisiones. Parte 1: Códigos de los países”. 7.1.6 IdenƟficador de objeto de PolíƟca de CerƟficado El OID de la polí ca de cer ficado correspondiente a cada clase de cer ficado es definido acorde a la sección 1.2. El director de la DCFD le corresponde la administración de los “Iden ficadores de Objetos” (OID) para el Sistema Nacional de Cer ficación Digital. 7.1.7 Uso de la extensión “Restricciones de PolíƟca” (Policy Constraints) Sin es pulaciones. 7.1.8 SemánƟca y sintaxis de los “Calificadores de PolíƟca” (Policy Qualifiers) El calificador de la polí ca está incluido en la extensión de “cer ficate policies” y con ene una referencia al URL con el CP aplicable y a los acuerdos de partes que con an. 7.1.9 SemánƟca de procesamiento para la extensión críƟca de “PolíƟcas de CerƟficado” (CerƟficate Policies) Sin es pulaciones. 7.2 Perfil de la CRL Las listas de revocación de cer ficados cumplen con el RFC 3280 “Internet X.509 Public Key Infrastructure Cer ficate and CRL Profile”y con enen los elementos básicos especificados en el siguiente cuadro: Campo Versión 138 Valor o restricciones Ver sección 7.2.1 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados Campo Algoritmo de firma Valor o restricciones Algoritmo usado para la firma del CRL, puede ser: • sha1WithRSAEncryp on (OID: 1.2.840.113549.1.1.5) • sha256WithRSAEncryp on (OID:1.2.840.113549.1.1.11) Emisor En dad que emite y firma la CRL. Fecha efec va Fecha de emisión del CRL. Siguiente actualización Fecha para la cual es emi da la siguiente CRL. La frecuencia de emisión del CRL está acorde con lo requerido en la sección 4.9.7 Cer ficados revocados Lista de cer ficados revocados, incluyendo el número de serie del cer ficado revocado y la fecha de revocación. 7.2.1 Número(s) de versión La jerarquía nacional de cer ficadores registrados de cer ficación soporta las CRLs X.509 versión 2. 7.2.2 CRL y extensiones de entradas de CRL Sin es pulación. 7.3 Perfil de OCSP El servicio de validación de cer ficados en línea OCSP (Online Cer ficate Status Protocol) es una forma para obtener información reciente sobre el estado de un cer ficado. El servicio OCSP que se implemente debe cumplir lo es pulado en el RFC2560 “X.509 Internet Public Key Infrastructure Online Cer ficate Status Protocol – OCSP”. 7.3.1 Número(s) de versión Debe cumplir al menos con la versión 1 del RFC2560 “X.509 Internet Public Key Infrastructure Online Cer ficate Status Protocol – OCSP”. 139 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados 7.3.2 Extensiones de OCSP Sin es pulaciones. 8. Auditoría de cumplimiento y otras evaluaciones De acuerdo con el ar culo 21 de la Ley de Cer ficados, Firmas Digitales y Documentos Electrónicos No. 8454, “Todo cer ficador registrado estará sujeto a los procedimientos de evaluación y auditoría que acuerde efectuar la DCFD o el ECA”. Adicionalmente, el ar culo 24 inciso e) de ese cuerpo norma vo, dispone como una función de la DCFD el “fiscalizar el funcionamiento de los cer ficadores registrados, para asegurar su confiabilidad, eficiencia y el cabal cumplimiento de la norma va aplicable, imponiendo, en caso necesario, las sanciones previstas en esta Ley. La supervisión podrá ser ejercida por medio del ECA, en el ámbito de su competencia”. Todas las autoridades emisoras de cer ficados deben ajustarse al cumplimiento de las auditorías realizadas por el ECA, las cuales permiten establecer una confianza razonable en el sistema de firma digital. Se pueden ejecutar inves gaciones y revisiones para asegurar la confianza de la jerarquía nacional de cer ficadores registrados, las cuales incluyen, pero no se limitan a: Revisión de seguridad y de prác cas, las cuales incluyen instalaciones, documentos de seguridad, declaración de prác cas de cer ficación, acuerdos entre las partes, polí ca de privacidad y validación de los planes para asegurar el cumplimiento de estándares. El ECA es la en dad responsable de ejecutar las auditorias, de acuerdo a lo es pulado en la ley. La DCFD puede solicitar al ECA auditorías especiales cuando tenga sospecha de un incidente o compromiso de la CA, que ponga en riesgo la integridad del sistema. Adicionalmente, cada CA debe implementar un programa de auditorías internas para la verificación de su sistema de ges ón. Dicho progra- 140 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados ma de auditorías debe estar basado en la INTE–ISO/IEC 19011 “Directrices para la auditoría de sistemas de ges ón de la calidad y/o ambiental”. 8.1 Frecuencia o circunstancias de evaluación El cumplimiento de la evaluación externa del ECA se debe ejecutar al menos una vez al año y los costos deben ser asumidos por la en dad evaluada. El ECA puede realizar evaluaciones extraordinarias de acuerdo con sus procedimientos. El programa de auditorías internas establecerá la frecuencia o circunstancias para su realización, pero en términos generales se espera que las CA ejecuten al menos una auditoría al año. 8.2 IdenƟdad/calidades del evaluador El personal que ejecuta las evaluaciones para el ECA incluye: Experto Técnico: Persona asignada por el ECA para aportar conocimientos técnicos específicos o pericia respecto al alcance de acreditación a ser evaluado. Evaluador: Persona designada para ejecutar como parte de un equipo evaluador, la evaluación de un Organismo de Evaluación de la Conformidad OEC. Evaluador Líder: Evaluador al que le es dada la completa responsabilidad por ac vidades de evaluación específicas. El ECA ene procedimientos establecidos para determinar la competencia de cada uno de estos. Para las auditorías internas la CA debe establecer los requisitos de competencia de sus auditores según los lineamientos de la INTE–ISO/ IEC 19011 “Directrices para la auditoría de sistemas de ges ón de la calidad y/o ambiental”. 8.3 Relación del evaluador con la enƟdad evaluada Por ley, el ECA cons tuye un ente independiente e imparcial, el cual ejecutará las evaluaciones acorde a sus procedimientos. 141 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados Para las auditorías internas la CA debe seguir lo establecido en la INTE–ISO/IEC 19011 “Directrices para la auditoría de sistemas de gesón de la calidad y/o ambiental”. 8.4 Aspectos cubiertos por la evaluación Los puntos de evaluación para cada en dad son detallados a con nuación: Auditorias de la autoridad de registro Es obligatorio que la autoridad cer ficadora registrada (CA emisora) supervise las autoridades de registro y no fique cualquier excepción o irregularidad de las polí cas de la jerarquía nacional de cer ficadores registrados, y además tome las medidas para remediarlas. Auditorias de las CA emisoras Las CA emisoras dentro de la jerarquía nacional de cer ficadores registrados deben cumplir con las polí cas nacionales y con los estándares determinados, a saber: Ley y reglamento de firma digital, Polí cas de la raíz para los cer ficados de: Firma digital y auten cación de persona sica. Sello electrónico y auten cación de agente electrónico. INTE/ISO 21188: “Infraestructura de llave pública para servicios financieros. Estructura de prác cas y polí cas”. RFC 3647: “Internet X.509 Public Key Infrastructure. Cer ficate Policy and Cer fica on Prac ces Framework”. Autoridades de sellado de empo Ley y reglamento de firma digital. Polí cas de la raíz para los cer ficados de: Autoridad de sellado de empo. RFC 3161: “Internet X.509 Public Key Infrastructure. Time– Stamp Protocol (TSP)”. RFC 3628: “Policy Requirements for Time–Stamping Authori es (TSAs)”. 142 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados Polí ca de sellado de empo del sistema nacional de cer ficación digital 8.5 Acciones tomadas como resultado de una deficiencia La CA debe tener procedimientos para ejecutar acciones correc vas para las deficiencias iden ficadas tanto en las evaluaciones externas como en las auditorías internas. 8.6 Comunicación de resultados El ECA ene procedimientos para la ejecución de la acreditación que incluyen la comunicación de los resultados y los procedimientos de apelación. 9. Otros asuntos legales y comerciales 9.1 Tarifas 9.1.1 Tarifas de emisión o renovación de cerƟficados La tarifa para la emisión y administración de los cer ficados será determinada por la CA emisora del cer ficado. 9.1.2 Tarifas de acceso a cerƟficados Las CA emisoras dentro de la jerarquía nacional de cer ficadores registrados no pueden cobrar por el mantenimiento de los repositorios de cer ficados a las partes que con an. 9.1.3 Tarifas de acceso a información del estado o revocación Las CA emisoras dentro de la jerarquía nacional de cer ficadores registrados no pueden cobrar por el mantenimiento de las listas de revocación de cer ficados a las partes que con an. Sin embargo, se pueden establecer tarifas para otros servicios especializados de revocación, OCSP o sellado de empo. 143 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados 9.1.4 Tarifas por otros servicios Las CA emisoras dentro de la jerarquía nacional de cer ficadores registrados no pueden establecer tarifas para acceder información del CP o su respec vo CPS. 9.1.5 PolíƟca de reembolso La CA que implemente una polí ca de reembolso debe documentarla como parte de sus polí cas y publicarlas dentro de su si o Web. 9.2 Responsabilidad financiera 9.2.1 Cobertura de seguro De acuerdo con los ar culos 12 y 13 del reglamento de firma digital, es obligatorio para los sujetos privados, mantener una caución rendida preferiblemente por medio de póliza de fidelidad, y cuyo monto será fijado por la DCFD. Cuando la caución esté sujeta a vencimiento, esta debe ser renovada al menos dos meses antes de la fecha de expiración. 9.2.2 Otros acƟvos La CA emisora debe poseer suficientes recursos financieros para mantener sus operaciones y ejecutar sus deberes. La CA emisora debe ser razonablemente capaz de administrar el riesgo de responsabilidad para los suscriptores y partes que con an. 9.2.3 Cobertura de Seguro o garanơa para enƟdades finales Sin es pulaciones. 9.3 Confidencialidad de la información comercial 9.3.1 Alcance de la información confidencial Los siguientes registros del suscriptor deben ser mantenidos confidenciales: 144 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados Registros de solicitudes de la Autoridad Cer ficadora, tanto aprobados como rechazados. Registros de solicitud de cer ficados de sujeto. Registros de las transacciones. Registros de pistas de auditorías. Planes de con ngencias y recuperación de desastres. Medidas de seguridad controlando las operaciones de cer ficados (Hardware/So ware). Servicios de administración de cer ficados y servicios de enrolamiento. 9.3.2 Información no contenida en el alcance de información confidencial No se considera información confidencial las listas de revocación ni la información del estado de los cer ficados. 9.3.3 Responsabilidad para proteger la información confidencial Las CA emisoras par cipantes dentro de la jerarquía nacional de cerficadores registrados deben asegurar a los par cipantes que su información no será comprome da ni divulgada a terceras partes y deben cumplir con las leyes aplicables de privacidad. 9.4 Privacidad de información personal 9.4.1 Plan de privacidad Las CA emisoras dentro de la jerarquía nacional de cer ficadores registrados deben implementar las polí cas de privacidad de información, de acuerdo con las leyes vigentes. No se puede divulgar o vender información de los suscriptores a cer ficados o información de iden ficación de éstos. 9.4.2 Información tratada como privada Cualquier información acerca de los suscriptores que no esté públicamente disponible a través del contenido del cer ficado emi do y servicios de CRL’s debe ser tratada como información privada. 145 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados 9.4.3 Información que no es considerada como privada El tratamiento de la información que no es considerada como privada, estará sujeto a lo que dispone la norma va nacional al efecto. Únicamente se considera pública la información contenida en el cer ficado. 9.4.4 Responsabilidad para proteger información privada Las CA emisoras dentro de la jerarquía nacional de cer ficadores registrados deben asegurar que la información privada no puede ser comprome da o divulgada a terceras partes. 9.4.5 NoƟficación y consenƟmiento para usar información privada La información privada no puede ser usada sin el consen miento de las partes. En este sen do, la CA no requiere no ficar a los suscriptores para usar información privada. 9.4.6 Divulgación de acuerdo con un proceso judicial o administraƟvo Para divulgar información privada se requiere de una orden judicial que así lo determine y se divulga estrictamente la información solicitada por los jueces. 9.4.7 Otras circunstancias de divulgación de información La información privada podrá ser divulgada en otras circunstancias, siempre que ésta resulte expresamente prevista por la legislación aplicable. 9.5 Derechos de propiedad intelectual Sin es pulaciones. 9.6 Representaciones y garanơas 9.6.1 Representaciones y garanơas de la CA Las CA de la jerarquía nacional de cer ficadores registrados deben garan zar que: 146 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados No se presentan distorsiones en la información contenida en los cer ficados o en la emisión del mismo. No haya errores en la información que fue introducida por la en dad que aprueba la emisión del cer ficado. Los cer ficados reúnen los requerimientos expuestos en esta CP. Los servicios de revocación y el uso de los repositorios cumplen lo es pulado en este CP. 9.6.2 Representaciones y garanơas de la RA Las Autoridades de Registro (RA) deben garan zar que: No se presentan distorsiones en la información contenida en los cer ficados o en la emisión del mismo. No se presentan errores en la información del cer ficado que fue introducida por las en dades de registro. Que los disposi vos y materiales requeridos cumplen con lo dispuesto en este CP. 9.6.3 Representaciones y garanơas del suscriptor El suscriptor debe garan zar que: Cada firma digital creada usando la llave privada corresponde a la llave pública listada en el cer ficado. La llave privada está protegida y que no autoriza a personas a tener acceso a la llave privada del suscriptor. Toda la información suplida por el suscriptor y contenida en el cer ficado es verdadera. El cer ficado es u lizado exclusivamente para los propósitos autorizados. 9.6.4 Representaciones y garan as de las partes que con an Los acuerdos de partes que con an requieren que los actores conozcan suficiente información para tomar las decisiones de aceptar el cer ficado. 147 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados 9.6.5 Representaciones y garanơas de otros parƟcipantes Sin es pulaciones. 9.7 Renuncia de garanơas Cualquier po de cláusula rela va a la renuncia de garan as debe estar prevista en los acuerdos de suscriptor y de partes que con an. 9.8 Limitaciones de responsabilidad legal Las limitaciones de responsabilidad legal deben estar previstas en forma expresa en los acuerdos de suscriptor y de partes que con an. 9.9 Indemnizaciones La CA dentro de la jerarquía nacional de cer ficadores registrados debe indemnizar a los suscriptores por cualquier causa legalmente establecida, incluyendo: Falsedad en la información suministrada. Por fallas en la protección del sistema de la CA, o por el uso de sistemas no confiables. En ambos casos, se deberá demostrar ante las autoridades correspondientes los daños y perjuicios causado por la CA. 9.10 Plazo y Finalización 9.10.1 Plazo El CP empieza a ser efec vo después de la publicación en el repositorio y los nuevos cer ficados deben ser emi dos cumpliendo las polí cas determinadas en la nueva versión del CP. 9.10.2 Finalización La vigencia del CP se debe mantener hasta que todos los cer ficados emi dos bajo esta polí ca hayan finalizado o hayan sido reemplazados por otros cer ficados emi dos bajo la nueva polí ca. 148 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados 9.10.3 Efectos de la finalización y supervivencia Después de finalizada la vigencia del CP, la cual puede ser por cambios o modificaciones en las polí cas, esta se mantendrá válida mientras existan cer ficados ac vos. 9.11 NoƟficación individual y comunicaciones con parƟcipantes Se permiten las comunicaciones comerciales con los par cipantes, a menos de que el contrato entre las partes especifique otras cláusulas. 9.12 Enmiendas 9.12.1 Procedimiento para enmiendas De oficio el Comité Asesor de Polí cas tendrá al menos una reunión anual para evaluar los atributos del cer ficado, determinando la conveniencia de seguir u lizando los mismos algoritmos, longitudes de las llaves y parámetros para la generación de los cer ficados. Los cambios en las polí cas nacionales deben ser some dos a consulta pública, y una vez aprobadas deben comunicarse a los par cipantes dentro de la jerarquía nacional de cer ficadores registrados. Las modificaciones o enmiendas de las polí cas deben documentarse y mantenerse actualizadas a través de versiones. Las enmiendas deben publicarse en el si o Web de la CA emisora. 9.12.2 Mecanismo y periodo de noƟficación La DCFD es la responsable de realizar los comunicados a las CA emisoras para implementar las modificaciones. Al menos treinta días naturales antes de cualquier cambio mayor en las polí cas, estas se deben publicar en el si o Web y realizar una comunicación en los medios escritos. 149 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados 9.12.3 Circunstancias bajo las cuales los OID deben ser cambiados Los cambios en los OIDs corresponden a nuevas polí cas que contengan otros objetos con OID adicionales. Si la estructura del cer ficado se man ene entonces no es necesario cambiar los OIDs. 9.13 Disposiciones para resolución de disputas De acuerdo con la ley de firma digital, le compete a la DCFD la resolución de las disputas, como órgano administrador y supervisor del sistema de cer ficación digital. Las resoluciones dictadas por la DCFD agotan la vía administra va. 9.14 Ley gobernante Las CA emisoras dentro de la jerarquía nacional de cer ficadores registrados están sujetas a las leyes de la República de Costa Rica, en parcular de la ley 8454 “Ley de cer ficados, firmas digitales y documentos electrónicos” y su reglamento. 9.15 Cumplimiento con la ley aplicable Las polí cas descritas cumplen con las regulaciones nacionales. 9.16 Disposiciones varias 9.16.1 Acuerdo completo No aplicable. 9.16.2 Asignación No aplicable. 9.16.3 Separabilidad En el eventual caso que una cláusula de la polí ca sea declarada incons tucional por los tribunales de jus cia o las leyes, el resto de las cláusulas de estas polí cas se mantendrán vigentes. 150 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados 9.16.4 Aplicación (Honorarios de abogado y renuncia de derechos) No aplicable. 9.16.5 Fuerza mayor Los acuerdos de suscriptores y partes que con an deben incluir cláusulas de fuerza mayor para proteger a la CA emisora. 9.17 Otras disposiciones No aplicable. 10. Anexo A: Definiciones y acrónimos 10.1 Definiciones Términos Definición Acuerdo de parte que conİa, RPA (por sus siglas en inglés Relying party agreement) Es un acuerdo entre la autoridad cer ficadora y las partes que con an que picamente establece los derechos y responsabilidades entre estas partes con respecto a la verificación de las firmas digitales y otros usos del cer ficado. Este acuerdo no requiere la aceptación explícita de la parte que con a. Acuerdo de suscriptor Es un acuerdo entre la CA raíz y la CA emisora, y entre la CA emisora y el suscriptor, que establece los derechos y responsabilidades de las partes con respecto a la emisión y ges ón de los cer ficados. Este acuerdo sí requiere la aceptación explícita tanto de la CA emisora como del suscriptor, respec vamente. Apoderado Persona que ene la capacidad jurídica para actuar en nombre de una empresa o ins tución y que ene la potestad legal para cumplir con las responsabilidades asignadas en este CP. AutenƟcación Verificación de la iden dad afirmada por el individuo: a) en el momento de registro, el acto de evaluar las credenciales de las en dades finales (esto es, suscriptores) como evidencia de la iden dad afirmada; b) durante su uso, el acto de comparar electrónicamente la iden dad y las credenciales presentadas contra los valores almacenados, para probar iden dad. Autoridad CerƟficadora CA En dad en la cual una o más en dades con an para crear, (por sus siglas en inglés) asignar, revocar o suspender cer ficados de llave pública. 151 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados Términos Autoridad CerƟficadora Registrada Autoridad de políƟcas PA (por sus siglas en inglés) Autoridad de registro RA (por sus siglas en inglés) CA emisora CA de PolíƟcas CA raíz CA subordinada o Sub–CA Calificador de la políƟca CerƟficación CerƟficado CerƟficado suspendido Compromiso Comité asesor de políƟcas (CAP) 152 Definición El cer ficador inscrito y autorizado por la Dirección de Cer ficadores de Firma Digital. Parte o cuerpo con autoridad y responsabilidad final de especificar las polí cas de cer ficado y asegurar que las prác cas y controles de la CA, cumplen totalmente las polí cas de cer ficado respec vas. (Ver definición ampliada en el ar culo 28 del Reglamento de la ley 8454). En dad responsable de la iden ficación y auten cación de sujetos de cer ficados, que no es la CA y por lo tanto no firma ni emite cer ficados. Nota: Una RA puede ayudar en el proceso de solicitud del cer ficado, en el proceso de revocación o en ambos. La RA no necesita ser un organismo separado, sino que puede ser parte de la CA. Autoridad cer ficadora registrada que forma parte de la jerarquía nacional de cer ficadores registrados, y que implementa una o varias polí cas para emisión de cer ficados de usuario final. Autoridad cer ficadora que forma parte de la raíz nacional, u lizada para segmentar el riesgo de acuerdo a la polí ca de emisión para un po de cer ficado. Autoridad cer ficadora registrada que se ubica en el ápice de la jerarquía nacional de cer ficadores registrados. Autoridad cer ficadora registrada que está más abajo en relación a otra CA en la jerarquía nacional de cer ficadores registrados. Información dependiente de la polí ca, que acompaña un iden ficador de polí ca de cer ficado en un cer ficado de la norma X.509. Proceso de creación de un cer ficado de llave pública para una en dad. La llave pública y la iden dad de un suscriptor, junto con otra información, que se torna infalsificable al ser firmada con la llave privada de la autoridad cer ficadora que emió ese cer ficado de llave pública. Suspensión de la validez de un cer ficado. Violación de la seguridad de un sistema tal que pueda haber ocurrido una divulgación no autorizada de información sensible. Ver “Autoridad de polí cas (PA)”. Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados Términos Control múlƟple Datos de autenƟcación Datos de acƟvación Declaración de divulgación PKI o PDS (por sus siglas en inglés) Declaración de prácƟcas de cerƟficación o CPS (por sus siglas en inglés) Delta CRL Diario de eventos o bitácora de auditoría Documento de idenƟdad legalmente aceptado Definición Condición bajo la cual dos o más partes, man enen por separado y confidencialmente, la custodia de componentes de una sola llave que, individualmente, no conlleva al conocimiento de la llave criptográfica resultante. Información u lizada para verificar la iden dad afirmada de una en dad, tal como la de un individuo, un rol definido o una persona jurídica. Valores de los datos, dis ntos a las llaves, que son requeridos para operar los módulos criptográficos y que necesitan estar protegidos (por ejemplo: por un PIN, una frase de paso o una llave mancomunada). Documento suplementario de una CP o una CPS que divulga la información crí ca sobre las polí cas y prác cas de una CA /PKI. Nota: Una declaración de divulgación PKI es un medio para divulgar y enfa zar la información normalmente cubierta en detalle por la CP y/o la CPS asociados. Por lo tanto, un PDS no ene la intención de sus tuir una CP o una CPS. Declaración de las prác cas que emplea una autoridad cer ficadora al emi r cer ficados y que define el equipo, polí cas y procedimientos que u liza la CA para sa sfacer los requisitos especificados en las polí cas del cer ficado que son soportadas por esta. Par ción del CRL dentro de una unidad de empo, que con ene los cambios realizados al CRL base desde su úlma actualización. Registro cronológico de las ac vidades del sistema, el cual es suficiente para permi r la reconstrucción, revisión e inspección de la secuencia de los ambientes y de las ac vidades que rodean o que conducen a cada acontecimiento en la ruta de una transacción desde su inicio hasta la salida de los resultados finales. Es el documento formal que según el ordenamiento jurídico costarricense, sirve para iden ficar legalmente a un suscriptor. En el caso de las personas sicas costarricenses, es la cédula de iden dad, para las personas sicas extranjeras, es el documento único de permanencia, según sea su estatus migratorio y para las personas jurídicas nacionales, la cédula de persona jurídica. En el caso de la cédula de persona jurídica el documento debe ser acompañado por una cer ficación de personería jurídica vigente (con menos de un mes de emi da), y el documento de iden dad del personero. 153 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados Términos Emisor del cerƟficado Encripción EnƟdad EnƟdad final Firma digital Firma digital cerƟficada DisposiƟvo criptográfico o módulo de seguridad de hardware (HSM por sus siglas en inglés) IdenƟficador de objeto u OID (por sus siglas en inglés) Infraestructura de llave pública o PKI (por sus siglas en inglés) Lista de revocación de cerƟficados o CRL (por sus siglas en inglés) Parte que conİa RP (por sus siglas en inglés) Perfil del cerƟficado 154 Definición Organización cuyo nombre aparece en el campo del emisor de un cer ficado. Proceso para conver r la información a un formato más seguro. En otras palabras, los datos que están en un formato claro, o sea entendible, se convierten mediante un proceso matemá co a un formato encriptado o codificado, o sea ininteligible. CA, RA o en dad final. Sujeto de cer ficado que u liza su llave privada para otros propósitos diferentes al de firmar cer ficados. En este caso, puede tratarse de una persona sica, un agente electrónico o una autoridad de sellado de empo. Transformación criptográfica que, cuando está asociada a una unidad de datos, proporciona los servicios de autencación del origen, integridad de los datos y no–repudio del firmante. Firma digital generada u lizando la llave privada correspondiente de un cer ficado de llave pública, emi do por una CA registrada. Es un disposi vo criptográfico basado en hardware que genera, almacena y protege claves criptográficas. Serie única de números enteros que iden fica inequívocamente un objeto de información. Estructura de hardware, soŌware, recurso humano, procesos y polí cas que u liza tecnología de firma digital para facilitar una asociación comprobable entre el componente público de un par de llaves asimétricas con un suscriptor específico que posee la llave privada correspondiente. Nota La llave pública puede ser provista para verificación de firma digital, auten cación del sujeto en diálogos de comunicación, y/o para el intercambio o la negociación de llaves de encripción de mensajes. Es una lista con los números de serie de los cer ficados que han sido revocados. Receptor de un cer ficado quien actúa confiando en ese cer ficado, en las firmas digitales verificadas usando ese cer ficado, o ambos. Especificación del formato requerido para un po par cular de cer ficado (incluyendo requisitos para el uso de los campos estándar y extensiones). Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados Términos Definición Período de operación Período de vigencia de un cer ficado que comienza en la fecha y la hora en que es emi do por una CA (o una fecha y una hora posterior, si se indica en el cer ficado) y termina en la fecha y la hora en que expira o se revoca el mismo. Personero o representante Quien ostente poder general o generalísimo en una percon facultades suficientes sona jurídica. PolíƟca de cerƟficado o CP Conjunto de reglas establecidas que indican la aplicabili(por sus siglas en inglés) dad de un cer ficado a una comunidad par cular y/o una clase de aplicaciones con requisitos comunes de seguridad. Protocolo de consulta en Protocolo para determinar el estado actual de un cer filínea del estado del cerƟfi- cado en lugar de o como suplemento a la comprobación cado u OCSP (por sus siglas contra una CRL periódica, y que especifica los datos que en inglés) necesitan ser intercambiados entre una aplicación que comprueba el estado de un cer ficado y el servidor que proporciona ese estado. Re–emisión de llaves del Proceso por medio del cual una en dad con un par de llacerƟficado ves y un cer ficado recibe un nuevo cer ficado para una nueva llave pública, siguiendo la generación de un nuevo par de llaves. Renovación del cerƟficado Proceso por medio del cual a una en dad le es emi da una nueva instancia de un cer ficado existente con un nuevo período de validez, conservando el mismo par de llaves. Repositorio Sistema para el almacenamiento y la distribución de los cer ficados y de la información relacionada (esto es, almacenamiento y recuperación de la polí ca de cer ficado, estado del cer ficado, etc.). Rol de confianza Puesto de trabajo que realiza funciones crí cas que, si se realiza insa sfactoriamente, puede tener un impacto adverso sobre el grado de confianza proporcionado por la CA. Ruta de cerƟficación Secuencia ordenada de cer ficados de en dades que, junto con la llave pública de la en dad inicial en la ruta, pueden ser procesadas para obtener la llave pública de la en dad final en la ruta. Servicios de validación del Servicios proporcionados por la CA o su agente quien reacerƟficado liza la tarea de confirmar la validez de un cer ficado a una parte que con a. Sello electrónico Firma digital cer ficada generada a par r de un cer ficado digital de sello electrónico de persona jurídica. 155 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados Términos Solicitud de cerƟficado Solicitud de registro Solicitud de servicio de validación Sujeto Suscriptor Tramitador de cerƟficados de persona jurídica Validez del cerƟficado Verificación de la firma 10.2 Definición Presentación a una CA por una RA (o a la CA raíz por una CA), su agente o un sujeto, de una solicitud de registro validada para registrar la llave pública del sujeto que se colocará en un cer ficado. Presentación por parte de una en dad a una RA (o CA) para registrar la llave pública de la en dad en un cer ficado. Pe ción realizada por la parte que con a a un servicio de validación para comprobar la validez de un cer ficado. En dad cuya llave pública es cer ficada en un cer ficado de llave pública. En dad que se suscribe con una autoridad cer ficadora a nombre de uno o más sujetos. Persona sica que es designada para actuar en representación de una persona jurídica, con el fin de solicitar y re rar en nombre de ésta los cer ficados de persona jurídica de sello electrónico y/o agente electrónico, así como de firmar en nombre de ésta el acuerdo de suscriptor. Aplicabilidad (apto para el uso previsto) y estado (ac vo, suspendido, revocado o expirado) de un cer ficado. Determinación y validación de: a) que la firma digital fue creada durante el período operacional de un cer ficado válido por la llave privada correspondiente a la llave pública que se encuentra en el cer ficado; b) que el mensaje no ha sido alterado desde que su firma digital fue creada. Abreviaturas Abreviatura CA CAP CP CPS CRL DCFD DNS ECA Descripción Autoridad Cer ficadora (CA por sus siglas en inglés Cer ficate Authority). Comité Asesor de Polí cas. Polí cas de Cer ficado (CP por sus siglas en inglés Cer ficate Policy). Declaración de prác cas de Cer ficación (CPS por sus siglas en inglés Cer fca on Prac ce Statement). Listas de revocación de Cer ficados (CRL por sus siglas en inglés Cer ficate Revoca on List). Dirección de Cer ficadores de Firma Digital. Sistema de nombres de dominio (Domain name system). Ente Costarricense de Acreditación. 156 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados Abreviatura FIPS HSM ISO LGAP MICIT NIC OCSP OEC OID PDS PIN PKI RA RFC RNP TSA TSE URL UTC X.509 Descripción Estándar para los disposi vos criptográficos (FIPS por sus siglas en inglés Federal Informa on Processing Standard). Disposi vo criptográfico (HSM por sus siglas en inglés Hardware Security Module). Organización Internacional para la Estandarización (ISO por sus siglas en inglés Interna onal Standards Organiza on). Ley General de Administración Pública. Ministerio de Ciencia y Tecnología. Centro de información de redes de Internet en Costa Rica (NIC por sus siglas en inglés Network Informa on Center). Servicios de validación de cer ficados en línea (OCSP por sus siglas en inglés Online Cer ficate Status Protocol). Organismo de Evaluación de la Conformidad. Iden ficador de Objeto (OID por sus siglas en inglés Object Iden fier). Declaración de divulgación PKI (PDS por sus siglas en inglés PKI Disclosure Statement). Número de iden ficación Personal (PIN por sus siglas en inglés Personal Iden fica on Number). Infraestructura de llave pública (PKI por sus siglas en inglés Public Key Infraestructura). Autoridad de registro (RA por sus siglas en inglés Registra on Authority). Documento técnico aplicable que aún no es un estándar internacional (RFC por sus siglas en inglés Request for Comments). Registro nacional de la propiedad. Autoridad de sellado de empo (TSA por sus siglas en inglés Time Stamping Authority). Tribunal Supremo de Elecciones. Localizador Uniforme de Recurso que permite asignar nombres a recursos en Internet (URL por sus siglas en inglés Uniform Resource Locutor). Tiempo Universal Coordinado (UTC por sus siglas en inglés (Universal Time Coordinated). Estándar u lizado para estructuras de datos y algoritmos de validación en las infraestructuras de llave pública. 157 Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados 11. Anexo B: Documentos de referencia Los siguientes documentos referenciados son aplicados para la confección de las polí cas de cer ficación. RFC 3039 “Internet X.509 Public Key Infrastructure Qualified Cerficates Profile. RFC 3280 Internet X.509 Public Key Infrastructure Cer ficate and CRL Profile. RFC2560 “X.509 Internet Public Key Infrastructure Online Cer ficate Status Protocol– OCSP”. RFC 3647: “Internet X.509 Public Key Infrastructure. Cer ficate Policy and Cer fica on Prac ces Framework”. RFC 3161: “Internet X.509 Public Key Infrastructure. Time–Stamp Protocol (TSP)”. RFC 3628: “Policy Requirements for Time–Stamping Authori es (TSAs)”. INTE–ISO–21188:2007 “Infraestructura de llave pública para servicios financieros– Estructura de prác cas y polí cas. INTE–ISO/IEC 19011 “Directrices para la auditoría de sistemas de ges ón de la calidad y/o ambiental”. ISO 3166 “Códigos para la representación de los nombres de los países y sus subdivisiones. Parte 1: Códigos de los países. INTE–ISO/IEC 17021 Evaluación de la conformidad– Requisitos para los organismos que realizan la auditoría y la cer ficación de sistemas de ges ón. Ley 8454 “Ley de cer ficados, firmas digitales y documentos electrónicos” y su reglamento. Documentos anexos: – Polí ca de sellado de empo del sistema nacional de cer ficación digital. – Directrices para las Autoridades de Registro. Caracterís cas de cumplimiento de Autoridades de Registro (RA) de la jerarquía nacional de cer ficadores registrados de Costa Rica. – Guía para la autorización de una Autoridad Cer ficadora Emisora de la jerarquía nacional de cer ficadores registrados de Costa Rica. 158 PŽůşƟĐĂĚĞĨŽƌŵĂƚŽƐŽĮĐŝĂůĞƐĚĞůŽƐ ĚŽĐƵŵĞŶƚŽƐĞůĞĐƚƌſŶŝĐŽƐ ĮƌŵĂĚŽƐĚŝŐŝƚĂůŵĞŶƚĞ DŝreccŝſŶĚĞĞƌƟĮĐĂĚŽƌĞƐĚĞ&ŝƌŵĂŝŐŝƚĂů DŝŶŝƐƚĞƌŝŽĚĞŝĞŶĐŝĂLJdĞĐŶŽůŽŐşĂ OID 2.16.188.1.1.1.2.1 Versŝón: 1.0 ϮϬĚĞŵĂLJŽ͕ϮϬϭϯ Polí ca de formatos oficiales de los documentos electrónicos firmados digitalmente Control de versiones Fecha Versión Autor(es) Aprobado Descripción 26/07/12 Consulta pública Comité Asesor de PolíƟcas Alexander Barquero Director DCFD Se presenta la versión para discusión del CAP y aprobación del Director de la DCFD. 08/05/13 Borrador Dirección de CerƟficadores de Firma Digital Alexander Barquero Director DCFD Se incorporan las observaciones de la consulta pública, de acuerdo al aviso publicado el día lunes 13 de Agosto del 2012, en el diario oficial “La Gaceta”, número 155. 20/05/13 1.0 Dirección de CerƟficadores de Firma Digital Alexander Barquero Director DCFD Oficialización y entrada en vigencia de la políƟca. 161 Polí ca de formatos oficiales de los documentos electrónicos firmados digitalmente 1. Introducción La presente polí ca define las caracterís cas que conforman los formatos oficiales de documentos electrónicos firmados digitalmente, al amparo de la Ley No. 8454 Ley de Cer ficados, Firmas Digitales y Documentos Electrónicos y de su Reglamento. Dichas caracterís cas deberán ser incorporadas por el firmante, receptor o validador de un documento electrónico en los procesos de generación o validación de la firma digital, según corresponda, y verificadas por cualquier receptor del documento electrónico en el respec vo proceso de validación de la firma digital del mismo. Los formatos oficiales serán acogidos por toda en dad pública, empresa privada o par cular, como el estándar en el cual basarán sus documentos electrónicos firmados digitalmente, mismos que generan o consumen en sus respec vos procesos de negocio apoyados en sistemas de información. Los documentos en formatos oficiales enen una serie de mecanismos que le garan zan mayor robustez a los procesos y a las organizaciones o individuos que los u lizan e implementan, y su uso potencia la interoperabilidad de procesos digitales y documentos electrónicos firmados digitalmente entre las diferentes ins tuciones del país. 1.1 Administración de la PolíƟca 1.1.1 Organización que administra el documento Dirección de Cer ficadores de Firma Digital Ministerio de Ciencia, Tecnología y Telecomunicaciones, dirección: San José, Calles 17 y 19, Avenida Segunda (50 metros Este del Museo Nacional). Apartado Postal: 5589–1000 San José, Costa Rica. 1.1.2 Persona de contacto Director de Cer ficadores de Firma Digital, Dirección de Cer ficadores de Firma Digital. Correo Electrónico: [email protected]. Tel. (506)2248–1515, ext. 232 o 183. 163 Polí ca de formatos oficiales de los documentos electrónicos firmados digitalmente 2. Resumen Esta polí ca detalla las caracterís cas que un documento electrónico firmado digitalmente debe tener para considerar que implementa un formato oficial nacional. 3. Definiciones, conceptos generales y abreviaturas 3.1 Definiciones y conceptos generales Para los propósitos del presente documento, se aplican los siguientes términos y definiciones: Documento electrónico: c ualquier manifestación con carácter representa vo o declara vo, expresada o transmi da por un medio electrónico o informá co. En otras palabras, cualquier conjunto de datos creado, preservado, transmi do o visualizado por medios electrónicos puede ser considerado un documento electrónico. Documento electrónico firmado digitalmente: a quel documento electrónico, cualesquiera que sean su contenido, contexto y estructura, que ene lógicamente asociada una firma digital. En otras palabras, es un objeto conceptual que con ene tanto el documento electrónico como una firma digital, sin importar que estos dos elementos puedan encontrarse representados por conjuntos de datos diferentes. Token de sellado de empo: Respuesta estandarizada de una TSA que permite relacionar un conjunto de datos con un empo concreto, estableciendo así evidencia de que el dato exis a antes de ese empo. Los token de sellado se emiten de acuerdo al RFC 3161 “Internet X.509 Public Key Infrastructure Time Stamp Protocol (TSP)”. También se conocen con el nombre de estampas de empo. Autoridad de Sellado de Tiempo (TSA por sus siglas en inglés Time Stamping Authority): s istema de emisión y ges ón de token de sellado de empo basado en una firma digital acredi- 164 Polí ca de formatos oficiales de los documentos electrónicos firmados digitalmente tada dentro de la jerarquía nacional de cer ficadores registrados. Ruta de cer ficación: corresponde a la cadena de cer ficados que soportan un cer ficado en par cular, empezando en el cerficado raíz y terminando en el cer ficado en cues ón, siempre dentro de la jerarquía nacional según el Sistema Nacional de Cer ficación Digital. Información de revocación: se refiere al conjunto de datos que permiten determinar la validez de un cer ficado en un momento dado del empo. Los mecanismos tradicionales de información de revocación son las Listas de Revocación de Cer ficados (CRLs por sus siglas en inglés) y la respuesta del Protocolo En Línea de Estado de Cer ficados (OCSP por sus siglas en inglés). Listas de Revocación de Cer ficados (CRLs): man ene un listado de todos los cer ficados que han sido revocados y del momento en que se dio su revocación. La autoridad cer ficadora define un empo de validez para la CRL, de tal forma que una vez que caduque debe ser actualizada. Protocolo en Línea de Estado de Cer ficados (OCSP): protocolo de implementación de servicios de respuesta en línea del estado de un cer ficado en el momento en que es solicitado. Requiere de comunicación en línea con la autoridad cer ficadora. Formato de Firma Digital: especificación donde se define la estructura y codificación de un documento firmado digitalmente. 3.2 Abreviaturas Abreviatura Descripción CA Autoridad Cer ficadora (Cer ficate Authority) CAdES CMS Advanced Electronic Signature Lista de Revocación de Cer ficados (Cer ficate Revoca on List) CRL 165 Polí ca de formatos oficiales de los documentos electrónicos firmados digitalmente Abreviatura OCSP PAdES TSA TST XAdES Descripción Protocolo En Línea de Estado de Cer ficado (Online Cer ficate Status Protocol) PDF Advanced Electronic Signature Autoridad de Sellado de Tiempo (Time–Stamping Authority) Token de Sellado de Tiempo (Time–Stamp Token) XML Advanced Electronic Signature 4. PolíƟca de Formatos Oficiales de los Documentos Electrónicos Firmados Digitalmente 4.1 Resumen La Polí ca de Formatos Oficiales de los Documentos Electrónicos Firmados Digitalmente establece el conjunto de reglas generales para el procesamiento de documentos electrónicos firmados digitalmente, tanto para la realización de la firma digital como para la verificación de su validez en cualquier momento en el empo. 4.2 IdenƟficación Este documento es la “Polí ca de Formatos Oficiales de los Documentos Electrónicos Firmados Digitalmente”, y se referencia mediante el iden ficador de objeto (OID) : 2.16.188.1.1.1.2.1 OID 2 16 188 1 1 1 2 1 166 Descripción joint–iso–itu–t Country Costa Rica Organización Dirección de Cer ficadores de Firma Digital Polí cas Polí cas de Documentos Electrónicos Firmados Digitalmente Polí ca de Formatos Oficiales de los Documentos Electrónicos Firmados Digitalmente Polí ca de formatos oficiales de los documentos electrónicos firmados digitalmente 4.3 Comunidad de usuarios y aplicabilidad Esta polí ca ene como obje vo guiar a las diferentes en dades públicas y privadas que deseen proveer o consumir servicios en internet con mecanismos de firma digital, a los proveedores y desarrolladores de soluciones de so ware con mecanismos de firma digital, a los usuarios de los servicios o soluciones antes mencionados y a los ciudadanos que deseen conocer o u lizar mecanismos de firma digital en general. 4.4 Cumplimiento Las en dades públicas, empresas privadas o par culares que deseen implementar soluciones con mecanismos de firma digital, tanto para soluciones internas, interins tucionales, o para los servicios ofrecidos a sus clientes o administrados, deberán cumplir con los lineamientos establecidas en ésta polí ca para generar y procesar documentos mediante el uso de formatos oficiales, según el conjunto de responsabilidades que les corresponda (firma digital y/o validación de la firma digital). 4.5 Vigencia La “Polí ca de Formatos Oficiales de los Documentos Electrónicos Firmados Digitalmente” rige a par r de su publicación. Se establece un periodo transitorio de 24 meses naturales a par r de su publicación para que las en dades públicas, empresas privadas o parculares que u lizan documentos electrónicos firmados digitalmente en sistemas informá cos a la medida o mediante soluciones ofimá cas ya instaladas, u licen el formato oficial como soporte electrónico estandarizado cuando sea necesario el uso de firmas digitales. Cualquier nuevo uso de firma digital, así como cualquier nuevo sistema informá co a la medida que contemple el uso de mecanismos de firma digital y que sea desarrollado a par r de la publicación de la presente Polí ca, deberá acogerse a ésta y cumplir con los formatos oficiales establecidos. 167 Polí ca de formatos oficiales de los documentos electrónicos firmados digitalmente 5. Especificación de los Formatos Oficiales 5.1 Uso de Formatos Avanzados En el Sistema Nacional de Cer ficación Digital, se conocerán como formatos avanzados todos aquellos formatos de firma digital que definen de manera estandarizada los atributos suficientes para garan zar la verificación de la validez del documento en el empo, que estén auspiciados por alguna en dad internacional reconocida, y que sus especificaciones técnicas sean de acceso público. Esta definición se basa en los estándares promulgados por el Ins tuto de Estándares de Telecomunicaciones Europeo (ETSI por sus siglas en inglés), a par r de la Direc va 1999/93/EC emi da por la Unión Europea. Los formatos oficiales de los documentos electrónicos firmados digitalmente en Costa Rica serán solo aquellos que la Dirección de Cer ficadores de Firma Digital determine. Bajo esa premisa, se define que los formatos oficiales de los documentos electrónicos firmados digitalmente en Costa Rica serán aquellos construidos con base en los formatos avanzados emi dos como normas técnicas y estándares por la ETSI, en un nivel de especificación que contemple la inclusión de todos los atributos necesarios para garan zar la verificación de su validez en el empo de manera irrefutable. Dichos formatos avanzados y configuración de niveles son los que se especifican a con nuación: • CAdES–X–L o Basado en la especificación ETSI TS 101 733, en su úl ma versión oficial. o Para documentos con información codificada en binario. o Para su codificación en soluciones a la medida, se propone el perfil CAdES Baseline Profile de la ETSI, el cual puede encontrarse en la especificación ETSI TS 103 173, en su úl ma versión oficial. • PAdES Long Term (PAdES LTV) o Basado en la especificación ETSI TS 102 778, en su úl ma versión oficial. o Para documentos en formatos PDF y sus formatos extendidos. 168 Polí ca de formatos oficiales de los documentos electrónicos firmados digitalmente o • Para su codificación en soluciones a la medida, se propone el perfil PAdES Baseline Profile de la ETSI, el cual puede encontrarse en la especificación ETSI TS 103 172, en su úl ma versión oficial. XAdES–X–L o Basado en la especificación ETSI TS 101 903, en su úl ma versión oficial. o Para documentos en formatos XML. o Se recomienda para el desarrollo de soluciones informá cas en donde sea necesaria la interoperabilidad con otras ins tuciones. o Para su codificación en soluciones a la medida, se propone el perfil XAdES Baseline Profile de la ETSI, el cual puede encontrarse en la especificación ETSI TS 103 171, en su úl ma versión oficial. Sin importar las diferencias en codificación y forma inherentes a cada especificación, los niveles de configuración de los formatos avanzados aquí mencionados cumplen con las siguientes caracterís cas determinantes para su selección: • • Permiten la u lización de algoritmos criptográficos robustos. Respetan el principio de neutralidad tecnológica: o Son estándares abiertos. o Pueden ser empleados en escenarios mul plataforma. o No están sujetos a un determinado producto licenciado. • • Cuentan con una adecuada documentación técnica. Permiten la incorporación de múl ples firmas en un documento electrónico. Implementan los principios de un mecanismo de firma confiable: o Garan a de la auten cidad del documento electrónico. o Garan a de la integridad del documento electrónico. o Ubicación fehaciente del documento electrónico en el empo. Especifican mecanismos estandarizados para garan zar la preservación y verificación de la validez de las firmas digitales del documento electrónico en el empo: • • 169 Polí ca de formatos oficiales de los documentos electrónicos firmados digitalmente o o o 5.2 Inclusión de sellos de empo en el documento electrónico. Inclusión de la ruta de cer ficación en el documento electrónico. Inclusión de la información de revocación en el documento electrónico. Responsabilidades En el ciclo de vida de un documento electrónico firmado digitalmente mediante el uso de un formato oficial, se iden fican dos conjuntos de responsabilidades relacionados con mecanismos de firma digital: la firma digital y la verificación de validez de la firma digital. Para la emisión de un documento electrónico firmado digitalmente, y para la recepción o verificación de su validez, se establecen una serie de ac vidades que deben realizarse para garan zar que la firma digital asociada tenga valor en el empo. El lugar y la manera en que se codifican estos atributos en el documento electrónico corresponden con lo indicado en las especificaciones de la ETSI mencionadas anteriormente. 5.2.1 Firma digital del documento electrónico Cuando se firma digitalmente un documento electrónico, será responsabilidad del sistema o sistemas que implementan los mecanismos de firma digital incluir los atributos descritos a con nuación (siempre respetando el estándar que corresponda): Nombre del Atributo Resumen hash encriptado (digest) CerƟficado del firmante 170 Descripción del Atributo Mecanismo criptográfico que permite garan zar la integridad y auten cidad del documento. Copia del cer ficado del firmante que permite verificar la autoría del documento. Etapas de proceso posibles para la inclusión del Atributo en el Documento Emisión Emisión Polí ca de formatos oficiales de los documentos electrónicos firmados digitalmente Solicitados a una TSA de la jerarquía del Sistema Nacional de Cer ficación Digital. Cadenas de cer ficados que ubiquen el cer ficado del firmante y de los sellos Rutas de cerƟficación de empo en la jerarquía del Sistema Nacional de Cer ficación Digital. Tokens de sellado de Ɵempo1 Emisión, Recepción o Validación Emisión, Recepción o Validación Información de revocación Respuestas de validez del cer ficado del firmante, de los sellos de empo y de todos los cer ficados de sus respec vas rutas de cer ficación. Emisión, Recepción o Validación 5.2.2 Verificación de la validez de la firma digital en el documento electrónico Cuando se verifica la validez de un documento electrónico firmado digitalmente en el formato oficial, es impera vo que se realicen las siguientes validaciones de los diferentes atributos que el documento conene: Nombre del Atributo Resumen hash encriptado (digest) CerƟficado del firmante 1 Descripción de la AcƟvidad de Validación Verificar que el hash encriptado corresponda con el documento electrónico. Verificar que la firma del documento corresponda con el cer ficado del firmante. Los tokens de sellado de empo que se u lizan de manera estandarizada en los formatos oficiales son para determinar la existencia de u n conjunto de datos en un momento determinado del empo (por ejemplo, para garan zar que el cer ficado no estaba vencido al momento de la firma), y no necesariamente para iden ficar el momento de realización de la firma por parte del firmante ni del momento de la recepción del documento por parte de un receptor del mismo. Pueden u lizarse otros tokens de sellado de empo, adecuadamente controlados y documentados en las herramientas, para tales fines. 171 Polí ca de formatos oficiales de los documentos electrónicos firmados digitalmente Tokens de sellado de Ɵempo Verificar que los tokens de sellado de empo son de fechas previas a la fecha de vencimiento de los cer ficados del firmante o de las rutas de cer ficación e información de revocación según corresponda, y así garan zar que todos los cer ficados y cadenas eran vigentes y válidas cuando se usaron. Verificar que todos los cer ficados del documento coRutas de cerƟficación rrespondan a cer ficados de la jerarquía del Sistema Nacional de Cer ficación Digital. Información de revocación Verificar que todos los cer ficados del documento eran válidos (vigentes y no revocados) en el momento de su inclusión en el documento. 5.2.3 Consideraciones adicionales para la inclusión de los atributos Tal y como se desprende de la presente polí ca y de los estándares a los que hace referencia, los atributos “Resumen hash encriptado (digest)” y “Cer ficado del firmante” solo pueden agregarse en presencia de cada uno de los firmantes tulares de los cer ficados que realizan un ejercicio de firma sobre el documento electrónico. Los restantes atributos, “Tokens de sellado de empo”, “Rutas de cer ficación” e “Información de revocación”, pueden agregarse posterior al ejercicio de firmado del/de los firmantes del documento, ya sea al momento de la recepción o durante la validación del documento. Esto úl mo es cierto siempre y cuando los cer ficados de los firmantes, y los cer ficados de la jerarquía, no hayan vencido ni tampoco hayan sido revocados. El escenario descrito es una medida existente para atender el riesgo de que, al tratar de hacer una firma digital en formato oficial, los servicios de respuesta en línea o los repositorios de información de revocación no estén disponibles; con el obje vo de que dicha eventualidad no limite la creación de firmas digitales en documentos electrónicos, a los que posteriormente pueden incluirse todos los atributos adicionales que permiten la verificación de la validez de la firma digital del documento electrónico a largo plazo. 172 Directrices para las Autoridades de ZĞŐŝƐƚƌŽ͘ĂƌĂĐƚĞƌşƐƟĐĂƐĚĞ cumplimiento de Autoridades de Registro (RA) de la jerarquía ŶĂĐŝŽŶĂůĚĞĐĞƌƟĮĐĂĚŽƌĞƐ registrados de Costa Rica DireccióŶĚĞĞƌƟĮĐĂĚŽƌĞƐĚĞ&ŝƌŵĂŝŐŝƚĂů Ministerio de Ciencia y Tecnología OID 2.16.188.1.1.1.1 Versión: 1.00 ϬϰĚĞƐĞƟĞŵďƌĞ͕ϮϬϬϴ Directrices para las Autoridades de Registro. Caracterís cas de cumplimiento de Autoridades de Registro (RA) de la jerarquía nacional de cer ficadores registrados de Costa Rica Control de versiones Fecha Versión Autor(es) Aprobado Descripción 03–12–07 Borrador Comité de PolíƟcas Lic.Oscar Solís Director DCFD Se incorporan las observaciones de la consulta pública, de acuerdo al edicto publicado el día lunes 19 de noviembre del 2007 en el diario oficial “La Gaceta”, número Nº 222 04–09–08 1.00 Comité de PolíƟcas Lic.Oscar Solís Director DCFD Oficialización y entrada en vigencia de las políƟcas. 175 Directrices para las Autoridades de Registro. Caracterís cas de cumplimiento de Autoridades de Registro (RA) de la jerarquía nacional de cer ficadores registrados de Costa Rica 1. Disposiciones Generales Este documento regula la operación y procedimientos mínimos adoptados por las Autoridades de Registro (en adelante RA) que gesonan los cer ficados dentro de la jerarquía nacional de cer ficadores registrados de Costa Rica, y es un complemento de la “Polí ca de Cer ficados para la jerarquía nacional de cer ficadores registrados” La Autoridad de Registro (RA) es la en dad responsable por la comunicación entre el usuario y la autoridad cer ficadora (CA). Está vinculada a una CA y ene por obje vo recibir, validar, verificar y ges onar las solicitudes de emisión o revocación de los cer ficados digitales, cumpliendo con lo establecido en la polí ca de cer ficación nacional y en concordancia con las polí cas y procedimientos definidos por la CA correspondiente Para el presente documento se aplican las definiciones del “Reglamento a la Ley de cer ficados, firma digitales y documentos electrónicos (Decreto No. 33018–MICIT)” y de la “Polí ca de Cer ficados para la jerarquía nacional de cer ficadores registrados”. Sin embargo, para ampliar la reglamentación de la RA se deben aclarar los siguientes conceptos: a. Agente de registro: Persona responsable de la ejecución de las ac vidades propias de la RA. Esta persona debe realizar las validaciones y verificaciones definidas en la polí ca del cer ficado que corresponda. b. Confirmar la iden dad del solicitante: proceso para comprobar que el solicitante es la persona con autoridad para solicitar el cer ficado, de acuerdo a la polí ca asociada al cer ficado. c. Suspensión de un agente de registro: Es cuando un funcionario que ene el rol de agente de registro deja de ejercer sus labores temporalmente, alterándosele sus permisos dentro del sistema de la CA. 177 Directrices para las Autoridades de Registro. Caracterís cas de cumplimiento de Autoridades de Registro (RA) de la jerarquía nacional de cer ficadores registrados de Costa Rica d. Desvincular a un Agente de Registro: Es el proceso de separar a un agente de registro de sus funciones, eliminándole los permisos dentro del sistema de la CA. Este proceso ocurre cuando: 1. El funcionario ha renunciado a su cargo en la organización 2. El funcionario es cesado de sus funciones o de su organización 3. El funcionario que ha recibido la función de agente de registro la deja de ejercer, aunque con núa trabajando en otros puestos de la organización. 4. El funcionario sancionado mediante un proceso administra vo, o por un procedimiento disciplinario, que impidan con nuar en su cargo. e. Encargado de la RA: Persona responsable de la supervisión de las funciones de los agentes de registro, y la coordinación con la CA. f. Expediente del agente de registro: Es el conjunto de documentos rela vos a un agente de registro. g. Expediente de instalación: Es el conjunto de documentos relavo a las instalaciones de la RA, tales como plan de con nuidad de negocio, análisis de riesgos, reglamento de sanciones, inventario de ac vos y un plan de terminación de la RA (de acuerdo con el punto “5.8 Terminación de una CA o RA” del documento de Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados). h. Instalaciones: Es el ambiente sico de una RA, cuyo funcionamiento es debidamente autorizado para realizar las ac vidades de validación y verificación de las solicitudes de cer ficado. i. Validación del solicitante del cer ficado: Es la verificación de la iden dad del individuo o la organización que se presente ante una RA para solicitar un cer ficado. Esta validación requiere de 178 Directrices para las Autoridades de Registro. Caracterís cas de cumplimiento de Autoridades de Registro (RA) de la jerarquía nacional de cer ficadores registrados de Costa Rica la presencia sica del solicitante y de la evidencia que permita determinar su autoridad para la solicitud de su cer ficado respec vo. Las áreas y ac vidades ejecutadas por la RA incluyen, entre otras: Verificar y validar los documentos de iden dad Registrar y enrolar a los suscriptores Entregar cer ficados digitales Ges onar la aceptación del cer ficado por parte del suscriptor Ges onar revocaciones de cer ficados Registrar los eventos en las bitácoras Controlar y supervisar a los agentes de registro Almacenar y custodiar la documentación Controlar los reportes de incidentes La RA debe establecer los procedimientos y guías para asegurar el cumplimiento de la polí ca de cer ficados de la jerarquía nacional y de este documento, además de tomar las acciones que prevengan alguna deficiencia de la RA, incluyendo la terminación o suspensión de sus deberes. 1.1 Administración del documento 1.1.1 Organización que administra el documento Dirección de CerƟficadores de Firma Digital Ministerio de Ciencia y Tecnología, dirección: San José, 50 metros Este del Museo Nacional. Apartado Postal: 5589–1000 San José, Costa Rica. Correo Electrónico: [email protected] 179 Directrices para las Autoridades de Registro. Caracterís cas de cumplimiento de Autoridades de Registro (RA) de la jerarquía nacional de cer ficadores registrados de Costa Rica 1.1.2 Persona de contacto Jefatura de la Dirección de Cer ficadores de Firma Digital Director de Cer ficadores de Firma Digital, Correo Electrónico: [email protected]. Tel. (506) 2248–1515, ext. 115. 2. Controles del Personal 2.1 Disposiciones generales La autoridad de registro es la responsable administra va de su operación y debe enviar a la CA la información actualizada de los agentes de registros ac vos, sus perfiles, cualidades y necesidades de acceso a la información Esta información es actualizada y consolidada por la CA, ejecutando los más estrictos procedimientos de custodia y fiscalización indicados en la sección 5.5.3 “protección de archivos”, de la Polí ca de Cer ficados para la jerarquía nacional de cer ficadores registrados. Los agentes de registro deben ser funcionarios de la organización que opera como Autoridad de Registro. 2.2 Requerimientos de documentación del Agente de Registro Para cada agente de registro, en concordancia con los requisitos de personal ejecutando roles de confianza en la sección 5.3 de la polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados, la RA correspondiente debe poseer un expediente con: a. Un contrato de trabajo o documento que permita comprobar su situación laboral b. Comprobante de verificación de antecedentes criminales c. Comprobante de verificación de situación credi cia d. Comprobante de verificación de empleos anteriores. Incluyendo empleos en otras RA y las sanciones aplicadas, en caso de que existan. 180 Directrices para las Autoridades de Registro. Caracterís cas de cumplimiento de Autoridades de Registro (RA) de la jerarquía nacional de cer ficadores registrados de Costa Rica e. Comprobante de escolaridad y residencia f. Comprobante de aprobación de las capacitaciones recibidas referentes a las ac vidades propias de un Agente de Registro. g. Declaración en que afirma conocer las atribuciones que asume y el deber de cumplir con la polí ca nacional de cer ficación, y de mantener confidencialidad y privacidad de los datos disponibles en la CA o RA h. Resultados de las evaluaciones periódicas i. Registro que lo compromete a ejecutar labores de agente de registro en la RA j. Registro en la CA o RA del momento en que fue incluido el rol de agente en el sistema de cer ficación Cuando un Agente de Registro es desvinculado o suspendido de sus ac vidades en la RA entonces el expediente de la persona debe indicar: Registro de la solicitud para deshabilitar al agente de registro del sistema de cer ficación Registro en la CA del momento en que el agente de registro es deshabilitado o suspendido del sistema de cer ficación 2.3 Requerimientos Capacitación Todo agente de registro, y personal involucrado de su administración, debe recibir capacitación y documentación en los siguientes temas: a. Concepto básico de cer ficados digitales, Tokens y Smart Card b. Principios y mecanismos de seguridad de la RA c. Uso del Sistema de Cer ficación de la CA 181 Directrices para las Autoridades de Registro. Caracterís cas de cumplimiento de Autoridades de Registro (RA) de la jerarquía nacional de cer ficadores registrados de Costa Rica d. Procedimientos de recuperación de desastres y de con nuidad del negocio e. Procedimientos para la validación y verificación de iden dad Esto deberá constar en el expediente de agente de registro. Cuando se presenten cambios significa vos en las operaciones de la RA, el personal involucrado debe recibir capacitación al respecto. 2.4 Procedimiento de suspensión o desvinculación Cuando un Agente de Registro sea suspendido o desvinculado de sus ac vidades, el encargado de la RA debe ges onar inmediatamente con la CA la suspensión o revocación de sus permisos de acceso a los sistemas de la CA y de las labores inherentes a las ac vidades de la RA. Estos procesos deben ser documentados. 3. Controles İsicos 3.1 Exigencias mínimas de seguridad İsica Todas las Autoridades de Registro deben cumplir con las siguientes exigencias mínimas de seguridad: a. Disposi vos para la detección de incendios b. Gabinetes o armarios con llave, de uso exclusivo de la RA c. Los equipos de la RA deben estar protegidos contra fallas del fluido eléctrico y otras anomalías en la energía d. Vigilancia y monitoreo del ambiente de la RA durante su horario de operación e. Un perímetro de seguridad en el edificio donde se encuentran las instalaciones de la RA, con un guarda asignado durante el horario de operación. f. Controles contra coacción para cada agente de registro g. Iluminación de emergencia 182 Directrices para las Autoridades de Registro. Caracterís cas de cumplimiento de Autoridades de Registro (RA) de la jerarquía nacional de cer ficadores registrados de Costa Rica 3.2 Procedimientos de monitoreo Mantener monitoreo por Circuito Cerrado de Televisión (CCTV), o cualquier otra tecnología de video–vigilancia, para la supervisión de las ac vidades de la RA. Las imágenes deben ser mantenidas en un ambiente seguro por al menos 60 días. 4. Controles lógicos 4.1 Controles de seguridad de las estaciones de trabajo Las estaciones de trabajo de la RA, incluyendo los equipos portá les, deben estar protegidas contra amenazas y acciones no autorizadas. Las estaciones de trabajo de la RA, deben cumplir las siguientes direc vas de seguridad: a. Control de acceso lógico al sistema operacional b. Auten cación robusta (por ejemplo, u lizando cer ficados digitales) para hacer uso de las estaciones de trabajo c. Direc vas bloqueo de la sesión de usuario d. Bitácoras de auditoría del sistema opera vo ac vadas, registrando: e. 1. Inicio y terminación de las sesiones del sistema opera vo 2. Intentos de crear, remover, definir contraseñas o modificar los privilegios del sistema opera vo 3. Modificaciones en la configuración de las estaciones 4. 5. Accesos (login) y de salidas (logoff) del sistema opera vo Intentos de acceso no autorizado al sistema opera vo An virus instalados, actualizados y habilitados 183 Directrices para las Autoridades de Registro. Caracterís cas de cumplimiento de Autoridades de Registro (RA) de la jerarquía nacional de cer ficadores registrados de Costa Rica f. Permisos de acceso mínimos que le permitan ejecutar las ac vidades estrictamente necesarias. g. Protector de pantalla ac vado como máximo dos minutos después de estar en inac vidad el equipo y exigiendo un mecanismo de auten cación del usuario para desbloquearlo. h. Sistema opera vo actualizado y con la aplicación de las correcciones necesarias (parches, ho ix, etc.) i. Endurecimiento de Estación (Hardening1) j. Instalar únicamente aplicaciones autorizadas y concernientes a la función. k. U lización de so ware licenciado en las estaciones de la RA l. Limitar el acceso remoto a la estación de trabajo de la RA, vía otro equipo ligado a una red de computadores u lizada por la RA, excepto para ac vidades de soporte remoto de la CA m. Sincronización con la hora UTC en Costa Rica Las bitácoras deben permanecer almacenadas localmente por un periodo de al menos 60 días y posteriormente pueden ser eliminadas. En las estaciones de la RA debe contarse con un perfil de administrador de los equipos, que sea el responsable de administrar la configuración de la máquina y esta labor debe ser segregada de las funciones del agente de registro de la RA. 4.2 Controles de la aplicación de la RA La aplicación de la RA es la conexión entre la RA y el sistema de cerficados de la CA y debe cumplir al menos con las siguientes funcionalidades: 1 El Hardening es una técnica compuesta por un conjunto de ac vidades llevadas a cabo por el administrador de un sistema opera vo para reforzar al máximo posible la seguridad de este. 184 Directrices para las Autoridades de Registro. Caracterís cas de cumplimiento de Autoridades de Registro (RA) de la jerarquía nacional de cer ficadores registrados de Costa Rica a. Auten car robustamente (por ejemplo u lizando un cer ficado digital) al funcionario que funge en el rol de agente de registro b. Permi r acceso solamente a través de equipos auten cados c. Almacenar el historial de las inclusiones y exclusiones de los agentes de registro y los permisos o revocatorias aplicadas d. Proveer mecanismo de revocación automá ca de los cer ficados por parte del suscriptor o dueño del cer ficado e. Almacenar información que evidencie los procesos de iden ficación y auten cación de los solicitantes f. Implementar controles para verificar la información incluida en el cer ficado digital, en par cular validarlos con las fuentes oficiales de información definidas en polí ca de Cer ficados para la jerarquía nacional de cer ficadores registrados g. Remi r la solicitud de cer ficado digital a la CA emisora, firmada digitalmente h. Proveer métodos de ac vación de los disposi vos criptográficos a través de esquemas seguros, que evite divulgar información acerca de la ac vación de los disposi vos. i. Evidenciar que el proceso de generación e instalación del cer ficado se realizó dentro del empo definido en la sección “4.2.3 Tiempo para procesar solicitudes de cer ficado” de las polí cas de cer ficación o con base en el acuerdo del suscriptor. j. Implementar controles para la preservación de la privacidad de la información k. Dejar evidencia para los cer ficados de persona sica de la aceptación de los deberes y responsabilidades por parte del suscriptor acerca del uso del cer ficado, firmando digitalmente el comprobante de aceptación con el cer ficado entregado y validando que funciona correctamente 185 Directrices para las Autoridades de Registro. Caracterís cas de cumplimiento de Autoridades de Registro (RA) de la jerarquía nacional de cer ficadores registrados de Costa Rica l. Registrar en la bitácoras de auditoría las operaciones del ciclo de vida del cer ficado m. Reportar cualquier incidente a la CA 5. Controles de seguridad de la RED Cada instalación de la RA debe mantener los componentes de su red local en un ambiente sicamente seguro y sus configuraciones deben ser revisadas periódicamente. Además, deben protegerse la privacidad e integridad de los datos sensibles. 6. Controles de seguridad de la información 6.1 Directrices generales Toda la información y documentos relacionados con la instalación y puesta en operación de la RA deben ser clasificados y almacenados de acuerdo a los requisitos de seguridad definidos en la sección “5.5 Archivado de registros” de Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados; y que garan zan privacidad y confidencialidad de la información. El “Expediente de Instalación” es un documento clasificado como privado y confidencial, por mantener información sensible de la instalación técnica de la RA, y está cons tuido por los siguientes documentos actualizados: a. Plan de con nuidad del negocio b. Análisis de riesgos c. Reglamento de sanciones d. Plan de terminación de una RA e. Inventario de Ac vos de la RA 186 Directrices para las Autoridades de Registro. Caracterís cas de cumplimiento de Autoridades de Registro (RA) de la jerarquía nacional de cer ficadores registrados de Costa Rica Adicionalmente, debe tener disponible los siguientes documentos para uso de los agentes de registro: Copia de las polí cas de cer ficación Manual de operación para los agentes de registro 6.2 Procedimientos de almacenamiento, manipulación y destrucción de documentos Los documentos en papel que componen los expedientes de los solicitantes de cer ficado deben ser guardados obligatoriamente en archivos donde únicamente tengan acceso los agentes de registro. Una RA puede sus tuir los documentos sicos por digitales, siempre y cuando estén firmados digitalmente con un cer ficado emi do por la jerarquía nacional de cer ficación digital. Los documentos que contengan información confidencial o privada deben ser almacenados en los gabinetes o armarios con llave de uso exclusivo de la RA y cuando se dejen de u lizar deberán ser destruidos, de tal forma que no se pueda recuperar la información contenida en ellos. 7. Controles del ciclo de vida del cerƟficado La RA debe respetar el ciclo de vida del cer ficado definido en el capítulo 4 “Requerimientos operacionales del ciclo de vida del cer ficado”, del documento de “Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados”. 8. Acuerdos operacionales La CA debe celebrar un acuerdo operacional para que la RA ejecute las ac vidades de validación y verificación de las solicitudes de cer ficado. Este acuerdo debe contener al menos: a. La iden ficación y calidades de los celebrantes del acuerdo de la RA b. La iden ficación de los deberes que competen a la RA en función del acuerdo 187 Directrices para las Autoridades de Registro. Caracterís cas de cumplimiento de Autoridades de Registro (RA) de la jerarquía nacional de cer ficadores registrados de Costa Rica c. La iden ficación de los responsables de la RA d. Compromiso de la RA de cumplir con las normas y procedimientos definidos e. Plazo por medio del cual el acuerdo es celebrado f. Obligaciones de la RA para verificar los procesos que ejecuta 188 PŽůşƟĐĂĚĞƐĞůůĂĚŽĚĞƟĞŵƉŽĚĞů ^ŝƐƚĞŵĂEĂĐŝŽŶĂůĚĞĞƌƟĮĐĂĐŝſŶ Digital DiƌĞĐĐŝſŶĚĞĞƌƟĮĐĂĚŽƌĞƐĚĞ&ŝƌŵĂŝŐŝƚĂů DŝŶŝƐƚĞƌŝŽĚĞŝĞŶĐŝĂLJdĞĐŶŽůŽŐşĂ OID 2.16.188.1.1.1.5 sĞƌƐiſŶ: 1.00 ϬϰĚĞƐĞƟĞŵďƌĞ͕ϮϬϬϴ Polí ca de sellado de empo del Sistema Nacional de Cer ficación Digital Control de versiones Fecha Versión Autor(es) Aprobado 26–10–07 Consulta pública Comité de PolíƟcas Comité Técnico Lic.Oscar Solís Director DCFD 03–12–07 Borrador Comité de PolíƟcas Lic.Oscar Solís Director DCFD 04–09–08 1.00 Comité de PolíƟcas Lic.Oscar Solís Director DCFD Descripción Se presenta la versión de las PolíƟcas de Sellado de Tiempo y se obƟene la aprobación del Director de la DCFD. Se incorporan las observaciones de la consulta pública, de acuerdo al edicto publicado el día lunes 19 de noviembre del 2007 en el diario oficial “La Gaceta”, número Nº 222 Oficialización y entrada en vigencia de las políƟcas. 191 Polí ca de sellado de empo del Sistema Nacional de Cer ficación Digital 1. Introducción Este documento define las polí cas de sellado de empo para la emisión del cer ficado de autoridades de sellado de empo (TSA) referenciado en el documento de “Polí cas de Cer ficación del Sistema Nacional de Cer ficación Digital” del gobierno de Costa Rica. La autoridad de sellado de empo debe implementar las polí cas definidas en este documento para poder registrarse ante la Dirección de Cer ficadores de Firma Digital (DCFD). En el siguiente gráfico se muestra la ubicación de una autoridad de sellado de empo en la jerarquía nacional de cer ficadores registrados: CA Raíz CA de ƉŽůşƟĐas Sellado de Ɵempo Otras ƉŽůşƟĐas Autoridad de Sellado de Tiempo Unidad de sellado de ƟĞŵƉŽ (TSU) Sellos de ƟĞŵƉŽ Diagrama N.1: Autoridad de sellado de empo del sistema nacional de cer ficación digital Adicionalmente, para la implementación de la polí ca de sellado de empo se debe cumplir con el protocolo definido por el RFC 3161 “Internet X.509 Public Key Infrastructure Time–Stamp Protocol (TSP)” 193 Polí ca de sellado de empo del Sistema Nacional de Cer ficación Digital 1.1 Administración de la PolíƟca 1.1.1 Organización que administra el documento Dirección de CerƟficadores de Firma Digital Ministerio de Ciencia y Tecnología, dirección: San José, 50 metros Este del Museo Nacional. Apartado Postal: 5589–1000 San José, Costa Rica. Correo Electrónico: [email protected] 1.1.2 Persona de contacto Jefatura de la Dirección de Cer ficadores de Firma Digital Director de Cer ficadores de Firma Digital, Correo Electrónico: [email protected]. Tel. (506) 2248– 1515, ext. 115. 2. Resumen Este CP especifica los requerimientos para una Autoridad de Sellado de Tiempo (TSA), tales como requisitos para la sincronización del empo, el sistema de emisión de los sellos de empo, y otros requerimientos específicos para el proceso de sellado de empo de un documento o dato. 3. Definiciones y abreviaturas 3.1 Definiciones Para los propósitos del presente documento, se aplican los siguientes términos y definiciones: Parte que con a: receptor del token de sellado de empo que con a en este sello de empo, o cualquier en dad que quiera comprobar que los datos sellados que ha recibido con enen un sello de empo válido. Puede ser la misma en dad que u lizó el servicio de sellado de empo, para comprobar que el sello generado es válido y correcto. 194 Polí ca de sellado de empo del Sistema Nacional de Cer ficación Digital Subscriptor: Persona o en dad que solicita los servicios proporcionados por la TSA y el cual implícita o explícitamente acepta las polí cas de uso de este servicio. En un proceso de sellado de empo, es el solicitante que posee la información a la que quiere incluir un sello de empo para probar que los datos exis an en un determinado instante. Token de sellado de empo: Objeto de datos que está asociado a una representación de un dato para un empo concreto, estableciendo así evidencia de que el dato exis a antes de ese empo. Los token de sellado de empo deben emi rse de acuerdo al RFC 3161 “Internet X.509 Public Key Infrastructure Time Stamp Protocol (TSP)” Autoridad de Sellado de Tiempo (TSA por sus siglas en inglés Time Stamping Authority): Sistema de emisión y ges ón de token de sellado de empo basado en una firma digital acreditada dentro de la jerarquía nacional de cer ficadores registrados, encargada de proveer uno o más servicios de sellado de empo a través de unidades de sellado de empo (TSU). Sistema de TSA: Conjunto de elementos organizados para soportar los servicios de sellado de empo. Polí ca de sellado de empo: Conjunto de reglas que indican la aplicabilidad de un token de sellado de empo para una comunidad par cular y/o la clase de aplicación con requerimientos de seguridad comunes. Unidad de sellado de empo (TSU por sus siglas en inglés, “ me–stamping unit”) es el conjunto de hardware y so ware que es ges onado como una unidad y que ene un token de sellado de empo firmado por una llave privada de la TSA. Tiempo Universal Coordinado (UTC por sus siglas en inglés Universal Time Coordinated): También conocido como empo civil, el cual es determinado por la referencia a una zona horaria (por ejemplo: UTC–6 para Costa Rica). El empo coordinado UTC está basado en relojes atómicos que se sincronizan para 195 Polí ca de sellado de empo del Sistema Nacional de Cer ficación Digital obtener una alta precisión y es el sistema de empo u lizado como estándar por la World Wide Web. Declaración de Prác cas de sellado de empo: Declaración de las Prác cas que una autoridad de sellado de empo emplea en la emisión de los token de sellado de empo. 3.2 Abreviaturas Abreviatura TSA TSU TST UTC TSS Descripción Autoridad de Sellado de Tiempo (Time–Stamping Authority) Unidad de Sellado de Tiempo (Time–Stamping Unit) Token de Sellado de Tiempo (Time–Stamp Token) Tiempo Universal Coordinado (Universal Time Coordinated) Servicios de Sellado de Tiempo (Time Stamping Services) 4. Conceptos Generales 4.1 Servicios de Sellado de Tiempo (TSS) El servicio de Sellado de Tiempo (TSS) se encarga de recibir la solicitud de sellado de empo de un suscriptor, verifica los parámetros de la solicitud y genera el token de sellado de empo, de acuerdo a las polí cas de estampado de empo. Además, cuenta con mecanismos control para garan zar el acceso a fuentes de empo confiables, servicios criptográficos y del sistema de validación. 4.2 Autoridad de Sellado de Tiempo (TSA) La TSA es la autoridad en la que con an los usuarios de los servicios de sellado de empo (suscriptores y partes que con an) para la emisión de los sellos de empo. La TSA ene responsabilidad total en la provisión del servicio de sellado de empo que se iden fica en la cláusula 4.1. 196 Polí ca de sellado de empo del Sistema Nacional de Cer ficación Digital Una TSA puede operar diferentes TSU, donde cada unidad ene un par de llaves diferentes. Es decir, una TSA puede tener varios cer ficados de sellado de empo según sean sus necesidades. El proceso de sellado de empo sigue los siguientes pasos: • El subscriptor del servicio realiza una pe ción de sellado de empo para un dato (hash), y para esto prepara la solicitud de acuerdo con el “Timestamp Request” definido en el RFC 3161. • La autoridad de sellado de empo se encarga de: • Revisa si la pe ción está completa y correcta. Si el resultado es posi vo, el dato (hash) se envía como entrada a la Unidad de Sellado de Tiempo. • Ob ene la hora oficial de una fuente confiable de empo • Crea un sello de empo que asocie el instante de empo actual, un número de serie único y el dato (hash) proporcionado para el sellado de empo, garan zando el cumplimiento de los requerimientos de esta polí ca. • Crea el token de sellado de empo que se devolverá al subscriptor del servicio que realizó el pedido. En este momento se genera la firma criptográfica del sello de empo. • El suscriptor recibe el token de sellado de empo • Las partes que con an verifican el sello de empo 197 Polí ca de sellado de empo del Sistema Nacional de Cer ficación Digital El proceso de sellado de empo se observa en el siguiente diagrama: Autoridad de Sellado de Tiempo Solicitante Envía a TSA KďƟĞŶĞ la hora ŽĮĐŝĂů Unidad de sellado de ƟĞŵƉŽ (TSU) Firma el nuevo Hash y el Tiempo Retorna al solicitante Almacena todo junto Diagrama N.2: Proceso de sellado de empo de una Autoridad de Sellado de Tiempo (TSA) El proceso de verificación de un sello de empo de una parte que con a es mostrado en el siguiente diagrama: + VeriĮca el sello de ƟĞŵƉŽ usando llave pública del cerƟĮcado de la TSA Documento con sellado de Ɵempo Sello de Ɵempo fue alterado NO Son iguales SI VeriĮca CRL SI Sello válido Sello inválido Diagrama N.3: Proceso de verificación de un sello de empo 198 Polí ca de sellado de empo del Sistema Nacional de Cer ficación Digital 4.3 Suscriptores Los suscriptores de este servicio son los organismos o en dades finales, que han suscrito el correspondiente acuerdo de suscriptor que les permite acceder a estos servicios de firma electrónica. 4.4 PolíƟca de Sellado de Tiempo y la Declaración de prácƟcas de la TSA Estos documentos explican los roles rela vos a la polí ca de sellado de empo. En este caso, cualquier en dad que desea ser una TSA registrada debe probar que su declaración de prác cas de TSA se adhiere a esta polí ca. El cumplimiento de los procedimientos y su adherencia a las polí cas debe ser aprobada por la DCFD, posterior al estudio de cumplimiento de la competencia técnica y administra va realizado por el ECA. 5. PolíƟcas de Sellado de Tiempo 5.1 Resumen Las polí cas definidas para el sellado de empo establecen reglas par culares a las definidas en el documento general de Polí cas para el Sistema Nacional de Cer ficación Nacional, y en par cular establece el conjunto de reglas u lizadas durante la emisión y el control de los token de sellado de empo (TST), y además de regular el nivel de seguridad requerido para la TSA. 5.2 IdenƟficación De acuerdo con la sección 1.2 Nombre e Iden ficación del Documento de las Polí cas del Sistema Nacional de Cer ficación, se le asigna el siguiente OID a las polí cas del Cer ficado de TSA: OID 2 16 188 Descripción joint–iso–itu–t country Costa Rica 199 Polí ca de sellado de empo del Sistema Nacional de Cer ficación Digital OID Descripción 1 1 1 Organización Dirección de CerƟficadores de Firma Digital PolíƟcas PolíƟca de cerƟficados para la jerarquía nacional de cerƟficadores registrados PolíƟca de sellado de Ɵempo del sistema nacional de cerƟficación digital 1 5 5.3 Comunidad de usuarios y aplicabilidad Esta polí ca de sellado de empo ene como obje vo cumplir con los requerimientos de las firmas digitales de sellado de empo para largos periodos de validez, y por estar dentro de la jerarquía nacional de cer ficación poseen las caracterís cas para garan zar no repudio en los procesos que requieran la cer ficación del empo. 5.4 Cumplimiento La TSA debe implementar los controles y procedimientos iden ficados en esta polí ca para garan zar la confianza en los sellos de empo que emite. 6. Obligaciones y responsabilidades 6.1 Obligaciones de la TSA 6.1.1 General La TSA que implementa esta polí ca está obligada a: • Realizar sus operaciones en conformidad con esta polí ca. • Proteger sus llaves privadas emi das para cada TSU. • Emi r sellos de empo de acuerdo con la información conocida en el momento de su emisión, y libres de errores de entrada de datos. 200 Polí ca de sellado de empo del Sistema Nacional de Cer ficación Digital • U lizar sistemas y productos fiables que estén protegidos contra toda alteración y que garan cen la seguridad técnica y criptográfica de los procesos de cer ficación a los que sirven de soporte. • Garan zar que puede determinarse con precisión la fecha y la hora a la que se emi ó un sello de empo. • Publicar esta polí ca y los documentos relacionados en el si o Web, garan zando el acceso a la versión actual del documento de polí cas de sellado de empo y de las polí cas del sistema nacional de cer ficación digital. • Garan zar que todos los requerimientos de la TSA, incluidos procedimientos, prác cas rela vas a la emisión de token y revisión de sistemas están conforme se describe en los documentos operacionales, de procedimiento y técnicos del sistema nacional de cer ficación digital. 6.1.2 Obligaciones de la TSA hacia sus suscriptores La TSA debe garan zar el acceso permanente a los servicios de sellado de empo que proporciona un empo de servicio (up me) superior al 90%, excluyendo procesos de mantenimiento de sistemas y equipos. Los procesos de mantenimiento técnicos deberán planificarse con la suficiente antelación, tener una duración determinada y avisar a los subscriptores del servicio, u lizando los medios de difusión disponibles. La TSA debe garan zar los siguientes aspectos: • Que el empo UTC incluido en los sellos de empo, asegura una desviación máxima de 500 milisegundos. • Que los sistemas u lizados en la provisión de estos servicios se ajustan a lo contemplado en la norma va legal. • Que el valor de empo es fiable en cada token de sellado de empo emi do. 201 Polí ca de sellado de empo del Sistema Nacional de Cer ficación Digital • Que los sellos de empo son firmados usando una llave privada generada exclusivamente para este propósito. • Que no se emitan sellos de empo si el cer ficado de la TSA está vencido o ha sido revocado. • Que no hay ningún procesamiento de datos personales asociado a la operación de la Autoridad de Sellado de Tiempo (TSA). 6.2 Obligaciones del suscriptor En el proceso de obtención de un sello de empo, los subscriptores deben verificar la firma electrónica de la TSA y comprobar en la CRL el estado del cer ficado de la TSA. 6.3 Obligaciones de partes que conİan Las partes que con an deben verificar la firma del sello de empo, comprobar el estado del cer ficado de la TSA y su periodo de validez. En el caso de la verificación de un sello de empo, después de la expiración del cer ficado de la TSA, se debe verificar que el número de serie del cer ficado de la TSA no se encuentra en la CRL, o determinar la validez del cer ficado de la TSA en el momento que se generó el sello. 6.4 Responsabilidades Las responsabilidades generales de la TSA se documentan en la políca del Sistema Nacional de Cer ficación Digital. En par cular la TSA debe responsabilizarse de: • Emi r los token de sellado de empo que pueden iden ficarse en forma unívoca. • Mantener el empo UTC de los sellos de empo dentro del margen de desviación definido en este CP. 202 Polí ca de sellado de empo del Sistema Nacional de Cer ficación Digital • Comunicar al suscriptor las responsabilidades y deberes asumidos con el uso del servicio de sellado de empo, en el acuerdo de suscriptor. • Implementación de los controles requeridos por esta polí ca para emi r los token de sellado de empo de acuerdo a este CP. • Proteger información confidencial o privada. 7. Requerimientos en prácƟcas de la TSA 7.1 PrácƟcas y declaraciones de divulgación 7.1.1 Declaración de prácƟcas de TSA La TSA que desea registrarse ante la DCFD debe implementar los controles necesarios para garan zar la fiabilidad y confianza del servicio, de acuerdo a las polí cas del sistema nacional de cer ficación digital y de este documento. Estos controles deben especificarse en el documento de la “declaración prác cas de la TSA”. 7.1.2 Declaración de divulgación de TSA Para el caso del sistema nacional de cer ficación digital, este documento se considera opcional. 7.2 GesƟón del Ciclo de vida de las llaves 7.2.1 Generación de la llave de la TSU La generación de la llave de la Unidad de Sellado de Tiempo asociada a la TSA, debe cumplir con lo especificado en las secciones del documento de polí ca del sistema nacional de cer ficación digital: • 5.2 para controles procedimentales, y • 6.1.1 para la generación del par de llaves 203 Polí ca de sellado de empo del Sistema Nacional de Cer ficación Digital 7.2.2 Protección de la llave privada de la TSU Los niveles de seguridad para la protección de la llave privada deben cumplir con este documento de polí cas y las secciones del documento de polí ca del sistema nacional de cer ficación digital: • 4.12 de custodia y recuperación de la llave, y • 6.2.1 de estándares y controles del módulo criptográfico. 7.2.3 Distribución de la llave pública de la TSU La distribución de la llave pública de la Unidad de Sellado de Tiempo de una TSA debe cumplir lo es pulado en las secciones de la polí ca del sistema nacional de cer ficación digital: • 6.1.3 para la entrega de la llave pública al emisor del cer ficado, y • 6.1.4 entrega de la llave pública de la CA a las partes que con an. 7.2.4 Re–emisión de llaves de la TSU La re–emisión de llaves no se implementa como parte del sistema nacional de cer ficación digital. 7.2.5 Terminación del ciclo de vida de la llave del TSU La TSA debe asegurarse que las llaves privadas de firma de la Unidad de Sellado de Tiempo no puedan ser u lizadas más allá del periodo de expiración. En par cular la TSA debe cumplir con lo es pulado en sección 6.2.10 método de destrucción de la llave privada de la polí ca nacional de cer ficación digital. 7.2.6 GesƟón del ciclo de vida de los módulos criptográficos usados para las firmas de sellado de Ɵempo La TSA debe operar los disposi vos criptográficos de acuerdo a las especificaciones de la sección 6.2 para los controles de ingeniería del 204 Polí ca de sellado de empo del Sistema Nacional de Cer ficación Digital módulo criptográfico y protección de la llave privada del documento de polí cas del sistema nacional de cer ficación digital. 7.3 Sellado de Ɵempo 7.3.1 Token de sellado de Ɵempo La TSA debe garan zar que los token de sellado de empo son emidos en forma segura y que incluyen la hora oficial de Costa Rica. En par cular cada sello de empo emi do por la TSA debe incluir: • El OID de la polí ca de sellado de empo de la jerarquía nacional de cer ficadores registrados. • Contener un iden ficador único dentro de la TSA. • Valores de fecha y hora iden ficables, mediante los cuales se puede llegar al valor de empo UTC. • El empo debe estar sincronizado con el empo UTC. • Una representación (por ejemplo, valor hash) del dato que desea ser sellado, el cual es proveído por el solicitante. • El iden ficador de la TSA y de la TSU que lo emite. Adicionalmente la TSA debe garan zar que: • Si es imposible la obtención de la exac tud requerida para el empo entonces el sello de empo no podrá ser emi do. • El token de sellado de empo es firmado por una llave generada exclusivamente para este propósito. 7.3.2 Sincronización de los relojes con UTC La TSA debe asegurar que su reloj está sincronizado con el empo UTC, con una exac tud menor a un segundo, y establecer los controles para: 205 Polí ca de sellado de empo del Sistema Nacional de Cer ficación Digital • La calibración del reloj de la TSU debe ser mantenida dentro de los límites definidos por este CP y por dis ntos caminos, u lizando como referencia el empo UTC para fijar el empo oficial. • El reloj de la TSU debe ser protegido contra amenazas que podrían resultar en el cambio del empo fuera de la calibración o por la manipulación sica de los sistemas. • La TSA debe asegura que las diferencias entre el sistema del empo de la TSU y el empo UTC sean detectadas. El cálculo de empo cumple con las recomendaciones de NTP (Network Time Protocol) y de la Oficina de Pesos y Medidas (BIPM = Bureau Interna onal des Poids et Mesures). • La TSA debe asegurar que la sincronización del reloj es mantenida cuando se presenten “segundos intercalares” (leap second) no ficados por el organismo apropiado. Dos veces al año, durante el úl mo minuto de los días 30 de junio y 31 de diciembre, se realizan los ajustes automá cos para asegurar que la diferencia acumulada entre UTC y UT1 no excederá a 0.9 segundos antes del próximo ajuste programado. La TSA debe mantener un registro del empo exacto (dentro de la exac tud declarada) cuando estos cambios ocurran. 7.4 GesƟón de la TSA y operaciones 7.4.1 GesƟón de seguridad Todos los elementos rela vos al control de la seguridad se describen en la polí ca del sistema nacional de cer ficación digital específicamente en la sección 5.2 de controles procedimentales, y de la sección 6.6.2 controles de ges ón de seguridad. 7.4.2 GesƟón y clasificación de acƟvos La TSA debe asegurar que su información y otros ac vos reciban un nivel apropiado de protección. En par cular, debe mantener el inventario de todos los ac vos y quién los ene asignados de acuerdo al análisis de riesgo efectuado. 206 Polí ca de sellado de empo del Sistema Nacional de Cer ficación Digital 7.4.3 Seguridad del personal Las caracterís cas del personal son establecidas por la polí ca del sistema nacional de cer ficación digital, en la sección 5.3 controles de personal. Dentro de los requerimientos de conocimiento del personal se encuentran: • tecnología de sellado de empo. • tecnología de firma digital. • mecanismos de calibración o sincronización de los relojes de la TSU con el UTC. • seguridad de la información y valoración de riesgos. • procedimientos de seguridad para el personal con roles de confianza. 7.4.4 Seguridad İsica y ambiental La descripción de la seguridad sica se encuentra documentada en la sección 5.1 de las polí cas del sistema nacional de cer ficación digital. 7.4.5 GesƟón de las operaciones La TSA debe implementar los controles de seguridad definidos por la polí ca del sistema nacional de cer ficación digital para todas las operaciones de emisión de los token de sellado de empo, en par cular: • Auditorias internas al sistema de la TSA. • Reportes de incidentes y procedimientos de respuesta. • Monitoreo de las transacciones. 207 Polí ca de sellado de empo del Sistema Nacional de Cer ficación Digital 7.4.6 GesƟón de acceso a los sistemas Los controles de acceso a los sistemas son determinados dentro de la polí ca nacional de cer ficación digital en la sección 6.5 controles de seguridad del computador. 7.4.7 Mantenimiento e implantación de sistemas de confianza El mantenimiento e implantación de los sistemas de la TSA deben cumplir con las es pulaciones de la polí ca nacional de cer ficación digital en la sección 6.6.1 controles para el desarrollo de sistemas. 7.4.8 Compromiso de los servicios de TSA En caso de compromiso de los servicios de sellado de empo, se deberá seguir lo es pulado en la sección 5.7 recuperación de desastre y compromiso de la polí ca del sistema nacional de cer ficación digital. 7.4.9 Terminación de una TSA La TSA debe garan zar el mínimo impacto en caso de un cese de ac vidades. En par cular, debe cumplir con los aspectos que una CA requiere para el cese de funciones y que están documentados como parte de la polí ca del sistema nacional de cer ficación digital, en la sección 5.8 terminación de una CA o RA. 7.4.10 Cumplimiento de requerimientos legales Sin es pulaciones. 7.4.11 Registro de información concerniente a las operaciones del servicio de sellado de Ɵempo La TSA debe incorporar los mecanismos para la creación y control de las bitácoras de auditoría, con los eventos que han sido derivados de su operación, los cuales deben estar de acuerdo a la sección 5.4 procedimientos de bitácora de auditoría del documento de polí cas del sistema nacional de cer ficación. 208 Polí ca de sellado de empo del Sistema Nacional de Cer ficación Digital La TSA debe asegurar que toda la información relevante concerniente a los Tokens de Sellado de Tiempo (TST) son almacenados por el período de empo apropiado, en par cular para: • Operaciones de la TSA: • Los datos y eventos específicos a ser registrados en bitácoras deben ser documentados por la TSA; • La confidencialidad y la integridad de los registros actuales y los archivados rela vos a la operación de servicios de la TSA deben ser mantenidos; • Los registros concernientes a la operación de servicios de la TSA debe estar almacenados completa y confidencialmente; • Los registros concernientes a la operación de servicios de la TSA debe estar disponible si fueron almacenados para el propósito de evidencias de pruebas de la correcta operación de los servicios de la TSA con el obje vo de actos jurídicos; • El empo preciso de eventos de sincronización del reloj deben ser registrados; • Los registros concernientes a los servicios de la TSA deben estar retenidos por el período de empo posterior al vencimiento del cer ficado de la TSA para proveer la evidencia legal necesaria; • Los eventos deben ser registrados al sistema de manera que no puedan ser fácilmente eliminados o destruidos dentro del período de empo que están obligados a ser retenidos; y • Cualquier información grabada acerca de Suscriptores deben ser mantenida confidencial excepto cuando un contrato del Subscriber permita su publicación. 209 Polí ca de sellado de empo del Sistema Nacional de Cer ficación Digital • Ges ón de la llave de la TSA • los registros concernientes a todos los eventos referentes al ciclo de vida de las llaves de la TSA deben ser puestos en bitácora; y • los registros concernientes a todos los eventos del ciclo de vida de los cer ficados de la TSA deben ser puestos en bitácora. • Sincronización de los relojes • Los registros concernientes a todos los eventos de sincronización del reloj de la TSA para asignar el UTC deben ser puestos en la bitácora. Esto incluirá la información concerniente a la sincronización o calibración normal de relojes usados en el estampado de empo ; y • los registros concernientes a todos los eventos relacionados para la detección de pérdida de sincronización deben ser puestos en bitácora. 7.5 Organización Las autoridades de sellado de empo se encuentran incluidas dentro de la jerarquía nacional de cer ficadores registrados, bajo una polí ca par cular de sellado de empo, y se adhieren a las polí cas dictadas por la Dirección de Cer ficadores de Firma Digital (DCFD). 210