sistema nacional de certificación digital

San José, 50 metros Este del Museo Nacional.
Apartado Postal: 5589-1000 San José, Costa Rica.
Correo Electrónico: informacion@firmadigital.go.cr
www.firmadigital.go.cr
Tel:(506) 2248-1515
SISTEMA NACIONAL DE CERTIFICACIÓN DIGITAL
SISTEMA NACIONAL DE
CERTIFICACIÓN DIGITAL
Ley de certificados, firmas digitales y
documentos electrónicos N° 8454
Reglamento a la ley de certificados, firmas digitales
y documentos electrónicos
Política de certificados para la jerarquía
nacional de certificadores registrados
Política de formatos oficiales de los documentos
electrónicos firmados digitalmente
Directrices para las Autoridades de Registro.
Características de cumplimiento de Autoridades de Registro (RA)
de la jerarquía nacional de certificadores registrados de Costa Rica
Política de sellado de tiempo del Sistema
Nacional de Certificación Digital
Contenido
Ley de CerƟficados, Firmas Digitales y
Documentos Electrónicos N° 8454 ........................ 15
Capítulo I Disposiciones generales ....................................................... 17
Ar culo 1.– Ámbito de aplicación ................................................................17
Ar culo 2.– Principios...................................................................................17
Capítulo II Documentos ......................................................................... 18
Ar culo 3.– Reconocimiento de la equivalencia funcional...........................18
Ar culo 4.– Calificación jurídica y fuerza probatoria....................................18
Ar culo 5.– En par cular y excepciones.......................................................18
Ar culo 6.– Ges ón y conservación de documentos electrónicos ...............19
Ar culo 7.– Sa sfacción de los requisitos fiscales ........................................20
Capítulo III Firmas digitales .................................................................... 21
Ar culo 8.– Alcance del concepto ................................................................21
Ar culo 9.– Valor equivalente ......................................................................21
Ar culo 10.– Presunción de autoría y responsabilidad ................................21
Capítulo IV CerƟficación digital ............................................................. 22
Sección I.
Los cer ficados .......................................................................22
Ar culo 11.– Alcance....................................................................................22
Ar culo 12.– Mecanismos ............................................................................22
Ar culo 13.– Homologación de cer ficados extranjeros .............................23
Ar culo 14.– Suspensión de cer ficados digitales .......................................23
Ar culo 15.– Revocación de cer ficados digitales .......................................24
Ar culo 16.– Revocación por el cese de ac vidades del cer ficador...........24
Ar culo 17.– Conservación de efectos .........................................................25
Sección II. Cer ficadores ..........................................................................25
Ar culo 18.– Definición y reconocimiento jurídico ......................................25
Ar culo 19.– Requisitos, trámites y funciones .............................................25
Ar culo 20.– Corresponsalía ........................................................................25
Ar culo 21.– Auditorías................................................................................26
Ar culo 22.– Cesación voluntaria de funciones ...........................................26
Sección III. Administración del Sistema de Cer ficación...........................26
Ar culo 23.– Dirección .................................................................................26
5
Contenido
Ar culo 24.– Funciones ................................................................................26
Ar culo 25.– Jefatura ...................................................................................27
Capítulo V
Ar
Ar
Ar
Ar
Ar
Ar
Ar
Sanciones ........................................................................... 28
culo 26.– Sanciones a cer ficadores ......................................................28
culo 27.– Amonestación .........................................................................28
culo 28.– Multa.......................................................................................28
culo 29.– Suspensión ..............................................................................29
culo 30.– Revocatoria de la inscripción ..................................................30
culo 31.– Procedimiento.........................................................................30
culo 32.– Publicidad ...............................................................................30
Capítulo VI Disposiciones finales y transitorias ..................................... 31
Ar culo 33.– Reglamentación ......................................................................31
Transitorio Único.– .......................................................................................31
Reglamento a la ley de cerƟficados , firmas
digitales y documentos electrónicos ..................... 33
CAPÍTULO PRIMERO ............................................................................... 35
Disposiciones generales
Ar
Ar
Ar
Ar
culo 1º– Propósito. .................................................................................35
culo 2º– Definiciones. .............................................................................36
culo 3º– Aplicación al Estado..................................................................42
culo 4º– Incen vo de los mecanismos de gobierno electrónico. ...........42
CAPÍTULO SEGUNDO .............................................................................. 43
Cer ficados Digitales
Ar
Ar
Ar
Ar
Ar
culo 5º– Contenido y caracterís cas. .....................................................43
culo 6º– Tipos de cer ficados. ...............................................................43
culo 7º– Obligaciones de los usuarios. ...................................................44
culo 8°– Plazo de suspensión de cer ficados. ........................................44
culo 9º– Revocación por cese de ac vidades. ........................................44
6
Contenido
CAPÍTULO TERCERO ................................................................................ 45
Cer ficadores
Ar
Ar
Ar
Ar
Ar
Ar
Ar
Ar
Ar
Ar
Ar
Ar
Ar
culo 10.– Reconocimiento jurídico. ........................................................45
culo 11.– Comprobación de idoneidad técnica y administra va. ...........45
culo 12.– Formalidades de la solicitud. ..................................................45
culo 13.– Caución. ..................................................................................47
culo 14.– Tramite de la solicitud. ............................................................47
culo 15.– Oposiciones.............................................................................48
culo 16.– Resolución. ..............................................................................48
culo 17.– Silencio posi vo. .....................................................................49
culo 18.– Recursos. .................................................................................49
culo 19.– Funciones. ...............................................................................49
culo 20.– Divulgación de datos. ..............................................................50
culo 21.– Corresponsalías. ......................................................................51
culo 22.– Actualización permanente de datos. ......................................51
CAPÍTULO CUARTO ................................................................................. 52
Dirección de Cer ficadores de Firma Digital
Ar
Ar
Ar
Ar
Ar
Ar
Ar
culo 23.– Responsabilidad. .....................................................................52
culo 24.– Funciones. ...............................................................................52
culo 25.– Cooperación interins tucional. ...............................................53
culo 26.– Jefatura. ..................................................................................53
culo 27.– Régimen interior......................................................................53
culo 28.– Comité Asesor de Polí cas. .....................................................53
culo 29.– Funciones del Comité Asesor de Polí cas. ..............................54
CAPÍTULO QUINTO ................................................................................. 56
Sanciones
Ar culo 30.– Aplicación de mecanismos alterna vos de solución
de conflictos. ...........................................................................56
Ar culo 31.– Multas. ....................................................................................56
Ar culo 32.– Suspensión. .............................................................................56
Ar culo 33.– Revocatoria de la inscripción. .................................................56
Ar culo 34.– Publicidad de las sanciones.....................................................56
Ar culo 35.– Determinación de responsabilidades adicionales...................57
Ar culo 36.– Medios de ejecución. ..............................................................57
7
Contenido
CAPÍTULO SEXTO .................................................................................... 57
Disposiciones finales
Ar culo 37.– Vigencia...................................................................................57
ANEXO ÚNICO ..............................................................................................57
PolíƟca de cerƟficados para la jerarquía
nacional de cerƟficadores registrados ................... 59
1.
Introducción ................................................................................ 63
1.1
Resumen ...........................................................................................63
1.2
Nombre e iden ficación del documento...........................................65
1.3
Par cipantes en la PKI .......................................................................65
1.4
Uso del cer ficado ............................................................................67
1.5
Administración de la Polí ca .............................................................68
1.6
Definiciones y acrónimos ..................................................................69
2.
Responsabilidades de publicación y del repositorio ..................... 69
2.1
Repositorios ......................................................................................69
2.2
Publicación de información de cer ficación .....................................69
2.3
Tiempo o frecuencia de publicación .................................................70
2.4
Controles de acceso a los repositorios ..............................................70
3.
IdenƟficación y autenƟcación ...................................................... 70
3.1
Nombres............................................................................................70
3.2
Validación inicial de iden dad...........................................................76
3.3
Iden ficación y auten cación para solicitudes de
re–emisión de llaves..........................................................................78
3.4
Iden ficación y auten cación para solicitudes de revocación ..........78
4.
Requerimientos operacionales del ciclo de vida del cerƟficado .... 79
4.1
Solicitud de cer ficado......................................................................79
8
Contenido
4.2
Procesamiento de la solicitud de cer ficado ....................................82
4.3
Emisión de cer ficado .......................................................................84
4.4
Aceptación de cer ficado .................................................................85
4.5
Uso del par de llaves y del cer ficado ...............................................86
4.6
Renovación de cer ficado .................................................................89
4.7
Re–emisión de llaves de cer ficado ..................................................90
4.8
Modificación de cer ficados .............................................................91
4.9
Revocación y suspensión de cer ficado ............................................91
4.10
Servicios de estado de cer ficado...................................................101
4.11
Finalización de la suscripción ..........................................................101
4.12
Custodia y recuperación de llave ....................................................101
5.
Controles operacionales, de gesƟón y de instalaciones ...............102
5.1
Controles sicos ..............................................................................102
5.2
Controles procedimentales .............................................................104
5.3
Controles de personal .....................................................................106
5.4
Procedimientos de bitácora de auditoría ........................................109
5.5
Archivado de registros.....................................................................111
5.6
Cambio de llave ...............................................................................113
5.7
Recuperación de desastre y compromiso .......................................114
5.8
Terminación de una CA o RA ...........................................................116
6.
Controles técnicos de seguridad ..................................................117
6.1
Generación e instalación del par de llaves ......................................117
6.2
Controles de ingeniería del módulo criptográfico y
protección de la llave privada .........................................................122
6.3
Otros aspectos de ges ón del par de llaves ....................................128
6.4
Datos de ac vación .........................................................................129
6.5
Controles de seguridad del computador .........................................130
6.6
Controles técnicos del ciclo de vida ................................................131
9
Contenido
6.7
Controles de seguridad de red ........................................................132
6.8
Sellado de empo (“Time–Stamping”) ...........................................133
7.
Perfiles de CerƟficados, CRL y OCSP ............................................133
7.1
Perfil del Cer ficado ........................................................................133
7.2
Perfil de la CRL.................................................................................138
7.3
Perfil de OCSP..................................................................................139
8.
Auditoría de cumplimiento y otras evaluaciones .........................140
8.1
Frecuencia o circunstancias de evaluación .....................................141
8.2
Iden dad/calidades del evaluador ..................................................141
8.3
Relación del evaluador con la en dad evaluada .............................141
8.4
Aspectos cubiertos por la evaluación..............................................142
8.5
Acciones tomadas como resultado de una deficiencia ...................143
8.6
Comunicación de resultados ...........................................................143
9.
Otros asuntos legales y comerciales ............................................143
9.1
Tarifas ..............................................................................................143
9.2
Responsabilidad financiera .............................................................144
9.3
Confidencialidad de la información comercial ................................144
9.4
Privacidad de información personal ................................................145
9.5
Derechos de propiedad intelectual .................................................146
9.6
Representaciones y garan as ..........................................................146
9.7
Renuncia de garan as .....................................................................148
9.8
Limitaciones de responsabilidad legal.............................................148
9.9
Indemnizaciones .............................................................................148
9.10
Plazo y Finalización..........................................................................148
9.11
No ficación individual y comunicaciones con par cipantes...........149
9.12
Enmiendas.......................................................................................149
9.13
Disposiciones para resolución de disputas......................................150
9.14
Ley gobernante ...............................................................................150
10
Contenido
9.15
Cumplimiento con la ley aplicable ..................................................150
9.16
Disposiciones varias ........................................................................150
9.17
Otras disposiciones .........................................................................151
10.
Anexo A: Definiciones y acrónimos .............................................151
10.1
Definiciones.....................................................................................151
10.2
Abreviaturas: ...................................................................................156
11.
Anexo B: Documentos de referencia ...........................................158
PolíƟca de formatos oficiales de los documentos
electrónicos firmados digitalmente ..................... 159
1. Introducción ....................................................................................163
1.1
Administración de la Polí ca ...........................................................163
1.1.1 Organización que administra el documento ...................................163
1.1.2 Persona de contacto........................................................................163
2. Resumen ..........................................................................................164
3. Definiciones, conceptos generales y abreviaturas .............................164
3.1 Definiciones y conceptos generales ......................................................164
3.2 Abreviaturas..........................................................................................165
4. PolíƟca de Formatos Oficiales de los Documentos
Electrónicos Firmados Digitalmente .................................................166
4.1 Resumen ...............................................................................................166
4.2 Iden ficación ........................................................................................166
4.3 Comunidad de usuarios y aplicabilidad ................................................167
4.4 Cumplimiento .......................................................................................167
4.5 Vigencia ................................................................................................167
5. Especificación de los Formatos Oficiales ...........................................168
5.1 Uso de Formatos Avanzados .................................................................168
11
Contenido
5.2 Responsabilidades ................................................................................170
5.2.1 Firma digital del documento electrónico ........................................170
5.2.2 Verificación de la validez de la firma digital en el documento
electrónico ............................................................................................171
5.2.3 Consideraciones adicionales para la inclusión de los atributos ......172
Directrices para las Autoridades de Registro.
CaracterísƟcas de cumplimiento de Autoridades
de Registro (RA) de la jerarquía nacional de
cerƟficadores registrados de Costa Rica .............. 173
1. Disposiciones Generales ..................................................................177
1.1
Administración del documento .......................................................179
1.1.1 Organización que administra el documento ...................................179
1.1.2 Persona de contacto........................................................................180
2. Controles del Personal .....................................................................180
2.1 Disposiciones generales ........................................................................180
2.2 Requerimientos de documentación del Agente de Registro ................180
2.3 Requerimientos Capacitación ...............................................................181
2.4 Procedimiento de suspensión o desvinculación ...................................182
3. Controles İsicos ...............................................................................182
3.1 Exigencias mínimas de seguridad sica ................................................182
3.2 Procedimientos de monitoreo ..............................................................183
4. Controles lógicos ..............................................................................183
4.1 Controles de seguridad de las estaciones de trabajo ...........................183
4.2 Controles de la aplicación de la RA .......................................................184
5. Controles de seguridad de la RED .....................................................186
6. Controles de seguridad de la información.........................................186
12
Contenido
6.1 Directrices generales ............................................................................186
6.2 Procedimientos de almacenamiento, manipulación y
destrucción de documentos .................................................................187
7. Controles del ciclo de vida del cerƟficado .........................................187
8. Acuerdos operacionales ...................................................................187
PolíƟca de sellado de Ɵempo del Sistema
Nacional de CerƟficación Digital ......................... 189
1. Introducción.....................................................................................193
1.1 Administración de la Polí ca.................................................................194
2. Resumen ..........................................................................................194
3. Definiciones y abreviaturas ..............................................................194
3.1 Definiciones ..........................................................................................194
3.2 Abreviaturas..........................................................................................196
4. Conceptos Generales........................................................................196
4.1 Servicios de Sellado de Tiempo (TSS) ...................................................196
4.2 Autoridad de Sellado de Tiempo (TSA) .................................................196
4.3 Suscriptores ..........................................................................................199
4.4 Polí ca de Sellado de Tiempo y la Declaración de
prác cas de la TSA ................................................................................199
5. PolíƟcas de Sellado de Tiempo .........................................................199
5.1 Resumen ...............................................................................................199
5.2 Iden ficación ........................................................................................199
5.3 Comunidad de usuarios y aplicabilidad ................................................110
5.4 Cumplimiento .......................................................................................110
6. Obligaciones y responsabilidades. ....................................................110
6.1 Obligaciones de la TSA ..........................................................................110
13
Contenido
6.2 Obligaciones del suscriptor ...................................................................202
6.3 Obligaciones de partes que con an......................................................202
6.4 Responsabilidades ................................................................................202
7. Requerimientos en prácƟcas de la TSA .............................................203
7.1 Prác cas y declaraciones de divulgación ..............................................203
7.2 Ges ón del Ciclo de vida de las llaves...................................................203
7.3 Sellado de empo .................................................................................205
7.4 Ges ón de la TSA y operaciones ...........................................................206
7.5 Organización .........................................................................................210
14
>ĞLJĚĞĐĞƌƟĮĐĂĚŽƐ͕ĮƌŵĂƐĚŝŐŝƚĂůĞƐLJ
ĚŽĐƵŵĞŶƚŽƐĞůĞĐƚƌſŶŝĐŽƐEΣϴϰϱϰ
Ley de cer ficados, firmas digitales y
documentos electrónicos N° 8454
Publicada el 13 de octubre del año 2005, en La Gaceta 197
8454
ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE COSTA RICA
DECRETA:
LEY DE CERTIFICADOS, FIRMAS DIGITALES Y
DOCUMENTOS ELECTRÓNICOS
CAPÍTULO I
DISPOSICIONES GENERALES
ARTÍCULO 1.–
Ámbito de aplicación
Esta Ley se aplicará a toda clase de transacciones y actos jurídicos,
públicos o privados, salvo disposición legal en contrario, o que la naturaleza o los requisitos par culares del acto o negocio concretos resulten
incompa bles.
El Estado y todas las en dades públicas quedan expresamente facultados para u lizar los cer ficados, las firmas digitales y los documentos
electrónicos, dentro de sus respec vos ámbitos de competencia.
ARTÍCULO 2.–
Principios
En materia de cer ficados, firmas digitales y documentos electrónicos, la implementación, interpretación y aplicación de esta Ley deberán
observar los siguientes principios:
a) Regulación legal mínima y desregulación de trámites.
b) Autonomía de la voluntad de los par culares para reglar sus relaciones.
c) U lización, con las limitaciones legales, de reglamentos autónomos por la Administración Pública para desarrollar la organización y el servicio, interno o externo.
d) Igualdad de tratamiento para las tecnologías de generación, proceso o almacenamiento involucradas.
17
Ley de cer ficados, firmas digitales y
documentos electrónicos N° 8454
CAPÍTULO II
DOCUMENTOS
ARTÍCULO 3.–
Reconocimiento de la equivalencia funcional
Cualquier manifestación con carácter representa vo o declara vo,
expresada o transmi da por un medio electrónico o informá co, se tendrá por jurídicamente equivalente a los documentos que se otorguen,
residan o transmitan por medios sicos.
En cualquier norma del ordenamiento jurídico en la que se haga referencia a un documento o comunicación, se entenderán de igual manera tanto los electrónicos como los sicos. No obstante, el empleo del
soporte electrónico para un documento determinado no dispensa, en
ningún caso, el cumplimiento de los requisitos y las formalidades que la
ley exija para cada acto o negocio jurídico en par cular.
ARTÍCULO 4.–
Calificación jurídica y fuerza probatoria
Los documentos electrónicos se calificarán como públicos o privados, y se les reconocerá fuerza probatoria en las mismas condiciones
que a los documentos sicos.
ARTÍCULO 5.–
En parƟcular y excepciones
En par cular y sin que conlleve la exclusión de otros actos, contratos
o negocios jurídicos, la u lización de documentos electrónicos es válida
para lo siguiente:
a) La formación, formalización y ejecución de los contratos.
b) El señalamiento para no ficaciones conforme a la Ley de no ficaciones, citaciones y otras comunicaciones judiciales.
c) La tramitación, ges ón y conservación de expedientes judiciales y
administra vos; asimismo, la recepción, prác ca y conservación
de prueba, incluida la recibida por archivos y medios electrónicos. De igual manera, los órganos jurisdiccionales que requieran
la actualización de cer ficaciones y, en general, de otras piezas,
podrán proceder sobre simples impresiones de los documentos
en línea efectuadas por el despacho o aceptar las impresiones de
dichos documentos en línea, aportadas por la parte interesada y
cer ficadas notarialmente.
18
Ley de cer ficados, firmas digitales y
documentos electrónicos N° 8454
d) La emisión de cer ficaciones, constancias y otros documentos.
e) La presentación, tramitación e inscripción de documentos en el
Registro Nacional.
f) La ges ón, conservación y u lización, en general, de protocolos
notariales, incluso la manifestación del consen miento y la firma
de las partes.
No se podrán consignar en documentos electrónicos:
a) Los actos o negocios en los que, por mandato legal, la fijación
sica resulte consustancial.
b) Las disposiciones por causa de muerte.
c) Los actos y convenios rela vos al Derecho de familia.
d) Los actos personalísimos en general.
ARTÍCULO 6.–
GesƟón y conservación de documentos electrónicos
Cuando legalmente se requiera que un documento sea conservado
para futura referencia, se podrá optar por hacerlo en soporte electrónico, siempre que se apliquen las medidas de seguridad necesarias para
garan zar su inalterabilidad, se posibilite su acceso o consulta posterior
y se preserve, además, la información rela va a su origen y otras caracterís cas básicas.
La transición o migración a soporte electrónico, cuando se trate de
registros, archivos o respaldos que por ley deban ser conservados, deberá contar, previamente, con la autorización de la autoridad competente.
En lo rela vo al Estado y sus ins tuciones, se aplicará la Ley del
Sistema Nacional de Archivos, N.° 7202, de 24 de octubre de 1990. La
Dirección General del Archivo Nacional dictará las regulaciones necesarias para asegurar la ges ón debida y conservación de los documentos,
mensajes o archivos electrónicos.
19
Ley de cer ficados, firmas digitales y
documentos electrónicos N° 8454
ARTÍCULO 7.–
SaƟsfacción de los requisitos fiscales
Cuando la emisión de un acto o la celebración de un negocio jurídico
en soporte electrónico conlleve el pago de requisitos fiscales, el obligado al pago deberá conservar el comprobante respec vo y exhibirlo
cuando una autoridad competente lo requiera.
20
Ley de cer ficados, firmas digitales y
documentos electrónicos N° 8454
CAPÍTULO III
FIRMAS DIGITALES
ARTÍCULO 8.–
Alcance del concepto
En éndese por firma digital cualquier conjunto de datos adjunto o
lógicamente asociado a un documento electrónico, que permita verificar su integridad, así como iden ficar en forma unívoca y vincular jurídicamente al autor con el documento electrónico.
Una firma digital se considerará cer ficada cuando sea emi da al
amparo de un cer ficado digital vigente, expedido por un cer ficador
registrado.
ARTÍCULO 9.–
Valor equivalente
Los documentos y las comunicaciones suscritos mediante firma digital, tendrán el mismo valor y la eficacia probatoria de su equivalente firmado en manuscrito. En cualquier norma jurídica que se exija la
presencia de una firma, se reconocerá de igual manera tanto la digital
como la manuscrita.
Los documentos públicos electrónicos deberán llevar la firma digital
cer ficada.
ARTÍCULO 10.– Presunción de autoría y responsabilidad
Todo documento, mensaje electrónico o archivo digital asociado a
una firma digital cer ficada se presumirá, salvo prueba en contrario, de
la autoría y responsabilidad del tular del correspondiente cer ficado
digital, vigente en el momento de su emisión.
No obstante, esta presunción no dispensa el cumplimiento de las
formalidades adicionales de auten cación, cer ficación o registro que,
desde el punto de vista jurídico, exija la ley para un acto o negocio determinado.
21
Ley de cer ficados, firmas digitales y
documentos electrónicos N° 8454
CAPÍTULO IV
CERTIFICACIÓN DIGITAL
Sección I
Los cerƟficados
ARTÍCULO 11.– Alcance
En éndese por cer ficado digital el mecanismo electrónico o digital
mediante el que se pueda garan zar, confirmar o validar técnicamente:
a) La vinculación jurídica entre un documento, una firma digital y
una persona.
b) La integridad, auten cidad y no alteración en general del documento, así como la firma digital asociada.
c) La auten cación o cer ficación del documento y la firma digital
asociada, únicamente en el supuesto del ejercicio de potestades
públicas cer ficadoras.
d) Las demás que establezca esta Ley y su Reglamento.
ARTÍCULO 12.– Mecanismos
Con las limitaciones de este capítulo, el Estado, las ins tuciones públicas y las empresas públicas y privadas, las personas jurídicas y los parculares, en general, en sus diversas relaciones, estarán facultados para
establecer los mecanismos de cer ficación o validación que convengan
a sus intereses.
Para tales efectos podrán:
a) U lizar mecanismos de cer ficación o validación máquina a máquina, persona a persona, programa a programa y sus interrelaciones, incluso sistemas de llave pública y llave privada, firma
digital y otros mecanismos digitales que ofrezcan una óp ma
seguridad.
b) Establecer mecanismos de adscripción voluntaria para la emisión, la percepción y el intercambio de documentos electrónicos
y firmas asociadas, en función de las competencias, los intereses
y el giro comercial.
22
Ley de cer ficados, firmas digitales y
documentos electrónicos N° 8454
c) De consuno, ins tuir mecanismos de cer ficación para la emisión, la recepción y el intercambio de documentos electrónicos y
firmas asociadas, para relaciones jurídicas concretas.
d) Instaurar, en el caso de dependencias públicas, sistemas de cer ficación por intermedio de par culares, quienes deberán cumplir
los trámites de la Ley de contratación administra va.
e) Fungir como un cer ficador respecto de sus despachos y funcionarios, o de otras dependencias públicas, en el caso del Estado y
las demás ins tuciones públicas.
f) Ofrecer, en el caso de las empresas públicas cuyo giro lo admita,
servicios comerciales de cer ficación en condiciones de igualdad
con las empresas de carácter privado.
g) Implantar mecanismos de cer ficación para la tramitación, gesón y conservación de expedientes judiciales y administra vos.
ARTÍCULO 13.–
Homologación de cerƟficados extranjeros
Se conferirá pleno valor y eficacia jurídica a un cer ficado digital
emi do en el extranjero, en cualesquiera de los siguientes casos:
a) Cuando esté respaldado por un cer ficador registrado en el país,
en virtud de exis r una relación de corresponsalía en los términos del ar culo 20 de esta Ley.
b) Cuando cumpla todos los requisitos enunciados en el ar culo 19
de esta Ley y exista un acuerdo recíproco en este sen do entre
Costa Rica y el país de origen del cer ficador extranjero.
ARTÍCULO 14.– Suspensión de cerƟficados digitales
Se podrá suspender un cer ficado digital en los siguientes casos:
a) Por pe ción del propio usuario a favor de quien se expidió.
b) Como medida cautelar, cuando el cer ficador que lo emi ó tenga
sospechas fundadas de que el propio usuario haya comprome do su confiabilidad, desatendido los lineamientos de seguridad
establecidos, suplido información falsa al cer ficador u omi do
cualquier otra información relevante, para obtener o renovar el
23
Ley de cer ficados, firmas digitales y
documentos electrónicos N° 8454
cer ficado. En este caso, la suspensión podrá ser recurrida ante
la Dirección de Cer ficadores de Firma Digital regulada en la siguiente sección, con aplicación de lo dispuesto en el ar culo 148
de la Ley General de la Administración Pública.
c) Si contra el usuario se ha dictado auto de apertura a juicio, por
delitos en cuya comisión se haya u lizado la firma digital.
d) Por orden judicial o de la Dirección de Cer ficadores de Firma
Digital. En este úl mo caso, cuando esta lo determine o cuando el Ente Costarricense de Acreditación (ECA) acredite que el
usuario incumple las obligaciones que le imponen esta Ley y su
Reglamento.
e) Por no cancelar oportunamente el costo del servicio.
ARTÍCULO 15.–
Revocación de cerƟficados digitales
El cer ficado digital será revocado en los siguientes supuestos:
a) A pe ción del usuario, en favor de quien se expidió.
b) Cuando se confirme que el usuario ha comprome do su confiabilidad, desatendido los lineamientos de seguridad establecidos,
suplido información falsa al cer ficador u omi do otra información relevante, con el propósito de obtener o renovar el cer ficado.
c) Por fallecimiento, ausencia legalmente declarada, interdicción o
insolvencia del usuario persona sica, o por cese de ac vidades,
quiebra o liquidación, en el caso de las personas jurídicas.
d) Por orden de la autoridad judicial o cuando recaiga condena firme contra el usuario, por delitos en cuya comisión se haya u lizado la firma digital.
ARTÍCULO 16.– Revocación por el cese de acƟvidades del cerƟficador
El cese de ac vidades del cer ficador implicará la revocatoria de todos los cer ficados que haya expedido, salvo que anteriormente hayan
sido traspasados a otro cer ficador, previo consen miento del usuario.
24
Ley de cer ficados, firmas digitales y
documentos electrónicos N° 8454
ARTÍCULO 17.–
Conservación de efectos
La suspensión o revocación de un cer ficado digital no producirá,
por sí sola, la invalidez de los actos o negocios realizados con anterioridad al amparo de dicho cer ficado.
Sección II
CerƟficadores
ARTÍCULO 18.–
Definición y reconocimiento jurídico
Se entenderá como cer ficador la persona jurídica pública o privada, nacional o extranjera, que emite cer ficados digitales y está debidamente autorizada según esta Ley o su Reglamento; asimismo, que
haya rendido la debida garan a de fidelidad. El monto de la garan a
será fijado por la Dirección de Cer ficadores de Firma Digital y podrá ser
hipoteca, fianza o póliza de fidelidad de un ente asegurador, o bien, un
depósito en efec vo.
Sin perjuicio de lo dispuesto en los ar culos 3, 9 y 19 de esta Ley,
los cer ficados digitales expedidos por cer ficadores registrados ante la
Dirección de Cer ficadores de Firma Digital, solo tendrán pleno efecto
legal frente a terceros, así como respecto del Estado y sus ins tuciones.
ARTÍCULO 19.–
Requisitos, trámites y funciones
La Dirección de Cer ficadores de Firma Digital será la encargada de
establecer, vía reglamento, todos los requisitos, el trámite y las funciones de las personas que soliciten su registro ante esta Dirección; para
ello, el ECA, a solicitud del Ministerio de Ciencia y Tecnología, deberá
fijar los requerimientos técnicos para el estudio, de acuerdo con la Ley
N.º 8279, de 2 de mayo de 2002, y las prác cas y los estándares internacionales.
ARTÍCULO 20.–
Corresponsalía
Los cer ficadores registrados podrán concertar relaciones de corresponsalía con en dades similares del extranjero, para efectos de homologar los cer ficados digitales expedidos por estas en dades o que
estas hagan lo propio en el exterior con los emi dos por los cer ficadores registrados.
25
Ley de cer ficados, firmas digitales y
documentos electrónicos N° 8454
Se deberá informar a la Dirección de Cer ficadores de Firma Digital,
acerca del establecimiento de relaciones de esta clase, de previo a ofrecer ese servicio al público.
ARTÍCULO 21.–
Auditorías
Todo cer ficador registrado estará sujeto a los procedimientos de
evaluación y auditoría que acuerde efectuar la Dirección de Cer ficadores de Firma Digital o el ECA.
ARTÍCULO 22.–
Cesación voluntaria de funciones
Los cer ficadores registrados de carácter privado podrán cesar en
sus funciones, siempre y cuando avisen, a los usuarios, con un mes de
an cipación como mínimo, y con dos meses a la Dirección de Cer ficadores de Firma Digital.
Sección III
Administración del Sistema de CerƟficación
ARTÍCULO 23.–
Dirección
La Dirección de Cer ficadores de Firma Digital, perteneciente al Ministerio de Ciencia y Tecnología, será el órgano administrador y supervisor del Sistema de Cer ficación.
ARTÍCULO 24.–
Funciones
La Dirección de Cer ficadores de Firma Digital tendrá las siguientes funciones:
a) Recibir, tramitar y resolver las solicitudes de inscripción de los
cer ficadores.
b) Llevar un registro de los cer ficadores y cer ficados digitales. c)
Suspender o revocar la inscripción de los cer ficadores y de cerficados, así como ejercer el régimen disciplinario en los casos y
en la forma previstos en esta Ley y su Reglamento.
d) Expedir claves y cer ficados a favor de los cer ficadores registrados, y mantener el correspondiente repositorio de acceso público, con las caracterís cas técnicas que indique el Reglamento.
26
Ley de cer ficados, firmas digitales y
documentos electrónicos N° 8454
e) Fiscalizar el funcionamiento de los cer ficadores registrados,
para asegurar su confiabilidad, eficiencia y el cabal cumplimiento de la norma va aplicable, imponiendo, en caso necesario, las
sanciones previstas en esta Ley. La supervisión podrá ser ejercida
por medio del ECA, en el ámbito de su competencia.
f) Mantener una página electrónica en la red Internet, a fin de divulgar, permanentemente, información rela va a las ac vidades
de la Dirección de Cer ficadores de Firma Digital y el registro
correspondiente de cer ficadores.
g) Señalar las medidas que es me necesarias para proteger los
derechos, los intereses y la confidencialidad de los usuarios, así
como la con nuidad y eficiencia del servicio, y velar por la ejecución de tales disposiciones.
h) Dictar el Reglamento respec vo para el registro de cer ficadores.
i) Las demás funciones que esta Ley o su Reglamento le señalen.
ARTÍCULO 25.– Jefatura
El superior administra vo de la Dirección de Cer ficadores de Firma
Digital será el director, quien será nombrado por el ministro de Ciencia
y Tecnología y será un funcionario de confianza, de conformidad con el
inciso g) del ar culo 4, del Estatuto de Servicio Civil. El director deberá
declarar sus bienes oportunamente, de acuerdo con la Ley contra el enriquecimiento ilícito de los servidores públicos.
27
Ley de cer ficados, firmas digitales y
documentos electrónicos N° 8454
CAPÍTULO V
SANCIONES
ARTÍCULO 26.– Sanciones a cerƟficadores
Previa oportunidad de defensa, la Dirección de Cer ficadores de Firma Digital podrá imponerles, a los cer ficadores, las siguientes sanciones:
a) Amonestación.
b) Multa hasta por el equivalente a cien salarios base; para la denominación salario base se considerará lo indicado en el ar culo 2
de la Ley N.º 7337, de 5 de mayo de 1993.
c) Suspensión hasta por un año.
d) Revocatoria de la inscripción.
El cer ficador a quien se le haya revocado su inscripción, no podrá
volver a registrarse durante los siguientes cinco años, ya sea como tal o
por medio de otra persona jurídica en la que figuren las mismas personas como representantes legales, propietarias o dueñas de más de un
vein cinco por ciento (25%) del capital.
ARTÍCULO 27.–
Amonestación
Se aplicará la amonestación, a los cer ficadores, en los siguientes casos:
a) Por la emisión de cer ficados digitales que no incluyan la totalidad de los datos requeridos por esta Ley o su Reglamento, cuando la infracción no requiera una sanción mayor.
b) Por no suministrar a empo los datos requeridos por la Dirección
de Cer ficadores de Firma Digital, en ejercicio de sus funciones.
c) Por cualquier otra infracción a la presente Ley que no tenga prevista una sanción mayor.
ARTÍCULO 28.–
Multa
Se aplicará la multa, a los cer ficadores, en los siguientes casos:
28
Ley de cer ficados, firmas digitales y
documentos electrónicos N° 8454
a) Cuando se emita un cer ficado y no se observen las polí cas de
seguridad o de cer ficación previamente divulgadas, de modo
que cause perjuicio a los usuarios o a terceros.
b) Cuando no se suspenda o revoque, oportunamente, un cer ficado, estando obligados a hacerlo.
c) Por cualquier impedimento u obstrucción a las inspecciones o
auditorías por parte de la Dirección de Cer ficadores de Firma
Digital o del ECA.
d) Por el incumplimiento de los lineamientos técnicos o de seguridad impar dos por la Dirección de Cer ficadores de Firma Digital.
e) Por la reincidencia en la comisión de infracciones, que hayan
dado lugar a la sanción de amonestación, dentro de los dos años
siguientes.
ARTÍCULO 29.–
Suspensión
Se suspenderá al cer ficador que:
a) No renueve oportunamente la caución que respalde su funcionamiento o la rinda en forma indebida.
b) Reincida en cualesquiera de las infracciones que le hayan merecido una sanción de multa, dentro de los siguientes dos años.
ARTÍCULO 30.–
Revocatoria de la inscripción
Se podrá revocar la inscripción de un cer ficador cuando:
a) Se compruebe la expedición de cer ficados falsos.
b) Se compruebe que el cer ficador suministró información o presentó documentos falsos, con el fin de obtener el registro.
c) Reincida en cualesquiera de las infracciones que le hayan merecido una sanción de suspensión, dentro de los cinco años siguientes.
29
Ley de cer ficados, firmas digitales y
documentos electrónicos N° 8454
ARTÍCULO 31.– Procedimiento
Todas las sanciones serán impuestas mediante el procedimiento administra vo ordinario, previsto en la Ley General de la Administración
Pública, salvo en el caso de amonestación, en que podrá aplicarse el
procedimiento sumario.
ARTÍCULO 32.– Publicidad
Excepto el caso de amonestación, todas las sanciones administravas impuestas serán publicadas por medio de reseña o transcripción
íntegra en La Gaceta, sin perjuicio de que, en atención al caso concreto,
se disponga, además, publicarlas en uno o más medios de circulación o
difusión nacional.
Asimismo, la Dirección de Cer ficadores de Firma Digital dispondrá
la publicación electrónica en su página de información en Internet.
30
Ley de cer ficados, firmas digitales y
documentos electrónicos N° 8454
CAPÍTULO VI
DISPOSICIONES FINALES Y TRANSITORIAS
ARTÍCULO 33.– Reglamentación
El Poder Ejecu vo reglamentará esta Ley dentro de los seis meses
siguientes a su publicación.
Además, para el trámite eficiente de sus asuntos, cada dependencia
pública podrá adoptar las medidas par culares de aplicación de esta Ley
de acuerdo con sus necesidades.
TRANSITORIO ÚNICO.–
Los rubros presupuestarios requeridos para que la Dirección de
Cer ficadores de Firma Digital entre en funcionamiento, deberán ser
incluidos por el Ministerio de Hacienda, a propuesta del Ministerio de
Ciencia y Tecnología, en el primer presupuesto remi do a la Asamblea
Legisla va, después de promulgada esta Ley.
Rige a par r de su publicación.
Asamblea Legisla va.–San José, a los vein trés días del mes de agosto de dos mil cinco.
COMUNÍCASE AL PODER EJECUTIVO
Gerardo González Esquivel
PRESIDENTE
Daysi Serrano Vargas Luis Paulino Rodríguez Mena
PRIMERA SECRETARIA SEGUNDO SECRETARIO
daa.–
Dado en la Presidencia de la República, San José, a los treinta días
del mes de agosto del dos mil cinco.
Ejecútese y publíquese.
ABEL PACHECO DE LA ESPRIELLA
FERNANDO GUTIÉRREZ ORTIZ
Ministro de Ciencia y Tecnología
31
ZĞŐůĂŵĞŶƚŽĂůĂůĞLJĚĞĐĞƌƟĮĐĂĚŽƐ͕
ĮƌŵĂƐĚŝŐŝƚĂůĞƐLJĚŽĐƵŵĞŶƚŽƐ
ĞůĞĐƚƌſŶŝĐŽƐ
Reglamento a la ley de cer ficados,
firmas digitales y documentos electrónicos
Nº 33018
EL PRESIDENTE DE LA REPÚBLICA
Y EL MINISTRO DE CIENCIA Y TECNOLOGÍA
Con fundamento en lo dispuesto en los ar culos 140, incisos 3) y
18) y 146 de la Cons tución Polí ca; y el ar culo 33 de la Ley de Cer ficados, Firmas Digitales y Documentos Electrónicos, Nº 8454 del 30 de
agosto del 2005.
Considerando:
1º– Que la sociedad de la información y del conocimiento se debe
construir sobre la base de la confianza de los ciudadanos y sobre la garan a de la u lización de las tecnologías de la información y las comunicaciones en un doble plano: la protección y confidencialidad de los datos de carácter personal y la seguridad de las transacciones electrónicas.
2º– Que la Ley Nº 8454, Ley de Cer ficados, Firmas Digitales y
Documentos Electrónicos, establece el marco jurídico general para la
u lización transparente, confiable y segura en nuestro medio de los
documentos electrónicos y la firma digital en las en dades públicas y
privadas.
3º– Que el ar culo 33 de dicha ley establece que el Poder Ejecu vo
deberá reglamentarla ley en un plazo de 6 meses, regulación que debe
servir para garan zar la disponibilidad de los sistemas e infraestructuras
telemá cas, la seguridad y auten cidad de las transacciones, así como
la confidencialidad e integridad de la información. Por tanto,
DECRETAN:
Reglamento a la Ley de CerƟficados, Firmas
Digitales y Documentos Electrónicos
CAPÍTULO PRIMERO
Disposiciones generales
Ar culo 1º– Propósito. El presente texto servirá para reglamentar
y dar cumplida ejecución a la Ley de Cer ficados, Firmas Digitales y Documentos Electrónicos, número 8454 del 30 de agosto del 2005. Tendrá
35
Reglamento a la ley de cer ficados,
firmas digitales y documentos electrónicos
el carácter y la jerarquía de reglamento general, en los términos del arculo 6.1.d) de la Ley General de la Administración Pública, frente a los
demás reglamentos par culares o autónomos en la materia.
Ar culo 2º– Definiciones. Para los efectos del presente Reglamento, se entenderá por:
1)
AUTENTICACIÓN: Verificación de la iden dad de un individuo.
a.
En el proceso de registro, es el acto de evaluar las credenciales de la en dad final (por ejemplo, un suscriptor)
como evidencia de que realmente es quien dice ser.
b.
Durante el uso, es el acto de comparar electrónicamente las credenciales y la iden dad enviada (Ej., código de
usuario y contraseña, cer ficado digital, etc.) con valores
previamente almacenados para comprobar la iden dad.
2)
AUTENTICACIÓN MUTUA: Proceso mediante el cual dos en dades verifican su iden dad en forma recíproca.
3)
AUTENTICIDAD: La veracidad, técnicamente constatable, de la
iden dad del autor de un documento o comunicación. La auten cidad técnica no excluye el cumplimiento de los requisitos
de auten cación o cer ficación que desde el punto de vista jurídico exija la ley para determinados actos o negocios.
4)
AUTORIDAD DE REGISTRO (AR): En dad delegada por el cerficador registrado para la verificación de la iden dad de los
solicitantes y otras funciones dentro del proceso de expedición
y manejo de cer ficados digitales. Representa el punto de contacto entre el usuario y el cer ficador registrado.
5)
BITÁCORAS DE AUDITORIA: Registro cronológico de las ac vidades del sistema, que son suficientes para habilitar la reconstrucción, revisión, y la inspección de la secuencia del entorno
y las ac vidades secundarias o primarias para cada evento en
la ruta de una transacción desde su inicio hasta la salida del
resultado final.
36
Reglamento a la ley de cer ficados,
firmas digitales y documentos electrónicos
6)
CERTIFICACIÓN: Proceso de creación de un cer ficado de llave
pública para un suscriptor.
7)
CERTIFICADO DIGITAL: Una estructura de datos creada y firmada digitalmente por un cer ficador, del modo y con las caracterís cas que señalan este Reglamento, la Norma INTE /ISO 21188
versión vigente y las polí cas que al efecto emita la DCFD, cuyo
propósito primordial es posibilitar a sus suscriptores la creación de firmas digitales, así como la iden ficación personal en
transacciones electrónicas. Sin perjuicio del concepto anterior,
la DCFD podrá autorizar a los cer ficadores registrados la generación de cer ficados con propósitos diferentes o adicionales a
los indicados.
(Así reformado el inciso anterior por el ar culo 1° del decreto
ejecu vo N° 34890 del 27 de octubre de 2008)
8)
CERTIFICADO SUSPENDIDO: Cesación temporal o interrupción
de la validez de un cer ficado.
9)
CERTIFICADO VÁLIDO: Se refiere a aquel cer ficado que se encuentra ac vo, que ha sido emi do por un cer ficador registrado.
10) CERTIFICADOR: La persona jurídica pública o privada, nacional
o extranjera, prestadora del servicio de creación, emisión y
operación de cer ficados digitales.
11) CERTIFICADOR RAÍZ: El nodo superior autocer ficante de la jerarquía nacional de cer ficadores registrados.
12) CERTIFICADOR REGISTRADO: El cer ficador inscrito y autorizado por la Dirección de Cer ficadores de Firma Digital.
13) CERTIFICADOR PADRE: Cer ficador registrado que se encuentra en la posición inmediata superior con respecto a otro cer ficador registrado, en la jerarquía de cer ficadores.
37
Reglamento a la ley de cer ficados,
firmas digitales y documentos electrónicos
14) CERTIFICADOR SUBORDINADO: Cer ficador registrado que se
encuentra en la posición inmediata inferior con respecto a otro
cer ficador registrado, en la jerarquía de cer ficadores.
15) COMPROMISO: Violación de la seguridad de un sistema, por
haber ocurrido una divulgación no autorizada de información
sensible.
16) CONTROL MÚLTIPLE: Condición mediante la cual dos o más
partes, separada y confidencialmente, enen la custodia de los
componentes de una llave par cular, pero que individualmente
no enen conocimiento de la llave resultante.
17) DATOS DE ACTIVACIÓN: Valores de datos (que no son las llaves), que son requeridos para operar los módulos criptográficos y que necesitan ser protegidos (ejemplo: PINs, frase clave,
biométricos o llaves distribuidas manualmente).
18) DECLARACIÓN DE LAS PRÁCTICAS DE CERTIFICACIÓN (DPC):
Declaración de las prác cas que u liza el cer ficador para la
emisión de los cer ficados (define el equipo, las polí cas y los
procedimientos que el cer ficador u liza para sa sfacer los requerimientos especificados en las polí cas del cer ficado que
son soportados por él).
19) DIRECCIÓN DE CERTIFICADORES DE FIRMA DIGITAL (DCFD):
Dependencia del Ministerio de Ciencia y Tecnología, encargada
de la administración y supervisión del sistema de cer ficación
digital.
20) DISPOSITIVO O MODULO SEGURO DE CREACION DE FIRMAS
(MSCF): Disposi vo que resguarda las claves y el cer ficado de
un suscriptor, u lizado para generar su firma digital y que, al
menos, garan za:
a.
Que los datos u lizados para la generación de la firma
solo pueden producirse una vez en la prác ca y se garanza razonablemente su confidencialidad;
38
Reglamento a la ley de cer ficados,
firmas digitales y documentos electrónicos
b.
Que existe una expecta va razonable de que los datos
u lizados para la generación de la firma no pueden ser
descubiertos por deducción y la firma está protegida contra falsificación por medio de la tecnología disponible a la
fecha, siendo posible detectar cualquier alteración posterior; y,
c.
Que los datos empleados en la generación de la firma
pueden ser protegidos de modo fiable por el firmante legí mo, contra su u lización por cualesquiera terceros.
21) DOCUMENTO ELECTRÓNICO: Cualquier manifestación con carácter representa vo o declara vo, expresada o transmi da
por un medio electrónico o informá co.
22) ENTE COSTARRICENSE DE ACREDITACIÓN (ECA): La dependencia pública a que se refiere la “Ley del Sistema Nacional para la
Calidad”, número 8279 de 2 de mayo del 2002.
23) ENTIDAD FINAL: Suscriptor del cer ficado.
24) FIRMA DIGITAL: Conjunto de datos adjunto o lógicamente asociado a un documento electrónico, que permita verificar su integridad, así como iden ficar en forma unívoca y vincular jurídicamente al autor con el documento.
25) FIRMA DIGITAL CERTIFICADA: Una firma digital que haya sido
emi da al amparo de un cer ficado digital válido y vigente, expedido por un cer ficador registrado.
26) INFRAESTRUCTURA DE LLAVE PÚBLICA (PKI por sus siglas en
inglés): Se refiere a una estructura de hardware, so ware, personas, procesos y polí cas que emplean tecnología de firma
digital para proveer una asociación verificable entre una llave
pública y un suscriptor específico que posee la llave privada correspondiente.
27) INTEGRIDAD: Propiedad de un documento electrónico que denota que su contenido y caracterís cas de iden ficación han
39
Reglamento a la ley de cer ficados,
firmas digitales y documentos electrónicos
permanecido inalterables desde el momento de su emisión, o
bien que –habiendo sido alterados posteriormente– lo fueron
con el consen miento de todas las partes legi madas.
28) LEY: La Ley de Cer ficados, Firmas Digitales y Documentos electrónicos, Ley número 8454 del 30 de agosto del 2005.
29) LGAP: La Ley General de la Administración Pública.
30) LINEAMIENTOS TÉCNICOS: El conjunto de definiciones, requisitos y regulaciones de carácter técnico–informá co, contenido
en la Norma INTE /ISO 21188 versión vigente y en las polí cas
que al efecto emita la DCFD.
(Así reformado el inciso anterior por el ar culo 1° del decreto
ejecu vo N° 34890 del 27 de octubre de 2008)
31) LRC: Lista de revocación de cer ficados.
32) MECANISMO EN LÍNEA PARA VERIFICAR EL ESTADO DEL CERTIFICADO: Mecanismo mediante el cual se permite a las partes
que con an, consultar y obtener, la información del estado de
un cer ficado sin requerir para ello el uso de una LRC.
33) OFICINA DE TARJETAS (card bureau): Agente del cer ficador registrado o de la autoridad de registro que personaliza la tarjeta
de circuito integrado (o tarjeta inteligente), que con ene la llave privada del suscriptor (como mínimo).
34) PARTE CONFIANTE: Se refiere a las personas sicas, equipos,
servicios o cualquier otro ente que con a en la validez de un
cer ficado emi do por un cer ficador específico.
35) POLÍTICAS DEL CERTIFICADO (PC): Conjunto de reglas que indican la aplicabilidad del cer ficado a una comunidad par cular
y/o clase de aplicaciones con los requerimientos comunes de
seguridad.
40
Reglamento a la ley de cer ficados,
firmas digitales y documentos electrónicos
36) PROTOCOLO EN LÍNEA PARA DETERMINAR EL ESTADO DEL CERTIFICADO (OCSP POR SUS SIGLAS EN INGLÉS): Protocolo suplementario para determinar el estado actual de un cer ficado.
37) RECUPERACIÓN DE LLAVES: Capacidad de restaurar la llave privada de una en dad a par r de un almacenamiento seguro, en
el caso de que se pierda, corrompa o que por cualquier otra
razón se convierta en no u lizable.
38) RE–EMISIÓN DE LLAVES DEL CERTIFICADO: Proceso por medio
del cual una en dad con un par de llaves y un cer ficado previamente emi dos, luego de la generación de un nuevo par de
llaves, recibe un nuevo cer ficado y una nueva llave pública.
39) REGLAMENTO: Este Reglamento.
40) RENOVACIÓN DEL CERTIFICADO: Proceso donde una en dad
emite una nueva instancia de un cer ficado existente, con un
nuevo período de validez.
41) REPOSITORIO: Sistema de almacenamiento y distribución de
cer ficados e información relacionada (Ej., almacenamiento y
distribución de cer ficados, almacenamiento y recuperación
de polí cas de cer ficación, estado del cer ficado, etc.).
42) ROL DE CONFIANZA: Función de trabajo que permite ejecutar
labores crí cas. Si dichas labores se ejecutan de una forma insa sfactoria puede ocurrir un impacto adverso, que dará como
resultado una degradación en la confianza que provee el cer ficador.
43) SELLO DE GARANTÍA (tamper evident): Caracterís cas de un
disposi vo que proveen evidencia de que exis ó un intento de
ataque sobre él.
44) SERVICIOS DE VALIDACIÓN DE CERTIFICADOS: Servicios provistos por el cer ficador registrado o sus agentes que ejecutan la
tarea de confirmar la validez del cer ficado a una tercera parte
que con a.
41
Reglamento a la ley de cer ficados,
firmas digitales y documentos electrónicos
45) SUSCRIPTOR: La persona sica a cuyo favor se emite un cer ficado digital y que lo emplea para los propósitos señalados en
el inciso 7) anterior, en conjunto con las claves, contraseñas y/o
disposi vos necesarios al efecto y de cuya custodia es responsable.
46) VERIFICACIÓN DE FIRMA: Con relación a la firma digital, significa determinar con precisión: (1) que la firma ha sido creada durante el período operacional de un cer ficado válido, u lizando
la llave pública listada en el cer ficado; y, (2) que el mensaje no
ha sido alterado desde que la firma fue creada.
Ar culo 3º– Aplicación al Estado. A los efectos del párrafo segundo
del ar culo 1º de la Ley, los Supremos Poderes, el Tribunal Supremo
de Elecciones, los demás órganos cons tucionales y todas las en dades
públicas podrán adoptar separadamente las disposiciones par culares
que requiera su ámbito específico de competencia o la prestación del
servicio público, incluyendo la posibilidad de fungir como cer ficador
respecto de sus funcionarios.
Ar culo 4º– Incen vo de los mecanismos de gobierno electrónico.
Con excepción de aquellos trámites que necesariamente requieran la
presencia sica del ciudadano, o que éste opte por realizarlos de ese
modo, el Estado y todas las dependencias públicas incen varán el uso
de documentos electrónicos, cer ficados y firmas digitales para la prestación directa de servicios a los administrados, así como para facilitar
la recepción, tramitación y resolución electrónica de sus ges ones y la
comunicación del resultado correspondiente.
En la emisión de los reglamentos par culares a que se refieren los
ar culos 2º, inciso c) y 33 de la Ley, todas las dependencias públicas
procurarán ajustar sus disposiciones a los principios de neutralidad tecnológica e interopera vidad. En ningún caso se impondrán exigencias
técnicas o jurídicas que impidan o dificulten injus ficadamente la interacción con las oficinas públicas por medio de firmas o cer ficados
digitales emi dos por un cer ficador registrado.
En lo rela vo a la conservación de los documentos electrónicos, así
como la migración de documentos de soporte sico a electrónico, se
aplicará lo dispuesto en el ar culo 6º de la Ley.
42
Reglamento a la ley de cer ficados,
firmas digitales y documentos electrónicos
CAPÍTULO SEGUNDO
CerƟficados Digitales
Ar culo 5°– Contenido y caracterís cas. El contenido, condiciones
de emisión, suspensión, revocación y expiración de los cer ficados digitales, serán los que se señalan en la Norma INTE /ISO 21188 versión
vigente y las polí cas que al efecto emita la DCFD.
(Así reformado por el ar culo 1° del decreto ejecu vo N° 34890 del
27 de octubre de 2008)
Ar culo 6°– Tipos de cer ficados. La DCFD establecerá los pos
de cer ficados que podrán emi r los cer ficadores, con estricto apego
a las normas técnicas y estándares internacionales aplicables que promuevan la interoperabilidad con otros sistemas.
En el caso de los cer ficados digitales que vayan a ser u lizados en
procesos de firma digital y de auten cación de la iden dad, los cer ficadores necesariamente deberán:
1) U lizar al menos un proceso de verificación y registro presencial
(cara a cara) de sus suscriptores.
(Así reformado el inciso anterior por el ar culo 1° del decreto
ejecu vo N° 34890 del 27 de octubre de 2008)
2) Guardar copia de la documentación u lizada para verificar la
iden dad de la persona.
3) Registrar de forma biométrica (fotogra a, huellas digitales, etc.)
al suscriptor a quién le será emi do un cer ficado.
4) Requerir el uso de módulos seguros de creación de firma, con
cer ficación de seguridad que se indique conforme a las normas
internacionales y a las Polí cas establecidas por la DCFD.
(Así reformado el inciso anterior por el ar culo 1° del decreto
ejecu vo N° 34890 del 27 de octubre de 2008)
5) Establecer un contrato de suscripción detallando el nivel de servicio que ofrece y los deberes y responsabilidades de las partes.
43
Reglamento a la ley de cer ficados,
firmas digitales y documentos electrónicos
6) La DCFD podrá establecer cualquier otro requisito que considere
per nente, en tanto emisor y gestor de polí cas del sistema de
firma digital.
Ar culo 7º– Obligaciones de los usuarios. Para los efectos de los
ar culos 14, inciso d) y 15 de la Ley, todos los suscriptores del sistema
de cer ficados y firmas digitales estarán obligados a:
1) Suministrar a los cer ficadores la información veraz, completa y
actualizada que éstos requieran para la prestación de sus servicios.
2) Resguardar estrictamente la confidencialidad de la clave, contraseña o mecanismo de iden ficación que se les haya asignado
con ese carácter, informando inmediatamente al cer ficador
en caso de que dicha confidencialidad se vea o se sospeche que
haya sido comprome da.
3) Acatar las recomendaciones técnicas y de seguridad que le señale el correspondiente cer ficador.
Ar culo 8°– Plazo de suspensión de cer ficados. Cuando un cer ficado digital deba ser suspendido por incurrir en alguna de las causales
establecidas en el ar culo 14 de la Ley , éste será revocado y, una vez
desaparecido el mo vo de suspensión, se procederá a la emisión de un
nuevo cer ficado.
(Así reformado por el ar culo 1° del decreto ejecu vo N° 34890 del
27 de octubre de 2008)
Ar culo 9º– Revocación por cese de ac vidades. Para los efectos
del ar culo 16 de la Ley, en el caso del cese de ac vidades de un cer ficador, éste mismo –o la DCFD en su defecto– ges onarán el traslado de
la cartera de suscriptores que así lo hayan consen do a otro cer ficador,
que expedirá los nuevos cer ficados.
44
Reglamento a la ley de cer ficados,
firmas digitales y documentos electrónicos
CAPÍTULO TERCERO
CerƟficadores
Ar culo 10.– Reconocimiento jurídico. Solo tendrán pleno efecto
legal frente a terceros, así como respecto del Estado y sus ins tuciones,
los cer ficados digitales expedidos por cer ficadores registrados ante la
Dirección de Cer ficadores de Firma Digital.
Las firmas y cer ficados emi dos dentro o fuera del país que no
cumplan con esa exigencia no sur rán efectos por sí solos, pero podrán
ser empleados como elemento de convicción complementario para establecer la existencia y alcances de un determinado acto o negocio.
Ar culo 11.– Comprobación de idoneidad técnica y administra va.
Para obtener la condición de cer ficador registrado, se requiere poseer
idoneidad técnica y administra va, que serán valoradas por el ECA, de
conformidad con los lineamientos técnicos establecidos en las Normas
INTE–ISO/IEC 17021 e INTE/ISO 21188 versión vigente, las polí cas fijadas por la DCFD y los restantes requisitos que esa dependencia establezca, de acuerdo con su norma va específica.
A fin de cumplir con lo establecido en el párrafo anterior, el cer ficador contará con el plazo de un año contado a par r de la fecha en que
se le otorgó el registro por parte de la DCFD , con el propósito de lograr
la acreditación respec va por parte del ECA. Si en el plazo señalado no
lograra obtener la acreditación, se le cancelará su registro por parte de
la DCFD y no podrá ser registrado nuevamente hasta tanto no presente
la acreditación del ECA.
(Así reformado por el ar culo 1° del decreto ejecu vo N° 34890 del
27 de octubre de 2008)
Ar culo 12.– Formalidades de la solicitud. La solicitud de inscripción del cer ficador se presentará debidamente auten cada ante la
DCFD y deberá incluir la siguiente información:
1) Nombre o razón social de la solicitante, número de cédula de
persona jurídica, domicilio y dirección postal, así como los correspondientes números telefónicos y de fax (si lo tuviera), su
si o Web en Internet y al menos una dirección de correo electrónico para la recepción de comunicaciones de la DCFD. En el
caso de los sujetos privados, deberá adjuntar además una cer -
45
Reglamento a la ley de cer ficados,
firmas digitales y documentos electrónicos
ficación de personería jurídica con no menos de un mes de expedida, o el acuerdo de nombramiento debidamente cer ficado,
en el caso de los funcionarios públicos. Dicho documento deberá acreditar, en el primer supuesto, que la persona jurídica se
encuentra debidamente cons tuida de acuerdo con la ley y en
pleno goce y ejercicio de su capacidad jurídica.
(Así reformado el inciso el anterior por el ar culo 1° del decreto
ejecu vo N° 34890 del 27 de octubre de 2008)
2) Iden ficación completa de la persona o personas que fungirán como responsables administra vos del cer ficador ante la
DCFD. Ésta o éstas necesariamente serán los firmantes de la gesón y ostentarán la representación legal u oficial de la solicitante.
(Así reformado el inciso el anterior por el ar culo 1° del decreto
ejecu vo N° 34890 del 27 de octubre de 2008)
3) Iden ficación completa de la persona o personas que fungirán
como responsables técnicos del cer ficador, si no fueren las mismas del punto anterior. Se entenderá por tales a la persona o
personas que recibirán y custodiarán las claves, contraseñas y/o
mecanismos de iden ficación asignados al cer ficador y que podrán firmar digitalmente en su nombre.
4) La dirección sica precisa del establecimiento o local desde el
cual se realizará la ac vidad de cer ficación digital.
5) Documentación en la cual se demuestre a juicio de la DCFD , que
cuenta con los requisitos para brindar el servicio de cer ficación
digital (con personal calificado, con los conocimientos y experiencia necesarios para las labores que realizan, procedimientos
de seguridad y de ges ón apropiados, así como la infraestructura adecuada para realizar las ac vidades de cer ficación digital,
todo acorde a los requerimientos de las normas INTE/ISO 21188
versión vigente, INTE–ISO/IEC 17021 versión vigente, así como a
las polí cas dictadas por la DCFD ).
(Así reformado el inciso el anterior por el ar culo 1° del decreto
ejecu vo N° 34890 del 27 de octubre de 2008)
6) Cer ficación de composición y propiedad del capital social, si la
solicitante fuera una sociedad mercan l.
46
Reglamento a la ley de cer ficados,
firmas digitales y documentos electrónicos
7) (Derogado este inciso por el ar culo 3° del decreto ejecu vo N°
34890 del 27 de octubre de 2008)
Ar culo 13.– Caución. Los sujetos privados deberán rendir una caución que será u lizada para responder por las eventuales consecuencias
civiles, contractuales y extracontractuales de su ac vidad. Esta caución
será rendida preferiblemente por medio de una póliza de fidelidad expedida por el Ins tuto Nacional de Seguros. El monto –de acuerdo con
la Ley– será fijado por la DCFD en consulta con el Ins tuto Nacional de
Seguros, tomando en consideración los riesgos y responsabilidades inherentes en la labor de cer ficación digital.
(Así reformado el párrafo anterior por el ar culo 1° del decreto ejecu vo N° 34890 del 27 de octubre de 2008)
Cuando la caución esté sujeta a vencimiento, necesariamente deberá ser renovada por el interesado al menos dos meses antes de la fecha
de expiración.
Ar culo 14.– Tramite de la solicitud. Recibida la solicitud de inscripción, la DCFD procederá a:
1) Apercibir al interesado en un plazo no mayor de diez días hábiles
y por una única vez sobre cualquier falta u omisión que deba ser
subsanada, así como la necesidad de ampliar la documentación
que se indica en el inciso 5 de ar culo 12 de este reglamento,
para dar inicio a su trámite. Al efecto, se aplicará lo dispuesto
en la “Ley de Protección al Ciudadano del Exceso de Requisitos y
Trámites Administra vos”, número 8220 de 4 de marzo del 2002;
y –en cuanto fuere necesario– lo dispuesto en el ar culo 340 de
la LGAP.
2) Posteriormente, la DCFD estará facultada para que en caso necesario proceda a realizar una visita al domicilio donde se realizará la ac vidad de cer ficación digital, con el fin de constatar
la veracidad de lo indicado en los documentos aportados por el
solicitante.
3) En caso de resultar favorable la solicitud y resueltas las oposiciones que se indican en el ar culo 15 de este Reglamento a favor
del solicitante, se le prevendrá para que en el plazo de cinco días
hábiles presente el comprobante de pago de la caución señalada
en el ar culo 13 anterior.
47
Reglamento a la ley de cer ficados,
firmas digitales y documentos electrónicos
(Así reformado por el ar culo 1° del decreto ejecu vo N° 34890 del
27 de octubre de 2008)
Ar culo 15.– Oposiciones. Tramitada la solicitud ante la DCFD , ésta
le entregará un resumen al solicitante, el cual deberá ser publicado en
el Diario Oficial La Gaceta , sin perjuicio de que la DCFD lo haga también
en los medios electrónicos establecidos en la Ley y este Reglamento.
Dentro de los cinco días hábiles siguientes a la publicación, quien se
sin ere legí mamente perjudicado por la solicitud planteada, deberá
comunicarlo a la DCFD, presentando todas las pruebas per nentes. En
tal caso, la DCFD conferirá audiencia al interesado por un plazo de cinco
días hábiles para que se refiera a los hechos planteados.
Una vez vencido el plazo indicado y resueltas las posibles oposiciones, se le prevendrá al solicitante a fin de que aporte el pago respec vo
de la caución indicada en el ar culo 13 de este Reglamento.
No se aplicará lo dispuesto en este ar culo cuando la ges ón corresponda a una dependencia pública.
(Así reformado por el ar culo 1° del decreto ejecu vo N° 34890 del
27 de octubre de 2008)
Ar culo 16.– Resolución. Cumplido lo dispuesto en el ar culo anterior, la DCFD resolverá lo que corresponda –incluyendo las oposiciones formuladas, si las hubiere– en un plazo no mayor de quince días,
por medio de resolución fundada que no ficará a los interesados. Si el
acuerdo fuera favorable, se publicará a través de los medios electrónicos previstos en la Ley y este Reglamento.
Ar culo 17.– Silencio posi vo. La ges ón que no haya sido resuelta
dentro del plazo que señala el ar culo precedente se entenderá aprobada.
Ar culo 18.– Recursos. Contra lo resuelto por la DCFD, se admi rá
el recurso de reposición, aplicándose al efecto lo dispuesto en los ar culos 346, siguientes y concordantes, de la LGAP.
Ar culo 19.– Funciones. Los cer ficadores registrados tendrán las
siguientes atribuciones y responsabilidades:
1) Expedir las claves, contraseñas o disposi vos de iden ficación
a sus suscriptores, en condiciones seguras y previa verificación
48
Reglamento a la ley de cer ficados,
firmas digitales y documentos electrónicos
fehaciente de su iden dad. Lo mismo hará respecto de sus cerficadores subordinados cuando los hubiere, los cuales también
deberán registrarse ante la DCFD.
El cer ficador no podrá copiar o conservar información rela va
a la clave privada de firma digital de un suscriptor y deberá abstenerse de tomar conocimiento o acceder a ella bajo ninguna
circunstancia.
2) Llevar un registro completo y actualizado de todos sus suscriptores, para lo cual les requerirá la información necesaria. En el
caso de los cer ficadores, comerciales, no se solicitará de sus
clientes más información personal que la que sea estrictamente
necesaria, quedando obligados a mantenerla bajo estricta confidencialidad, con la salvedad prevista en el inciso úl mo de este
ar culo.
3) Expedir el cer ficado digital que respalde la firma digital de los
suscriptores de sus servicios y de sus cer ficadores subordinados, así como suspenderlo o revocarlo bajo las condiciones previstas en la Ley y este Reglamento.
4) Prestar los servicios ofrecidos a sus suscriptores, en estricta conformidad con las polí cas de cer ficación que haya comunicado
al público y que hayan sido aprobados por la DFCD.
5) Conservar la información y registros rela vos a los cer ficados
que emitan, durante no menos de diez años contados a par r
de su expiración o revocación. En caso de cese de ac vidades,
la información y registros respec vos deberán ser remi dos a la
DCFD, quien dispondrá lo rela vo a su adecuada conservación y
consulta.
6) Mantener un repositorio electrónico, permanentemente accesible en línea y publicado en internet para posibilitar la consulta
de la información pública rela va a los cer ficados digitales que
haya expedido y de su estado actual, de la manera que se indique en la Norma INTE /ISO 21188 versión vigente y en los lineamientos que sobre el par cular dicte la DCFD.
(Así reformado el inciso anterior por el ar culo 1° del decreto
ejecu vo N° 34890 del 27 de octubre de 2008)
7) Suministrar, con arreglo a las disposiciones cons tucionales y legales per nentes, la información que las autoridades competen-
49
Reglamento a la ley de cer ficados,
firmas digitales y documentos electrónicos
tes soliciten con relación a sus suscriptores y a los cer ficados
que les hayan sido expedidos.
8) Impar r lineamientos técnicos y de seguridad a los suscriptores
y cer ficadores subordinados, con base en los que a su vez dicte
la DCFD.
9) Acatar las instrucciones y directrices que emita la DCFD para una
mayor seguridad o confiabilidad del sistema de firma digital.
(Así reformado el inciso anterior por el ar culo 1° del decreto
ejecu vo N° 34890 del 27 de octubre de 2008)
10) Rendir a la DCFD los informes y datos que ésta requiera para el
adecuado desempeño de sus funciones y comunicarle a la mayor brevedad cualquier otra circunstancia relevante que pueda
impedir o comprometer su ac vidad.
Ar culo 20.– Divulgación de datos. En adición al repositorio en línea a que se refiere el ar culo previo, todo cer ficador registrado deberá mantener un si o o página electrónica en Internet, de alta disponibilidad y protegida con esquemas de seguridad razonables para impedir
su subplantación, por medio del cual suministre permanentemente al
público al menos los datos siguientes, empleando un lenguaje fácilmente comprensible y en idioma español:
1) Su nombre, dirección sica y postal, número(s) telefónico(s) y de
fax (si lo tuviera), así como un mecanismo de contacto por medio
de correo electrónico.
2) Los datos de inscripción ante la DCFD y su estado actual (ac vo
o suspendido).
3) Las polí cas de cer ficación que aplica y que son respaldados y
aprobados por la DCFD
4) El resultado final más reciente de evaluación o auditoría de sus
servicios, efectuada por el Ente Costarricense de Acreditación.
5) Cualesquiera restricciones establecidas por la DCFD.
6) Cualquier otro dato de interés general que disponga la Ley, este
Reglamento o la DCFD.
50
Reglamento a la ley de cer ficados,
firmas digitales y documentos electrónicos
Ar culo 21.– Corresponsalías. Al informar a la DCFD sobre el establecimiento de relaciones de corresponsalía conforme al ar culo 20 de
la Ley, se deberá especificar si la homologación de cer ficados expedidos por cer ficadores extranjeros está o no sujeta a alguna clase de
restricción o salvedad y, caso afirma vo, en qué consiste. Lo mismo se
hará al momento de ofrecer este servicio al público.
Ar culo 22.– Actualización permanente de datos. Los cer ficadores
deberán mantener permanentemente actualizada la información que
requieran la DCFD y el ECA para el cumplimiento de sus funciones. Cualquier cambio de domicilio sico o electrónico, o de cualquier otro dato
relevante, deberá ser comunicado de inmediato a ambas ins tuciones.
(Así reformado por el ar culo 1° del decreto ejecu vo N° 34890 del
27 de octubre de 2008)
51
Reglamento a la ley de cer ficados,
firmas digitales y documentos electrónicos
CAPÍTULO CUARTO
Dirección de CerƟficadores de Firma Digital
Ar culo 23.– Responsabilidad. La Dirección de Cer ficadores de Firma Digital – perteneciente al Ministerio de Ciencia y Tecnología– será el
órgano administrador y supervisor del sistema nacional de cer ficación
digital. Tendrá el carácter de órgano de desconcentración máxima y las
resoluciones dictadas en los asuntos de su competencia agotarán la vía
administra va.
La DCFD tendrá, de pleno derecho, el carácter de cer ficador raíz.
No obstante, para garan zar una óp ma efec vidad en el cumplimiento
de esta función, podrá ges onar el apoyo de otro órgano, en dad o empresa del Estado, a los efectos de que supla la infraestructura material y
el personal idóneo necesarios para operar la raíz, debiendo acreditar la
operación técnica de la misma ante el ECA, para lo cual tendrá un plazo
de un año a par r de que la misma entre en operación completa.
(Así reformado el párrafo anterior por el ar culo 1° del decreto ejecu vo N° 34890 del 27 de octubre de 2008)
Ar culo 24.– Funciones. La Dirección de Cer ficadores de Firma
Digital (DCFD tendrá las funciones que señala la Ley. El registro de cer ficados digitales a que se refiere el inciso b) del ar culo 24 de la Ley tendrá un contenido y propósitos puramente cuan ta vos y estadís cos.
La DCFD tendrá la responsabilidad de definir polí cas y requerimientos para el uso de cer ficados digitales que deberán ser especificados
en una Polí ca de Cer ficados o acuerdos complementarios; en especial
la DCFD será el emisor y el gestor de las polí cas para el Sistema de Cerficadores de Firma Digital.
(Así reformado el párrafo anterior por el ar culo 1° del decreto ejecu vo N° 34890 del 27 de octubre de 2008)
Dentro de sus ac vidades, la DCFD procurará realizar programas de
difusión en materia de Firma Digital, así como en la media de sus posibilidades establecer enlaces de cooperación con organismos o programas
internacionales relacionados con esta materia.
(Así reformado el párrafo anterior por el ar culo 1° del decreto ejecu vo N° 34890 del 27 de octubre de 2008)
52
Reglamento a la ley de cer ficados,
firmas digitales y documentos electrónicos
Ar culo 25.– Cooperación interins tucional. Se autoriza a las ins tuciones del Estado para presupuestar y girar recursos, en la medida de
sus posibilidades jurídicas y materiales, a fin de contribuir a lograr los
obje vos de la DCFD.
Ar culo 26.– Jefatura. El superior administra vo de la DCFD será el
Director, quien será nombrado por el Ministro de Ciencia y Tecnología
y será un funcionario de confianza, de conformidad con el inciso g) del
ar culo 4, del Estatuto de Servicio Civil. El Director deberá declarar sus
bienes oportunamente, de conformidad con lo establecido en la Ley
Contra la Corrupción y el Enriquecimiento Ilícito en la Función Pública.
(Así reformado el párrafo anterior por el ar culo 1° del decreto ejecu vo N° 34890 del 27 de octubre de 2008)
Quien sea designado Director deberá reunir los siguientes requisitos:
1) Poseer un tulo universitario per nente al cargo, con grado mínimo de licenciatura.
2) Tener experiencia profesional demostrable en el tema.
3) Estar incorporado al respec vo colegio profesional y al día en
sus obligaciones con éste.
4) Los demás que establezca el manual de clasificación y puestos
del Ministerio de Ciencia y Tecnología.
Ar culo 27.– Régimen interior. El régimen de servicio al que estará
sujeto el personal de la DCFD será el establecido en el reglamento autónomo de servicio del Ministerio de Ciencia y Tecnología, que se aplicará
también al Director en lo que legalmente sea procedente.
Ar culo 28.– Comité Asesor de Polí cas. El Director de la DCFD contará con la asesoría de un comité de polí cas, integrado por representantes de los siguientes órganos y en dades:
1) Banco Central de Costa Rica;
2) Tribunal Supremo de Elecciones;
3) Poder Ejecu vo;
4) Poder Judicial;
53
Reglamento a la ley de cer ficados,
firmas digitales y documentos electrónicos
5) Consejo Nacional de Rectores (CONARE), en representación del
sector académico; y,
6) Asociación Cámara Costarricense de Tecnologías de la Información y Comunicaciones (CAMTIC), en representación del sector
privado.
Cada una de esas dependencias designará a un representante propietario y otro suplente, por períodos de dos años, reelegibles automácamente y en forma indefinida salvo manifestación en contrario de la
respec va dependencia. Deberá tratarse en todos los casos de profesionales con grado mínimo de licenciatura, graduados en materias afines y
con experiencia demostrable en el tema. El cargo será desempeñado en
forma ad honórem.
(Así reformado el párrafo anterior por el ar culo 1° del decreto ejecu vo N° 34890 del 27 de octubre de 2008)
El Comité Asesor será presidido por el Director de la DCFD. Se reunirá ordinariamente al menos una vez cada seis meses y extraordinariamente cada vez que lo convoque el Director de la DCFD o lo soliciten por
escrito al menos cuatro de sus integrantes.
(Así reformado el párrafo anterior por el ar culo 1° del decreto ejecu vo N° 34890 del 27 de octubre de 2008)
En lo demás, el Comité ajustará su funcionamiento al régimen de los
órganos colegiados previsto en la LGAP.
Ar culo 29.–Funciones del Comité Asesor de Polí cas. El Comité
Asesor tendrá las siguientes funciones:
1) Recomendar a la DCFD las polí cas generales de operación del
sistema nacional de cer ficación digital, observando los estándares y buenas prác cas internacionales de la materia;
2) Interpretar, aclarar o adicionar esas polí cas ante las dudas o
consultas de cualquier operador del sistema;
3) Evaluar y actualizar periódicamente las polí cas de operación,
formulando –en caso necesario– las recomendaciones per nentes a la DCFD; y,
54
Reglamento a la ley de cer ficados,
firmas digitales y documentos electrónicos
4) Aconsejar a la DCFD en cualquier otro aspecto que ésta someta
a su consideración.
5) Funcionar como Comité para la preservación de la imparcialidad, conforme a los parámetros señalados en la norma INTE–
ISO/IEC 17021 versión vigente.
(Así adicionado el inciso anterior por el ar culo 2° del decreto ejecuvo N ° 34890 del 27 de octubre de 2008)
Salvo caso de urgencia, la adopción o modificación de polí cas que
afecten la operación del sistema nacional de cer ficación digital se hará
previa consulta pública, en la que se invitará a las en dades públicas y
privadas, organizaciones representa vas y público en general a ofrecer
comentarios y sugerencias per nentes; todo conforme a los ar culos
361 y 362 de la LGAP.
55
Reglamento a la ley de cer ficados,
firmas digitales y documentos electrónicos
CAPÍTULO QUINTO
Sanciones
Ar culo 30.– Aplicación de mecanismos alterna vos de solución de
conflictos. Tanto antes como durante la tramitación de los procedimientos disciplinarios por quejas o denuncias planteadas contra un cer ficador, la DCFD procurará aplicar mecanismos alterna vos de resolución
de conflictos para encontrar salidas que permitan tutelar los derechos
legí mos de las partes, así como la con nuidad y confiabilidad del sistema, todo conforme a la legislación aplicable.
Ar culo 31.– Multas. El pago de las multas impuestas conforme al
ar culo 28 de la Ley se realizará por medio de Entero de Gobierno, dentro de los diez días hábiles siguientes a la firmeza de la resolución que
las imponga.
El cobro de multas no canceladas oportunamente se realizará conforme a lo dispuesto en el ar culo 36 siguiente.
Ar culo 32.– Suspensión. La suspensión que se aplique de acuerdo
con el ar culo 29 de la Ley implicará la imposibilidad para el cer ficador
sancionado de expedir nuevos cer ficados digitales o de renovar los que
expiren durante el plazo de la suspensión. No afectará en nada los emidos previamente.
En los casos del inciso a) del referido ar culo, si al cabo del plazo de
suspensión el cer ficador persiste en no renovar debidamente la caución a pesar de la prevención que en ese sen do se le hará, se procederá
conforme al ar culo 30, inciso c) de la Ley, a efectos de declarar la revocatoria de la inscripción.
Ar culo 33.– Revocatoria de la inscripción. Para los efectos del arculo 30, inciso a) de la Ley, se entenderá por “cer ficado falso” aquel
que no esté respaldado por una solicitud previa demostrable del correspondiente suscriptor o cuyo trámite no haya seguido los procedimientos
de seguridad establecidos para la clase de cer ficado de que se trate.
Ar culo 34.– Publicidad de las sanciones. Para los propósitos del
ar culo 32 párrafo segundo de la Ley, la publicación electrónica de las
sanciones impuestas se mantendrá:
56
Reglamento a la ley de cer ficados,
firmas digitales y documentos electrónicos
1) En el caso de multa, por todo el lapso en que ésta permanezca
sin cancelar y posteriormente por dos años a par r del pago.
2) En el caso de suspensión o revocatoria de la inscripción, durante
cinco años desde la firmeza de la resolución sancionatoria.
Ar culo 35.– Determinación de responsabilidades adicionales. Si
corresponde, lo rela vo a la responsabilidad civil en que pueda haber
incurrido un cer ficador se examinará y resolverá en el mismo procedimiento en que se discuta la responsabilidad disciplinaria. Caso de es marse que ha lugar al pago de una indemnización, el acto final prevendrá al cer ficador su oportuno pago, dentro del plazo que al efecto se
señalará y que no excederá de un mes.
De llegarse a considerar además que los hechos inves gados suponen la posible comisión de un ilícito penal, la Dirección ordenará tes moniar las piezas correspondientes y pondrá los hechos en conocimiento del Ministerio Público.
Ar culo 36.– Medios de ejecución. Si el cer ficador sancionado no
realiza oportunamente el pago a que estuviere obligado, se procederá a
ejecutar la caución por el monto respec vo. En tal caso (así como para
el reclamo de cualquier saldo en descubierto que pudiera subsis r) se
aplicará en lo per nente lo dispuesto en los ar culos 149 y 150 de la
LGAP. La DCFD será el órgano competente para realizar las in maciones
de ley, así como para expedir el tulo ejecu vo, si corresponde.
CAPÍTULO SEXTO
Disposiciones finales
Ar culo 37.–
Vigencia. Rige a par r de su publicación.
Dado en la Presidencia de la República.–San José, a los veinte días
del mes de marzo del dos mil seis.
ANEXO ÚNICO
(Derogado este Anexo por el ar culo 3° del decreto ejecu vo N°
34890 del 27 de octubre de 2008).
57
PŽůşƟĐĂĚĞĐĞƌƟĮĐĂĚŽƐƉĂƌĂůĂ
ũĞƌĂƌƋƵşĂŶĂĐŝŽŶĂůĚĞĐĞƌƟĮĐĂĚŽƌĞƐ
registrados
DireccióŶĚĞĞƌƟĮĐĂĚŽƌĞƐĚĞ&ŝƌŵĂŝŐŝƚĂů
Ministerio de Ciencia y Tecnología
OID 2.16.188.1.1.1.1
Versión: 1.1
20 de mayo, 2013
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
Control de versiones
Fecha
Versión
Consulta
pública
Autor(es)
Comité de Polí cas
Comité Técnico
Aprobado
Lic. Oscar Solís
Director DCFD
03–12–07
Borrador
Comité de Polí cas
Lic. Oscar Solís
Director DCFD
04–09–08
1.0
Comité de Polí cas
Lic. Oscar Solís
Director DCFD
03–04–13
Consulta
pública
(1.1)
Comité de Polí cas
Dirección de
Cer ficadores de Firma
Digital
Alexander Barquero
Director DCFD
Actualizaciones para cer ficados digitales de persona
jurídica, vigencia y unicidad de los cer ficados.
10–05–13
Borrador
(1.1)
Dirección de
Cer ficadores de Firma
Digital
Alexander Barquero
Director DCFD
Se incorporan las observaciones de la consulta pública,
de acuerdo al aviso del martes 16 de abril del 2013
en el Alcance Digital Nº 68 del diario oficial La Gaceta
Nº 72.
20–05–13
1.1
Dirección de
Cer ficadores de Firma
Digital
Alexander Barquero
Director DCFD
Oficialización y entrada en vigencia de la versión 1.1
de la polí ca.
26–10–07
Descripción
Se presenta la versión para discusión final del comité
de polí cas y aprobación del Director de la DCFD.
Se incorporan las observaciones de la consulta pública,
de acuerdo al edicto publicado el día lunes 19 de
noviembre del 2007 en el diario oficial La Gaceta Nº
222.
Oficialización y entrada en vigencia de la polí ca.
61
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
1.
Introducción
Este documento define las Polí cas de Cer ficado (en adelante CP)
dictadas por la Dirección de Cer ficadores de Firma Digital (en adelante
DCFD) para el Sistema Nacional de Cer ficación Digital.
La autoridad cer ficadora registrada debe implementar las polí cas
en los servicios de cer ficación que incluyen: la emisión, ges ón, suspensión y revocación de los cer ficados.
Las siguientes secciones describen las polí cas de acatamiento obligatorio que deben ser implementadas por la Autoridad Cer ficadora
Raíz (en adelante CA Raíz) y por cualquier otra Autoridad Cer ficadora
Registrada (en adelante CA) en los niveles inferiores de la jerarquía nacional de cer ficadores registrados. Sin embargo, este documento no
pretende ser una guía exhaus va para la evaluación del cumplimiento
de los requisitos necesarios para un proceso de acreditación. La guía
detallada para la evaluación de una autoridad cer ficadora que desea
incorporarse al sistema de cer ficación nacional, debe solicitarse a la
DCFD, y la misma se adhiere a los lineamientos establecidos en: la norma INTE–ISO–21188:2007 “Infraestructura de llave pública para servicios financieros– Estructura de prác cas y polí cas”.
Este CP se ha desarrollado conforme a lo es pulado en el RFC 3647:
”Internet X.509 Public Key Infrastructure. Cer ficate Policy and Cer ficaon Prac ces Framework”.
1.1
Resumen
Estas Polí cas de Cer ficado (CP) son específicamente aplicables a:
 Autoridad Cer ficadora Raíz (CA Raíz).
 Autoridades Cer ficadoras de Polí cas (CA de Polí cas) dentro
de la jerarquía nacional de cer ficadores registrados.
 Autoridades Cer ficadoras emisoras (CA emisoras) que se registren ante la DCFD, y que emitan los cer ficados a las en dades finales.
 Suscriptores y partes que con an.
63
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
Las polí cas nacionales contemplan los siguientes pos de cer ficados, definidos en este documento como:
Cer ficados para CA emisoras.
Cer ficados de auten cación de persona sica.
Cer ficados de firma digital de persona sica.
Cer ficados de agente electrónico (auten cación) de persona
jurídica.
 Cer ficados de sello electrónico (firma digital) de persona jurídica.
 Cer ficados de autoridades de sellado de empo (TSA).




Los diferentes pos de cer ficados están definidos en la polí ca y
se implementan a través de una jerarquía de tres niveles: el primero
corresponde a la raíz nacional, el segundo nivel corresponde a las autoridades cer ficadoras de polí cas y el tercer nivel a las CA emisoras de
cer ficados.
El siguiente diagrama detalla la estructura de la jerarquía nacional de
cer ficadores registrados:
Diagrama de la jerarquía nacional de cerƟficadores registrados
64
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
1.2
Nombre e idenƟficación del documento
Este documento es la “Polí ca de Cer ficados para la Jerarquía Nacional de Cer ficadores Registrados” y se referencia mediante el iden ficador de objeto (OID): 2.16.188.1.1.1.1
Sección
2
16
188
1
1
1
1
Descripción
joint–iso–itu–t
Country
Costa Rica
Organización
Dirección de Cer ficadores de Firma Digital
Polí cas
Polí ca de Cer ficados para la jerarquía
nacional de cer ficadores registrados
Las polí cas derivadas para la jerarquía nacional de cer ficadores
registrados son:
PolíƟca para cerƟficados generados por la jerarquía
nacional de cerƟficadores registrados
Polí ca de cer ficados de CA emisora del Sistema
Nacional de Cer ficación Digital
Polí ca de cer ficados de persona sica del Sistema
Nacional de Cer ficación Digital
•
Firma digital
•
Auten cación
Polí ca de sellado de empo del Sistema Nacional de
Cer ficación Digital
Polí ca de cer ficados de persona jurídica del Sistema
Nacional de Cer ficación Digital
•
Sello electrónico
•
Agente electrónico
1.3
OID
2.16.188.1.1.1.1.1
2.16.188.1.1.1.1.2
2.16.188.1.1.1.1.3
2.16.188.1.1.1.1.5
2.16.188.1.1.1.1.6
2.16.188.1.1.1.1.7
ParƟcipantes en la PKI
1.3.1 Autoridades cerƟficadoras
Las autoridades cer ficadoras (CA) son todas las en dades autorizadas a emi r cer ficados de llave pública dentro de la jerarquía nacional
65
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
de cer ficadores registrados. Esto incluye:
 CA Raíz.
 CA de Polí cas.
 CA emisoras.
La CA Raíz y las CAs de Polí cas son parte de la jerarquía nacional
administrada por el Ministerio de Ciencia, Tecnología y Telecomunicaciones (MICITT). Ambas se regulan a través de la Dirección de Cer ficadores de Firma Digital (DCFD). Las CAs emisoras deben implementar
esta polí ca, para formar parte de la jerarquía nacional de cer ficadores
registrados.
1.3.2
Autoridades de Registro
Una Autoridad de Registro (RA) es una en dad que verifica la idendad de los solicitantes que aplican por un cer ficado. La RA debe validar los requisitos de iden ficación del solicitante, dependiendo del po
de cer ficado y de la especificación de la polí ca per nente. Además,
tramita las solicitudes de revocación para los cer ficados y valida la información contenida en las solicitudes de cer ficados. Las Autoridades
de Registro se regulan en el documento de “Directrices para las Autoridades de Registro. Caracterís cas de cumplimiento de Autoridades de
Registro (RA) de la jerarquía nacional de cer ficadores registrados de
Costa Rica” emi do por la DCFD para este propósito.
1.3.3 Suscriptores
Se define como suscriptor a todos los usuarios finales a quienes se
les ha emi do un cer ficado por una CA, dentro de la jerarquía nacional
de cer ficadores registrados. El suscriptor puede ser una persona sica
o una persona jurídica.
1.3.4 Partes que conİan
Una parte que con a es una persona sica o jurídica que actúa confiando en un cer ficado y/o en las firmas digitales generadas a par r
de un cer ficado, emi dos bajo la jerarquía nacional de cer ficadores
registrados. Una parte que con a puede o no ser también un suscriptor.
66
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
1.3.5 Otros parƟcipantes
Sin es pulaciones.
1.4
Uso del cerƟficado
1.4.1 Usos apropiados del cerƟficado
Tipo
Cer ficados de CA emisora
Cer ficados de firma digital
de persona sica
Cer ficados de
auten cación de persona
sica
Cer ficados de sello
electrónico de persona
jurídica
Cer ficados de agente
electrónico de persona
jurídica
Cer ficados de Autoridad
de Sellado de Tiempo (TSA)
o
o
o
o
•
o
o
•
o
o
•
o
o
Descripción de uso apropiado
Operar la infraestructura PKI y emi r
cer ficados a suscriptores dentro de la
cadena de confianza.
Digital Signature.
Cer ficate Signing.
Off–line CRL Signing.
CRL Signing.
Firma digital
Digital Signature.
Non–Repudia on.
Auten cación
Digital Signature.
Key Encipherment.
Sello electrónico
Digital Signature.
Non–Repudia on.
•
o
o
o
•
o
o
Agente electrónico
Digital Signature.
Key Encipherment.
Data Encipherment.
Sellado de empo
Digital Signature.
Non–Repudia on.
•
1.4.2 Usos prohibidos del cerƟficado
Los cer ficados emi dos deben ser u lizados dentro del marco de la
Ley 8454 “Ley de cer ficados, firmas digitales y documentos electrónicos” y su reglamento. Cualquier otro uso del cer ficado no especificado
en la Ley 8454, su reglamento y en esta CP (y sus polí cas asociadas)
está fuera del alcance y responsabilidad de estas polí cas.
67
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
1.5
Administración de la PolíƟca
1.5.1 Organización que administra el documento
Dirección de Cer ficadores de Firma Digital
Ministerio de Ciencia, Tecnología y Telecomunicaciones, dirección: San
José, 50 metros Este del Museo Nacional. Apartado Postal: 5589–1000
San José, Costa Rica. Correo electrónico: [email protected] o [email protected]
1.5.2 Persona de contacto
Jefatura de la Dirección de Cer ficadores de Firma Digital: Director
de Cer ficadores de Firma Digital, correo electrónico: [email protected] o [email protected]. Tel. (506) 2248–1515, ext.
189.
1.5.3 Persona que determina la adecuación de la CPS a la PolíƟca
El Director de la Dirección de Cer ficadores de Firma Digital será el
encargado de determinar la adecuación de la declaración de prác cas
de cer ficación (CPS) de todas las autoridades cer ficadoras que desean
pertenecer a la jerarquía nacional de cer ficadores registrados.
1.5.4 Procedimientos de aprobación de la CP
La polí ca y las subsecuentes enmiendas o modificaciones deben ser
propuestas por la DCFD o por el Comité Asesor de Polí cas, y presentadas al Director de la DCFD, quien posterior a su análisis y correcciones,
las somete a consulta pública (salvo casos de urgencia) en la que se invitará a las en dades públicas y privadas, organizaciones representa vas
y público en general a ofrecer comentarios y sugerencias per nentes;
68
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
todo conforme a los ar culo 3611 y 3622 de la Ley General de Administración Pública (LGAP). La encargada de la aprobación final de la CP es la
DCFD.
1.6
Definiciones y acrónimos
Ver Anexo A: Definiciones y acrónimos
2.
Responsabilidades de publicación y del repositorio
2.1
Repositorios
Las autoridades emisoras son responsables de las funciones de repositorio para su propia CA. Las listas de los cer ficados emi dos a usuarios finales no se deben hacer públicas.
Sobre la revocación de cer ficados de suscriptores, las autoridades
emisoras deben publicar el aviso de revocación de los cer ficados de sus
suscriptores.
2.2
Publicación de información de cerƟficación
La CA emisora debe mantener un repositorio basado en Web que
permita a las partes que con an verificar en línea la revocación y cualquier otra información necesaria para validar el estado del cer ficado.
La CA emisora debe proporcionar a las partes que con an la información
de cómo encontrar el repositorio adecuado para verificar el estado del
cer ficado y los servicios de validación de cer ficados en línea (OCSP)
para la verificación en línea.
1
2
Ar culo 361.–
1. Se concederá audiencia a las en dades descentralizadas sobre los proyectos de
disposiciones generales que puedan afectarlas.
2. Se concederá a las en dades representa vas de intereses de carácter general o
corpora vo afectados por la disposición la oportunidad de exponer su parecer,
dentro del plazo de diez días, salvo cuando se opongan a ello razones de interés
público o de urgencia debidamente consignadas en el anteproyecto.
3. Cuando, a juicio del Poder Ejecu vo o del Ministerio, la naturaleza de la
disposición lo aconseje, el anteproyecto será some do a la información pública,
durante el plazo que en cada caso se señale.
Ar culo 362.– En la disposición general se han de consignar expresamente las
anteriores que quedan total o parcialmente reformadas o derogadas.
69
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
La CA emisora debe mantener publicada, entre otros aspectos, la
versión actualizada de:




La polí ca de los cer ficados que implementa.
La plan lla del acuerdo de suscriptor.
Los cer ficados en la cadena de confianza.
Las listas de revocación.
La información de la CA Raíz está publicada en el si o Web del MICITT, en la siguiente dirección:
h p://www.firmadigital.go.cr
2.3
Tiempo o frecuencia de publicación
Las actualizaciones de las polí cas de cer ficado se publicarán de
acuerdo con lo establecido en la sección 9.12 de este documento. Las
actualizaciones de acuerdos de suscriptores serán publicadas, cuando
sufran modificaciones. La información de estados de cer ficado es publicado de acuerdo con las disposiciones de esta polí ca, de acuerdo a
la sección 4.9.7 de “Frecuencia de emisión de CRL”.
2.4
Controles de acceso a los repositorios
La información publicada en el repositorio es información accesible
únicamente para consulta. La CA emisora debe establecer controles
para prevenir que personas no autorizadas agreguen, eliminen o modifiquen información de los repositorios.
3.
IdenƟficación y autenƟcación
3.1
Nombres
3.1.1 Tipos de nombres
En la sección 3.1.4 se explican las reglas para interpretación del código de iden ficación, la que, en el caso de las personas sicas nacionales corresponde al número de cédula, para personas sicas extranjeras
o diplomá cas, al número único de permanencia y para las personas
70
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
jurídicas corresponde al número de cédula de persona jurídica. El uso
del campo número de serie (serial number OID 2.5.4.5) se establece de
acuerdo al RFC 3039 “Internet X.509 Public Key Infrastructure Qualified
Cer ficates Profile” como un atributo del nombre dis n vo del sujeto.
A con nuación se presentan los formatos de los nombres para el
suscriptor del cer ficado dependiendo de su po. Cuando los datos se
encuentran en itálica significan que son valores de ejemplo.
En el caso de la CA Raíz:
Atributo
Valor
Country (C)
CR
Organiza on (O)
MICIT
Organiza on Unit
(OU)
DCFD
Common Name
CA RAIZ
NACIONAL –
COSTA RICA
Serial Number
{OID:2.5.4.5}
CPJ–2–100–
098311
Descripción
El código de país es asignado de acuerdo al
estándar ISO 31663.
El Ministerio de Ciencia, Tecnología y
Telecomunicaciones es el responsable de la Raíz
Nacional.
La Dirección de Cer ficadores de Firma Digital.
Nombre de la CA Raíz.
Número de cédula de persona jurídica en el
Registro Nacional. El prefijo CPJ corresponde a
Cédula Persona Jurídica.
En el caso de las CA de Polí cas:
Atributo
Valor
Country (C)
CR
Organiza on (O)
MICIT
Organiza on
Unit (OU)
DCFD
3
Descripción
El código de país es asignado de acuerdo
al estándar ISO 3166.
El Ministerio de Ciencia, Tecnología y
Telecomunicaciones es el responsable de
las CA de Polí cas.
La Dirección de Cer ficadores de Firma
Digital.
Norma ISO 3166 “Códigos para la representación de los nombres de los países y sus
subdivisiones. Parte 1: Códigos de los países”. Esta norma establece los códigos de
dos caracteres para la asignación del país
71
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
CA POLITICA CA POLITICA + Nombre de la políƟca –
PERSONA
COSTA RICA
Common Name
FISICA – COSTA
RICA
Número de cédula de persona jurídica
Serial Number
CPJ–2–100–
en el Registro Nacional. El prefijo CPJ
{OID:2.5.4.5}
098311
corresponde a Cédula Persona Jurídica.
En el caso de las CA emisoras:
Atributo
Descripción
Valor
Country (C)
CR
Organiza on (O)
CORP. EJEMPLO
S.A4
Organiza on Unit
(OU)
CA EJEMPLO
Common Name
Serial Number
{OID:2.5.4.5}
El código de país es asignado de acuerdo al
estándar ISO 3166.
Nombre de la empresa o ins tución definido en
la cer ficación de personería jurídica.
Unidad organizacional de la persona jurídica
responsable de la CA emisora.
CA + Nombre CA– Polí ca. La Polí ca puede ser:
CA EJEMPLO–
PERSONA FISICA, PERSONA JURÍDICA, SELLADO
PERSONA FISICA
DE TIEMPO, u otra definida por la CA Raíz.
Número de cédula de persona jurídica en el
CPJ–9–999–
Registro Nacional, debe ser validada durante el
999999
proceso de registro.
En el caso de suscriptor persona sica:
Atributo
Country (C)
Organiza on (O)
Organiza on Unit
(OU)
Common Name
4
Valor
Descripción
El código de país es asignado de acuerdo al
CR
estándar ISO 3166.
La polí ca iden fica si se trata de un cer ficado
para: Persona Física, Persona Jurídica o Sellado
PERSONA FISICA
de Tiempo, o bien otra definida por la jerarquía
nacional de cer ficadores registrados.
La clase de cer ficado es: CIUDADANO,
CIUDADANO
EXTRANJERO o DIPLOMATICO.
JUAN PEREZ
PÉREZ (FIRMA)
Nombre del suscriptor, según documento
de iden ficación oficial, en mayúsculas y
sin ldes El propósito debe ser FIRMA o
AUTENTICACION.
Los valores en itálica son colocados a manera de ejemplo.
72
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
Serial Number
{OID:2.5.4.5}
Surname (SN)
{OID:2.5.4.4}
GivenName (G)
{OID:2.5.4.42}
CPF–01–0449–
0161
PEREZ PEREZ
JUAN
El formato del documento de iden ficación se
especifica en la sección 3.1.4 “Reglas para la
interpretación de varias formas de nombres”.
Se registran los dos apellidos del suscriptor, en
mayúsculas y sin ldes.
Se registra el nombre del suscriptor, en
mayúsculas y sin ldes.
En el caso de suscriptor para persona jurídica:
Atributo
Country (C)
Organiza on (O)
Organiza on Unit
(OU)
Common Name
Serial Number
{OID:2.5.4.5}
Subject
Alterna ve Name
{OID:2.5.29.17}
Valor
Descripción
El código de país es asignado de acuerdo al esCR
tándar ISO 3166.
La polí ca iden fica si se trata de un cer ficado
PERSONA
para: Persona Física, Persona Jurídica o Sellado
JURÍDICA
de Tiempo, o bien otra definida por la jerarquía
nacional de cer ficadores registrados.
Iden ficador opcional para unidades organizacionales vinculadas jurídicamente a la persona
jurídica solicitante.
Razón social/Nombre de la persona jurídica
CORTE
que solicita el cer ficado, según la información
SUPREMA DE
del Registro de Personas Jurídicas de Registro
JUSTICIA (SELLO
Nacional. El propósito debe ser SELLO ELECELECTRONICO)
TRÓNICO o AGENTE ELECTRÓNICO.
El formato de la cédula de persona jurídica se
CPJ–2–300–
especifica en la sección 3.1.4 “Reglas para la
042155
interpretación de varias formas de nombres”.
Dns=www.
Valor opcional donde se coloca el nombre del
poder–judicial. dominio, y aplica únicamente para los cer ficago.cr
dos de AGENTE ELECTRÓNICO.
En el caso de suscriptor para autoridad de sellado de empo:
Atributo
Country (C)
Organiza on (O)
Valor
Descripción
El código de país es asignado de acuerdo al estándar ISO 3166.
LABORATORIO Nombre de la empresa o ins tución que soliciCOSTARRICENSE ta el cer ficado.
DE METROLOGIA
CR
73
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
Organiza on Unit
(OU)
Common Name
Serial Number
{OID:2.5.4.5}
Iden ficador consecu vo para la autoridad de
sellado de empo. Este campo es responsabili0001
dad de la empresa o ins tución proporcionarlo, y es u lizado para mantener la con nuidad
del negocio.
TSA + Nombre de la persona jurídica, según la
TSA
información del Registro de Personas Jurídicas
LABORATORIO
de Registro Nacional. Se concatena el propósiCOSTARRICENSE
to de TSA (Time Stamping Authority) para indiDE METROLOGIA
car que es una autoridad de sellado de empo.
El formato de la cédula de persona jurídica se
CPJ–3–007–
especifica en la sección 3.1.4 “Reglas para la
351220
interpretación de varias formas de nombres”.
3.1.2 Necesidad de nombres significaƟvos
El nombre significa vo corresponde al nombre especificado en el
documento oficial presentado por el solicitante en el momento de registro. Además para evitar errores de interpretación en el nombre de
personas sicas, se registra el nombre y los apellidos en atributos separados (GivenName y SurName, respec vamente).
3.1.3 Anonimato o pseudónimos de los suscriptores
De acuerdo con la ley 8454, “Ley de cer ficados, firmas digitales y
documentos electrónicos” y su reglamento, los cer ficados de firma
digital no admiten anonimato para cumplir con el requisito de “No Repudio”. El pseudónimo no se considera un nombre significa vo del solicitante y no se u lizará como parte del cer ficado.
3.1.4 Reglas para la interpretación de varias formas de nombres
CerƟficados de CA emisora
La cédula de persona jurídica es definida por el Registro de Personas
Jurídicas de Registro Nacional y debe cumplir el siguiente formato:
Tipo de documento
Prefijo
Formato
Cédula de persona jurídica
CPJ
CPJ–9–999–999999
74
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
CerƟficados de firma digital y autenƟcación de persona İsica
El nombre común ene concatenado el propósito del cer ficado entre paréntesis, el cual puede ser únicamente uno de los siguientes:
 (FIRMA)
 (AUTENTICACION)
El número de cédula de persona sica y el número único de permanencia deben cumplir el siguiente formato:
Tipo de documento
Cédula de persona sica
Número único de permanencia
Prefijo
CPF
NUP
Formato
CPF–99–9999–9999
NUP–9XXX999999995
CerƟficados de sello electrónico y agente electrónico de persona
jurídica y de autoridad de sellado de Ɵempo
La cédula de persona jurídica debe cumplir el siguiente formato:
Tipo de documento
Cédula de persona jurídica
Prefijo
CPJ
Formato
CPJ–9–999–999999
3.1.5 Unicidad de los nombres
Para cada suscriptor, la CA emisora debe asegurar que el “nombre
dis n vo del suscriptor” (subject disƟnguished name) es único dentro
5
El número único de permanencia (NUP) está conformado por los siguientes elementos:
• Código de No Nacional, es un dígito, y siempre se asignan los números 1 o 5.
• Código de país, es un código alfanumérico de acuerdo con el ISO–3166 “Códigos
para la representación de los nombres de los países y sus subdivisiones. Parte 1:
Códigos de los países.” con formato de 3 letras, por ejemplo: NIC = Nicaragua,
CRI = Costa Rica, USA = Estados Unidos de América, COL= Colombia, etc.
• Consecu vo por país, corresponde a la numeración de seis dígitos, que representa la can dad de personas que han ingresado con estatus migratorio al país
en el momento de la inscripción.
• Dígitos de verificación, son dos dígitos que verifican la consistencia de la notación para ese extranjero.
75
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
de la jerarquía nacional de cer ficadores registrados, a través de una
verificación dentro del proceso de inscripción.
3.1.6 Reconocimiento, autenƟcación y rol de las marcas registradas
La jerarquía nacional de cer ficadores registrados no arbitrará, mediará o resolverá ninguna disputa concerniente a la propiedad de nombres de dominio, nombres de empresas, ins tuciones o personas jurídicas, o marcas registradas.
3.2
Validación inicial de idenƟdad
3.2.1 Método para probar posesión de la llave privada
El solicitante del cer ficado debe demostrar que posee la llave privada correspondiente a la llave pública que estará listada en el cer ficado. El método de prueba de posesión de la llave privada puede ser el
PKCS#10, u otras demostraciones criptográficas equivalentes, aprobadas por la DCFD.
3.2.2 AutenƟcación de idenƟdad de persona jurídica
La iden dad de la persona jurídica solicitante debe ser confirmada
por la CA emisora, o por la RA, donde aplique, de acuerdo con los procedimientos establecidos. Como mínimo, se debe verificar el nombre o
razón social, la cédula de persona jurídica y representante legal debidamente acreditado contra las bases de datos oficiales correspondientes.
En el caso de los cer ficados de persona jurídica, si el solicitante requiere incluir información en el campo “unidad organizacional” (Organiza on Unit), la CA emisora, o donde aplique, la RA, deberá solicitar toda
la información necesaria al suscriptor para garan zar el vínculo jurídico
entre la unidad organizacional en cues ón y la persona jurídica solicitante.
En el caso de los cer ficados de agente electrónico de persona jurídica, si el solicitante requiere incluir uno o más nombres DNS en el campo
“nombre alterna vo del sujeto” (Subject Alterna ve Name, o también
conocido como SAN por sus siglas en inglés), la CA emisora, o donde
76
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
aplique, la RA, debe verificar la información de DNS suministrada por el
solicitante, contra los datos oficiales correspondientes.
3.2.3 AutenƟcación de idenƟdad de persona İsica
Para la iden ficación de la persona sica la CA emisora o RA verifica
la validez y vigencia del documento legalmente aceptado, presentado
por el solicitante. Este proceso debe realizarse en forma presencial (cara
a cara).
La CA emisora, o donde aplique, la RA, debe verificar la información
suministrada por el solicitante contra los datos oficiales correspondientes.
3.2.4 Información del suscriptor no verificada
No aplica, la información incluida en el cer ficado es verificada durante el proceso de auten cación de la iden dad.
3.2.5 Validación de la Autoridad
La CA emisora, o donde aplique, la RA, debe validar la autoridad
que posee el solicitante para ges onar un po de cer ficado específico.
Además, debe validar que el solicitante no posea impedimentos legales
de acuerdo a la información oficial vigente para tales efectos.
En el caso de cer ficados de persona sica, debe validar que sea
mayor de edad.
En el caso de cer ficados de persona jurídica, debe validarse que sea
un personero o un representante con facultades suficientes para hacer
la solicitud de los cer ficados.
La CA emisora, o donde aplique, la RA, debe verificar la información
suministrada por el solicitante contra los datos oficiales correspondientes.
77
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
3.2.6 Criterios para interoperabilidad
Se permi rá la interoperabilidad de los cer ficados emi dos, siempre y cuando la CA emisora cumpla con la polí ca de la raíz y estén adscritas a la jerarquía nacional de cer ficadores registrados. La homologación de cer ficados extranjeros se hará de acuerdo con la legislación
aplicable y los procedimientos establecidos por la DCFD para tales casos.
3.3
IdenƟficación y autenƟcación para solicitudes de re–emisión de
llaves
3.3.1 IdenƟficación y autenƟcación para re–emisión de llaves ruƟnaria
No se permite la re–emisión de cer ficados. En dado caso, se debe
optar por un nuevo cer ficado.
3.3.2 IdenƟficación y autenƟcación para la re–emisión de llaves después de una revocación
Bajo estas circunstancias la re–emisión de llaves no aplica.
3.4
IdenƟficación y autenƟcación para solicitudes de revocación
Los procedimientos de revocación deben asegurar, previo a cualquier revocación, que la solicitud de revocación ha sido generada por el
suscriptor del cer ficado o por una en dad autorizada para tales propósitos.
Los procedimientos aceptados para la auten cación de solicitudes
de revocación presentadas por el suscriptor incluyen alguno de los siguientes medios:
 La recepción de un mensaje firmado digitalmente por el suscriptor del cer ficado.
 Mediante la validación de una “frase de desa o” (challenge
phrase).
 Presencialmente, a través de los procesos de auten cación de
iden dad (secciones 3.2.2 y 3.2.3).
78
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
 Cualquier otro medio aprobado por la DCFD que permita una
auten cación robusta.
Los procedimientos aceptados para la auten cación de solicitudes
de revocación presentadas por una en dad autorizada para tales efectos (ver sección 4.9.2), incluye la recepción de un mensaje firmado por
una autoridad competente.
4.
Requerimientos operacionales del ciclo de vida del
cerƟficado
4.1
Solicitud de cerƟficado
4.1.1 Quién puede presentar una solicitud de cerƟficado
En la siguiente lista se detallan las personas que pueden presentar
una solicitud de cer ficado:
 Para el caso de cer ficados de CA de polí cas, el Director de
Cer ficadores de Firma Digital.
 Para el caso de cer ficados de CA emisoras, el representante
legal o apoderado con poderes suficientes de la en dad a ser
registrada.
 Para el caso de cer ficados de firma digital y auten cación de
persona sica, cualquier persona mayor de edad con un documento de iden dad legalmente aceptado, que será el sujeto a
cuyo nombre se emita el cer ficado.
 Para el caso de cer ficados de sello electrónico y agente electrónico de persona jurídica, el personero o representante con
facultades suficientes de la persona jurídica a la que representa
(por ejemplo un tramitador de cer ficados digitales de persona
jurídica debidamente registrado ante el Registro Nacional).
 Para los cer ficados de Autoridad de Sellado de Tiempo, el representante legal o apoderado con poderes suficientes de la
en dad de sellado de empo (TSA).
79
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
4.1.2 Proceso de inscripción y responsabilidades
Durante el proceso de inscripción, el solicitante debe firmar un
acuerdo de suscriptor, donde se establecen las responsabilidades y deberes asumidos con el uso del cer ficado.
La DCFD ene la responsabilidad de:
 Ejecutar el proceso de registro y verificación de iden dad de las
CA emisoras.
 Velar porque la en dad solicitante cumpla los requisitos establecidos en la Ley 8454, Ley de cer ficados, firmas digitales y
documentos electrónicos y su reglamento.
 Informar al suscriptor de sus deberes y responsabilidades con
respecto al uso del cer ficado.
 Emi r el cer ficado de acuerdo con la información suministrada en la solicitud de cer ficado.
La CA emisora ene la responsabilidad de:
 Validar la iden dad de la RA que remite las solicitudes.
 Validar la información suministrada en la solicitud.
 Emi r el cer ficado de acuerdo con la información suministrada en la solicitud.
 Enviar el cer ficado a la RA para que sea entregado al suscriptor.
La RA ene la responsabilidad de:
 Ejecutar el proceso de registro y verificación de iden dad y de
las facultades del solicitante para solicitar un determinado cerficado dependiendo del po de cer ficado.
 Remi r la solicitud de cer ficado digital a la CA emisora, firmada digitalmente.
 Informar al suscriptor de sus deberes y responsabilidades con
respecto al uso del cer ficado.
El solicitante ene las siguientes responsabilidades dependiendo del
po de cer ficado:
80
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
CerƟficados de CA emisora
 Completar el formulario de inscripción de cer ficado y proveer
información correcta y verdadera. Esta información debe presentarse ante la RA, para este caso la DCFD.
 Presentar un documento de iden ficación legalmente aceptado y vigente, así como una personería jurídica vigente (con
menos de un mes de emi da) donde se establezca su relación
como representante legal o apoderado con poderes suficientes
de la empresa o ins tución a cer ficar.
 Generar la solicitud de cer ficado de forma que se demuestre
la posesión de la llave privada correspondiente a la llave pública entregada, cumpliendo lo es pulado en el apartado 3.2.1.
 Firmar el acuerdo de suscriptor.
CerƟficados de firma digital y autenƟcación de persona İsica
 Completar el formulario de inscripción de cer ficado y proveer
información correcta y verdadera.
 Presentar un documento de iden ficación legalmente aceptado y vigente.
 Ingresar confidencialmente la “frase de desa o” (“challenge
phrase”), que será requerida en el proceso de revocación del
cer ficado.
 Generar la solicitud de cer ficado de forma que se demuestre
la posesión de la llave privada correspondiente a la llave pública entregada, cumpliendo con lo dispuesto en el apartado
3.2.1.
 Firmar el acuerdo de suscriptor.
CerƟficados de sello electrónico y agente electrónico de persona
jurídica
 Completar el formulario de inscripción de cer ficados y proveer información correcta y verdadera.
 Presentar un documento de iden ficación legalmente aceptado y vigente, así como una personería jurídica con menos de
un mes de emi da, o los documentos legales suficientes que
81
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
garan cen su relación como personero o representante con facultades suficientes de la persona jurídica solicitante. Para los
cer ficados de agente electrónico, en el caso de requerir que
uno o varios nombres DNS formen parte del campo nombre
alterna vo del sujeto (Subject Alterna ve Name o SAN por sus
siglas en inglés) es necesario que el personero o representante con facultades suficientes de la persona jurídica solicitante,
presente evidencia de que el nombre de dominio solicitado
está registrado a nombre de la persona jurídica que representa
(ver sección 7.1.2.3).
 Generar la solicitud de cer ficado cumpliendo con el apartado
3.2.1 de este CP y presentarla ante la CA, con lo que se demuestra la posesión de la llave privada correspondiente a la llave
pública entregada.
 Firmar el acuerdo de suscriptor.
CerƟficados de Autoridad de Sellado de Tiempo (TSA)
 Completar el formulario de inscripción de cer ficado y proveer
información correcta y verdadera ante la DCFD.
 Cumplir con todas las responsabilidades señaladas anteriormente para solicitante de cer ficados de sello electrónico y
agente electrónico de persona jurídica.
4.2
Procesamiento de la solicitud de cerƟficado
4.2.1 Ejecución de las funciones de idenƟficación y autenƟcación
CerƟficados de CA emisora y de autoridad de sellado de Ɵempo
La encargada de estas funciones es la DCFD, en dad que debe velar
por el cumplimiento de la iden ficación y la auten cación de acuerdo
con las disposiciones establecidas en la sección 3.2.
CerƟficados de firma digital y autenƟcación de persona İsica o cerƟficados de sello electrónico y agente electrónico de persona jurídica
La encargada de estas funciones es la autoridad de registro (RA), o
donde aplique la CA, que debe velar por el cumplimiento de la iden fi-
82
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
cación y la auten cación de acuerdo con las disposiciones establecidas
en la sección 3.2.
4.2.2 Aprobación o rechazo de solicitudes de cerƟficado
CerƟficados de CA emisora y de autoridad de sellado de Ɵempo
(TSA)
La DCFD debe administrar y supervisar el proceso de cer ficación, en
par cular lo concerniente a la aceptación o rechazo de las aplicaciones
para cer ficados de autoridad cer ficadora.
Para optar por un cer ficado de autoridad cer ficadora, la CA solicitante debe cumplir con todos los requisitos establecidos en la Ley 8454,
su Reglamento y demás lineamientos establecidos por la DCFD.
CerƟficados de firma digital y autenƟcación de persona İsica o cerƟficados de sello electrónico y agente electrónico de persona jurídica
La RA debe rechazar cualquier solicitud de cer ficado que no cumpla con la Ley, su Reglamento y demás lineamientos establecidos por la
DCFD. Asimismo, la CA emisora debe rechazar cualquier solicitud proveniente de una RA que no cumpla con los requisitos para la emisión del
cer ficado.
4.2.3 Tiempo para procesar solicitudes de cerƟficado
El empo de procesamiento de solicitudes de cer ficados ( empo
entre la solicitud emi da a la CA y la emisión del cer ficado al suscriptor) de persona sica, cuando el proceso se realice en forma automá ca,
no debe ser mayor a diez minutos.
En cualquier otro caso, las CA y RA procesarán las solicitudes de cerficados dentro de un empo razonable, a menos que se especifiquen
otros parámetros en el acuerdo de suscriptor, en la CPS o en otros acuerdos entre los par cipantes.
83
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
4.3
Emisión de cerƟficado
4.3.1 Acciones de la CA durante la emisión de cerƟficados
CerƟficados de CA y cerƟficados de autoridad de sellado de Ɵempo
(TSA)
La CA debe verificar que el solicitante cumple con los requisitos de
esta polí ca, con las normas técnicas y con la legislación aplicable.
CerƟficados de firma digital y autenƟcación de persona İsica o cerƟficados de sello electrónico y agente electrónico de persona jurídica
La CA debe verificar que las solicitudes de cer ficado provengan de
RAs autorizadas. Una vez creado el cer ficado, la CA debe remi rlo a la
RA desde la cual ingresó la solicitud.
4.3.2 NoƟficación al suscriptor por parte de la CA sobre la emisión del
cerƟficado
CerƟficados de CA emisora y cerƟficados de autoridad de sellado
de Ɵempo (TSA)
La DCFD debe no ficar a la CA emisora o la TSA solicitante sobre la
emisión del cer ficado, de acuerdo a los procedimientos definidos para
tales efectos.
CerƟficados de firma digital y autenƟcación de persona İsica
En este caso, la entrega del cer ficado es presencial por lo tanto la
no ficación es inmediata.
CerƟficados de sello electrónico y agente electrónico de persona
jurídica
Cuando las circunstancias lo permitan, la RA, o donde aplique la CA,
entregará los cer ficados en forma presencial, en cuyo caso la no ficación será inmediata. En cualquier otro caso, la no ficación se realizará
de acuerdo a los procedimientos definidos para tales efectos.
84
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
4.4
Aceptación de cerƟficado
4.4.1 Conducta consƟtuƟva de aceptación de cerƟficado
CerƟficados de CA emisora y cerƟficados de autoridad de sellado
de Ɵempo (TSA)
El proceso de instalación del cer ficado respec vo por parte de la CA
emisora o TSA solicitante, cons tuirá la aceptación del cer ficado.
CerƟficados de firma digital y autenƟcación de persona İsica
El cer ficado se da por aceptado cuando la persona firma digitalmente un comprobante de aceptación del cer ficado entregado, esta es
la primera vez que se usa y permite al suscriptor verificar que el cer ficado está funcionando correctamente.
CerƟficados de sello electrónico y agente electrónico de persona
jurídica
El proceso de instalación de los cer ficados respec vos por parte de
la persona jurídica que u liza los cer ficados, cons tuirá la aceptación
de los cer ficados.
4.4.2 Publicación del cerƟficado por la CA
La CA no debe publicar información de los cer ficados emi dos en
los repositorios de acceso público.
4.4.3 NoƟficación de la emisión del cerƟficado por la CA a otras enƟdades
No se definen en dades externas que necesiten o requieran ser noficadas acerca de los cer ficados emi dos por las CA.
85
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
4.5
Uso del par de llaves y del cerƟficado
4.5.1 Uso de la llave privada y del cerƟficado por el suscriptor
El uso de la llave privada correspondiente a la llave pública contenida
en el cer ficado solamente debe ser permi do una vez que el suscriptor haya aceptado el cer ficado emi do. Dicho uso debe realizarse en
concordancia con la norma va aplicable, lo es pulado en este CP, y los
contratos de suscriptor respec vos.
Los suscriptores deben proteger sus llaves privadas del uso no autorizado y deben descon nuar su uso después de la expiración o revocación del cer ficado.
CerƟficados de CA
•
•
•
CA raíz: la llave privada sólo puede ser u lizada para firmar cerficados de CA de polí cas.
CA polí cas: Las CA de polí cas son CA emisoras cuya llave privada únicamente puede ser u lizada para firmar cer ficados
de CA emisoras subordinadas (SubCa) y autoridades cer ficadoras de sellado de empo.
CA emisora de persona sica o persona jurídica: la llave privada
solo debe ser u lizada para firmar cer ficados de auten cación
y firma digital de personas sicas o cer ficados de sello electrónico y agente electrónico de personas jurídicas.
CerƟficados de firma digital y autenƟcación de persona İsica
El uso que se le dé a los cer ficados de persona sica debe ser acorde con lo dispuesto en la sección 6.1.7.
86
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
CerƟficados de sello electrónico de persona jurídica
Los cer ficados de sello electrónico serán u lizados para actos de la
persona jurídica suscriptora, salvo aquellos casos donde se determine
su inadmisibilidad legal o administra va. Dichos actos generan responsabilidad de conformidad con el Ar culo 10 de la Ley de Cer ficados,
Firmas Digitales y Documentos Electrónicos No. 8454. 6
Cada persona jurídica deberá desarrollar y establecer los mecanismos de seguridad informá ca y de infraestructura sica, así como los
reglamentos, procedimientos o polí cas que considere per nentes para
resguardar y delimitar el uso de dicho cer ficado en su organización.
Las personas jurídicas que hagan uso de los cer ficados de sello
electrónico deberán proveer las herramientas necesarias y adecuadas
para que tanto los ciudadanos como otras administraciones puedan verificar la validez de sus sellos electrónicos.
Con respecto a la u lización de las llaves, el uso que se le dé a los cerficados de sello electrónico debe ser acorde con lo dispuesto la sección
6.1.7.
CerƟficados de agente electrónico de persona jurídica
Con respecto a la u lización de las llaves, el uso que se le dé a los
cer ficados de agente electrónico debe ser acorde con lo dispuesto la
sección 6.1.7.
CerƟficados autoridad de sellado de Ɵempo (TSA)
La llave privada solo debe ser u lizada para prestar el servicio de
sellado de empo.
6
Ar culo 10.– Presunción de autoría y responsabilidad
Todo documento, mensaje electrónico o archivo digital asociado a una firma
digital cer ficada se presumirá, salvo prueba en contrario, de la autoría y responsabilidad del tular del correspondiente cer ficado digital, vigente en el
momento de su emisión.
87
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
4.5.2 Uso de la llave pública y del cerƟficado por la parte que conİa
Las partes que con an deben aceptar las es pulaciones establecidas
en este CP, en lo que les resulte aplicable, como condición indispensable
para confiar en el cer ficado.
La confianza en un cer ficado debe ser razonable, de acuerdo con
las circunstancias. Si las circunstancias indican la necesidad de verificaciones adicionales, la parte que con a debe obtener tales verificaciones
para que la confianza sea considerada razonable.
Antes de cualquier acto de confianza las partes que con an deben
evaluar en forma independientemente:
 La per nencia del uso del cer ficado para cualquier propósito
dado y determinar que la voluntad del cer ficado, de hecho,
sea u lizada para un propósito apropiado que no está prohibido o de otra forma restringido por este CP. Las CA o RA no son
responsables por la evaluación de la per nencia en el uso de
un cer ficado.
 Que el cer ficado sea u lizado de acuerdo con las disposiciones de esta CP (por ejemplo: Si en el cer ficado faltan los
propósitos de firma y no repudio en el atributo de KeyUsage,
entonces el cer ficado no puede ser confiable para validar la
firma de un suscriptor).
 El estado del cer ficado y el estado de todos los cer ficados de
las CA en la cadena que emi eron el cer ficado. Si cualquiera
de los cer ficados en la cadena del cer ficado ha sido revocado, la parte que con a es la única responsable de inves gar si
la confianza en una firma digital efectuada por un suscriptor
antes de la revocación de un cer ficado en la cadena es razonable. Cualquier confianza de este po es asumida únicamente
bajo el riesgo de la parte que con a.
Si se determina que el uso del cer ficado es apropiado, las partes
que con an deben u lizar el hardware y so ware necesario para ejecutar la verificación de la firma digital u otra operación criptográfica que
ellos deseen efectuar, como una condición para confiar en los cer ficados relacionados con tales operaciones.
88
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
4.6
Renovación de cerƟficado
La renovación del cer ficado no está permi da por esta CP, cuando
un cer ficado requiera ser renovado debe solicitarse un nuevo cer ficado, de acuerdo con la sección 4.1 de este CP.
4.6.1 Circunstancias para renovación de cerƟficado
No aplica.
4.6.2 Quién puede solicitar renovación
No aplica.
4.6.3 Procesamiento de solicitudes de renovación de cerƟficado
No aplica.
4.6.4 NoƟficación al suscriptor sobre la emisión de un nuevo cerƟficado
No aplica.
4.6.5 Conducta consƟtuƟva de aceptación de un cerƟficado renovado
No aplica.
4.6.6 Publicación por la CA del cerƟficado renovado
No aplica.
4.6.7 NoƟficación por la CA de la emisión de un cerƟficado a otras
enƟdades
No aplica.
89
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
4.7
Re–emisión de llaves de cerƟficado
La re–emisión del cer ficado no está permi da por esta CP, cuando
un cer ficado requiera ser re–emi do debe solicitarse un nuevo cer ficado, de acuerdo con la sección 4.1 de este CP.
4.7.1 Circunstancia para re–emisión de llaves de cerƟficado
No aplica.
4.7.2 Quién puede solicitar la cerƟficación de una nueva llave pública
No aplica.
4.7.3 Procesamiento de solicitudes de re–emisión de llaves de cerƟficado
No aplica.
4.7.4 NoƟficación al suscriptor sobre la reemisión de un nuevo cerƟficado
No aplica.
4.7.5 Conducta consƟtuƟva de aceptación de un cerƟficado reemiƟdo
No aplica.
4.7.6 Publicación por la CA de los cerƟficados reemiƟdos
No aplica.
4.7.7 NoƟficación por la CA de la reemisión de un cerƟficado a otras
enƟdades
No aplica.
90
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
4.8
Modificación de cerƟficados
4.8.1 Circunstancias para modificación del cerƟficado
Cuando se requiera la modificación de la información contenida en
un cer ficado debe revocarse y realizar una solicitud para un nuevo cerficado, de acuerdo con la sección 4.1.
4.8.2 Quién puede solicitar modificación del cerƟficado
No aplica.
4.8.3 Procesamiento de solicitudes de modificación del cerƟficado
No aplica.
4.8.4 NoƟficación al suscriptor de la emisión de un nuevo cerƟficado
No aplica.
4.8.5 Conducta consƟtuƟva de aceptación del cerƟficado modificado
No aplica.
4.8.6 Publicación por la CA de los cerƟficados modificados
No aplica.
4.8.7 NoƟficación por la CA de emisión de cerƟficado a otras enƟdades
No aplica.
4.9
Revocación y suspensión de cerƟficado
4.9.1 Circunstancias para la revocación
CerƟficados de CA:
91
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
 A pe ción de la CA que considera o sospecha que su llave privada fue comprome da.
 Iden ficación o componentes de afiliación inválidos.
 Violación del acuerdo de suscriptor.
 Insolvencia, cese de ac vidades, quiebra o liquidación de la CA.
 Se comprueba la expedición de cer ficados falsos.
 Reincidencia en cualquiera de las infracciones que le hayan
merecido una sanción de suspensión, dentro de los cinco años
siguientes.
 Cuando se enen razones para creer que el cer ficado no fue
emi do de acuerdo a los lineamientos de la CP aplicable.
 Cuando se determina que los pre–requisitos para la emisión del
cer ficado no fueron sa sfechos.
CerƟficados de firma digital y autenƟcación de persona İsica, de
sello electrónico y agente electrónico de persona jurídica, y de sellado
de Ɵempo:
 A pe ción del suscriptor, a favor de quién se expidió, quién ene razones o sospechas para creer que su llave privada ha sido
comprome da.
 Cuando se confirme que el suscriptor ha comprome do su
confiabilidad, desatendiendo los lineamientos de seguridad establecidos, suplido información falsa al cer ficador u omi do
otra información relevante, con el propósito de obtener o re–
emi r el cer ficado.
 Por fallecimiento (en el caso de persona sica), ausencia legalmente declarada, interdicción o insolvencia.
 Cuando el suscriptor finaliza el contrato por voluntad propia.
 Por errores de información del cer ficado, por ejemplo el nombre del suscriptor o alguno de los atributos.
 El acuerdo entre el suscriptor y la CA emisora se ha terminado.
 Cuando se enen razones para creer que el cer ficado no fue
emi do de acuerdo a los lineamientos de la CP aplicable.
 Cuando se determina que los pre–requisitos para la emisión del
cer ficado no fueron sa sfechos.
 Cuando la información incluida dentro del cer ficado es incorrecta o ha cambiado.
 Para el caso de los cer ficados de persona jurídica, cuando ven-
92
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
za el plazo social de la persona jurídica o cuando la misma sea
disuelta.
Adicionalmente, cuando se determine que el uso del cer ficado
atenta contra la seguridad del Sistema Nacional de Cer ficación Digital.
Esto se determinará con base en la legislación aplicable, la naturaleza y
el número de denuncias recibidas, la iden dad del denunciante, y cualquier otra que la DCFD determine.
4.9.2 Quién puede solicitar revocación
De pleno derecho el suscriptor del cer ficado puede solicitar la revocación de su cer ficado, ya sea por voluntad propia o por compromiso
de su llave privada. En caso de sospecha o compromiso de su llave privada, la no ficación debe realizarla en forma inmediata a la CA correspondiente.
Para todos los casos, la CA emisora del cer ficado y la autoridad judicial competente pueden solicitar la revocación del cer ficado.
Asimismo, pueden solicitar la revocación los siguientes par cipantes según el po de cer ficado:
Para cerƟficados de CA emisora o TSA
 El representante legal o apoderado con poderes suficientes de
la CA emisora o TSA.
 La DCFD.
sica
Para cerƟficados de firma digital y autenƟcación de persona İ-
 El Tribunal Supremo de Elecciones, en caso de fallecimiento.
Para cerƟficados de sello electrónico y agente electrónico de
persona jurídica
 El personero o representante con facultades suficientes de la
persona jurídica suscriptora del cer ficado (por ejemplo el tramitador de cer ficados digitales de persona jurídica vigente y
93
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
debidamente registrado ante el Registro Nacional).
 El Registro Nacional, por medio de su registro de personas jurídicas.
Además, cualquier persona puede solicitar la revocación de un cer ficado ante la CA correspondiente presentando evidencia contundente
que revele el compromiso de la llave privada del suscriptor.
4.9.3 Procedimiento para la solicitud de revocación
Verificar que la solicitud de revocación ha sido presentada por el suscriptor del cer ficado o por una autoridad competente, de acuerdo con
la sección 3.4.
Las solicitudes para la revocación de cer ficados de CA emisoras deben ser auten cadas por sus en dades superiores dentro de la jerarquía
nacional de cer ficadores registrados, para asegurar que la revocación
de una CA emisora ha sido solicitada por una en dad autorizada para
tales efectos.
Para los casos donde un suscriptor posea dos o más cer ficados vigentes del mismo po y propósito, la CA emisora tendrá la responsabilidad de brindar al suscriptor la información suficiente que le permita determinar con exac tud cuál de los cer ficados es el que dicho suscriptor
desea revocar, así como de informarle al momento de la revocación del
estado de sus otros cer ficados vigentes.
4.9.4 Periodo de gracia para solicitud de revocación
No se es pulan periodos de gracia para revocación de cer ficados,
salvo los impuestos por la ley para realizar apelaciones.
4.9.5 Tiempo dentro del cual la CA debe procesar la solicitud de revocación
Las solicitudes de revocación deben ser procesadas en un rango de
empo razonable, de acuerdo con el procedimiento para la solicitud de
revocación (ver sección 4.9.3). Cuando la solicitud provenga del suscrip-
94
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
tor y se u licen mecanismos electrónicos automa zados, la revocación
debe realizarse en forma inmediata.
4.9.6 Requerimientos de verificación de revocación para las partes
que conİan
Las partes que con an deben evaluar el estado del cer ficado y el
estado de todos los cer ficados de las CA en la cadena a la que pertenece el cer ficado, antes de confiar en él.
En caso de que cualquiera de los cer ficados en la cadena del cer ficado haya sido revocado, la parte que con a es la única responsable de
inves gar si la confianza en una firma digital efectuada por un suscriptor
antes de la revocación de un cer ficado en la cadena es razonable. Cualquier confianza de este po es asumida únicamente bajo el riesgo de la
parte que con a. Para estos propósitos las partes que con an pueden
verificar el estado del cer ficado mediante el servicio de OCSP o la lista
de revocación más reciente, de acuerdo con su grado de tolerancia al
riesgo.
4.9.7 Frecuencia de emisión de CRL
CA Raíz
La CA Raíz debe actualizar su lista de revocación cada cuatro meses
y cada vez que se presente una revocación del cer ficado de una CA de
Polí cas, en cuyo caso se debe no ficar a las CA subsecuentes.
CA de PolíƟcas
La CA de Polí cas debe actualizar su lista de revocación cada dos
meses y cada vez que se presente una revocación del cer ficado de una
CA emisora, en cuyo caso se debe no ficar a todas las CA emisoras.
CA emisora
La CA emisora debe actualizar y publicar las listas de revocación al
menos una vez a la semana. Además deberá publicar los Delta CRL una
vez al día.
95
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
4.9.8 Latencia máxima para CRLs
La CA o TSA debe publicar la CRL en el repositorio en un plazo no
mayor a dos horas posterior a su generación.
4.9.9 Disponibilidad de verificación de revocación/estado en línea
Todas las CA o TSA deben mantener disponible un repositorio con información del estado de los cer ficados emi dos por ésta, el cual puede
ser accedido vía Web. Adicionalmente, para la CA emisora registrada es
obligatorio implementar el servicio de validación en línea OCSP.
4.9.10 Requerimientos para verificar la revocación en línea
La parte que con a debe verificar el estado de un cer ficado en el
cual desea confiar, u lizando los mecanismos de verificación del estado
de cer ficados establecidos en la sección anterior.
4.9.11 Otras formas de advertencias de revocación disponibles
No se es pulan.
4.9.12 Requerimientos especiales por compromiso de llaves reemiƟdas
La DCFD debe no ficar en el menor empo posible a todos los par cipantes de la jerarquía nacional de cer ficadores registrados acerca del
compromiso de la llave privada de alguna de las CA.
4.9.13 Circunstancias para suspensión
4.9.13.1 Suspensión de cerƟficados para personas İsicas o cerƟficados para de personas jurídicas
De conformidad con el ar culo 14 de la ley 8454 de cer ficados digitales, las circunstancias de suspensión son:
a.
Por pe ción del propio usuario a favor de quién se expidió el
cer ficado.
96
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
b.
c.
d.
Como medida cautelar, cuando el cer ficador que lo emi ó
tenga sospechas fundadas de que el propio usuario haya comprome do su confiabilidad, para obtener el cer ficado.
Si contra el usuario se ha dictado auto de apertura a juicio, por
delitos en cuya comisión se haya u lizado la firma digital.
Por no cancelar oportunamente el costo del servicio.
Para los efectos prác cos se puede implementar la suspensión de
cer ficados de personas sicas o de personas jurídicas, como la anulación técnica del cer ficado, que evite que pueda seguir siendo u lizado
para el propósito de firma por parte del suscriptor. Además, ninguna
CA emisora podrá expedirle un cer ficado de firma o sello electrónico
mientras el estado de suspensión se encuentre vigente. Este aspecto
será determinado por las declaraciones de prác cas de cer ficación o el
acuerdo de suscriptor definido por la CA que emita los cer ficados.
4.9.13.2 Suspensión de una CA
Se puede suspender una CA emisora, si existe una orden judicial o
por decisión de la DCFD, o cuando el ECA acredite que la CA emisora
incumple las obligaciones que le impone la ley 8454 y su reglamento.
Para este caso en par cular el reglamento define la suspensión de la
CA emisora en el ar culo 32, como la imposibilidad para el cer ficador
sancionado de expedir nuevos cer ficados digitales o de renovar los que
expiren durante el plazo de suspensión. Esta suspensión no afectará a
los cer ficados emi dos previamente.
4.9.14 Quién puede solicitar la suspensión
De pleno derecho, el suscriptor del cer ficado puede solicitar la suspensión de su propio cer ficado.
Asimismo, pueden solicitar la suspensión otros par cipantes según
el po de cer ficado:
97
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
CerƟficados de CA y cerƟficados de autoridad de sellado de Ɵempo (TSA)
 El representante legal o apoderado con poderes suficientes de
la CA emisora o TSA.
 El Ente Costarricense de Acreditación.
 La autoridad judicial competente.
 La DCFD.
CerƟficados de firma digital y autenƟcación de persona İsica
 La autoridad judicial competente.
 La CA emisora.
CerƟficados de sello electrónico y agente electrónico de persona
jurídica
 El personero o representante con facultades suficientes de la
persona jurídica suscriptora del cer ficado, o el tramitador de
cer ficados digitales de persona jurídica vigente y debidamente registrado ante el Registro Nacional.
 La autoridad judicial competente.
 La CA emisora.
4.9.15 Procedimiento para la solicitud de suspensión
El procedimiento de suspensión depende del po de cer ficado y
del solicitante de la suspensión, de acuerdo con:
CerƟficados de CA emisora o TSA
 El representante legal o apoderado con poderes suficientes de
la CA emisora debe:
o
Presentar un documento de iden ficación legalmente
aceptado y vigente, así como la personería jurídica vigente (con menos de un mes de emi da) donde se establezca
su relación como representante legal o apoderado con
poderes suficientes de la empresa o ins tución suscriptora del cer ficado.
98
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
o
Implementar los controles y procedimientos para no expedir nuevos cer ficados digitales o de renovar los que
expiren durante el plazo de suspensión.
 Ente Costarricense de Acreditación (ECA)
o
Comunicar a la DCFD el incumplimiento de la acreditación
o de las obligaciones que imponen la ley 8454, Ley de cerficados, firmas digitales y documentos electrónicos y su
reglamento.
 La autoridad judicial competente
o
Remi r a la DCFD la resolución en la que se ordena la suspensión, los alcances y los plazos de la misma.
 La DCFD
o
No ficar a la CA correspondiente las razones por las cuales se le va a suspender.
o
Recibir las pruebas de descargo correspondientes, en
caso de que las hubieran.
o
Comunicar a las CA emisoras la resolución correspondiente.
CerƟficados de firma digital y autenƟcación de persona İsica
 Suscriptor del cer ficado
o
Puede presentarse ante una RA de la CA que emi ó el cerficado y solicitar la suspensión.
o
Puede solicitar la suspensión vía web, proporcionando la
respuesta a la “frase desa o” (challenge phrase) que suministró durante el proceso de aplicación del cer ficado.
o
Puede solicitar la suspensión a través del centro de atención al cliente de la CA que emi ó el cer ficado.
o
Por cualquier otro medio autorizado por la DCFD y que
cumpla con un mecanismo de auten cación robusto.
 La autoridad judicial competente
o
Remi r a la DCFD la resolución en la que se ordena la suspensión, los alcances y los plazos de la misma.
o
La DCFD comunica a la CA emisora respec va, la resolución judicial para suspender el cer ficado de firma digital
emi do para el suscriptor en cues ón.
 La CA emisora
o
Contar con las jus ficaciones para emi r la suspensión.
99
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
o
o
Si la suspensión es recurrida ante la Dirección de Cer ficadores de Firma Digital, la CA emisora debe esperar la
resolución de la DCFD para suspender el cer ficado.
Si fuera el caso, se procede con la suspensión (o revocación) del cer ficado.
CerƟficados de sello electrónico y agente electrónico de persona
jurídica
 El personero o representante con facultades suficientes de la
persona jurídica suscriptora del cer ficado, o el tramitador de
cer ficados digitales de persona jurídica vigente y debidamente registrado ante Registro Nacional debe:
o
Presentar ante la autoridad de registro correspondiente,
la documentación que lo acredita como personero o representante con facultades suficientes o tramitador de
cer ficados digitales de la persona jurídica.
o
Solicitar la suspensión del cer ficado.
 La autoridad judicial competente:
o
Remi r a la DCFD la resolución en la que se ordena la suspensión, los alcances y los plazos de la misma.
 La CA emisora:
o
Contar con las jus ficaciones para emi r la suspensión.
o
Si la suspensión es recurrida ante la Dirección de Cer ficadores de Firma Digital, la CA emisora debe esperar la
resolución de la DCFD para suspender el cer ficado.
o
Si fuera el caso, se procede con la suspensión (o revocación) del cer ficado.
4.9.16 Límites del periodo de suspensión
De acuerdo con el ar culo 8 del reglamento de la Ley 8454 de cerficados, firmas digitales y documentos electrónicos, la suspensión (o
revocación) se mantendrá por todo el plazo en que subsista la causal
que le dio origen.
100
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
4.10
Servicios de estado de cerƟficado
4.10.1 CaracterísƟcas operacionales
El estado de los cer ficados debe estar disponible a través de los
CRL publicados en un si o Web (en el URL especificado en el CP) y para
las CA emisoras de cer ficados de firma digital de personas sicas, es
obligatorio implementar un servicio OCSP.
4.10.2 Disponibilidad del servicio
La CA debe mantener los servicios de verificación del estado de los
cer ficados disponibles 24 x 7 x 365.
4.10.3 CaracterísƟcas opcionales
El servicio OCSP, que permite consultar el estado de cer ficados es
una caracterís ca opcional para la CA de la Raíz y las CAs de polí cas. Sin
embargo, para las CA emisoras cons tuye una caracterís ca obligatoria.
4.11
Finalización de la suscripción
Un suscriptor puede finalizar su suscripción de las siguientes formas:
 Revocando su cer ficado antes del vencimiento (fecha de expiración).
 Cuando expira el cer ficado.
4.12
Custodia y recuperación de llave
4.12.1 PolíƟca y prácƟcas de custodia y recuperación de llave
La CA no debe custodiar llaves de suscriptores para ningún cer ficado cuyo propósito sea de firma digital, únicamente se man enen respaldos de sus propias llaves privadas de acuerdo con el Plan de Con nuidad
de Negocio.
Para los efectos de Plan de Con nuidad de Negocio, las llaves privadas de las CA deben estar en custodia y respaldadas bajo estrictas
101
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
normas de seguridad, y almacenadas en disposi vos criptográficos FIPS
140–2 nivel 3, que garan zan la no divulgación de las llaves.
4.12.2 PolíƟcas y prácƟcas de recuperación y encapsulación de llave de
sesión
Sin es pulaciones para esta sección.
5.
Controles operacionales, de gesƟón y de instalaciones
La Autoridad Cer ficadora Raíz man ene controles de seguridad no–
técnicos (esto es, controles sicos, procedimientos y de personal) para
asegurar la ejecución de las funciones de generación de llave, auten cación de los sujetos, emisión del cer ficado, revocación del cer ficado,
auditoría y almacenamiento.
5.1
Controles İsicos
5.1.1 Localización y construcción del siƟo
Las operaciones de la CA deben estar dentro de un ambiente de protección sica que impida y prevenga usos o accesos no autorizados o
divulgación de información sensible.
Las instalaciones de la CA deben contar con al menos cuatro perímetros de seguridad sica (área de recepción, área de servicios de soporte– clima zación, energía, comunicaciones, etc.–, área de operación de
la CA, área de custodia de material criptográfico). Un perímetro es una
barrera o entrada que provee un control de acceso para individuos y
requiere una respuesta posi va para proceder a ingresar a la siguiente
área. Cada perímetro sucesivo se encuentra más restringido, con controles de acceso más estrictos.
Las instalaciones donde se crean los cer ficados de la CA se deben
proteger con su propio y único perímetro sico, y las barreras sicas
(paredes, barrotes) deben ser sólidas, extendiéndose desde el piso real
al cielo raso real. Asimismo, estas barreras deben prevenir las emisiones
de radiación electromagné ca.
102
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
5.1.2 Acceso İsico
Los controles de acceso sico deben evitar el acceso no autorizado
a las instalaciones de la CA. Adicionalmente, el acceso al recinto donde
se encuentran las operaciones de la autoridad cer ficadora debe u lizar
controles con 2 factores de auten cación como mínimo (al menos uno
de ellos debe ser biométrico).
Cuando las instalaciones operacionales de la CA estén desocupadas,
deben estar cerradas con llave y con las alarmas debidamente ac vadas.
Los perímetros deben ser auditados y controlados para verificar que
solo puede tener acceso el personal autorizado debidamente iden ficado.
Los derechos de acceso a las instalaciones de la CA deben revisarse
y actualizarse regularmente, al menos cada seis meses o cuando se presente movimiento en el personal relacionado con labores de operación
de la CA.
Los visitantes o personal de servicio de soporte tercerizado que requiera acceso a las instalaciones operacionales de la CA, deben ser escoltados y registrarse el responsable de autorizar el acceso, la fecha y
hora de entrada y salida.
5.1.3 Energía y aire acondicionado
El equipo de la autoridad cer ficadora debe protegerse contra fallas
en el fluido eléctrico corriente y otras anomalías en la energía.
Las instalaciones de la CA deben estar equipadas con sistemas de
energía primario y de respaldo para asegurar con nuidad del fluido
eléctrico.
Las instalaciones deben contar con sistemas de aire acondicionado
redundantes. El equipo instalado para clima zar el recinto, debe ser capaz de controlar la humedad rela va del mismo.
103
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
5.1.4 Exposiciones al agua
Las instalaciones de la CA deben ser construidas y equipadas, y contar con procedimientos implementados para prevenir inundaciones y
otros daños por exposición al agua.
5.1.5 Prevención y protección contra fuego
Las instalaciones de la CA deberán contar con procedimientos implementados para la prevención y protección al fuego. Además de ser
construidas y equipadas para prevenir, detectar y suprimir incendios o
daños producidos por la exposición a llamas o humo.
5.1.6 Almacenamiento de medios
La CA debe asegurar el adecuado manejo y protección de los medios de almacenamiento de información, que contengan datos crí cos o
sensi vos del sistema, contra daños accidentales (agua, fuego, electromagne smo) y debe impedir, detectar y prevenir su uso no autorizado,
acceso o su divulgación.
5.1.7 Eliminación de residuos
La CA debe implementar controles para la eliminación de residuos
(papel, medios, equipos y cualquier otro desecho) con el fin de prevenir
el uso no autorizado, el acceso o divulgación de información privada y
confidencial contenida en los desechos.
5.1.8 Respaldo fuera de siƟo
La CA debe mantener respaldos de los datos crí cos del sistema y de
cualquier otra información sensi va, incluyendo los datos de auditoría,
en una instalación segura fuera del si o principal.
5.2
Controles procedimentales
5.2.1 Roles de confianza
Los empleados, contra stas y consultores designados para ges onar
104
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
la infraestructura de confianza deben ser considerados “personas de
confianza” sirviendo en “roles de confianza”.
Los roles de confianza deben incluir, al menos, roles que contemplen
las siguientes responsabilidades:
a.
b.
c.
d.
e.
f.
g.
responsabilidad general de administrar la implementación de
las prác cas de seguridad de la CA;
aprobación de la generación, revocación y suspensión de los
cer ficados;
instalación, configuración y mantenimiento de los sistemas de
la CA;
operación diaria de los sistemas de la CA, respaldo y recuperación de sistemas;
funciones de auditoria interna para ejecutar la inspección y
mantenimiento de las bitácoras del sistema de la CA y de los
registros de auditoría;
funciones de ges ón del ciclo de vida de llaves criptográficas
(ejemplo, custodios de componentes de llaves);
desarrollo de sistemas de la CA.
5.2.2 Número de personas requeridas por tarea
La CA debe establecer, mantener y ejecutar procedimientos de control rigurosos para asegurar la segregación de funciones, basados en las
responsabilidades del trabajo y la can dad de personas de confianza
que ejecutan las tareas sensi vas.
5.2.3 IdenƟficación y autenƟcación para cada rol
La CA debe confirmar la iden dad y autorización de todo el personal
que intente iniciar labores de confianza. La auten cación de la iden dad
debe incluir la presencia sica de la persona y una verificación por medio de documentos vigentes de iden ficación legalmente reconocidos,
tales como la cédula de iden dad para los ciudadanos costarricenses, o
el documento único de permanencia, en caso de extranjeros.
105
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
5.2.4 Roles que requieren separación de funciones
Los roles que requieren separación de los deberes incluyen (pero no
está limitado) a los encargados de ejecutar las siguientes responsabilidades:
 La validación de información en aplicaciones de cer ficado y de
solicitudes o información del suscriptor.
 La aceptación, rechazo, otros procesamientos de la aplicación
de cer ficado, solicitud de revocación, información de afiliación.
 La emisión, o revocación de los cer ficados, incluyendo personal con acceso a porciones restringidas del repositorio.
 La generación, emisión o destrucción de los cer ficados de la
CA.
 La puesta en operación de la CA en producción.
 La auditoría interna de la operación de la CA y RA debe ser ejecutada por un rol par cular.
5.3
Controles de personal
5.3.1 Requerimientos de experiencia, capacidades y autorización
Las personas seleccionadas para laborar en roles de confianza deben
contar con un contrato y deben:
 Haber aprobado exitosamente el programa de entrenamiento
apropiado.
 Haber demostrado capacidad para ejecutar sus deberes.
 Haber aceptado las cláusulas de confidencialidad.
 No poseer otros deberes que puedan interferir o causar conflicto con los de la CA.
 No tener antecedentes de negligencia o incumplimiento de labores.
 No tener antecedentes penales.
5.3.2 Procedimientos de verificación de antecedentes
La CA debe contar con procedimientos para verificar la experiencia y
106
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
los antecedentes del personal que intenta obtener un rol de confianza.
Algunos aspectos de la inves gación de antecedentes incluyen:





Confirmación de empleos anteriores.
Verificación de referencias profesionales.
Título académico obtenido.
Búsqueda de antecedentes criminales.
Verificación de registros financieros y credi cios.
La verificación de registros financieros y credi cios debe ser repe da
para el personal de confianza al menos una vez cada tres años.
Los antecedentes deben ser evaluados por la CA para tomar las acciones que sean razonables, de acuerdo al po, magnitud y frecuencia
del comportamiento descubierto por la inves gación respec va. Los
factores revelados en el proceso de verificación pueden ser considerados como mo vos para re rar al funcionario del puesto de confianza.
5.3.3 Requerimientos de capacitación
Todo el personal involucrado en las operaciones de la CA debe estar
capacitado apropiadamente, en aspectos tales como: operación del software y hardware, polí cas y procedimientos organizacionales, procedimientos de seguridad y operacionales, y las es pulaciones legales.
5.3.4 Requerimientos y frecuencia de re–capacitación
La CA debe capacitar al personal cuando se presenten cambios significa vos en las operaciones de la CA, por ejemplo cuando se producen
actualizaciones de hardware o so ware, cambios en los sistemas de seguridad, etc.
La CA debe proveer los programas de entrenamiento y actualización
a su personal para asegurar que el personal man ene el nivel requerido
de eficiencia para ejecutar sus labores sa sfactoriamente.
5.3.5 Frecuencia y secuencia en la rotación de las funciones
La CA debe efectuar una rotación de sus roles de trabajo. La frecuen-
107
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
cia de la rotación del personal debe ser al menos:
 una vez cada tres años, para la CA emisora.
 una vez cada cinco años, para la CA Raíz.
Antes de asumir las nuevas labores, el personal debe recibir a una
actualización de la capacitación que le permita asumir las tareas sa sfactoriamente.
5.3.6 Sanciones para acciones no autorizadas
La CA debe ejecutar las acciones administra vas y disciplinarias
apropiadas contra el personal que violente las normas de seguridad establecidas en esta polí ca o su CPS, de acuerdo a lo es pulado en el
contrato de trabajo definido para los roles de confianza. Además debe
llevar un registro de la frecuencia y severidad de las acciones, con el fin
de determinar la sanción que debe ser aplicada.
5.3.7 Requerimientos para contraƟstas independientes
La CA puede contratar personal externo o consultores solamente si
existe una relación claramente definida con el contra sta y bajo las siguientes condiciones:
 existe un contrato con cláusulas propias de los roles de confianza y es pula sanciones para las acciones no autorizadas.
 no se posee personal disponible para llenar los roles de confianza contratados.
 los contra stas o consultores cumplen con los mismos requisitos del punto 5.3.1.
 una vez finalizado el servicio contratado se revocan los derechos de acceso.
5.3.8 Documentación suministrada al personal
La CA debe suministrar suficiente documentación al personal para
que ejecute un rol, donde se definen los deberes y procedimientos para
el correcto desempeño de su función.
108
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
5.4
Procedimientos de bitácora de auditoría
La CA debe mantener controles para proveer una seguridad razonable de que:
 los eventos relacionados con el ambiente de operación de la
CA, la ges ón de las llaves y los cer ficados, son registrados
exacta y apropiadamente;
 se man ene la confidencialidad y la integridad de los registros
de auditoría vigentes y archivados;
 los registros de auditoría son archivados completa y confidencialmente;
 los registros de auditoría son revisados periódicamente por
personal autorizado.
5.4.1 Tipos de eventos registrados
La CA debe registrar los pos de eventos que se presentan en sus
operaciones. La CA debe mantener las bitácoras manuales o automá cas, indicando para cada evento la en dad que lo causa, la fecha y hora
del mismo. La CA debe registrar los eventos relacionados con:






la ges ón del ciclo de vida de las llaves de la CA;
la ges ón del ciclo de vida del disposi vo criptográfico;
la ges ón del ciclo de vida del sujeto de cer ficado;
la información de solicitud de cer ficados;
la ges ón del ciclo de vida del cer ficado;
los eventos sensibles de seguridad;
Las bitácoras de auditoría no deben registrar las llaves privadas de
ninguna forma y los relojes del sistema de cómputo de la CA deben estar
sincronizados con el servicio de empo UTC–6 para un registro exacto
de los eventos.
5.4.2 Frecuencia de procesamiento de la bitácora
El personal de la CA emisora con el rol de auditor debe realizar al menos tres revisiones por año de las bitácoras de auditoría, sin necesidad
de ser avisadas; mientras que la CA de la Raíz debe realizar al menos una
revisión anual de las bitácoras.
109
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
Además de las revisiones oficiales, las bitácoras de auditoría deben
ser revisadas en respuesta a una alerta, por irregularidades o incidentes
dentro de los sistemas de la CA.
El procesamiento de la bitácora de auditoría consiste en una revisión
de las bitácoras y la documentación de los mo vos para los eventos significa vos, y todas las acciones deben ser documentadas.
Las bitácoras de auditorías actuales y archivadas deben ser recuperadas solamente por personal autorizado, ya sea por razones válidas del
negocio o por seguridad.
5.4.3 Periodo de retención para la bitácora de auditoría
Las bitácoras de auditoría deben ser mantenidas en el sistema por al
menos dos meses posterior a su procesamiento y deber ser archivadas
de acuerdo a la sección 5.5.2.
5.4.4 Protección de bitácora de auditoría
Las bitácoras de auditorías actuales o archivadas deben mantenerse
de forma que se prevenga su revelación, modificación, destrucción no
autorizada o cualquier otra intromisión.
5.4.5 Procedimientos de respaldo de bitácora de auditoría
La CA debe mantener copias de respaldo de todos los registros auditados.
5.4.6 Sistema de recolección de auditoría (interno vs. externo)
Los procesos de auditoría de seguridad deben ejecutarse independientemente y no deben, de ninguna forma, estar bajo el control de la
CA, los procesos de auditoría deben ser invocados al iniciar el equipo y
terminarlos solo cuando el sistema es apagado.
En caso de que el sistema automa zado de auditoría falle, la operación de la CA debe cesar hasta que las capacidades de auditoría puedan
ser reestablecidas.
110
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
5.4.7 NoƟficación al sujeto que causa el evento
Cuando un evento es almacenado por la bitácora, no se requiere noficar al causante de dicho evento.
5.4.8 Evaluación de Vulnerabilidades
La CA y el personal opera vo deben estar vigilantes de intentos para
violar la integridad del sistema de generación de cer ficados, incluyendo equipo, localización sica y personal. Las bitácoras deben ser revisadas por un auditor de seguridad para los eventos que poseen acciones
repe vas, solicitudes para información privilegiada, intentos de acceso
al sistema de archivos y respuestas no auten cadas.
Los equipos donde se ejecutan las operaciones de la CA emisora deben someterse a análisis semestrales de vulnerabilidades.
5.5
Archivado de registros
5.5.1 Tipos de registros archivados
La CA debe almacenar los registros para establecer la validez de una
firma y de la operación propia de la infraestructura PKI. Se deben archivar los siguientes datos:
Durante la inicialización del sistema de la CA:
 la acreditación de la CA (si es necesaria);
 el CP y el CPS;
 cualquier acuerdo contractual para establecer los límites de la
CA;
 la configuración del sistema.
Durante la operación de la CA:
 modificaciones o actualizaciones de cualquiera de los ítems anteriores;
 solicitudes de cer ficados o de revocación;
 documentación para auten car la iden dad del suscriptor;
111
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
 documentación de recepción y aceptación del cer ficado;
 documentación de recepción de disposi vos de almacenamiento de llaves;
 todos los cer ficados y CRLs (información de revocación) tanto
emi dos o publicados;
 bitácoras de auditoría;
 otros datos o aplicaciones para verificar el contenido de los archivos;
 todos los trabajos comunicados o relacionados a polí cas, otras
CA y cumplimiento de auditoría.
5.5.2 Periodos de retención para archivo
Todos los archivos deben mantenerse por un periodo de al menos
diez años. Además de mantener los controles para que los archivos puedan ser leídos durante el periodo de retención definido.
5.5.3 Protección de archivo
Los archivos no deben modificarse o eliminarse por alguna operación no autorizada del equipo de la CA. La CA debe mantener la lista de
personas autorizadas a mover los registros a otros medios.
Los medios de almacenamientos deben estar guardados en instalaciones seguras, los registros deben ser e quetados con un nombre disn vo, la fecha y hora de almacenamiento y la clasificación del po de
información.
5.5.4 Procedimientos de respaldo de archivo
La CA debe mantener procedimientos adecuados de respaldo de
archivos ( sicos y electrónicos), tanto en el si o principal como en el
alterno, que aseguren la disponibilidad de los mismos, de acuerdo a un
análisis de riesgos determinado por los factores de operación de la CA.
5.5.5 Requerimientos para sellado de Ɵempo de registros
Los cer ficados, las listas de revocación (CRL) y otras entradas en
la bases de datos de revocación debe contener información de fecha y
112
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
hora. Esta información de fecha y hora no necesita tener una base criptográfica, pero si debe estar sincronizada con el servicio de empo de la
UTC–6.
5.5.6 Sistema de recolección de archivo (interno o externo)
Los sistemas de archivos de la CA son internos al ámbito de sus operaciones y deben conservar las pistas de auditoría.
5.5.7 Procedimientos para obtener y verificar la información archivada
Solamente el personal de confianza autorizado está habilitado para
obtener acceso al archivo. La CA debe realizar pruebas de restauración
de la información archivada al menos una vez al año. La integridad de la
información debe ser verificada cuando es restaurada.
5.6
Cambio de llave
La CA debe cambiar periódicamente sus llaves de firma, de acuerdo
con los años de validez de sus cer ficados en la jerarquía nacional de
cer ficadores registrados ( empo de uso) y considerando que el úl mo cer ficado otorgado debe poder ser verificado durante su vigencia
( empo operacional), tal como se muestra en el siguiente cuadro:
Nivel de
jerarquía
Cer ficado
de
suscriptores
Tiempo
máximo
de uso en
años
4
Tiempo
operacional
en años
4
Descripción
El cer ficado emi do al usuario es otorgado
por un máximo de 4 años, al finalizar ese periodo pierde su validez.
113
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
CA emisoras
Tiempo
máximo
de uso en
años
8
CA Polí cas
12
24
CA Raíz
24
48
Nivel de
jerarquía
Tiempo
operacional
en años
12
Descripción
A la CA emisora se le otorga un cer ficado
con una validez de máximo 8 años, durante
ese periodo puede emi r cer ficados a los
usuarios o suscriptores. Sin embargo el úl mo cer ficado emi do antes de vencer su
validez, debe tener la misma efec vidad, es
decir, cuatro años para el usuario o suscriptor. Entonces su empo de uso es 8 años (con
capacidad para emi r cer ficados de suscriptor), pero dura cuatro años más en operación
para validar las listas de revocación, de ahí
que el empo operacional es por 12 años.
La CA de polí cas ene una validez de máximo 12 años, y el úl mo cer ficado otorgado a
una CA emisora debe garan zar la operación
por doce años más. Por estos mo vos el periodo operacional de la CA de Polí cas debe
ser de al menos 24 años.
Siguiendo el mismo criterio la validez de la
CA Raíz es máximo 24 años, más 24 años que
pueda operar la CA de Polí ca, da como resultado los 48 años de empo operacional para
el cer ficado de la CA Raíz.
Del cuadro anterior, se deduce que en determinado momento puede haber dos cer ficados del mismo nivel y po ac vos, donde el empo de traslape de la vigencia de los cer ficados debe ser de al menos el
empo operacional del cer ficado de un suscriptor.
Los responsables de las CAs tendrán la obligación de garan zar que
el empo máximo de uso en años de los cer ficados de niveles inferiores se ajusta con el empo operacional de todos los niveles superiores.
5.7
Recuperación de desastre y compromiso
5.7.1 Procedimientos para el manejo de incidente y compromiso
La CA debe contar con polí cas y procedimientos formales para el
reporte y atención de incidentes.
114
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
Los funcionarios ejecutando roles de confianza deben velar por la
seguridad de las instalaciones y la CA debe mantener procedimientos
para que estos funcionarios reporten los incidentes.
La CA debe mantener un plan de recuperación de desastres, si el
equipo de la CA es dañado entonces las operaciones de la CA deben
reestablecerse lo más pronto posible, dando prioridad a la capacidad de
revocar cer ficados de suscriptor.
Si la CA no puede ser reestablecida dentro de una semana, entonces su llave se reporta como comprome da y todos sus cer ficados son
revocados. En casos excepcionales, la DCFD puede otorgar extensiones
para la CA.
5.7.2 Corrupción de datos, soŌware y/o recursos computacionales
Posterior a una corrupción de recursos computacionales, so ware o
datos, la CA afectada debe realizar, en forma oportuna, un reporte del
incidente y una respuesta al evento.
5.7.3 Procedimientos de compromiso de llave privada de la enƟdad
La CA debe mantener controles para brindar una seguridad razonable de que la con nuidad de las operaciones se mantenga en caso de
compromiso de las llaves privadas de la CA.
Los planes de con nuidad del negocio de la CA deben referirse al
compromiso o sospecha de compromiso de las llaves privadas de la CA
como un desastre.
En caso de que la llave de la CA se haya comprome do, el superior de la
CA deberá revocar el cer ficado de CA, y la información de la revocación
debe publicarse inmediatamente.
5.7.4 Capacidad de conƟnuidad del negocio después de un desastre
La CA debe contar con un proceso administra vo para desarrollar,
probar, implementar y mantener sus planes de con nuidad del negocio.
115
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
La CA debe desarrollar, probar, mantener e implementar un plan de
recuperación de desastres des nado a mi gar los efectos de cualquier
desastre natural o producido por el hombre. Los planes de recuperación
de desastres se enfocan en la restauración de los servicios de sistemas
de información y de las funciones esenciales del negocio.
El si o alterno debe contar con protecciones de seguridad sica
equivalentes al si o principal.
El si o alterno, deben tener la capacidad de restaurar o recobrar
operaciones esenciales dentro de las vein cuatro horas siguientes al desastre, con al menos soporte para las siguientes funciones: revocación
de cer ficados y publicación de información de revocación.
5.8
Terminación de una CA o RA
En caso de que la terminación de la CA se dé por conveniencia, reorganización, o por otras razones que no estén relacionadas con la seguridad, entonces se deben tomar las previsiones antes de terminar la
CA para evitar el compromiso de toda la infraestructura. En este caso,
puede ser que ningún cer ficado firmado por la CA deba ser revocado.
En caso de que la terminación de la CA esté relacionada con eventos
de seguridad, entonces la CA debe considerarse como una CA comprome da.
Antes de la terminación de la CA, toda la información relacionada
con la operación de la CA deben ser enviados a la DCFD para su custodia.
Cuando se presenta la terminación de una RA, todos los archivos de
datos deben ser enviados a la CA respec va para su custodia.
Si se presenta un compromiso de la llave de la CA o un desastre donde las instalaciones de la CA están sicamente dañadas y todas las copias de las llaves de firma de la CA están destruidos, entonces la CA debe
solicitar que se revoque su cer ficado.
Cada CA o RA debe desarrollar un plan de terminación que minimice
el impacto y la interrupción del servicio provisto a los clientes, suscrip-
116
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
tores y partes que con an. Dicho plan debe darle tratamiento al menos
a los siguientes puntos:
 No ficación a las partes afectadas asumiendo el costo de la
misma.
 Procedimiento de revocación del cer ficados (de la CA, CA subordinadas, los u lizados en RA para sus operaciones, suscriptores, etc. según sea el caso).
 La preservación de toda la información en concordancia con
este CP y la norma va aplicable.
 La con nuación de los servicios de validación de los cer ficados y de soporte a los suscriptores.
 Procedimientos para la eliminación de las llaves privadas y del
hardware que las con ene.
 Disposiciones para la transición de los servicios a una CA sucesora.
6.
Controles técnicos de seguridad
En esta sección se definen las medidas de seguridad tomadas por la
CA para proteger sus llaves criptográficas y los datos de ac vación. La
ges ón de las llaves es un factor crí co que permite asegurar que todas
las llaves privadas están protegidas y solamente pueden ser ac vadas
por personal autorizado.
6.1
Generación e instalación del par de llaves
La CA mantendrá controles para brindar seguridad razonable de que
los pares de llaves de la CA, se generan e instalan de acuerdo con el protocolo definido para la generación de llaves.
6.1.1 Generación del par de llaves
El proceso de generación de llaves ejecutado por la CA previene la
pérdida, divulgación, modificación o acceso no autorizado a las llaves
privadas que son generadas. Este requerimiento aplica para toda la jerarquía nacional de cer ficadores registrados hasta llegar a los suscriptores.
117
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
CerƟficados de CA emisora
La CA debe generar las llaves mediante un proceso seguro por medio del módulo criptográfico de hardware, que cumple como mínimo el
estándar Fips 140–2 nivel 3 y a un procedimiento acorde con la “ceremonia de generación de llaves” definida en el anexo D de la norma INTE/
ISO 21188 “Infraestructura de llave pública para servicios financieros–
Estructura de prác cas y polí cas.”. La CA garan za que la llave privada
de firma nunca permanecerá fuera del módulo donde fue generada, a
menos que se almacene en un mecanismo de recuperación de llaves.
El proceso de generación de llaves de CA debe producir llaves que:
a.
b.
c.
d.
sean apropiadas para la aplicación o propósito des nado y que
sean proporcionales a los riesgos iden ficados;
usen un algoritmo aprobado en este CP, de acuerdo a la sección
7.1.3;
tengan una longitud de llave que sea apropiada para el algoritmo y para el período de validez del cer ficado de la CA, de
acuerdo con la sección 6.1.5 de tamaños de llave;
tomen en cuenta los requisitos del tamaño de llave de la CA
padre (la CA que le emi ó el cer ficado) y subordinada (la CA
que recibe el cer ficado);
CerƟficados de firma digital y autenƟcación de persona İsica
La generación de las llaves de los suscriptores requiere que los módulos de criptogra a asociados cumplan al menos con el estándar Fips
140–2 nivel 2, o bien que posean al menos la cer ficación Common Criteria EAL 4+ en el perfil de protección SSCD po 3.
CerƟficados de sello electrónico y agente electrónico de persona
jurídica
La generación de las llaves de los cer ficados de persona jurídica
requiere que los módulos de criptogra a asociados cumplan al menos
con el estándar Fips 140–2 nivel 3, o bien que posean al menos la cer ficación Common Criteria EAL 4+ en el perfil de protección SSCD po 3.
118
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
CerƟficados de autoridad de sellado de Ɵempo (TSA)
La TSA debe generar las llaves mediante un proceso seguro, con un
módulo criptográfico de hardware, que cumpla al menos con el estándar Fips 140–2 nivel 3.
6.1.2 Entrega de la llave privada al suscriptor
Se debe generar y mantener la llave privada dentro de los límites del
módulo criptográfico, es decir el módulo criptográfico debe generar la
llave privada localmente.
6.1.3 Entrega de la llave pública al emisor del cerƟficado
Las llaves públicas transferidas deben ser entregadas a través de
mecanismos que aseguren que la llave pública no se altera durante el
tránsito.
CerƟficados de CA emisora
La llave pública debe ser entregada mediante un método fuera de
banda, tal como:
 almacenado en un módulo criptográfico de la en dad;
 otros medios seguros que garan cen auten cidad e integridad.
CerƟficados de firma digital y autenƟcación de persona İsica
La llave pública debe ser entregada por la RA a través de medios
legibles por computadoras desde una fuente auten cada;
CerƟficados de sello electrónico y agente electrónico de persona
jurídica
La llave pública debe ser distribuida u lizando uno de los siguientes
métodos:
 medios legibles por computadoras desde una fuente auten cada;
119
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
 almacenado en un módulo criptográfico de la en dad;
 otros medios seguros que garan cen auten cidad e integridad.
CerƟficados de autoridad de sellado de Ɵempo (TSA)
La llave pública debe ser entregada mediante un método fuera de
banda, tal como:
 almacenado en un módulo criptográfico de la en dad;
 otros medios seguros que garan cen auten cidad e integridad.
6.1.4 Entrega de la llave pública de la CA a las partes que conİan
La distribución de la llave pública se realiza a través del cer ficado
digital y del repositorio público respec vo.
6.1.5 Tamaños de llave
El tamaño de las llaves debe ser suficientemente largo para prevenir
que otros puedan determinar la llave privada u lizando cripto–análisis
durante el periodo de uso del par de llaves.
CerƟficados de CA emisora
La llave de la CA raíz debe tener un tamaño mínimo de 4096 bits. La
CA de Polí cas debe mantener llaves con un tamaño mínimo de 2048
bits. Para las CA emisoras debe tener un tamaño de 2048 bits.
CerƟficados de firma digital y autenƟcación de persona İsica y cerƟficados de sello electrónico y agente electrónico de persona jurídica
y de TSA
El tamaño de las llaves para el suscriptor debe ser de 2048 bits. La
longitud de la llave pública que será cer ficada por la CA, debe ser menor o igual al tamaño de la llave privada de firma de la CA.
120
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
6.1.6 Generación de parámetros de llave pública y verificación de calidad
La CA genera y verifica los parámetros de llave pública de acuerdo
con el estándar FIPS 186–2 (Digital Signature Standard–DSS) que define
el cripto–algoritmo u lizado en la generación.
6.1.7 Propósitos de uso de llave (Campo “keyusage” de X.509 v3)
CerƟficados de CA emisora
La CA Raíz únicamente podrá emi r cer ficados de firma para las
Autoridades de Polí cas y para las CRL respec vas. Las CAs de polí cas
únicamente podrán emi r cer ficados de firma a las CA emisoras y para
sus CRLs.
La CA emisora no puede emi r cer ficados con el uso de encripción.
CerƟficados de firma digital y autenƟcación de persona İsica
Los suscriptores tendrán dos cer ficados emi dos uno con el uso de
firma digital y el otro con el uso de auten cación.
 Para firmar: digitalSignature + nonRepudia on
 Para auten carse: digitalSignature + keyEncipherment
CerƟficados de sello electrónico y agente electrónico de persona
jurídica
Los suscriptores tendrán dos cer ficados emi dos uno con el uso de
sello electrónico (firma digital) y el otro con el uso de agente electrónico
(auten cación).
 Para sello electrónico: digitalSignature + nonRepudia on
 Para agente electrónico: digitalSignature + keyEncipherment +
dataEncipherment
121
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
6.2
Controles de ingeniería del módulo criptográfico y protección
de la llave privada
6.2.1 Estándares y controles del módulo criptográfico
CerƟficados de CA emisora
La CA debe mantener controles para asegurar que las llaves privadas de la CA permanecen confidenciales y man enen su integridad y
el acceso al hardware criptográfico de la CA está limitado a individuos
autorizados.
Las llaves privadas de la CA deben ser respaldadas, guardadas y recuperadas por personal autorizado con roles de confianza, u lizando
controles múl ples en un ambiente sicamente seguro.
Las copias de respaldo de las llaves privadas de la CA Raíz deben
estar sujetas al mismo o mayor nivel de controles de seguridad que las
llaves que actualmente están en uso. La recuperación de las llaves de la
CA debe llevarse a cabo de una forma tan segura como el proceso de
respaldo.
El estándar de módulos criptográficos es el “Security Requirements
for Cryptographics Modules” (actualmente FIPS140). Los módulos criptográficos para las CAs Emisoras deben cer ficarse como mínimo con el
FIPS 140–2 nivel 3.
CerƟficados de firma digital y autenƟcación de persona İsica
El suscriptor debe cumplir con los controles definidos en el acuerdo
de suscriptor y u lizar módulos criptográficos basados como mínimo en
el estándar FIPS 140–2 nivel 2, o bien que posean al menos la cer ficación Common Criteria EAL 4+ en el perfil de protección SSCD po 3.
CerƟficados de sello electrónico y agente electrónico de persona
jurídica
Los suscriptores de cer ficados de persona jurídica deben cumplir
con los controles definidos en el acuerdo de suscriptor y u lizar un mó-
122
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
dulo criptográfico basado como mínimo en el estándar FIPS 140–2 nivel
3, o bien que posean al menos la cer ficación Common Criteria EAL 4+
en el perfil de protección SSCD po 3.
CerƟficados de autoridad de sellado de Ɵempo (TSA)
El cer ficado de TSA debe cumplir con los controles definidos en el
acuerdo de suscriptor y u lizar un módulo criptográfico basado como
mínimo en el estándar FIPS 140–2 nivel 3.
6.2.2 Control mulƟ–persona de llave privada (m de n)
CerƟficados de CA emisora
Para la ac vación de la llave privada de firma de la CA se debe u lizar
controles de acceso de múl ples partes (es decir, “m” de “n”) con un
valor mínimo de 3 para “m”.
Si las llaves privadas de la CA son respaldadas, estas deben ser respaldadas, guardadas y recuperadas por personal autorizado con roles
de confianza, u lizando controles múl ples en un ambiente sicamente
seguro. La can dad de personal autorizado para llevar a cabo esta función debe mantenerse al mínimo.
CerƟficados de firma digital y autenƟcación de persona İsica
Sin es pulaciones.
CerƟficados de sello electrónico y agente electrónico de persona
jurídica
Para la ac vación de la llave privada de sello electrónico y/o agente
electrónico de persona jurídica se debe u lizar controles de acceso que
resguarden la llave privada. Una vez ac vado el disposi vo de firma, se
debe mantener resguardado sicamente y monitoreado, para evitar uso
inapropiado.
123
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
CerƟficados de autoridad de sellado de Ɵempo (TSA)
Para la ac vación de la llave privada de firma del TSA se debe u lizar
controles de acceso de múl ples partes (es decir, “m” de “n”) con un
valor mínimo de 3 para “m”. Una vez ac vado el disposi vo de firma
se debe mantener resguardado sicamente y monitoreado, para evitar
otros usos.
6.2.3 Custodia de llave privada
No se deben implementar servicios de custodia de llaves de firmas
emi das a terceros.
6.2.4 Respaldo de llave privada
Los respaldos de llaves privadas de la CA son únicamente para propósitos de recuperación en caso de una con ngencia o desastre. Los
planes de con nuidad del negocio de la CA deben incluir procesos de
recuperación de desastres para todos los componentes crí cos del sistema de la CA, incluyendo el hardware, so ware y llaves, en el caso de
falla de uno o más de estos componentes.
Las copias de respaldo de las llaves privadas de la CA deberían estar
sujetas al mismo o mayor nivel de controles de seguridad que las llaves
que actualmente están en uso. La recuperación de las llaves de la CA
debe llevarse a cabo de una forma tan segura como el proceso de respaldo.
Las llaves privadas de cer ficados de firma digital de los suscriptores
no son respaldadas por ningún mo vo en la CA, y estas permanecen
dentro de los límites de los disposi vos criptográficos donde fueron generadas.
6.2.5 Archivado de llave privada
La CA no archiva la llave privada de ninguno de los suscriptores. En el
caso de la CA, ésta debe archivar su par de llaves (pública y privada) en
forma encriptada en concordancia con las disposiciones de protección
de llaves definidas en este CP, por un plazo acorde con la legislación
aplicable.
124
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
6.2.6 Transferencia de llave privada hacia o desde un módulo criptográfico
Las llaves privadas de la CA son generadas por un módulo criptográfico seguro. En el evento que una llave privada es transportada desde
un módulo criptográfico a otro, la llave privada debe estar encriptada
durante su transporte.
La llave privada usada para encriptar el transporte de la llave privada
debe estar protegida contra divulgación no autorizada.
6.2.7 Almacenamiento de la llave privada en el módulo criptográfico
Los disposi vos criptográficos u lizados para el almacenamiento del
respaldo de las llaves privadas de la CA deben ser guardados de forma
segura, en un si o alterno, para que sean recuperados en el caso de un
desastre en el si o primario
Las partes de la clave secreta o los componentes necesarios para
usar y ges onar los disposi vos criptográficos de recuperación de desastres, deberían estar también guardados con seguridad en una ubicación fuera del si o primario.
Las llaves privadas de la CA deben ser almacenadas y u lizadas dentro de un disposi vo criptográfico seguro que cumpla como mínimo
con el perfil de protección apropiado de los requisitos del estándar FIPS
140–2 nivel 3
6.2.8 Método de acƟvación de llave privada
CerƟficados de CA emisora
Los métodos de ac vación de llaves de la CA están protegidos y para
accederlos se deben contar con mecanismos de auten cación de al menos dos factores de seguridad. Los datos de ac vación deben estar distribuidos en roles de confianza que ejecutan diversas personas.
125
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
CerƟficados de firma digital y autenƟcación de persona İsica
Los métodos de ac vación de llaves para un usuario deben contar
con al menos un factor de seguridad.
CerƟficados de sello electrónico y agente electrónico de persona
jurídica
Los métodos de ac vación de llaves para un usuario deben contar
con al menos un factor de seguridad.
CerƟficados de autoridad de sellado de Ɵempo (TSA)
Los métodos de ac vación de llaves de autoridades de sellado de
empo están protegidos mediante una combinación de al menos dos
factores de seguridad. Los datos de ac vación deben estar distribuidos
en roles de confianza que ejecutan diversas personas.
6.2.9 Método de desacƟvación de llave privada
CerƟficados de CA emisora
Para la CA Raíz y de Polí cas es obligatorio que los módulos criptográficos, los cuales han sido ac vados, no estén desatendidos o abiertos
al acceso no autorizado. Después de usarlos, estos deben ser desac vados manualmente o por un empo de expiración por estado pasivo. Los
módulos de hardware criptográfico deben ser removidos y almacenados
cuando no estén en uso.
En el caso de las CA emisoras los equipos se man enen en línea, para
dichos efectos una vez ac vados los disposi vos criptográficos, estos se
deben mantener monitoreados y protegidos contra accesos no autorizados.
CerƟficados de firma digital y autenƟcación de persona İsica
Sin es pulaciones.
126
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
CerƟficados de sello electrónico y agente electrónico de persona
jurídica
Cuando los equipos que hospedan los cer ficados de persona jurídica se encuentran en línea, estos se deben mantener monitoreados y
protegidos contra accesos no autorizados. Cuando los equipos no estén
en uso entonces los módulos de hardware criptográfico deben ser removidos y almacenados.
CerƟficados de autoridad de sellado de Ɵempo (TSA)
Cuando los equipos que hospedan el cer ficado sellado de empo
se encuentran en línea, estos se deben mantener monitoreados y protegidos contra accesos no autorizados. Cuando los equipos no estén en
uso entonces los módulos de hardware criptográfico deben ser removidos y almacenados.
6.2.10 Método de destrucción de llave privada
El procedimiento para la destrucción de llaves privadas debe incluir
la autorización para destruirla.
CerƟficados de CA emisora
La CA raíz, las CA de polí cas y la CA emisora deben destruir los respaldos de las llaves privadas que han expirado. Para los módulos criptográficos de hardware, estos deben ser limpiados por medio de inicialización de ceros (Zeroize Command).
CerƟficados de firma digital y autenƟcación de persona İsica
Los módulos criptográficos de hardware que hospedan la llave privada deben ser limpiados por medio de inicialización de ceros (Zeroize
Command).
CerƟficados de sello electrónico y agente electrónico de persona
jurídica
Los módulos criptográficos de hardware que hospedan la llave pri-
127
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
vada deben ser limpiados por medio de inicialización de ceros (Zeroize
Command).
CerƟficados de autoridad de sellado de Ɵempo (TSA)
La TSA debe destruir los respaldos de las llaves privadas que han
expirado. Para los módulos criptográficos de hardware, estos deben ser
limpiados por medio de inicialización de ceros (Zeroize Command).
6.2.11 Clasificación del módulo criptográfico
CerƟficados de CA emisora
La capacidad del módulo criptográfico de la CA emisora es expresada
en cumplimiento como mínimo del estándar Fips 140–2, nivel 3.
CerƟficados de firma digital y autenƟcación de persona İsica
El módulo criptográfico para los suscriptores de cer ficados de firma
digital y auten cación debe cumplir como mínimo con el estándar Fips
140–2, nivel 2, o bien debe poseer al menos la cer ficación Common
Criteria EAL 4+ en el perfil de protección SSCD po 3.
CerƟficados de sello electrónico y agente electrónico de persona
jurídica
El módulo criptográfico para los cer ficados de persona jurídica
debe cumplir como mínimo con el estándar Fips 140–2, nivel 3, o bien
que posean al menos la cer ficación Common Criteria EAL 4+ en el perfil
de protección SSCD po 3.
CerƟficados de autoridad de sellado de Ɵempo (TSA)
La TSA debe cumplir como mínimo con el estándar Fips 140–2, nivel 3
6.3
Otros aspectos de gesƟón del par de llaves
Las CA de la jerarquía nacional de cer ficadores registrados deben
establecer los medios necesarios para ges onar en forma segura las llaves de los suscriptores durante el ciclo de vida de las mismas.
128
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
6.3.1 Archivado de la llave pública
La CA debe mantener controles para sus propias llaves, de acuerdo
a lo es pulado en la sección 5.5. Las llaves archivadas de la CA deberían
estar sujetas al mismo o mayor nivel de control de seguridad que las
llaves que están en uso actualmente.
6.3.2 Periodo operacional del cerƟficado y periodo de uso del par de
llaves
Los periodos de uso de la llave son descritos en la sección 5.6, de
acuerdo a la siguiente tabla:
6.4
Nivel de jerarquía
Tiempo de uso en años
Cer ficado de usuario
CA emisoras
CA Polí cas
CA Raíz
4
8
12
24
Tiempo operacional
en años
4
12
24
48
Datos de acƟvación
La CA man ene estrictos controles en los datos de ac vación para
operar los módulos criptográficos y que necesitan ser protegidos (ejemplo un PIN, una frase de paso o “password”, una medida biométrica o
una parte de llave mantenida manualmente).
6.4.1 Generación e instalación de los datos de acƟvación
CerƟficados de CA emisora
Se debe contar con datos de ac vación de múl ples factores para
protección de los accesos al uso de llaves privadas y su ac vación requiere de un control de múl ples partes (es decir, “m” de “n”) con un
valor mínimo de tres para “m”.
CerƟficados de firma digital y autenƟcación de persona İsica
Se deben generar e instalar sus propios datos de ac vación para
129
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
proteger y prevenir perdidas, robos, modificación, divulgación o uso no
autorizado de sus llaves privadas.
CerƟficados de sello electrónico y agente electrónico de persona
jurídica
Se debe contar con controles para protección de los accesos al uso
de llaves privadas. En par cular, se requiere generar sus propios datos
de ac vación para prevenir uso no autorizado de la llave privada.
CerƟficados de autoridad de sellado de Ɵempo (TSA)
Se debe generar e instalar sus propios datos de ac vación para proteger y prevenir perdidas, robos, modificación, divulgación o uso no autorizado de sus llaves privadas. Adicionalmente, como parte de los datos
de ac vación se requiere de un control de múl ples partes (es decir,
“m” de “n”) con un valor mínimo de tres para “m”.
6.4.2 Protección de los datos de acƟvación
Los datos de ac vación deberían ser memorizados, sin mantener
respaldo escrito. Si se escriben, estos deberían de estar almacenados en
un nivel de seguridad semejante al de los módulos criptográficos para
protegerlos, y en una localización diferente a la de los módulos criptográficos.
6.4.3 Otros aspectos de los datos de acƟvación
Los datos de ac vación de los módulos criptográficos de la CA Raíz y
CA de Polí cas deben ser cambiados al menos una vez cada año. Y en el
caso de las CA emisoras o TSA la frecuencia debe ser al menos una vez
cada dos meses.
6.5
Controles de seguridad del computador
El equipo de la CA debe usar sistemas opera vos que:
 Requieran auten cación para poder ser accedidos
 Provean capacidad para mantener bitácoras y registros de se-
130
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
guridad con fines de auditoría
 Cumplan con requerimientos y controles de seguridad, al menos tan estrictos como los definidos en este CP.
Luego de que la plataforma donde opera el equipo de la CA ha sido
aprobada, debe con nuar operando bajo los mismos parámetros aprobados.
6.5.1 Requerimientos técnicos de seguridad de computador específicos
Los equipos donde operan los sistemas de la CA, que requieran acceso remoto deben poseer auten cación mutua y los sistemas opera vos
deberían estar configurados de acuerdo con los estándares del sistema
opera vo de la CA y ser revisados periódicamente.
Las actualizaciones y parches de los sistemas opera vos deberían ser
aplicados de manera oportuna y la u lización de programas u litarios
del sistema debería ser restringida al personal autorizado, y debe estar
estrictamente controlado.
6.5.2 Clasificación de la seguridad del computador
Los sistemas sensibles de la CA requieren un ambiente informá co
dedicado y aislado, que implemente el concepto de sede computacional
confiable con procesos de auditoria que ejecuten pruebas de seguridad
al menos dos veces al año.
6.6
Controles técnicos del ciclo de vida
La CA debe mantener controles en los equipos de seguridad (hardware y so ware) requeridos para operar en una infraestructura PKI desde el momento de la compra hasta su instalación, de forma que reduzcan la probabilidad que cualquiera de sus componentes sea violentado.
Todo el hardware y so ware que ha sido iden ficado para operar las
CA debe ser enviado y entregado con métodos que provean una adecuada cadena de custodia.
131
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
6.6.1 Controles para el desarrollo de sistemas
La CA debe mantener controles que proporcionen una seguridad razonable de las ac vidades de desarrollo y mantenimiento de los sistemas de la CA.
Los nuevos sistemas o para la expansión de los sistemas existentes,
deben especificar los requisitos de control, seguir procedimientos de
prueba de so ware y control de cambios para la implementación de
so ware.
La CA debe mantener controles sobre el acceso a las bibliotecas
fuente de programas.
6.6.2 Controles de gesƟón de seguridad
Los Administradores de la CA son los responsables de garan zar que
se cumplan los procedimientos de seguridad correctamente. Además
de ejecutar revisiones periódicas para asegurar el cumplimiento de los
estándares de implementación de seguridad.
6.6.3 Controles de seguridad del ciclo de vida
La CA debe incluir controles en la ges ón de seguridad por medio de
herramientas y procedimientos que verifiquen la adherencia a la configuración de seguridad de los sistemas opera vos y redes.
6.7
Controles de seguridad de red
El equipo de la CA debe estar dentro de los límites de la red interna,
operando bajo un nivel de seguridad de red crí co. La red de la CA debe
estar protegida contra ataques. Los puertos y servicios que no se requieran deben estar apagados.
En el caso de la CA Raíz debe estar off–line y aislada de la red organizacional.
Los niveles crí cos de seguridad de red, deben incluir:
 La encripción de las conexiones involucradas con las operaciones de la CA.
132
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
 Los si os Web están provistos de cer ficados SSL.
 La red está protegida por firewalls y sistemas de detección de
intrusos.
 Los accesos externos a información de bases de datos de la CA
están prohibidos.
 La CA debe controlar la ruta de acceso del usuario desde la Terminal hasta los servicios.
 Los componentes de la red local deben mantenerse en un ambiente sicamente seguro y sus configuraciones deben ser auditadas periódicamente.
 Los datos sensibles deben encriptarse cuando se intercambian
sobre redes públicas o no confiables.
La CA debe definir los procedimientos de control del cambio para el
hardware, los componentes de la red y los cambios de configuración del
sistema.
6.8
Sellado de Ɵempo (“Time–Stamping”)
Los cer ficados, CRL y otras entradas en la base de datos de revocaciones deben contener la fecha y hora, sincronizadas u lizando los
servicios UTC–6. El sellado de empo es una caracterís ca opcional.
7.
Perfiles de CerƟficados, CRL y OCSP
Este capítulo especifica el formato de las CRL y OCSP, tales como información del perfil, versión y extensiones u lizadas. En el caso de la
jerarquía nacional de cer ficadores registrados, los OCSP son un mecanismo opcional para la CA Raíz y las CA de Polí cas, debido a que son
pocos los cer ficados emi dos y por tanto revocados por ellas. La verificación del estado de los cer ficados para las CA emisoras cons tuye un
factor crí co de seguridad para diversas aplicaciones, por lo tanto deben
obligatoriamente implementar los dos métodos de validación: OCSP y
CRL.
7.1
Perfil del CerƟficado
Los cer ficados digitales deben cumplir con:
133
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
 Estándar X.509 versión 3.
 RFC3280: Internet X.509 Public Key Infrastructure Cer ficate
and CRL Profile.
 RFC 3039 “Internet X.509 Public Key Infrastructure Qualified
Cer ficates Profile.
 ISO 3166–1 “Códigos para la representación de los nombres de
los países y sus subdivisiones. Parte 1: Códigos de los países”.
Cómo mínimo el cer ficado con ene:
Campo
Versión
Número de serie
Algoritmo de firma
Emisor
Válido desde
Valor o restricciones
V3, los cer ficados deben ser X.509 versión 3.
Valor único emi do dentro del ámbito de cada CA emisora.
El Algoritmo de firma debe ser como mínimo SHA1RSA.
Nombre de la CA Emisora. Ver sección 7.1.4.
Este campo especifica la fecha y hora a par r de la cual el
cer ficado es válido. Las fechas establecidas para el periodo
de validez deben ser sincronizadas con respecto al servicio
de empo UTC–6.
Válido hasta
Este campo especifica la fecha y hora a par r de la cual el
cer ficado deja de ser válido. Las fechas para la validez del
cer ficado deben ser sincronizadas con el servicio de empo
UTC–6.
Sujeto
Nombre del suscriptor. Ver sección 7.1.4.
Llave pública del sujeto Codificado de acuerdo con el RFC 3280. Con un largo de llave
mínima de 2048 bits y algoritmo RSA.
Iden ficador de llave de Este campo es usado por los diversos so ware de validación
la autoridad
para ayudar a iden ficar a la autoridad cer ficadora registrada que emi ó el cer ficado en la cadena de confianza. Referencia el campo “Subject Key Iden fier” de la CA emisora
del cer ficado.
Iden ficador de la llave Este campo es usado por so ware de validación para ayudar
del sujeto
a iden ficar un cer ficado que con ene una determinada
llave pública.
Polí ca del cer ficado
Describe las polí cas aplicables al cer ficado, especifica el
OID y la dirección URL donde se encuentra disponible el CP
respec vo.
Uso de la llave
Debe indicar los usos permi dos de la llave. Este campo debe
ser marcado como un CAMPO CRÍTICO. Ver sección 1.4.1
Usos apropiados del cer ficado
134
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
Campo
Valor o restricciones
Punto de distribución del Este campo es usado para indicar las direcciones donde
CRL
puede ser encontrado el CRL correspondientes a la CA que
emi ó el cer ficado, de tal forma que se pueda validar si el
cer ficado en cues ón ha sido revocado o no. En el caso del
cer ficado de la CA Raíz, este atributo no debe especificarse.
Acceso a la información Este campo es usado para indicar las direcciones donde puede la autoridad
de ser encontrado el cer ficado de la CA emisora. Además,
para indicar la dirección donde puede accederse el servicio
de OCSP, de tal forma que se pueda validar si el cer ficado en
cues ón ha sido revocado o no. En el caso del cer ficado de
la CA Raíz, este atributo no debe especificarse.
Usos extendidos de la Referencia otros propósitos de la llave, adicionales al uso. De
llave
acuerdo con la sección 7.1.2.5.
Restricciones básicas
Para el caso de la CA emisora la extensión PathLenConstraint debe ser igual a cero. Ver sección 7.1.2.4 Restricciones
básicas.
7.1.1 Número(s) de versión
Todos los cer ficados emi dos dentro de la jerarquía nacional de
cer ficadores registrados deben ser X.509 versión 3 o superior.
7.1.2 Extensiones del cerƟficado
7.1.2.1 Key Usage
El “key usage” es una extensión crí ca que indica el uso del cer ficado de acuerdo con el RFC 3280 “Internet X.509 Public Key Infrastructure
Cer ficate and CRL Profile”. Ver sección 1.4.1 Usos apropiados del cer ficado.
7.1.2.2 Extensión de políƟca de cerƟficados
La extensión de “cer ficatepolicies” del X.509 versión 3 es el iden ficador del objeto de este CP de acuerdo con la sección 7.1.6. La extensión no es considerada como crí ca.
7.1.2.3 Nombre alternaƟvo del sujeto
La extensión “subjectAltName” es opcional y solamente se puede
usar para cer ficados de agente electrónico de persona jurídica. En caso
135
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
de ser u lizada, el uso de esta extensión debe ser “NO crí co” y únicamente está permi do el uso del nombre DNS, en concordancia con la
sección 4.1.2.
7.1.2.4 Restricciones básicas
Para el caso de las CAs emisoras se debe colocar el campo “PathLenghtConstraint” con un valor de 0, para indicar que la CA no permite más
sub–niveles en la ruta del cer ficado. Es un campo crí co.
7.1.2.5 Uso extendido de la llave
La extensión permite configurar los propósitos de la llave, y no es
considerada crí ca. A con nuación se presenta el cuadro con los propósitos comunes:
OID
Descripción
Tipos de cerƟficado
1.3.6.1.5.5.7.3.1
Auten cación de servidor
1.3.6.1.5.5.7.3.2
Auten cación del cliente
1.3.6.1.5.5.7.3.4
1.3.6.1.5.5.7.3.8
1.3.6.1.4.1.311.20.2.2
Protección del correo
Sellado de empo
Smart Card Logon
Agente electrónico
Auten cación de persona sica
Agente electrónico
Firma de persona sica
Sellado de empo
Auten cación de persona sica
7.1.2.6 Puntos de distribución de los CRL
La extensión “CRL Distribu on Points” con ene las direcciones URL
de la localización donde las partes que con an pueden obtener el CRL
para verificar el estado del cer ficado. La extensión NO es crí ca.
7.1.2.7 IdenƟficador de llave de Autoridad
El método para la generación del iden ficador está basado en la llave pública de la CA emisora del cer ficado, de acuerdo a lo descrito por
el RFC 3280 “Internet X.509 Public Key Infraestructura Cer ficate and
CRL Profile”. La extensión NO es crí ca.
136
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
7.1.2.8 IdenƟficador de la llave del sujeto
La extensión no es crí ca, y el método para la generación del iden ficador de llave está basado en la llave pública del sujeto del cer ficado
y es calculado de acuerdo con uno de los métodos descritos en el RFC
3280 “Internet X.509 Public Key Infrastructure Cer ficate and CRL Profile”.
7.1.3 IdenƟficadores de objeto de algoritmos
Los cer ficados generados dentro de la jerarquía nacional de cer ficadores registrados deben usar uno de los siguientes algoritmos:
 sha–1WithRSAEncryp on OID ::= {iso(1) member–body(2)
us(840) rsadsi(113549) pkcs(1) pkcs–1(1) 5}
 sha256WithRSAEncryp on OID::= {iso(1) member–body(2)
us(840) rsadsi(113549) pkcs(1) pkcs–1(1) 11}
El algoritmo SHA–1 se man ene como algoritmo válido para soportar los cer ficados que sean emi dos por CAs cons tuidas al amparo de
versiones anteriores de la polí ca, sin embargo toda CA nueva o renovada a par r de la emisión de la presente polí ca deberá emi r cer ficados u lizando el algoritmo SHA256.
7.1.4 Formas del nombre
Los nombres dentro de la jerarquía nacional de cer ficadores registrados deben cumplir las regulaciones de la sección 3.1.1. Adicionalmente, los cer ficados de suscriptores generalmente deben incluir el
URL donde se encuentran los términos del uso de los cer ficados y los
acuerdos entre las partes.
7.1.5 Restricciones del nombre
Los nombres se escriben en mayúsculas y sin ldes, únicamente se
debe aceptar el carácter Ñ como un caso especial para los nombres de
personas sicas y jurídicas.
137
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
El código de país es de dos caracteres y se asigna de acuerdo al estándar ISO 3166–1 “Códigos para la representación de los nombres de
los países y sus subdivisiones. Parte 1: Códigos de los países”.
7.1.6 IdenƟficador de objeto de PolíƟca de CerƟficado
El OID de la polí ca de cer ficado correspondiente a cada clase de
cer ficado es definido acorde a la sección 1.2. El director de la DCFD le
corresponde la administración de los “Iden ficadores de Objetos” (OID)
para el Sistema Nacional de Cer ficación Digital.
7.1.7 Uso de la extensión “Restricciones de PolíƟca” (Policy Constraints)
Sin es pulaciones.
7.1.8 SemánƟca y sintaxis de los “Calificadores de PolíƟca” (Policy
Qualifiers)
El calificador de la polí ca está incluido en la extensión de “cer ficate policies” y con ene una referencia al URL con el CP aplicable y a los
acuerdos de partes que con an.
7.1.9 SemánƟca de procesamiento para la extensión críƟca de “PolíƟcas de CerƟficado” (CerƟficate Policies)
Sin es pulaciones.
7.2
Perfil de la CRL
Las listas de revocación de cer ficados cumplen con el RFC 3280
“Internet X.509 Public Key Infrastructure Cer ficate and CRL Profile”y
con enen los elementos básicos especificados en el siguiente cuadro:
Campo
Versión
138
Valor o restricciones
Ver sección 7.2.1
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
Campo
Algoritmo de firma
Valor o restricciones
Algoritmo usado para la firma del CRL, puede ser:
•
sha1WithRSAEncryp on
(OID: 1.2.840.113549.1.1.5)
•
sha256WithRSAEncryp on
(OID:1.2.840.113549.1.1.11)
Emisor
En dad que emite y firma la CRL.
Fecha efec va
Fecha de emisión del CRL.
Siguiente actualización Fecha para la cual es emi da la siguiente CRL. La
frecuencia de emisión del CRL está acorde con lo
requerido en la sección 4.9.7
Cer ficados revocados Lista de cer ficados revocados, incluyendo el
número de serie del cer ficado revocado y la fecha
de revocación.
7.2.1 Número(s) de versión
La jerarquía nacional de cer ficadores registrados de cer ficación
soporta las CRLs X.509 versión 2.
7.2.2 CRL y extensiones de entradas de CRL
Sin es pulación.
7.3
Perfil de OCSP
El servicio de validación de cer ficados en línea OCSP (Online Cer ficate Status Protocol) es una forma para obtener información reciente
sobre el estado de un cer ficado.
El servicio OCSP que se implemente debe cumplir lo es pulado en
el RFC2560 “X.509 Internet Public Key Infrastructure Online Cer ficate
Status Protocol – OCSP”.
7.3.1 Número(s) de versión
Debe cumplir al menos con la versión 1 del RFC2560 “X.509 Internet
Public Key Infrastructure Online Cer ficate Status Protocol – OCSP”.
139
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
7.3.2 Extensiones de OCSP
Sin es pulaciones.
8.
Auditoría de cumplimiento y otras evaluaciones
De acuerdo con el ar culo 21 de la Ley de Cer ficados, Firmas Digitales y Documentos Electrónicos No. 8454, “Todo cer ficador registrado
estará sujeto a los procedimientos de evaluación y auditoría que acuerde efectuar la DCFD o el ECA”.
Adicionalmente, el ar culo 24 inciso e) de ese cuerpo norma vo,
dispone como una función de la DCFD el “fiscalizar el funcionamiento de
los cer ficadores registrados, para asegurar su confiabilidad, eficiencia
y el cabal cumplimiento de la norma va aplicable, imponiendo, en caso
necesario, las sanciones previstas en esta Ley. La supervisión podrá ser
ejercida por medio del ECA, en el ámbito de su competencia”.
Todas las autoridades emisoras de cer ficados deben ajustarse al
cumplimiento de las auditorías realizadas por el ECA, las cuales permiten establecer una confianza razonable en el sistema de firma digital.
Se pueden ejecutar inves gaciones y revisiones para asegurar la confianza de la jerarquía nacional de cer ficadores registrados, las cuales
incluyen, pero no se limitan a:
 Revisión de seguridad y de prác cas, las cuales incluyen instalaciones, documentos de seguridad, declaración de prác cas de
cer ficación, acuerdos entre las partes, polí ca de privacidad y
validación de los planes para asegurar el cumplimiento de estándares.
 El ECA es la en dad responsable de ejecutar las auditorias, de
acuerdo a lo es pulado en la ley.
 La DCFD puede solicitar al ECA auditorías especiales cuando
tenga sospecha de un incidente o compromiso de la CA, que
ponga en riesgo la integridad del sistema.
Adicionalmente, cada CA debe implementar un programa de auditorías internas para la verificación de su sistema de ges ón. Dicho progra-
140
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
ma de auditorías debe estar basado en la INTE–ISO/IEC 19011 “Directrices para la auditoría de sistemas de ges ón de la calidad y/o ambiental”.
8.1
Frecuencia o circunstancias de evaluación
El cumplimiento de la evaluación externa del ECA se debe ejecutar
al menos una vez al año y los costos deben ser asumidos por la en dad
evaluada. El ECA puede realizar evaluaciones extraordinarias de acuerdo
con sus procedimientos.
El programa de auditorías internas establecerá la frecuencia o circunstancias para su realización, pero en términos generales se espera que las
CA ejecuten al menos una auditoría al año.
8.2
IdenƟdad/calidades del evaluador
El personal que ejecuta las evaluaciones para el ECA incluye:
 Experto Técnico: Persona asignada por el ECA para aportar conocimientos técnicos específicos o pericia respecto al alcance
de acreditación a ser evaluado.
 Evaluador: Persona designada para ejecutar como parte de un
equipo evaluador, la evaluación de un Organismo de Evaluación
de la Conformidad OEC.
 Evaluador Líder: Evaluador al que le es dada la completa responsabilidad por ac vidades de evaluación específicas.
El ECA ene procedimientos establecidos para determinar la competencia de cada uno de estos.
Para las auditorías internas la CA debe establecer los requisitos de
competencia de sus auditores según los lineamientos de la INTE–ISO/
IEC 19011 “Directrices para la auditoría de sistemas de ges ón de la
calidad y/o ambiental”.
8.3
Relación del evaluador con la enƟdad evaluada
Por ley, el ECA cons tuye un ente independiente e imparcial, el cual
ejecutará las evaluaciones acorde a sus procedimientos.
141
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
Para las auditorías internas la CA debe seguir lo establecido en la
INTE–ISO/IEC 19011 “Directrices para la auditoría de sistemas de gesón de la calidad y/o ambiental”.
8.4
Aspectos cubiertos por la evaluación
Los puntos de evaluación para cada en dad son detallados a con nuación:
Auditorias de la autoridad de registro
Es obligatorio que la autoridad cer ficadora registrada (CA emisora)
supervise las autoridades de registro y no fique cualquier excepción o
irregularidad de las polí cas de la jerarquía nacional de cer ficadores
registrados, y además tome las medidas para remediarlas.
Auditorias de las CA emisoras
Las CA emisoras dentro de la jerarquía nacional de cer ficadores registrados deben cumplir con las polí cas nacionales y con los estándares
determinados, a saber:
Ley y reglamento de firma digital,
Polí cas de la raíz para los cer ficados de:
Firma digital y auten cación de persona sica.
Sello electrónico y auten cación de agente electrónico.
INTE/ISO 21188: “Infraestructura de llave pública para servicios
financieros. Estructura de prác cas y polí cas”.
 RFC 3647: “Internet X.509 Public Key Infrastructure. Cer ficate
Policy and Cer fica on Prac ces Framework”.





Autoridades de sellado de empo
Ley y reglamento de firma digital.
Polí cas de la raíz para los cer ficados de:
Autoridad de sellado de empo.
RFC 3161: “Internet X.509 Public Key Infrastructure. Time–
Stamp Protocol (TSP)”.
 RFC 3628: “Policy Requirements for Time–Stamping Authori es
(TSAs)”.




142
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
 Polí ca de sellado de empo del sistema nacional de cer ficación digital
8.5
Acciones tomadas como resultado de una deficiencia
La CA debe tener procedimientos para ejecutar acciones correc vas para las deficiencias iden ficadas tanto en las evaluaciones externas
como en las auditorías internas.
8.6
Comunicación de resultados
El ECA ene procedimientos para la ejecución de la acreditación que
incluyen la comunicación de los resultados y los procedimientos de apelación.
9.
Otros asuntos legales y comerciales
9.1
Tarifas
9.1.1 Tarifas de emisión o renovación de cerƟficados
La tarifa para la emisión y administración de los cer ficados será determinada por la CA emisora del cer ficado.
9.1.2 Tarifas de acceso a cerƟficados
Las CA emisoras dentro de la jerarquía nacional de cer ficadores registrados no pueden cobrar por el mantenimiento de los repositorios de
cer ficados a las partes que con an.
9.1.3 Tarifas de acceso a información del estado o revocación
Las CA emisoras dentro de la jerarquía nacional de cer ficadores
registrados no pueden cobrar por el mantenimiento de las listas de revocación de cer ficados a las partes que con an. Sin embargo, se pueden establecer tarifas para otros servicios especializados de revocación,
OCSP o sellado de empo.
143
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
9.1.4 Tarifas por otros servicios
Las CA emisoras dentro de la jerarquía nacional de cer ficadores registrados no pueden establecer tarifas para acceder información del CP
o su respec vo CPS.
9.1.5 PolíƟca de reembolso
La CA que implemente una polí ca de reembolso debe documentarla como parte de sus polí cas y publicarlas dentro de su si o Web.
9.2
Responsabilidad financiera
9.2.1 Cobertura de seguro
De acuerdo con los ar culos 12 y 13 del reglamento de firma digital,
es obligatorio para los sujetos privados, mantener una caución rendida
preferiblemente por medio de póliza de fidelidad, y cuyo monto será
fijado por la DCFD. Cuando la caución esté sujeta a vencimiento, esta
debe ser renovada al menos dos meses antes de la fecha de expiración.
9.2.2 Otros acƟvos
La CA emisora debe poseer suficientes recursos financieros para
mantener sus operaciones y ejecutar sus deberes. La CA emisora debe
ser razonablemente capaz de administrar el riesgo de responsabilidad
para los suscriptores y partes que con an.
9.2.3 Cobertura de Seguro o garanơa para enƟdades finales
Sin es pulaciones.
9.3
Confidencialidad de la información comercial
9.3.1 Alcance de la información confidencial
Los siguientes registros del suscriptor deben ser mantenidos confidenciales:
144
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
 Registros de solicitudes de la Autoridad Cer ficadora, tanto
aprobados como rechazados.
 Registros de solicitud de cer ficados de sujeto.
 Registros de las transacciones.
 Registros de pistas de auditorías.
 Planes de con ngencias y recuperación de desastres.
 Medidas de seguridad controlando las operaciones de cer ficados (Hardware/So ware).
 Servicios de administración de cer ficados y servicios de enrolamiento.
9.3.2 Información no contenida en el alcance de información confidencial
No se considera información confidencial las listas de revocación ni
la información del estado de los cer ficados.
9.3.3 Responsabilidad para proteger la información confidencial
Las CA emisoras par cipantes dentro de la jerarquía nacional de cerficadores registrados deben asegurar a los par cipantes que su información no será comprome da ni divulgada a terceras partes y deben
cumplir con las leyes aplicables de privacidad.
9.4
Privacidad de información personal
9.4.1 Plan de privacidad
Las CA emisoras dentro de la jerarquía nacional de cer ficadores registrados deben implementar las polí cas de privacidad de información,
de acuerdo con las leyes vigentes. No se puede divulgar o vender información de los suscriptores a cer ficados o información de iden ficación
de éstos.
9.4.2 Información tratada como privada
Cualquier información acerca de los suscriptores que no esté públicamente disponible a través del contenido del cer ficado emi do y servicios de CRL’s debe ser tratada como información privada.
145
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
9.4.3 Información que no es considerada como privada
El tratamiento de la información que no es considerada como privada, estará sujeto a lo que dispone la norma va nacional al efecto. Únicamente se considera pública la información contenida en el cer ficado.
9.4.4 Responsabilidad para proteger información privada
Las CA emisoras dentro de la jerarquía nacional de cer ficadores registrados deben asegurar que la información privada no puede ser comprome da o divulgada a terceras partes.
9.4.5 NoƟficación y consenƟmiento para usar información privada
La información privada no puede ser usada sin el consen miento de
las partes. En este sen do, la CA no requiere no ficar a los suscriptores
para usar información privada.
9.4.6 Divulgación de acuerdo con un proceso judicial o administraƟvo
Para divulgar información privada se requiere de una orden judicial
que así lo determine y se divulga estrictamente la información solicitada
por los jueces.
9.4.7 Otras circunstancias de divulgación de información
La información privada podrá ser divulgada en otras circunstancias,
siempre que ésta resulte expresamente prevista por la legislación aplicable.
9.5
Derechos de propiedad intelectual
Sin es pulaciones.
9.6
Representaciones y garanơas
9.6.1 Representaciones y garanơas de la CA
Las CA de la jerarquía nacional de cer ficadores registrados deben
garan zar que:
146
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
 No se presentan distorsiones en la información contenida en
los cer ficados o en la emisión del mismo.
 No haya errores en la información que fue introducida por la
en dad que aprueba la emisión del cer ficado.
 Los cer ficados reúnen los requerimientos expuestos en esta
CP.
 Los servicios de revocación y el uso de los repositorios cumplen
lo es pulado en este CP.
9.6.2 Representaciones y garanơas de la RA
Las Autoridades de Registro (RA) deben garan zar que:
 No se presentan distorsiones en la información contenida en
los cer ficados o en la emisión del mismo.
 No se presentan errores en la información del cer ficado que
fue introducida por las en dades de registro.
 Que los disposi vos y materiales requeridos cumplen con lo
dispuesto en este CP.
9.6.3 Representaciones y garanơas del suscriptor
El suscriptor debe garan zar que:
 Cada firma digital creada usando la llave privada corresponde a
la llave pública listada en el cer ficado.
 La llave privada está protegida y que no autoriza a personas a
tener acceso a la llave privada del suscriptor.
 Toda la información suplida por el suscriptor y contenida en el
cer ficado es verdadera.
 El cer ficado es u lizado exclusivamente para los propósitos
autorizados.
9.6.4 Representaciones y garan as de las partes que con an
Los acuerdos de partes que con an requieren que los actores conozcan suficiente información para tomar las decisiones de aceptar el
cer ficado.
147
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
9.6.5 Representaciones y garanơas de otros parƟcipantes
Sin es pulaciones.
9.7
Renuncia de garanơas
Cualquier po de cláusula rela va a la renuncia de garan as debe
estar prevista en los acuerdos de suscriptor y de partes que con an.
9.8
Limitaciones de responsabilidad legal
Las limitaciones de responsabilidad legal deben estar previstas en
forma expresa en los acuerdos de suscriptor y de partes que con an.
9.9
Indemnizaciones
La CA dentro de la jerarquía nacional de cer ficadores registrados
debe indemnizar a los suscriptores por cualquier causa legalmente establecida, incluyendo:
 Falsedad en la información suministrada.
 Por fallas en la protección del sistema de la CA, o por el uso de
sistemas no confiables.
En ambos casos, se deberá demostrar ante las autoridades correspondientes los daños y perjuicios causado por la CA.
9.10
Plazo y Finalización
9.10.1 Plazo
El CP empieza a ser efec vo después de la publicación en el repositorio y los nuevos cer ficados deben ser emi dos cumpliendo las polí cas
determinadas en la nueva versión del CP.
9.10.2 Finalización
La vigencia del CP se debe mantener hasta que todos los cer ficados
emi dos bajo esta polí ca hayan finalizado o hayan sido reemplazados
por otros cer ficados emi dos bajo la nueva polí ca.
148
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
9.10.3 Efectos de la finalización y supervivencia
Después de finalizada la vigencia del CP, la cual puede ser por cambios o modificaciones en las polí cas, esta se mantendrá válida mientras
existan cer ficados ac vos.
9.11
NoƟficación individual y comunicaciones con parƟcipantes
Se permiten las comunicaciones comerciales con los par cipantes, a
menos de que el contrato entre las partes especifique otras cláusulas.
9.12
Enmiendas
9.12.1 Procedimiento para enmiendas
De oficio el Comité Asesor de Polí cas tendrá al menos una reunión
anual para evaluar los atributos del cer ficado, determinando la conveniencia de seguir u lizando los mismos algoritmos, longitudes de las
llaves y parámetros para la generación de los cer ficados.
Los cambios en las polí cas nacionales deben ser some dos a consulta pública, y una vez aprobadas deben comunicarse a los par cipantes dentro de la jerarquía nacional de cer ficadores registrados.
Las modificaciones o enmiendas de las polí cas deben documentarse y mantenerse actualizadas a través de versiones. Las enmiendas
deben publicarse en el si o Web de la CA emisora.
9.12.2 Mecanismo y periodo de noƟficación
La DCFD es la responsable de realizar los comunicados a las CA emisoras para implementar las modificaciones. Al menos treinta días naturales antes de cualquier cambio mayor en las polí cas, estas se deben
publicar en el si o Web y realizar una comunicación en los medios escritos.
149
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
9.12.3 Circunstancias bajo las cuales los OID deben ser cambiados
Los cambios en los OIDs corresponden a nuevas polí cas que contengan otros objetos con OID adicionales. Si la estructura del cer ficado
se man ene entonces no es necesario cambiar los OIDs.
9.13
Disposiciones para resolución de disputas
De acuerdo con la ley de firma digital, le compete a la DCFD la resolución de las disputas, como órgano administrador y supervisor del
sistema de cer ficación digital. Las resoluciones dictadas por la DCFD
agotan la vía administra va.
9.14
Ley gobernante
Las CA emisoras dentro de la jerarquía nacional de cer ficadores registrados están sujetas a las leyes de la República de Costa Rica, en parcular de la ley 8454 “Ley de cer ficados, firmas digitales y documentos
electrónicos” y su reglamento.
9.15
Cumplimiento con la ley aplicable
Las polí cas descritas cumplen con las regulaciones nacionales.
9.16
Disposiciones varias
9.16.1 Acuerdo completo
No aplicable.
9.16.2 Asignación
No aplicable.
9.16.3 Separabilidad
En el eventual caso que una cláusula de la polí ca sea declarada incons tucional por los tribunales de jus cia o las leyes, el resto de las
cláusulas de estas polí cas se mantendrán vigentes.
150
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
9.16.4 Aplicación (Honorarios de abogado y renuncia de derechos)
No aplicable.
9.16.5 Fuerza mayor
Los acuerdos de suscriptores y partes que con an deben incluir cláusulas de fuerza mayor para proteger a la CA emisora.
9.17
Otras disposiciones
No aplicable.
10.
Anexo A: Definiciones y acrónimos
10.1
Definiciones
Términos
Definición
Acuerdo de parte que
conİa, RPA (por sus siglas
en inglés Relying party
agreement)
Es un acuerdo entre la autoridad cer ficadora y las partes que con an que picamente establece los derechos
y responsabilidades entre estas partes con respecto a la
verificación de las firmas digitales y otros usos del cer ficado. Este acuerdo no requiere la aceptación explícita de
la parte que con a.
Acuerdo de suscriptor
Es un acuerdo entre la CA raíz y la CA emisora, y entre la
CA emisora y el suscriptor, que establece los derechos y
responsabilidades de las partes con respecto a la emisión
y ges ón de los cer ficados. Este acuerdo sí requiere la
aceptación explícita tanto de la CA emisora como del suscriptor, respec vamente.
Apoderado
Persona que ene la capacidad jurídica para actuar en
nombre de una empresa o ins tución y que ene la potestad legal para cumplir con las responsabilidades asignadas en este CP.
AutenƟcación
Verificación de la iden dad afirmada por el individuo:
a) en el momento de registro, el acto de evaluar las credenciales de las en dades finales (esto es, suscriptores)
como evidencia de la iden dad afirmada;
b) durante su uso, el acto de comparar electrónicamente
la iden dad y las credenciales presentadas contra los valores almacenados, para probar iden dad.
Autoridad CerƟficadora CA En dad en la cual una o más en dades con an para crear,
(por sus siglas en inglés)
asignar, revocar o suspender cer ficados de llave pública.
151
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
Términos
Autoridad CerƟficadora
Registrada
Autoridad de políƟcas PA
(por sus siglas en inglés)
Autoridad de registro RA
(por sus siglas en inglés)
CA emisora
CA de PolíƟcas
CA raíz
CA subordinada o Sub–CA
Calificador de la políƟca
CerƟficación
CerƟficado
CerƟficado suspendido
Compromiso
Comité asesor de políƟcas
(CAP)
152
Definición
El cer ficador inscrito y autorizado por la Dirección de
Cer ficadores de Firma Digital.
Parte o cuerpo con autoridad y responsabilidad final de
especificar las polí cas de cer ficado y asegurar que las
prác cas y controles de la CA, cumplen totalmente las polí cas de cer ficado respec vas. (Ver definición ampliada
en el ar culo 28 del Reglamento de la ley 8454).
En dad responsable de la iden ficación y auten cación
de sujetos de cer ficados, que no es la CA y por lo tanto
no firma ni emite cer ficados.
Nota: Una RA puede ayudar en el proceso de solicitud del
cer ficado, en el proceso de revocación o en ambos. La
RA no necesita ser un organismo separado, sino que puede ser parte de la CA.
Autoridad cer ficadora registrada que forma parte de la
jerarquía nacional de cer ficadores registrados, y que implementa una o varias polí cas para emisión de cer ficados de usuario final.
Autoridad cer ficadora que forma parte de la raíz nacional, u lizada para segmentar el riesgo de acuerdo a la polí ca de emisión para un po de cer ficado.
Autoridad cer ficadora registrada que se ubica en el ápice
de la jerarquía nacional de cer ficadores registrados.
Autoridad cer ficadora registrada que está más abajo en
relación a otra CA en la jerarquía nacional de cer ficadores registrados.
Información dependiente de la polí ca, que acompaña un
iden ficador de polí ca de cer ficado en un cer ficado
de la norma X.509.
Proceso de creación de un cer ficado de llave pública
para una en dad.
La llave pública y la iden dad de un suscriptor, junto con
otra información, que se torna infalsificable al ser firmada
con la llave privada de la autoridad cer ficadora que emió ese cer ficado de llave pública.
Suspensión de la validez de un cer ficado.
Violación de la seguridad de un sistema tal que pueda
haber ocurrido una divulgación no autorizada de información sensible.
Ver “Autoridad de polí cas (PA)”.
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
Términos
Control múlƟple
Datos de autenƟcación
Datos de acƟvación
Declaración de divulgación
PKI o PDS (por sus siglas en
inglés)
Declaración de prácƟcas de
cerƟficación o CPS (por sus
siglas en inglés)
Delta CRL
Diario de eventos o bitácora de auditoría
Documento de idenƟdad
legalmente aceptado
Definición
Condición bajo la cual dos o más partes, man enen por
separado y confidencialmente, la custodia de componentes de una sola llave que, individualmente, no conlleva al
conocimiento de la llave criptográfica resultante.
Información u lizada para verificar la iden dad afirmada
de una en dad, tal como la de un individuo, un rol definido o una persona jurídica.
Valores de los datos, dis ntos a las llaves, que son requeridos para operar los módulos criptográficos y que necesitan estar protegidos (por ejemplo: por un PIN, una frase
de paso o una llave mancomunada).
Documento suplementario de una CP o una CPS que divulga la información crí ca sobre las polí cas y prác cas
de una CA /PKI.
Nota: Una declaración de divulgación PKI es un medio
para divulgar y enfa zar la información normalmente cubierta en detalle por la CP y/o la CPS asociados. Por lo
tanto, un PDS no ene la intención de sus tuir una CP o
una CPS.
Declaración de las prác cas que emplea una autoridad
cer ficadora al emi r cer ficados y que define el equipo,
polí cas y procedimientos que u liza la CA para sa sfacer
los requisitos especificados en las polí cas del cer ficado
que son soportadas por esta.
Par ción del CRL dentro de una unidad de empo, que
con ene los cambios realizados al CRL base desde su úlma actualización.
Registro cronológico de las ac vidades del sistema, el
cual es suficiente para permi r la reconstrucción, revisión
e inspección de la secuencia de los ambientes y de las
ac vidades que rodean o que conducen a cada acontecimiento en la ruta de una transacción desde su inicio hasta
la salida de los resultados finales.
Es el documento formal que según el ordenamiento jurídico costarricense, sirve para iden ficar legalmente a un
suscriptor. En el caso de las personas sicas costarricenses, es la cédula de iden dad, para las personas sicas
extranjeras, es el documento único de permanencia, según sea su estatus migratorio y para las personas jurídicas
nacionales, la cédula de persona jurídica.
En el caso de la cédula de persona jurídica el documento
debe ser acompañado por una cer ficación de personería
jurídica vigente (con menos de un mes de emi da), y el
documento de iden dad del personero.
153
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
Términos
Emisor del cerƟficado
Encripción
EnƟdad
EnƟdad final
Firma digital
Firma digital cerƟficada
DisposiƟvo criptográfico o
módulo de seguridad de
hardware (HSM por sus
siglas en inglés)
IdenƟficador de objeto
u OID (por sus siglas en
inglés)
Infraestructura de llave
pública o PKI (por sus siglas
en inglés)
Lista de revocación de
cerƟficados o CRL (por sus
siglas en inglés)
Parte que conİa RP (por
sus siglas en inglés)
Perfil del cerƟficado
154
Definición
Organización cuyo nombre aparece en el campo del emisor de un cer ficado.
Proceso para conver r la información a un formato más
seguro. En otras palabras, los datos que están en un formato claro, o sea entendible, se convierten mediante un
proceso matemá co a un formato encriptado o codificado, o sea ininteligible.
CA, RA o en dad final.
Sujeto de cer ficado que u liza su llave privada para
otros propósitos diferentes al de firmar cer ficados. En
este caso, puede tratarse de una persona sica, un agente
electrónico o una autoridad de sellado de empo.
Transformación criptográfica que, cuando está asociada a
una unidad de datos, proporciona los servicios de autencación del origen, integridad de los datos y no–repudio
del firmante.
Firma digital generada u lizando la llave privada correspondiente de un cer ficado de llave pública, emi do por
una CA registrada.
Es un disposi vo criptográfico basado en hardware que
genera, almacena y protege claves criptográficas.
Serie única de números enteros que iden fica inequívocamente un objeto de información.
Estructura de hardware, soŌware, recurso humano, procesos y polí cas que u liza tecnología de firma digital
para facilitar una asociación comprobable entre el componente público de un par de llaves asimétricas con un
suscriptor específico que posee la llave privada correspondiente.
Nota La llave pública puede ser provista para verificación
de firma digital, auten cación del sujeto en diálogos de
comunicación, y/o para el intercambio o la negociación de
llaves de encripción de mensajes.
Es una lista con los números de serie de los cer ficados
que han sido revocados.
Receptor de un cer ficado quien actúa confiando en ese
cer ficado, en las firmas digitales verificadas usando ese
cer ficado, o ambos.
Especificación del formato requerido para un po par cular de cer ficado (incluyendo requisitos para el uso de los
campos estándar y extensiones).
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
Términos
Definición
Período de operación
Período de vigencia de un cer ficado que comienza en
la fecha y la hora en que es emi do por una CA (o una
fecha y una hora posterior, si se indica en el cer ficado)
y termina en la fecha y la hora en que expira o se revoca
el mismo.
Personero o representante Quien ostente poder general o generalísimo en una percon facultades suficientes sona jurídica.
PolíƟca de cerƟficado o CP Conjunto de reglas establecidas que indican la aplicabili(por sus siglas en inglés)
dad de un cer ficado a una comunidad par cular y/o una
clase de aplicaciones con requisitos comunes de seguridad.
Protocolo de consulta en
Protocolo para determinar el estado actual de un cer filínea del estado del cerƟfi- cado en lugar de o como suplemento a la comprobación
cado u OCSP (por sus siglas contra una CRL periódica, y que especifica los datos que
en inglés)
necesitan ser intercambiados entre una aplicación que
comprueba el estado de un cer ficado y el servidor que
proporciona ese estado.
Re–emisión de llaves del
Proceso por medio del cual una en dad con un par de llacerƟficado
ves y un cer ficado recibe un nuevo cer ficado para una
nueva llave pública, siguiendo la generación de un nuevo
par de llaves.
Renovación del cerƟficado Proceso por medio del cual a una en dad le es emi da
una nueva instancia de un cer ficado existente con un
nuevo período de validez, conservando el mismo par de
llaves.
Repositorio
Sistema para el almacenamiento y la distribución de los
cer ficados y de la información relacionada (esto es, almacenamiento y recuperación de la polí ca de cer ficado, estado del cer ficado, etc.).
Rol de confianza
Puesto de trabajo que realiza funciones crí cas que, si
se realiza insa sfactoriamente, puede tener un impacto
adverso sobre el grado de confianza proporcionado por
la CA.
Ruta de cerƟficación
Secuencia ordenada de cer ficados de en dades que,
junto con la llave pública de la en dad inicial en la ruta,
pueden ser procesadas para obtener la llave pública de la
en dad final en la ruta.
Servicios de validación del Servicios proporcionados por la CA o su agente quien reacerƟficado
liza la tarea de confirmar la validez de un cer ficado a una
parte que con a.
Sello electrónico
Firma digital cer ficada generada a par r de un cer ficado digital de sello electrónico de persona jurídica.
155
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
Términos
Solicitud de cerƟficado
Solicitud de registro
Solicitud de servicio de
validación
Sujeto
Suscriptor
Tramitador de cerƟficados
de persona jurídica
Validez del cerƟficado
Verificación de la firma
10.2
Definición
Presentación a una CA por una RA (o a la CA raíz por una
CA), su agente o un sujeto, de una solicitud de registro
validada para registrar la llave pública del sujeto que se
colocará en un cer ficado.
Presentación por parte de una en dad a una RA (o CA)
para registrar la llave pública de la en dad en un cer ficado.
Pe ción realizada por la parte que con a a un servicio de
validación para comprobar la validez de un cer ficado.
En dad cuya llave pública es cer ficada en un cer ficado
de llave pública.
En dad que se suscribe con una autoridad cer ficadora a
nombre de uno o más sujetos.
Persona sica que es designada para actuar en representación de una persona jurídica, con el fin de solicitar y re rar en nombre de ésta los cer ficados de persona jurídica
de sello electrónico y/o agente electrónico, así como de
firmar en nombre de ésta el acuerdo de suscriptor.
Aplicabilidad (apto para el uso previsto) y estado (ac vo,
suspendido, revocado o expirado) de un cer ficado.
Determinación y validación de:
a) que la firma digital fue creada durante el período operacional de un cer ficado válido por la llave privada correspondiente a la llave pública que se encuentra en el
cer ficado;
b) que el mensaje no ha sido alterado desde que su firma
digital fue creada.
Abreviaturas
Abreviatura
CA
CAP
CP
CPS
CRL
DCFD
DNS
ECA
Descripción
Autoridad Cer ficadora (CA por sus siglas en inglés Cer ficate
Authority).
Comité Asesor de Polí cas.
Polí cas de Cer ficado (CP por sus siglas en inglés Cer ficate Policy).
Declaración de prác cas de Cer ficación (CPS por sus siglas en inglés
Cer fca on Prac ce Statement).
Listas de revocación de Cer ficados (CRL por sus siglas en inglés
Cer ficate Revoca on List).
Dirección de Cer ficadores de Firma Digital.
Sistema de nombres de dominio (Domain name system).
Ente Costarricense de Acreditación.
156
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
Abreviatura
FIPS
HSM
ISO
LGAP
MICIT
NIC
OCSP
OEC
OID
PDS
PIN
PKI
RA
RFC
RNP
TSA
TSE
URL
UTC
X.509
Descripción
Estándar para los disposi vos criptográficos (FIPS por sus siglas en
inglés Federal Informa on Processing Standard).
Disposi vo criptográfico (HSM por sus siglas en inglés Hardware
Security Module).
Organización Internacional para la Estandarización (ISO por sus siglas en
inglés Interna onal Standards Organiza on).
Ley General de Administración Pública.
Ministerio de Ciencia y Tecnología.
Centro de información de redes de Internet en Costa Rica (NIC por sus
siglas en inglés Network Informa on Center).
Servicios de validación de cer ficados en línea (OCSP por sus siglas en
inglés Online Cer ficate Status Protocol).
Organismo de Evaluación de la Conformidad.
Iden ficador de Objeto (OID por sus siglas en inglés Object Iden fier).
Declaración de divulgación PKI (PDS por sus siglas en inglés PKI
Disclosure Statement).
Número de iden ficación Personal (PIN por sus siglas en inglés Personal
Iden fica on Number).
Infraestructura de llave pública (PKI por sus siglas en inglés Public Key
Infraestructura).
Autoridad de registro (RA por sus siglas en inglés Registra on Authority).
Documento técnico aplicable que aún no es un estándar internacional
(RFC por sus siglas en inglés Request for Comments).
Registro nacional de la propiedad.
Autoridad de sellado de empo (TSA por sus siglas en inglés Time
Stamping Authority).
Tribunal Supremo de Elecciones.
Localizador Uniforme de Recurso que permite asignar nombres a
recursos en Internet (URL por sus siglas en inglés Uniform Resource
Locutor).
Tiempo Universal Coordinado (UTC por sus siglas en inglés (Universal
Time Coordinated).
Estándar u lizado para estructuras de datos y algoritmos de validación
en las infraestructuras de llave pública.
157
Polí ca de cer ficados para la jerarquía
nacional de cer ficadores registrados
11.
Anexo B: Documentos de referencia
Los siguientes documentos referenciados son aplicados para la confección de las polí cas de cer ficación.
 RFC 3039 “Internet X.509 Public Key Infrastructure Qualified Cerficates Profile.
 RFC 3280 Internet X.509 Public Key Infrastructure Cer ficate and
CRL Profile.
 RFC2560 “X.509 Internet Public Key Infrastructure Online Cer ficate Status Protocol– OCSP”.
 RFC 3647: “Internet X.509 Public Key Infrastructure. Cer ficate
Policy and Cer fica on Prac ces Framework”.
 RFC 3161: “Internet X.509 Public Key Infrastructure. Time–Stamp
Protocol (TSP)”.
 RFC 3628: “Policy Requirements for Time–Stamping Authori es
(TSAs)”.
 INTE–ISO–21188:2007 “Infraestructura de llave pública para servicios financieros– Estructura de prác cas y polí cas.
 INTE–ISO/IEC 19011 “Directrices para la auditoría de sistemas de
ges ón de la calidad y/o ambiental”.
 ISO 3166 “Códigos para la representación de los nombres de los
países y sus subdivisiones. Parte 1: Códigos de los países.
 INTE–ISO/IEC 17021 Evaluación de la conformidad– Requisitos
para los organismos que realizan la auditoría y la cer ficación de
sistemas de ges ón.
 Ley 8454 “Ley de cer ficados, firmas digitales y documentos
electrónicos” y su reglamento.
Documentos anexos:
– Polí ca de sellado de empo del sistema nacional de cer ficación digital.
– Directrices para las Autoridades de Registro. Caracterís cas de
cumplimiento de Autoridades de Registro (RA) de la jerarquía nacional de cer ficadores registrados de Costa Rica.
– Guía para la autorización de una Autoridad Cer ficadora Emisora de la jerarquía nacional de cer ficadores registrados de Costa
Rica.
158
PŽůşƟĐĂĚĞĨŽƌŵĂƚŽƐŽĮĐŝĂůĞƐĚĞůŽƐ
ĚŽĐƵŵĞŶƚŽƐĞůĞĐƚƌſŶŝĐŽƐ
ĮƌŵĂĚŽƐĚŝŐŝƚĂůŵĞŶƚĞ
DŝreccŝſŶĚĞĞƌƟĮĐĂĚŽƌĞƐĚĞ&ŝƌŵĂŝŐŝƚĂů
DŝŶŝƐƚĞƌŝŽĚĞŝĞŶĐŝĂLJdĞĐŶŽůŽŐşĂ
OID 2.16.188.1.1.1.2.1
Versŝón: 1.0
ϮϬĚĞŵĂLJŽ͕ϮϬϭϯ
Polí ca de formatos oficiales de los
documentos electrónicos firmados
digitalmente
Control de versiones
Fecha
Versión
Autor(es)
Aprobado
Descripción
26/07/12
Consulta
pública
Comité Asesor de
PolíƟcas
Alexander
Barquero
Director DCFD
Se presenta la versión para discusión del CAP y aprobación del
Director de la DCFD.
08/05/13
Borrador
Dirección de
CerƟficadores de
Firma Digital
Alexander
Barquero
Director DCFD
Se incorporan las observaciones de la consulta pública, de
acuerdo al aviso publicado el día lunes 13 de Agosto del
2012, en el diario oficial “La Gaceta”,
número 155.
20/05/13
1.0
Dirección de
CerƟficadores de
Firma Digital
Alexander
Barquero
Director DCFD
Oficialización y entrada en vigencia de la políƟca.
161
Polí ca de formatos oficiales de los
documentos electrónicos firmados
digitalmente
1.
Introducción
La presente polí ca define las caracterís cas que conforman los formatos oficiales de documentos electrónicos firmados digitalmente, al
amparo de la Ley No. 8454 Ley de Cer ficados, Firmas Digitales y Documentos Electrónicos y de su Reglamento. Dichas caracterís cas deberán
ser incorporadas por el firmante, receptor o validador de un documento
electrónico en los procesos de generación o validación de la firma digital, según corresponda, y verificadas por cualquier receptor del documento electrónico en el respec vo proceso de validación de la firma
digital del mismo.
Los formatos oficiales serán acogidos por toda en dad pública, empresa privada o par cular, como el estándar en el cual basarán sus documentos electrónicos firmados digitalmente, mismos que generan o
consumen en sus respec vos procesos de negocio apoyados en sistemas de información. Los documentos en formatos oficiales enen una
serie de mecanismos que le garan zan mayor robustez a los procesos
y a las organizaciones o individuos que los u lizan e implementan, y su
uso potencia la interoperabilidad de procesos digitales y documentos
electrónicos firmados digitalmente entre las diferentes ins tuciones del
país.
1.1
Administración de la PolíƟca
1.1.1 Organización que administra el documento
Dirección de Cer ficadores de Firma Digital
Ministerio de Ciencia, Tecnología y Telecomunicaciones, dirección:
San José, Calles 17 y 19, Avenida Segunda (50 metros Este del Museo
Nacional). Apartado Postal: 5589–1000
San José, Costa Rica.
1.1.2 Persona de contacto
Director de Cer ficadores de Firma Digital, Dirección de Cer ficadores de Firma Digital. Correo Electrónico: [email protected]. Tel.
(506)2248–1515, ext. 232 o 183.
163
Polí ca de formatos oficiales de los
documentos electrónicos firmados
digitalmente
2.
Resumen
Esta polí ca detalla las caracterís cas que un documento electrónico
firmado digitalmente debe tener para considerar que implementa un
formato oficial nacional.
3.
Definiciones, conceptos generales y abreviaturas
3.1
Definiciones y conceptos generales
Para los propósitos del presente documento, se aplican los siguientes términos y definiciones:
Documento electrónico: c ualquier manifestación con carácter
representa vo o declara vo, expresada o transmi da por un
medio electrónico o informá co. En otras palabras, cualquier
conjunto de datos creado, preservado, transmi do o visualizado por medios electrónicos puede ser considerado un documento electrónico.
Documento electrónico firmado digitalmente: a quel documento electrónico, cualesquiera que sean su contenido, contexto y
estructura, que ene lógicamente asociada una firma digital.
En otras palabras, es un objeto conceptual que con ene tanto
el documento electrónico como una firma digital, sin importar
que estos dos elementos puedan encontrarse representados
por conjuntos de datos diferentes.
Token de sellado de empo: Respuesta estandarizada de una
TSA que permite relacionar un conjunto de datos con un empo concreto, estableciendo así evidencia de que el dato exis a
antes de ese empo. Los token de sellado se emiten de acuerdo al RFC 3161 “Internet X.509 Public Key Infrastructure Time
Stamp Protocol (TSP)”. También se conocen con el nombre de
estampas de empo.
Autoridad de Sellado de Tiempo (TSA por sus siglas en inglés
Time Stamping Authority): s istema de emisión y ges ón de
token de sellado de empo basado en una firma digital acredi-
164
Polí ca de formatos oficiales de los
documentos electrónicos firmados
digitalmente
tada dentro de la jerarquía nacional de cer ficadores registrados.
Ruta de cer ficación: corresponde a la cadena de cer ficados
que soportan un cer ficado en par cular, empezando en el cerficado raíz y terminando en el cer ficado en cues ón, siempre
dentro de la jerarquía nacional según el Sistema Nacional de
Cer ficación Digital.
Información de revocación: se refiere al conjunto de datos que
permiten determinar la validez de un cer ficado en un momento dado del empo. Los mecanismos tradicionales de información de revocación son las Listas de Revocación de Cer ficados
(CRLs por sus siglas en inglés) y la respuesta del Protocolo En
Línea de Estado de Cer ficados (OCSP por sus siglas en inglés).
Listas de Revocación de Cer ficados (CRLs): man ene un listado de todos los cer ficados que han sido revocados y del momento en que se dio su revocación. La autoridad cer ficadora
define un empo de validez para la CRL, de tal forma que una
vez que caduque debe ser actualizada.
Protocolo en Línea de Estado de Cer ficados (OCSP): protocolo
de implementación de servicios de respuesta en línea del estado de un cer ficado en el momento en que es solicitado. Requiere de comunicación en línea con la autoridad cer ficadora.
Formato de Firma Digital: especificación donde se define la estructura y codificación de un documento firmado digitalmente.
3.2
Abreviaturas
Abreviatura
Descripción
CA
Autoridad Cer ficadora (Cer ficate Authority)
CAdES
CMS Advanced Electronic Signature
Lista de Revocación de Cer ficados (Cer ficate
Revoca on List)
CRL
165
Polí ca de formatos oficiales de los
documentos electrónicos firmados
digitalmente
Abreviatura
OCSP
PAdES
TSA
TST
XAdES
Descripción
Protocolo En Línea de Estado de Cer ficado (Online
Cer ficate Status Protocol)
PDF Advanced Electronic Signature
Autoridad de Sellado de Tiempo (Time–Stamping
Authority)
Token de Sellado de Tiempo (Time–Stamp Token)
XML Advanced Electronic Signature
4.
PolíƟca de Formatos Oficiales de los Documentos
Electrónicos Firmados Digitalmente
4.1
Resumen
La Polí ca de Formatos Oficiales de los Documentos Electrónicos
Firmados Digitalmente establece el conjunto de reglas generales para
el procesamiento de documentos electrónicos firmados digitalmente,
tanto para la realización de la firma digital como para la verificación de
su validez en cualquier momento en el empo.
4.2
IdenƟficación
Este documento es la “Polí ca de Formatos Oficiales de los Documentos Electrónicos Firmados Digitalmente”, y se referencia mediante
el iden ficador de objeto (OID) : 2.16.188.1.1.1.2.1
OID
2
16
188
1
1
1
2
1
166
Descripción
joint–iso–itu–t
Country
Costa Rica
Organización
Dirección de Cer ficadores de Firma Digital
Polí cas
Polí cas de Documentos Electrónicos Firmados
Digitalmente
Polí ca de Formatos Oficiales de los Documentos Electrónicos Firmados Digitalmente
Polí ca de formatos oficiales de los
documentos electrónicos firmados
digitalmente
4.3
Comunidad de usuarios y aplicabilidad
Esta polí ca ene como obje vo guiar a las diferentes en dades públicas y privadas que deseen proveer o consumir servicios en internet
con mecanismos de firma digital, a los proveedores y desarrolladores de
soluciones de so ware con mecanismos de firma digital, a los usuarios
de los servicios o soluciones antes mencionados y a los ciudadanos que
deseen conocer o u lizar mecanismos de firma digital en general.
4.4
Cumplimiento
Las en dades públicas, empresas privadas o par culares que deseen
implementar soluciones con mecanismos de firma digital, tanto para soluciones internas, interins tucionales, o para los servicios ofrecidos a
sus clientes o administrados, deberán cumplir con los lineamientos establecidas en ésta polí ca para generar y procesar documentos mediante
el uso de formatos oficiales, según el conjunto de responsabilidades que
les corresponda (firma digital y/o validación de la firma digital).
4.5
Vigencia
La “Polí ca de Formatos Oficiales de los Documentos Electrónicos
Firmados Digitalmente” rige a par r de su publicación.
Se establece un periodo transitorio de 24 meses naturales a par r de
su publicación para que las en dades públicas, empresas privadas o parculares que u lizan documentos electrónicos firmados digitalmente en
sistemas informá cos a la medida o mediante soluciones ofimá cas ya
instaladas, u licen el formato oficial como soporte electrónico estandarizado cuando sea necesario el uso de firmas digitales.
Cualquier nuevo uso de firma digital, así como cualquier nuevo sistema informá co a la medida que contemple el uso de mecanismos de
firma digital y que sea desarrollado a par r de la publicación de la presente Polí ca, deberá acogerse a ésta y cumplir con los formatos oficiales establecidos.
167
Polí ca de formatos oficiales de los
documentos electrónicos firmados
digitalmente
5.
Especificación de los Formatos Oficiales
5.1
Uso de Formatos Avanzados
En el Sistema Nacional de Cer ficación Digital, se conocerán como
formatos avanzados todos aquellos formatos de firma digital que definen de manera estandarizada los atributos suficientes para garan zar la
verificación de la validez del documento en el empo, que estén auspiciados por alguna en dad internacional reconocida, y que sus especificaciones técnicas sean de acceso público. Esta definición se basa en los
estándares promulgados por el Ins tuto de Estándares de Telecomunicaciones Europeo (ETSI por sus siglas en inglés), a par r de la Direc va
1999/93/EC emi da por la Unión Europea.
Los formatos oficiales de los documentos electrónicos firmados digitalmente en Costa Rica serán solo aquellos que la Dirección de Cer ficadores de Firma Digital determine. Bajo esa premisa, se define que los
formatos oficiales de los documentos electrónicos firmados digitalmente en Costa Rica serán aquellos construidos con base en los formatos
avanzados emi dos como normas técnicas y estándares por la ETSI, en
un nivel de especificación que contemple la inclusión de todos los atributos necesarios para garan zar la verificación de su validez en el empo de manera irrefutable. Dichos formatos avanzados y configuración
de niveles son los que se especifican a con nuación:
•
CAdES–X–L
o
Basado en la especificación ETSI TS 101 733, en su úl ma
versión oficial.
o
Para documentos con información codificada en binario.
o
Para su codificación en soluciones a la medida, se propone el perfil CAdES Baseline Profile de la ETSI, el cual puede
encontrarse en la especificación ETSI TS 103 173, en su
úl ma versión oficial.
•
PAdES Long Term (PAdES LTV)
o
Basado en la especificación ETSI TS 102 778, en su úl ma
versión oficial.
o
Para documentos en formatos PDF y sus formatos extendidos.
168
Polí ca de formatos oficiales de los
documentos electrónicos firmados
digitalmente
o
•
Para su codificación en soluciones a la medida, se propone el perfil PAdES Baseline Profile de la ETSI, el cual puede
encontrarse en la especificación ETSI TS 103 172, en su
úl ma versión oficial.
XAdES–X–L
o
Basado en la especificación ETSI TS 101 903, en su úl ma
versión oficial.
o
Para documentos en formatos XML.
o
Se recomienda para el desarrollo de soluciones informá cas en donde sea necesaria la interoperabilidad con otras
ins tuciones.
o
Para su codificación en soluciones a la medida, se propone el perfil XAdES Baseline Profile de la ETSI, el cual puede
encontrarse en la especificación ETSI TS 103 171, en su
úl ma versión oficial.
Sin importar las diferencias en codificación y forma inherentes a
cada especificación, los niveles de configuración de los formatos avanzados aquí mencionados cumplen con las siguientes caracterís cas determinantes para su selección:
•
•
Permiten la u lización de algoritmos criptográficos robustos.
Respetan el principio de neutralidad tecnológica:
o
Son estándares abiertos.
o
Pueden ser empleados en escenarios mul plataforma.
o
No están sujetos a un determinado producto licenciado.
•
•
Cuentan con una adecuada documentación técnica.
Permiten la incorporación de múl ples firmas en un documento electrónico.
Implementan los principios de un mecanismo de firma confiable: o Garan a de la auten cidad del documento electrónico. o
Garan a de la integridad del documento electrónico.
o
Ubicación fehaciente del documento electrónico en el
empo.
Especifican mecanismos estandarizados para garan zar la preservación y verificación de la validez de las firmas digitales del
documento electrónico en el empo:
•
•
169
Polí ca de formatos oficiales de los
documentos electrónicos firmados
digitalmente
o
o
o
5.2
Inclusión de sellos de empo en el documento electrónico.
Inclusión de la ruta de cer ficación en el documento electrónico.
Inclusión de la información de revocación en el documento electrónico.
Responsabilidades
En el ciclo de vida de un documento electrónico firmado digitalmente mediante el uso de un formato oficial, se iden fican dos conjuntos de
responsabilidades relacionados con mecanismos de firma digital: la firma digital y la verificación de validez de la firma digital. Para la emisión
de un documento electrónico firmado digitalmente, y para la recepción
o verificación de su validez, se establecen una serie de ac vidades que
deben realizarse para garan zar que la firma digital asociada tenga valor
en el empo. El lugar y la manera en que se codifican estos atributos en
el documento electrónico corresponden con lo indicado en las especificaciones de la ETSI mencionadas anteriormente.
5.2.1 Firma digital del documento electrónico
Cuando se firma digitalmente un documento electrónico, será responsabilidad del sistema o sistemas que implementan los mecanismos
de firma digital incluir los atributos descritos a con nuación (siempre
respetando el estándar que corresponda):
Nombre del Atributo
Resumen hash
encriptado (digest)
CerƟficado del
firmante
170
Descripción del Atributo
Mecanismo criptográfico
que permite garan zar la
integridad y auten cidad
del documento.
Copia del cer ficado del
firmante que permite verificar la autoría del documento.
Etapas de proceso
posibles para la
inclusión del Atributo
en el Documento
Emisión
Emisión
Polí ca de formatos oficiales de los
documentos electrónicos firmados
digitalmente
Solicitados a una TSA de
la jerarquía del Sistema
Nacional de Cer ficación
Digital.
Cadenas de cer ficados
que ubiquen el cer ficado
del firmante y de los sellos
Rutas de cerƟficación
de empo en la jerarquía
del Sistema Nacional de
Cer ficación Digital.
Tokens de sellado de
Ɵempo1
Emisión, Recepción o
Validación
Emisión, Recepción o
Validación
Información de revocación
Respuestas de validez del cer ficado del firmante, de los sellos de
empo y de todos los cer ficados de sus respec vas rutas de cer ficación.
Emisión, Recepción o Validación
5.2.2 Verificación de la validez de la firma digital en el documento
electrónico
Cuando se verifica la validez de un documento electrónico firmado
digitalmente en el formato oficial, es impera vo que se realicen las siguientes validaciones de los diferentes atributos que el documento conene:
Nombre del
Atributo
Resumen hash
encriptado (digest)
CerƟficado del
firmante
1
Descripción de la AcƟvidad de Validación
Verificar que el hash encriptado corresponda con el
documento electrónico.
Verificar que la firma del documento corresponda con
el cer ficado del firmante.
Los tokens de sellado de empo que se u lizan de manera estandarizada en los formatos oficiales son para determinar la existencia de u n conjunto de datos en un
momento determinado del empo (por ejemplo, para garan zar que el cer ficado
no estaba vencido al momento de la firma), y no necesariamente para iden ficar el
momento de realización de la firma por parte del firmante ni del momento de la recepción del documento por parte de un receptor del mismo. Pueden u lizarse otros
tokens de sellado de empo, adecuadamente controlados y documentados en las
herramientas, para tales fines.
171
Polí ca de formatos oficiales de los
documentos electrónicos firmados
digitalmente
Tokens de sellado
de Ɵempo
Verificar que los tokens de sellado de empo son de
fechas previas a la fecha de vencimiento de los cer ficados del firmante o de las rutas de cer ficación e
información de revocación según corresponda, y así
garan zar que todos los cer ficados y cadenas eran
vigentes y válidas cuando se usaron.
Verificar que todos los cer ficados del documento coRutas de cerƟficación rrespondan a cer ficados de la jerarquía del Sistema
Nacional de Cer ficación Digital.
Información de
revocación
Verificar que todos los cer ficados del documento
eran válidos (vigentes y no revocados) en el momento
de su inclusión en el documento.
5.2.3 Consideraciones adicionales para la inclusión de los atributos
Tal y como se desprende de la presente polí ca y de los estándares
a los que hace referencia, los atributos “Resumen hash encriptado (digest)” y “Cer ficado del firmante” solo pueden agregarse en presencia
de cada uno de los firmantes tulares de los cer ficados que realizan un
ejercicio de firma sobre el documento electrónico. Los restantes atributos, “Tokens de sellado de empo”, “Rutas de cer ficación” e “Información de revocación”, pueden agregarse posterior al ejercicio de firmado
del/de los firmantes del documento, ya sea al momento de la recepción
o durante la validación del documento. Esto úl mo es cierto siempre y
cuando los cer ficados de los firmantes, y los cer ficados de la jerarquía, no hayan vencido ni tampoco hayan sido revocados.
El escenario descrito es una medida existente para atender el riesgo
de que, al tratar de hacer una firma digital en formato oficial, los servicios de respuesta en línea o los repositorios de información de revocación no estén disponibles; con el obje vo de que dicha eventualidad
no limite la creación de firmas digitales en documentos electrónicos, a
los que posteriormente pueden incluirse todos los atributos adicionales
que permiten la verificación de la validez de la firma digital del documento electrónico a largo plazo.
172
Directrices para las Autoridades de
ZĞŐŝƐƚƌŽ͘ĂƌĂĐƚĞƌşƐƟĐĂƐĚĞ
cumplimiento de Autoridades de
Registro (RA) de la jerarquía
ŶĂĐŝŽŶĂůĚĞĐĞƌƟĮĐĂĚŽƌĞƐ
registrados de Costa Rica
DireccióŶĚĞĞƌƟĮĐĂĚŽƌĞƐĚĞ&ŝƌŵĂŝŐŝƚĂů
Ministerio de Ciencia y Tecnología
OID 2.16.188.1.1.1.1
Versión: 1.00
ϬϰĚĞƐĞƟĞŵďƌĞ͕ϮϬϬϴ
Directrices para las Autoridades de Registro. Caracterís cas
de cumplimiento de Autoridades de Registro (RA) de la
jerarquía nacional de cer ficadores registrados de Costa Rica
Control de versiones
Fecha
Versión
Autor(es)
Aprobado
Descripción
03–12–07
Borrador
Comité de PolíƟcas
Lic.Oscar Solís
Director DCFD
Se incorporan las observaciones de la consulta pública,
de acuerdo al edicto publicado el día lunes 19 de noviembre del 2007 en el diario oficial “La Gaceta”, número
Nº 222
04–09–08
1.00
Comité de PolíƟcas
Lic.Oscar Solís
Director DCFD
Oficialización y entrada en vigencia de las políƟcas.
175
Directrices para las Autoridades de Registro. Caracterís cas
de cumplimiento de Autoridades de Registro (RA) de la
jerarquía nacional de cer ficadores registrados de Costa Rica
1.
Disposiciones Generales
Este documento regula la operación y procedimientos mínimos
adoptados por las Autoridades de Registro (en adelante RA) que gesonan los cer ficados dentro de la jerarquía nacional de cer ficadores
registrados de Costa Rica, y es un complemento de la “Polí ca de Cer ficados para la jerarquía nacional de cer ficadores registrados”
La Autoridad de Registro (RA) es la en dad responsable por la comunicación entre el usuario y la autoridad cer ficadora (CA). Está vinculada
a una CA y ene por obje vo recibir, validar, verificar y ges onar las
solicitudes de emisión o revocación de los cer ficados digitales, cumpliendo con lo establecido en la polí ca de cer ficación nacional y en
concordancia con las polí cas y procedimientos definidos por la CA correspondiente
Para el presente documento se aplican las definiciones del “Reglamento a la Ley de cer ficados, firma digitales y documentos electrónicos (Decreto No. 33018–MICIT)” y de la “Polí ca de Cer ficados para
la jerarquía nacional de cer ficadores registrados”. Sin embargo, para
ampliar la reglamentación de la RA se deben aclarar los siguientes conceptos:
a.
Agente de registro: Persona responsable de la ejecución de las
ac vidades propias de la RA. Esta persona debe realizar las validaciones y verificaciones definidas en la polí ca del cer ficado
que corresponda.
b.
Confirmar la iden dad del solicitante: proceso para comprobar
que el solicitante es la persona con autoridad para solicitar el
cer ficado, de acuerdo a la polí ca asociada al cer ficado.
c.
Suspensión de un agente de registro: Es cuando un funcionario que ene el rol de agente de registro deja de ejercer sus
labores temporalmente, alterándosele sus permisos dentro del
sistema de la CA.
177
Directrices para las Autoridades de Registro. Caracterís cas
de cumplimiento de Autoridades de Registro (RA) de la
jerarquía nacional de cer ficadores registrados de Costa Rica
d.
Desvincular a un Agente de Registro: Es el proceso de separar a
un agente de registro de sus funciones, eliminándole los permisos dentro del sistema de la CA. Este proceso ocurre cuando:
1.
El funcionario ha renunciado a su cargo en la organización
2.
El funcionario es cesado de sus funciones o de su organización
3.
El funcionario que ha recibido la función de agente de registro la deja de ejercer, aunque con núa trabajando en
otros puestos de la organización.
4.
El funcionario sancionado mediante un proceso administra vo, o por un procedimiento disciplinario, que impidan
con nuar en su cargo.
e.
Encargado de la RA: Persona responsable de la supervisión de
las funciones de los agentes de registro, y la coordinación con
la CA.
f.
Expediente del agente de registro: Es el conjunto de documentos rela vos a un agente de registro.
g.
Expediente de instalación: Es el conjunto de documentos relavo a las instalaciones de la RA, tales como plan de con nuidad de negocio, análisis de riesgos, reglamento de sanciones,
inventario de ac vos y un plan de terminación de la RA (de
acuerdo con el punto “5.8 Terminación de una CA o RA” del
documento de Polí ca de cer ficados para la jerarquía nacional
de cer ficadores registrados).
h.
Instalaciones: Es el ambiente sico de una RA, cuyo funcionamiento es debidamente autorizado para realizar las ac vidades
de validación y verificación de las solicitudes de cer ficado.
i.
Validación del solicitante del cer ficado: Es la verificación de la
iden dad del individuo o la organización que se presente ante
una RA para solicitar un cer ficado. Esta validación requiere de
178
Directrices para las Autoridades de Registro. Caracterís cas
de cumplimiento de Autoridades de Registro (RA) de la
jerarquía nacional de cer ficadores registrados de Costa Rica
la presencia sica del solicitante y de la evidencia que permita
determinar su autoridad para la solicitud de su cer ficado respec vo.
Las áreas y ac vidades ejecutadas por la RA incluyen, entre otras:
 Verificar y validar los documentos de iden dad
 Registrar y enrolar a los suscriptores
 Entregar cer ficados digitales
 Ges onar la aceptación del cer ficado por parte del suscriptor
 Ges onar revocaciones de cer ficados
 Registrar los eventos en las bitácoras
 Controlar y supervisar a los agentes de registro
 Almacenar y custodiar la documentación
 Controlar los reportes de incidentes
 La RA debe establecer los procedimientos y guías para asegurar
el cumplimiento de la polí ca de cer ficados de la jerarquía
nacional y de este documento, además de tomar las acciones
que prevengan alguna deficiencia de la RA, incluyendo la terminación o suspensión de sus deberes.
1.1
Administración del documento
1.1.1 Organización que administra el documento
Dirección de CerƟficadores de Firma Digital
Ministerio de Ciencia y Tecnología, dirección: San José, 50 metros
Este del Museo Nacional. Apartado Postal: 5589–1000 San José, Costa
Rica. Correo Electrónico: [email protected]
179
Directrices para las Autoridades de Registro. Caracterís cas
de cumplimiento de Autoridades de Registro (RA) de la
jerarquía nacional de cer ficadores registrados de Costa Rica
1.1.2 Persona de contacto
Jefatura de la Dirección de Cer ficadores de Firma Digital Director de
Cer ficadores de Firma Digital, Correo Electrónico: [email protected]. Tel. (506) 2248–1515, ext. 115.
2.
Controles del Personal
2.1
Disposiciones generales
La autoridad de registro es la responsable administra va de su operación y debe enviar a la CA la información actualizada de los agentes
de registros ac vos, sus perfiles, cualidades y necesidades de acceso a
la información Esta información es actualizada y consolidada por la CA,
ejecutando los más estrictos procedimientos de custodia y fiscalización
indicados en la sección 5.5.3 “protección de archivos”, de la Polí ca de
Cer ficados para la jerarquía nacional de cer ficadores registrados.
Los agentes de registro deben ser funcionarios de la organización
que opera como Autoridad de Registro.
2.2
Requerimientos de documentación del Agente de Registro
Para cada agente de registro, en concordancia con los requisitos de
personal ejecutando roles de confianza en la sección 5.3 de la polí ca
de cer ficados para la jerarquía nacional de cer ficadores registrados,
la RA correspondiente debe poseer un expediente con:
a.
Un contrato de trabajo o documento que permita comprobar
su situación laboral
b.
Comprobante de verificación de antecedentes criminales c.
Comprobante de verificación de situación credi cia
d.
Comprobante de verificación de empleos anteriores. Incluyendo empleos en otras RA y las sanciones aplicadas, en caso de
que existan.
180
Directrices para las Autoridades de Registro. Caracterís cas
de cumplimiento de Autoridades de Registro (RA) de la
jerarquía nacional de cer ficadores registrados de Costa Rica
e.
Comprobante de escolaridad y residencia
f.
Comprobante de aprobación de las capacitaciones recibidas referentes a las ac vidades propias de un Agente de Registro.
g.
Declaración en que afirma conocer las atribuciones que asume
y el deber de cumplir con la polí ca nacional de cer ficación, y
de mantener confidencialidad y privacidad de los datos disponibles en la CA o RA
h.
Resultados de las evaluaciones periódicas
i.
Registro que lo compromete a ejecutar labores de agente de
registro en la RA
j.
Registro en la CA o RA del momento en que fue incluido el rol
de agente en el sistema de cer ficación
Cuando un Agente de Registro es desvinculado o suspendido de sus
ac vidades en la RA entonces el expediente de la persona debe indicar:
 Registro de la solicitud para deshabilitar al agente de registro
del sistema de cer ficación
 Registro en la CA del momento en que el agente de registro es
deshabilitado o suspendido del sistema de cer ficación
2.3
Requerimientos Capacitación
Todo agente de registro, y personal involucrado de su administración, debe recibir capacitación y documentación en los siguientes temas:
a.
Concepto básico de cer ficados digitales, Tokens y Smart Card
b.
Principios y mecanismos de seguridad de la RA
c.
Uso del Sistema de Cer ficación de la CA
181
Directrices para las Autoridades de Registro. Caracterís cas
de cumplimiento de Autoridades de Registro (RA) de la
jerarquía nacional de cer ficadores registrados de Costa Rica
d.
Procedimientos de recuperación de desastres y de con nuidad
del negocio
e.
Procedimientos para la validación y verificación de iden dad
Esto deberá constar en el expediente de agente de registro. Cuando
se presenten cambios significa vos en las operaciones de la RA, el personal involucrado debe recibir capacitación al respecto.
2.4
Procedimiento de suspensión o desvinculación
Cuando un Agente de Registro sea suspendido o desvinculado de sus
ac vidades, el encargado de la RA debe ges onar inmediatamente con
la CA la suspensión o revocación de sus permisos de acceso a los sistemas de la CA y de las labores inherentes a las ac vidades de la RA. Estos
procesos deben ser documentados.
3.
Controles İsicos
3.1
Exigencias mínimas de seguridad İsica
Todas las Autoridades de Registro deben cumplir con las siguientes
exigencias mínimas de seguridad:
a.
Disposi vos para la detección de incendios
b.
Gabinetes o armarios con llave, de uso exclusivo de la RA
c.
Los equipos de la RA deben estar protegidos contra fallas del
fluido eléctrico y otras anomalías en la energía
d.
Vigilancia y monitoreo del ambiente de la RA durante su horario de operación
e.
Un perímetro de seguridad en el edificio donde se encuentran
las instalaciones de la RA, con un guarda asignado durante el
horario de operación.
f.
Controles contra coacción para cada agente de registro
g.
Iluminación de emergencia
182
Directrices para las Autoridades de Registro. Caracterís cas
de cumplimiento de Autoridades de Registro (RA) de la
jerarquía nacional de cer ficadores registrados de Costa Rica
3.2
Procedimientos de monitoreo
Mantener monitoreo por Circuito Cerrado de Televisión (CCTV), o
cualquier otra tecnología de video–vigilancia, para la supervisión de las
ac vidades de la RA. Las imágenes deben ser mantenidas en un ambiente seguro por al menos 60 días.
4.
Controles lógicos
4.1
Controles de seguridad de las estaciones de trabajo
Las estaciones de trabajo de la RA, incluyendo los equipos portá les,
deben estar protegidas contra amenazas y acciones no autorizadas.
Las estaciones de trabajo de la RA, deben cumplir las siguientes direc vas de seguridad:
a.
Control de acceso lógico al sistema operacional
b.
Auten cación robusta (por ejemplo, u lizando cer ficados digitales) para hacer uso de las estaciones de trabajo
c.
Direc vas bloqueo de la sesión de usuario
d.
Bitácoras de auditoría del sistema opera vo ac vadas, registrando:
e.
1.
Inicio y terminación de las sesiones del sistema opera vo
2.
Intentos de crear, remover, definir contraseñas o modificar los privilegios del sistema opera vo
3.
Modificaciones en la configuración de las estaciones
4.
5.
Accesos (login) y de salidas (logoff) del sistema opera vo
Intentos de acceso no autorizado al sistema opera vo
An virus instalados, actualizados y habilitados
183
Directrices para las Autoridades de Registro. Caracterís cas
de cumplimiento de Autoridades de Registro (RA) de la
jerarquía nacional de cer ficadores registrados de Costa Rica
f.
Permisos de acceso mínimos que le permitan ejecutar las ac vidades estrictamente necesarias.
g.
Protector de pantalla ac vado como máximo dos minutos después de estar en inac vidad el equipo y exigiendo un mecanismo de auten cación del usuario para desbloquearlo.
h.
Sistema opera vo actualizado y con la aplicación de las correcciones necesarias (parches, ho ix, etc.)
i.
Endurecimiento de Estación (Hardening1)
j.
Instalar únicamente aplicaciones autorizadas y concernientes a
la función.
k.
U lización de so ware licenciado en las estaciones de la RA
l.
Limitar el acceso remoto a la estación de trabajo de la RA, vía
otro equipo ligado a una red de computadores u lizada por la
RA, excepto para ac vidades de soporte remoto de la CA
m. Sincronización con la hora UTC en Costa Rica
Las bitácoras deben permanecer almacenadas localmente por un
periodo de al menos 60 días y posteriormente pueden ser eliminadas.
En las estaciones de la RA debe contarse con un perfil de administrador de los equipos, que sea el responsable de administrar la configuración de la máquina y esta labor debe ser segregada de las funciones del
agente de registro de la RA.
4.2
Controles de la aplicación de la RA
La aplicación de la RA es la conexión entre la RA y el sistema de cerficados de la CA y debe cumplir al menos con las siguientes funcionalidades:
1
El Hardening es una técnica compuesta por un conjunto de ac vidades llevadas a
cabo por el administrador de un sistema opera vo para reforzar al máximo posible la
seguridad de este.
184
Directrices para las Autoridades de Registro. Caracterís cas
de cumplimiento de Autoridades de Registro (RA) de la
jerarquía nacional de cer ficadores registrados de Costa Rica
a.
Auten car robustamente (por ejemplo u lizando un cer ficado digital) al funcionario que funge en el rol de agente de registro
b.
Permi r acceso solamente a través de equipos auten cados
c.
Almacenar el historial de las inclusiones y exclusiones de los
agentes de registro y los permisos o revocatorias aplicadas
d.
Proveer mecanismo de revocación automá ca de los cer ficados por parte del suscriptor o dueño del cer ficado
e.
Almacenar información que evidencie los procesos de iden ficación y auten cación de los solicitantes
f.
Implementar controles para verificar la información incluida en
el cer ficado digital, en par cular validarlos con las fuentes oficiales de información definidas en polí ca de Cer ficados para
la jerarquía nacional de cer ficadores registrados
g.
Remi r la solicitud de cer ficado digital a la CA emisora, firmada digitalmente
h.
Proveer métodos de ac vación de los disposi vos criptográficos a través de esquemas seguros, que evite divulgar información acerca de la ac vación de los disposi vos.
i.
Evidenciar que el proceso de generación e instalación del cer ficado se realizó dentro del empo definido en la sección “4.2.3
Tiempo para procesar solicitudes de cer ficado” de las polí cas de cer ficación o con base en el acuerdo del suscriptor.
j.
Implementar controles para la preservación de la privacidad de
la información
k.
Dejar evidencia para los cer ficados de persona sica de la
aceptación de los deberes y responsabilidades por parte del
suscriptor acerca del uso del cer ficado, firmando digitalmente
el comprobante de aceptación con el cer ficado entregado y
validando que funciona correctamente
185
Directrices para las Autoridades de Registro. Caracterís cas
de cumplimiento de Autoridades de Registro (RA) de la
jerarquía nacional de cer ficadores registrados de Costa Rica
l.
Registrar en la bitácoras de auditoría las operaciones del ciclo
de vida del cer ficado
m. Reportar cualquier incidente a la CA
5.
Controles de seguridad de la RED
Cada instalación de la RA debe mantener los componentes de su red
local en un ambiente sicamente seguro y sus configuraciones deben
ser revisadas periódicamente. Además, deben protegerse la privacidad
e integridad de los datos sensibles.
6.
Controles de seguridad de la información
6.1
Directrices generales
Toda la información y documentos relacionados con la instalación y
puesta en operación de la RA deben ser clasificados y almacenados de
acuerdo a los requisitos de seguridad definidos en la sección “5.5 Archivado de registros” de Polí ca de cer ficados para la jerarquía nacional
de cer ficadores registrados; y que garan zan privacidad y confidencialidad de la información.
El “Expediente de Instalación” es un documento clasificado como
privado y confidencial, por mantener información sensible de la instalación técnica de la RA, y está cons tuido por los siguientes documentos
actualizados:
a.
Plan de con nuidad del negocio
b.
Análisis de riesgos
c.
Reglamento de sanciones
d.
Plan de terminación de una RA
e.
Inventario de Ac vos de la RA
186
Directrices para las Autoridades de Registro. Caracterís cas
de cumplimiento de Autoridades de Registro (RA) de la
jerarquía nacional de cer ficadores registrados de Costa Rica
Adicionalmente, debe tener disponible los siguientes documentos
para uso de los agentes de registro:
 Copia de las polí cas de cer ficación
 Manual de operación para los agentes de registro
6.2
Procedimientos de almacenamiento, manipulación y destrucción de documentos
Los documentos en papel que componen los expedientes de los solicitantes de cer ficado deben ser guardados obligatoriamente en archivos donde únicamente tengan acceso los agentes de registro. Una RA
puede sus tuir los documentos sicos por digitales, siempre y cuando
estén firmados digitalmente con un cer ficado emi do por la jerarquía
nacional de cer ficación digital.
Los documentos que contengan información confidencial o privada
deben ser almacenados en los gabinetes o armarios con llave de uso exclusivo de la RA y cuando se dejen de u lizar deberán ser destruidos, de
tal forma que no se pueda recuperar la información contenida en ellos.
7.
Controles del ciclo de vida del cerƟficado
La RA debe respetar el ciclo de vida del cer ficado definido en el
capítulo 4 “Requerimientos operacionales del ciclo de vida del cer ficado”, del documento de “Polí ca de cer ficados para la jerarquía nacional de cer ficadores registrados”.
8.
Acuerdos operacionales
La CA debe celebrar un acuerdo operacional para que la RA ejecute
las ac vidades de validación y verificación de las solicitudes de cer ficado. Este acuerdo debe contener al menos:
a.
La iden ficación y calidades de los celebrantes del acuerdo de
la RA
b.
La iden ficación de los deberes que competen a la RA en función del acuerdo
187
Directrices para las Autoridades de Registro. Caracterís cas
de cumplimiento de Autoridades de Registro (RA) de la
jerarquía nacional de cer ficadores registrados de Costa Rica
c.
La iden ficación de los responsables de la RA
d.
Compromiso de la RA de cumplir con las normas y procedimientos definidos
e.
Plazo por medio del cual el acuerdo es celebrado
f.
Obligaciones de la RA para verificar los procesos que ejecuta
188
PŽůşƟĐĂĚĞƐĞůůĂĚŽĚĞƟĞŵƉŽĚĞů
^ŝƐƚĞŵĂEĂĐŝŽŶĂůĚĞĞƌƟĮĐĂĐŝſŶ
Digital
DiƌĞĐĐŝſŶĚĞĞƌƟĮĐĂĚŽƌĞƐĚĞ&ŝƌŵĂŝŐŝƚĂů
DŝŶŝƐƚĞƌŝŽĚĞŝĞŶĐŝĂLJdĞĐŶŽůŽŐşĂ
OID 2.16.188.1.1.1.5
sĞƌƐiſŶ: 1.00
ϬϰĚĞƐĞƟĞŵďƌĞ͕ϮϬϬϴ
Polí ca de sellado de empo del
Sistema Nacional de Cer ficación Digital
Control de versiones
Fecha
Versión
Autor(es)
Aprobado
26–10–07
Consulta
pública
Comité de PolíƟcas
Comité Técnico
Lic.Oscar Solís
Director DCFD
03–12–07
Borrador
Comité de PolíƟcas
Lic.Oscar Solís
Director DCFD
04–09–08
1.00
Comité de PolíƟcas
Lic.Oscar Solís
Director DCFD
Descripción
Se presenta la versión de las PolíƟcas de Sellado de
Tiempo y se obƟene la aprobación del Director de la
DCFD.
Se incorporan las observaciones de la consulta pública, de acuerdo al edicto publicado el día lunes 19 de
noviembre del 2007 en el diario oficial “La Gaceta”, número Nº 222
Oficialización y entrada en vigencia de las políƟcas.
191
Polí ca de sellado de empo del
Sistema Nacional de Cer ficación Digital
1.
Introducción
Este documento define las polí cas de sellado de empo para la
emisión del cer ficado de autoridades de sellado de empo (TSA) referenciado en el documento de “Polí cas de Cer ficación del Sistema
Nacional de Cer ficación Digital” del gobierno de Costa Rica.
La autoridad de sellado de empo debe implementar las polí cas
definidas en este documento para poder registrarse ante la Dirección de
Cer ficadores de Firma Digital (DCFD).
En el siguiente gráfico se muestra la ubicación de una autoridad de
sellado de empo en la jerarquía nacional de cer ficadores registrados:
CA Raíz
CA de ƉŽůşƟĐas
Sellado de Ɵempo
Otras ƉŽůşƟĐas
Autoridad de
Sellado de
Tiempo
Unidad de sellado de
ƟĞŵƉŽ (TSU)
Sellos de
ƟĞŵƉŽ
Diagrama N.1: Autoridad de sellado de empo del
sistema nacional de cer ficación digital
Adicionalmente, para la implementación de la polí ca de sellado de
empo se debe cumplir con el protocolo definido por el RFC 3161 “Internet X.509 Public Key Infrastructure Time–Stamp Protocol (TSP)”
193
Polí ca de sellado de empo del
Sistema Nacional de Cer ficación Digital
1.1
Administración de la PolíƟca
1.1.1 Organización que administra el documento
Dirección de CerƟficadores de Firma Digital
Ministerio de Ciencia y Tecnología, dirección: San José, 50 metros
Este del Museo Nacional. Apartado Postal: 5589–1000 San José, Costa
Rica. Correo Electrónico: [email protected]
1.1.2 Persona de contacto
Jefatura de la Dirección de Cer ficadores de Firma Digital Director de
Cer ficadores de Firma Digital, Correo Electrónico: [email protected]. Tel. (506) 2248– 1515, ext. 115.
2.
Resumen
Este CP especifica los requerimientos para una Autoridad de Sellado
de Tiempo (TSA), tales como requisitos para la sincronización del empo, el sistema de emisión de los sellos de empo, y otros requerimientos
específicos para el proceso de sellado de empo de un documento o
dato.
3.
Definiciones y abreviaturas
3.1
Definiciones
Para los propósitos del presente documento, se aplican los siguientes términos y definiciones:
 Parte que con a: receptor del token de sellado de empo que
con a en este sello de empo, o cualquier en dad que quiera
comprobar que los datos sellados que ha recibido con enen un
sello de empo válido. Puede ser la misma en dad que u lizó
el servicio de sellado de empo, para comprobar que el sello
generado es válido y correcto.
194
Polí ca de sellado de empo del
Sistema Nacional de Cer ficación Digital
 Subscriptor: Persona o en dad que solicita los servicios proporcionados por la TSA y el cual implícita o explícitamente acepta
las polí cas de uso de este servicio. En un proceso de sellado
de empo, es el solicitante que posee la información a la que
quiere incluir un sello de empo para probar que los datos exis an en un determinado instante.
 Token de sellado de empo: Objeto de datos que está asociado a una representación de un dato para un empo concreto,
estableciendo así evidencia de que el dato exis a antes de ese
empo. Los token de sellado de empo deben emi rse de acuerdo al RFC 3161 “Internet X.509 Public Key Infrastructure Time
Stamp Protocol (TSP)”
 Autoridad de Sellado de Tiempo (TSA por sus siglas en inglés
Time Stamping Authority): Sistema de emisión y ges ón de token de sellado de empo basado en una firma digital acreditada dentro de la jerarquía nacional de cer ficadores registrados,
encargada de proveer uno o más servicios de sellado de empo
a través de unidades de sellado de empo (TSU).
 Sistema de TSA: Conjunto de elementos organizados para soportar los servicios de sellado de empo.
 Polí ca de sellado de empo: Conjunto de reglas que indican la
aplicabilidad de un token de sellado de empo para una comunidad par cular y/o la clase de aplicación con requerimientos
de seguridad comunes.
 Unidad de sellado de empo (TSU por sus siglas en inglés,
“ me–stamping unit”) es el conjunto de hardware y so ware
que es ges onado como una unidad y que ene un token de
sellado de empo firmado por una llave privada de la TSA.
 Tiempo Universal Coordinado (UTC por sus siglas en inglés Universal Time Coordinated): También conocido como empo civil, el cual es determinado por la referencia a una zona horaria
(por ejemplo: UTC–6 para Costa Rica). El empo coordinado
UTC está basado en relojes atómicos que se sincronizan para
195
Polí ca de sellado de empo del
Sistema Nacional de Cer ficación Digital
obtener una alta precisión y es el sistema de empo u lizado
como estándar por la World Wide Web.
 Declaración de Prác cas de sellado de empo: Declaración de
las Prác cas que una autoridad de sellado de empo emplea
en la emisión de los token de sellado de empo.
3.2
Abreviaturas
Abreviatura
TSA
TSU
TST
UTC
TSS
Descripción
Autoridad de Sellado de Tiempo (Time–Stamping
Authority)
Unidad de Sellado de Tiempo (Time–Stamping Unit)
Token de Sellado de Tiempo (Time–Stamp Token)
Tiempo Universal Coordinado (Universal Time Coordinated)
Servicios de Sellado de Tiempo (Time Stamping Services)
4.
Conceptos Generales
4.1
Servicios de Sellado de Tiempo (TSS)
El servicio de Sellado de Tiempo (TSS) se encarga de recibir la solicitud de sellado de empo de un suscriptor, verifica los parámetros de la
solicitud y genera el token de sellado de empo, de acuerdo a las polí cas de estampado de empo.
Además, cuenta con mecanismos control para garan zar el acceso a
fuentes de empo confiables, servicios criptográficos y del sistema de
validación.
4.2
Autoridad de Sellado de Tiempo (TSA)
La TSA es la autoridad en la que con an los usuarios de los servicios
de sellado de empo (suscriptores y partes que con an) para la emisión
de los sellos de empo. La TSA ene responsabilidad total en la provisión del servicio de sellado de empo que se iden fica en la cláusula
4.1.
196
Polí ca de sellado de empo del
Sistema Nacional de Cer ficación Digital
Una TSA puede operar diferentes TSU, donde cada unidad ene un
par de llaves diferentes. Es decir, una TSA puede tener varios cer ficados de sellado de empo según sean sus necesidades.
El proceso de sellado de empo sigue los siguientes pasos:
• El subscriptor del servicio realiza una pe ción de sellado de empo
para un dato (hash), y para esto prepara la solicitud de acuerdo con
el “Timestamp Request” definido en el RFC 3161.
• La autoridad de sellado de empo se encarga de:
• Revisa si la pe ción está completa y correcta. Si el resultado es
posi vo, el dato (hash) se envía como entrada a la Unidad de
Sellado de Tiempo.
• Ob ene la hora oficial de una fuente confiable de empo
• Crea un sello de empo que asocie el instante de empo actual,
un número de serie único y el dato (hash) proporcionado para el
sellado de empo, garan zando el cumplimiento de los requerimientos de esta polí ca.
• Crea el token de sellado de empo que se devolverá al subscriptor del servicio que realizó el pedido. En este momento se genera
la firma criptográfica del sello de empo.
• El suscriptor recibe el token de sellado de empo
• Las partes que con an verifican el sello de empo
197
Polí ca de sellado de empo del
Sistema Nacional de Cer ficación Digital
El proceso de sellado de empo se observa en el siguiente diagrama:
Autoridad de
Sellado de
Tiempo
Solicitante
Envía a TSA
KďƟĞŶĞ la hora ŽĮĐŝĂů
Unidad de sellado de
ƟĞŵƉŽ (TSU)
Firma el nuevo Hash
y el Tiempo
Retorna al solicitante
Almacena todo junto
Diagrama N.2: Proceso de sellado de empo de una
Autoridad de Sellado de Tiempo (TSA)
El proceso de verificación de un sello de empo de una parte que
con a es mostrado en el siguiente diagrama:
+
VeriĮca el sello de
ƟĞŵƉŽ usando llave
pública del cerƟĮcado
de la TSA
Documento con
sellado de Ɵempo
Sello de Ɵempo fue alterado
NO
Son
iguales
SI
VeriĮca
CRL
SI
Sello
válido
Sello inválido
Diagrama N.3: Proceso de verificación de un sello de empo
198
Polí ca de sellado de empo del
Sistema Nacional de Cer ficación Digital
4.3
Suscriptores
Los suscriptores de este servicio son los organismos o en dades finales, que han suscrito el correspondiente acuerdo de suscriptor que les
permite acceder a estos servicios de firma electrónica.
4.4
PolíƟca de Sellado de Tiempo y la Declaración de prácƟcas de la
TSA
Estos documentos explican los roles rela vos a la polí ca de sellado
de empo. En este caso, cualquier en dad que desea ser una TSA registrada debe probar que su declaración de prác cas de TSA se adhiere
a esta polí ca. El cumplimiento de los procedimientos y su adherencia
a las polí cas debe ser aprobada por la DCFD, posterior al estudio de
cumplimiento de la competencia técnica y administra va realizado por
el ECA.
5.
PolíƟcas de Sellado de Tiempo
5.1
Resumen
Las polí cas definidas para el sellado de empo establecen reglas
par culares a las definidas en el documento general de Polí cas para el
Sistema Nacional de Cer ficación Nacional, y en par cular establece el
conjunto de reglas u lizadas durante la emisión y el control de los token
de sellado de empo (TST), y además de regular el nivel de seguridad
requerido para la TSA.
5.2
IdenƟficación
De acuerdo con la sección 1.2 Nombre e Iden ficación del Documento de las Polí cas del Sistema Nacional de Cer ficación, se le asigna el
siguiente OID a las polí cas del Cer ficado de TSA:
OID
2
16
188
Descripción
joint–iso–itu–t
country
Costa Rica
199
Polí ca de sellado de empo del
Sistema Nacional de Cer ficación Digital
OID
Descripción
1
1
1
Organización
Dirección de CerƟficadores de Firma Digital
PolíƟcas
PolíƟca de cerƟficados para la jerarquía nacional de cerƟficadores registrados
PolíƟca de sellado de Ɵempo del sistema nacional de
cerƟficación digital
1
5
5.3
Comunidad de usuarios y aplicabilidad
Esta polí ca de sellado de empo ene como obje vo cumplir con
los requerimientos de las firmas digitales de sellado de empo para largos periodos de validez, y por estar dentro de la jerarquía nacional de
cer ficación poseen las caracterís cas para garan zar no repudio en los
procesos que requieran la cer ficación del empo.
5.4
Cumplimiento
La TSA debe implementar los controles y procedimientos iden ficados en esta polí ca para garan zar la confianza en los sellos de empo
que emite.
6.
Obligaciones y responsabilidades
6.1
Obligaciones de la TSA
6.1.1 General
La TSA que implementa esta polí ca está obligada a:
• Realizar sus operaciones en conformidad con esta polí ca.
• Proteger sus llaves privadas emi das para cada TSU.
• Emi r sellos de empo de acuerdo con la información conocida
en el momento de su emisión, y libres de errores de entrada de
datos.
200
Polí ca de sellado de empo del
Sistema Nacional de Cer ficación Digital
• U lizar sistemas y productos fiables que estén protegidos contra
toda alteración y que garan cen la seguridad técnica y criptográfica de los procesos de cer ficación a los que sirven de soporte.
• Garan zar que puede determinarse con precisión la fecha y la
hora a la que se emi ó un sello de empo.
• Publicar esta polí ca y los documentos relacionados en el si o
Web, garan zando el acceso a la versión actual del documento
de polí cas de sellado de empo y de las polí cas del sistema
nacional de cer ficación digital.
• Garan zar que todos los requerimientos de la TSA, incluidos procedimientos, prác cas rela vas a la emisión de token y revisión
de sistemas están conforme se describe en los documentos operacionales, de procedimiento y técnicos del sistema nacional de
cer ficación digital.
6.1.2
Obligaciones de la TSA hacia sus suscriptores
La TSA debe garan zar el acceso permanente a los servicios de sellado de empo que proporciona un empo de servicio (up me) superior
al 90%, excluyendo procesos de mantenimiento de sistemas y equipos.
Los procesos de mantenimiento técnicos deberán planificarse con la suficiente antelación, tener una duración determinada y avisar a los subscriptores del servicio, u lizando los medios de difusión disponibles.
La TSA debe garan zar los siguientes aspectos:
• Que el empo UTC incluido en los sellos de empo, asegura una
desviación máxima de 500 milisegundos.
• Que los sistemas u lizados en la provisión de estos servicios se
ajustan a lo contemplado en la norma va legal.
• Que el valor de empo es fiable en cada token de sellado de
empo emi do.
201
Polí ca de sellado de empo del
Sistema Nacional de Cer ficación Digital
• Que los sellos de empo son firmados usando una llave privada
generada exclusivamente para este propósito.
• Que no se emitan sellos de empo si el cer ficado de la TSA está
vencido o ha sido revocado.
• Que no hay ningún procesamiento de datos personales asociado
a la operación de la Autoridad de Sellado de Tiempo (TSA).
6.2
Obligaciones del suscriptor
En el proceso de obtención de un sello de empo, los subscriptores
deben verificar la firma electrónica de la TSA y comprobar en la CRL el
estado del cer ficado de la TSA.
6.3
Obligaciones de partes que conİan
Las partes que con an deben verificar la firma del sello de empo,
comprobar el estado del cer ficado de la TSA y su periodo de validez.
En el caso de la verificación de un sello de empo, después de la
expiración del cer ficado de la TSA, se debe verificar que el número de
serie del cer ficado de la TSA no se encuentra en la CRL, o determinar la
validez del cer ficado de la TSA en el momento que se generó el sello.
6.4
Responsabilidades
Las responsabilidades generales de la TSA se documentan en la políca del Sistema Nacional de Cer ficación Digital.
En par cular la TSA debe responsabilizarse de:
• Emi r los token de sellado de empo que pueden iden ficarse
en forma unívoca.
• Mantener el empo UTC de los sellos de empo dentro del margen de desviación definido en este CP.
202
Polí ca de sellado de empo del
Sistema Nacional de Cer ficación Digital
• Comunicar al suscriptor las responsabilidades y deberes asumidos con el uso del servicio de sellado de empo, en el acuerdo de
suscriptor.
• Implementación de los controles requeridos por esta polí ca
para emi r los token de sellado de empo de acuerdo a este CP.
• Proteger información confidencial o privada.
7.
Requerimientos en prácƟcas de la TSA
7.1
PrácƟcas y declaraciones de divulgación
7.1.1 Declaración de prácƟcas de TSA
La TSA que desea registrarse ante la DCFD debe implementar los
controles necesarios para garan zar la fiabilidad y confianza del servicio,
de acuerdo a las polí cas del sistema nacional de cer ficación digital y
de este documento. Estos controles deben especificarse en el documento de la “declaración prác cas de la TSA”.
7.1.2 Declaración de divulgación de TSA
Para el caso del sistema nacional de cer ficación digital, este documento se considera opcional.
7.2
GesƟón del Ciclo de vida de las llaves
7.2.1 Generación de la llave de la TSU
La generación de la llave de la Unidad de Sellado de Tiempo asociada
a la TSA, debe cumplir con lo especificado en las secciones del documento de polí ca del sistema nacional de cer ficación digital:
• 5.2 para controles procedimentales, y
• 6.1.1 para la generación del par de llaves
203
Polí ca de sellado de empo del
Sistema Nacional de Cer ficación Digital
7.2.2 Protección de la llave privada de la TSU
Los niveles de seguridad para la protección de la llave privada deben
cumplir con este documento de polí cas y las secciones del documento
de polí ca del sistema nacional de cer ficación digital:
• 4.12 de custodia y recuperación de la llave, y
• 6.2.1 de estándares y controles del módulo criptográfico.
7.2.3 Distribución de la llave pública de la TSU
La distribución de la llave pública de la Unidad de Sellado de Tiempo
de una TSA debe cumplir lo es pulado en las secciones de la polí ca del
sistema nacional de cer ficación digital:
• 6.1.3 para la entrega de la llave pública al emisor del cer ficado,
y
• 6.1.4 entrega de la llave pública de la CA a las partes que con an.
7.2.4 Re–emisión de llaves de la TSU
La re–emisión de llaves no se implementa como parte del sistema
nacional de cer ficación digital.
7.2.5 Terminación del ciclo de vida de la llave del TSU
La TSA debe asegurarse que las llaves privadas de firma de la Unidad de Sellado de Tiempo no puedan ser u lizadas más allá del periodo
de expiración. En par cular la TSA debe cumplir con lo es pulado en
sección 6.2.10 método de destrucción de la llave privada de la polí ca
nacional de cer ficación digital.
7.2.6 GesƟón del ciclo de vida de los módulos criptográficos usados
para las firmas de sellado de Ɵempo
La TSA debe operar los disposi vos criptográficos de acuerdo a las
especificaciones de la sección 6.2 para los controles de ingeniería del
204
Polí ca de sellado de empo del
Sistema Nacional de Cer ficación Digital
módulo criptográfico y protección de la llave privada del documento de
polí cas del sistema nacional de cer ficación digital.
7.3
Sellado de Ɵempo
7.3.1 Token de sellado de Ɵempo
La TSA debe garan zar que los token de sellado de empo son emidos en forma segura y que incluyen la hora oficial de Costa Rica. En
par cular cada sello de empo emi do por la TSA debe incluir:
• El OID de la polí ca de sellado de empo de la jerarquía nacional
de cer ficadores registrados.
• Contener un iden ficador único dentro de la TSA.
• Valores de fecha y hora iden ficables, mediante los cuales se
puede llegar al valor de empo UTC.
• El empo debe estar sincronizado con el empo UTC.
• Una representación (por ejemplo, valor hash) del dato que desea
ser sellado, el cual es proveído por el solicitante.
• El iden ficador de la TSA y de la TSU que lo emite.
Adicionalmente la TSA debe garan zar que:
• Si es imposible la obtención de la exac tud requerida para el
empo entonces el sello de empo no podrá ser emi do.
• El token de sellado de empo es firmado por una llave generada
exclusivamente para este propósito.
7.3.2 Sincronización de los relojes con UTC
La TSA debe asegurar que su reloj está sincronizado con el empo
UTC, con una exac tud menor a un segundo, y establecer los controles
para:
205
Polí ca de sellado de empo del
Sistema Nacional de Cer ficación Digital
• La calibración del reloj de la TSU debe ser mantenida dentro de
los límites definidos por este CP y por dis ntos caminos, u lizando como referencia el empo UTC para fijar el empo oficial.
• El reloj de la TSU debe ser protegido contra amenazas que podrían resultar en el cambio del empo fuera de la calibración o
por la manipulación sica de los sistemas.
• La TSA debe asegura que las diferencias entre el sistema del
empo de la TSU y el empo UTC sean detectadas. El cálculo de
empo cumple con las recomendaciones de NTP (Network Time
Protocol) y de la Oficina de Pesos y Medidas (BIPM = Bureau Interna onal des Poids et Mesures).
• La TSA debe asegurar que la sincronización del reloj es mantenida cuando se presenten “segundos intercalares” (leap second)
no ficados por el organismo apropiado. Dos veces al año, durante el úl mo minuto de los días 30 de junio y 31 de diciembre, se
realizan los ajustes automá cos para asegurar que la diferencia
acumulada entre UTC y UT1 no excederá a 0.9 segundos antes
del próximo ajuste programado. La TSA debe mantener un registro del empo exacto (dentro de la exac tud declarada) cuando
estos cambios ocurran.
7.4
GesƟón de la TSA y operaciones
7.4.1 GesƟón de seguridad
Todos los elementos rela vos al control de la seguridad se describen
en la polí ca del sistema nacional de cer ficación digital específicamente en la sección 5.2 de controles procedimentales, y de la sección 6.6.2
controles de ges ón de seguridad.
7.4.2 GesƟón y clasificación de acƟvos
La TSA debe asegurar que su información y otros ac vos reciban un nivel
apropiado de protección. En par cular, debe mantener el inventario de
todos los ac vos y quién los ene asignados de acuerdo al análisis de
riesgo efectuado.
206
Polí ca de sellado de empo del
Sistema Nacional de Cer ficación Digital
7.4.3 Seguridad del personal
Las caracterís cas del personal son establecidas por la polí ca del
sistema nacional de cer ficación digital, en la sección 5.3 controles de
personal. Dentro de los requerimientos de conocimiento del personal se
encuentran:
• tecnología de sellado de empo.
• tecnología de firma digital.
• mecanismos de calibración o sincronización de los relojes de la
TSU con el UTC.
• seguridad de la información y valoración de riesgos.
• procedimientos de seguridad para el personal con roles de confianza.
7.4.4 Seguridad İsica y ambiental
La descripción de la seguridad sica se encuentra documentada en la
sección 5.1 de las polí cas del sistema nacional de cer ficación digital.
7.4.5 GesƟón de las operaciones
La TSA debe implementar los controles de seguridad definidos por la
polí ca del sistema nacional de cer ficación digital para todas las operaciones de emisión de los token de sellado de empo, en par cular:
• Auditorias internas al sistema de la TSA.
• Reportes de incidentes y procedimientos de respuesta.
• Monitoreo de las transacciones.
207
Polí ca de sellado de empo del
Sistema Nacional de Cer ficación Digital
7.4.6 GesƟón de acceso a los sistemas
Los controles de acceso a los sistemas son determinados dentro de
la polí ca nacional de cer ficación digital en la sección 6.5 controles de
seguridad del computador.
7.4.7 Mantenimiento e implantación de sistemas de confianza
El mantenimiento e implantación de los sistemas de la TSA deben
cumplir con las es pulaciones de la polí ca nacional de cer ficación digital en la sección 6.6.1 controles para el desarrollo de sistemas.
7.4.8 Compromiso de los servicios de TSA
En caso de compromiso de los servicios de sellado de empo, se
deberá seguir lo es pulado en la sección 5.7 recuperación de desastre y
compromiso de la polí ca del sistema nacional de cer ficación digital.
7.4.9
Terminación de una TSA
La TSA debe garan zar el mínimo impacto en caso de un cese de
ac vidades. En par cular, debe cumplir con los aspectos que una CA requiere para el cese de funciones y que están documentados como parte
de la polí ca del sistema nacional de cer ficación digital, en la sección
5.8 terminación de una CA o RA.
7.4.10
Cumplimiento de requerimientos legales
Sin es pulaciones.
7.4.11
Registro de información concerniente a las operaciones del
servicio de sellado de Ɵempo
La TSA debe incorporar los mecanismos para la creación y control de
las bitácoras de auditoría, con los eventos que han sido derivados de su
operación, los cuales deben estar de acuerdo a la sección 5.4 procedimientos de bitácora de auditoría del documento de polí cas del sistema
nacional de cer ficación.
208
Polí ca de sellado de empo del
Sistema Nacional de Cer ficación Digital
La TSA debe asegurar que toda la información relevante concerniente a los Tokens de Sellado de Tiempo (TST) son almacenados por el período de empo apropiado, en par cular para:
• Operaciones de la TSA:
• Los datos y eventos específicos a ser registrados en bitácoras
deben ser documentados por la TSA;
• La confidencialidad y la integridad de los registros actuales y
los archivados rela vos a la operación de servicios de la TSA
deben ser mantenidos;
• Los registros concernientes a la operación de servicios de la
TSA debe estar almacenados completa y confidencialmente;
• Los registros concernientes a la operación de servicios de la
TSA debe estar disponible si fueron almacenados para el propósito de evidencias de pruebas de la correcta operación de
los servicios de la TSA con el obje vo de actos jurídicos;
• El empo preciso de eventos de sincronización del reloj deben ser registrados;
• Los registros concernientes a los servicios de la TSA deben
estar retenidos por el período de empo posterior al vencimiento del cer ficado de la TSA para proveer la evidencia legal necesaria;
• Los eventos deben ser registrados al sistema de manera que
no puedan ser fácilmente eliminados o destruidos dentro del
período de empo que están obligados a ser retenidos; y
• Cualquier información grabada acerca de Suscriptores deben
ser mantenida confidencial excepto cuando un contrato del
Subscriber permita su publicación.
209
Polí ca de sellado de empo del
Sistema Nacional de Cer ficación Digital
• Ges ón de la llave de la TSA
• los registros concernientes a todos los eventos referentes al
ciclo de vida de las llaves de la TSA deben ser puestos en bitácora; y
• los registros concernientes a todos los eventos del ciclo de
vida de los cer ficados de la TSA deben ser puestos en bitácora.
• Sincronización de los relojes
• Los registros concernientes a todos los eventos de sincronización del reloj de la TSA para asignar el UTC deben ser puestos
en la bitácora. Esto incluirá la información concerniente a la
sincronización o calibración normal de relojes usados en el
estampado de empo ; y
• los registros concernientes a todos los eventos relacionados
para la detección de pérdida de sincronización deben ser
puestos en bitácora.
7.5
Organización
Las autoridades de sellado de empo se encuentran incluidas dentro
de la jerarquía nacional de cer ficadores registrados, bajo una polí ca
par cular de sellado de empo, y se adhieren a las polí cas dictadas por
la Dirección de Cer ficadores de Firma Digital (DCFD).
210