Normas Complementarias a la Ley 126-02
Anuncio
INSTITUTO DOMINICANO DE LAS TELECOMUNICACIONES INDOTEL INFRAESTRUCTURA DE CLAVE PUBLICA DE LA REPUBLICA DOMINICANA NORMAS COMPLEMENTARIAS A LA LEY 126-02 SOBRE COMERCIO ELECTRONICO, DOCUMENTOS Y FIRMAS DIGITALES Y A SU REGLAMENTO DE APLICACION NORMA SOBRE POLITICAS Y PROCEDIMIENTOS DE CERTIFICACION 1 INDICE MARCO CONCEPTUAL..................................................................... 3 CRITERIOS MÍNIMOS SOBRE LAS POLITICAS DE CERTIFICACION.............................................................................. 17 CRITERIOS MÍNIMOS SOBRE LA POLITICA DE CERTIFICACION PARA LA EMISIÓN DE CERTIFICADOS DE CORREO ELECTRÓNICO ............................................................................... 55 CRITERIOS MÍNIMOS SOBRE LA POLITICA DE CERTIFICACION PARA EL SECTOR PUBLICO.......................................................... 60 CRITERIOS MINIMOS SOBRE LA POLITICA DE CERTIFICACION PARA LAS FIRMAS DIGITALES SEGURAS ................................... 91 MANUAL DE PROCEDIMIENTOS DE CERTIFICACION .............. 140 2 MARCO CONCEPTUAL 3 INDICE I. Conceptos Básicos....................................................................................................................... 5 Política de Certificación (en adelante PC) ................................................................................ 5 Manual de Procedimientos de Certificación (en adelante MPC) .............................................. 5 Diferencia entre una PC y un MPC........................................................................................... 6 a. Autoría .......................................................................................................................... ..6 b. Propósito......................................................................................................................... 6 c. Nivel de Especificidad..................................................................................................... 6 d. Enfoque .......................................................................................................................... 7 e. Acceso Público y Privado ............................................................................................... 7 Unidad de Registro (UR)........................................................................................................... 8 Identificación ............................................................................................................................. 8 Autentificación........................................................................................................................... 8 II. Roles fundamentales en una Infraestructura de Clave Pública ...................................................9 a. Autoridad de Políticas ........................................................................................................... 9 b. Emisor de Certificados .......................................................................................................... 9 c. Productor de Certificados...................................................................................................... 9 d. Unidad de Registro ............................................................................................................. 10 e. Repositorio .......................................................................................................................... 10 f. Suscriptores ........................................................................................................................ 10 g. Usuarios o Terceras Partes ................................................................................................ 11 III. Componentes de una Política de Certificación .........................................................................12 1. Introducción......................................................................................................................... 12 2. Previsiones Generales ........................................................................................................ 12 3. Identificación y Autentificación............................................................................................ 12 4. Requerimientos Operativos ................................................................................................ 12 5. Controles de Seguridad no Técnicos.................................................................................. 13 6. Controles de Seguridad Técnica......................................................................................... 13 7. Certificados y Listas de Certificados Revocados................................................................ 13 8. Administración de la PC...................................................................................................... 13 IV. Niveles de Certificación.............................................................................................................14 V. Significado de las Siglas ............................................................................................................16 4 I. Conceptos Básicos Política de Certificación (en adelante PC) Conjunto de reglas que indican la aplicabilidad de un certificado a una comunidad en particular y/o a una clase de certificados, con requerimientos de seguridad similares. La PC permite determinar el nivel de confiabilidad que deben cumplir los certificados digitales utilizados con un fin específico. El propósito de una PC es: • Definir y limitar el uso de los certificados digitales • Especificar los requerimientos y las obligaciones del suscriptor, la EC y los usuarios o terceras partes • Determinar las responsabilidades del suscriptor, la EC y los usuarios o terceras partes • Especificar el proceso de acreditación y los criterios que se cumplieron para lograr la acreditación de la Entidad de Certificación • Detallar el proceso de administración de la política • Especificar las normas aplicables. Las PCs constituyen la base sobre la que se sustentan la interoperabilidad de la ICP, las condiciones bajo las cuales se administran los certificados digitales y los criterios de seguridad que se siguen a nivel de industria o aplicación, y a nivel internacional. Manual de Procedimientos de Certificación (en adelante MPC) Documento de la Entidad de Certificación, que describe las prácticas que emplea en la administración de los certificados. El MPC define el equipo y los procedimientos empleados por la Entidad de Certificación para satisfacer los requerimientos de las PCs que apoyan. Los MPCs pueden ser parcial o totalmente públicos y son emitidos y actualizados por cada Entidad de Certificación. Un MPC puede apoyar una o más PC. 5 Diferencia entre una PC y un MPC Tal como lo establece el Estándar ANS X9.79:2001, se indican a continuación las diferencias fundamentales entre una PC y un MPC en relación a su autoría, propósito, nivel de especificidad y enfoque. Estos atributos se contrastan a continuación a fin de delimitar las principales características de cada uno de los documentos mencionados, entendiendo que de esta manera se comprenderá el objetivo fundamental de los documentos que el INDOTEL pondrá a consideración del público en materia de políticas y procedimientos de certificación. a. Autoría Los autores de una PC y de un MPC en la mayoría de los casos no coinciden, excepto cuando se trata de Infraestructuras de Clave Pública (ICPs) cerradas, es decir, aquellas que pertenecen a un entidad en particular, y cuyos suscriptores y usuarios tienen una relación preexistente. En el resto de las ICPs, las PCs son generadas, mantenidas, distribuidas e interpretadas por el INDOTEL. Las ECs preparan el MPC a fin de proveer una guía para el procesamiento interno en la administración del ciclo de vida de los certificados que emiten. Otra opción es que las PCs marco sean generadas por la Autoridad de Políticas o el INDOTEL, para el caso dominicano; cada EC redactará su propia PC de acuerdo a esos lineamientos. b. Propósito El propósito de una PC es determinar “a qué se adhiere” al emitir/solicitar un certificado digital, mientras que un MPC establece “el cómo se adhiere”, es decir las prácticas y procesos que se utilizarán al crear y mantener un certificado digital. La relación entre la PC y el MPC es similar en naturaleza a la relación que existe entre otras políticas de negocios, que establecen los requerimientos de la entidad, y las prácticas y procedimientos establecidos por cada unidad de operación, a fin de determinar la manera en que dichas políticas de negocios serán puestas en funcionamiento. c. Nivel de Especificidad Una PC es un documento de mayor jerarquía que un MPC. Este último documento contiene una descripción más detallada de las prácticas operativas y de negocios seguidos por una EC al emitir y administrar certificados. El MPC de una EC determina las reglas, establecidas por las PCs específicas, a las que cada entidad se ha suscrito. 6 d. Enfoque Una PC se define en forma independiente de los detalles específicos del ambiente operativo de una EC, mientras que un MPC es adaptado a la estructura organizacional, los procedimientos operativos, las instalaciones y el ambiente tecnológico de la EC. e. Acceso Público y Privado El MPC es un documento emitido por cada EC para describir las prácticas que utiliza al emitir y mantener certificados digitales. Define claramente la manera en que dichas prácticas y procedimientos sustentan integralmente las PCs identificadas en cada certificado. Si bien el nivel de detalle de la información contenida en el MPC puede variar según la EC que los emita, dicho detalle será siempre más profundo que en la PC correspondiente. Un MPC es más completo y robusto ya que provee una descripción precisa de los servicios ofrecidos y de los procedimientos para la administración del ciclo de vida de los certificados. La PC es administrada como información pública y por lo tanto, se distribuye ampliamente a todos los participantes de la ICP y a todos las partes interesadas, externas a la misma. El contenido del MPC es administrado como información sensible y se le asigna un nivel de distribución limitado a los participantes de la ICP, pautado sobre la base de la necesidad de acceso a la información que detalla. En algunos casos, parte del contenido del MPC puede ser clasificado como confidencial, restringiéndose por consiguiente su distribución. La PC debe establecer claramente la política de distribución de la información pública, sensible y confidencial, tanto en relación con los participantes de la ICPRD como en cuanto a terceras partes ajenas a la misma. Por ejemplo, una PC puede establecer que las transacciones de registro de certificados sean consideradas sensibles y por razones de privacidad, dichas transacciones sean protegidas durante la transmisión y el almacenamiento. El MPC puede determinar que la totalidad de las transacciones de registro de certificados serán encriptadas durante la transmisión y listar las áreas a las que se les dará acceso a la información almacenada. El MPC puede también especificar los algoritmos y la longitud de las claves que utilizarán los sistemas de encriptación durante la transmisión y los mecanismos de acceso utilizados para el almacenamiento. Adicionalmente, la EC puede determinar procedimientos operativos confidenciales en documentos internos de circulación restringida sólo a determinadas áreas de la entidad. Una EC con un único MPC puede sustentar múltiples PCs. De igual forma, diferentes ECs, cada una con su propio MPC, pueden adherirse a una misma PC. 7 Unidad de Registro (UR) Entidad responsable de la identificación y autentificación de los titulares de certificados, pero que al no ser una Entidad de Certificación, no firma ni emite certificados. Las URs participan en los procesos de solicitud y/o revocación de certificados. La EC puede asumir por sí misma las funciones de UR, o bien hacerlo a través de una UR descentralizada. Identificación Modo por el cual un usuario (en este caso el suscriptor de un certificado digital) provee su identidad al sistema. Autentificación Modo en que una entidad (en este caso, la EC o la UR) establece la validez del medio de identificación. 8 II. Roles fundamentales en una Infraestructura de Clave Pública Previo al desarrollo de las secciones correspondientes a niveles y criterios de certificación, se considera conveniente clarificar los siguientes conceptos: El Estándar ANS X9.79:2001 describe los siguientes roles en una ICP: a. Autoridad de Políticas Cumple con las siguientes funciones: • • • • • • • Autoriza a las partes a actuar como Entidades de Certificación bajo sus Políticas, Crea, mantiene y aprueba las PCs, Distribuye y promueve las PCs, Especifica los contenidos de los certificados digitales, Interviene en la resolución de las disputas relacionadas con las PCs, Determina eventuales y/o potenciales problemas de seguridad e imprecisiones en las PCs frente a cambios tecnológicos, Audita Entidades de Certificación. En el marco de la normativa de la República Dominicana, este rol es ejercido por el INDOTEL. b. Emisor de Certificados Cumple con las siguientes funciones: • • • • • • • • • Emite certificados digitales, Administra el nombre de la EC, Provee los medios para que los suscriptores revoquen sus certificados, Revoca los certificados, Es propietario y controla sus claves de firma, Mantiene la propiedad y controla sus registros de negocios, Crea (en ICP cerradas) o suscribe a uno o más PC, Emite su propio MPC, Administra el dispositivo criptográfico para la generación de certificados. c. Productor de Certificados Cumple con las siguientes funciones: • • • • Genera y administra los pares de clave de certificados en forma consistente con las especificaciones de la unidad de registro, Distribuye las claves públicas del usuario, Genera y distribuye los certificados digitales, Genera información sobre el estatus de los certificados, 9 • • • • Efectúa las notificaciones a los suscriptores, Mantiene las condiciones de seguridad, disponibilidad y continuidad de las operaciones de firma de certificados, Periódicamente es sometido a auditorias de cumplimiento, Se mantiene alerta ante amenazas a la seguridad de la instalación y toma las medidas adecuadas frente a las amenazas significativas. d. Unidad de Registro Cumple con las siguientes funciones • Obtiene las claves públicas del suscriptor u opcionalmente le genera el par de claves, • Identifica y autentifica suscriptores, • Valida los datos de identificación provistos por el suscriptor, • Verifica que los datos de identificación pertenecen al suscriptor, • Verifica que el suscriptor está habilitado para obtener un certificado digital bajo una PC determinada, • Verifica que el suscriptor posee la clave privada correspondiente a la clave pública que contendrá el certificado a emitir, • Administra la remisión de las transacciones de solicitud de certificados de manera de relacionar los datos de identificación del suscriptor con la clave pública correspondiente, • Recibe y procesa las solicitudes de revocación, suspensión y restauración de certificados, • Capacita a su personal responsable de registro. e. Repositorio Realiza las siguientes tareas: • • • Almacena y distribuye los certificados digitales, Almacena, distribuye y publica información sobre el estado de los certificados (tales como Listas de Certificados Revocados -LCR- y/o Estatus en línea de certificados), Almacena y distribuye información pública de la ICP (p.e. PCs). f. Suscriptores Realizan las siguientes funciones: • • • • • Generan o solicitan la generación de un par de claves asimétricas, Mantiene el exclusivo control y administración de sus claves privadas, Cumplen con los requerimientos de protección de sus claves privadas, Informan sobre la pérdida o compromiso de sus claves privadas y sobre las inexactitudes de la información de sus certificados, Utilizan sus claves en aplicaciones de negocios autorizadas, en cumplimiento de las PCs aplicables. 10 g. Usuarios o Terceras Partes Realizan las siguientes tareas: • • • Validan los certificados digitales de los suscriptores, Verifican que el suscriptor posea la clave privada correspondiente a la clave pública contenida en el certificado correspondiente, Utiliza la clave pública del certificado solo para aplicaciones de negocios autorizadas y con las funciones criptográficas adecuadas (p.e. para la verificación de firmas digitales) en cumplimiento de las PCs aplicables. Ejercicio de los roles. En líneas generales y de acuerdo al marco normativo de la República Dominicana, se considera que las ECs ejercen los siguientes roles: Emisor de certificados Productor de certificados Unidad de Registro Repositorio Al implementar una EC puede optarse por delegar alguna de estas funciones (p.e. las de registro), pero la EC es en definitiva responsable por el cumplimiento de todas las funciones mencionadas, por la definición y el mantenimiento de su MPC, y por la adopción de una o varias PCs. Las ECs tienen responsabilidad en la implementación de procesos, políticas y procedimientos que aseguren que las URs descentralizadas cumplan con los requerimientos de la provisión de servicios de certificación. 11 III. Componentes de una Política de Certificación Se detallan a continuación los componentes y subcomponentes de una Política de Certificación, de acuerdo a lo establecido en el Estándar ANS X9.79:2001. Las tendencias internacionales recomiendan el empleo de la estructura organizativa de dicho estándar, con el objetivo de facilitar la interoperabilidad de las ECs de una misma ICP o de infraestructuras diferentes. Se incluye para cada componente, una breve descripción de sus contenidos. 1. Introducción Esta sección establece una introducción general a la PC e indica el ámbito de aplicación y los tipos de entidades y aplicaciones a las cuales se refiere la política. Está conformado por 4 secciones, que incluyen el propósito de la PC y los datos de contacto de la EC. 2. Previsiones Generales Este componente contiene todas las disposiciones aplicables a: • • • • Las obligaciones y responsabilidades de la EC y de otros actores involucrados, La identificación de los repositorios, La responsabilidad de la EC por la publicación de sus políticas y prácticas, el estatus de los certificados y toda otra información, por distintos medios, Cuándo y con qué frecuencia debe actualizarse la publicación de dicha información y los controles de acceso y confidencialidad que se ejercerán sobre la información publicada. 3. Identificación y Autentificación Este componente describe los procedimientos utilizados para autentificar la identidad y otros atributos de los solicitantes de certificados, previo a su emisión, realizados por la EC o la UR. Adicionalmente, esta sección establece los criterios para la aceptación de solicitudes de certificados, así como los casos de solicitudes de renovación, período de validez, revocación de certificados, clase de revocación y listas de certificados revocados. 4. Requerimientos Operativos 12 Este componente se utiliza para especificar los requerimientos que deben cumplir las ECs, las URs, los suscriptores y otros participantes, con relación al ciclo de vida de los certificados, incluyendo su emisión, contenido, condiciones de validez y revocación de certificados. 5. Controles de Seguridad no Técnicos Este componente describe los controles de seguridad no técnicos, es decir, los controles de seguridad física, de procedimientos y de personal, utilizados por la EC para realizar en forma segura las funciones de autentificación, emisión de certificados, la revocación de certificados, la auditoria y el archivo de la documentación. 6. Controles de Seguridad Técnica Este componente se utiliza para definir las medidas de seguridad adoptadas por la EC emisora para proteger la generación e instalación de sus claves criptográficas y datos de activación (PINs, passwords, etc.). Asimismo, se establecen las obligaciones de suscriptores, repositorios, etc. para la protección de sus claves privadas, datos de activación y parámetros de seguridad en casos críticos, así como la seguridad del computador y los controles de seguridad de conectividad de la red. La correcta y segura administración de las claves es fundamental para asegurar que todas las claves privadas y otros datos secretos sean protegidos y utilizados sólo por personas autorizadas. 7. Certificados y Listas de Certificados Revocados Este componente describe las características de los certificados y de las listas de estado de los certificados. También incluye los costos de los certificados y de otros servicios que presta la EC. 8. Administración de la PC Este componente reúne aspectos referidos a la publicación, la notificación, el mantenimiento y la aprobación de la PC. 13 IV. Niveles de Certificación Se proponen los siguientes niveles de certificación para la Infraestructura de Clave Pública de la República Dominicana: Nivel I: Básico • Utilizados en el intercambio de documentos y transacciones de bajo riesgo, • Utilizados para trámites con el Estado en el intercambio de documentos y transacciones de bajo riesgo, • Sin connotaciones financieras, • Nivel de verificación de identidad de baja y mediana rigurosidad, • Admiten registro inicial con presencia física o contra una base de datos institucional, • Aptos para reemplazar una firma manuscrita. Nivel II: Nivel Medio • Utilizados para trámites con el Estado en las transacciones económicas de bajo monto y para el intercambio de documentos, de riesgo bajo o medio, • Con connotaciones financieras, • Nivel de verificación de identidad rigurosa, • Exigen registro inicial con presencia física, • Aptos para reemplazar una firma manuscrita. Nivel III: Nivel Alto, con connotaciones financieras • Utilizados para el intercambio de documentos y transacciones monetarias de alto riesgo, • Utilizados para trámites con el Estado en las transacciones económicas de alto monto y alto riesgo, • Con connotaciones financieras, • Nivel de verificación de identidad de alta rigurosidad, • Exigen registro inicial con presencia física, • Exigen resguardo de claves de firma en dispositivo seguro, • Aptos para reemplazar una firma manuscrita. Adicionalmente, se propone una Política de Certificación Modelo para el Sector Público, y una Política de Certificación Modelo para Firmas Digitales Seguras. En el primer caso, dicha Política puede encuadrarse como una Política de Nivel I, pero dependiendo de la rigurosidad requerida en las transacciones y demás exigencias adicionales se utilizarán niveles de certificación superiores. En el caso de la Política Modelo para firmas digitales seguras, la misma cumple dos objetivos: 14 1. Dar sustento al concepto de firma digital segura que surge del artículo 32 de la Ley No. 126-02 2. Ofrecer una alternativa para un futuro reconocimiento de certificados con la Unión Europea al tomar en su redacción la mayor parte de los lineamientos trazados por la ETSI en su Política de Certificación para Certificados Calificados. Para terminar, se realiza una propuesta de Política de Certificación para Certificados de Práctica, conocida también como Política para Certificados de Correo Electrónico o clase 1. El objetivo fundamental de este tipo de certificados es acercar a potenciales usuarios y suscriptores a la tecnología de firma digital. 15 V. Significado de las Siglas Sigla PC EC MPC AR ICPRD RD FD FIPS IETF ISO ITU NIST PKIX RFC LCR URL Significado Política de Certificación Entidad de Certificación Manual de Procedimientos de Certificación En inglés: Certification Practice Statement o CPS Autoridad de Registro Infraestructura de Clave Pública de la República Dominicana República Dominicana Firma Digital Federal Information and Processing Standard Internet Engineering Task Force International Organization for Standardization International Telecommunications Union National Institute of Standards and Technology Public-key Infrastructure (X.509) (IETF Working Group) Request For Comment Listas de Certificados Revocados Uniform Resource Locator – Dirección de Internet 16 CRITERIOS MINIMOS SOBRE LAS POLITICAS DE CERTIFICACION 17 INDICE 1. Introduccion……………………………………………………………………………………………20 1.1. Visión General ........................................................................................................................ 20 1.2. Identificación........................................................................................................................... 21 1.3. Sujetos.................................................................................................................................... 21 1.4. Aplicabilidad............................................................................................................................ 22 1.5. Datos de Contacto.................................................................................................................. 23 2. Previsiones Generales ...............................................................................................................24 2.1. Responsabilidades ................................................................................................................. 24 2.1.1. Responsabilidad de la Entidad de Certificación..................................................... 24 2.1.1.1 Responsabilidades asumidas por la Entidad de Certificación al emitir un certificado digital............................................................................................................... 24 2.1.2. Responsabilidades de las Unidades de Registro................................................... 25 2.1.3. Responsabilidad del Suscriptor.............................................................................. 25 2.2. Obligaciones ........................................................................................................................... 26 2.2.1. Obligaciones de la Entidad de Certificación y de la Unidad de Registro (si hubiere) .......................................................................................................................................... 26 2.2.2. Obligaciones del suscriptor del certificado ............................................................. 26 2.2.3. Obligaciones de los usuarios del certificado .......................................................... 27 2.3. Interpretación.......................................................................................................................... 27 2.4. Tarifas de servicios................................................................................................................. 27 2.5. Publicación – Repositorios ..................................................................................................... 27 2.5.1. Frecuencia de Publicación ..................................................................................... 28 2.6. Auditorías de cumplimiento .................................................................................................... 28 2.7. Políticas de Confidencialidad ................................................................................................. 29 3. Identificación y Autentificación ...................................................................................................30 3.1. Registro Inicial ........................................................................................................................ 30 3.1.1. Registro Centralizado ............................................................................................. 32 3.1.2. Registro Descentralizado ....................................................................................... 33 3.2. Solicitud de Revocación ......................................................................................................... 33 3.3. Renovación de certificados .................................................................................................... 34 3.4. Renovación posterior a la revocación (sin compromiso de clave privada) ............................ 34 3.5. Período de Validez de los certificados ................................................................................... 34 4. Requisitos operativos .................................................................................................................36 4.1. Solicitud del certificado........................................................................................................... 36 4.2. Emisión del certificado............................................................................................................ 36 4.3. Aceptación del Certificado...................................................................................................... 36 4.4. Revocación y suspensión de certificados .............................................................................. 36 4.4.1. Circunstancias bajo las cuales se procederá a revocar un certificado .................. 36 4.4.2. Quienes pueden solicitar la revocación.................................................................. 37 4.4.3. Requsitos para solicitar la revocación.................................................................... 37 4.4.4. Circunstancias para la suspensión de certificados ................................................ 38 4.4.5. Quienes pueden solicitar la suspensión de certificados ....................................... 38 4.4.6. Procedimiento para solicitar la suspensión ............................................................ 39 4.4.7. Terminación de la suspensión de un certificado .................................................... 39 4.4.8. Publicación de las Listas de Certificados Revocados y suspendidos.................... 39 4.4.9. Requisitos para la verificación de Listas de Certificados Revocados y suspendidos .......................................................................................................................................... 40 4.4.10. Otros medios utilizados por la Entidad de Certificación para la divulgación de información ....................................................................................................................... 40 4.4.10.1. Servicio de verificación en línea del estado de un certificado .......................... 40 4.4.10.2. Servicio de verificación en línea del estado de un certificado .......................... 40 4.4.11. Requisitos especiales para el caso de compromiso de la clave privada ............. 41 18 4.5. Procedimientos de auditoría de seguridad............................................................................. 41 4.6. Archivos .................................................................................................................................. 41 4.7. Cambio de Claves por parte de la Entidad de Certificación................................................... 42 4.8. Situaciones de Emergencia.................................................................................................... 42 4.8.1. Plan de Contingencias............................................................................................ 42 4.8.2. Sospecha de vulneración o mal uso, de recursos de hardware, software o datos 42 4.8.3. Revocación del certificado de la Entidad de Certificación ..................................... 43 4.8.4. Compromiso de la clave de la Entidad de Certificación......................................... 43 4.9 Cesación de actividades de la Entidad de Certificación ......................................................... 43 5. Controles de Seguridad Física, de Personal y de Procedimientos Operativos .........................44 5.1. Controles de seguridad física ................................................................................................. 44 5.2. Controles de procedimientos operativos. ............................................................................... 44 5.3. Controles de seguridad personal ........................................................................................... 44 6. Controles Técnicos de Seguridad ..............................................................................................46 6.1. Generación e instalación de claves........................................................................................ 46 6.1.2. Almacenamiento de la Clave Privada .................................................................... 46 6.1.3. Entrega de la Clave Pública. .................................................................................. 47 6.1.4.Disponibilidad de la Clave Pública de la Entidad de Certificación .......................... 47 6.1.5. Tamaños de claves ................................................................................................ 47 6.1.6. Requisitos para la generación de las claves .......................................................... 48 6.1.7. Uso de las claves ................................................................................................... 48 6.2 Protección de la clave privada................................................................................................. 48 6.2.1 Protección de la clave privada de la Entidad de Certificación ................................ 48 6.2.2. Protección de la clave privada de los suscriptores ................................................ 49 6.3 Otros aspectos del manejo de claves. .................................................................................... 49 6.3.1 Archivo de los certificados....................................................................................... 49 6.3.2 Periódo de uso del par de claves ............................................................................ 49 6.4. Datos de Activación................................................................................................................ 50 6.5. Controles de seguridad computacional .................................................................................. 50 6.6. Controles de administración de la seguridad ......................................................................... 50 6.7. Controles de seguridad de conectividad de red ..................................................................... 50 6.8. Características criptográficas ................................................................................................. 50 7. Perfiles de los Certificados y de las Listas de Certificados Revocados.....................................52 7.1. Perfil del Certificado ............................................................................................................... 52 7.2. Perfil de las Listas de Certificados Revocados ...................................................................... 52 7.3. Perfil OCSP (Protocolo de verificación de certificados en línea) ........................................... 53 8. Administración de esta política..................................................................................................54 8.1. Cambios a la política .............................................................................................................. 54 8.2. Publicación y notificación ....................................................................................................... 54 8.3. Procedimientos de aprobación ............................................................................................... 54 19 1. INTRODUCCION En este subcomponente, la Entidad de Certificación debe efectuar una introducción general a su Política de Certificación e indicar los tipos de entidades y aplicaciones a las cuales se refiere. Está conformada por 5 secciones, que incluyen el propósito de la Política de Certificación y los datos de contacto de la Entidad de Certificación. 1.1. Visión General Este documento establece los requisitos mínimos que deben cumplir en forma obligatoria las Entidades de Certificación que desarrollen sus actividades en la Infraestructura de Clave Pública de la República Dominicana, para la redacción de sus Políticas de Certificación. Los requisitos aquí enunciados deben considerarse mínimos, por lo que se aceptarán niveles superiores de seguridad y control en los criterios y procedimientos especificados en el presente documento, pero nunca inferiores. Asimismo, las Políticas de Certificación deben mantener la estructura de este documento obligatoriamente. Se admiten tres niveles de Políticas de Certificación: Nivel I o básico: • Utilizados para el intercambio de documentos y transacciones de bajo riesgo, • No apto para transacciones financieras, • Nivel de verificación de identidad de mediana rigurosidad. • Utilizados para trámites con el Estado en el intercambio de documentos y transacciones de bajo riesgo, 20 Nivel II o medio • Utilizados para transacciones económicas de bajo monto y para el intercambio de documentos, de riesgo bajo o medio, • Apto para transacciones de bajo monto, • Utilizados para trámites con el Estado en las transacciones económicas de bajo monto y para el intercambio de documentos, de riesgo bajo o medio, • Nivel riguroso de verificación de identidad. Nivel III o alto, con connotaciones financieras importantes • Utilizados para intercambio de documentos y transacciones monetarias de alto riesgo, • Apto para transacciones de montos significativos, • Nivel de verificación de identidad de alta rigurosidad, • Para trámites con el Estado en las transacciones económicas de alto monto y alto riesgo. El presente documento presenta una guía para la redacción de Políticas de Certificación para los niveles citados. Para el caso de Políticas de Certificación para el Sector Público, por la especificidad de su actividad, los lineamientos se incluyen en un documento por separado. Al utilizar el presente documento como guía, la Entidad de Certificación debe indicar a qué nivel pertenece y puede incrementar los requisitos mínimos exigidos, pero nunca disminuirlos. Los certificados de los tipos mencionados más arriba pueden ser emitidos por las Entidades de Certificación para las personas físicas o morales. 1.2. Identificación En esta sección debe identificarse como mínimo, el nivel al que pertenece la Política de Certificación y el nombre de la organización y otros identificadores asociados. Si fuera aplicable, se indicará el OID de la organización. 1.3. Sujetos En esta sección, la Entidad de Certificación establecerá los sujetos a quienes es aplicable la Política. Entre ellos se encuentran: a) La Entidad de Certificación, la cual debe ser identificada en su calidad de integrante de la Infraestructura de Clave Pública de la República Dominicana. Debe identificarse asimismo el documento que contendrá sus procedimientos de Certificación. 21 b) Las Unidades de Registro en las cuales, la Entidad de Certificación ha delegado las funciones de recepción, validación y aprobación de los procesos de emisión, suspensión o revocación de certificados digitales y que se constituyan en el ámbito de aplicación de esta política. c) Los suscriptores de certificados digitales a los cuales será aplicable esta política. d) Los usuarios de certificados digitales en el ámbito de aplicación de esta política. La Política de Certificación que redactará la Entidad de Certificación en base al presente documento formará parte de la documentación técnica emitida por la Entidad de Certificación junto con los siguientes documentos: a) b) c) d) e) Manual de Procedimientos de Certificación, Política de Protección de datos personales, Plan de Contingencias, Plan de Cese de Actividades, Otros documentos técnicos emitidos por la Entidad de Certificación. 1.4. Aplicabilidad En este punto se describirán las aplicaciones para las cuales son adecuados los certificados emitidos en el marco de la política de certificación y, si fuera aplicable, aquellas para las cuales no se admite o se limita el empleo de dichos certificados. Los certificados correspondientes a las políticas de Certificación de Nivel I, II y III podrán ser utilizados para la validación de la identidad de los suscriptores en la Internet, en el correo electrónico, en las transacciones en línea, en las redes privadas virtuales, para el cifrado de claves de sesión para la firma de documentos digitales con verificación de la integridad de sus contenidos y autentificación. En el caso de los certificados emitidos bajo Políticas de Certificación de Nivel I, se indicará que no pueden ser utilizados en transacciones financieras. Para el Nivel II, se establece un límite máximo de RD$100.000. del 31 de diciembre de 2002 Para los certificados emitidos bajo Políticas de Certificación Nivel III, la Entidad de Certificación fijará el monto máximo para las transacciones que pueden efectuar los suscriptores utilizando los certificados emitidos por ella. 22 1.5. Datos de Contacto En esta sección se indicarán los datos de la Entidad de Certificación y del INDOTEL. La información mínima a incluir es la siguiente: E-mail: Domicilio postal: TELEFONO: Fax: Sitio Web: 23 2. PREVISIONES GENERALES 2.1. Responsabilidades 2.1.1. Responsabilidad de la Entidad de Certificación En esta sección deben incluirse las obligaciones de la Entidad de Certificación, en virtud de la Ley No. 126-02, su Reglamento de Aplicación y las normas complementarias dictadas por el INDOTEL. En general, la Entidad de Certificación es responsable de todos los aspectos relativos a la emisión y administración de los certificados emitidos a favor de todos los suscriptores que se adhieran a esta política. Como mínimo, se indicarán las obligaciones relativas a los siguientes aspectos: a) Proceso de identificación y autentificación del suscriptor, en el ejercicio de sus funciones de Unidad de Registro; b) Emisión de certificados; c) Administración de certificados, incluyendo el proceso de revocación; d) Publicación de las listas de certificados revocados y de toda la documentación establecida en las normas aplicables dictadas por INDOTEL, y e) Recepción de solicitudes y reclamos por parte de los suscriptores y usuarios. 2.1.1.1 Responsabilidades asumidas por la Entidad de Certificación al emitir un certificado digital Con relación al proceso de emisión de un certificado, se debe indicar como mínimo: a) Que el certificado ha sido emitido siguiendo las pautas establecidas en la política y los procedimientos indicados en el Manual de Procedimientos de Certificación para la validación de los datos en él incluidos, b) Que el certificado satisfaga todos los requisitos exigidos por la Ley No. 12602, su Reglamento de Aplicación y las normas complementarias dictadas por el INDOTEL, c) Que los algoritmos y longitudes de claves utilizados cumplan con la última versión de los Estándares Tecnológicos sobre Firma Digital, aprobada por la Resolución del INDOTEL, d) Que el certificado y su eventual revocación, sean publicados según lo dispuesto por la Ley No. 126-02, su Reglamento de Aplicación, sus normas complementarias y esta política de certificación, e) Que la información general del solicitante, así como el certificado de Firma Digital otorgado, sean conservados en los archivos de la Entidad de Certificación, por el período establecido en el Reglamento, sus normas complementarias y en esta política de certificación, 24 f) Que el certificado cumpla con todas las disposiciones aplicables vigentes. 2.1.2. Responsabilidades de las Unidades de Registro En esta sección deben ser incluidas las obligaciones de las Unidades de Registro, vinculadas a la Entidad de Certificación, responsable de esta Política de Certificación, indicando como mínimo las siguientes obligaciones: a) Recibir las solicitudes de emisión, suspensión y revocación de certificados, b) Verificar la identidad del solicitante y validar el contenido de la solicitud, de acuerdo a lo establecido en la Política de Certificación y en el Manual de Procedimientos de Certificación, c) Remitir las solicitudes de emisión, suspensión y revocación aprobadas a la Entidad de Certificación responsable, d) Informar a los titulares sobre el proceso de emisión, suspensión y revocación de certificados, e) Registrar y documentar las acciones realizadas y conservarlas, de acuerdo a lo establecido en el Reglamento, las normas complementarias y esta política de certificación, f) Gestionar el registro de usuarios y sus solicitudes de certificación así como las respuestas a dichas solicitudes. Mantener contacto directo con los usuarios y gestionar el ciclo de vida de un certificado (solicitud de Certificación, renovación, suspensión o revocación). 2.1.3. Responsabilidad del Suscriptor En esta sección, la Entidad de Certificación debe indicar que el suscriptor de un certificado digital asume la absoluta responsabilidad por la utilización de su certificado, incluyendo la custodia exclusiva y permanente de su clave privada. En particular, debe indicar que el suscriptor es responsable de solicitar la revocación de su certificado. La Entidad de Certificación puede indicar que no asume ninguna responsabilidad por el uso que el suscriptor eventualmente pudiera darle al certificado digital, fuera del alcance establecido en el subcomponente 1 de esta política. Además de lo indicado, el contenido de esta sección debe cubrir como mínimo, los siguientes aspectos: a) Proveer, de modo completo y preciso, toda la información que le sea requerida para su identificación; b) Garantizar la protección de sus claves privadas, sus claves de activación y sus dispositivos criptográficos, si los tuviera; c) Utilizar sus claves y sus certificados de una manera apropiada, de acuerdo a lo establecido en la Política de Certificación; 25 d) Informar a la Entidad de Certificación ante cualquier sospecha de vulnerabilidad o mal uso de su clave privada y solicitar la revocación de su certificado. 2.2. Obligaciones 2.2.1. Obligaciones de la Entidad de Certificación y de la Unidad de Registro (si hubiere) Deben contemplarse como mínimo, las siguientes obligaciones: a) Informar al solicitante de un certificado digital, en un lenguaje claro y accesible, en idioma español, respecto de las características del certificado solicitado, las limitaciones a la responsabilidad, y demás condiciones concernientes a la prestación del servicio, incluyendo las obligaciones que el suscriptor asume en su calidad de titular de un certificado digital emitido bajo la presente solicitud, b) Validar los datos de la solicitud de certificado digital del suscriptor en los términos establecidos en la presente Política de Certificación, c) Notificar la emisión del certificado al suscriptor titular del mismo, a quien éste señale y a terceros indicados en la presente Política de Certificación, d) Notificar la revocación o suspensión del certificado al suscritpor titular del mismo, a quien éste señale, y a terceros indicados en la presente Política de Certificación, e) Notificar a los suscriptores de certificados digitales emitidos por la entidad de certificación, cuando la misma decidiera cesar en el ejercicio de sus actividades, f) Cumplir con las obligaciones establecidas por la Ley No. 126-02, su reglamento y las normas complementarias que a tal efecto dicte el INDOTEL. La Entidad de Certificación debe indicar que es responsable por los actos de las Unidades de Registro con las que se encuentre operativamente vinculada. 2.2.2. Obligaciones del suscriptor del certificado En esta sección deben indicarse, como mínimo, las siguientes obligaciones: a) Brindar a la Entidad de Certificación o a la Unidad de Registro, si existiere, datos válidos, susceptibles de verificación, b) Mantener su clave privada bajo su absoluto y exclusivo control, c) Utilizar el certificado en los términos establecidos en la presente política, d) Notificar a la Entidad de Certificación o en su caso, a la Unidad de Registro, toda sospecha de vulneración o mal uso de su clave privada, 26 e) Cumplir con las obligaciones establecidas por la Ley No. 126-02, su Reglamento y las normas complementarias que a tal efecto dicte el INDOTEL. 2.2.3. Obligaciones de los usuarios del certificado En esta sección deben indicarse, como mínimo, las siguientes obligaciones: a) No aceptar certificados digitales para fines no contemplados en la Política de Certificación correspondiente; b) Verificar la validez de los certificados recibidos, entendiéndose por tal que no se encuentre revocado, ni expirado, ni suspendido y que haya sido emitido por una Entidad de Certificación debidamente autorizada. 2.3. Interpretación En este subcomponente debe ser identificada la legislación aplicable a la Política de Certificación. Debe hacerse mención a Ley No. 126-02, su Reglamento de Aplicación y las normas complementarias aplicables dictadas por el INDOTEL. Deben indicarse asimismo los procedimientos que se adoptarán en caso de conflictos emanados de las Políticas de Certificación y otras normas, acuerdos, contratos o documentos que se pudieran adoptar. 2.4. Tarifas de servicios En esta sección, la Entidad de Certificación especificará su política tarifaria y de reembolso. Indicará, entre otros y si fuera aplicable: a) b) c) d) e) Tarifas de emisión de certificados, Tarifas de suspensión de certificados, Tarifas de revocación de certificados, Tarifas de otros servicios, Políticas de reembolso. 2.5. Publicación – Repositorios En este punto, la Entidad de Certificación debe definir la información que publicará y los medios que utilizará para tal publicación. Debe permitir el acceso VEINTICUATRO (24) horas, SIETE (7) días a la semana, sujeto a un programa razonable y previsible de mantenimiento, de la siguiente información: a) Listas de certificados revocados y suspendidos, b) Su certificado de clave pública, 27 c) Copia de esta política y de toda otra documentación técnica referida a la Entidad de Certificación que se emita, d) Certificados emitidos que hagan referencia a esta política, (On Line Certificate Status Verification), en caso de que se ofrezca esta opción, e) Toda otra información referida a certificados que hagan referencia a esta política. Debe indicarse la dirección de Internet donde estará disponible el repositorio. La Entidad de Certificación no puede poner restricciones al acceso a esta política, a sus versiones anteriores, a su certificado de clave pública o la información citada precedentemente. 2.5.1. Frecuencia de Publicación En este subcomponente, debe indicarse la frecuencia con que se publicará la información detallada en el punto anterior. La Entidad de Certificación debe indicar que toda información que corresponda incluir en el repositorio se publicará en forma inmediatamente posterior a haber sido conocida y verificada. Se debe indicar que las emisiones, suspensiones y revocaciones de certificados deben ser incluidas tan pronto como se hayan cumplido los procedimientos de validación de identidad de los solicitantes establecidos en esta política y en el Manual de Procedimientos para cada caso en particular. El caso de la Lista de Certificados Revocados es tratado más adelante, en el subcomponente 4.4. 2.6. Auditorías de cumplimiento Las actividades de la Entidad de Certificación se encuentran sujetas a auditorías e inspecciones por parte del INDOTEL. El mencionado Instituto podrá auditar e inspeccionar por sí o por terceros a la Entidad de Certificación, en su calidad de órgano regulador de las proveedoras de servicios de certificación. Se efectuará un mínimo de una auditoria anual, cuyo informe será puesto a disposición de los suscriptores de certificados emitidos por dicha entidad y publicado por la Entidad de Certificación en su sitio Web. Las auditorías periódicas cubrirán aspectos tales como el ambiente de control de la entidad, la adecuación de los procesos de validación de la identidad de los solicitantes de certificados, los controles de administración de claves y aquellos relativos a la administración del ciclo de vida de los certificados. En este subcomponente, la Entidad de Certificación debe indicar como mínimo: 28 a) b) c) d) La fecha y el resultado de la última auditoría; Las medidas adoptadas en caso de haberse recibido recomendaciones; Los temas cubiertos por la auditoría; La entidad que realizó la auditoría. 2.7. Políticas de Confidencialidad En este subcomponente deben identificarse los tipos de información considerados confidenciales por la Entidad de Certificación responsable de la Política y por las Unidades de Registro vinculadas, en el marco de la Ley No. 126-02, su Reglamento de Aplicación, las normas complementarias que dicte el INDOTEL y lo establecido en la Política de Certificación. Como principio general, toda información o documento referidos a suscriptores que sea recibida por la Entidad de Certificación en las solicitudes de emisión de certificados digitales es confidencial y no puede hacerse pública sin el consentimiento previo de los solicitantes o suscriptores, salvo que sea requerida judicialmente. Lo indicado no es aplicable cuando se trate de información que se transcriba en el certificado o sea obtenida de fuentes públicas. 29 3. Identificación y Autentificación 3.1. Registro Inicial En este subcomponente, se describirán en la Política de Certificación los requisitos y procedimientos utilizados por las Unidades de Registro en el proceso de identificación de los suscriptores de certificados digitales. Los procedimientos deben describirse en forma detallada. Entre otros aspectos, se debe indicar: a) Los tipos de nombres admitidos para los titulares de los certificados emitidos, tales como los nombres distintivos “distinguished names” ITU X.500, las direcciones de correo electrónico, etc. En los casos en que se emitan certificados para personas jurídicas, se debe establecer el nombre de la persona física responsable. En estos casos y para todos los efectos legales, el certificado y la respectiva clave privada de firma serán considerados como pertenecientes al responsable cuyos datos constan en el certificado; b) Para los suscriptores de certificados, la necesidad del uso de nombres significativos que permitan determinar la identidad de la persona a la cual se refieran; c) Las reglas para la interpretación de las otras formas de nombres admitidos en la Política de Certificación, si esto fuera aplicable; d) La indicación de que los nombres deben ser únicos para cada suscriptor de certificado, en el ámbito de la Entidad de Certificación responsable de la emisión; e) Los procedimientos para la resolución de disputas. En este caso la Política de Certificación debe preveer que la Entidad de Certificación se reserve el derecho de decidir la solución más adecuada en el caso de que existiera alguna disputa respecto a los nombres de los solicitantes de certificados. Por otra parte, la Política de Certificación indicará que se le debe dar al solicitante, durante el proceso de validación de su identidad, el derecho de probar que un determinado nombre le pertenece; f) El reconocimiento, autentificación y el rol de las marcas registradas; además, se debe indicar los procedimientos que se seguirán para la confirmación de la autenticidad de las mismas; g) Los mecanismos de comprobación de la posesión de la clave privada correspondiente a la clave pública para la cual se está solicitando el certificado, como, por ejemplo, mediante el envío de la solicitud firmada digitalmente, o mediante la generación del par de claves por parte de la Entidad de Certificación; h) Los requerimientos de autentificación para las organizaciones (por ejemplo, Unidades de Registro); y, i) Los requerimientos de autentificación de personas que actuan en representación de una organización o que prestan servicios a ella. En este punto se definirán los procedimientos que utilizarán las Unidades de 30 Registro para confirmar la identidad de las personas. En todos los casos se exigirá la presencia física del individuo, quien debe presentarse con el documento de identidad, en original y copia, pudiendo ser aceptados: i. La Cédula de Identidad; ii. La Cédula de Identidad y Electoral; iii. El Pasaporte; iv. La licencia de conducir u otro documento similar de validez nacional. En el caso de la Política de Certificación Nivel I (Básica) y a criterio de la Entidad de Certificación en función de las aplicaciones en las cuales se vayan a utilizar los certificados, podrá omitirse la presencia personal, aceptándose el aval de una organización en la que el solicitante se hubiera registrado previamente. Constituyen ejemplos de esta situación, los certificados que pudieran emitirse para los clientes de una institución financiera, o para aquellas personas que se encuentren registradas en una Base de Datos de un organismo público. En el caso de la Política de Certificación de Nivel III (para transacciones de mayor monto) la Entidad de Certificación podrá solicitar la presentación de dos documentos con foto, uno de los cuales debe ser la cédula de identidad o el pasaporte. La confirmación de la identidad de una persona jurídica debe ser realizada mediante la presentación de documentación respaldatoria que permita determinar su existencia y constitución. La persona física responsable también debe ser identificada según los requerimientos de autentificación de personas indicados anteriormente. Las solicitudes de certificados para personas jurídicas, equipos o aplicaciones podrán ser realizadas por la persona física legalmente responsable de su utilización, quien será para todos los efectos legales, considerado el suscriptor del certificado emitido. La Política de Certificación debe establecer que las Unidades de Registro deben validar las autorizaciones del solicitante para actuar en representación, mediante la presentación de los documentos correspondientes. Deben incluirse en la Política de Certificación los mecanismos que deben emplearse para validar la documentación presentada y los pasos que debe seguir el suscriptor para solicitar la emisión de su certificado. La Política de Certificación debe preveer que la Entidad de Certificación mantenga un archivo con toda la documentación y los datos presentados por los solicitantes durante el proceso de identificación, con independencia de si el certificado fue emitido o no. En caso en que se rechace la emisión, debe guardarse registro de las razones que llevaron a tal decisión. 31 Dentro del marco de aplicación de esta política de firma digital segura, son admitidos los siguientes procedimientos de identificación de los suscriptores de certificados digitales en función de los distintos esquemas de Unidades de Registro previstos: 1. Procedimientos de validación de identidad centralizados: La Entidad de Certificación ejecuta las funciones de la Unidad de Registro en forma local. En este caso la actividad de verificación de la identidad es efectuada por dicha Unidad de Registro en forma directa. 2. Procedimientos de validación de identidad descentralizados: En este caso existen una o varias unidades de registro que reside/n fuera de la Entidad de Certificación. Los solicitantes de certificados presentarán la documentación necesaria ante la Unidad de Registro que les corresponda, y una vez efectuada la validación de la información, dicha Unidad procederá a la aprobación de la solicitud, sobre cuya base la Entidad de Certificación emitirá el certificado correspondiente. La Entidad de Certificación debe establecer la modalidad en que desarrollará su actividad, que puede ser una combinación de las dos mencionadas. Los procesos a seguir en cada una de las opciones mencionadas son los siguientes: 3.1.1. Registro Centralizado La Entidad de Certificación debe detallar los pasos que debe seguir el suscriptor para solicitar la emisión de su certificado. Debe consignar expresamente si esta política de certificación requiere el empleo de un dispositivo seguro de creación de firmas digitales. El suscriptor debe iniciar el pedido de emisión del certificado al ingresar al sitio Web de la Entidad de Certificación, y completar el formulario de solicitud con los datos requeridos. Los procedimientos deben estar claramente indicados. Una vez realizado este procedimiento, obtendrá un código que le permitirá identificar su requerimiento ante la Unidad de Registro. Posteriormente debe presentarse personalmente ante el Responsable de dicha Unidad, a fin de validar su identidad, provisto de la siguiente documentación: a) Documento de identidad (Cédula de Identidad u otro documento similar de validez nacional), en original y fotocopia, b) Código de identificación del requerimiento, c) Toda otra documentación que le sea requerida como evidencia de los atributos contenidos en el certificado a emitir bajo el ámbito de esta Política. 32 3.1.2. Registro Descentralizado La Entidad de Certificación debe indicar si admite la constitución de una o varias Unidades de Registro externas al ámbito donde desarrolla sus actividades. En particular, se admitirán aquellas unidades que se encuentren en condiciones de efectuar un adecuado control de identidad de los suscriptores de certificados que les presentaran una solicitud de emisión, dado el tipo de información que manejan y su cercanía al usuario final. En todos los casos, es atribución de la Entidad de Certificación autorizar el funcionamiento de las Unidades de Registro. Dicha delegación de funciones debe ser aprobada por el INDOTEL, obligación que debe ser precisada en la Política de Certificación de la Entidad. Cuando la Entidad de Certificación delegue funciones de validación de identidad en Unidades de Registro, debe precisarlo en la Política de Certificación de la entidad, indicando que dicha Unidad de Registro asume, como mínimo, las siguientes obligaciones: a) Designar un responsable del proceso de validación de identidad de los suscriptores (Responsable de la Unidad de Registro) y su correspondiente sustituto, b) Cumplir con las obligaciones establecidas en la Política de Certificación y en el Manual de Procedimientos de Certificación de la Entidad de Certificación que ha delegado en dicha unidad las funciones relativas al proceso de validación de identidad de los suscriptores, c) Cumplir con las disposiciones establecidas en la Política de Certificación y en el Manual de Procedimientos de Certificación de la Entidad de Certificación, respecto a la conservación de archivos y documentación respaldatoria referida al proceso de validación de identidad de los suscriptores, y con todas las disposiciones aplicables vigentes, d) Permitir la realización de las auditorias periódicas e inspecciones, por parte de la Entidad de Certificación y del INDOTEL, a fin de garantizar la seguridad del sistema, y el seguimiento de los procedimientos adecuados, e) Toda otra obligación específica que se establezca en el Reglamento de Aplicación de la Ley No. 126-02, sus normas complementarias, esta Política de Certificación y el Manual de Procedimientos de Certificación de la Entidad de Certificación. Las Unidades de Registro deben adherirse a los términos de la Política de Certificación, del Manual de Procedimientos de Certificación y del resto de la documentación técnica de la Entidad de Certificación, obligación que debe constar en la Política. 3.2. Solicitud de Revocación 33 En este punto, la Política de Certificación debe describir los procedimientos empleados para la confirmación de la identidad de quien solicita la revocación de su certificado. Asimismo, se debe indicar la forma en que las solicitudes de revocación serán documentadas. Se debe indicar que la revocación tendrá validez cuando la Entidad de Certificación haya efectuado las confirmaciones correspondientes y la comunique de manera formal al suscriptor del certificado, por cualesquier de los siguientes medios: a) Documentos digitales o mensajes de datos firmados digitalmente, transmitidos por protocolos de comunicación electrónica tales como correo electrónico, transferencia de archivos, entre otros. b) Facsímil, con la condición de que el remitente pueda dejar constancia de la recepción; c) Correspondencia con acuse de recibo. Cualquier otro medio físico o electrónico mediante el cual la entidad de certificación pueda dejar constancia de la certitud de su recepción. 3.3. Renovación de certificados En este subcomponente, la Política de Certificación debe establecer los procedimientos de validación y autentificación empleados para la renovación de certificados, tanto para Unidades de Registro, suscriptores y la propia Entidad de Certificación. Se deben indicar los plazos y mecanismos para efectuar la solicitud y la cantidad de veces que se aceptará el pedido de renovación, antes de requerir la generación de un nuevo par de claves. 3.4. Renovación posterior a la revocación (sin compromiso de clave privada) En este subcomponente, deben detallarse los procedimientos de identificación y autentificación a seguir para la renovación de certificados, tanto se trate de una Unidad de Registro, la Entidad de Certificación o un suscriptor, una vez que el certificado anterior hubiera sido revocado. Dichos procedimientos deben coincidir con los detallados en el punto 3.1 sobre Registro Inicial. 3.5. Período de Validez de los certificados En este subcomponente, debe indicarse el período de validez de los certificados emitidos. Los períodos mínimos de validez sugeridos son los siguientes: Política de Certificación Nivel I Nivel II Período mínimo de validez 1 año 2 años 34 Nivel III 3 años El período mínimo de validez podrá determinarse de acuerdo con la política comercial de cada entidad de certificación. Los plazos señalados en el cuadro son meramente indicativos, y podrán modificarse en función de los criterios de emisión. 35 4. Requisitos operativos 4.1. Solicitud del certificado En este subcomponente deben ser descriptos todos los requisitos operacionales establecidos por la Entidad de Certificación para las solicitudes de emisión de certificados. Estos requisitos deben ser cumplidos por las Unidades de Registro vinculadas y por los solicitantes, y comprenderán como mínimo: a) La comprobación de los atributos de identificación del certificado, conforme lo indicado en el punto 3.1, b) La aceptación expresa del suscriptor de los términos y condiciones bajo las cuales fue emitido el certificado. 4.2. Emisión del certificado En este subcomponente se deben detallar los requisitos operacionales establecidos por la Entidad de Certificación para la emisión del certificado, para la notificación de tal emisión al solicitante y la forma en que el certificado se pondrá a disposición del suscriptor. 4.3. Aceptación del Certificado Este subcomponente es utilizado para establecer los requerimientos relacionados con la aceptación de un certificado emitido y aceptado por parte del suscriptor y la consecuente publicación de dicho certificado. 4.4. Revocación y suspensión de certificados En este subcomponente se detallarán los aspectos que se indican a continuación: 4.4.1. Circunstancias bajo las cuales se procederá a revocar un certificado Dichas circunstancias deben cubrir, como mínimo, las siguientes: 1) La solicitud del suscriptor del certificado digital; 2) Por decisión de la Entidad de Certificación: a) Si se determina que un certificado digital fue emitido sobre la base de una información falsa que en el momento de la emisión hubiera sido objeto de verificación; b) Si se determina que los procedimientos de emisión y/o verificación han dejado de ser seguros; c) Si se determina que la información contenida en el certificado ha dejado de ser válida; d) Si se determina que el suscriptor ha utilizado el certificado de manera 36 3) 4) 5) 6) 7) inapropiada. La Resolución Judicial o de entidad administrativa competente, debidamente fundamentada; La declaración judicial de ausencia con presunción de fallecimiento del suscriptor; La declaración mediante sentencia con autoridad de la cosa irrevocablemente juzgada de incapacidad jurídica del suscriptor; La revocación, ordenada por el INDOTEL, de la autorización para funcionar otorgada a la Entidad de Certificación, siempre que no se haya decidido la transferencia del certificado a otra Entidad de Certificación; y, La cesación de actividades de la Entidad de Certificación y siempre que no se haya decidido la transferencia del certificado a otra Entidad de Certificación. 4.4.2. Solicitud de revocación de un certificado La Política de Certificación debe establecer que la revocación de un certificado tendrá lugar: a) b) c) d) e) f) Por solicitud del suscriptor, Por solicitud del representante de la persona jurídica, Por solicitud de la Entidad de Certificación, Por solicitud de la Unidad de Registro, Por requerimiento de una instancia judicial, Por decisión del INDOTEL, con causa fundada en la cesación de la actividad de la Entidad de Certificación y siempre que no medie la transferencia del certificado a otra Entidad de Certificación. 4.4.3. Requisitos para solicitar la revocación En este subcomponente deben ser detallados los requisitos establecidos por la Entidad de Certificación para la solicitud de revocación de certificados. La Entidad de Certificación debe garantizar que todas las personas y entidades mencionadas en la sección anterior puedan, en cualquier momento y en forma sencilla, solicitar la revocación de certificados. La Política de Certificación debe garantizar: a) Que el solicitante de la revocación sea identificado, conforme lo indicado en el subcomponente 3.4; b) Que todas las solicitudes de revocación y el curso dada a las mismas, sean debidamente registradas y almacenadas; c) Que se procederá a la generación y publicación de una Lista de Certificados revocados que contenga el certificado que se ha revocado y en el caso en que se utilice la consulta en línea del estado de los certificados (OCSP), que se actualice el estado del certificado revocado. 37 Se indican a continuación, los plazos máximos admitidos para la publicación de la Lista de Certificados Revocados, contados desde el momento de la recepción de la solicitud y considerando que el proceso de validación permite concluir que debe procederse a la revocación del certificado: Política de Certificación Nivel I Nivel II Nivel III Tiempo límite para la publicación 7 días 4 días Como máximo 2 días La Entidad de Certificación debe precisar en esta Política el domicilio, la dirección electrónica, el número telefónico o de Facsímil y todo otro dato necesario para facilitar la solicitud de revocación. La Política de Certificación debe indicar que un suscriptor debe solicitar la inmediata revocación de su certificado, en las siguientes circunstancias: a) Cuando se produzcan cambios en la información que el certificado contiene, b) Cuando existan sospechas de que la clave privada asociada al certificado de clave pública, o el medio en que se encuentre almacenada, se vean comprometidos o corran peligro de estarlo, c) En toda otra circunstancia indicada en esta Política de Certificación. 4.4.4. Circunstancias para la suspensión de certificados En este subcomponente se indicarán las circunstancias que deben estar presentes para proceder a la suspensión de un certificado. Entre ellas se deben citarse: a) Solicitud del suscriptor del certificado; b) Iniciación del trámite de ausencia con presunción de fallecimiento del suscriptor del certificado; c) Decisión de la Entidad de Certificación en virtud de razones técnicas, circunstancia que será comunicada en forma inmediata en un plazo máximo de veinticuatro (24) horas al suscriptor del certificado y al INDOTEL, por los medios establecidos en el artículo 51 del Reglamento; d) Mediante sentencia de un tribunal con autoridad de la cosa irrevocablemente juzgada y debidamente fundada; y, e) Otras causas dispuestas por la Entidad de Certificación en su Política de Certificación. 4.4.5. Solicitud de suspensión de certificados En este subcomponente se debe indicar quiénes están facultados para solicitar la suspensión de certificados, además del suscriptor del certificado. 38 4.4.6. Procedimiento para solicitar la suspensión Se debe establecer que se aceptarán solicitudes de suspensión recibidas por cualquiera de los siguientes medios: a) Personalmente, presentándose ante el Responsable de la Unidad de Registro, b) Documentos digitales o mensajes de datos firmados digitalmente, transmitidos por protocolos de comunicación electrónica tales como correo electrónico, transferencia de archivos, entre otros, c) Facsímil, con la condición de que el remitente pueda dejar constancia de la recepción, d) Correspondencia con acuse de recibo, e) Cualquier otro medio físico o electrónico mediante el cual la entidad de certificación pueda dejar constancia de la certitud de su recepción. En todos los casos, se debe indicar que quien solicita la suspensión debe demostrar, de modo indudable, su identidad. Cuando no se trate del suscriptor, debe demostrar su capacidad para solicitar el procedimiento de suspensión. La Entidad de Certificación debe precisar en su política el domicilio, la dirección electrónica, el número telefónico o de Facsímil y todo otro dato necesario para facilitar la solicitud de suspensión. 4.4.7. Terminación de la suspensión de un certificado En este subcomponente se indicarán las circunstancias bajo las cuales finalizará la suspensión de un certificado, entre las cuales se encuentran: a) b) c) d) e) Por decisión de la Entidad de Certificación de revocar el certificado, en los casos previstos en la normativa vigente; Por decisión de la Entidad de Certificación de levantar la suspensión del certificado, una vez que cesen las causas que la originaron; Por la decisión del suscriptor del certificado, cuando la suspensión haya sido solicitada por éste, y este hecho sea comunicado a la Entidad de Certificación; Por sentencia de tribunal con autoridad de la cosa irrevocablemente juzgada que declara la ausencia temporal con presunción de fallecimiento o el fallecimiento por ausencia definitiva del suscriptor del certificado, que implica su revocación; y, En virtud de las demás causas dispuestas por la Entidad de Certificación en esta Política de Certificación. 4.4.8. Publicación de las Listas de Certificados Revocados y suspendidos 39 En este subcomponente se debe definir la frecuencia de emisión de las Listas de Certificados revocados y suspendidos bajo esta Política de Certificación. La siguiente tabla establece los plazos máximos admitidos para la emisión de las Listas de Certificados Revocados y Suspendidos, según la categoría de certificados prevista en la Infraestructura de Clave Pública de la República Dominicana. Política de Certificación Nivel I Nivel II Nivel III Plazos máximos para la emisón de Listas de Certificados Revocados cada 72 horas cada 48 horas cada 24 horas 4.4.9. Requisitos para la verificación de Listas de Certificados Revocados y suspendidos En este subcomponente debe indicarse la obligatoriedad de validar la vigencia de los certificados emitidos bajo esta política en la Lista de Certificados Revocados y Suspendidos de la Entidad de Certificación que lo ha emitido, antes de ser utilizado. Debe indicarse asimismo, que dicha validación comprenderá la verificación de la autenticidad de la Lista de Certificados Revocados y Suspendidos con relación a la firma de la Entidad de Certificación que la emitió y a su período de validez. 4.4.10. Otros medios utilizados por la Entidad de Certificación para la divulgación de información 4.4.10.1. Servicio de verificación en línea del estado de un certificado En este subcomponente se debe indicar si la Entidad de Certificación ofrece el servicio de verificación en línea del estado de los certificados que emite. Si ese fuera el caso, la consulta debe hacerse directamente a la entidad de Certificación que emitió el certificado, utilizando el protocolo OCSP (On line Certificate Status Protocol). 4.4.10.2. Servicio de verificación en línea del estado de un certificado En este subcomponente se describirán otras formas utilizadas por la Entidad de Certificación para la divulgación de la revocación de sus certificados, en caso de que se hayan considerado alternativas. En estos casos se indicarán los requisitos para la verificación de las formas de divulgación indicadas. 40 4.4.11. Requisitos especiales para el caso de compromiso de la clave privada En este subcomponente deben ser definidos los requisitos específicos aplicables a la revocación de un certificado motivada por el compromiso de la clave privada del suscriptor. En este caso se debe exigir la comunicación inmediata del hecho a la Entidad de Certificación que emitió el certificado. 4.5. Procedimientos de auditoría de seguridad En este subcomponente se debe indicar que todos los hechos significativos que afecten la seguridad del sistema de la Entidad de Certificación deben ser almacenados en archivos de transacciones de auditoría. Asimismo, se indicará que dichos archivos serán conservados en las instalaciones de la Entidad de Certificación por un período no inferior a UN (1) año y posteriormente, archivados en un lugar físico protegido hasta completar un período mínimo de DIEZ (10) años. En este subcomponente se deben describir, como mínimo, los siguientes aspectos, los cuales tendrán correlación con los procedimientos incluidos en el Manual de Procedimientos de Certificación: a) Tipos de eventos registrados, b) Frecuencia de procesamiento o auditoría de los registros de eventos, c) Protección de los registros de auditoría, indicando que los mismos tendrán acceso restringido al personal autorizado y que serán protegidos contra toda modificación no autorizada, d) Requerimiento para efectuar copias de resguardo de los registros de auditoría, e) Sistema de recolección de datos de auditoria. 4.6. Archivos En este subcomponente se debe indicar que la Entidad de Certificación debe conservar, como mínimo, todos los datos y la documentación de apoyo relativos a: a) Las solicitudes de certificados y toda información y documentación que avale el proceso de identificación, b) Las solicitudes de revocación y suspensión de certificados y toda información y documentación que avale el proceso de identificación, c) Los certificados emitidos y las listas de certificados revocados y suspendidos, d) Los archivos de auditoría, e) Toda comunicación relevante entre la Entidad de Certificación y los suscriptores, f) Toda comunicación relevante entre la Entidad de Certificación y el INDOTEL. 41 Para cada tipo de información a archivar se debe indicar el plazo de conservación, que en los casos anteriores no podrá ser inferior a DIEZ (10) años. Asimismo, se indicará la existencia de mecanismos de protección física y lógica de los medios de almacenamiento de la información, utilizando criptografía cuando fuera apropiado, de manera que se garantice la integridad de la información almacenada. Se indicará expresamente que estos requerimientos son igualmente aplicables a las Unidades de Registro. Los procedimientos correspondientes a los aspectos tratados en este punto deben ser descriptos en el Manual de Procedimientos de Certificación de la Entidad de Certificación. 4.7. Cambio de Claves por parte de la Entidad de Certificación En este subcomponente se describirán los pasos que debe seguir la Entidad de Certificación que deba reemplazar su par de claves. Para comunicar a los suscriptores de certificados emitidos bajo esta política su nueva clave pública, dicha comunicación debe ser efectuada mediante un medio fehaciente que garantice la recepción de su nueva clave pública, las acciones que el suscriptor debe seguir respecto a dicha clave y las consecuencias que se derivan de esta situación. 4.8. Situaciones de Emergencia 4.8.1. Plan de Contingencias La Entidad de Certificación debe indicar en esta Política que ha desarrollado e implementado un Plan de Contingencias apropiado para sus instalaciones, que garantice la continuidad de las operaciones críticas. Dicho plan debe garantizar el mantenimiento mínimo de las operaciones (recepción de solicitudes de revocación y consulta de listas de certificados revocados actualizados) y la puesta en marcha dentro de las VEINTICUATRO (24) horas de producirse una emergencia. La previsión por contingencia debe contemplar asimismo los servicios prestados por las Unidades de Registro y por los prestadores externos a la Entidad de Certificación. 4.8.2. Sospecha de vulneración o mal uso, de recursos de hardware, software o datos 42 En este caso se indicará, como mínimo, la previsión del restablecimiento de un ambiente seguro, la consideración de los certificados a revocar y los procedimientos a seguir para la emisión de nuevos certificados, para reemplazar aquellos que han sido revocados. 4.8.3. Revocación del certificado de la Entidad de Certificación Se indicará la previsión de restablecimiento de un ambiente seguro y los mecanismos para la obtención de la nueva clave pública de la Entidad de Certificación. 4.8.4. Compromiso de la clave de la Entidad de Certificación En este caso, la Entidad de Certifcación debe indicar que ha implementado procedimientos a cumplir cuando su clave privada se vea comprometida. Deben incluirse las medidas a tomar para revocar los certificados emitidos y notificar en forma inmediata a sus suscriptores. 4.9 Cesación de actividades de la Entidad de Certificación La Entidad de Certificación debe indicar la existencia de un Plan de Cese de actividades. En tal caso, todos los suscriptores de certificados por ella emitidos deben ser notificados de inmediato. Ante el cese de actividades de una Entidad de Certificación, se procederá a revocar los certificados emitidos, salvo en el caso de que, mediando la aceptación del suscriptor, se transfiera el respectivo certificado a otra Entidad de Certificación. Asimismo, ante una cesación de activididades, y en caso de que no exista transferencia de certificado a otra entidad de Certificación, se debe indicar el responsable de la custodia de los archivos y registros de las actividades de la Entidad de Certificación que se encuentra en estado de cese de su actividad. Debe contemplarse asimismo, los pasos a seguir ante la cesación de una Unidad de Registro. 43 5. Controles de Seguridad Física, de Personal y de Procedimientos Operativos Los aspectos tratados en esta sección deben ser referidos a los procedimientos específicos incluidos en el Manual de Procedimientos de Certificación de la Entidad de Certificación. Estos aspectos deben ser considerados esenciales para la confiabilidad de los certificados, ya que la falta de seguridad física, de personal o de procedimientos puede comprometer las operaciones de la Entidad de Certificación. 5.1. Controles de seguridad física Deben tenerse en cuenta, entre otros, los siguientes aspectos: a) b) c) d) e) f) g) h) i) La construcción y localización de las instalaciones, El acceso físico, El hardware criptográfico, Las fuentes de energía y aire acondicionado, La exposición al agua, La protección contra incendio, La destrucción del material desechable, Los medios de almacenamiento, Los sitios alternativos de procesamiento. 5.2. Controles de procedimientos operativos Deben tenerse en cuenta, entre otros, los siguientes aspectos: a) b) c) d) Determinación de roles y perfiles, Cantidad de personas necesarias para una tarea, Identificación y autentificación de cada perfil, Adecuada separación de funciones. 5.3. Controles de seguridad personal Deben tenerse en cuenta, entre otros, los siguientes aspectos: a) Antecedentes, calificación, experiencia y requisitos de identidad, b) Procedimientos de verificación de antecedentes, c) Requisito de entrenamiento contínuo atendiendo a la función a desempeñar, d) Frecuencia y requisitos de capacitación técnica, e) Rotación de cargos, f) Régimen de sanciones, g) Controles sobre el personal contratado, 44 h) Documentación que integrará el legajo de cada empleado. La Entidad de Certificación debe seguir una política de administración de personal que provea seguridad razonable y garantice la confiabilidad y competencia del personal en el adecuado cumplimiento de sus funciones. Se debe tomar en cuenta y hacer constar en la política los requisitos que debe cumplir el personal de la Entidad de Certificación, en cuanto a probidad, ética, moral y capacidad profesional. 45 6. Controles Técnicos de Seguridad 6.1. Generación e instalación de claves En este subcomponente la Política de Certificación debe describir todos los requisitos y procedimientos relativos al proceso de generación de claves aplicable al certificado al que se refiere. De acuerdo a la Ley No. 126-02, su Reglamento de Aplicación y a sus normas complementarias, el par de claves puede ser generado por el suscriptor del certificado o por la Entidad de Certificación. Debe indicarse que, en cualquier caso, el par de claves del suscriptor de un certificado emitido en los términos de esta política debe ser generado de manera tal que su clave privada se encuentre bajo su exclusivo y permanente control. El suscriptor es considerado titular del par de claves; como tal, debe generarlo en un sistema confiable, no debe revelar su clave privada a terceros bajo ninguna circunstancia y debe almacenarla en un medio que garantice su confidencialidad, según lo definido por el INDOTEL para cada nivel de Política de Certificación. En aquellos casos en que la Entidad de Certificación decida ofrecer el servicio de emisión de par de claves, deben indicarse los procedimientos que se utilizarán de manera que se garantice que la clave privada sea entregada al suscriptor del certificado en forma personal y confidencial. A partir de este momento debe permanecer bajo el control y responsabilidad del suscriptor para los efectos previsto en la Ley y su reglamentación. La Entidad de Certificación debe indicar los procedimientos que empleará para borrar todo rastro de la misma y de los datos que fueron utilizados para generar el par de claves. Asimismo, debe indicarse la manera en que se dejará registro de la totalidad de las operaciones realizadas. La Entidad de Certificación debe indicar expresamente que en caso de prestar el servicio de generación del par de claves, no mantendrá bajo ningún concepto copia de la clave privada, una vez que ésta haya sido entregada a su titular. La clave privada debe ser almacenada en formato cifrado, utilizando los algoritmos simétricos aprobados por el INDOTEL. Deben detallarse en este subcomponente los procedimientos de destrucción de la clave privada de la Entidad de Certificación y de todas sus copias de resguardo. 6.1.2. Almacenamiento de la Clave Privada 46 Los requisitos mínimos para los medios de almacenamiento se presentan en el siguiente cuadro: Política de Certificación Nivel I Nivel II Nivel III Requisitos mínimos de Almacenamiento de la Clave Criptográfica. No se exigen requisitos específicos. Se recomienda el uso de tarjeta inteligente o llave criptográfica con capacidad de generación de claves, firma y protegido por contraseña, u otro hardware aprobado por el INDOTEL. Tarjeta inteligente o llave criptográfica con capacidad de generación de claves, firma y protegido por contraseña, u otro hardware aprobado por el INDOTEL. 6.1.3. Entrega de la Clave Pública La Política de Certificación debe detallar los mecanismos que debe emplear el suscriptor del certificado para remitir su clave pública a la Entidad de Certificación. Dichos mecanismos deben asegurar que: a) La clave no pueda ser cambiada durante la transferencia, b) El remitente posea la clave privada que corresponde a la clave pública transferida, c) El remitente de la clave pública sea el suscriptor del certificado. El requerimiento de un certificado debe emitirse en formato PKCS#10, según lo establecido en los Estándares Tecnológicos de Firma Digital aprobados por el INDOTEL, o bien en los que se establezcan posteriormente, de acuerdo a los avances tecnológicos. 6.1.4. Disponibilidad de la Clave Pública de la Entidad de Certificación En este subcomponente, la Política de Certificación debe definir la forma en que la Entidad de Certificación debe poner su certificado a disposición de los suscriptores y usuarios de certificados. 6.1.5. Tamaños de claves En este subcomponente, se debe definir el tamaño de las claves criptográficas asociadas a los certificados emitidos de acuerdo a la Política de Certificación. Se definen a continuación las longitudes mínimas admitidas para las claves, de acuerdo al nivel de Política de Certificación prevista por el INDOTEL. 47 Política de Certificación Nivel I Nivel II Nivel III Longitud mínima de las claves criptográficas 524 bits 1024 bits 1024 bits 6.1.6. Requisitos para la generación de las claves En este subcomponente, se deben establecer las exigencias para la generación de las claves criptográficas asociadas a los certificados emitidos de acuerdo a la Política de Certificación. Se definen a continuación los procesos de generación de claves, de acuerdo al nivel de la Política de Certificación. En estos casos debe tenerse en cuenta lo indicado en el punto 6.1.2. Política de Certificación Nivel I Nivel II Nivel III Proceso de Generación Software Se recomienda el uso de hardware Hardware 6.1.7. Uso de las claves En este subcomponente se específicarán los propósitos para los cuales los suscriptores podrán utlizar sus claves criptográficas, así como las restricciones y limitaciones, de acuerdo a las aplicaciones definidas para los certificados. Debe restringirse el empleo de las claves de firma en procesos de encriptación, en los que se requiera el depósito de la clave privada en un tercero de confianza (“key escrow”). 6.2 Protección de la clave privada 6.2.1 Protección de la clave privada de la Entidad de Certificación La Entidad de Certificación debe indicar en forma expresa que protegerá en todo momento su clave privada. Esto es asimismo aplicable a las Unidades de Registro en relación con las claves privadas que emplean en sus procedimientos de aprobación. La clave privada utilizada por una Entidad de Certificación para firmar certificados bajo esta política, debe resguardarse en un dispositivo criptográfico seguro, tal como una tarjeta inteligente, llave criptográfica o dispositivo similar. En todos los casos deben indicarse en esta política, los estándares aplicables a la generación de las claves, si la clave privada se encuentra bajo el control de más de una persona, la existencia de mecanismos de reguardo de la clave 48 privada, etc. Asimismo, debe indicarse que existen procedimientos seguros para la destrucción de las claves privadas en desuso. Los estándares mencionados deben estar en consonancia con los dictados por el INDOTEL para la Infraestructura de Clave Pública de la República Dominicana. 6.2.2. Protección de la clave privada de los suscriptores En este subcomponente se indicarán los requisitos para la protección de las claves privadas de los suscriptores de certificados emitidos según la Política de Certificación. Debe especificarse que no está permitida la recuperación (“escrow”) de claves privadas en el ámbito de la Infraestructura de Clave Pública de la República Dominicana, es decir, que no se permite que terceros puedan legalmente obtener la clave privada sin el consentimiento del suscriptor del certificado correspondiente. Como regla general, todo suscriptor podrá, a su criterio, mantener una copia de resguardo o back-up de su propia clave privada. Sin embargo, bajo ninguna circunstancia, la Entidad de Certificación responsable por la Política de Certificación podrá mantener una copia de la clave privada del suscriptor de un certificado emitido bajo dicha Política. La clave de seguridad debe ser almacenada en formato cifrado, utilizando los algoritmos simétricos aprobados por el INDOTEL. Deben también describirse los procedimientos de destrucción de la clave privada del suscriptor y de todas sus copias de resguardo. 6.3 Otros aspectos del manejo de claves 6.3.1 Archivo de los certificados La Política de Certificación debe preveer que las claves públicas de los suscriptores de certificados emitidos bajo la misma, deben permanecer almacenados luego de su expiración o revocación por un plazo mínimo de 40 (CUARENTA) años, a fin de posibilitar la verificación de firmas digitales generadas durante su plazo de vigencia. 6.3.2 Período de uso del par de claves. Los periodos máximos recomendados para la validez de los certificados se detalla en el siguiente cuadro: 49 Política de Certificación Nivel I Nivel II Nivel III Periodo máximo de vigencia recomendado 1 año 2 años 3 años 6.4. Datos de Activación Los datos de activación son aquellos valores distintos a las claves criptográficas, que se requieren para operar módulos criptográficos, y que deben ser protegidos de accesos no autorizados (p.e. passphrase o PIN). Los datos de activación deben ser únicos y aleatorios. Este subcomponente se refiere particularmente a la Entidad de Certificación emisora, a las Unidades de Registro y a los suscriptores de certificados. Se debe considerar la totalidad del ciclo de vida de los datos de activación, desde su generación a su archivo hasta la destrucción del mismo. 6.5. Controles de seguridad computacional La Política de Certificación debe describir los requisitos de seguridad computacional del equipo donde se generarán los pares de claves. 6.6. Controles de administración de la seguridad En esta sección, la Entidad de Certificación debe indicar la existencia de controles de administración de la seguridad, tales como la ejecución de herramientas y la existencia de procedimientos que garanticen la operación de los sistemas y la adhesión a las políticas de seguridad. Estas políticas apuntan al mantenimiento de la integridad de los programas y sistemas y del hardware, de manera que asegure su correcta operación. 6.7. Controles de seguridad de conectividad de red Deben indicarse los controles específicos de seguridad de las redes, de acuerdo a lo establecido por el INDOTEL en los Estándares Tecnológicos. 6.8. Características criptográficas La Entidad de Certificación debe expresar el cumplimiento de los Estándares Tecnológicos de Firma Digital aplicables, dictados por el INDOTEL. Esto se aplica particularmente a: a) Los tipos de algoritmos de firma aceptables, b) Las longitudes mínimas de clave aceptables de las Entidades de Certificación y de los suscriptores. 50 La Entidad de Certificación debe especificar en esta sección los algoritmos de firma utilizados y los esquemas de encriptación. La longitud mínima para el par de claves de la Entidad de Certificación se expresa en el siguiente cuadro: Política de Certificación Nivel I Nivel II Nivel III Longitud Mínima para el par de claves 1024 bits 2048 bits 2048 bits La generación y almacenamiento de claves de la Entidad de Certificación y su utilización deben efectuarse utilizando un equipo técnicamente confiable que cumpla con los estándares aprobados por el INDOTEL. 51 7. Perfiles de los Certificados y de las Listas de Certificados Revocados Los puntos siguientes especifican los formatos de los certificados y de las Listas de Certificados Revocados generados según la Política de Certificación. Se debe incorporar información sobre los estándares adoptados, sus perfiles y extensiones. 7.1. Perfil del Certificado Todos los certificados que hacen referencia a esta política se emiten en formato ITU-T X509 versión 3, según se establece en los Estándares Tecnológicos de Firma Digital dictados por el INDOTEL. Un certificado emitido de acuerdo a los requerimientos de esta política incluye los datos de identificación mínimos exigidos por el Reglamento de Aplicación de la Ley No. 126-02, y las normas complementarias aplicables que dicta el INDOTEL. En particular, se deben especificar los datos que figurarán en el certificado emitido bajo esta Política de Certificación, tales como: a) b) c) d) e) f) g) h) i) j) k) l) Número de versión X.509 del certificado, Nombre y apellido del suscriptor del certificado, Localidad, provincia y país de residencia habitual, Dirección de correo electrónico, Clave pública del suscriptor, Algoritmos de firma de la clave pública, Número de serie del certificado, Período de validez del certificado, Nombre de la Entidad de Certificación emisora del certificado, Dirección de consulta de la lista de certificados revocados (CRL), URL donde se encuentra disponible esta Política de Certificación, Cualquier otro dato relevante de la Entidad de Certificación para el uso del certificado. Asimismo, esta sección debe especificar las extensiones que se agregarán a los certificados emitidos bajo esta Política y el sentido de las mismas, según lo establecido en los Estándares Tecnológicos dictados por el INDOTEL. 7.2. Perfil de las Listas de Certificados Revocados Las Listas de certificados revocados se emiten en formato ITU-T X509 versión 2 según se establece en los mencionados Estándares. 52 Asimismo, se deben describir todas las extensiones de las Listas de Certificados Revocados utilizadas y si las mismas son críticas o no críticas. 7.3. Perfil OCSP (Protocolo de verificación de certificados en línea) La Entidad de Certificación especificará en esta sección si ofrece el servicio de provisión en línea del estado del certificado (OCSP), e indicará las condiciones de acceso al mismo. 53 8. Administración de esta política La Entidad de Certificación debe especificar en esta Sección que esta Política de Certificación ha sido emitida en base a los lineamientos establecidos por el INDOTEL para el nivel correspondiente, y que ha sido sometida a análisis y aprobación del mencionado Instituto. Los subcomponentes siguientes deben definir la manera que se mantendrá y administrará la Política de Certificación. 8.1. Cambios a la política En este subcomponente se describirán los procedimientos empleados para realizar cambios en la Política de Certificación. Cualquier modificación debe ser sometida a la aprobación del INDOTEL. 8.2. Publicación y notificación En este subcomponente se describirán los procedimientos que utilizará la Entidad de Certificación para la distribución de la Política de Certificación entre los suscriptores de certificados que ha emitido. Las Políticas de Certificación serán publicadas en un servicio de directorio LDAP v3 o en el sitio Web de la Entidad de Certificación, previa aprobación del INDOTEL, en su versión actual y en sus versiones anteriores. 8.3. Procedimientos de aprobación Toda Política de Certificación debe ser sometida a la aprobación del INDOTEL, durante el proceso de autorización de la Entidad, y cada vez que se le incorporen modificaciones. 54 CRITERIOS MINIMOS SOBRE LA POLITICA DE CERTIFICACIONPARA LA EMISION DE CERTIFICADOS DE CORREO ELECTRONICO 55 INDICE 1. Ambito de Aplicación. .................................................................................................................57 2. Sujetos........................................................................................................................................57 3. Objeto .........................................................................................................................................57 4. Datos de Contacto......................................................................................................................57 5. Responsabilidad de la Entidad de Certificación .........................................................................57 6. Responsabilidad del suscriptor...................................................................................................58 7. Certificados y Listas de Certificados Revocados .......................................................................58 7.1 Solicitud de emisión................................................................................................................. 58 7.2 Verificación de la dirección de Correo Electrónico................................................................. 58 7.3 Contenido del certificado ......................................................................................................... 58 7.4 Revocación de certificados...................................................................................................... 59 7.5 Listas de Certificados Revocados ........................................................................................... 59 56 1. Ambito de Aplicación Esta Política de Certificación define los términos y condiciones que rigen la relación entre la Entidad de Certificación y los suscriptores de certificados de Correo Electrónico, en el proceso de emisión y administración de los mencionados certificados, con el alcance y en las condiciones establecidas en el presente documento. 2. Sujetos Esta política es aplicable por: 1. La Entidad de Certificación que otorga certificados digitales a los solicitantes que remitan un requerimiento debidamente completado; 2. Los suscriptores de certificados; y, 3. Los usuarios que utilizan dichos certificados de correo electrónico. 3. Objeto Esta política regula el empleo de los certificados de Correo Electrónico, los cuales son válidos para la verificación de las firmas electrónicas. 4. Datos de Contacto Esta política es administrada por la Entidad de Certificación, cuyos datos de contacto se indican a continuación: Dirección de correo electrónico: Personalmente o por correo: TELÉFONO: FAX: Sitio Web: 5. Responsabilidad de la Entidad de Certificación La Entidad de Certificación es responsable de todos los aspectos relativos a la emisión y administración de los certificados de Correo Electrónico emitidos a favor de sus suscriptores. Con relación al proceso de verificación de los datos suministrados por los solicitantes, la Entidad de Certificación es responsable únicamente de confirmar la existencia de la dirección de correo electrónico proporcionada por éstos al momento de efectuar el requerimiento, pero en ningún caso es responsable de efectuar la verificación de su identidad. Por lo tanto, no asume ninguna responsabilidad respecto a la validación de los datos personales. 57 Sus responsabilidades incluyen: • • • La emisión del certificado. La administración del certificado, incluyendo el proceso de revocación. La resolución de las contingencias que eventualmente se susciten respecto a la utilización del certificado. Las instancias de suspensión y renovación de certificados no se encuentran contempladas en esta política de certificación Al emitir un certificado según los términos de esta política, la Entidad de Certificación garantiza: • • Que el certificado ha sido emitido siguiendo las pautas establecidas en esta política para la validación de los datos en ella contenidos, con la limitación establecida en este apartado, Que el certificado y su eventual revocación, serán publicados según lo dispuesto en esta política. 6. Responsabilidad del suscriptor Todo suscriptor de un certificado emitido de acuerdo a los lineamientos de esta política asume la absoluta responsabilidad por su utilización. La Entidad de Certificación no asume ninguna responsabilidad por el uso que el suscriptor eventualmente pudiera darle al certificado fuera del alcance y condiciones establecidos en la presente Política. 7. Certificados y Listas de Certificados Revocados 7.1 Solicitud de emisión Todo solicitante de un certificado en los términos de esta política debe enviar un requerimiento de emisión a la Entidad de Certificación. Para ello debe acceder a la interfaz Web, disponible en http://xxxxxxx.do, siguiendo el procedimiento allí indicado. 7.2 Verificación de la dirección de Correo Electrónico Una vez recibido el requerimiento, la Entidad de Certificación debe verificar la existencia de la dirección de correo electrónico informada por el solicitante. A tal fin enviará un mensaje electrónico solicitando la confirmación de la solicitud. Recibida ésta, procederá a emitir el certificado. 7.3 Contenido del certificado 58 Un certificado emitido de acuerdo a los requerimientos de esta política deberá ser firmado por la entidad de certificación e incluirá los siguientes datos: a) Número de versión X.509 del certificado (deberá emplearse la versión 3 o superior) b) Nombre y apellido del suscriptor del certificado (dato no verficado) c) Dirección de correo electrónico. d) Clave pública del suscriptor. e) Algoritmos de firma de la clave pública. f) Número de serie del certificado. g) Período de validez del certificado. h) Nombre de la Entidad de Certificación emisora del certificado. i) Dirección de consulta de la lista de certificados revocados (CRL). j) URL donde se encuentra disponible esta Política de Certificación. k) Todo otro dato relevante para la utilización del certificado de la Entidad de Certificación. 7.4 Revocación de Certificados El suscriptor de un certificado podrá solicitar la revocación de su certificado personalmente en el domicilio de la Entidad de Certificación, telefónicamente o por facsímil, o mediante un correo electrónico, desde la dirección de correo indicada en el certificado. 7.5 Listas de Certificados Revocados La Entidad de Certificación publicará los certificados revocados en la siguiente dirección de Internet: http://xxxxxxxxxxxxx.do 59 CRITERIOS MINIMOS SOBRE LA POLITICA DE CERTIFICACION PARA EL SECTOR PUBLICO 60 INDICE 1. Introduccion ................................................................................................................................63 1.1. Visión General ........................................................................................................................ 63 1.2. Alcance/Aplicabilidad.............................................................................................................. 63 1.3. Objeto ..................................................................................................................................... 63 1.4. Sujetos.................................................................................................................................... 64 1.5 Datos de Contacto................................................................................................................... 64 2. Previsiones Generales ...............................................................................................................65 2.1 Responsabilidades .................................................................................................................. 65 2.1.1- Responsabilidad de la Entidad de Certificación..................................................... 65 2.1.1.1 Responsabilidades asumidas por la Entidad de Certificación al emitir un certificado digital............................................................................................................... 65 2.1.2- Responsabilidad de las Unidades de Registro. ..................................................... 66 2.1.3 Responsabilidad del Suscriptor............................................................................... 66 2.2- Obligaciones........................................................................................................................... 66 2.2.1 Obligaciones de la Entidad de Certificación y de la Unidad de Registro (si hubiere). .......................................................................................................................................... 66 2.2.2 Obligaciones del suscriptor del certificado. ............................................................. 67 2.2.3 Obligaciones de los usuarios del certificado. .......................................................... 67 2.3 Interpretación........................................................................................................................... 67 2.4 Publicación – Repositorios ...................................................................................................... 67 2.4.1 Frecuencia de Publicación ...................................................................................... 68 2.5 Auditorías................................................................................................................................. 68 2.6 Políticas de Confidencialidad .................................................................................................. 68 3. Identificación y AutentiAutentificación ........................................................................................70 3.1 Registro Inicial ......................................................................................................................... 70 3.1.1 Registro Centralizado .............................................................................................. 70 3.1.1.1 Verificación de datos por la Unidad de Registro interna ...................................... 70 3.1.1.2 Verificación de datos a través del área de recursos humanos ............................ 71 3.1.1.3 Verificación de identidad a través del máximo responsable del organismo ........ 71 3.1.1.4 Servicio de registro itinerante............................................................................... 72 3.1.2 Registro Descentralizado ........................................................................................ 72 3.2 Renovación de certificados ..................................................................................................... 73 3.3 Renovación posterior a la revocación (sin compromiso de clave privada) ............................. 73 3.4 Solicitud de Revocación .......................................................................................................... 73 3.5 Período de Validez de los certificados .................................................................................... 75 4. Requisitos operativos. ................................................................................................................76 4.1 Solicitud del certificado............................................................................................................ 76 4.2 Emisión del certificado............................................................................................................. 76 4.3 Aceptación del Certificado....................................................................................................... 76 4.4 Revocación y suspensión de certificados ............................................................................... 76 4.4.1 Clases de revocación .............................................................................................. 76 4.4.1.1 Revocación voluntaria .......................................................................................... 76 4.4.1.2 Revocación obligatoria ......................................................................................... 77 4.4.1.3 Autorizados a requerir la revocación.................................................................... 78 4.4.1.4 Procedimiento para solicitar la revocación........................................................... 78 4.4.1.5 Actualización de repositorios................................................................................ 78 4.4.1.6 Emisión de listas de certificados revocados......................................................... 78 4.4.2 Clases de suspensión ............................................................................................. 79 4.4.2.1 Suspensión voluntaria .......................................................................................... 79 4.4.2.2 Autorizados a requerir la suspensión ................................................................... 80 4.4.2.3 Procedimiento para solicitar la suspensión .......................................................... 80 4.4.2.4 Actualización de repositorios................................................................................ 80 4.4.2.5 Emisión de listas de certificados suspendidos..................................................... 80 61 4.5 Procedimientos de auditoría de seguridad.............................................................................. 80 4.6 Archivos ................................................................................................................................... 81 4.7 Cambio de Claves por parte de la Entidad de Certificación.................................................... 81 4.8 Situaciones de Emergencia..................................................................................................... 81 4.8.1 Plan de Contingencias............................................................................................. 81 4.8.2 Plan de protección de claves. ................................................................................. 82 4.9 Cesación de actividades de la Entidad de Certificación ......................................................... 82 5. Controles de Seguridad..............................................................................................................83 5.1 Controles de seguridad física .................................................................................................. 83 5.1.1 Control de acceso.................................................................................................... 83 5.2 Controles funcionales .............................................................................................................. 83 5.2.1 Determinación de roles............................................................................................ 83 5.2.2 Separación de funciones ......................................................................................... 83 5.3 Controles de seguridad personal ............................................................................................ 83 5.3.1 Calificación del personal.......................................................................................... 83 5.3.2 Antecedentes........................................................................................................... 84 5.3.3 Entrenamiento ......................................................................................................... 84 6. Controles Técnicos de Seguridad ..............................................................................................85 6.1 Generación e instalación de claves............................................................................ 85 6.1.2 Envío de la clave pública......................................................................................... 85 6.2 Protección de la clave privada ................................................................................... 86 6.3 Otros aspectos del manejo de claves ........................................................................ 86 6.3.1 Reemplazo de claves .............................................................................................. 86 6.3.2 Restricciones al uso de claves privadas ................................................................. 86 6.4 Datos de Activación.................................................................................................... 86 6.5 Controles de seguridad física ..................................................................................... 86 6.6 Controles de administración de la seguridad ............................................................. 87 6.7 Controles de seguridad de conectividad de red ......................................................... 87 6.8 Características criptográficas ..................................................................................... 87 7. Certificados y listas de certificados revocados – Características ..............................................88 7.1 Perfil del Certificado ................................................................................................... 88 7.2 Perfil de las Listas de Certificados Revocados .......................................................... 89 7.3 Perfil OCSP ................................................................................................................ 89 8. Administración de esta política...................................................................................................90 8.1 Cambios a la política ............................................................................................................... 90 8.2 Publicación y notificación ........................................................................................................ 90 62 1. INTRODUCCION Esta sección establece una introducción general a la Política de Certificación para certificados emitidos a favor de funcionarios y empleados públicos, e indica los tipos de entidades y aplicaciones a las cuales se refiere el documento. Está conformada por cinco (5) secciones, que incluyen el propósito de la Política de Certificación y los datos de contacto de la Entidad de Certificación. 1.1. Visión General Esta Política de Certificación constituye el conjunto de normas, y directrices que establecen la aplicabilidad de los certificados emitidos por las Entidades de Certificación públicas o privadas que se adhieran a la misma, a los empleados y funcionarios públicos de la República Dominicana. 1.2. Alcance/Aplicabilidad El presente documento define los términos que rigen la relación entre las Entidades de Certificación y los funcionarios y agentes del Sector Público de la República Dominicana que soliciten la emisión de certificados digitales para ser utilizados en el marco de la Ley No. 126/02, su Reglamento de Aplicación y las normas complementarias correspondientes. Esta Política es aplicable a la emisión de certificados digitales destinados a funcionarios y agentes de organismos o dependencias de la Administración Pública Nacional Centralizada y Descentralizada, de organismos autónomos, organismos provinciales y municipales y de otros Poderes del Estado. El presente documento forma parte de la documentación técnica emitida por la Entidad de Certificación junto con los siguientes documentos: a) b) c) d) e) f) Manual de Procedimientos, Política de Seguridad, Manual de Procedimientos de Seguridad, Plan de Contingencias, Plan de Cese de Actividades, Otros documentos técnicos emitidos por la Entidad de Certificación. 1.3. Objeto Esta política regula el empleo de la firma digital en la instrumentación de: a) Los actos del Sector Público de la República Dominicana. b) Los actos que vinculen al Sector Público de la República Dominicana con personas físicas o morales del sector privado. c) Los actos que vinculan al Poder Ejecutivo con el Legislativo y el Judicial. 63 1.4. Sujetos Los lineamientos trazados en esta política son aplicables por: a) Las Entidades de Certificación públicas o privadas que emitan y administren certificados digitales a favor de los funcionarios y agentes pertenecientes a organismos o dependencias de la Administración Pública de la República Dominicana, tanto se trate de organismos centralizados como descentralizados, entes autárquicos, y otros Poderes del Estado. b) Las Unidades de Registro previstas en el Reglamento de Aplicación de la Ley No. 126-02 de Comercio Electrónico, Documentos, y Firmas Digitales, en las cuales la Entidad de Certificación ha delegado las funciones de validación de identidad y de los datos de los sucriptores de certificados digitales y que se constituyan en el ámbito de aplicación de esta política. En particular, podrán actuar como Unidades de Registro las áreas de personal de los organismos públicos, siempre y cuando cumplan con los requisitos exigidos para desempeñar esta función, según lo establecido en el Reglamento, las normas complementarias y esta política de certificación. c) Los suscriptores de certificados digitales en el ámbito de aplicación de esta política. d) Los usuarios de certificados digitales en el ámbito de aplicación de esta política. 1.5. Datos de Contacto Esta política es administrada por la Entidad de Certificación, y ha sido redactada siguiendo los requerimientos mínimos para las Políticas de Certificación del Sector Público, redactados por el INDOTEL. Por consultas o sugerencias, por favor dirigirse a: E-mail: Personalmente o por correo a: Teléfono: Fax: Sitio Web: Se consignan asimismo los datos de contacto del INDOTEL, en su calidad de organismo regulador en materia de provisión de servicios de certificación: E-mail: Personalmente o por correo a: Teléfono: Fax: Sitio Web: 64 2. PREVISIONES GENERALES Este componente contiene todas las disposiciones aplicables a: • • • • • Las obligaciones y responsabilidades de las Entidades de Certificación y de otros actores involucrados; La identificación de los repositorios; La responsabilidad de las Entidades de Certificación por la publicación de sus políticas y prácticas, el estatus de los certificados y toda otra información, por distintos medios; Frecuencia de publicación de dicha información; y, Controles que se ejercerán sobre la información publicada. 2.1 Responsabilidades 2.1.1- Responsabilidad de la Entidad de Certificación En virtud de la Ley No. 126-02, su Reglamento de Aplicación y las normas complementarias dictadas por EL INDOTEL, la Entidad de Certificación es responsable de todos los aspectos relativos a la emisión y administración de los certificados emitidos a favor de todos los suscriptores que se adhieran a esta política, se trate de funcionarios o agentes de organismos o dependencias de la Administración Pública de la República Dominicana, Organismos Autónomos y otros Poderes del Estado, con el alcance que se establezca para cada caso en particular. En particular, su responsabilidad alcanza: a) Al proceso de identificación y autentificación del suscriptor, en el ejercicio de sus funciones de Unidad de Registro, si hubieren. b) A la emisión de certificados. c) A la administración de certificados, incluyendo el proceso de revocación. d) A la publicación de las listas de certificados revocados y de toda la documentación establecida en las normas aplicables dictadas por INDOTEL 2.1.1.1 Responsabilidades asumidas por la Entidad de Certificación al emitir un certificado digital Al emitir un certificado digital, la Entidad de Certificación garantiza: a) Que el certificado ha sido emitido siguiendo las pautas establecidas en esta política y los procedimientos indicados en el Manual de Procedimientos para la validación de los datos en él incluidos. 65 b) Que el certificado satisface todos los requisitos exigidos por la Ley No. 126-02, su Reglamento de Aplicación y las normas dictadas por EL INDOTEL. c) Que los algoritmos y longitudes de claves utilizados cumplen con la última versión de los Estándares Tecnológicos sobre Firma Digital, aprobados por Resolución del INDOTEL d) Que el certificado y su eventual revocación, serán publicados según lo dispuesto por la Ley No. 126-02, su Reglamento de Aplicación, sus normas complementarias y ésta política de certificación. e) Que el certificado cumple con todas las disposiciones aplicables vigentes 2.1.2- Responsabilidad de las Unidades de Registro Las Unidades de Registro que se constituyan en el ámbito de aplicación de esta política, cualquiera que sea la modalidad que adopten, serán responsables por el cumplimiento de las funciones de validación de la identidad y autentificación de los datos de los suscriptores que soliciten certificados digitales por su intermedio, y de archivar y conservar toda la documentación de respaldo de dicho proceso por los plazos establecidos en la Ley No. 126-02 y su Reglamento de Aplicación, a contar desde la revocación o expiración de los certificados, en los términos establecidos por la Entidad de Certificación en esta política. 2.1.3.- Responsabilidad del Suscriptor El suscriptor de un certificado digital de acuerdo a los lineamientos de esta política asume la absoluta responsabilidad por la utilización de dicho certificado, incluyendo la custodia exclusiva y permanente de su clave privada. En particular, el suscriptor es responsable de solicitar la revocación de su certificado en caso de finalizar su vínculo laboral con la entidad pública en la que se desempeñe y en los demás casos previstos en la normativa vigente. La Entidad de Certificación no asume ninguna responsabilidad por el uso que el suscriptor eventualmente pudiera darle al certificado digital fuera del alcance establecido en el apartado 1 de esta política. 2.2- Obligaciones 2.2.1 Obligaciones de la Entidad de Certificación y de la Unidad de Registro (si hubiere) a) Informar al solicitante de un certificado digital, en un lenguaje claro y accesible, en idioma español, respecto de las características del certificado solicitado, las limitaciones en cuanto a la responsabilidad, y demás condiciones concernientes a la prestación del servicio, incluyendo las obligaciones que el suscriptor asume en su calidad de titular de un certificado digital emitido bajo la presente solicitud. 66 b) Validar los datos de la solicitud de certificado digital del suscriptor en los términos establecidos en la presente política. c) Notificar la emisión del certificado al suscriptor titular del mismo, a quien éste señale y a terceros indicados en la presente política de certificación. d) Notificar la revocación o suspensión del certificado al suscritpor titular del mismo, a quien éste señale, y a terceros indicados en la presente política de certificación. e) Cumplir con las obligaciones establecidas por la Ley No. 126-02, su Reglamento de Aplicación y las normas complementarias que a tal efecto dicte EL INDOTEL. 2.2.2 Obligaciones del suscriptor del certificado a) Brindar a la Entidad de Certificación o a la Unidad de Registro, si existiere, datos válidos, susceptibles de verificación. b) Mantener su clave privada bajo su absoluto y exclusivo control. c) Utilizar el certificado en los términos establecidos por la presente política. d) Notificar a la Entidad de Certificación o en su caso, a la Unidad de Registro, toda sospecha de compromiso de su clave privada. e) Cumplir con las obligaciones establecidas por la Ley No. 126-02, su Reglamento de Aplicación y las normas complementarias que a tal efecto dicte el INDOTEL. 2.2.3 Obligaciones de los usuarios del certificado a) Aceptar certificados digitales que permitan la verificación de firmas digitales correspondientes a transacciones sujetas al alcance de la presente política de certificación. b) Verificar las firmas digitales recibidas. c) Verificar el estatus del certificado en la Lista de certificados revocados que posee la Entidad de Certificación que emitió el certificado correspondiente. 2.3 Interpretación La interpretación, obligatoriedad, diseño y validez de esta política se encuentran sometidos a lo establecido por la Ley No. 126-02, su Reglamento de Aplicación y las normas complementarias aplicables dictadas por EL INDOTEL. 2.4 Publicación – Repositorios La Entidad de Certificación mantiene un repositorio en línea de acceso público que contiene: a) Listas de certificados revocados y suspendidos. b) El certificado de clave pública de la Entidad de Certificación 67 c) Copia de esta política y de toda otra documentación técnica referida a la Entidad de Certificación que se emita. d) Certificados emitidos que hagan referencia a esta política, (On Line Certificate Status Verification), en caso de que se ofrezca esta opción. e) Toda otra información referida a certificados que hagan referencia a esta política. El repositorio puede accederse a través de la siguiente dirección electrónica: http://xxxxxxxxx.do/ El repositorio se encuentra disponible para uso público durante VEINTICUATRO (24) horas diarias SIETE (7) días a la semana, sujeto a un razonable calendario de mantenimiento. La Entidad de Certificación no puede poner restricciones al acceso a esta política, a sus versiones anteriores y a su certificado de clave pública. 2.4.1 Frecuencia de Publicación Toda información que corresponda incluir en el repositorio se publicará en forma inmediata, luego de haber sido identificada y verificada por la Entidad de Certificación. Las emisiones, suspensiones y revocaciones de certificados deben ser incluidas tan pronto como se hayan cumplido los procedimientos de validación de identidad de los solicitantes, establecidos en esta política y en el Manual de Procedimientos para cada caso en particular. 2.5 Auditorías Las actividades de la Entidad de Certificación se encuentran sujetas a auditorias e inspecciones por parte del INDOTEL, quien podrá auditar e inspeccionar por sí mismo o por terceros a la Entidad de Certificación, en su calidad de órgano regulador de las proveedoras de servicios de certificación. Se efectuará un mínimo de una auditoría anual, cuyo informe será puesto a disposición de los suscriptores de certificados emitidos por dicha entidad y publicado por la Entidad de Certificación en su sitio Web. Las auditorías periódicas cubrirán aspectos tales como el ambiente de control de la entidad, la adecuación de los procesos de validación de la identidad de los solicitantes de certificados, los controles de administración de claves y aquellos relativos a la administración del ciclo de vida de los certificados. 2.6 Políticas de Confidencialidad 68 Toda información referida a suscriptores que sea recibida por la Entidad de Certificación en las solicitudes de emisión de certificados digitales es confidencial y no puede hacerse pública sin el consentimiento previo de los solicitantes o suscriptores, salvo que sea requerida judicialmente. Lo indicado no es aplicable cuando se trate de información que se transcriba en el certificado o sea obtenida de fuentes públicas. En caso de revocación, la Entidad de Certificación deberá informar al Suscriptor del certificado digital revocado, a la Oficina de Recursos Humanos o Personal del Organismo Público al que pertenece, y si así se hubiere indicado, a la Autoridad máxima del organismo público al que pertenezca. 69 3. Identificación y Autentificación Este componente describe los procedimientos utilizados para autenticar la identidad y demás atributos de los solicitantes de certificados, previo a su emisión, realizados por la Entidad de Certificación o la Unidad de Registro. Adicionalmente, esta sección establece los criterios para la aceptación de solicitudes de certificados, así como los casos de renovación y revocación. 3.1 Registro Inicial Dentro del marco de aplicación de esta política, son admitidos los siguientes procedimientos de identificación de los suscriptores de certificados digitales en función de los distintos esquemas de Unidades de Registro previstos: 1. Procedimientos de validación de identidad centralizados: La Entidad de Certificación ejecuta las funciones de la Unidad de Registro de manera interna. En este caso la actividad de verificación de la identidad es efectuada por dicha Unidad de Registro en forma directa, por el área de Recursos Humanos o por el Personal de la Organización a la que pertenece, o alternativamente, por la máxima autoridad del organismo. En el caso de los organismos que tengan sedes geográficamente dispersas, puede adoptarse un procedimiento mediante el cual el responsable de la Unidad de Registro interna de la Entidad de Certificación, se desplace a las unidades donde se encuentran los solicitantes de certificados digitales. 2. Procedimientos de validación de identidad descentralizados: En este caso existen una o varias unidades de registro que reside/n fuera de la Entidad de Certificación. En estos casos los solicitantes de certificados presentarán la documentación necesaria ante la Unidad de Registro que les corresponda, y una vez efectuada la validación de la información, dicha Unidad procederá a la aprobación de la solicitud, sobre cuya base la Entidad de Certificación emitirá el certificado correspondiente. La Entidad de Certificación debe establecer la modalidad en que desarrollará sus actividades, que puede ser una combinación de las anteriormente mencionadas. Los pasos a seguir en cada caso, son los siguientes: 3.1.1 Registro Centralizado 3.1.1.1 Verificación de datos por la Unidad de Registro interna La Entidad de Certificación deberá detallar los pasos que debe seguir el suscriptor para solicitar la emisión de su certificado. 70 El suscriptor debe iniciar el pedido de emisión del certificado ingresando al sitio Web de la Entidad de Certificación, y completando el formulario de solicitud con los datos requeridos. Los procedimientos deben estar claramente indicados. Una vez realizado este procedimiento, obtendrá un código que le permitirá identificar su requerimiento ante la Unidad de Registro. Posteriormente debe presentarse personalmente ante el Responsable de dicha Unidad, a fin de validar su identidad, provisto de la siguiente documentación: a) Documento de identidad (Cédula de Identidad y Electoral, Pasaporte u otro documento similar de validez nacional), en original y fotocopia; b) Código de identificación del requerimiento; c) Carta firmada por el máximo responsable del área de recursos humanos, fundamentada por datos de Entradas, Salidas y Archivo del organismo a que pertenece, que incluirá: I. Nombre y Apellido II. Documento de identidad III. Organismo/Oficina de Asignación/Cargo Alternativamente podrá presentar la disposición de nombramiento, debidamente autenticada por un funcionario competente, donde conste su cargo actual. En caso del personal contratado, se admitirá la presentación de una copia debidamente legalizada de su contrato, con constancia de su vigencia. 3.1.1.2 Verificación de datos a través del área de recursos humanos El suscriptor debe iniciar el pedido de emisión del certificado siguiendo el procedimiento indicado en el apartado anterior. El responsable del área de Recursos Humanos o Personal del organismo colaborará con el Responsable de la Unidad de Registro interna en el proceso de identificación, validando los datos complementarios del suscriptor (p.e. organismo, oficina y cargo). Posteriormente el suscriptor debe presentarse ante el Responsable de la Unidad de Registrolocal provisto de: a) Documento de identidad (Cédula de Identidad y Electoral, Pasaporte u otro documento de validez nacional), en original y fotocopia. b) Código de identificación del requerimiento. 3.1.1.3 Verificación de identidad a través del máximo responsable del organismo El suscriptor debe iniciar el pedido de emisión del certificado siguiendo el procedimiento indicado en el apartado 3.1.1. Posteriormente se debe presentar ante la máxima autoridad del organismo al que pertenezca a fin de validar su identidad, provisto de la siguiente documentación: 71 a) Documento de identidad (Cédula de Identidad y Electoral, Pasaporte u otro documento de validez nacional), en original y fotocopia. b) Código de identificación del requerimiento c) Carta firmada por el máximo responsable del área de Recursos Humanos o Personal del organismo consignando: Nombre y Apellido, Documento de Identidad, Organismo/Oficina de asignación/Cargo. Alternativamente podrá presentar su nombramiento, debidamente autenticado por un funcionario competente, donde conste su cargo actual. En caso del personal contratado, se admitirá la presentación de una copia debidamente legalizada de su contrato, con constancia de su vigencia 3.1.1.4 Servicio de registro itinerante El empleado o funcionario público solicitante debe iniciar el pedido de emisión del certificado siguiendo el procedimiento indicado en el apartado 3.1.1. El Responsable de la Unidad de Registro local debe concurrir a la dependencia u organismo a fin de efectuar la validación de la identidad del funcionario, para lo cual requerirá: a) Documento de identidad (Cédula de Identidad y Electoral, Pasaporte u otro documento de validez nacional), en original y fotocopia.Código de identificación del requerimiento b) Constancia del Nombramiento (Decreto, Resolución, Contrato, Constancia de Prestación del servicio, Certificado de Elección de la Junta Central Electoral, etc.). 3.1.2 Registro Descentralizado La Entidad de Certificación deberá indicar si admite la constitución de una o varias Unidades de Registro externas al ámbito donde desarrolla sus actividades. En particular, se admitirán aquellos organismos o dependencias que se encuentren en condiciones de efectuar un adecuado control de identidad de los suscriptores de certificados que les presentaran una solicitud de emisión, dado el tipo de información que manejan y su cercanía al usuario final, tales como áreas de recursos humanos. En todos los casos, es atribución de la Entidad de Certificación autorizar el funcionamiento de las Unidades de Registro. Dicha delegación de funciones deberá ser aprobada por EL INDOTEL, circunstancia ésta que deberá ser precisada en la Política de Certificación de la Entidad. 72 Toda Unidad de Registro asume las siguientes obligaciones: a) Designar un responsable del proceso de validación de identidad de los suscriptores (Responsable de la Unidad de Registro) y su correspondiente sustituto. b) Cumplir con las obligaciones establecidas en la Política de Certificación y en el Manual de Procedimientos de la Entidad de Certificación que ha delegado en dicha unidad las funciones relativas al proceso de validación de identidad de los suscriptores. c) Cumplir con las disposiciones establecidas en la Política de Certificación y en el Manual de Procedimientos de la Entidad de Certificación, respecto a la conservación de archivos y documentación que respalde el proceso de validación de identidad de los suscriptores, y con todas las disposiciones aplicables vigentes. d) Permitir la realización de las auditorias periódicas e inspecciones, por parte de la Entidad de Certificación y EL INDOTEL, a fin de garantizar la seguridad del sistema, y el seguimiento de los procedimientos adecuados. e) Toda otra obligación establecida en el Reglamento de Aplicación de la Ley No. 126-02, sus normas complementarias, esta Política de Certificación y el Manual de Procedimientos de la Entidad de Certificación. Toda Unidad de Registro debe adherir a los términos de la Política de Certificación, del Manual de Procedimientos y del resto de la documentación técnica de la Entidad de Certificación, circunstancia que debe constar en esta política. Dicha adhesión se instrumentará mediante la firma de un Acuerdo de Responsabilidad. 3.2 Renovación de certificados Dentro de los TREINTA (30) días antes de la expiración del período de validez de un certificado emitido según los lineamientos de esta política, un suscriptor puede solicitar a la Entidad de Certificación la emisión de un nuevo certificado. En estos casos deberá remitir un requerimiento firmado digitalmente, indicando tal solicitud. Una vez expirado el certificado, deberá realizar los procedimientos indicados en la sección 3.1 Registro Inicial. 3.3 Renovación posterior a la revocación (sin compromiso de clave privada) Deberán detallarse los procedimientos de identificación y autentificación a seguir para la renovación de certificados una vez que el certificado fue revocado. Dichos procedimientos deben coincidir con los detallados en el punto 3.1 sobre Registro Inicial. 3.4 Solicitud de Revocación 73 La Entidad de Certificación procederá a la revocación de los certificados digitales emitidos bajo esta política, en los siguientes casos: 1) A solicitud del suscriptor del certificado digital; 2) A solicitud de su superior jerárquico; 3) A solicitud de la Oficina de Recursos Humanos o Personal del organismo al que reporta; 4) Por iniciativa de la Entidad de Certificación: a) Si se determina que un certificado digital fue emitido sobre la base de una información falsa que en el momento de la emisión hubiera sido objeto de verificación; b) Si se determina que los procedimientos de emisión y/o verificación han dejado de ser seguros; c) Por determinación de que la información contenida en el certificado ha dejado de ser válida; d) En caso de que el suscriptor esté utilizando el certificado inapropiadamente; 5) Por Resolución Judicial o de entidad administrativa competente, debidamente motivada; 6) Por declaración judicial de ausencia con presunción de fallecimiento del suscriptor; 7) Por declaración mediante sentencia con autoridad de la cosa irrevocablemente juzgada de incapacidad jurídica del suscriptor; 8) Por la cesación de la relación de subordinación, representación laboral o contractual respecto del organismo público. En caso de revocación, ordenada por el INDOTEL, de la autorización para funcionar otorgada a la Entidad de Certificación, siempre y cuando no se haya decidido la transferencia del certificado a otra Entidad de Certificación; y, 9) Por la cesación de actividades de la Entidad de Certificación y siempre y cuando no se haya decidido la transferencia del certificado a otra Entidad de Certificación. La revocación tendrá lugar cuando la Entidad de Certificación constate y comunique de manera formal al suscriptor del certificado, por cualquiera de los siguientes medios: a) Documentos digitales o mensajes de datos firmados digitalmente, transmitidos por protocolos de comunicación electrónica tales como correo electrónico, transferencia de archivos, entre otros. b) Facsímil, con la condición de que el remitente pueda dejar constancia de la recepción; c) Correspondencia con acuse de recibo; d) Cualquier otro medio físico o electrónico mediante el cual la entidad de certificación pueda dejar constancia de la certitud de su recepción. 74 3.5 Período de Validez de los certificados Los certificados emitidos por Entidades de Certificación a favor de empleados y funcionarios públicos tendrán un período de duracion que dependerá del nivel del Certificado emitido. 75 4 - Requisitos operativos. Este componente se utiliza para especificar los requerimientos que deben cumplir las Entidades de Certificación, las Unidades de Registro, los suscriptores y otros participantes, con relación al ciclo de vida de los certificados. 4.1 Solicitud del certificado La emisión del certificado a favor de un suscriptor implica su autorización para utilizarlo con los alcances definidos por la Ley No. 126-02, el Reglamento de Aplicación, sus normas complementarias y por esta política de certificación. Su vigencia caduca por expiración o revocación del certificado. Todo suscriptor que solicite un certificado debe completar un requerimiento, el que estará sujeto a revisión y aprobación por la Uniddad de Registro según las previsiones indicadas en el apartado 3. El proceso de solicitud puede ser iniciado solamente por el interesado, quien debe acreditar fehacientemente su identidad. 4.2 Emisión del certificado Cumplidos los requisitos del proceso de identificación y autentificación de acuerdo con esta política y una vez completada y aprobada la solicitud, la Entidad de Certificación procederá a emitir el correspondiente certificado digital a nombre del suscriptor. Para ello firmará digitalmente el certificado y lo pondrá a disposición del interesado, notificándolo de tal situación. 4.3 Aceptación del Certificado Una vez que la Entidad de Certificación notifica al suscriptor la emisión del certificado y lo pone a su disposición, el certificado se considera aceptado. Dicha aceptación implica que el suscriptor puede utilizarlo con los alcances definidos por la Ley No. 126-02, el Reglamento de Aplicación, sus normas complementarias, y por esta política de certificación, a partir de su fecha de emisión y hasta su expiración o revocación. 4.4 Revocación y suspensión de certificados 4.4.1 Clases de revocación 4.4.1.1 Revocación voluntaria El Responsable de la Unidad de Registro admitirá solicitudes de revocación recibidas por los siguientes medios: 76 a) Personalmente, presentándose ante el Responsable de la Unidad de Registro b) Documentos digitales o mensajes de datos firmados digitalmente, transmitidos por protocolos de comunicación electrónica tales como correo electrónico y transferencia de archivos, entre otros; c) Facsímil, con la condición de que el remitente pueda dejar constancia de la recepción; d) Correspondencia con acuse de recibo; e) Cualquier otro medio físico o electrónico mediante el cual la entidad de certificación pueda dejar constancia de la certitud de su recepción. En todos los casos, el suscriptor o quien solicita la revocación deberá demostrar su identidad, y en el caso de la revocación, su capacidad para solicitar tal procedimiento. La Entidad de Certificación deberá precisar en esta política el domicilio, la dirección electrónica, el número telefónico o de Facsímil y todo otro dato necesario para facilitar la solicitud de revocación. Asimismo, se admitirán solicitudes de revocación del responsable del área de Recursos Humanos o de la máxima autoridad competente del organismo o dependencia a que pertenece el suscriptor por cualquiera de los medios nombrados. En los casos de solicitudes de revocación que se reciban en forma telefónica o vía fax, se procederá a la aceptación del requerimiento siempre que, a juicio del Responsable de la Unidad de Registro, la urgencia de la situación justifique la aceptación. En tales casos, debe efectuar una confirmación telefónica de la solicitud o bien, de no ser posible, utilizar otro medio de verificación alternativo a fin de validar adecuadamente la identidad del solicitante. 4.4.1.2 Revocación obligatoria Un suscriptor debe solicitar la inmediata revocación de su certificado: a) Cuando se produzcan cambios en la información que el certificado contiene. b) Cuando existan sospechas de que la clave privada asociada al certificado de clave pública, o el medio en que se encuentre almacenada, se vean vulnerados o corran peligro de estarlo. c) Cuando cese su vínculo laboral con el organismo, dependencia o institución d) En toda otra circunstancia indicada en esta Política de Certificación. La Entidad de Certificación procederá a revocar el certificado del suscriptor: a) A solicitud del suscriptor cuando se verifiquen los procedimientos de recepción y validación establecidos en el Manual de Procedimientos; 77 b) A solicitud del responsable del área de recursos humanos o de la máxima autoridad del organismo o dependencia, cuando se verifiquen los procedimientos de recepción y validación establecidos en el Manual de Procedimientos; c) Ante incumplimiento por parte del suscriptor de las obligaciones establecidas en la Ley No. 126-02, su Reglamento de Aplicación, normas complementarias, por esta política, por el Manual de Procedimientos o por cualquier otro acuerdo o regulación aplicable al certificado; d) Si toma conocimiento de que existe sospecha de que la clave privada del suscriptor se encuentra comprometida; e) Si la Entidad de Certificación determina que el certificado no fue emitido de acuerdo a los Estándares sobre Tecnología de Firma Digital dictados por el INDOTEL; f) Si se verifica cualquier otro supuesto que se contemple en el Manual de Procedimientos. 4.4.1.3 Autorizados a requerir la revocación Únicamente el suscriptor, el responsable del área de Recursos Humanos o la máxima autoridad del organismo u oficina de dependencia, pueden solicitar la revocación de un certificado emitido según lo dispuesto en esta política. 4.4.1.4 Procedimiento para solicitar la revocación La solicitud de revocación del certificado de un suscriptor debe ser comunicada en forma inmediata a la Entidad de Certificación por alguno de los autorizados indicados en el apartado anterior. Debe presentarse vía interfaz Web, por correo electrónico firmado digitalmente o bien personalmente según lo establecido en el apartado 4.4.1.1. 4.4.1.5 Actualización de repositorios Una vez recibida una solicitud de revocación y efectuada la validación de la identidad del solicitante, el repositorio a través del cual se indica el estado de los certificados se actualizará de inmediato. Todas las solicitudes y la información acerca de los procedimientos complementados por la Entidad de Certificación deben ser archivadas, según lo dispuesto en el apartado 4.6. 4.4.1.6 Emisión de listas de certificados revocados La Entidad de Certificación debe emitir listas de certificados revocados, efectuando como mínimo una actualización cada 72 horas. 78 Asimismo, toda vez que la Entidad de Certificación reciba una solicitud de revocación aprobada por el Responsable de la Unidad de Registro, deberá emitir una lista de certificados revocados dentro de un plazo máximo de VEINTICUATRO (24) horas. En todos los casos, las listas de certificados revocados deben ser firmadas digitalmente por la Entidad de Certificación. 4.4.2 Clases de suspensión 4.4.2.1 Suspensión voluntaria El Responsable de la Unidad de Registro admitirá solicitudes de suspensión recibidas por los siguientes medios: a) Personalmente, presentándose ante el Responsable de la Unidad de Registro b) Documentos digitales o mensajes de datos firmados digitalmente, transmitidos por protocolos de comunicación electrónica tales como correo electrónico, transferencia de archivos, entre otros. c) Facsímil, con la condición de que el remitente pueda dejar constancia de la recepción; d) Correspondencia con acuse de recibo; e) Cualquier otro medio físico o electrónico mediante el cual la entidad de certificación pueda dejar constancia de la certitud de su recepción. En todos los casos, el suscriptor o quien solicita la suspensión deberá demostrar su identidad. Cuando no se trate del suscriptor, deberá demostrar su capacidad para solicitar el procedimiento de suspensión. La Entidad de Certificación deberá precisar en esta política el domicilio, la dirección electrónica, el número telefónico o de Facsímil y todo otro dato necesario para facilitar la solicitud de suspensión. Asimismo, se admitirán solicitudes de suspensión realizadas por el responsable del área de Recursos Humanos o de la máxima autoridad competente del organismo o dependencia a que pertenece el suscriptor, las cuales deberán dirigirse a la dirección de correo electrónico mencionada anteriormente o que cualquiera de los nombrados se presente personalmente. En los casos de solicitudes de suspensión que se reciban por otros medios (telefónicamente, vía facsímil), se procederá a la aceptación del requerimiento siempre que, a juicio del Responsable de la Unidad de Registro, la urgencia de la situación justifique la aceptación. En tales casos, debe efectuar una confirmación telefónica de la solicitud o bien, de no ser posible, utilizar otro medio de verificación alternativo a fin de validar adecuadamente la identidad del solicitante. 79 4.4.2.2 Autorizados a requerir la suspensión Únicamente el suscriptor, el responsable del área de Recursos Humanos o la máxima autoridad del organismo u oficina de dependencia pueden solicitar la suspensión de un certificado emitido según lo dispuesto en esta política. 4.4.2.3 Procedimiento para solicitar la suspensión La solicitud de suspensión del certificado de un suscriptor debe ser comunicada en forma inmediata a la Entidad de Certificación por alguno de los autorizados indicados en el apartado anterior. 4.4.2.4 Actualización de repositorios Una vez recibida una solicitud de suspensión y efectuada la validación de la identidad del solicitante, el repositorio indicando el estado de los certificados se actualizará de inmediato. Todas las solicitudes y la información acerca de los procedimientos cumplidos deben ser archivadas, según lo dispuesto en el apartado 4.6. 4.4.2.5 Emisión de listas de certificados suspendidos La entidad de Certificación debe emitir listas de certificados suspendidos, efectuando como mínimo una actualización cada SETENTA Y DOS (72) horas. Asimismo, toda vez que la Entidad de Certificación reciba una solicitud de suspensión aprobada por el Responsable de la Unidad de Registro, deberá emitir una lista de certificados suspendidos dentro de un plazo máximo de VEINTICUATRO (24) horas. En todos los casos, las listas de certificados suspendidos deben ser firmadas digitalmente por la Entidad de Certificación. 4.5 Procedimientos de auditoría de seguridad Todos los hechos significativos que afecten la seguridad del sistema de la Entidad de Certificación deben ser almacenados en archivos de transacciones de auditoría. Serán conservados en las instalaciones de la Entidad de Certificación por un período no inferior a UN (1) año. Posteriormente, serán archivados en un lugar físico protegido hasta completar un período mínimo de DIEZ (10) años. De serles requeridas, la Entidad de Certificación deberá poner dichos archivos a disposición del INDOTEL, en un plazo que no podrá exceder los CINCO (5) días hábiles. 80 4.6 Archivos La Entidad de Certificación debe conservar todos los datos y la documentación de apoyo relativa a: a) Las solicitudes de certificados y toda información y documentación que avale el proceso de identificación. b) Las solicitudes de revocación y suspensión de certificados y toda información y documentación que avale el proceso de identificación. c) Los certificados emitidos y las listas de certificados revocados. d) Los archivos de auditoría. e) Toda comunicación relevante entre la Entidad de Certificación y los suscriptores. f) Toda comunicación relevante entre la Entidad de Certificación y EL INDOTEL. La información y documentación mencionada se debe conservar por un plazo mínimo de DIEZ (10) años. Los medios de almacenamiento de la información deben ser protegidos física y lógicamente, utilizando criptografía cuando fuera apropiado, de manera que se garantice la integridad de la información almacenada. Estos requerimientos son igualmente aplicables a las Unidades de Registro. Es obligación de la Entidad de Certificación la implementación de procedimientos para la emisión de copias de resguardo actualizadas, las cuales deben encontrarse disponibles a la brevedad en caso de pérdida o destrucción de los archivos. Dichos procedimientos deben detallarse en el Manual de Procedimientos. 4.7 Cambio de Claves por parte de la Entidad de Certificación En caso de que la Entidad de Certificación debiera reemplazar su par de claves, comunicará a los suscriptores de certificados emitidos bajo esta política, mediante un medio fehaciente que garantice su recepción, su nueva clave pública, las acciones que el suscriptor deberá seguir respecto a dicha clave y las consecuencias que se derivan de esta situación. 4.8 Situaciones de Emergencia 4.8.1 Plan de Contingencias La Entidad de Certificación debe indicar en esta Política que ha desarrollado e implementado un Plan de Contingencias apropiado para sus instalaciones, que garantice la continuidad de las operaciones críticas. Dicho plan debe garantizar 81 el mantenimiento mínimo de las operaciones (recepción de solicitudes de revocación y consulta de listas de certificados revocados actualizados) y la puesta en operaciones dentro de las VEINTICUATRO (24) horas de producirse una emergencia. El plan debe ser conocido por todo el personal que cumpla funciones en la Entidad de Certificación y en las Unidades de Registro dependientes. Debe incluir una prueba completa de los procedimientos a utilizar en casos de emergencia, por lo menos una vez al año. La previsión por contingencia deberá contemplar asimismo los servicios prestados por prestadores externos a la Entidad de Certificación. 4.8.2 Plan de protección de claves La Entidad de Certifcación debe indicar que ha implementado procedimientos a cumplir cuando su clave privada se vea vulnerada. Se deben incluir las medidas a tomar para revocar los certificados emitidos y notificar en forma inmediata a sus suscriptores. 4.9 Cesación de actividades de la Entidad de Certificación La Entidad de Certificación deberá indicar la existencia de un plan de cese de actividades. En dicho caso, todos los suscriptores de certificados por ella emitidos deben ser notificados de inmediato. Ante una cesación de actividades y salvo en el caso de que, mediando la aceptación del suscriptor, se transfiera el respectivo certificado a otra Entidad de Certificación, se procederá a revocar dicho certificado. Asimismo, ante una cesación de activididades, no mediando transferencia a otra entidad de Certificación, se deberá indicar el responsable de la custodia de los archivos y registros de actividad de la Entidad de Certificación que cesa su actividad. 82 5 - Controles de Seguridad Este componente describe los controles de seguridad no técnicos, es decir, los controles físicos, de procedimientos y de personal, utilizados por la Entidad de Certificación, para realizar en forma segura las funciones de autentificación, emisión de certificados, la revocación de certificados, la auditoria y el archivo de la documentación. 5.1 Controles de seguridad física 5.1.1 Control de acceso La Entidad de Certificación debe implementar controles apropiados que restrinjan el acceso a los equipos, programas y datos utilizados para proveer el servicio de certificación, solamente a personas debidamente autorizadas. 5.2 Controles funcionales 5.2.1 Determinación de roles Todo el personal que tenga acceso o control sobre operaciones criptográficas que puedan afectar la emisión, utilización o revocación de los certificados, incluyendo modificaciones en el repositorio, debe ser confiable. Se incluyen, entre otros, a administradores del sistema, operadores, técnicos y supervisores de las operaciones de la Entidad de Certificación. 5.2.2 Separación de funciones Con el fin de mantener una adecuada separación de funciones, cada uno de los roles definidos en la Entidad de Certificación deben ser desempeñados por diferentes responsables. Las designaciones deben ser notificadas por escrito a cada uno de los interesados, quienes deben dejar constancia de su aceptación. 5.3 Controles de seguridad personal 5.3.1 Calificación del personal La Entidad de Certificación debe seguir una política de administración de personal que provea razonable seguridad acerca de la confiabilidad y competencia del personal para el adecuado cumplimiento de sus funciones. Deberá tenerse en cuenta y hacer constar en la política los requisitos que deberá cumplir el cuerpo profesional de la Entidad de Certificación, en cuanto a probidad ética y moral y capacidad profesional. 83 5.3.2 Antecedentes Todo el personal involucrado en la operación de la Entidad de Certificación debe ser sometido a adecuados procesos de investigación que permitan demostrar su confiabilidad y competencia para las funciones a cumplir. Esta investigación es obligatoria como paso previo al inicio de la relación laboral. En lo que respecta a las Unidades de Registro, la Entidad de Certificación que efectúa la delegación, deberá capacitar a los responsables de la validación de la identidad de los solicitantes de certificados y obtener garantías suficientes respecto a su probidad ética y moral, antes de aceptar la implementación de dicha Unidad de Registro. 5.3.3 Entrenamiento Toda la documentación técnica pública que sea emitida y aprobada en respaldo de los procesos de emisión, actualización y revocación de los certificados, así como sobre aspectos funcionales del sistema informático, deberá encontrarse disponble y ser conocida por el personal autorizado para el cumplimiento de la función respectiva. 84 6. Controles Técnicos de Seguridad Este componente se utiliza para definir las medidas de seguridad adoptadas por la Entidad de Certificación emisora para proteger sus claves criptográficas y datos de activación (PINs, passwords, etc.). Asimismo, se establecen las obligaciones de suscriptores, repositorios, etc. para la protección de sus claves privadas, datos de activación y parámetros de seguridad críticos. La administración segura de las claves es fundamental para asegurar que todas las claves privadas y otros datos secretos sean protegidos y utilizados sólo por personas autorizadas. 6.1 Generación e instalación de claves El par de claves del suscriptor de un certificado emitido en los términos de esta política, debe ser generado de manera tal que su clave privada se encuentre bajo su exclusivo y permanente conocimiento y control. El suscriptor es considerado titular del par de claves; como tal, debe generarlo en un sistema confiable, no debe revelar su clave privada a terceros bajo ninguna circunstancia y debe almacenarla en un medio que garantice su confidencialidad. En aquellos casos en que la Entidad de Certificación decida ofrecer el servicio de emisión de un par de claves, se deberán emplear procedimientos que garanticen que dichas claves sean entregadas al suscriptor del certificado en forma personal y confidencial. A partir de este momento la clave privada queda bajo el control y responsabilidad del suscriptor para los efectos previsto en la Ley y su reglamentación. La Entidad de Certificación debe borrar todo rastro de la misma, dejando constancia de la totalidad de las operaciones realizadas. La Entidad de Certificación debe indicar expresamente que en caso de prestar el servicio de generación del par de claves, no mantendrá bajo ningún concepto copia de la clave privada, una vez que ésta haya sido entregada a su titular. 6.1.2 Envío de la clave pública La clave pública del suscriptor del certificado debe ser transferida a la Entidad de Certificación de manera tal que asegure que: a) No pueda ser cambiada durante la transferencia. b) El remitente posea la clave privada que corresponde a la clave pública transferida. c) El remitente de la clave pública sea el suscriptor del certificado. El requerimiento de un certificado debe emitirse en formato PKCS#10,según se establece en los Estándares Tecnológicos de Firma Digital dictados por el INDOTEL, o bien, en el que se establezca en el futuro, de acuerdo a los avances tecnológicos. 85 6.2 Protección de la clave privada La Entidad de Certificación debe indicar en forma expresa que protegerá en todo momento su clave privada. Esto es asimismo aplicable a las Unidades de Registro en relación con las claves privadas que emplean en sus procedimientos de aprobación. La clave privada utilizada por una Entidad de Certificación para firmar certificados bajo esta política, deberá resguardarse en un dispositivo criptográfico seguro, tal como una tarjeta inteligente o una llave criptográfica o dispositivo similar. En todos los casos deberán indicarse en esta política, los estándares aplicables a la generación de las claves, si la clave se encuentra bajo el control de más de una persona, la existencia de mecanismos de resguardo de la clave privada, etc. Asimismo, deberá indicarse que existen procedimientos seguros para la destrucción de las claves privadas en desuso. Los estándares mencionados deberán estar en consonancia con los dictados por el INDOTEL para la Infraestructura de Clave Pública de la República Dominicana. 6.3 Otros aspectos del manejo de claves 6.3.1 Reemplazo de claves El par de claves de la Entidad de Certificación debe ser reemplazado cuando las mismas hayan sido vulneradas o exista presunción en tal sentido. 6.3.2 Restricciones al uso de claves privadas La clave privada de la Entidad de Certificación empleada para emitir certificados según los lineamientos de esta política, debe utilizarse para firmar certificados a favor de suscriptores. Adicionalmente, la mencionada clave sólo puede usarse para firmar listas de certificados revocados y suspendidos. 6.4 Datos de Activación Deberán indicarse los mecanismos de protección del acceso a la clave privada que emplea la Entidad de Certificación, tales como passphrase, métodos biométricos, etc. 6.5 Controles de seguridad física 86 Todos los servidores de la Entidad de Certificación deben incoporar los controles de seguridad enunciados en los Estándares Tecnológicos de Firma Digital dictados por el INDOTEL. 6.6 Controles de administración de la seguridad En esta sección, la Entidad de Certificación deberá indicar la existencia de controles en la administración de la seguridad, tales como la ejecución de herramientas y la existencia de procedimientos que garanticen la operación de los sistemas y la adhesión a las políticas de seguridad. Estas políticas apuntan al mantenimiento de la integridad de los programas, sistemas y del hardware, con la finalidad de asegurar su correcta operación. 6.7 Controles de seguridad de conectividad de red Los servicios que provee la Entidad de Certificación que deban estar conectados a una red de comunicación pública, deben ser protegidos por la tecnología apropiada que garantice su seguridad, e impida los accesos no autorizados. Debe asegurarse que se exija autorización de acceso a todos los servicios que así lo requieran. Por otro lado, debe garantizarse la provisión de los servicios en los términos establecidos en esta política. 6.8 Características criptográficas La Entidad de Certificación deberá expresar el cumplimiento de los Estándares Tecnológicos de Firma Digital, dictados por el INDOTEL. Esto se aplica particularmente a: a) Los tipos de algoritmos de firma aceptables. b) Las longitudes mínimas de clave aceptables de las Entidades de Certificación y de los suscriptores. La Entidad de Certificación deberá especificar en esta sección los algoritmos de firma utilizados y los esquemas de encriptación. La longitud mínima para el par de claves de la Entidad de Certificación es de 1024 bits. La generación y almacenamiento de claves de la Entidad de Certificación y su utilización deben efectuarse utilizando un equipo técnicamente confiable que cumpla con los estándares aprobados por EL INDOTEL. En caso de conocerse un mecanismo que vulnere cualquiera de los algoritmos en las longitudes indicadas, es obligación de la Entidad de Certificación revocar todos los certificados comprometidos y notificar a los suscriptores. Para el caso de los suscriptores de certificados emitidos bajo esta política, se aceptará una longitud mínima de 512 bits. 87 7. Certificados y listas de certificados revocados – Características Este componente describe las características de los certificados y las listas del estado de los certificados. 7.1 Perfil del Certificado Todos los certificados que hacen referencia a esta política se emiten en formato ITU-T X509 versión 3 o superior según se establece en los Estándares Tecnológicos de Firma Digital dictados por EL INDOTEL. Un certificado emitido de acuerdo a los requerimientos de esta política incluye los datos de identificación mínimos exigidos por el Reglamento de Aplicación de la Ley No. 126-02, y las normas complementarias aplicables que dicte el INDOTEL. En particular, deben especificarse los datos que figurarán en el certificado emitido bajo esta Política de Certificación, tales como: a) b) c) d) e) f) g) h) i) j) k) l) Número de versión X.509 del certificado, Nombre y apellido del suscriptor del certificado, Localidad, provincia y país de residencia habitual, Dirección de correo electrónico, Clave pública del suscriptor, Algoritmos de firma de la clave pública, Número de serie del certificado, Período de validez del certificado, Nombre de la Entidad de Certificación emisora del certificado, Dirección de consulta de la lista de certificados revocados (CRL), URL donde se encuentra disponible esta Política de Certificación, Todo otro dato relevante para la utilización del certificado de la Entidad de Certificación. El certificado de clave pública correspondiente a un suscriptor en los términos de la presente Política es válido únicamente si: a) b) c) d) Ha sido emitido por la Entidad de Certificación, No ha sido revocado, No ha expirado su período de vigencia, El certificado de la Entidad de Certificación no ha sido revocado ni ha expirado su período de vigencia. Asimismo, esta sección deberá especificar las extensiones que se agregarán a los certificados emitidos bajo esta Política y el sentido de las mismas. 88 7.2 Perfil de las Listas de Certificados Revocados Las listas de certificados revocados se emiten en formato ITU-T X509 versión 2 según se establece en los mencionados Estándares. 7.3 Perfil OCSP La Entidad de Certificación especificará en esta sección si ofrece el servicio de provisión del estatus del certificado en línea, especificando las condiciones de acceso al mismo. 89 8. Administración de esta política Este componente reúne aspectos referidos a la publicación, el mantenimiento y la aprobación de la PC. 8.1 Cambios a la política La Entidad de Certificación deberá especificar en esta Sección que esta Política de Certificación ha sido emitida en base a los lineamientos establecidos por el INDOTEL para la emisión de Certificados para funcionarios y empleados públicos, y que ha sido sometido a análisis y aprobación del mencionado Instituto. 8.2 Publicación y notificación La Entidad de Certificación informará a los suscriptores de certificados acerca de todos aquellos cambios significativos que se efectúen a esta Política. Las modificaciones indicadas serán publicadas en el sitio Web de la Entidad de Certificación, previa aprobación del INDOTEL. Una copia de esta política de certificación y de sus versiones anteriores debe encontrarse disponible en la interfaz Web de la Entidad de Certificación. 90 CRITERIOS MINIMOS SOBRE LAS POLITICAS DE CERTIFICACION PARA LAS FIRMAS DIGITALES SEGURAS 91 INDICE 1. Introducción ............................................................................................................................... 95 1.1. Visión General ........................................................................................................................ 94 1.2. Identificación........................................................................................................................... 94 1.3. Sujetos.................................................................................................................................... 94 1.4. Aplicabilidad............................................................................................................................ 95 1.5. Datos de Contacto.................................................................................................................. 96 2. Previsiones Generales ...............................................................................................................97 2.1. Responsabilidades ................................................................................................................. 97 2.1.1. Responsabilidad de la Entidad de Certificación..................................................... 97 2.1.1.1 Responsabilidades asumidas por la Entidad de Certificación al emitir un certificado digital............................................................................................................... 97 2.1.2. Responsabilidades de las Unidades de Registro................................................... 98 2.1.3. Responsabilidad del Suscriptor.............................................................................. 98 2.2. Obligaciones ........................................................................................................................... 99 2.2.1. Obligaciones de la Entidad de Certificación y de la Unidad de Registro (si hubiere) .......................................................................................................................................... 99 2.2.2. Obligaciones del suscriptor del certificado. .......................................................... 100 2.2.2. Obligaciones de los usuarios del certificado ........................................................ 100 2.3. Interpretación........................................................................................................................ 100 2.4. Tarifas de servicios............................................................................................................... 101 2.5. Publicación – Repositorios ................................................................................................... 101 2.5.1. Frecuencia de Publicación ................................................................................... 101 2.6. Auditorías.............................................................................................................................. 102 2.7. Políticas de Confidencialidad ............................................................................................... 102 3. Requerimientos operacionales para las Entidades de Certificación ........................................103 3.1. Manual de Procedimientos de certificación.......................................................................... 103 3.2. Infraestructura de clave pública – Administración del ciclo de vida de las claves ............... 103 3.2.1. Generación del par de claves de la Entidad de Certificación............................... 103 3.2.2. Almacenamiento, resguardo y recuperación de la clave de firma de la Entidad de Certificación .................................................................................................................... 104 3.2.3. Distribución de la clave pública de la Entidad de Certificación ............................ 104 3.2.4. Uso de las claves para encriptación..................................................................... 105 3.2.5. Uso de las Claves de la Entidad de Certificación ................................................ 105 3.2.6. Terminación del ciclo de vida de las claves de la Entidad de Certificación. ........ 105 3.2.7. Administración del ciclo de vida del hardware criptográfico utilizado para firmar certificados...................................................................................................................... 105 3.2.8. Servicio de administración de claves del suscriptor provisto por la Entidad de Certificación .................................................................................................................... 106 3.2.9. Preparación del dispositivo seguro de creación de firmas digitales. ................... 106 4. Identificación y Autentificación .................................................................................................107 4.1 Registro Inicial ....................................................................................................................... 107 4.1.1. Registro Centralizado ........................................................................................... 109 4.1.2. Registro Descentralizado ..................................................................................... 110 4.2. Renovación de certificados .................................................................................................. 110 4.3. Renovación posterior a la revocación (sin compromiso de clave privada) .......................... 110 4.4. Solicitud de Revocación ....................................................................................................... 111 4.5. Período de Validez de los certificados ................................................................................. 112 5. Requisitos operativos ...............................................................................................................113 5.1. Solicitud del certificado......................................................................................................... 113 5.2. Emisión del certificado.......................................................................................................... 113 5.3. Aceptación del Certificado.................................................................................................... 114 5.5. Difusión de los términos y condiciones relativas a los certificados...................................... 114 92 5.5. Distribución de certificados................................................................................................... 115 5.6. Revocación y suspensión de certificados ............................................................................ 115 5.6.1. Clases de revocación ........................................................................................... 116 5.6.1.1 Revocación voluntaria ........................................................................................ 116 5.6.1.2 Revocación obligatoria ....................................................................................... 117 5.6.1.3 Autorizados a requerir la revocación.................................................................. 118 5.6.1.4 Procedimiento para solicitar la revocación......................................................... 118 5.6.1.5 Actualización de repositorios.............................................................................. 118 5.6.1.6 Emisión de listas de certificados revocados....................................................... 118 5.6.2. Clases de suspensión .......................................................................................... 118 5.6.2.1 Suspensión voluntaria ........................................................................................ 118 5.6.2.2 Autorizados a requerir la suspensión ................................................................. 119 5.6.2.3 Procedimiento para solicitar la suspensión ........................................................ 119 5.6.2.4 Causas de Suspensión de un certificado ........................................................... 119 5.7 Procedimientos de auditoría de seguridad............................................................................ 120 5.8 Archivos ................................................................................................................................. 120 5.9. Cambio de Claves por parte de la Entidad de Certificación................................................. 121 5.10. Situaciones de Emergencia................................................................................................ 122 5.10.1 Plan de Contingencias......................................................................................... 122 5.10.2. Plan de protección de claves ............................................................................. 122 5.11. Cesación de actividades de la Entidad de Certificación .................................................... 122 6. Administración y Operación de la Entidad de Certificación .....................................................124 6.1. Administración de la Seguridad............................................................................................ 124 6.2. Administración y clasificación de activos ............................................................................. 125 6.3. Seguridad del personal......................................................................................................... 125 6.3.1. Calificación del personal....................................................................................... 126 6.3.2. Antecedentes........................................................................................................ 127 6.4. Controles de seguridad física ............................................................................................... 127 6.4.1. Control de acceso................................................................................................. 128 6.5. Controles funcionales y de operación .................................................................................. 128 6.5.1. Determinación de roles......................................................................................... 129 6.6. Sistemas de Administración de Accesos ............................................................................. 129 6.7. Implementación y Mantenimiento de Sistemas Confiables.................................................. 131 7. Controles Técnicos...................................................................................................................132 7.1. Generación e instalación de claves...................................................................................... 132 7.2. Protección de la clave privada.............................................................................................. 133 7.3. Otros aspectos del manejo de claves .................................................................................. 133 7.3.1. Reemplazo de claves ........................................................................................... 133 7.3.2. Restricciones al uso de claves privadas .............................................................. 133 7.3.3. Datos de Activación.............................................................................................. 133 7.4. Controles de seguridad física ............................................................................................... 134 7.5. Controles de administración de la seguridad ....................................................................... 134 7.6. Controles de seguridad de conectividad de red ................................................................... 134 8. Certificados y listas de certificados revocados – Características ............................................136 8.1. Perfil del Certificado ............................................................................................................. 136 8.2. Perfil de las Listas de Certificados Revocados .................................................................... 136 8.3 Perfil del Protocolo de Certificados en Línea (OCSP) .......................................................... 137 9. Aspectos organizacionales.......................................................................................................138 10. Administración de esta política...............................................................................................139 10.1. Cambios en la Política de Certificación.............................................................................. 139 10.2. Publicación y notificación. .................................................................................................. 139 10.3. Procedimientos de aprobación ........................................................................................... 139 93 1. INTRODUCCION En este subcomponente la Entidad de Certificación debe efectuar una introducción general a su Política de Certificación e indicar los tipos de entidades y aplicaciones a las cuales se refiere. Está conformada por cinco (5) secciones, que incluyen el propósito de la Política de Certificación y los datos de contacto de la Entidad de Certificación. 1.1. Visión General Este documento establece las normas y los requisitos mínimos que deben cumplir en forma obligatoria las Entidades de Certificación que desarrollen sus actividades en la Infraestructura de Clave Pública de la República Dominicana, para la redacción de sus Políticas de Certificación de Firmas Digitales Seguras. Los requisitos aquí enunciados deben considerarse mínimos, por lo que se aceptarán niveles superiores de seguridad y control en los criterios y procedimientos especificados en el presente documento, pero nunca inferiores. La redacción de las Políticas de Certificación para Firmas Digitales seguras debe mantener la estructura de este documento obligatoriamente. El presente documento presenta la alternativa de exigir el empleo de dispositivos seguros de creación de firmas. 1.2. Identificación En esta sección debe identificarse como mínimo, el nivel al que pertenece la Política de Certificación y el nombre de la organización y otros identificadores asociados. Si fuera aplicable, se indicará el OID de la organización. 1.3. Sujetos En esta sección, la Entidad de Certificación establecerá los sujetos a quienes es aplicable la Política. Entre ellos se encuentran: a) La propia Entidad de Certificación, la cual debe ser identificada en su calidad de integrante de la Infraestructura de Clave Pública de la República Dominicana. Debe identificarse asimismo el documento que contendrá sus procedimientos de Certificación. b) Las Unidades de Registro previstas en el Reglamento de Aplicación de la Ley No. 126-02 de Comercio Electrónico, Documentos y Firmas Digitales, en las cuales la Entidad de Certificación ha delegado las funciones de validación de identidad y de los datos de los sucriptores de certificados digitales para la verificación de firmas digitales seguras, y que se constituyan en el ámbito de aplicación de esta política. 94 c) Los suscriptores de certificados digitales en el ámbito de aplicación de esta política, para la generación de firmas digitales seguras. d) Los usuarios de certificados digitales que verifiquen firmas digitales seguras, en el ámbito de aplicación de esta Política. La Política de Certificación que redactará la Entidad de Certificación en base al presente documento formará parte de la documentación técnica emitida por la Entidad de Certificación junto con los siguientes documentos: a) b) c) d) e) Manual de Procedimientos de Certificación, Política de Protección de datos personales, Plan de Contingencias, Plan de Cese de Actividades, Otros documentos técnicos emitidos por la Entidad de Certificación. 1.4. Aplicabilidad En este punto se describirán las aplicaciones para las cuales son adecuados los certificados para firmas digitales seguras, emitidos en el marco de la política de certificación y, si fuera aplicable, aquellas aplicaciones para las cuales no se admite o se limita el empleo de dichos certificados. El artículo 32 de la Ley No. 126-02 establece que una firma digital segura es aquella que puede ser verificada de conformidad con un sistema de procedimiento de seguridad que cumpla con los lineamientos trazados por la citada Ley y su Reglamento de Aplicación. Los certificados para firmas digitales seguras emitidos bajo esta Política de Certificación pueden ser utilizados, entre otras aplicaciones, para la validación de la identidad de los suscriptores en la Internet, en las transacciones en línea, en las redes privadas virtuales, para el cifrado de claves de sesión y para la firma segura de documentos digitales con verificación de la integridad de sus contenidos. Esta Política es aplicable a la emisión de certificados digitales para el público en general, para la generación de firmas digitales seguras. Dichos certificados deben indicar expresamente esta condición. Cuando la Entidad de Certificación así lo determine, podrá exigirse que los certificados emitidos bajo esta política se utilicen exclusivamente con dispositivos seguros de creación de firma. Dichos dispositivos deben estar respaldados por procedimientos y requisitos técnicos apropiados, de manera tal de asegurar: 95 a) que los datos de creación de firmas utilizados para la generación de las firmas digitales seguras no se repitan y se encuentren adecuadamente protegidos; b) que los datos de creación de firmas utilizados para la generación de firmas digitales seguras no puedan ser calculados ni derivados, y que se evite su falsificación mediante el empleo de las tecnologías disponibles; y, c) que los datos de creación de firmas utilizados para la generación de firmas digitales seguras puedan ser razonablemente protegidos por su titular del acceso indebido de terceros. La Entidad de Certificación debe incluir estas especificaciones en la Política de Certificación para firmas digitales seguras que presente ante el INDOTEL para su aprobación. 1.5. Datos de Contacto En esta sección se indicarán los datos de la Entidad de Certificación y del INDOTEL. La información mínima a incluir es la siguiente: E-mail: Domicilio postal: TELÉFONO: Facsímil: Sitio Web: 96 2. Previsiones Generales 2.1. Responsabilidades 2.1.1. Responsabilidad de la Entidad de Certificación En virtud de la Ley No. 126-02, su Reglamento de Aplicación y las normas complementarias dictadas por el INDOTEL, la Entidad de Certificación es responsable de todos los aspectos relativos a la emisión y administración de los certificados emitidos a favor de todos los suscriptores que adhieran a esta política, utilizados para la generación y verificación de firmas digitales seguras. En particular, su responsabilidad alcanza: a) Al proceso de identificación y autentificación del suscriptor, en el ejercicio de sus funciones de Unidad de Registro. b) A la emisión de certificados para firmas digitales seguras. c) A la administración de certificados, incluyendo el proceso de revocación. d) A la publicación de las listas de certificados revocados y de toda la documentación establecida en las normas aplicables dictadas por INDOTEL La Entidad de Certificación debe asegurar en particular, el cumplimiento de los requerimientos establecidos en la sección relativa a requerimientos sobre sus prácticas y operaciones y de los procedimientos contemplados en su Manual de Procedimientos de Certificación y toda otra documentación técnica que emita. Lo dicho es aplicable, asimismo, en los casos en que subcontrate parte de sus servicios. 2.1.1.1 Responsabilidades asumidas por la Entidad de Certificación al emitir un certificado digital Al emitir un certificado digital para firmas digitales seguras, la Entidad de Certificación garantiza: a) Que el certificado ha sido emitido siguiendo las pautas establecidas en esta política y los procedimientos indicados en el Manual de Procedimientos de Certificación para la validación de los datos en él incluidos; b) Que el certificado satisface todos los requisitos exigidos por la Ley No. 126-02, su Reglamento de Aplicación y las normas dictadas por el INDOTEL; c) Que los algoritmos y longitudes de claves utilizados cumplen con la última versión de los Estándares Tecnológicos sobre Firma Digital, aprobada por Resolución del INDOTEL; 97 d) Que el certificado y su eventual revocación, serán publicados según lo dispuesto por la Ley No. 126-02, su Reglamento de Aplicación, sus normas complementarias y esta Política de Certificación; e) Que el certificado cumple con todas las disposiciones aplicables vigentes; f) En caso que sea aplicable, que se ha utilizado un dispositivo seguro de creación de firmas digitales, que cumple con los requerimientos de esta política. 2.1.2. Responsabilidades de las Unidades de Registro Las Unidades de Registro que se constituyan en el ámbito de aplicación de esta Política, cualquiera que sea la modalidad que adopten, serán responsables por el cumplimiento de las funciones de validación de la identidad y autentificación de los datos de los suscriptores que soliciten certificados digitales por su intermedio, y por el archivo y conservación de toda la documentación que respalde dicho proceso por un plazo no inferior a DIEZ (10) años desde la revocación o expiración de los certificados, en los términos establecidos por la Entidad de Certificación en esta política. En esta sección deben ser incluidas las obligaciones de las Unidades de Registro vinculadas a la Entidad de Certificación, indicando como mínimo las siguientes: a) Recibir las solicitudes de emisión, de suspensión y de revocación de certificados; b) Verificar la identidad del solicitante y validar el contenido de la solicitud, de acuerdo a lo establecido en la Política de Certificación y en el Manual de Procedimientos de Certificación; c) Remitir las solicitudes de emisión, de suspensión y de revocación aprobadas a la Entidad de Certificación responsable; d) Informar a los titulares sobre el proceso de emisión, suspensión y revocación de certificados. 2.1.3. Responsabilidad del Suscriptor En este subcomponente, deben incluirse como mínimo los siguientes puntos: a) Remitir a la Entidad de Certificación información precisa y completa, de acuerdo a los lineamientos de esta política, en particular con relación al proceso de validación de su identidad; b) Utilizar su par de claves exclusivamente para firmar digitalmente, respetando todas las limitaciones que le fueron notificadas por la Entidad de Certificación emisora, en cuanto al uso de los certificados; c) Tomar precauciones razonables para evitar el uso no autorizado de su clave privada; d) Si el suscriptor genera su propio par de claves: 98 i) generar sus claves utilizando un algoritmo aceptado por los Estándares Tecnológicos dictados por el INDOTEL, ii) utilizar claves de longitud igual o superior a 1024 bits, según lo especifiquen los estándares antes mencionados, iii) si esta Política establece la exigencia de utilizar un dispositivo seguro de creación de firmas digitales, utilizar su certificado sólo si se cuenta con dicho dispositivo, iv) si el suscriptor genera su par de claves, generarlas dentro de dicho dispositivo. e) Notificar en forma inmediata a la Entidad de Certificación la ocurrencia de cualquiera de las circunstancias enunciadas a continuación, durante el periodo de vigencia del certificado: i) la pérdida, robo o la sospecha de vulneración o mal uso de su clave privada, ii) la pérdida del control del suscriptor sobre su clave privada debido a la vulneración de los datos de activación de su clave privada de firma (p.e. passphrase) u otras razones, iii) los cambios o errores en los datos contenidos en el certificado. Debe consignarse que el suscriptor de un certificado digital de acuerdo a los lineamientos de esta Política asume la absoluta responsabilidad por la utilización de dicho certificado, incluyendo la custodia exclusiva y permanente de su clave privada. En particular, el suscriptor es responsable de solicitar la revocación de su certificado en caso de pérdida del dispositivo seguro de creación de firmas digitales, si tal dispositivo fuera exigido en esta política. La Entidad de Certificación podrá indicar que no asume ninguna responsabilidad por el uso que el suscriptor eventualmente pudiera darle al certificado digital fuera del alcance establecido en el subcomponente 1 de esta Política. 2.2. Obligaciones 2.2.1. Obligaciones de la Entidad de Certificación y de la Unidad de Registro (si hubiere) Deben contemplarse como mínimo, las siguientes obligaciones: a) Informar al solicitante de un certificado digital, en un lenguaje claro y accesible, en idioma español, respecto de las características del certificado solicitado, las limitaciones a la responsabilidad, y demás condiciones concernientes a la prestación del servicio, incluyendo las obligaciones que el suscriptor asume en su calidad de titular de un certificado digital emitido bajo la presente solicitud; b) Validar los datos de la solicitud de certificado digital del suscriptor en los términos establecidos en la presente política; 99 c) Notificar la emisión del certificado al suscriptor titular del mismo, a quien éste señale y a terceros indicados en la presente política de certificación; g) Notificar la revocación o suspensión del certificado al suscriptor titular del mismo, a quien éste señale, y a terceros indicados en la presente política de certificación; h) Cumplir con las obligaciones establecidas por la Ley No. 126-02, su Reglamento de Aplicación y las normas complementarias que a tal efecto dicte el INDOTEL. 2.2.2. Obligaciones del suscriptor del certificado. Deben contemplarse como mínimo, las siguientes obligaciones: a) Brindar a la Entidad de Certificación o a la Unidad de Registro, si existiere, datos válidos, susceptibles de verificación; b) Mantener su clave privada bajo su absoluto y exclusivo control; c) Utilizar el certificado en los términos establecidos en la presente política; d) Notificar a la Entidad de Certificación o en su caso, a la Unidad de Registro, toda sospecha de vulneración de su clave privada; y e) Cumplir con las obligaciones establecidas por la Ley No. 126-02, su Reglamento de Aplicación y las normas complementarias que a tal efecto dicte el INDOTEL 2.2.2. Obligaciones de los usuarios del certificado Se deben mencionar al menos, las siguientes obligaciones a) Aceptar certificados digitales que permitan la verificación de firmas digitales seguras correspondientes a transacciones sujetas al alcance de la presente política de certificación; b) Verificar las firmas digitales seguras recibidas y la validez de los certificados; c) Verificar el estado del certificado en la Lista de certificados revocados y suspendidos. Estas obligaciones deben encontrarse disponibles para los usuarios de certificados en el sitio Web de la Entidad de Certificación que se adhiera a esta política. 2.3. Interpretación En este subcomponente debe ser identificada la legislación aplicable a la Política de Certificación, particularmente en lo que respecta a firmas digitales seguras. Debe hacerse mención a Ley No. 126-02, su Reglamento de Aplicación y las normas complementarias aplicables dictadas por el INDOTEL. 100 Deben indicarse asimismo los procedimientos que se adoptarán en caso de conflictos emanados de esta Políticas de Certificación y otras normas, acuerdos, contratos o documentos que se pudieran adoptar. 2.4. Tarifas de servicios En esta sección, la Entidad de Certificación especificará su política tarifaria y de reembolso, correspondiente a los certificados para firmas digitales seguras. Indicará, entre otros ítems: a) b) c) d) e) f) Tarifas de emisión de certificados para firmas digitales seguras, Tarifas de suspensión de certificados para firmas digitales seguras, Tarifas de revocación de certificados para firmas digitales seguras, Tarifas de otros servicios, Políticas de reembolso, Tarifas sobre peticiones de sellado de tiempo y generación de sellos de tiempo. 2.5. Publicación – Repositorios En este punto la Entidad de Certificación debe definir la información que publicará y los medios que utilizará para tal publicación, en lo que respecta a los certificados para firmas digitales seguras que emita. Debe permitir el acceso VEINTICUATRO (24) horas, SIETE (7) días a la semana, sujeto a un programa razonable y previsible de mantenimiento, de la siguiente información: a) Listas de certificados revocados; b) Su certificado de clave pública; c) Copia de esta Política y de toda otra documentación técnica que se emita referida a la Entidad de Certificación; d) Servicio de acceso en línea al estado de los certificados emitidos que hagan referencia a esta Política, (On Line Certificate Status Verification), en caso de que se ofrezca esta opción; e) Toda otra información referida a certificados que hagan referencia a esta política. Debe indicarse la dirección de Internet donde estará disponible el repositorio. La Entidad de Certificación no puede poner restricciones al acceso a esta política, a sus versiones anteriores, a su certificado de clave pública y la información citada precedentemente. 2.5.1. Frecuencia de Publicación 101 En este subcomponente, debe indicarse la frecuencia con que se publicará la información detallada en el punto anterior. La Entidad de Certificación debe indicar que toda información que corresponda incluir en el repositorio se publicará en forma inmediatamente posterior a haber sido conocida y verificada. Debe indicarse que las emisiones o renovaciones, suspensiones y revocaciones de certificados deben ser incluidas tan pronto como se hayan cumplido los procedimientos de validación de identidad de los solicitantes establecidos en esta política y en el Manual de Procedimientos para cada caso en particular. El caso de la Lista de Certificados Revocados es tratado más adelante, en el subcomponente 4.4. 2.6. Auditorías Las actividades de la Entidad de Certificación se encuentran sujetas a auditorías e inspecciones por parte del INDOTEL,, quien podrá auditar e inspeccionar por sí o por terceros a la Entidad de Certificación, en su calidad de órgano regulador de las proveedoras de servicios de certificación. Se efectuará un mínimo de una auditoria anual, cuyo informe será puesto a disposición de los suscriptores de certificados emitidos por dicha entidad y publicado por la Entidad de Certificación en su sitio Web. Las auditorías periódicas cubrirán aspectos tales como el ambiente de control de la entidad, la adecuación de los procesos de validación de la identidad de los solicitantes de certificados, los controles de administración de claves y aquellos relativos a la administración del ciclo de vida de los certificados. En este subcomponente, la Entidad de Certificación debe indicar como mínimo: a) b) c) d) La fecha y el resultado de la última auditoría; Las medidas adoptadas en caso de haberse recibido recomendaciones; Los temas cubiertos por la auditoría; La entidad que realizó la auditoría. 2.7. Políticas de Confidencialidad Toda información referida a suscriptores que sea recibida por la Entidad de Certificación en las solicitudes de emisión de certificados digitales es confidencial y no puede hacerse pública sin el consentimiento previo de los solicitantes o suscriptores, salvo que sea requerida judicialmente. 102 Lo indicado no es aplicable cuando se trate de información que se transcriba en el certificado o sea obtenida de fuentes públicas. 3. Requerimientos operacionales para las Entidades de Certificación 3.1. Manual de Procedimientos de certificación En esta sección, la Entidad de Certificación debe hacer referencia a la existencia de su Manual de Procedimientos de Certificación, y demostrar un nivel de confiabilidad suficiente para la emisión de certificados de firma digital segura. Particularmente: a) Debe efectuar una evaluación para determinar los riesgos del negocio y así establecer los procedimientos operacionales y los requerimientos de seguridad; b) Debe emitir un manual de procedimientos que atienda todos los requerimientos identificados en esta política de certificación para firmas digitales seguras; c) Su manual de procedimientos debe identificar las obligaciones de todos los terceros que brindan servicios de cualquier índole a la Entidad de Certificación y establecer adecuados procedimientos y prácticas; d) Debe poner a disposición de los suscriptores y usuarios de los certificados digitales que emita, sus procedimientos y toda otra información técnica que les permita evaluar el cumplimiento de esta política de certificación (Se aclara que la obligatoriedad de hacer públicos los procedimientos no alcanza a aquellos que pudieran comprometer la seguridad de su operación); e) Debe poner a disposición de los suscriptores y eventuales usuarios los términos y condiciones que gobiernan el uso de los certificados de firmas digitales seguras; f) Debe contar con un cuerpo gerencial de alto nivel con suficiente autoridad y responsabilidad para aprobar los procedimientos de seguridad; g) Su alta gerencia es responsable de garantizar que se implementen adecuadamente los procedimientos; h) Debe definir un proceso de revisión de sus prácticas y procedimientos, incluyendo las responsabilidades por el mantenimiento de sus documentos y manuales técnicos; y, i) Debe comunicar al INDOTEL y a los suscriptores todo cambio que pueda afectar el empleo de los certificados que emita, y publicarlos inmediatamente después de ser aprobados. 3.2. Infraestructura de clave pública – Administración del ciclo de vida de las claves 3.2.1. Generación del par de claves de la Entidad de Certificación 103 En este subcomponente se deben describir los mecanismos que permitan asegurar que sus claves son generadas en consonancia con los Estándares dictados por el INDOTEL. En particular, debe brindar garantías en cuanto a que: a) La generación de las claves de la Entidad de Certificación se lleve a cabo en un ambiente seguro, por un personal con roles confiables bajo un control dual, como mínimo. El personal autorizado para llevar adelante esta función debe encontrarse debidamente autorizado; b) La generación del par de claves debe efectuarse utilizando un dispositivo que cumpla con los lineamientos del INDOTEL; c) La generación del par de claves de la Entidad de Certificación debe ser efectuada utilizando un algoritmo autorizado por los Estándares Tecnológicos que a tal efecto, dicte el INDOTEL; y, d) Las longitudes de clave deben ser como mínimo de 1024 bits, siguiendo los lineamientos que dicte el INDOTEL. 3.2.2. Almacenamiento, resguardo y recuperación de la clave de firma de la Entidad de Certificación En este subcomponente, la Política de Certificación debe incluir disposiciones que permitan garantizar razonablemente la confidencialidad e integridad de sus claves privadas. Particulamente, debe consignar que: a) Las claves de firma de la Entidad de Certificación se almacenarán en un dispositivo criptográfico seguro, que cumple con los Estándares Tecnológicos dictados por el INDOTEL; b) Cuando se encuentre fuera del dispositivo mencionado, la clave privada de firma debe mantenerse encriptada; c) Las claves privadas de firma de la Entidad de Certificación son resguardadas, almacenadas y recuperadas por personal debidamente autorizado, en roles confiables, bajo control dual, como mínimo, y en un ambiente seguro; d) Las copias de resguardo de las claves privadas de firma de la Entidad de Certificación se encuentran sujetas a niveles de seguridad iguales o superiores a las claves de firma que se encuentran en uso; y, e) Se ejercen adecuados controles de acceso físico sobre los módulos del hardware utilizados para el almacenamiento de las claves privadas de firma de la Entidad de Certificación. 3.2.3. Distribución de la clave pública de la Entidad de Certificación 104 En esta subcomponente deben incluirse las medidas adoptas para la integridad y autenticidad de las claves públicas de la Entidad de Certificación y de todo parámetro asociado, durante su distribución a terceros. En particular, debe indicarse la manera en que las claves públicas de la Entidad de Certificación se pondrán a disposición de terceros interesados, de manera tal que se asegure su integridad y la autenticidad de su origen, de acuerdo a los lineamientos dictados por el INDOTEL a tal efecto. 3.2.4. Uso de las claves para encriptación En este punto debe indicarse que las claves privadas de firma de la Entidad de Certificación y de los usuarios no pueden ser utilizadas para encriptación cuando se establezcan exigencias de depósito de dicha clave privada ("key escrow”), a fin de evitar que terceras partes tomen contacto con las mismas. 3.2.5. Uso de las Claves de la Entidad de Certificación En este subcomponente la Entidad de Certificación debe indicar que sus claves privadas se utilizarán únicamente para la firma de certificados y para la generación de las listas de certificados revocados o suspendidos correspondientes, en un ambiente físicamente seguro. 3.2.6. Terminación del ciclo de vida de las claves de la Entidad de Certificación En este punto se describirán las disposiciones que adoptará la Entidad de Certificación para asegurar que sus claves de firma no sean utilizadas, una vez que ha finalizado su ciclo de vida. Deben tenerse en cuenta que todas las copias de las claves de firma de la Entidad de Certificación deben ser destruidas de manera tal que las claves privadas de firma no puedan ser recuperadas. 3.2.7. Administración del ciclo de vida del hardware criptográfico utilizado para firmar certificados En este subcomponente, se deben indicar los mecanismos que se emplearán para garantizar la seguridad del hardware criptográfico utilizado para firmar certificados, durante todo su ciclo de vida. La Entidad de Certificación debe asegurar, como mínimo: a) Que el hardware critpográfico de firma no sea alterado durante el envío; b) Que el hardware criptográfico de firma no sea alterado durante su almacenamiento; 105 c) Que el uso del hardware criptográfico de firma se realice por al menos dos empleados en forma conjunta; d) Que el hardware criptográfico de firma funcione adecuadamente; y e) Que las claves privadas de la Entidad de Certificación almacenadas en el hardware criptográfico se destruyan una vez que cese la vida útil del dispositivo. 3.2.8. Servicio de administración de claves del suscriptor provisto por la Entidad de Certificación La Política de Certificación debe incluir en este apartado los lineamientos que utilizará a fin de garantizar a todo suscriptor de un certificado a quien presta el servicio de generación de claves, que las mismas se crearán en un ambiente seguro, y que se les garantiza la confidencialidad de su clave privada. Al prestar este servicio, la Entidad de Certificación debe asegurar, como mínimo: a) que el par de claves que genera para el suscriptor se ajusta a los requerimientos de esta Política de Certificación para firmas digitales seguras, b) que genera el par de claves del suscriptor utilizando algoritmos y longitudes de claves que cumplen con los Estándares Tecnológicos de Firma Digital dictados por el INDOTEL; c) que las claves del suscriptor se generan y almacenan en forma segura antes de ser entregadas al suscriptor; d) que la clave privada generada será entregada al suscriptor de manera tal que no sea vulnerada su privacidad y que sólo el suscriptor tenga acceso a la misma durante su entrega. 3.2.9. Preparación del dispositivo seguro de creación de firmas digitales. En el caso de que la Entidad de Certificación decida incluir como parte de esta Política de Certificación el empleo de un dispositivo seguro de creación de firmas digitales, debe indicarse en este punto, como mínimo: a) que debe preverse que el proveedor de los dispositivos lo prepare en forma segura; b) que se asegure su adecuado almacenamiento y distribución; c) que su activación y desactivación sean correctamente controlados; y, d) cuando existan datos de activación (p.e. passwords), que los mismos se preparen en forma segura y se distribuyan en forma separada de los dispositivos (Esto puede lograrse mediante su distribución en momentos diferentes o por distintas rutas). 106 4. Identificación y Autentificación 4.1 Registro Inicial En este subcomponente, se describirán en la Política de Certificación los requisitos y procedimientos utilizados por las Unidades de Registro en el proceso de identificación de los suscriptores de certificados digitales para firmas digitales seguras. Los procedimientos deben describirse en forma detallada. Entre otros aspectos, debe indicarse: a) Los tipos de nombres admitidos para los titulares de los certificados emitidos, tales como los nombres distintivos (“distinguished names”) ITU X.500, las direcciones de correo electrónico, entre otros. En los casos en que se emitan certificados de firmas digitales seguras para personas jurídicas, se debe establecer el nombre de la persona física responsable. En estos casos y para todos los efectos legales, el certificado y la respectiva clave privada de firma serán considerados como pertenecientes al responsable cuyos datos constan en el certificado. b) La necesidad de uso de nombres significativos que permitan determinar la identidad de la persona a que se refieran, para los suscriptores de certificados. c) Las reglas para la interpretación de las otras formas de nombres admitidos en la Política de Certificación, si esto fuera aplicable. d) La indicación de que los nombres deben ser únicos para cada suscriptor de certificado, en el ámbito de la Entidad de Certificación responsable de la emisión. e) Los procedimientos para la resolución de disputas. En este caso la Política de Certificación debe preveer que la Entidad de Certificación se reserva el derecho de decidir la solución más adecuada en el caso de que existiera alguna disputa respecto a los nombres de los solicitantes de certificados. Por otra parte, la Política de Certificación indicará que se debe dar al solicitante, durante el proceso de validación de su identidad, el derecho de probar que un determinado nombre le pertenece. f) El reconocimiento, la autentificación y el rol de las marcas registradas; se debe indicar los procedimientos que se seguirán para la confirmación de la autenticidad de las mismas. g) Los mecanismos de comprobación de la posesión de la clave privada correspondiente a la clave pública para la cual se está solicitando el certificado, por ejemplo mediante el envio de la solicitud firmada digitalmente, o mediante la generación del par de claves por parte de la Entidad de Certificación. h) Los requerimientos de autentificación para las organizaciones. i) Los requerimientos de autentificación de personas que actuan en representación de una organización o que prestan servicios a ella. En 107 este punto se definirán los procedimientos que utilizarán las Unidades de Registro para confirmar la identidad de las personas. En todos los casos se exigirá la presencia física del individuo, quien debe presentar documentos de identidad, en original y copia, pudiendo ser aceptados: a) La Cédula de Identidad b) La Cédula de Identidad y Electoral c) El Pasaporte d) Cualquier otro documento similar de validez nacional. La Entidad de Certificación debe garantizar que los suscriptores se identifiquen y autentifiquen en forma apropiada y que las solicitudes de los suscriptores sean completas, precisas y correctamente autorizadas. Dicha Entidad es responsable por la corrección de toda la información contenida en el certificado, con independencia de la delegación de funciones en las Unidades de Registro. Las Entidades de Certificación, y en su caso, las Unidades de Registro, serán responsables por el registro y almacenamiento de toda la información utilizada para la verificación de la identidad de los suscriptores, incluyendo cualquier limitación a su validez. Antes de iniciar la relación contractual con el suscriptor, la Entidad de Certificación debe informarle en un lenguaje claro y comprensible, los términos y condiciones con relación al uso de los certificados. La comunicación de esta información debe efectuarse utilizando un medio duradero que garantice su integridad, pudiendo utilizarse un medio electrónico. La Entidad de Certificación debe indicar los procedimientos que utiliza para verificar la identidad, y si fuera aplicable, cualquier atributo adicional de la persona a quien se le emite el certificado digital, bajo el alcance de esta Política. La documentación presentada debe ser verificada con la presencia física del solicitante. La confirmación de la identidad de una persona jurídica debe ser realizada mediante la presentación de documentación respaldatoria que permita determinar su existencia y constitución. La persona física responsable también debe ser identificada según los requerimientos de autentificación de personas indicados más arriba. En los casos en que sea aplicable, se indicará que las solicitudes de certificados para personas jurídicas, equipos o aplicaciones pueden ser realizadas por la persona física legalmente responsable de su utilización, quien será para todos los efectos legales, considerado suscriptor del certificado emitido. La Política de Certificación debe establecer que las Unidades de Registro deben validar las autorizaciones del solicitante para actuar en representación, mediante la presentación de los documentos correspondientes. 108 Además de la validación de la identidad, la Entidad de Certificación debe verificar que el suscriptor se encuentra en posesión de la clave privada correspondiente a la clave pública remitida por el solicitante. Dentro del marco de aplicación de esta política de firma digital segura, son admitidos los siguientes procedimientos de identificación de los suscriptores de certificados digitales en función de los distintos esquemas de Unidades de Registro previstos: 1. Procedimientos de validación de identidad centralizados: La Entidad de Certificación ejecuta las funciones de la Unidad de Registro en forma local. En este caso la actividad de verificación de la identidad es efectuada por dicha Unidad de Registro en forma directa. 2. Procedimientos de validación de identidad descentralizados: En este caso existen una o varias unidades de registro que residen fuera de la Entidad de Certificación. Los solicitantes de certificados presentarán la documentación necesaria ante la Unidad de Registro que les corresponda, y una vez efectuada la validación de la información, dicha Unidad procederá a la aprobación de la solicitud, sobre cuya base la Entidad de Certificación emitirá el certificado correspondiente. La Entidad de Certificación debe establecer la modalidad en que desarrollará su actividad, que puede ser una combinación de las dos mencionadas. Los procesos a seguir en cada una de las opciones mencionadas son los siguientes: 4.1.1. Registro Centralizado La Entidad de Certificación debe detallar los pasos que debe seguir el suscriptor para solicitar la emisión de su certificado. Debe consignar expresamente si esta Política de Certificación requiere el empleo de un dispositivo seguro de creación de firmas digitales. Deben indicarse los documentos admitidos para la verificación de la identidad; el solicitante debe concurrir personalmente ante el Responsable de la Unidad de Registro, a fin de validar su identidad. Los documentos admitidos en la Infraestructura de Clave Pública de la República Dominicana son los siguientes: a) Documento de identidad (Cédula de Identidad, Cédula de Identidad y Electoral, Pasaporte u otro documento similar de validez nacional habilitado por el INDOTEL), en original y fotocopia. b) Código de identificación del requerimiento 109 c) Toda otra documentación que le sea requerida como evidencia de los atributos contenidos en el certificado a emitir bajo el ámbito de esta Política. 4.1.2. Registro Descentralizado La Entidad de Certificación debe indicar si admite la constitución de una o varias Unidades de Registro externas al ámbito donde desarrolla sus actividades. Deben indicarse la obligaciones que asume la Unidad de Registro para el cumplimiento de sus funciones, las que deben abarcar como mínimo: a) Designar un responsable del proceso de validación de identidad de los suscriptores (Responsable de la Unidad de Registro) y su correspondiente sustituto. b) Cumplir con las obligaciones establecidas en la Política de Certificación y en el Manual de Procedimientos de la Entidad de Certificación que ha delegado en dicha unidad las funciones relativas al proceso de validación de identidad de los suscriptores. c) Cumplir con las disposiciones establecidas en la Política de Certificación y en el Manual de Procedimientos de la Entidad de Certificación, respecto a la conservación de archivos y documentación que respalda el proceso de validación de identidad de los suscriptores, y con todas las disposiciones aplicables vigentes. d) Permitir la realización de las auditorias periódicas e inspecciones, por parte de la Entidad de Certificación y el INDOTEL, a fin de garantizar la seguridad del sistema, y el seguimiento de los procedimientos adecuados. e) Toda otra obligación específica que se establezca en el Reglamento de Aplicación de la Ley No. 126-02, sus normas complementarias, esta Política de Certificación y Manual de Procedimientos de la Entidad de Certificación. 4.2. Renovación de certificados En este subcomponente, la Política de Certificación debe establecer los procedimientos de validación y autentificación empleados para la renovación de certificados, tanto para Unidades de Registro, suscriptores y la propia Entidad de Certificación. Deben indicarse los plazos y mecanismos para efectuar la solicitud y la cantidad de veces que se aceptará el pedido de renovación, antes de requerir la generación de un nuevo par de claves. 4.3. Renovación posterior a la revocación (sin compromiso de clave privada) Deben detallarse los procedimientos de identificación y autentificación a seguir para la renovación de certificados una vez que el certificado fue revocado. 110 Dichos procedimientos deben coincidir con los detallados en el punto 4.1 sobre Registro Inicial. 4.4. Solicitud de Revocación En este punto, la Política de Certificación debe describir los procedimientos empleados para la confirmación de la identidad de quien solicita la revocación de su certificado. Asimismo, se indicará la forma en que las solicitudes de revocación serán documentadas. Debe indicarse que la revocación tendrá validez cuando la Entidad de Certificación haya efectuado las confirmaciones correspondientes y la comunique de manera formal al suscriptor del certificado por cualquiera de los siguientes medios: a) Documentos digitales o mensajes de datos firmados digitalmente, transmitidos por protocolos de comunicación electrónica tales como correo electrónico, transferencia de archivos, entre otros. b) Facsímil, con la condición de que el remitente pueda dejar constancia de la recepción; c) Correspondencia con acuse de recibo; d) Otros medios físicos o electrónicos mediante los cuales la Entidad de Certificación pueda dejar constancia de la certitud de su recepción. La Entidad de Certificación debérá indicar las circunstancias por las cuales procederá a la revocación de los certificados digitales emitidos bajo esta política. Deben incluirse los siguientes casos: a) A solicitud del suscriptor del certificado digital; b) Por iniciativa de la Entidad de Certificación: i. Si se determina que un certificado digital fue emitido sobre la base de una información falsa que en el momento de la emisión hubiera sido objeto de verificación; ii. Si se determina que los procedimientos de emisión y/o verificación han dejado de ser seguros; y iii. Por determinación de que la información contenida en el certificado ha dejado de ser válida; c) Por Resolución Judicial o de entidad administrativa competente, debidamente motivada; d) Por declaración judicial de ausencia con presunción de fallecimiento del suscriptor; e) Por declaración mediante sentencia con autoridad de la cosa irrevocablemente juzgada de incapacidad jurídica del suscriptor; f) En caso de revocación, ordenada por el INDOTEL, de la autorización para funcionar otorgada a la Entidad de Certificación, siempre que no se haya decidido la transferencia del certificado a otra Entidad de Certificación; y, 111 g) Por la cesación de actividades de la Entidad de Certificación y siempre que no se haya decidido la transferencia del certificado a otra Entidad de Certificación. La revocación tendrá lugar cuando la Entidad de Certificación constate y comunique de manera formal al suscriptor del certificado, por cualquiera de los siguientes medios: a) Documentos digitales o mensajes de datos firmados digitalmente, transmitidos por protocolos de comunicación electrónica tales como correo electrónico, transferencia de archivos, entre otros. b) Facsímil, con la condición de que el remitente pueda dejar constancia de la recepción; c) Correspondencia con acuse de recibo; d) Otros medios físicos o electrónicos mediante los cuales la Entidad de Certificación pueda dejar constancia de la certitud de su recepción. 4.5. Período de Validez de los certificados Los certificados emitidos por Entidades de Certificación para la generación de firmas digitales seguras tienen un período máximo de validez de DOS (2) años desde la fecha de emisión. 112 5. Requisitos operativos Este subcomponente se utiliza para especificar los requerimientos que deben cumplir las Entidades de Certificación, las Unidades de Registro, los suscriptores y otros participantes, con relación al ciclo de vida de los certificados. La Entidad de Certificación debe garantizar razonablemente que existen procedimientos tendentes a evitar fraudes en los procesos de emisión y renovación de certificados. 5.1. Solicitud del certificado La emisión del certificado a favor de un suscriptor implica su autorización para utilizarlo con los alcances definidos por la Ley No. 126-02, el Reglamento de Aplicación y sus normas complementarias y por esta Política de Certificación. En este subcomponente deben ser descritos todos los requisitos operacionales establecidos por la Entidad de Certificación para las solicitudes de emisión de certificados. Estos requisitos deben ser cumplidos por las Unidades de Registro vinculadas y por los solicitantes, y comprenderán como mínimo: a) La comprobación de los atributos de identificación del certificado, conforme fue indicado en el punto 4.1; b) La aceptación expresa del suscriptor de los términos y condiciones bajo las cuales fue emitido el certificado; c) El empleo de un dispositivo seguro de creación de firmas, cuando esto fuera exigido en la Política de Certificación. El proceso de solicitud puede ser iniciado solamente por el interesado, quien debe acreditar fehacientemente su identidad. 5.2. Emisión del certificado En este subcomponente deben detallarse los requisitos operacionales establecidos por la Entidad de Certificación para la emisión del certificado, para la notificación de tal emisión al solicitante y la manera en que el certificado se pondrá a disposición del suscriptor. Debe indicarse que dicho proceso de emisión debe estar directamente relacionado, de manera segura, con el correspondiente proceso de validación de la identidad. La Entidad de Certificación debe indicar los mecanismos que empleará para garantizar a través del tiempo, la exclusividad de nombre distintivo (“distinguished name”) asignado al suscriptor, dentro de su dominio de 113 certificación, es decir que dicha Entidad de Certificación no emitirá un certificado idéntico para otro suscriptor, mientras dure su actividad. Por otro lado, la Entidad de Certificación debe indicar que garantizará la confidencialidad e integridad de los datos presentados por el suscriptor y de aquellos utilizados para validar su identidad, especialmente cuando los mismos son intercambiados con el suscriptor o entre los distintos componentes del proceso de emisión del certificado. Esto es especialmente aplicable cuando se han delegado funciones en Unidades de Registro, debiendo en estos casos autenticar siempre la identidad de las mismas antes de remitir o recibir información relativa a los suscriptores o solicitantes de certificados. 5.3. Aceptación del Certificado Este subcomponente es utilizado para establecer los requerimientos relacionados con la aceptación por parte del suscriptor de un certificado emitido por una Entidad de Certificación y la consecuente publicación de dicho certificado. 5.4. Difusión de los términos y condiciones relativas a los certificados En este subcomponente, la Entidad de Certificación debe indicar que los términos y condiciones relativas a los certificados se encuentran a disposición de los suscriptores y usuarios y de terceros interesados. Lo dicho es aplicable con relación a: a) La política de certificación para firmas digitales seguras, bajo cuyas condiciones se emiten los certificados, especificando si se requiere el empleo de dispositivos seguros de creación de firma, b) Toda limitacion en el uso de los certificados emitidos, c) Las obligaciones del suscriptor, d) Toda información sobre la validación de los certificados, incluyendo los requerimientos de verificación del estado del certificado (si fuera aplicable), a fin de que los usuarios puedan confiar de manera razonable en los mismos, e) Las limitaciones en cuanto a la responsabilidad de la Entidad de Certificación, f) El período por el cual se retiene la información y documentación utilizada en el proceso de validación, el cual no podrá ser inferior a DIEZ (10) años, g) El lapso durante el cual la Entidad de Certificación retendrá el registro de eventos (logs), h) Los procedimientos a seguir en caso de quejas, denuncias y resolución de conflictos, i) Las normas legales aplicables, 114 j) Toda información relativa al proceso de autorización de la Entidad de Certificación para desarrollar su actividad en el ámbito de la Infraestructrura de Clave Pública de la República Dominicana y de su política de certificación de firmas seguras correspondiente; y k) Toda otra información requerida por el INDOTEL, o que a juicio de la propia Entidad debe ser difundida para favorecer un adecuado uso de los certificados digitales emitidos bajo esta política, tanto por parte de los suscriptores, como de sus usuarios. La información mencionada debe encontrarse disponible en un medio duradero que garantice su integridad y puede distribuirse en formato electrónico. 5.5. Distribución de certificados. En este subcomponente se debe establecer la manera en que los certificados se pondrán a disposición de los suscriptores y usuarios. A tal fin, como mínimo, se debe indicar: a) Que una vez generado, el certificado se ponga a disposición del suscriptor a nombre de quien fue emitido, el cual contendrá datos precisos y completos; b) Que los certificados se encuentren disponibles para los usuarios en los términos y condiciones pautadas para el uso de los mismos; c) Que puedan identificarse fácilmente los términos y condiciones aplicables a cada certificado; d) Que la información mencionada en b) y c) se encuentre disponible 24 horas, 7 días a la semana. Ante fallas en el sistema o servicio u otras circunstancias que excedan su control, la Entidad de Certificación indicará los mecanismos que empleará para asegurar que el período de restablecimiento del servicio no exceda el máximo fijado para esta Política y por su Manual de Procedimientos de Certificación; y e) Que la información mencionada en los puntos b) y c) se encuentre disponible al público en general, tanto del ámbito nacional como internacional. 5.6. Revocación y suspensión de certificados La Entidad de Certificación debe informar en este apartado los mecanismos que se emplearán para asegurar que la revocación y suspensión de un certificado se realice en forma oportuna sobre la base de una solicitud debidamente autorizada y validada. Con relación a dichos procedimientos, la Entidad de Certificación debe indicar como mínimo: 115 a) b) c) d) Quién debe solicitar la revocación o suspensión; Cómo debe ser solicitada; Todo requerimiento para la verificación de la solicitud; Las razones por las cuales un certificado puede ser suspendido o revocado; e) Los mecanismos empleados para distribuir la información sobre la revocación o suspensión de certificados; y f) El tiempo máximo permitido entre la recepción de una solicitud de revocación/suspensión y el próximo cambio en la información sobre el estado del certificado disponible para los usuarios. Debe indicarse que las solicitudes de revocación, causadas por la vulneración de la clave privada del suscriptor o a su fallecimiento, deben ser procesadas en forma inmediata. Asimismo, deben indicarse los mecanismos que se utilizarán para verificar contra una fuente confiable y autorizada que las solicitudes de revocación son auténticas. Debe considerarse la alternativa de suspender un certificado por el tiempo que conlleve la confirmación de la recepción. La Entidad de Certificación debe asegurar, sin embargo que un certificado no permanezca suspendido más allá del tiempo necesario para confirmar su estado. En este subcomponente se indicará que el suscriptor titular de un certificado suspendido o revocado debe ser informado del cambio de estado del mismo y que la operación de revocación de un certificado es irreversible, una vez se haya realizado. Las listas de certificados revocados bajo este tipo de políticas de certificación deben estar firmadas por la Entidad de Certificación o por una autoridad confiable y serán emitidas al menos una vez al día, indicando fecha y hora de emisión de la próxima. La información sobre la revocación debe encontrarse disponible 24 horas, 7 días por semana. Deben indicarse los mecanismos alternativos que se emplearán ante fallas en el sistema o servicio u otras circunstancias que excedan su control. La Entidad de Certificación debe establecer las precauciones que adoptará a fin de garantizar la integridad y autenticidad de la información relativa al estado de los certificados. Dicha información debe estar disponible al público, tanto nacional como internacional. 5.6.1. Clases de revocación 5.6.1.1 Revocación voluntaria Este subcomponente debe indicar los medios que admitirá para la comunicación de las solicitudes de revocación, entre los cuales se encuentran: 116 a) Personalmente, presentándose ante el Responsable de la Unidad de Registro b) Documentos digitales o mensajes de datos firmados digitalmente, transmitidos por protocolos de comunicación electrónica tales como correo electrónico, transferencia de archivos, entre otros. c) Facsímil, con la condición de que el remitente pueda dejar constancia de la recepción; d) Correspondencia con acuse de recibo; e) Otros medios físicos o electrónicos mediante los cuales la Entidad de Certificación pueda dejar constancia de la certitud de su recepción. La Política de Certificación debe indicar los mecanismos que utilizarán la Entidad de Certificación para verificar la identidad del suscriptor o de quien solicita la revocación, y su capacidad para solicitar tal procedimiento. La Entidad de Certificación debe precisar en esta política el domicilio, la dirección electrónica, el número telefónico y de Facsímil y todo otro dato necesario para facilitar la solicitud de revocación. 5.6.1.2 Revocación obligatoria En este apartado se debe indicar los causales de revocación de los certificados. Entre ellas, deben citarse, como mínimo, las siguientes: a) Cuando se produzcan cambios en la información que el certificado contiene; b) Cuando existan sospechas de que la clave privada asociada al certificado de clave pública, o el medio en que se encuentre almacenada, sean vulnerados o corran peligro de serlo. La Política de Certificación debe indicar en qué casos procederá a revocar el certificado del suscriptor, entre los cuales no pueden dejar de mencionarse los siguientes: a) A solicitud del suscriptor cuando se verifiquen los procedimientos de recepción y validación establecidos en el Manual de Procedimientos de Certificación; b) Ante incumplimiento por parte del suscriptor de las obligaciones establecidas en la Ley No. 126-02, su Reglamento de Aplicación y normas complementarias, por esta política, por el Manual de Procedimientos de Certificación o por otro acuerdo o regulación aplicable al certificado; c) Si toma conocimiento de que existe sospecha de que la clave privada del suscriptor se encuentra vulnerada; 117 d) Si la Entidad de Certificación determina que el certificado no fue emitido de acuerdo a los Estándares Tecnológicos de Firma Digital dictados por el INDOTEL; y e) Si se verifica cualquier otro supuesto que se contemple en el Manual de Procedimientos de Certificación. 5.6.1.3 Autorizados a requerir la revocación En este apartado deben listarse las personas o entidades que se encuentren autorizados para solicitar la revocación de un certificado. 5.6.1.4 Procedimiento para solicitar la revocación En este subcomponente se deben indicar los procedimientos que se deben seguir para solicitar la revocación del certificado. 5.6.1.5 Actualización de repositorios. En este apartado deben indicarse los mecanismos de actualización de los repositorios. Como criterio general, debe establecerse que una vez recibida una solicitud de revocación y efectuada la validación de la identidad del solicitante, el repositorio indicando el estado de los certificados se actualizará de inmediato. Todas las solicitudes y la información acerca de los procedimientos culminados deben ser archivadas, según lo dispuesto en el apartado correspondiente. 5.6.1.6 Emisión de listas de certificados revocados En este subcomponente se debe especificar la frecuencia de actualización de la lista de certificados revocados. Para esta Política, la Entidad de Certificación debe emitir listas de certificados revocados, efectuando como mínimo una actualización cada 48 horas. Asimismo, toda vez que la Entidad de Certificación reciba una solicitud de revocación aprobada por el Responsable de la Unidad de Registro, debe emitir una lista de certificados revocados dentro de un plazo máximo de VEINTICUATRO (24) horas. En todos los casos, las listas de certificados revocados deben ser firmadas digitalmente por la Entidad de Certificación. 5.6.2. Clases de suspensión 5.6.2.1 Suspensión voluntaria En este subcomponente se detallarán los medios a través de los cuales el suscriptor de un certificado o quien se encuentre autorizado, comunicará al 118 Responsable de la Unidad de Registro su solicitud de suspensión de un certificado. Deben admitirse, al menos los siguientes medios: a) Personalmente, presentándose ante el Responsable de la Unidad de Registro; b) Documentos digitales o mensajes de datos firmados digitalmente, transmitidos por protocolos de comunicación electrónica tales como correo electrónico, transferencia de archivos, entre otros; c) Facsímil, con la condición de que el remitente pueda dejar constancia de la recepción; d) Correspondencia con acuse de recibo; y e) Otros medios físicos o electrónicos mediante los cuales la Entidad de Certificación pueda dejar constancia de la certitud de su recepción. Se deben indicar los procedimientos que se emplearán para verificar la identidad del solicitante y su autorización para solicitar la suspensión. La Entidad de certificación debe precisar en esta política el domicilio, la dirección electrónica, el número telefónico y de Facsímil y todo otro dato necesario para facilitar la solicitud de suspensión. 5.6.2.2 Autorizados a requerir la suspensión En este subcomponente se indicará quiénes se encuentran habilitados para solicitar la suspensión de un certificado de firma digital segura. 5.6.2.3 Procedimiento para solicitar la suspensión En este subcomponente se detallarán los pasos a seguir para solicitar la suspensión de un certificado de firma digital segura. 5.6.2.4 Causas de Suspensión de un certificado Se indicarán en este subcomponente las causas de suspensión de un certificado de firma digital segura, entre las cuales se encuentran las siguientes: a) La solicitud del suscriptor del certificado; b) La iniciación del trámite de ausencia con presunción de fallecimiento del suscriptor del certificado; c) La decisión de la Entidad de Certificación en virtud de razones técnicas, circunstancia que será comunicada en forma inmediata en un plazo máximo de VEINTICUATRO (24) horas al suscriptor del certificado y al INDOTEL, por los medios establecidos en el artículo 51 del Reglamento; y d) Consentencia de un tribunal con autoridad de la cosa irrevocablemente juzgada debidamente fundada. 119 5.7 Procedimientos de auditoría de seguridad En este subcomponente se indicará que todos los hechos significativos que afecten la seguridad del sistema de la Entidad de Certificación serán almacenados en archivos de transacciones de auditoría. Serán conservados en las instalaciones de la Entidad de Certificación por un período no inferior a UN (1) año. Posteriormente, serán archivados en un lugar físico protegido hasta completar un período mínimo de DIEZ (10) años. De serles requeridos, la Entidad de Certificación debe poner dichos archivos a disposición del INDOTEL, en un plazo que no podrá exceder los CINCO (5) días hábiles. La Entidad de Certificación debe documentar los eventos y datos que serán conservados en los registros (logs) y debe resguardarlo en un medio que no pueda ser fácilmente destruido o modificado, p.e. discos WORM. 5.8 Archivos En este subcomponente se precisarán los datos y la documentación de apoyo que la Entidad de Certificación está obligada a conservar. Deben incluirse obligatoriamente todos los datos y la documentación de apoyo relativa a: a) Las solicitudes de certificados y toda información y documentación que avale el proceso de identificación; b) Las solicitudes de revocación y suspensión de certificados y toda información y documentación que avale el proceso de identificación; c) Los certificados emitidos y las listas de certificados revocados.; d) Las solicitudes de renovación de certificados; e) Las Reclamaciones y/o quejas presentadas por los suscriptores y usuarios; f) Los archivos de auditoría; g) Toda comunicación relevante entre la Entidad de Certificación y los suscriptores;y h) Toda Comunicación relevante entre la Entidad de Certificación y EL INDOTEL La información y documentación mencionada debe conservarse por un plazo mínimo de DIEZ (10) años. Se indicarán los mecanismos de protección física y lógica de los medios de almacenamiento de la información, de manera que se garantice la integridad de la información almacenada. 120 Estos requerimientos son igualmente aplicables a las Unidades de Registro. Debe precisarse que es obligación de la Entidad de Certificación la implementación de procedimientos para la emisión de copias de resguardo actualizadas, las cuales deben encontrarse disponibles a la menor brevedad en caso de pérdida o destrucción de los archivos. Dichos procedimientos deben detallarse en el Manual de Procedimientos. La Entidad de Certificación debe indicar que toda la información correspondiente al proceso de registro debe ser adecuadamente archivada. Esto es aplicable, como mínimo, para: a) Los tipos de documentos presentados por el solicitante de un certificado; b) Los registros de los datos, números o una combinación de ambos de los documentos presentados que permitan identificar sin lugar a dudas al solicitante; c) La ubicación del archivo de almacenamiento de las copias de las solicitudes y de los documentos presentados, incluyendo los acuerdos firmados; d) La Entidad de la unidad de registro que acepta la solicitud; e) Los mecanismos empleados para aceptar la solicitud; f) Los mecanismos utilizados para validar los documentos de identidad presentados. Asimismo, debe indicarse la obligatoriedad de llevar registros de los eventos relacionados con la administración de las claves de la Entidad de Certificación y con la generación de las claves para los suscriptores, en caso de que se preste este servicio. Del mismo modo, y si fuera aplicable, deben conservarse los registros concernientes a la preparación de los dispositivos seguros de creación de firmas digitales. 5.9. Cambio de Claves por parte de la Entidad de Certificación Deben incluirse en este subcomponente los mecanismos mediante los cuales la Entidad de Certificación comunicará a los suscriptores de certificados de firma digital segura emitidos por ella, el reemplazo de su par de claves. Los medios que describa deben ser fehacientes y garantizar su recepción, la recepción de su nueva clave pública, las acciones que el suscriptor debe seguir respecto a dicha clave y las consecuencias que se derivan de esta situación. 121 5.10. Situaciones de Emergencia 5.10.1 Plan de Contingencias La Entidad de Certificación debe indicar en esta Política que ha desarrollado e implementado un Plan de Contingencias apropiado para sus instalaciones, que garantice la continuidad de las operaciones críticas. Dicho plan debe garantizar el mantenimiento mínimo de la operación (recepción de solicitudes de revocación y consulta de listas de certificados revocados actualizados) y la puesta en operaciones de dichas aplicaciones críticas dentro de las VEINTICUATRO (24) horas de producirse una emergencia. El plan debe ser conocido por todo el personal que cumpla funciones en la Entidad de Certificación y en la Unidades de Registro dependientes, y debe incluir una prueba completa de los procedimientos a utilizar en casos de emergencia, por lo menos una vez al año. La previsión por contingencia debe contemplar asimismo los servicios prestados por prestadores externos a la Entidad de Certificación. La Entidad de Certificación debe asegurar que frente a un desastre, incluyendo la vulneración de su clave privada, pueden restablecerse las operaciones en el menor plazo posible. El plan de contingencia debe considerar la vulneración o la sospecha de vulneración de las claves privadas de firma de la Entidad de Certificación como evento categorizado como desastre. 5.10.2. Plan de protección de claves La Entidad de Certifcación debe indicar que ha implementado procedimientos a cumplir cuando su clave privada se vea vulnerada y/o comprometida. Deben incluirse las medidas a tomar en cuenta para revocar los certificados emitidos y notificar en forma inmediata a sus suscriptores. 5.11. Cesación de actividades de la Entidad de Certificación La Entidad de Certificación debe detallar en este componente los mecanismos que utilizará a fin de asegurar a los suscriptores y usuarios de sus certificados, que se minimizarán los efectos que pueda tener sobre ellos la cesación de sus actividades. Particularmente, debe garantizar que se mantendrán los registros de las actividades de certificación desarrollados en caso de que los mismos sean requeridos como evidencia en procesos judiciales. Debe indicar los pasos a seguir ante la cesación de sus servicios, considerando como mínimo los siguientes: 122 a) Informar a todos los suscriptores, usuarios y a otras Entidades de Certificación con las cuales tenga algún tipo de acuerdo o relación; b) Cancelar toda autorización que hubiera otorgado a subcontratistas u otras organizaciones, para actuar en sus procesos de emisión de certificados, incluyendo las unidades de registro; c) Debe ejecutar todas las acciones necesarias para transferir el mantenimiento de los registros que sustenten sus procesos de emisión de certificados, por un período mínimo de DIEZ (10) años, de acuerdo a lo estipulado en las normas aplicables; d) Debe destruir sus claves privadas o retirarlas definitivamente de uso. La Entidad de Certificación debe indicar en este subcomponente que se previeron las circunstancias asociadas a la cesación de sus actividades. Esto incluye los procesos de notificación, la transferencia de sus obligaciones, y los procesos de revocación de los certificados no expirados, salvo en el caso en que los transfiera a otra Entidad de Certificación. Ante una cesación de actividades y salvo en el caso de que, mediando la aceptación del suscriptor, se transfiera el respectivo certificado a otra Entidad de Certificación, debe indicarse que se procederá a revocar dicho certificado. Asimismo, ante una cesación de actividades, si no media transferencia a otra Entidad de Certificación, se debe indicar en este subcomponente quien será el responsable de la custodia de los archivos y registros de actividad de la Entidad de Certificación que cesa su actividad. 123 6. Administración y Operación de la Entidad de Certificación Este componente describe los controles de seguridad no técnicos, es decir, los controles físicos, de procedimientos y de personal, utilizados por la Entidad de Certificación para realizar en forma segura las funciones de autentificación, emisión de certificados, la revocación de certificados, la auditoria y el archivo de la documentación. 6.1. Administración de la Seguridad La Entidad de Certificación debe indicar en este subcomponente la existencia de procedimientos administrativos y de gestión operativa para la administración de la seguridad, los cuales deben ser adecuados y cumplir con los estándares y normas dictadas por el INDOTEL. En sentido general, se debe tomar en cuenta lo siguiente: a) La Entidad de Certificación debe ser responsable por todos los aspectos de la provisión de servicios de certificación, aún cuando se hayan contratado a terceros parte de los mismos. Deben definirse claramente las responsabilidades de los terceros y deben realizarse acuerdos que aseguren que dichos terceros implementarán los controles requeridos por el INDOTEL y por la Entidad de Certificación. Las prácticas y procedimientos de las partes involucradas deben estar claramente especificadas; b) La gerencia de la Entidad de Certificación debe contar con un comité de alto nivel responsable de la definición de las políticas de seguridad de la información de la Entidad y de asegurar la publicación y comunicación de dichas políticas al personal involucrado; c) Debe mantenerse una infraestructura de seguridad de la información en forma permanente. Cualquier cambio que pudiera impactar en los niveles de seguridad debe ser aprobado por los niveles jerárquicos superiores de la Entidad; d) Deben documentarse, implementarse y mantenerse los controles de seguridad y los procedimientos operativos para las instalaciones y los activos, sistemas de información de la Entidad de Certificación; y, e) La Entidad de Certificación debe asegurar que se mantenga un nivel adecuado para la seguridad de la información en los casos en que se hayan derivado funciones en otras organizaciones o entidades. La política de seguridad de la Entidad de Certificación debe identificar todos los objetivos relevantes y sus potenciales amenazas relacionadas con la provisión de los servicios y los mecanismos de seguridad requeridos para evitar o limitar los efectos de dichas amenazas. Dicha política debe describir las reglas, normas y procedimientos relacionados con los servicios y las garantías de 124 seguridad asociadas, además de prever las acciones para casos de incidentes o desastres. 6.2. Administración y clasificación de activos La Entidad de Certificación debe indicar en este subcomponente que ha adoptado medidas suficientes para asegurar que sus activos y la información que procesa reciban un nivel de protección adecuado. Entre dichas medidas, debe mencionarse como mínimo que se mantendrá un inventario de toda la información y de sus activos y que se asignará una clasificación adecuada para administrar el análisis de riesgo. 6.3. Seguridad del personal La Entidad de Certificación debe asegurar que su personal y sus prácticas de reclutamiento contribuyen a incrementar la confiabilidad de sus operaciones. En especial, en la redacción de este subcomponente, deben tenerse en cuenta los siguientes aspectos: a) La Entidad de Certificación debe emplear personal con los conocimientos especializados, la experiencia y las calificaciones necesarias para los servicios ofrecidos, y apropiados para la función específica a desempeñar. El entrenamiento formal pueden contribuir a la formación del personal; b) Los roles y responsabilidades de los empleados de la Entidad de Certificación deben documentarse mediante la descripción de puestos. Deben identificarse claramente los roles críticos, de los que depende la seguridad de las operaciones de la Entidad; c) La descripción de puestos del personal permanente y temporero de la Entidad de Certificación debe contar con descripción de puestos definidos teniendo en cuenta una adecuada separación de funciones y un mínimo de privilegios, determinando la criticidad del puestos en función de sus deberes y niveles de acceso, verificación de antecedentes y concientización y entrenamiento del personal. De ser apropiado, deben diferenciarse las funciones específicas de las generales. Esto debe reflejarse en las habilidades y experiencia requeridas.; y, d) El personal debe ejecutar la totalidad de las tareas administrativas y operativas de acuerdo a los lineamientos establecidos en los procedimientos de seguridad aplicables. Con relación a los procesos de registro, generación de certificados, provisión de dispositivos seguros de firma (si fuera aplicable) y revocación, deben tenerse en cuenta: 125 a) Debe contratarse personal gerencial que posea experiencia en la tecnología de firma digital y se encuentre familiarizado con los procedimientos a cumplir por el personal con responsabilidades respecto a la seguridad; b) No deben existir conflictos de interés en el personal, que puedan perjudicar la imparcialidad de las operaciones de la Entidad de Certificación; c) Los roles confiables incluyen las siguientes responsabilidades: a. Responsables de autorizar la emisión de los certificados, u Oficiales de Certificación, b. Responsables del Registro de validación de la identidad de los solicitantes de certificados, c. Responsables de seguridad, a cargo de la implementación de los procedimientos respectivos. Adicionalmente pueden estar a cargo de la aprobación de la generación, revocación y suspensión de los certificados, d. Responsables de la administración de los sistemas, autorizados para instalar, configurar y mantener los sistemas críticos de la Entidad de Certificación, e. Responsables de la operación del sistema, quienes operan los sistemas críticos diariamente. Se encuentran autorizados para efectuar procesos de recuperación y resguardo, f. Auditores del sistema, autorizados para consultar y mantener archivos y auditar los registros de eventos (“logs”) de los sistemas de la Entidad de Certificación. d) El personal de la Entidad de Certificación debe estar formalmente asignado a los roles confiables por los directivos responsables de la seguridad; e) La Entidad de Certificación no podrá asignar roles confiables a quienes hayan sido condenados civil o penalmente o cualquier otra circunstancia que pueda afectar su rol. No deben asignarse al personal funciones críticas mientras no se hayan completado la totalidad de los procesos de verificación de antecedentes. 6.3.1. Calificación del personal En este subcomponente, la Entidad de Certificación debe indicar la política de administración del personal que sigue, la cual debe proveer razonable seguridad acerca de la confiabilidad y competencia del personal para el adecuado cumplimiento de sus funciones. Debe tenerse en cuenta y hacer constar en la política los requisitos que debe cumplir el cuerpo profesional de la Entidad de Certificación, en cuanto a probidad ética, moral y capacidad profesional. 126 6.3.2. Antecedentes Deben indicarse en este sucomponente los procedimientos de investigación que se seguirán con respecto al personal involucrado en la operación de la Entidad de Certificación, destinados a demostrar su confiabilidad y competencia para las funciones a cumplir. 6.4. Controles de seguridad física Deben indicarse en este subcomponente los mecanismos que emplea la Entidad de Certificación para asegurar que se controlan adecuadamente los accesos físicos a los servicios críticos y que se minimizan los riesgos físicos de sus activos. En particular, debe tomar en cuenta: a) Que, los accesos físicos a las instalaciones utilizadas para la generación de certificados, para la provisión de los dispositivos seguros (si fuera el caso) y para la administración de los servicios de revocación deben limitarse al personal debidamente autorizado; b) Que las instalaciones destinadas a la emisión de certificados deben estar protegidos de riesgos ambientales; c) Que deben implementarse controles para evitar las pérdidas, daños o compromisos de los activos y la interrupción de las actividades que hacen al negocio de la certificación; y, d) Que deben implementarse controles que eviten la vulneración o robo de la información de los componentes de las instalaciones de procesamiento. En cuanto al proceso de generación de certificados, de provisión de dispositivos y de administración de la revocación, se considerarán entre otros, los siguientes factores: a) Que las instalaciones dedicadas a la generación de certificados, la provisión de dispositivos a los suscriptores y la administración de los servicios de revocación sean operados en un ambiente que proteja físicamente dichos servicios de cualquier vulneración debido a accesos no autorizados a los sistemas o datos; b) Que dicha protección física se logre mediante la creación de perímetros de seguridad definidos (p.e. barreras físicas) alrededor de las instalaciones dedicadas a los procesos de generación de certificados, de provisión de dispositivos y de administración de la revocación. Toda sección de las instalaciones que se comparta con otras organizaciones o se destine a la provisión de otros servicios debe encontrarse fuera de dicho perímetro de seguridad; 127 c) Deben implementarse controles físicos y ambientales para proteger los recursos donde se encuentren instalados los sistemas críticos, sus instalaciones y aquellas destinadas a las operaciones. Los programas de seguridad ambiental y física utilizados en la generación de certificados, la provisión de dispositivos y la administración de las revocaciones deben considerar los controles de accesos físico, de protección frente a desastres naturales, de protección contra incendios, de fallas en las instalaciones (p.e. energía, telecomunicaciones, etc.), colapso edilicio, inundaciones, protección contra incendios, intrusiones de recuperación después de desastres, etc.; y, d) Se implementarán controles para evitar que se retiren sin autorización previa los equipos, información, soportes de cualquier tipo y software relacionado con los servicios de la Entidad de Certificación. 6.4.1. Control de acceso La Entidad de Certificación debe indicar en este subcomponente los controles que implementará para restringir el acceso a los equipos, programas y datos utilizados para proveer el servicio de certificación, solamente a personas debidamente autorizadas. 6.5. Controles funcionales y de operación En este subcomponente se deben indicar los controles adoptados por la Entidad de Certificación para garantizar que sus sistemas son operados en forma segura y correcta y que se minimizan los riesgos de fallas. Se tendrán en cuenta especialmente: a) Que se proteja la integridad de los sistemas de la Entidad de Certificación contra virus y contra programas maliciosos o no autorizados; b) Que se minimicen los riesgos de incidentes de seguridad y de problemas de mal funcionamiento mediante el uso de reportes de incidentes y de procedimientos de respuesta; c) Que se aseguren adecuadamente los soportes para protegerlos de daños, robos y accesos no autorizados. Cada empleado con responsabilidades generanciales es responsable por el planeamiento y la implementación efectiva de las políticas y procedimientos asociados de seguridad, de acuerdo a lo previsto en los manuales respectivos; d) Que deben establecerse e implementarse procedimientos para todos los roles confiables y administrativos que tengan algún impacto sobre la prestación de servicios de certificación; e) Que los soportes de información y datos deben ser administrados en forma segura y de acuerdo al nivel de clasificación de criticidad y que los 128 soportes que contienen información sensible deben ser eliminados en forma segura cuando ya haya terminado su vida útil; f) En relación al planeamiento de los sistemas, que se monitoreen futuras demandas y que se proyecten los requerimientos para asegurar que puedan satisfacerse las necesidades de almacenamiento y procesamiento en el corto y mediano plazo; y, g) La Entidad de Certificación debe actuar en forma oportuna y coordinada a fin de responder rápidamente a los incidentes que pudieran ocurrir y de limitar el impacto de las fallas de seguridad. Deben tomarse adecuadas medidas que permitan reportar toda falla inmediatamente después de ocurrido el incidente. Con relación a la generación de certificados y a la administración de los procesos de revocación y suspensión, debe contemplarse que las áreas y el personal de seguridad deben estar separados de las áreas y el personal operativos. Las responsabilidades del personal de seguridad deben incluir, como mínimo, las siguientes: • • • • • • • el planeamiento y la aceptación de los sistemas de seguridad, la protección contra el código malicioso, la seguridad de los procedimientos operativos, la seguridad de las redes, el monitoreo constante de los registros de auditoria, su análisis y seguimiento, la seguridad de la administración de los soportes, el intercambio de datos y software. Debe indicarse que estas responsabilidades serán administradas por los responsables de la seguridad de la Entidad de Certificación, aunque también pueden ser llevadas a cabo por personal de otras áreas, no especializado o personal operativo (aunque bajo supervisión), según se ha definido en los documentos y manuales específicos. 6.5.1. Determinación de roles Deben indicarse en este subcomponente, los principales roles que se cumplirán en las actividades críticas de la Entidad de Certificación. Como regla general, todo el personal que tenga acceso o control sobre operaciones criptográficas que puedan afectar la emisión, utilización o revocación de los certificados, incluyendo modificaciones en el repositorio, debe ser confiable. Deben incluirse, entre otros, a los administradores del sistema, operadores, técnicos y supervisores de las operaciones de la Entidad de Certificación. 6.6. Sistemas de Administración de Accesos 129 La Entidad de Certificación debe asegurar en este subcomponente los mecanismos que se emplearán para limitar los accesos al personal expresamente autorizado. A tal efecto, debe tenerse en cuenta: a) Que deben implementarse controles adecuados (p.e. firewalls) para proteger el dominio de las redes internas de la Entidad de Certificación contra dominios externos accesibles a terceras partes; b) Que los datos sensibles deben estar protegidos cuando se intercambian con redes inseguras (se incluyen en este punto la información remitida y recibida en los proceso de registro de suscriptores); c) Que la Entidad de Certificación debe asegurar la efectiva administración del acceso de usuarios (operadores, administradores y toda persona o entidad en condiciones de acceder a los sistemas), a fin de mantener sus sistemas de seguridad, incluyendo para ello sistemas de administración de cuentas, auditoria y de actualización de permisos de acceso; d) Que la Entidad de Certificción debe garantizar que se restringe de acuerdo a lo estipulado en las políticas correspondientes, el acceso a la información y las aplicaciones, y que se ha implementado una adecuada separación de funciones, incluyendo la separación entre las funciones de administración de la seguridad y administración operativa de los sistemas. Particulamente se debe ejercer un control estricto sobre los programas utilitarios del sistema; e) Que se identifique y autentique adecuadamente al personal que acceda a aplicaciones críticas relativas al manejo de los certificados; f) Que se responsabilice al personal de la Entidad de Certificación por sus actividades; y, g) Que se protejan los datos sensibles contra su revelación a través de la reutilización de soportes de almacenamiento, a los que pueda acceder personal no autorizado. Se incluye en este punto la información del registro de suscriptores. Con relación al proceso de generación de los certificados, se tendrán en cuenta para la redacción de este subcomponente, los siguientes aspectos: a) La Entidad de Certificación debe asegurar que los componentes de la red local (p.e. enrutadores) se mantengan en un ambiente seguro y que sus configuraciones se auditen periódicamente; b) Deben realizarse monitoreos contínuos y utilizarse sistemas de alarmas que permitan la detección y el registro de todo intento de acceso no autorizado. Los procesos de revocación exigen monitoreos contínuos e instalación de alarmas que permitan a la Entidad de Certificación la detección, el registro y la neutralización oportuna de los intentos de acceso no autorizado a sus recursos. 130 Asimismo, deben robustecerse los controles de acceso a las aplicaciones de las listas de certificados revocados o suspendidos, de manera tal de impedir su modificación no autorizada. 6.7. Implementación y Mantenimiento de Sistemas Confiables La Entidad de Certificación debe incluir en este subcomponente los mecanismos que implementará para proteger sus sistemas y productos de modificaciones no autorizadas. El análisis de riesgos debe identificar los sistemas críticos que requieren sistemas confiables y los niveles de seguridad requeridos. Cuando se desarrollen sistemas o se contrate su desarrollo, el análisis de los requerimientos de seguridad debe llevarse a cabo en la etapa de diseño y determinación de los recursos, a fin de asegurar que se incorporen controles de seguridad en los sistemas. Para todo el software operativo, deben existir procedimientos de control de cambios para las nuevas versiones, las modificaciones y los parches efectuados ante emergencias. 131 7. Controles Técnicos Este componente se utiliza para definir las medidas adoptadas por la Entidad de Certificación emisora para proteger sus claves criptográficas y datos de activación (PINs, passwords, etc.). Asimismo, se establecen las obligaciones de suscriptores, repositorios, etc. para la protección de sus claves privadas, datos de activación y parámetros de seguridad críticos. La administración segura de las claves es básica para asegurar que todas las claves privadas y otros datos secretos sean protegidos y utilizados sólo por personas autorizadas. 7.1. Generación e instalación de claves En este subcomponente se detallan las condiciones de generación e instalación del par de claves del suscriptor. Dichas claves, en el caso de un certificado emitido en los términos de esta política, debe ser generado de manera tal que su clave privada se encuentre bajo su exclusivo y permanente control. El suscriptor es considerado titular del par de claves; como tal, debe generarlas en un sistema confiable, no debe revelar su clave privada a terceros bajo ninguna circunstancia y debe almacenar su clave privada de firma en un medio que garantice su confidencialidad. De ser exigido por esta política, el suscriptor debe utilizar un dispositivo seguro de creación de firmas digitales seguras. En aquellos casos en que la Entidad de Certifación decida ofrecer el servicio de emisión de par de claves, deben indicarse los procedimientos que se utilizarán. Los mismos deben garantizar que dichas claves sean entregadas al suscriptor del certificado en forma personal y confidencial. A partir de este momento la clave privada queda bajo el control y responsabilidad del suscriptor para los efectos previsto en la Ley y su reglamentación. La Entidad de Certificación debe borrar todo rastro de la misma, dejando constancia de la totalidad de las operaciones realizadas. La Entidad de Certificación debe indicar expresamente que en caso de prestar el servicio de generación del par de claves, no mantendrá bajo ningún concepto copia de la clave privada, una vez que ésta haya sido entregada a su titular. Debe indicarse la manera en que la clave pública del suscriptor del certificado será transferida a la Entidad de Certificación. Dicho procedimiento debe garantizar, como mínimo, que la clave pública: a) No pueda ser cambiada durante la transferencia. b) El remitente posea la clave privada que corresponde a la clave pública transferida. c) El remitente de la clave pública sea el suscriptor del certificado. 132 El requerimiento de un certificado debe emitirse en formato PKCS#10, según se establece en la norma sobre Estándares Tecnológicos dictados por el INDOTEL, o bien en el que se establezca en futuras ediciones de los mismos. 7.2. Protección de la clave privada La Entidad de Certificación debe indicar en forma expresa que protegerá en todo momento su clave privada. Esto es asimismo aplicable a las Unidades de Registro en relación con las claves privadas que emplean en sus procedimientos de aprobación. La clave privada utilizada por una entidad de Certificación para firmar certificados bajo esta política, debe resguardarse en un dispositivo criptográfico seguro, tal como una tarjeta inteligente o una llave criptográfica o dispositivo similar. Deben indicarse en esta política, los estándares aplicables a la generación de las claves, si la clave privada se encuentra bajo el control de más de una persona, la existencia de mecanismos de reguardo de la clave privada, etc. Asimismo, debe indicarse que existen procedimientos seguros para la destrucción de las claves privadas en desuso. Los estándares mencionados deben estar en consonancia con los dictados por el INDOTEL para la Infraestructura de Clave Pública de la República Dominicana. 7.3. Otros aspectos del manejo de claves 7.3.1. Reemplazo de claves En este subcomponente deben indicarse los procedimientos que se seguirán para el reemplazo de las claves de la Entidad de Certificación. Dicho reemplazo tendrá lugar cuando las mismas hayan sido vulneradas o exista presunción en tal sentido. 7.3.2. Restricciones al uso de claves privadas La clave privada de la Entidad de Certificación empleada para emitir certificados según los lineamientos de esta política, debe utilizarse para firmar certificados a favor de suscriptores. Adicionalmente, la mencionada clave sólo puede usarse para firmar listas de certificados revocados. 7.3.3. Datos de Activación 133 Deben indicarse los mecanismos de protección del acceso a su clave privada que emplea la Entidad de Certificación, tales como “passphrase”, métodos biométricos, etc. 7.4. Controles de seguridad física En este subcomponente deben indicarse los controles de seguridad que se impondrán sobre los servidores y otro equipo crítico de la Entidad de Certificación. Los mismos deben encontarse en consonancia con los Estándares Tecnológicos de Firma Digital dictados por el INDOTEL. 7.5. Controles de administración de la seguridad En esta sección, la Entidad de Certificación debe indicar la existencia de controles de administración de la seguridad, tales como la ejecución de herramientas y la existencia de procedimientos que garanticen la operación de los sistemas y la adhesión a las políticas de seguridad. Estas políticas apuntan al mantenimiento de la integridad de los programas y sistemas y del hardware, de manera de asegurar su correcta operación. 7.6. Controles de seguridad de conectividad de red En este subcomponente deben indicarse las medidas de protección de los servicios que provee la Entidad de Certificación, para lo cual debe emplearse una tecnología apropiada que garantice su seguridad, e impida los accesos no autorizados. Debe asegurarse que se exija autorización de acceso a todos los servicios que así lo requieran. Por otro lado, debe garantizarse la provisión de los servicios en los términos establecidos en esta política. 7.7. Características criptográficas La Entidad de Certificación debe expresar el cumplimiento de los Estándares Tecnológicos de Firma Digital, dictados por el INDOTEL. Esto se aplica particularmente a: a) Los tipos de algoritmos de firma aceptables. b) Las longitudes mínimas de clave aceptables de las Entidades de Certificación y de los suscriptores. La Entidad de Certificación debe especificar en esta sección los algoritmos de firma utilizados y los esquemas de encriptación. La longitud mínima para el par de claves de la Entidad de Certificación es de 2048 bits. La generación y almacenamiento de claves de la Entidad de Certificación y su utilización deben efectuarse utilizando un equipo técnicamente confiable que cumpla con los estándares aprobados por el INDOTEL. 134 En caso de conocerse un mecanismo que vulnere cualquiera de los algoritmos en las longitudes indicadas, es obligación de la Entidad de Certificación revocar todos los certificados comprometidos y notificar a los suscriptores. Para el caso de los suscriptores de certificados emitidos bajo esta política, se aceptará una longitud mínima de 1024 bits. 135 8. Certificados y listas de certificados revocados – Características Este componente describe las características de los certificados y de las listas de estado de los certificados. 8.1. Perfil del Certificado Todos los certificados que hacen referencia a esta política se emiten en formato ITU-T X509 versión 3 o superior según se establece en la norma sobre Estándares Tecnológicos de Firma Digital dictados por el INDOTEL. Un certificado emitido de acuerdo a los requerimientos de esta política incluye los datos identificativos mínimos exigidos por el Reglamento de Aplicación de la Ley No. 126-02, y las normas complementarias aplicables que dicta el INDOTEL. En particular, deben especificarse los datos que figurarán en el certificado emitido bajo esta Política de Certificación, tales como: a) b) c) d) e) f) g) h) i) j) k) l) Número de versión X.509 del certificado Nombre y apellido del suscriptor del certificado. Municipio, provincia y país de residencia permanente. Dirección de correo electrónico. Clave pública del suscriptor. Algoritmos de firma de la clave pública. Número de serie del certificado. Período de validez del certificado. Nombre de la Entidad de Certificación emisora del certificado. Dirección de consulta de la lista de certificados revocados (CRL). URL donde se encuentra disponible esta Política de Certificación. Todo otro dato relevante para la utilización del certificado de la Entidad de Certificación. Asimismo, esta sección debe especificar las extensiones que se agregarán a los certificados emitidos bajo esta Política y el sentido de las mismas. Debe registrarse la fecha y hora precisas de ocurrencia de los eventos asociados al ciclo de vida de un certificado y de la administración de las claves. La Entidad de Certificación debe indicar en sus políticas y procedimientos la precisión de los relojes empleados para fijar fecha y hora y la forma en que se determina dicha condición. 8.2. Perfil de las Listas de Certificados Revocados Las listas de certificados revocados se emiten en formato ITU-T X509 versión 2 según se establece en los mencionados Estándares. 136 8.3 Perfil del Protocolo de Certificados en Línea (OCSP) La Entidad de Certificación especificará en esta sección si ofrece el servicio de provisión del estado de certificados en línea, especificando las condiciones de acceso al mismo. 137 9. Aspectos organizacionales Este apartado cubre aspectos tendientes a brindar garantías respecto a la confiabilidad de la organización de la Entidad de Certificación. En este subcomponente, la Entidad de Certificación debe asegurar, como mínimo, los siguientes aspectos: a) Que sus políticas y procedimientos de operación no sean discriminatorios; b) Que sus servicios sean accesibles para todos los solicitantes cuyas actividades se encuentran bajo el ámbito de actividad de esta política; c) Que actúe dentro del marco legal vigente; d) Que cuente con los sistemas de gestión de calidad y de seguridad apropiados para los servicios de certificación que provee; e) Que tome los recaudos necesarios para cubrir los riesgos a los que puede enfrentarse; f) Que posea la estabilidad y los recursos financieros requeridos para operar de conformidad con esta política; g) Que cuente con personal suficiente, con una adecuada formación profesional y conocimientos técnicos y con la experiencia necesaria para el tipo, rango y volumen de trabajo asociados a los servicios que presta; h) Que ha emitido políticas y procedimientos para la resolución de conflictos y disputas con suscriptores y usuarios de certificados emitidos bajo esta política; i) Que ha firmado acuerdos y mantiene relaciones contractuales para la provisión de servicios por parte de subcontratistas, proveedores externos y otros prestadores de servicios; j) Que su personal no posea antecedentes de mala conducta. Las áreas de la Entidad de Certificación afectadas a la generación de certificados y a la gestión de revocación deben ser independientes de otras áreas en sus decisiones relacionadas con la provisión, el mantenimiento, la suspensión o revocación de sus servicios. Particularmente, el máximo responsable ejecutivo de la entidad, su alta dirección y el personal afectado por roles críticos no deben estar expuestos a presiones comerciales, financieras y de otro tipo, que pudieran afectar en forma adversa la confianza en los servicios que brinda la Entidad de Certificación. Las áreas de la Entidad dedicadas a la generación y revocación de certificados deben mantener una estructura estable e independiente. 138 10. Administración de esta política La Entidad de Certificación debe especificar en esta Sección que esta Política de Certificación ha sido emitida en base a los lineamientos establecidos por el INDOTEL para los certificados emitidos para las firmas digitales seguras, y que ha sido sometida a análisis y aprobación del INDOTEL. En tal sentido, la Entidad de Certificación sólo podrá difundir esta política de certificación como propia si ha sido autorizada por el INDOTEL para emitir certificados bajo la misma. Los subcomponentes siguientes deben definir la manera que se mantendrá y administrará la Política de Certificación. 10.1. Cambios en la Política de Certificación En este subcomponente se describirán los procedimientos empleados para realizar cambios en la Política de Certificación. Cualquier modificación debe ser sometida a la aprobación del INDOTEL. 10.2. Publicación y notificación La Entidad de Certificación informará a los suscriptores de certificados acerca de todos aquellos cambios significativos que se efectúen a esta Política. Las modificaciones indicadas serán publicadas en el sitio Web de la Entidad de Certificación, previa aprobación del INDOTEL. Una copia de esta política de certificación y de sus versiones anteriores debe encontrarse disponible en la interfaz Web de la Entidad de Certificación. 10.3. Procedimientos de aprobación Toda Política de Certificación debe ser sometida a la aprobación del INDOTEL, durante el proceso de autorización de la Entidad, y cada vez que le incorpore modificaciones. 139 MANUAL DE PROCEDIMIENTOS DE CERTIFICACION GUIA DE REDACCION 140 INDICE 1.- Introducción.......................................... .............................................................................. 145 2.- Referencias documentales......................................................................................................143 3.- Siglas y abreviaturas ...............................................................................................................143 4.- Manual de Procedimientos de Certificación............................................................................144 4.1.- Características .................................................................................................................... 144 4.2.- Requerimientos generales .................................................................................................. 146 4.3.- Elementos............................................................................................................................ 146 5.- Componentes y subcomponentes de un MPC - Contenidos ..................................................146 5.1.- Introducción ......................................................................................................................... 147 5.1.1.- Visión general...................................................................................................... 147 5.1.2.- Identificación ....................................................................................................... 147 5.1.3.- Comunidad y aplicabilidad .................................................................................. 147 5.1.4.- Detalles de contacto............................................................................................ 147 5.2.- Disposiciones Generales................................................................................................... 148 5.2.1.- Responsabilidad.................................................................................................. 148 5.2.2.- Obligaciones........................................................................................................ 149 5.2.3.- Interpretación y Obligatoriedad ........................................................................... 150 5.2.4.- Publicación y repositorios ................................................................................... 150 5.2.5.- Auditoría .............................................................................................................. 151 5.2.6.- Política de confidencialidad................................................................................. 151 5.3.- Identificación y Autenticación .............................................................................................. 152 5.3.1.- Registro inicial ..................................................................................................... 152 5.3.2.- Renovación ......................................................................................................... 153 5.3.3.- Renovación posterior a una revocación – Sin compromiso de claves ............... 153 5.3.4.- Solicitud de revocación ....................................................................................... 153 5.4.- Requisitos operativos .......................................................................................................... 154 5.4.1.- Solicitud de certificado. ....................................................................................... 154 5.4.2.- Emisión del certificado ........................................................................................ 154 5.4.3.- Aceptación del certificado ................................................................................... 154 5.4.4.- Suspensión y revocación del certificado ............................................................. 154 5.4.5.- Procedimientos de auditoría de seguridad.......................................................... 155 5.4.6.- Archivo de registros............................................................................................. 155 5.4.7.- Procedimientos de cambio de claves.................................................................. 156 5.4.8.- Procedimientos de recuperación después de desastres .................................... 156 5.4.9.- Cese de actividades de la EC ............................................................................. 156 5.5.- Controles de Seguridad física, operativa y de personal. .................................................... 157 5.5.1.- Controles de seguridad física.............................................................................. 157 5.5.2.- Controles operativos. .......................................................................................... 158 5.5.3.- Controles de seguridad personal ........................................................................ 158 5.6.- Controles de seguridad técnica.............................................................................. 159 5.6.1.- Generación e instalación del par de claves ........................................................ 160 5.6.2.- Protección de la clave privada ............................................................................ 160 5.6.3.- Otros aspectos de administración de claves ...................................................... 161 5.6.4.- Datos de activación ............................................................................................. 161 5.6.5.- Controles de seguridad del computador ............................................................. 161 5.6.6.- Controles de seguridad del ciclo de vida del sistema ........................................ 162 5.6.7.- Controles de seguridad de red............................................................................ 162 5.6.8.- Controles de seguridad de diseño de módulos criptográficos ........................... 162 5.7.- Perfiles de certificados y de las Listas de Certificados revocados .................................... 162 5.7.1.- Perfil del certificado ............................................................................................ 163 5.7.2.- Perfil de la Lista de Certificados Revocados (LCR)............................................ 163 5.7.3.- Perfil del Protocolo de Estados de Certificados en Línea (OCSP) ..................... 163 5.8.- Especificaciones de administración de procedimientos..................................................... 163 5.8.1.- Procedimientos de cambios ................................................................................ 163 141 5.8.2.- Procedimientos de publicación y notificación ..................................................... 164 5.8.3.- Procedimientos de aprobación............................................................................ 164 142 1.- Introducción La presente guía se ha desarrollado con el fin de ser utilizada por cada una de las entidades certificadoras a ser constituidas en el marco de la Infraestructura de Clave Pública de la República Dominicana. Este documento debe ser tomado como referencia, correspondiendo a cada Entidad de Certificación el desarrollo de cada uno de los apartados mencionados adaptándolos a las características particulares de cada instalación. En todos los casos aplicables, deberá cumplirse obligatoriamente lo establecido en los Estándares Tecnológicos y otras normas vigentes dictadas por el INDOTEL. Las Entidades de Certificación deberán emplear obligatoriamente la estructura del presente documento. 2.- Referencias documentales Los siguientes documentos han sido tomados como referencia para su redacción: ANS X9.79-1:2001: American National Standard for Financial Services – Part1: PKI Practices and Policy Framework – American Bankers Association – January 2001. RFC 2527: Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework – Internet Engineering Task Force – The Internet Society - March 1999. 3.- Siglas y abreviaturas EC(s) FIPS ICPRD ICP INDOTEL ISO LCR(s) MPC OCSP OID PC(s) PIN UR(s) Entidad(es) de Certificación Federal Information Processing Standard Infraestructura de Clave Pública de la República Dominicana Infraestructura de Clave Pública Instituto Dominicano de Telecomunicaciones International Organization for Standardization Lista(s) de Certificados Revocados Manual de Procedimientos de Certificación Protocolo de estado de certificados en línea Identificador de objeto Política(s) de Certificación Número de identificación personal Unidad(es) de Registro. 143 4.- Manual de Procedimientos de Certificación 4.1.- Características Dentro del marco de una Infraestructura de Clave Pública, una Entidad de Certificación tiene a cargo el cumplimiento de los siguientes roles: a) Emisor de certificados Cumple con las siguientes funciones: • • • • • • • Emite certificados digitales, Administra el nombre de la EC, Provee los medios para que los suscriptores revoquen sus certificados, Revoca los certificados, Es propietario y controla sus claves de firma, Mantiene la propiedad y controla sus registros de negocios, Crea (en ICP cerradas) o suscribe a una o más PC o MPC. b) Productor de certificados Cumple con las siguientes funciones: • • • • • • • • Genera y administra los pares de claves de certificados en forma consistente con las especificaciones de la UR, Distribuye las claves públicas del usuario, Genera y distribuye los certificados digitales, Genera información sobre el estado de los certificados, Efectúa las notificaciones a los suscriptores, Mantiene las condiciones de seguridad, disponibilidad y continuidad de las operaciones de firma de certificados, Periódicamente es sometido a auditorías de cumplimiento, Se mantiene alerta ante amenazas a la seguridad de la instalación y toma las medidas adecuadas frente a las amenazas significativas. c) Unidad de Registro Cumple con las siguientes funciones: 144 • • • • • • • • • Obtiene las claves públicas del suscriptor u, opcionalmente le genera el par de claves, Identifica y autentifica suscriptores, Valida los datos de identificación provistos por el suscriptor, Verifica que los datos de identificación pertenecen al suscriptor, Verifica que el suscriptor está habilitado para obtener un certificado digital bajo una PC determinada, Verifica que el suscriptor posee la clave privada correspondiente a la clave pública que contendrá el certificado a emitir, Administra la remisión de las transacciones de solicitud de certificados de manera de relacionar los datos de identificación del suscriptor con la clave pública correspondiente, Recibe y procesa las solicitudes de revocación, suspensión y renovación de certificados, Capacita al personal responsable de registro. d) Repositorio Realiza las siguientes tareas: • • • Almacena y distribuye los certificados digitales, Almacena y distribuye información sobre el estado de los certificados (tales como Listas de Certificados Revocados -LCRs- y/o estado de certificados en línea), Almacena y distribuye información pública de la ICP (ej.: PCs). La EC es responsable de definir claramente los procedimientos que utilizará para el cumplimiento de los mencionados roles, cumpliendo con los requerimientos establecidos en la Política de Certificación que sustente. De esta forma, el término Manual de Procedimientos de Certificación puede definirse como el conjunto de prácticas que la EC emplea en el cumplimiento de sus roles. Estos roles y funciones pueden delegarse en otras entidades, pero necesariamente deben ser cubiertos y el MPC debe ser redactado y mantenido por la EC. El nivel de especificidad de un MPC dependerá de cada EC, teniendo en cuenta las PCs que sustente, y dando cumplimiento a lo especificado en las mismas. Adicionalmente, puede ser necesario que la EC describa los procedimientos operativos utilizados para cumplir con el rol de producción de certificados. Estos procedimientos incluirán detalles propios de la implementación que utilice la EC, por lo cual son privados y están fuera del alcance del presente documento. Un MPC puede tomar la forma de una declaración efectuada por la EC acerca de los detalles de los sistemas y prácticas que utiliza en sus operaciones para emitir y administrar los certificados en forma segura. Algunas partes del MPC pueden, incluso, formar parte del contrato entre la EC y el suscriptor, con la 145 finalidad de otorgarle efecto legal a su contenido. 4.2.- Requerimientos generales 1.- Una EC debe documentar sus prácticas y procedimientos de certificación, 2.- Un MPC debe identificar y respaldar cada PC para la cual emite certificados, 3.- Las prácticas y procedimientos de certificación deben incluir los siguientes ocho componentes de nivel principal: a) b) c) d) e) f) g) h) Introducción, Disposiciones generales, Identificación y Autentificación, Requisitos operativos, Controles de seguridad física, operativa y personal, Controles de seguridad técnica, Perfiles de certificados y de las Listas de Certificados revocados, Especificaciones de administración. Un MPC debe cumplir con los objetivos de control especificados en este documento. Asimismo, debe incluir los procedimientos de control especificados que sean apropiados, en función de la evaluación de riesgos efectuada por la EC. Se debe teneren cuenta que dichos procedimientos contemplarán necesariamente aspectos relativos a la seguridad de la EC, que por su naturaleza, deberían ser considerados confidenciales y de conocimiento limitado al personal que desempeña roles confiables, según se especifica en el apartado 5.5.2. En tal caso, será necesario que su descripción se incluya en un documento específico con esas características de confidencialidad (por ej.: un Manual de Procedimientos de Seguridad). 4.3.- Elementos Un MPC debe contener una referencia a todos los componentes y subcomponentes contenidos en esta sección. Sin embargo, no es necesario que se incluya una definición para cada uno de ellos. Un MPC puede incluir el término “No aplicable” en aquellos componentes, subcomponentes o elementos respecto de los cuales no establezca requerimientos. Esto indicará al lector del MPC que la EC ha efectuado una revisión adecuada acerca del tema en cuestión y facilitará la comparación de MPCs cuando se efectúen análisis sobre la adaptabilidad de las prácticas a distintas aplicaciones. El empleo de este modelo de contenido, basado en estándares internacionales, tiene por finalidad garantizar aspectos de interoperabilidad entre ECs constituidas en el marco de la ICPRD y otras Infraestructuras de Clave Pública. 5.- Componentes y subcomponentes de un MPC - Contenidos 146 5.1.- Introducción El componente Introducción posee los siguientes subcomponentes: 1. 2. 3. 4. Visión General, Identificación, Comunidad y aplicabilidad, Detalles de contacto. 5.1.1.-Visión general Debe incluir una introducción general (por ej.: objetivos generales del MPC). 5.1.2.-Identificación Debe contener todos los nombres u otros identificadores, incluyendo los identificadores ASN.1, si fuera aplicable. 5.1.3.-Comunidad y aplicabilidad Este subcomponente debe describir los tipos de entidades que emiten los certificados o que son acreditadas como ECs, aquellas entidades que realizan funciones de URs y aquellas que son acreditadas como usuarios finales o suscriptores. Por ejemplo, las entidades que emiten los certificados o que son acreditadas como emisoras pueden ser bancos, sucursales o departamentos, agencias u organismos gubernamentales, etc., las funciones de unidad de registro pueden ser cumplidas por departamentos de servicios al cliente o de seguridad de datos, los usuarios finales pueden ser clientes minoristas o mayoristas, tenedores de tarjetas de crédito, inversores, empleados. El MPC debe ser actualizado ante cada alteración en el conjunto de URs vinculadas a la EC responsable. Asimismo, se deben incluir en este subcomponente: a) Una lista o la mención de las aplicaciones para las cuales los certificados resulten aptos, b) Una lista o la mención de las aplicaciones para las cuales los certificados se encuentren restringidos, c) Una lista o la mención de las aplicaciones para las cuales los certificados se encuentren prohibidos. 5.1.4.-Detalles de contacto Este subcomponente debe incluir el nombre, domicilio, dirección de correo 147 electrónico, número de teléfono y de facsímil de la EC, como autoridad responsable del registro, mantenimiento e interpretación del MPC, ante el INDOTEL. Asimismo debe incluir el nombre, dirección de correo electrónico, número de teléfono y de facsímil de todos los responsables de la administración de este documento. 5.2.-Disposiciones Generales Este componente debe incluir cualquier disposición aplicable en el rango de temas legales y de prácticas generales, incluyendo los siguientes subcomponentes: 1. 2. 3. 4. 5. 6. Responsabilidad, Obligaciones, Interpretación y obligatoriedad, Publicación y repositorios, Auditorías, Confidencialidad. Cada subcomponente podrá incluir diferentes disposiciones con relación a los procedimientos aplicables a cada una de los tipos de entidad: EC, repositorio, Unidad de Registro, suscriptores y usuarios. 5.2.1.-Responsabilidad Este subcomponente debe incluir disposiciones tales como: a. Garantías y limitaciones a las mismas, b. Clases de daños cubiertos (por ejemplo, indirectos, especiales, consecuentes, incidentales, punitivos, por negligencia o fraude) y deslinde de responsabilidades, c. Límites de responsabilidad por certificado o por transacción, d. Otras exclusiones (por ej.: responsabilidades de terceros). Asimismo, deben incluirse como mínimo, las siguientes obligaciones para la EC: a. Adoptar las medidas de seguridad y control previstas en el MPC, la PC y demás documentación técnica, que debe implementar, desarrollando los procesos, procedimientos y actividades en consonancia con las normas, estándares, prácticas y procedimientos dictados por el INDOTEL, b. Mantener la conformidad de sus procesos, procedimientos y actividades con las normas, estándares, prácticas y procedimientos dictados por el INDOTEL, c. Garantizar la integridad, la confidencialidad y la seguridad de la información tratada, d. Mantener y probar frecuentemente su Plan de Contingencias, e. Informar a los usuarios y suscriptores de certificados sobre las garantías, cobertura, limitaciones y condicionantes aplicables a los certificados emitidos. 148 En cuanto a las URs, deberán incorporarse como mínimo, las siguientes: a. Mantener la conformidad de sus procesos, procedimientos y actividades con las prácticas y procedimientos dictados por la EC con la que se encuentre vinculada y con las normas, criterios, estándares y procedimientos dictados por el INDOTEL, b. Garantizar la integridad, la confidencialidad y la seguridad de la información tratada. 5.2.2.-Obligaciones Este subcomponente debe contener, para cada entidad tipo, todas las disposiciones y procedimientos referidos a sus obligaciones con otras entidades. Entre otras, podrán incluir: a) Obligaciones de la Entidad de Certificación (EC). Deben incluirse como mínimo, las siguientes obligaciones y los procedimientos que se implementarán para cumplirlas: • • • • • • • • • • • • • Operar de acuerdo con su Manual de Procedimientos de Certificación y con las Políticas de Certificación que implementa, Generar y administrar correctamente su par de claves criptográficas, Asegurar la protección de sus claves privadas, Notificar al INDOTEL toda sospecha de vulneración de su clave privada, Notificar a los suscriptores toda sospecha de vulneración de su clave privada, y proceder a la emisión de un nuevo par de claves y su correspondiente certificado o iniciar el proceso de cesación de actividades, Distribuir su propio certificado, Emitir y distribuir los certificados de las URs vinculadas y de los suscriptores, Notificar la emisión del certificado a su suscriptor, Notificar la revocación o suspensión de un certificado al titular cuyo certificado deba ser objeto de tal revocación o suspensión, Revocar o suspender los certificados emitidos, cuando las circunstancias lo indiquen, Emitir, administrar y publicar las Listas de Certificados revocados, y cuando fuera aplicable, disponer la consulta en línea del estado de los certificados (OCSP), Publicar en su página Web su MPC (excepto en aquellos procedimientos que pudieran comprometer su seguridad) y las PCs que implementa, Identificar y registrar todas las acciones realizadas, según las normas, procedimientos y estándares dictados por el INDOTEL. 149 b) Obligaciones de la Unidad de Registro (UR): Deberán incluirse como mínimo, las siguientes obligaciones y los procedimientos que se implementarán para cumplirlas: • • • • Recibir las solicitudes de emisión, revocación y suspensión de certificados, Verificar la identidad del solicitante y validar los certificados, Remitir las solicitudes de emisión, revocación y suspensión aprobadas a la EC a la que se encuentre vinculada, Identificar y registrar todas las acciones realizadas, según las normas, procedimientos y estándares dictados por el INDOTEL. c) Obligaciones del suscriptor: Deberán indicarse las obligaciones del suscriptor, que involucran como mínimo: • • • • Brindar datos precisos para la solicitud del certificado, Proteger de su clave privada, Cumplir con las restricciones en el uso de la clave privada y del certificado, Notificar de la vulneración de su clave privada. d) Obligaciones de los usuarios: • • • • • • Propósitos para los cuales se utiliza el certificado, Responsabilidades de verificación de la firma digital, Responsabilidades de verificación del estado del certificado (revocación, suspensión), Reconocimiento de la aplicabilidad de responsabilidades y garantías, Obligaciones de repositorio, Publicación periódica de certificados y de sus revocaciones. 5.2.3.-Interpretación y Obligatoriedad Este subcomponente debe contener todas las disposiciones aplicables a la interpretación y obligatoriedad del MPC, tales como: a) b) c) d) Política y procedimientos de seguridad corporativos, Ley aplicable, Severidad de las disposiciones, Procedimientos de solución de conflictos. 5.2.4.-Publicación y repositorios Este subcomponente debe contener todas las disposiciones y procedimientos 150 aplicables referidos a: a) Obligaciones de la EC de mantener disponible la información referida a sus prácticas, certificados, y al estado de los mismos, b) Frecuencia de publicación, c) Clasificación de la información publicada, incluyendo definiciones de PC, MPC, certificados, estado de los certificados, LCRs, d) Requisitos relativos al uso de repositorios, incluyendo verificación en línea del estado de los certificados (en caso de admitirse). 5.2.5.-Auditoría Este subcomponente debe comprender: a) Frecuencia de las auditorías efectuadas a cada entidad según lo dispuesto por el marco regulatorio, b) Relación del auditor con la entidad auditada (por ejemplo, disposición que establezca la independencia del auditor y el ente auditado), c) Lista de temas a ser verificados durante la auditoría de conformidad, incluyendo controles de seguridad del entorno de la EC, de administración de claves y del ciclo de vida del certificado. 5.2.6.-Política de confidencialidad Este subcomponente debe comprender los procedimientos asociados a los siguientes aspectos: a) Tipo de información que la EC o la UR deben mantener confidencial, tal como aquella que, por su naturaleza, no es incluida en el certificado digital (Ej.: documentos de identidad y toda otra documentación respaldatoria del proceso de autentificación del suscriptor), b) Tipo de información que no es considerada confidencial, tal como toda aquella que se incluya en el certificado digital, c) Personas autorizadas para ser informadas sobre las razones de la revocación y suspensión de certificados, d) Política sobre divulgación de información a funcionarios judiciales, e) Información que pueda ser revelada como parte de una acción civil, f) Condiciones bajo las cuales una EC o una UR pueden revelar información a pedido del suscriptor, g) Toda otra circunstancia bajo la cual puede revelarse información confidencial. Se deberán describir los procedimientos utilizados para garantizar la confidencialidad, tales como: • • los controles de acceso, la definición de perfiles de usuarios, 151 • • el control periódico de los “logs”, la firma de compromisos de confidencialidad por parte del personal asignado a funciones en la EC y la UR. 5.3.- Identificación y Autentificación Este componente debe describir los procedimientos utilizados para autentificar al solicitante de un certificado previo a su emisión, por una EC o una UR. Asimismo debe detallar cómo se autentificarán las partes que solicitan una revocación, suspensión o una renovación. Incluye procedimientos para el reconocimiento de la titularidad de un nombre y para resolver conflictos sobre el mismo. Se deben describir los procedimientos utilizados por la EC para garantizar el cumplimiento de las responsabilidades de la UR en el ejercicio de sus funciones, tales como la firma de un acuerdo de responsabilidad y confidencialidad y otros que aquella pudiera establecer. Este componente incluye los siguientes subcomponentes: 1. 2. 3. 4. Registro Inicial. Renovación. Reemisión posterior a una revocación, Solicitud de revocación. 5.3.1.-Registro inicial Este subcomponente debe incluir los siguientes procedimientos de identificación y autentificación durante el registro o emisión del certificado: a. Tipos de nombre asignados al sujeto. Ej.: Incluyen nombre distintivo X.500, dirección de correo electrónico y URL. b. Definición sobre la significación de nombres, c. Reglas sobre la interpretación de nombres, d. Definición sobre la unicidad de nombres, e. Mecanismos de solución de conflictos sobre nombres, f. Procedimiento de prueba de la posesión de la clave privada del suscriptor correspondiente a la clave pública registrada por parte del sujeto, Ej.: la EC emisora genera la clave o bien se exige al sujeto que envíe una solicitud firmada digitalmente. g. Requerimientos de autentificación para la identificación organizacional del sujeto (EC, UR o suscriptor), Ej.: normativa que respalda su incorporación a la organización, resoluciones corporativas certificadas, documentos notarizados. h. Requerimientos de autentificación para la identificación de la persona que 152 i. j. k. l. actúe en nombre del sujeto (EC, UR o suscriptor) Ej.: credenciales del individuo, cédula de identidad, licencia de conducir, pasaporte, tarjeta de crédito, identificación biométrica. Cantidad de elementos de identificación requeridos Procedimiento utilizado por la EC o la UR para la validación de los elementos de validación proporcionados Definición de la obligatoriedad de la presencia personal del suscriptor ante la EC o la Unidad de Registro para su autentificación, de acuerdo a lo establecido en las PCs. Procedimiento de autentificación de un individuo como representante o miembro de una organización. Ej.: autorizaciones debidamente firmadas, credenciales corporativas. 5.3.2.-Renovación Este subcomponente debe definir los procedimientos de identificación y autentificación para la renovación de certificados para cada sujeto (EC, UR, suscriptor). Ej.: el procedimiento de autentificación para la renovación debe ser el mismo que para un registro inicial, a menos que el certificado expirado sea utilizado para autentificar la identidad del solicitante antes de su expiración. Por tanto, la autentificación puede cumplirse utilizando los procedimientos indicados en el apartado anterior o bien utilizando una solicitud firmada digitalmente. 5.3.3.-Renovación posterior a una revocación – Sin compromiso de claves Este subcomponente debe describir los procedimientos para identificación y autentificación para cada entidad (EC, UR o suscriptor) una vez que el certificado del suscriptor ha sido revocado. Ej.: Este procedimiento debería ser similar al del registro inicial. 5.3.4.-Solicitud de revocación Este subcomponente debe describir los procedimientos de identificación y autentificación para una solicitud de revocación requerida por cada sujeto (EC, UR o suscriptor). Deben establecerse los procedimientos que utilizarán las ECs y las URs, en caso que se constituyan, los pasos a seguir por el solicitante, los motivos que acreditan la revocación y los procedimientos que se seguirán en cada caso. Ej.: Los procedimientos de identificación de requerimientos de revocación pueden ser los mismos que los del registro inicial ya que se refieren al mismo trámite del certificado. Puede aceptarse una solicitud de revocación firmada digitalmente por el sujeto. La información sobre autentificación utilizada durante el registro inicial puede ser aceptable para una solicitud de revocación. Asimismo, pueden definirse otros procedimientos de autentificación menos estrictos. 153 5.4.-Requisitos operativos Este componente se utiliza para especificar requerimientos referidos a las actividades operativas de la EC emisora, ECs subordinadas, unidades de registro o suscriptores. Contiene los siguientes subcomponentes: 1. 2. 3. 4. 5. 6. 7. 8. 9. Solicitud del certificado, Emisión del certificado, Aceptación del certificado, Suspensión y revocación del certificado, Procedimientos de auditoría de seguridad, Procedimientos de archivo de registros, Procedimientos de cambio de claves, Procedimientos de recuperación después de desastres, Cese de actividades de la EC. Dentro de cada componente, es posible que sea necesario diferenciar procedimientos para la EC emisora, subordinadas, repositorios, unidades de registro o suscriptores. 5.4.1.-Solicitud de certificado Este subcomponente debe establecer los requerimientos referidos al proceso de registro del suscriptor y solicitud de emisión del certificado. 5.4.2.-Emisión del certificado Debe incluir los requerimientos referidos a la emisión del certificado y a su notificación al suscriptor. 5.4.3.-Aceptación del certificado Este subcomponente debe incluir los requerimientos referidos a la aceptación del certificado emitido y su correspondiente publicación. 5.4.4.-Suspensión y revocación del certificado Contiene procedimientos referidos a los siguientes aspectos: a) b) c) d) Circunstancias en las cuales puede revocarse un certificado, Quien puede solicitar la revocación, Procedimientos utilizados para solicitar una revocación, Plazo dentro del cual el suscriptor debe solicitar la revocación, en caso de establecerse, 154 e) f) g) h) i) j) k) l) m) Circunstancias en las cuales puede suspenderse un certificado, Quien puede solicitar la suspensión, Procedimientos utilizados para solicitar una suspensión, Plazo máximo establecido para la suspensión, De utilizarse LCRs, frecuencia de su emisión, Requisitos de consulta de las LCRs por parte de terceros, Disponibilidad de consulta en línea del control del estado de revocación, Requisitos de control del estado de revocación en línea por parte de terceros, Otras formas de publicación de las revocaciones que se encuentren disponibles, n) Requisitos de control de otras formas de publicación de las revocaciones por parte de los usuarios, o) Toda modificación a las disposiciones anteriores cuando la suspensión o revocación es resultado del compromiso de la clave privada. 5.4.5.-Procedimientos de auditoría de seguridad Este subcomponente es utilizado para describir los registros y sistemas de auditoría. Debe incluir los siguientes elementos: a) Tipos de eventos registrados, describiendo los atributos que se registrarán en cada caso. Ej.: solicitudes de emisión de certificados, solicitudes de revocación, notificaciones de vulneración de claves, creación del certificado, revocación del certificado, emisión del certificado, emisión de la LCR, emisión de LCR por vulneración de claves, designación de roles confiables en la EC, actividades del personal designado, cambios de claves, etc.; b) Frecuencia de procesamiento y verificación de los registros de auditoría; c) Período de conservación de los registros de auditorías; d) Protección de los registros de auditoría • Autorizados a visualizar los registros; • Protección contra modificaciones de registros; • Protección contra borrado de registros; e) Procedimientos de “back up” de registros de auditoría; f) Verificación del sistema de archivo de los registros (interno o externo). De efectuarse, procedimiento de comunicación del registro del evento de auditoría a quien lo ocasionara, g) Informes de vulnerabilidad. 5.4.6.-Archivo de registros Este subcomponente debe utilizarse para describir procedimientos generales de archivo, incluyendo los siguientes: a) Tipo de eventos a archivar Ej.: solicitudes de emisión de certificados, solicitudes de revocación, notificaciones de compromiso de claves, creación del certificado, revocación 155 b) c) d) e) f) g) del certificado, emisión del certificado, emisión de la LCR, emisión de LCR por vulneración de claves, cambios de claves, etc. Período de conservación de la información archivada Protección de los archivos • Autorizados a visualizar sus contenidos • Protección contra modificaciones • Protección contra borrado Procedimientos de “back up” de archivos Requerimientos de sello de tiempo de archivos (estampado cronológico o “time-stamping”) Verificación del sistema de archivo (interno o externo) Procedimientos de obtención y verificación de información archivada. 5.4.7.-Procedimientos de cambio de claves Debe incluir los procedimientos a seguir para proveer una nueva clave pública al usuario de la EC. Deberán indicarse tanto los procedimientos de notificación y publicación como los mecanismos de difusión de la nueva clave. 5.4.8.-Procedimientos de recuperación después de desastres. Debe describir los requerimientos relativos a la notificación y recuperación en caso de vulneración o desastre. Cada uno de los siguientes aspectos debe ser evaluado separadamente: a) Procedimientos de recuperación ante una vulneración real o probable de recursos de hardware, software y/o datos. Estos procedimientos describen la metodología para restablecer un ambiente seguro, definir los certificados que serán revocados, las claves que serán revocadas, cómo se proveerá la nueva clave de la entidad a los usuarios, cómo se reemitirán los nuevos certificados a los usuarios. b) Procedimientos a utilizar ante la revocación de la clave pública de la EC. Estos procedimientos describen la metodología para restablecer un ambiente seguro, definir los certificados que serán revocados, como se proveerá la nueva clave de la entidad a los usuarios, como se reemitirán los nuevos certificados a los usuarios. c) Procedimientos a utilizar ante el compromiso de la clave de la EC. Estos procedimientos describen la metodología para restablecer un ambiente seguro, cómo se obtendrá la nueva clave pública de la entidad, cómo se reemitirá el certificado de la EC. 5.4.9.-Cese de actividades de la EC Este subcomponente debe describir los requerimientos relativos a los procedimientos de cese de actividades de la EC o de la unidad de registro y de su notificación, incluyendo la designación del responsable de la custodia de los archivos de registros. 156 5.5.- Controles de Seguridad física, operativa y de personal Este componente debe describir los procedimientos y controles físicos, operativos y de personal utilizados por la EC emisora para cumplir en forma segura con las funciones de generación de claves, autentificación de los suscriptores, emisión de certificados, revocación de certificados, auditoría y archivo. Asimismo, debe ser utilizado para definir controles en los repositorios, ECs, unidades de registro y suscriptores. Los controles en ECs, URs y suscriptores pueden variar en cada entidad. Estos controles son básicos para crear un marco de confianza, ya que su ausencia puede comprometer las operaciones de la EC, resultando, por ejemplo, en la emisión de certificados con información errónea o en la vulnerabilidad de la clave privada de la EC. Este componente consta de tres subcomponentes: 1. Controles de seguridad física. 2. Controles operativos. 3. Controles de seguridad personal. Para cada uno de ellos, deben considerarse separadamente las ECs emisoras, las subordinadas, los repositorios, las unidades de registro y los suscriptores. 5.5.1.- Controles de seguridad física Este subcomponente debe describir los controles físicos sobre las instalaciones donde se encuentren los sistemas de la entidad. Ejemplo: monitoreo, custodia, guarda bajo llave, controles de ingreso utilizando “tokens”, biometría o listas de acceso. Los aspectos a contemplar deben incluir: a) b) c) d) e) f) g) h) i) Ubicación y construcción de las instalaciones Acceso físico. Hardware criptográfico. Energía eléctrica y aire acondicionado. Exposición al agua y la humedad. Prevención y protección contra incendios. Medios de almacenamiento de la información. Disposición de residuos. Sitio alternativo de procesamiento (“off site backup”) 157 5.5.2.-Controles operativos Se deben incluir requerimientos para el reconocimiento de roles confiables, junto con las responsabilidades propias de cada rol. Entre los roles y sus correspondientes funciones, deben definirse los siguientes: Rol a) Responsable de Certificación • • • b) Responsable de Registro • • c) Responsable de Seguridad d) Administrador del sistema e) Auditor de Sistemas • • • • • • • • • Función Ser el depositario de la clave privada del EC Firmar digitalmente los certificados de los suscriptores Firmar digitalmente las LCRs Recibir las solicitudes de nuevos certificados para suscriptores. Verificar los datos de identidad y de competencia del solicitante. Aprobar la emisión del certificado solicitado. Aprobar la revocación de certificados Archivar la información de respaldo o copia . Asignar cuentas y privilegios. Verificar el cumplimiento de las políticas y procedimientos de seguridad Configurar, generar, iniciar y operar el sistema Definir los sistemas a controlar, Controlar la administración de registros de auditoría Conducir las revisiones de auditoría Para cada tarea identificada con un rol, deber definirse la cantidad de individuos necesarios para cumplirla (regla n de m). Asimismo, deben definirse requisitos de identificación y autentificación para cada rol. 5.5.3.- Controles de seguridad personal Este subcomponente debe contener: a) Verificación de antecedentes del personal asignado a roles confiables: El procedimiento debe incluir el nivel de verificación efectuado (información confidencial, no confidencial, secreta, sensible, etc.) y la autoridad que lo certificara. Asimismo, deben incluirse las diversas clases de información a verificar (nombre, lugar y fecha de nacimiento, domicilio actual y anteriores, empleos anteriores con la finalidad de obtener referencias y cualquier otra información que pueda utilizarse para definir la confiabilidad del personal. La descripción también debe indicar la información que ha sido verificada y el procedimiento utilizado. Se conformará un legajo para cada empleado, el cual deberá mantenerse permanentemente actualizado. Se efectuarán controles periódicos sobre el mantenimiento de las condiciones que dieron origen a la contratación. b) Verificación de antecedentes de otro personal. 158 c) d) e) f) Ejemplo: deben exigirse verificaciones sobre el personal asignado a la administración de la red a la que tiene acceso la EC. Requerimientos de capacitación para el personal asignado a cada rol, Sanciones a aplicar al personal por actividades no autorizadas y por uso no autorizado de los sistemas de la entidad, Controles sobre el personal contratado, Documentación a ser entregada al personal (ej.: copias de las PCs y del MPC). 5.6.- Controles de seguridad técnica Este componente es utilizado para definir las medidas de seguridad utilizadas por la EC emisora para proteger sus claves criptográficas y sus datos de activación (por ej.: PINs, passwords, claves compartidas). Asimismo, debe utilizarse para establecer restricciones a las URs, repositorios, ECs subordinadas y suscriptores para proteger sus claves criptográficas y otros parámetros de seguridad. La administración segura de las claves es básica para asegurar que todas las claves públicas y privadas y los datos de activación se encuentren protegidos y utilizados sólo por personal autorizado. Debe destacarse la importancia de un adecuado control de la clave privada de la EC, ya que su ausencia pondrá en peligro la confiabilidad de todo el circuito de emisión de certificados. Asimismo, comprende otros controles de seguridad utilizados por la EC emisora para efectuar en forma segura las funciones de generación de claves, autentificación de usuarios, registro de certificados, revocación de certificados, auditoría y archivo. Incluyen controles de seguridad técnica sobre el ciclo de vida de los sistemas (incluyendo entorno de seguridad sobre el desarrollo del software, metodología confiable de desarrollo del software) y controles de seguridad operativos. Este componente también debe ser utilizado para definir otros controles técnicos en repositorios, ECs subordinadas, autoridades de registro y suscriptores). Posee los siguientes subcomponentes: 1. 2. 3. 4. 5. 6. 7. 8. Generación e instalación del par de claves, Protección de la clave privada, Otros aspectos de la administración de claves, Datos de activación, Controles de seguridad del computador, Controles de seguridad del ciclo de vida del sistema, Controles de seguridad de red, Controles de seguridad de diseño de módulos criptográficos. 159 5.6.1.-Generación e instalación del par de claves Los controles sobre generación e instalación del par de claves deben ser considerados para la EC emisora, repositorios, ECs subordinadas, URs y suscriptores. Para cada una de esas entidades, deben responderse las siguientes preguntas: a) ¿Quién genera el par de claves de la entidad? b) ¿Cómo se provee la clave privada a la entidad en forma segura? c) ¿Cómo se provee la clave pública de la entidad al emisor del certificado en forma segura? d) Si la entidad es una EC (emisora o subordinada), ¿cómo se provee su clave pública a los suscriptores en forma segura? e) ¿Cuál es la longitud de las claves? f) ¿Quién genera los parámetros de la clave pública? g) ¿Se controla la calidad de los parámetros durante la generación de las claves? h) ¿La generación de las claves se efectúa en hardware o en software? i) ¿Para qué fines pueden utilizarse las claves, o bien para qué fines debería restringirse su utilización? 5.6.2.- Protección de la clave privada Los requisitos sobre protección de la clave privada pueden ser considerados para la EC emisora, repositorios, ECs subordinadas, unidades de registro y suscriptores. Para cada una de esas entidades, deben responderse las siguientes preguntas: a) ¿Qué estándares, en caso de sean requeridos, son necesarios para el módulo utilizado para generar las claves? Por ejemplo, las claves se certifican por la infraestructura requerida para ser generada utilizando un módulo con el FIPS 140-1/X9.66? De ser así, ¿cuál es el nivel FIPS 1401/X9.66 requerido? Con relación a la clave privada: a) ¿Se encuentra bajo el control de múltiples personas? (n de m). De ser así, establecer el valor de n y de m. b) ¿Se encuentra en custodia de un tercero? (“key escrow”). En tal caso, ¿quién es la entidad que la custodia, en qué forma (texto plano, encriptada, partida), qué controles de seguridad se establecen sobre el sistema? c) ¿Se efectúa una copia de resguardo de la clave? En tal caso, ¿quién conserva dicha copia, en qué forma se la genera (texto plano, encriptada, partida), qué controles de seguridad se establecen sobre el sistema? d) ¿Se archiva? En tal caso, quién es el responsable de efectuarlo, en qué forma se la archiva (texto plano, encriptada, partida), qué controles de 160 e) f) g) h) seguridad se establecen sobre el sistema? ¿Quién está autorizado a ingresar la clave privada en el módulo criptográfico? En qué forma (texto plano, encriptada, partida), cómo se almacena la clave privada en el módulo (texto plano, encriptada, partida)? ¿Quién está autorizado a activar la clave privada? ¿Qué acciones se desarrollan para activarla (ej.: encendido del equipo, login, ingresar PIN, insertar token/clave, activación automática)? Una vez activada, se mantiene en ese estado por un período indefinido, por una única sesión, por un período definido? ¿Quién está autorizado a desactivar la clave privada? ¿Qué procedimiento utiliza? Ejemplos: “logout”, apagado del equipo, retiro de la clave/token, desactivación automática, expiración del tiempo de sesión. ¿Quién está autorizado a destruir la clave privada? ¿Qué procedimiento utiliza? Ejemplos: entrega del token, destrucción del token, regrabación de la clave. 5.6.3.-Otros aspectos de administración de claves Deben considerarse otros aspectos referidos a la administración de claves para la EC emisora, repositorios, ECs subordinadas, unidades de registro y suscriptores. Para cada uno de dichas entidades deberían contestarse las siguientes preguntas: a) ¿Se archiva la clave pública?. De ser así, quién es el responsable y qué controles de seguridad se establecen sobre el sistema de archivos? Este debería contemplar otros controles de integridad, adicionales a los provistos por la utilización de la firma digital: tener en cuenta que el período de archivo puede ser mayor que el período de validez de la clave y que el archivo requiere protección contra accesos indebidos. b) ¿Cuáles son los períodos de uso, o vida útil, de las claves pública y privada? 5.6.4.-Datos de activación Son aquellos datos, adicionales a las claves, que se requieren para operar módulos criptográficos y que deben ser protegidos (ejemplo, PINs o passphrases). La protección de datos de activación debe ser considerada por la EC emisora, subordinada, autoridades de registro y suscriptores. Debe contemplarse el ciclo de vida completo de los datos de activación desde su generación hasta su archivo y destrucción. Para cada entidad, deben responderse las mismas preguntas que, referidas a las claves, se indicaron en los apartados 5.6.1, 5.6.2 y 5.6.3. 5.6.5.-Controles de seguridad del computador Este subcomponente debe utilizarse para describir controles tales como: utilización del concepto de base computacional confiable, control de acceso discrecional, etiquetas, auditoría, identificación y autentificación, camino 161 confiable, prueba de seguridad, prueba de penetración. 5.6.6.-Controles de seguridad del ciclo de vida del sistema Este subcomponente se refiere a los controles sobre el desarrollo del sistema y sobre la administración de seguridad. Los controles sobre el desarrollo del sistema deben incluir: desarrollo de un entorno seguro, desarrollo de seguridad del personal, configuración de la administración de seguridad durante el mantenimiento del producto, prácticas de ingeniería de software, utilización de técnicas de implementación, servicio de desarrollo de seguridad. Los controles sobre la administración de seguridad deben incluir la ejecución de herramientas y procedimientos para asegurar que los sistemas operativos y redes cumplan con los niveles de seguridad configurados. Estas herramientas y procedimientos incluyen el control de la integridad del software de seguridad, soportes y hardware para asegurar su correcta operación. 5.6.7.-Controles de seguridad de red Este subcomponente debe incluir referencias a los controles sobre la seguridad de la red, incluyendo los firewalls. 5.6.8.-Controles de seguridad de diseño de módulos criptográficos Este subcomponente hace referencia a los siguientes aspectos de un módulo criptográfico: identificación de sus límites, input/output, roles y servicios, seguridad física, software de seguridad, seguridad del sistema operativo, conformidad con algoritmos, compatibilidad electromagnética, autotest. Los requerimientos deben expresarse a través de referencia a un estándar, tal como el US FIPS 140-1/X9.66. La descripción de compatibilidad debe ser detallada. Por ejemplo, para cada requisito de FIPS 140-1/X9.66, describir el nivel y si un laboratorio acreditado lo ha certificado. 5.7.-Perfiles de certificados y de las Listas de Certificados revocados Este componente se utiliza específicamente para especificar el formato del certificado y de la LCR, en caso de utilizarse. Asumiendo la utilización de formatos ITU-T X.509 de certificados y LCRs, debe incluir información sobre perfiles, versiones y extensiones utilizadas. Contiene dos subcomponentes: 1. Perfil del certificado y 162 2. Perfil de la LCR 5.7.1.-Perfil del certificado Este subcomponente debe incluir temas tales como: a) b) c) d) e) f) g) h) i) Número de versión sustentada Extensiones del certificado y su criticidad OIDs de los algoritmos criptográficos Formato de nombres utilizados para la EC, UR y suscriptores Restricciones de nombres utilizados y formatos utilizados en las restricciones OID(s) de la(s) PC(s) aplicable(s) Uso de la extensión de restricciones de política Sintaxis y semántica de los calificadores de política Tratamiento de semántica para la extensión crítica de la PC 5.7.2.-Perfil de la Lista de Certificados Revocados (LCR) Este subcomponente debe incluir: a) Números de versiones sustentadas para las LCRs y b) Extensiones de la LCR y su criticidad. 5.7.3.-Perfil del Protocolo de Estados de Certificados en Línea (OCSP) Este protocolo permite determinar el estado vigente de un certificado digital sin requerir la emisión de una LCR. De ser aplicable, este subcomponente debe incluir los siguientes temas: a) Requisitos para un requerimiento OCSP. b) Requisitos para mensaje de respuesta definitiva. c) Requisitos para mensaje de error. 5.8.-Especificaciones de administración de procedimientos Este componente se utiliza para especificar de qué modo se efectúa el mantenimiento y actualización de los procedimientos. Contiene los siguientes subcomponentes: 1. Procedimientos de cambios. 2. Procedimientos de publicación y notificación. 3. Procedimientos de aprobación. 5.8.1.-Procedimientos de cambios 163 Ocasionalmente, puede ser necesario efectuar modificaciones al MPC o a la PC. Algunos de ellos no reducirán la seguridad material que provee la PC o su implementación, por lo cual el administrador de la PC no modificará la aceptabilidad de los certificados referidos a esa PC para los fines para los que fueron utilizados. Estos cambios no necesitan una modificación en el OID de la PC ni en el indicador del MPC (URL). Otros cambios a una PC o un MPC cambiarán la aceptabilidad de los certificados para propósitos específicos, y dichos cambios requerirán cambios al OID de la PC o al indicador del MPC (URL). Este subcomponente debe contener la siguiente información: a) Una lista de componentes, subcomponentes y otros elementos relacionados que puedan ser cambiados sin notificación previa, sin efectuar cambios al OID de la PC o al indicador del MPC (URL). b) Una lista de componentes, subcomponentes y otros elementos relacionados que puedan modificarse previo período de notificación, sin cambiar el OID de la PC o el indicador del MPC (URL). Deben describirse los procedimientos a ser utilizados para notificar a las partes interesadas (terceros confiados, ECs, etc.) sobre los cambios a la PC y al MPC. La descripción de dichos procedimientos debe incluir los mecanismos de notificación, período de notificación para comentarios, mecanismos para recibir, revisar e incorporar comentarios, mecanismos para efectuar los cambios finales y plazo a partir del cual comenzarán a hacerse efectivos los cambios. c) Una lista de componentes, subcomponentes y/o elementos cuyos cambios requieran una modificación en el OID de la PC o en el indicador del MPC (URL). 5.8.2.-Procedimientos de publicación y notificación Este subcomponente debe contener los siguientes elementos: a) Una lista de componentes, subcomponentes y elementos relacionados existentes, que no se encuentran disponibles públicamente. Ejemplo: una organización puede decidir no publicar algunos de sus controles de seguridad, procedimientos de verificación de antecedentes del personal u otros elementos sensitivos. b) Descripción de los mecanismos utilizados para distribuir las definiciones de la PC y del MPC, incluyendo controles sobre la misma. 5.8.3.-Procedimientos de aprobación Este subcomponente debe describir la metodología para determinar el grado de satisfacción de un MPC con una PC. 164
