sistema nacional de certificaciÓn digital · sistema nacional de certificaciÓn digital sistema...

SIST

EM

A N

AC

ION

AL

DE

CE

RT

IFIC

AC

IÓN

DIG

ITA

L

SISTEMA NACIONAL DE CERTIFICACIÓN DIGITAL

San José, 50 metros Este del Museo Nacional.Apartado Postal: 5589-1000 San José, Costa Rica.

Correo Electrónico: [email protected]

Tel:(506) 2248-1515

Ley de certificados, firmas digitales y documentos electrónicos N° 8454

Reglamento a la ley de certificados, firmas digitales y documentos electrónicos

Política de formatos oficiales de los documentos electrónicos firmados digitalmente

Directrices para las Autoridades de Registro.Características de cumplimiento de Autoridades de Registro (RA) de la jerarquía nacional de certificadores registrados de Costa Rica

Política de sellado de tiempo del SistemaNacional de Certificación Digital

Política de certificados para la jerarquíanacional de certificadores registrados

5

Contenido

Ley de Cer fi cados, Firmas Digitales yDocumentos Electrónicos N° 8454 ........................ 15

Capítulo I Disposiciones generales ....................................................... 17Ar culo 1.– Ámbito de aplicación ................................................................17Ar culo 2.– Principios...................................................................................17Capítulo II Documentos ......................................................................... 18Ar culo 3.– Reconocimiento de la equivalencia funcional ...........................18Ar culo 4.– Califi cación jurídica y fuerza probatoria ....................................18Ar culo 5.– En par cular y excepciones .......................................................18Ar culo 6.– Ges ón y conservación de documentos electrónicos ...............19Ar culo 7.– Sa sfacción de los requisitos fi scales ........................................20

Capítulo III Firmas digitales .................................................................... 21Ar culo 8.– Alcance del concepto ................................................................21Ar culo 9.– Valor equivalente ......................................................................21Ar culo 10.– Presunción de autoría y responsabilidad ................................21

Capítulo IV Cer fi cación digital ............................................................. 22

Sección I. Los cer fi cados .......................................................................22Ar culo 11.– Alcance ....................................................................................22Ar culo 12.– Mecanismos ............................................................................22Ar culo 13.– Homologación de cer fi cados extranjeros .............................23Ar culo 14.– Suspensión de cer fi cados digitales .......................................23Ar culo 15.– Revocación de cer fi cados digitales .......................................24Ar culo 16.– Revocación por el cese de ac vidades del cer fi cador ...........24Ar culo 17.– Conservación de efectos .........................................................25

Sección II. Cer fi cadores ..........................................................................25Ar culo 18.– Defi nición y reconocimiento jurídico ......................................25Ar culo 19.– Requisitos, trámites y funciones .............................................25Ar culo 20.– Corresponsalía ........................................................................25Ar culo 21.– Auditorías ................................................................................26Ar culo 22.– Cesación voluntaria de funciones ...........................................26

Sección III. Administración del Sistema de Cer fi cación...........................26Ar culo 23.– Dirección .................................................................................26

6

Contenido

Ar culo 24.– Funciones ................................................................................26Ar culo 25.– Jefatura ...................................................................................27

Capítulo V Sanciones ........................................................................... 28

Ar culo 26.– Sanciones a cer fi cadores ......................................................28Ar culo 27.– Amonestación .........................................................................28Ar culo 28.– Multa .......................................................................................28Ar culo 29.– Suspensión ..............................................................................29Ar culo 30.– Revocatoria de la inscripción ..................................................30Ar culo 31.– Procedimiento .........................................................................30Ar culo 32.– Publicidad ...............................................................................30

Capítulo VI Disposiciones fi nales y transitorias ..................................... 31

Ar culo 33.– Reglamentación ......................................................................31

Transitorio Único.– .......................................................................................31

Reglamento a la ley de cer fi cados , fi rmasdigitales y documentos electrónicos ..................... 33

CAPÍTULO PRIMERO ............................................................................... 35 Disposiciones generales

Ar culo 1º– Propósito. .................................................................................35Ar culo 2º– Defi niciones. .............................................................................36Ar culo 3º– Aplicación al Estado. .................................................................42Ar culo 4º– Incen vo de los mecanismos de gobierno electrónico. ...........42

CAPÍTULO SEGUNDO .............................................................................. 43Cer fi cados Digitales

Ar culo 5º– Contenido y caracterís cas. .....................................................43Ar culo 6º– Tipos de cer fi cados. ...............................................................43Ar culo 7º– Obligaciones de los usuarios. ...................................................44Ar culo 8°– Plazo de suspensión de cer fi cados. ........................................44Ar culo 9º– Revocación por cese de ac vidades. ........................................44

7

Contenido

CAPÍTULO TERCERO ................................................................................ 45Cer fi cadores

Ar culo 10.– Reconocimiento jurídico. ........................................................45Ar culo 11.– Comprobación de idoneidad técnica y administra va. ...........45Ar culo 12.– Formalidades de la solicitud. ..................................................45Ar culo 13.– Caución. ..................................................................................47Ar culo 14.– Tramite de la solicitud. ............................................................47Ar culo 15.– Oposiciones. ............................................................................48Ar culo 16.– Resolución. ..............................................................................48Ar culo 17.– Silencio posi vo. .....................................................................49Ar culo 18.– Recursos. .................................................................................49Ar culo 19.– Funciones. ...............................................................................49Ar culo 20.– Divulgación de datos. ..............................................................50Ar culo 21.– Corresponsalías. ......................................................................51Ar culo 22.– Actualización permanente de datos. ......................................51

CAPÍTULO CUARTO ................................................................................. 52Dirección de Cer fi cadores de Firma Digital

Ar culo 23.– Responsabilidad. .....................................................................52Ar culo 24.– Funciones. ...............................................................................52Ar culo 25.– Cooperación interins tucional. ...............................................53Ar culo 26.– Jefatura. ..................................................................................53Ar culo 27.– Régimen interior. .....................................................................53Ar culo 28.– Comité Asesor de Polí cas. .....................................................53Ar culo 29.– Funciones del Comité Asesor de Polí cas. ..............................54

CAPÍTULO QUINTO ................................................................................. 56 Sanciones

Ar culo 30.– Aplicación de mecanismos alterna vos de solución de confl ictos. ...........................................................................56Ar culo 31.– Multas. ....................................................................................56Ar culo 32.– Suspensión. .............................................................................56Ar culo 33.– Revocatoria de la inscripción. .................................................56Ar culo 34.– Publicidad de las sanciones. ....................................................56Ar culo 35.– Determinación de responsabilidades adicionales. ..................57Ar culo 36.– Medios de ejecución. ..............................................................57

8

Contenido

CAPÍTULO SEXTO .................................................................................... 57Disposiciones fi nales

Ar culo 37.– Vigencia. ..................................................................................57

ANEXO ÚNICO ..............................................................................................57

Polí ca de cer fi cados para la jerarquíanacional de cer fi cadores registrados ................... 59

1. Introducción ................................................................................ 63

1.1 Resumen ...........................................................................................63

1.2 Nombre e iden fi cación del documento...........................................65

1.3 Par cipantes en la PKI .......................................................................65

1.4 Uso del cer fi cado ............................................................................67

1.5 Administración de la Polí ca .............................................................68

1.6 Defi niciones y acrónimos ..................................................................69

2. Responsabilidades de publicación y del repositorio ..................... 69

2.1 Repositorios ......................................................................................69

2.2 Publicación de información de cer fi cación .....................................69

2.3 Tiempo o frecuencia de publicación .................................................70

2.4 Controles de acceso a los repositorios ..............................................70

3. Iden fi cación y auten cación ...................................................... 70

3.1 Nombres ............................................................................................70

3.2 Validación inicial de iden dad...........................................................76

3.3 Iden fi cación y auten cación para solicitudes de re–emisión de llaves ..........................................................................78

3.4 Iden fi cación y auten cación para solicitudes de revocación ..........78

4. Requerimientos operacionales del ciclo de vida del cer fi cado .... 79

4.1 Solicitud de cer fi cado ......................................................................79

9

Contenido

4.2 Procesamiento de la solicitud de cer fi cado ....................................82

4.3 Emisión de cer fi cado .......................................................................84

4.4 Aceptación de cer fi cado .................................................................85

4.5 Uso del par de llaves y del cer fi cado ...............................................86

4.6 Renovación de cer fi cado .................................................................89

4.7 Re–emisión de llaves de cer fi cado ..................................................90

4.8 Modifi cación de cer fi cados .............................................................91

4.9 Revocación y suspensión de cer fi cado ............................................91

4.10 Servicios de estado de cer fi cado ...................................................101

4.11 Finalización de la suscripción ..........................................................101

4.12 Custodia y recuperación de llave ....................................................101

5. Controles operacionales, de ges ón y de instalaciones ...............102

5.1 Controles sicos ..............................................................................102

5.2 Controles procedimentales .............................................................104

5.3 Controles de personal .....................................................................106

5.4 Procedimientos de bitácora de auditoría ........................................109

5.5 Archivado de registros.....................................................................111

5.6 Cambio de llave ...............................................................................113

5.7 Recuperación de desastre y compromiso .......................................114

5.8 Terminación de una CA o RA ...........................................................116

6. Controles técnicos de seguridad ..................................................117

6.1 Generación e instalación del par de llaves ......................................117

6.2 Controles de ingeniería del módulo criptográfi co y

protección de la llave privada .........................................................122

6.3 Otros aspectos de ges ón del par de llaves ....................................128

6.4 Datos de ac vación .........................................................................129

6.5 Controles de seguridad del computador .........................................130

6.6 Controles técnicos del ciclo de vida ................................................131

10

Contenido

6.7 Controles de seguridad de red ........................................................132

6.8 Sellado de empo (“Time–Stamping”) ...........................................133

7. Perfi les de Cer fi cados, CRL y OCSP ............................................133

7.1 Perfi l del Cer fi cado ........................................................................133

7.2 Perfi l de la CRL.................................................................................138

7.3 Perfi l de OCSP ..................................................................................139

8. Auditoría de cumplimiento y otras evaluaciones .........................140

8.1 Frecuencia o circunstancias de evaluación .....................................141

8.2 Iden dad/calidades del evaluador ..................................................141

8.3 Relación del evaluador con la en dad evaluada .............................141

8.4 Aspectos cubiertos por la evaluación ..............................................142

8.5 Acciones tomadas como resultado de una defi ciencia ...................143

8.6 Comunicación de resultados ...........................................................143

9. Otros asuntos legales y comerciales ............................................143

9.1 Tarifas ..............................................................................................143

9.2 Responsabilidad fi nanciera .............................................................144

9.3 Confi dencialidad de la información comercial ................................144

9.4 Privacidad de información personal ................................................145

9.5 Derechos de propiedad intelectual .................................................146

9.6 Representaciones y garan as ..........................................................146

9.7 Renuncia de garan as .....................................................................148

9.8 Limitaciones de responsabilidad legal .............................................148

9.9 Indemnizaciones .............................................................................148

9.10 Plazo y Finalización ..........................................................................148

9.11 No fi cación individual y comunicaciones con par cipantes ...........149

9.12 Enmiendas .......................................................................................149

9.13 Disposiciones para resolución de disputas ......................................150

9.14 Ley gobernante ...............................................................................150

11

Contenido

9.15 Cumplimiento con la ley aplicable ..................................................150

9.16 Disposiciones varias ........................................................................150

9.17 Otras disposiciones .........................................................................151

10. Anexo A: Defi niciones y acrónimos .............................................151

10.1 Defi niciones .....................................................................................151

10.2 Abreviaturas: ...................................................................................156

11. Anexo B: Documentos de referencia ...........................................158

Polí ca de formatos ofi ciales de los documentoselectrónicos fi rmados digitalmente ..................... 159

1. Introducción ....................................................................................163

1.1 Administración de la Polí ca ...........................................................163

1.1.1 Organización que administra el documento ...................................163

1.1.2 Persona de contacto ........................................................................163

2. Resumen ..........................................................................................164

3. Defi niciones, conceptos generales y abreviaturas .............................164

3.1 Defi niciones y conceptos generales ......................................................164

3.2 Abreviaturas ..........................................................................................165

4. Polí ca de Formatos Ofi ciales de los Documentos

Electrónicos Firmados Digitalmente .................................................166

4.1 Resumen ...............................................................................................166

4.2 Iden fi cación ........................................................................................166

4.3 Comunidad de usuarios y aplicabilidad ................................................167

4.4 Cumplimiento .......................................................................................167

4.5 Vigencia ................................................................................................167

5. Especifi cación de los Formatos Ofi ciales ...........................................168

5.1 Uso de Formatos Avanzados .................................................................168

12

Contenido

5.2 Responsabilidades ................................................................................170

5.2.1 Firma digital del documento electrónico ........................................170

5.2.2 Verifi cación de la validez de la fi rma digital en el documento

electrónico ............................................................................................171

5.2.3 Consideraciones adicionales para la inclusión de los atributos ......172

Directrices para las Autoridades de Registro.Caracterís cas de cumplimiento de Autoridadesde Registro (RA) de la jerarquía nacional de cer fi cadores registrados de Costa Rica .............. 173

1. Disposiciones Generales ..................................................................177

1.1 Administración del documento .......................................................179

1.1.1 Organización que administra el documento ...................................179

1.1.2 Persona de contacto ........................................................................180

2. Controles del Personal .....................................................................180

2.1 Disposiciones generales ........................................................................180

2.2 Requerimientos de documentación del Agente de Registro ................180

2.3 Requerimientos Capacitación ...............................................................181

2.4 Procedimiento de suspensión o desvinculación ...................................182

3. Controles sicos ...............................................................................182

3.1 Exigencias mínimas de seguridad sica ................................................182

3.2 Procedimientos de monitoreo ..............................................................183

4. Controles lógicos ..............................................................................183

4.1 Controles de seguridad de las estaciones de trabajo ...........................183

4.2 Controles de la aplicación de la RA .......................................................184

5. Controles de seguridad de la RED .....................................................186

6. Controles de seguridad de la información.........................................186

13

Contenido

6.1 Directrices generales ............................................................................186

6.2 Procedimientos de almacenamiento, manipulación y

destrucción de documentos .................................................................187

7. Controles del ciclo de vida del cer fi cado .........................................187

8. Acuerdos operacionales ...................................................................187

Polí ca de sellado de empo del SistemaNacional de Cer fi cación Digital ......................... 189

1. Introducción .....................................................................................193

1.1 Administración de la Polí ca.................................................................194

2. Resumen ..........................................................................................194

3. Defi niciones y abreviaturas ..............................................................194

3.1 Defi niciones ..........................................................................................194

3.2 Abreviaturas ..........................................................................................196

4. Conceptos Generales ........................................................................196

4.1 Servicios de Sellado de Tiempo (TSS) ...................................................196

4.2 Autoridad de Sellado de Tiempo (TSA) .................................................196

4.3 Suscriptores ..........................................................................................199

4.4 Polí ca de Sellado de Tiempo y la Declaración de

prác cas de la TSA ................................................................................199

5. Polí cas de Sellado de Tiempo .........................................................199

5.1 Resumen ...............................................................................................199

5.2 Iden fi cación ........................................................................................199

5.3 Comunidad de usuarios y aplicabilidad ................................................110

5.4 Cumplimiento .......................................................................................110

6. Obligaciones y responsabilidades. ....................................................110

6.1 Obligaciones de la TSA ..........................................................................110

14

Contenido

6.2 Obligaciones del suscriptor ...................................................................202

6.3 Obligaciones de partes que con an ......................................................202

6.4 Responsabilidades ................................................................................202

7. Requerimientos en prác cas de la TSA .............................................203

7.1 Prác cas y declaraciones de divulgación ..............................................203

7.2 Ges ón del Ciclo de vida de las llaves ...................................................203

7.3 Sellado de empo .................................................................................205

7.4 Ges ón de la TSA y operaciones ...........................................................206

7.5 Organización .........................................................................................210

Ley de cer fi cados, fi rmas digitales y documentos electrónicos N° 8454

17

Publicada el 13 de octubre del año 2005, en La Gaceta 197

8454

ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE COSTA RICA

DECRETA:

LEY DE CERTIFICADOS, FIRMAS DIGITALES Y

DOCUMENTOS ELECTRÓNICOS

CAPÍTULO I DISPOSICIONES GENERALES

ARTÍCULO 1.– Ámbito de aplicación

Esta Ley se aplicará a toda clase de transacciones y actos jurídicos, públicos o privados, salvo disposición legal en contrario, o que la natu-raleza o los requisitos par culares del acto o negocio concretos resulten incompa bles.

El Estado y todas las en dades públicas quedan expresamente facul-tados para u lizar los cer fi cados, las fi rmas digitales y los documentos electrónicos, dentro de sus respec vos ámbitos de competencia.

ARTÍCULO 2.– Principios

En materia de cer fi cados, fi rmas digitales y documentos electróni-cos, la implementación, interpretación y aplicación de esta Ley deberán observar los siguientes principios:

a) Regulación legal mínima y desregulación de trámites.b) Autonomía de la voluntad de los par culares para reglar sus re-

laciones.c) U lización, con las limitaciones legales, de reglamentos autóno-

mos por la Administración Pública para desarrollar la organiza-ción y el servicio, interno o externo.

d) Igualdad de tratamiento para las tecnologías de generación, pro-ceso o almacenamiento involucradas.


18

CAPÍTULO II DOCUMENTOS

ARTÍCULO 3.– Reconocimiento de la equivalencia funcional

Cualquier manifestación con carácter representa vo o declara vo, expresada o transmi da por un medio electrónico o informá co, se ten-drá por jurídicamente equivalente a los documentos que se otorguen, residan o transmitan por medios sicos.

En cualquier norma del ordenamiento jurídico en la que se haga re-ferencia a un documento o comunicación, se entenderán de igual ma-nera tanto los electrónicos como los sicos. No obstante, el empleo del soporte electrónico para un documento determinado no dispensa, en ningún caso, el cumplimiento de los requisitos y las formalidades que la ley exija para cada acto o negocio jurídico en par cular.

ARTÍCULO 4.– Califi cación jurídica y fuerza probatoria

Los documentos electrónicos se califi carán como públicos o priva-dos, y se les reconocerá fuerza probatoria en las mismas condiciones que a los documentos sicos.

ARTÍCULO 5.– En par cular y excepciones

En par cular y sin que conlleve la exclusión de otros actos, contratos o negocios jurídicos, la u lización de documentos electrónicos es válida para lo siguiente:

a) La formación, formalización y ejecución de los contratos.

b) El señalamiento para no fi caciones conforme a la Ley de no fi -caciones, citaciones y otras comunicaciones judiciales.

c) La tramitación, ges ón y conservación de expedientes judiciales y administra vos; asimismo, la recepción, prác ca y conservación de prueba, incluida la recibida por archivos y medios electróni-cos. De igual manera, los órganos jurisdiccionales que requieran la actualización de cer fi caciones y, en general, de otras piezas, podrán proceder sobre simples impresiones de los documentos en línea efectuadas por el despacho o aceptar las impresiones de dichos documentos en línea, aportadas por la parte interesada y cer fi cadas notarialmente.


19

d) La emisión de cer fi caciones, constancias y otros documentos.

e) La presentación, tramitación e inscripción de documentos en el Registro Nacional.

f) La ges ón, conservación y u lización, en general, de protocolos notariales, incluso la manifestación del consen miento y la fi rma de las partes.

No se podrán consignar en documentos electrónicos:

a) Los actos o negocios en los que, por mandato legal, la fi jación sica resulte consustancial.

b) Las disposiciones por causa de muerte.

c) Los actos y convenios rela vos al Derecho de familia.

d) Los actos personalísimos en general.

ARTÍCULO 6.– Ges ón y conservación de documentos electrónicos

Cuando legalmente se requiera que un documento sea conservado para futura referencia, se podrá optar por hacerlo en soporte electróni-co, siempre que se apliquen las medidas de seguridad necesarias para garan zar su inalterabilidad, se posibilite su acceso o consulta posterior y se preserve, además, la información rela va a su origen y otras carac-terís cas básicas.

La transición o migración a soporte electrónico, cuando se trate de registros, archivos o respaldos que por ley deban ser conservados, de-berá contar, previamente, con la autorización de la autoridad compe-tente.

En lo rela vo al Estado y sus ins tuciones, se aplicará la Ley del Sistema Nacional de Archivos, N.° 7202, de 24 de octubre de 1990. La Dirección General del Archivo Nacional dictará las regulaciones necesa-rias para asegurar la ges ón debida y conservación de los documentos, mensajes o archivos electrónicos.


20

ARTÍCULO 7.– Sa sfacción de los requisitos fi scales

Cuando la emisión de un acto o la celebración de un negocio jurídico en soporte electrónico conlleve el pago de requisitos fi scales, el obli-gado al pago deberá conservar el comprobante respec vo y exhibirlo cuando una autoridad competente lo requiera.


21

CAPÍTULO III FIRMAS DIGITALES

ARTÍCULO 8.– Alcance del concepto

En éndese por fi rma digital cualquier conjunto de datos adjunto o lógicamente asociado a un documento electrónico, que permita verifi -car su integridad, así como iden fi car en forma unívoca y vincular jurídi-camente al autor con el documento electrónico.

Una fi rma digital se considerará cer fi cada cuando sea emi da al amparo de un cer fi cado digital vigente, expedido por un cer fi cador registrado.

ARTÍCULO 9.– Valor equivalente

Los documentos y las comunicaciones suscritos mediante fi rma di-gital, tendrán el mismo valor y la efi cacia probatoria de su equivalen-te fi rmado en manuscrito. En cualquier norma jurídica que se exija la presencia de una fi rma, se reconocerá de igual manera tanto la digital como la manuscrita.

Los documentos públicos electrónicos deberán llevar la fi rma digital cer fi cada.

ARTÍCULO 10.– Presunción de autoría y responsabilidad

Todo documento, mensaje electrónico o archivo digital asociado a una fi rma digital cer fi cada se presumirá, salvo prueba en contrario, de la autoría y responsabilidad del tular del correspondiente cer fi cado digital, vigente en el momento de su emisión.

No obstante, esta presunción no dispensa el cumplimiento de las formalidades adicionales de auten cación, cer fi cación o registro que, desde el punto de vista jurídico, exija la ley para un acto o negocio de-terminado.


22

CAPÍTULO IV CERTIFICACIÓN DIGITAL

Sección ILos cer fi cados

ARTÍCULO 11.– Alcance

En éndese por cer fi cado digital el mecanismo electrónico o digital mediante el que se pueda garan zar, confi rmar o validar técnicamente:

a) La vinculación jurídica entre un documento, una fi rma digital y una persona.

b) La integridad, auten cidad y no alteración en general del docu-mento, así como la fi rma digital asociada.

c) La auten cación o cer fi cación del documento y la fi rma digital asociada, únicamente en el supuesto del ejercicio de potestades públicas cer fi cadoras.

d) Las demás que establezca esta Ley y su Reglamento.

ARTÍCULO 12.– Mecanismos

Con las limitaciones de este capítulo, el Estado, las ins tuciones pú-blicas y las empresas públicas y privadas, las personas jurídicas y los par- culares, en general, en sus diversas relaciones, estarán facultados para

establecer los mecanismos de cer fi cación o validación que convengan a sus intereses.

Para tales efectos podrán:

a) U lizar mecanismos de cer fi cación o validación máquina a má-quina, persona a persona, programa a programa y sus interre-laciones, incluso sistemas de llave pública y llave privada, fi rma digital y otros mecanismos digitales que ofrezcan una óp ma seguridad.

b) Establecer mecanismos de adscripción voluntaria para la emi-sión, la percepción y el intercambio de documentos electrónicos y fi rmas asociadas, en función de las competencias, los intereses y el giro comercial.


23

c) De consuno, ins tuir mecanismos de cer fi cación para la emi-sión, la recepción y el intercambio de documentos electrónicos y fi rmas asociadas, para relaciones jurídicas concretas.

d) Instaurar, en el caso de dependencias públicas, sistemas de cer -fi cación por intermedio de par culares, quienes deberán cumplir los trámites de la Ley de contratación administra va.

e) Fungir como un cer fi cador respecto de sus despachos y funcio-narios, o de otras dependencias públicas, en el caso del Estado y las demás ins tuciones públicas.

f) Ofrecer, en el caso de las empresas públicas cuyo giro lo admita, servicios comerciales de cer fi cación en condiciones de igualdad con las empresas de carácter privado.

g) Implantar mecanismos de cer fi cación para la tramitación, ges- ón y conservación de expedientes judiciales y administra vos.

ARTÍCULO 13.– Homologación de cer fi cados extranjeros

Se conferirá pleno valor y efi cacia jurídica a un cer fi cado digital emi do en el extranjero, en cualesquiera de los siguientes casos:

a) Cuando esté respaldado por un cer fi cador registrado en el país, en virtud de exis r una relación de corresponsalía en los térmi-nos del ar culo 20 de esta Ley.

b) Cuando cumpla todos los requisitos enunciados en el ar culo 19 de esta Ley y exista un acuerdo recíproco en este sen do entre Costa Rica y el país de origen del cer fi cador extranjero.

ARTÍCULO 14.– Suspensión de cer fi cados digitales

Se podrá suspender un cer fi cado digital en los siguientes casos:

a) Por pe ción del propio usuario a favor de quien se expidió.

b) Como medida cautelar, cuando el cer fi cador que lo emi ó tenga sospechas fundadas de que el propio usuario haya comprome -do su confi abilidad, desatendido los lineamientos de seguridad establecidos, suplido información falsa al cer fi cador u omi do cualquier otra información relevante, para obtener o renovar el


24

cer fi cado. En este caso, la suspensión podrá ser recurrida ante la Dirección de Cer fi cadores de Firma Digital regulada en la si-guiente sección, con aplicación de lo dispuesto en el ar culo 148 de la Ley General de la Administración Pública.

c) Si contra el usuario se ha dictado auto de apertura a juicio, por delitos en cuya comisión se haya u lizado la fi rma digital.

d) Por orden judicial o de la Dirección de Cer fi cadores de Firma Digital. En este úl mo caso, cuando esta lo determine o cuan-do el Ente Costarricense de Acreditación (ECA) acredite que el usuario incumple las obligaciones que le imponen esta Ley y su Reglamento.

e) Por no cancelar oportunamente el costo del servicio.

ARTÍCULO 15.– Revocación de cer fi cados digitales

El cer fi cado digital será revocado en los siguientes supuestos:

a) A pe ción del usuario, en favor de quien se expidió.

b) Cuando se confi rme que el usuario ha comprome do su confi a-bilidad, desatendido los lineamientos de seguridad establecidos, suplido información falsa al cer fi cador u omi do otra informa-ción relevante, con el propósito de obtener o renovar el cer fi -cado.

c) Por fallecimiento, ausencia legalmente declarada, interdicción o insolvencia del usuario persona sica, o por cese de ac vidades, quiebra o liquidación, en el caso de las personas jurídicas.

d) Por orden de la autoridad judicial o cuando recaiga condena fi r-me contra el usuario, por delitos en cuya comisión se haya u li-zado la fi rma digital.

ARTÍCULO 16.– Revocación por el cese de ac vidades del cer fi cador

El cese de ac vidades del cer fi cador implicará la revocatoria de to-dos los cer fi cados que haya expedido, salvo que anteriormente hayan sido traspasados a otro cer fi cador, previo consen miento del usuario.


25

ARTÍCULO 17.– Conservación de efectos

La suspensión o revocación de un cer fi cado digital no producirá, por sí sola, la invalidez de los actos o negocios realizados con anteriori-dad al amparo de dicho cer fi cado.

Sección II Cer fi cadores

ARTÍCULO 18.– Defi nición y reconocimiento jurídico

Se entenderá como cer fi cador la persona jurídica pública o priva-da, nacional o extranjera, que emite cer fi cados digitales y está debi-damente autorizada según esta Ley o su Reglamento; asimismo, que haya rendido la debida garan a de fi delidad. El monto de la garan a será fi jado por la Dirección de Cer fi cadores de Firma Digital y podrá ser hipoteca, fi anza o póliza de fi delidad de un ente asegurador, o bien, un depósito en efec vo.

Sin perjuicio de lo dispuesto en los ar culos 3, 9 y 19 de esta Ley, los cer fi cados digitales expedidos por cer fi cadores registrados ante la Dirección de Cer fi cadores de Firma Digital, solo tendrán pleno efecto legal frente a terceros, así como respecto del Estado y sus ins tuciones.

ARTÍCULO 19.– Requisitos, trámites y funciones

La Dirección de Cer fi cadores de Firma Digital será la encargada de establecer, vía reglamento, todos los requisitos, el trámite y las funcio-nes de las personas que soliciten su registro ante esta Dirección; para ello, el ECA, a solicitud del Ministerio de Ciencia y Tecnología, deberá fi jar los requerimientos técnicos para el estudio, de acuerdo con la Ley N.º 8279, de 2 de mayo de 2002, y las prác cas y los estándares interna-cionales.

ARTÍCULO 20.– Corresponsalía

Los cer fi cadores registrados podrán concertar relaciones de co-rresponsalía con en dades similares del extranjero, para efectos de ho-mologar los cer fi cados digitales expedidos por estas en dades o que estas hagan lo propio en el exterior con los emi dos por los cer fi cado-res registrados.


26

Se deberá informar a la Dirección de Cer fi cadores de Firma Digital, acerca del establecimiento de relaciones de esta clase, de previo a ofre-cer ese servicio al público.

ARTÍCULO 21.– Auditorías

Todo cer fi cador registrado estará sujeto a los procedimientos de evaluación y auditoría que acuerde efectuar la Dirección de Cer fi cado-res de Firma Digital o el ECA.

ARTÍCULO 22.– Cesación voluntaria de funciones

Los cer fi cadores registrados de carácter privado podrán cesar en sus funciones, siempre y cuando avisen, a los usuarios, con un mes de an cipación como mínimo, y con dos meses a la Dirección de Cer fi ca-dores de Firma Digital.

Sección IIIAdministración del Sistema de Cer fi cación

ARTÍCULO 23.– Dirección

La Dirección de Cer fi cadores de Firma Digital, perteneciente al Mi-nisterio de Ciencia y Tecnología, será el órgano administrador y supervi-sor del Sistema de Cer fi cación.

ARTÍCULO 24.– Funciones

La Dirección de Cer fi cadores de Firma Digital tendrá las siguientes fun-ciones:

a) Recibir, tramitar y resolver las solicitudes de inscripción de los cer fi cadores.

b) Llevar un registro de los cer fi cadores y cer fi cados digitales. c) Suspender o revocar la inscripción de los cer fi cadores y de cer- fi cados, así como ejercer el régimen disciplinario en los casos y

en la forma previstos en esta Ley y su Reglamento.

d) Expedir claves y cer fi cados a favor de los cer fi cadores registra-dos, y mantener el correspondiente repositorio de acceso públi-co, con las caracterís cas técnicas que indique el Reglamento.


27

e) Fiscalizar el funcionamiento de los cer fi cadores registrados, para asegurar su confi abilidad, efi ciencia y el cabal cumplimien-to de la norma va aplicable, imponiendo, en caso necesario, las sanciones previstas en esta Ley. La supervisión podrá ser ejercida por medio del ECA, en el ámbito de su competencia.

f) Mantener una página electrónica en la red Internet, a fi n de di-vulgar, permanentemente, información rela va a las ac vidades de la Dirección de Cer fi cadores de Firma Digital y el registro correspondiente de cer fi cadores.

g) Señalar las medidas que es me necesarias para proteger los derechos, los intereses y la confi dencialidad de los usuarios, así como la con nuidad y efi ciencia del servicio, y velar por la ejecu-ción de tales disposiciones.

h) Dictar el Reglamento respec vo para el registro de cer fi cado-res.

i) Las demás funciones que esta Ley o su Reglamento le señalen.

ARTÍCULO 25.– Jefatura

El superior administra vo de la Dirección de Cer fi cadores de Firma Digital será el director, quien será nombrado por el ministro de Ciencia y Tecnología y será un funcionario de confi anza, de conformidad con el inciso g) del ar culo 4, del Estatuto de Servicio Civil. El director deberá declarar sus bienes oportunamente, de acuerdo con la Ley contra el en-riquecimiento ilícito de los servidores públicos.


28

CAPÍTULO V SANCIONES

ARTÍCULO 26.– Sanciones a cer fi cadores

Previa oportunidad de defensa, la Dirección de Cer fi cadores de Fir-ma Digital podrá imponerles, a los cer fi cadores, las siguientes sancio-nes:

a) Amonestación.

b) Multa hasta por el equivalente a cien salarios base; para la deno-minación salario base se considerará lo indicado en el ar culo 2 de la Ley N.º 7337, de 5 de mayo de 1993.

c) Suspensión hasta por un año.

d) Revocatoria de la inscripción.

El cer fi cador a quien se le haya revocado su inscripción, no podrá volver a registrarse durante los siguientes cinco años, ya sea como tal o por medio de otra persona jurídica en la que fi guren las mismas perso-nas como representantes legales, propietarias o dueñas de más de un vein cinco por ciento (25%) del capital.

ARTÍCULO 27.– Amonestación

Se aplicará la amonestación, a los cer fi cadores, en los siguientes casos:

a) Por la emisión de cer fi cados digitales que no incluyan la totali-dad de los datos requeridos por esta Ley o su Reglamento, cuan-do la infracción no requiera una sanción mayor.

b) Por no suministrar a empo los datos requeridos por la Dirección de Cer fi cadores de Firma Digital, en ejercicio de sus funciones.

c) Por cualquier otra infracción a la presente Ley que no tenga pre-vista una sanción mayor.

ARTÍCULO 28.– Multa

Se aplicará la multa, a los cer fi cadores, en los siguientes casos:


29

a) Cuando se emita un cer fi cado y no se observen las polí cas de seguridad o de cer fi cación previamente divulgadas, de modo que cause perjuicio a los usuarios o a terceros.

b) Cuando no se suspenda o revoque, oportunamente, un cer fi ca-do, estando obligados a hacerlo.

c) Por cualquier impedimento u obstrucción a las inspecciones o auditorías por parte de la Dirección de Cer fi cadores de Firma Digital o del ECA.

d) Por el incumplimiento de los lineamientos técnicos o de seguri-dad impar dos por la Dirección de Cer fi cadores de Firma Digi-tal.

e) Por la reincidencia en la comisión de infracciones, que hayan dado lugar a la sanción de amonestación, dentro de los dos años siguientes.

ARTÍCULO 29.– Suspensión

Se suspenderá al cer fi cador que:

a) No renueve oportunamente la caución que respalde su funciona-miento o la rinda en forma indebida.

b) Reincida en cualesquiera de las infracciones que le hayan mere-cido una sanción de multa, dentro de los siguientes dos años.

ARTÍCULO 30.– Revocatoria de la inscripción

Se podrá revocar la inscripción de un cer fi cador cuando:

a) Se compruebe la expedición de cer fi cados falsos.

b) Se compruebe que el cer fi cador suministró información o pre-sentó documentos falsos, con el fi n de obtener el registro.

c) Reincida en cualesquiera de las infracciones que le hayan me-recido una sanción de suspensión, dentro de los cinco años si-guientes.


30

ARTÍCULO 31.– Procedimiento

Todas las sanciones serán impuestas mediante el procedimiento ad-ministra vo ordinario, previsto en la Ley General de la Administración Pública, salvo en el caso de amonestación, en que podrá aplicarse el procedimiento sumario.

ARTÍCULO 32.– Publicidad

Excepto el caso de amonestación, todas las sanciones administra- vas impuestas serán publicadas por medio de reseña o transcripción

íntegra en La Gaceta, sin perjuicio de que, en atención al caso concreto, se disponga, además, publicarlas en uno o más medios de circulación o difusión nacional.

Asimismo, la Dirección de Cer fi cadores de Firma Digital dispondrá la publicación electrónica en su página de información en Internet.


31

CAPÍTULO VIDISPOSICIONES FINALES Y TRANSITORIAS

ARTÍCULO 33.– Reglamentación

El Poder Ejecu vo reglamentará esta Ley dentro de los seis meses siguientes a su publicación.

Además, para el trámite efi ciente de sus asuntos, cada dependencia pública podrá adoptar las medidas par culares de aplicación de esta Ley de acuerdo con sus necesidades.

TRANSITORIO ÚNICO.–

Los rubros presupuestarios requeridos para que la Dirección de Cer fi cadores de Firma Digital entre en funcionamiento, deberán ser incluidos por el Ministerio de Hacienda, a propuesta del Ministerio de Ciencia y Tecnología, en el primer presupuesto remi do a la Asamblea Legisla va, después de promulgada esta Ley.

Rige a par r de su publicación.

Asamblea Legisla va.–San José, a los vein trés días del mes de agos-to de dos mil cinco.

COMUNÍCASE AL PODER EJECUTIVO

Gerardo González Esquivel PRESIDENTE

Daysi Serrano Vargas Luis Paulino Rodríguez Mena PRIMERA SECRETARIA SEGUNDO SECRETARIO

daa.–

Dado en la Presidencia de la República, San José, a los treinta días del mes de agosto del dos mil cinco.

Ejecútese y publíquese.

ABEL PACHECO DE LA ESPRIELLA

FERNANDO GUTIÉRREZ ORTIZMinistro de Ciencia y Tecnología

Reglamento a la ley de cer fi cados, fi rmas digitales y documentos electrónicos

35

Nº 33018

EL PRESIDENTE DE LA REPÚBLICA

Y EL MINISTRO DE CIENCIA Y TECNOLOGÍA

Con fundamento en lo dispuesto en los ar culos 140, incisos 3) y 18) y 146 de la Cons tución Polí ca; y el ar culo 33 de la Ley de Cer -fi cados, Firmas Digitales y Documentos Electrónicos, Nº 8454 del 30 de agosto del 2005.

Considerando:

1º– Que la sociedad de la información y del conocimiento se debe construir sobre la base de la confi anza de los ciudadanos y sobre la ga-ran a de la u lización de las tecnologías de la información y las comuni-caciones en un doble plano: la protección y confi dencialidad de los da-tos de carácter personal y la seguridad de las transacciones electrónicas.

2º– Que la Ley Nº 8454, Ley de Cer fi cados, Firmas Digitales y Documentos Electrónicos, establece el marco jurídico general para la u lización transparente, confi able y segura en nuestro medio de los documentos electrónicos y la fi rma digital en las en dades públicas y privadas.

3º– Que el ar culo 33 de dicha ley establece que el Poder Ejecu vo deberá reglamentarla ley en un plazo de 6 meses, regulación que debe servir para garan zar la disponibilidad de los sistemas e infraestructuras telemá cas, la seguridad y auten cidad de las transacciones, así como la confi dencialidad e integridad de la información. Por tanto,

DECRETAN:

Reglamento a la Ley de Cer fi cados, FirmasDigitales y Documentos Electrónicos

CAPÍTULO PRIMERO

Disposiciones generales

Ar culo 1º– Propósito. El presente texto servirá para reglamentar y dar cumplida ejecución a la Ley de Cer fi cados, Firmas Digitales y Do-cumentos Electrónicos, número 8454 del 30 de agosto del 2005. Tendrá

Reglamento a la ley de cer fi cados,fi rmas digitales y documentos electrónicos

36

el carácter y la jerarquía de reglamento general, en los términos del ar- culo 6.1.d) de la Ley General de la Administración Pública, frente a los

demás reglamentos par culares o autónomos en la materia.

Ar culo 2º– Defi niciones. Para los efectos del presente Reglamen-to, se entenderá por:

1) AUTENTICACIÓN: Verifi cación de la iden dad de un individuo.

a. En el proceso de registro, es el acto de evaluar las cre-denciales de la en dad fi nal (por ejemplo, un suscriptor) como evidencia de que realmente es quien dice ser.

b. Durante el uso, es el acto de comparar electrónicamen-te las credenciales y la iden dad enviada (Ej., código de usuario y contraseña, cer fi cado digital, etc.) con valores previamente almacenados para comprobar la iden dad.

2) AUTENTICACIÓN MUTUA: Proceso mediante el cual dos en da-des verifi can su iden dad en forma recíproca.

3) AUTENTICIDAD: La veracidad, técnicamente constatable, de la iden dad del autor de un documento o comunicación. La au-ten cidad técnica no excluye el cumplimiento de los requisitos de auten cación o cer fi cación que desde el punto de vista ju-rídico exija la ley para determinados actos o negocios.

4) AUTORIDAD DE REGISTRO (AR): En dad delegada por el cer- fi cador registrado para la verifi cación de la iden dad de los

solicitantes y otras funciones dentro del proceso de expedición y manejo de cer fi cados digitales. Representa el punto de con-tacto entre el usuario y el cer fi cador registrado.

5) BITÁCORAS DE AUDITORIA: Registro cronológico de las ac vi-dades del sistema, que son sufi cientes para habilitar la recons-trucción, revisión, y la inspección de la secuencia del entorno y las ac vidades secundarias o primarias para cada evento en la ruta de una transacción desde su inicio hasta la salida del resultado fi nal.


37

6) CERTIFICACIÓN: Proceso de creación de un cer fi cado de llave pública para un suscriptor.

7) CERTIFICADO DIGITAL: Una estructura de datos creada y fi rma-da digitalmente por un cer fi cador, del modo y con las caracte-rís cas que señalan este Reglamento, la Norma INTE /ISO 21188 versión vigente y las polí cas que al efecto emita la DCFD, cuyo propósito primordial es posibilitar a sus suscriptores la crea-ción de fi rmas digitales, así como la iden fi cación personal en transacciones electrónicas. Sin perjuicio del concepto anterior, la DCFD podrá autorizar a los cer fi cadores registrados la gene-ración de cer fi cados con propósitos diferentes o adicionales a los indicados.

(Así reformado el inciso anterior por el ar culo 1° del decreto ejecu vo N° 34890 del 27 de octubre de 2008)

8) CERTIFICADO SUSPENDIDO: Cesación temporal o interrupción de la validez de un cer fi cado.

9) CERTIFICADO VÁLIDO: Se refi ere a aquel cer fi cado que se en-cuentra ac vo, que ha sido emi do por un cer fi cador registra-do.

10) CERTIFICADOR: La persona jurídica pública o privada, nacional o extranjera, prestadora del servicio de creación, emisión y operación de cer fi cados digitales.

11) CERTIFICADOR RAÍZ: El nodo superior autocer fi cante de la je-rarquía nacional de cer fi cadores registrados.

12) CERTIFICADOR REGISTRADO: El cer fi cador inscrito y autoriza-do por la Dirección de Cer fi cadores de Firma Digital.

13) CERTIFICADOR PADRE: Cer fi cador registrado que se encuen-tra en la posición inmediata superior con respecto a otro cer -fi cador registrado, en la jerarquía de cer fi cadores.


38

14) CERTIFICADOR SUBORDINADO: Cer fi cador registrado que se encuentra en la posición inmediata inferior con respecto a otro cer fi cador registrado, en la jerarquía de cer fi cadores.

15) COMPROMISO: Violación de la seguridad de un sistema, por haber ocurrido una divulgación no autorizada de información sensible.

16) CONTROL MÚLTIPLE: Condición mediante la cual dos o más partes, separada y confi dencialmente, enen la custodia de los componentes de una llave par cular, pero que individualmente no enen conocimiento de la llave resultante.

17) DATOS DE ACTIVACIÓN: Valores de datos (que no son las lla-ves), que son requeridos para operar los módulos criptográfi -cos y que necesitan ser protegidos (ejemplo: PINs, frase clave, biométricos o llaves distribuidas manualmente).

18) DECLARACIÓN DE LAS PRÁCTICAS DE CERTIFICACIÓN (DPC): Declaración de las prác cas que u liza el cer fi cador para la emisión de los cer fi cados (defi ne el equipo, las polí cas y los procedimientos que el cer fi cador u liza para sa sfacer los re-querimientos especifi cados en las polí cas del cer fi cado que son soportados por él).

19) DIRECCIÓN DE CERTIFICADORES DE FIRMA DIGITAL (DCFD): Dependencia del Ministerio de Ciencia y Tecnología, encargada de la administración y supervisión del sistema de cer fi cación digital.

20) DISPOSITIVO O MODULO SEGURO DE CREACION DE FIRMAS (MSCF): Disposi vo que resguarda las claves y el cer fi cado de un suscriptor, u lizado para generar su fi rma digital y que, al menos, garan za:

a. Que los datos u lizados para la generación de la fi rma solo pueden producirse una vez en la prác ca y se garan- za razonablemente su confi dencialidad;


39

b. Que existe una expecta va razonable de que los datos u lizados para la generación de la fi rma no pueden ser descubiertos por deducción y la fi rma está protegida con-tra falsifi cación por medio de la tecnología disponible a la fecha, siendo posible detectar cualquier alteración poste-rior; y,

c. Que los datos empleados en la generación de la fi rma pueden ser protegidos de modo fi able por el fi rmante le-gí mo, contra su u lización por cualesquiera terceros.

21) DOCUMENTO ELECTRÓNICO: Cualquier manifestación con ca-rácter representa vo o declara vo, expresada o transmi da por un medio electrónico o informá co.

22) ENTE COSTARRICENSE DE ACREDITACIÓN (ECA): La dependen-cia pública a que se refi ere la “Ley del Sistema Nacional para la Calidad”, número 8279 de 2 de mayo del 2002.

23) ENTIDAD FINAL: Suscriptor del cer fi cado.

24) FIRMA DIGITAL: Conjunto de datos adjunto o lógicamente aso-ciado a un documento electrónico, que permita verifi car su in-tegridad, así como iden fi car en forma unívoca y vincular jurí-dicamente al autor con el documento.

25) FIRMA DIGITAL CERTIFICADA: Una fi rma digital que haya sido emi da al amparo de un cer fi cado digital válido y vigente, ex-pedido por un cer fi cador registrado.

26) INFRAESTRUCTURA DE LLAVE PÚBLICA (PKI por sus siglas en inglés): Se refi ere a una estructura de hardware, so ware, per-sonas, procesos y polí cas que emplean tecnología de fi rma digital para proveer una asociación verifi cable entre una llave pública y un suscriptor específi co que posee la llave privada co-rrespondiente.

27) INTEGRIDAD: Propiedad de un documento electrónico que de-nota que su contenido y caracterís cas de iden fi cación han


40

permanecido inalterables desde el momento de su emisión, o bien que –habiendo sido alterados posteriormente– lo fueron con el consen miento de todas las partes legi madas.

28) LEY: La Ley de Cer fi cados, Firmas Digitales y Documentos elec-trónicos, Ley número 8454 del 30 de agosto del 2005.

29) LGAP: La Ley General de la Administración Pública.

30) LINEAMIENTOS TÉCNICOS: El conjunto de defi niciones, requisi-tos y regulaciones de carácter técnico–informá co, contenido en la Norma INTE /ISO 21188 versión vigente y en las polí cas que al efecto emita la DCFD.


31) LRC: Lista de revocación de cer fi cados.

32) MECANISMO EN LÍNEA PARA VERIFICAR EL ESTADO DEL CERTI-FICADO: Mecanismo mediante el cual se permite a las partes que con an, consultar y obtener, la información del estado de un cer fi cado sin requerir para ello el uso de una LRC.

33) OFICINA DE TARJETAS (card bureau): Agente del cer fi cador re-gistrado o de la autoridad de registro que personaliza la tarjeta de circuito integrado (o tarjeta inteligente), que con ene la lla-ve privada del suscriptor (como mínimo).

34) PARTE CONFIANTE: Se refi ere a las personas sicas, equipos, servicios o cualquier otro ente que con a en la validez de un cer fi cado emi do por un cer fi cador específi co.

35) POLÍTICAS DEL CERTIFICADO (PC): Conjunto de reglas que indi-can la aplicabilidad del cer fi cado a una comunidad par cular y/o clase de aplicaciones con los requerimientos comunes de seguridad.


41

36) PROTOCOLO EN LÍNEA PARA DETERMINAR EL ESTADO DEL CER-TIFICADO (OCSP POR SUS SIGLAS EN INGLÉS): Protocolo suple-mentario para determinar el estado actual de un cer fi cado.

37) RECUPERACIÓN DE LLAVES: Capacidad de restaurar la llave pri-vada de una en dad a par r de un almacenamiento seguro, en el caso de que se pierda, corrompa o que por cualquier otra razón se convierta en no u lizable.

38) RE–EMISIÓN DE LLAVES DEL CERTIFICADO: Proceso por medio del cual una en dad con un par de llaves y un cer fi cado pre-viamente emi dos, luego de la generación de un nuevo par de llaves, recibe un nuevo cer fi cado y una nueva llave pública.

39) REGLAMENTO: Este Reglamento.

40) RENOVACIÓN DEL CERTIFICADO: Proceso donde una en dad emite una nueva instancia de un cer fi cado existente, con un nuevo período de validez.

41) REPOSITORIO: Sistema de almacenamiento y distribución de cer fi cados e información relacionada (Ej., almacenamiento y distribución de cer fi cados, almacenamiento y recuperación de polí cas de cer fi cación, estado del cer fi cado, etc.).

42) ROL DE CONFIANZA: Función de trabajo que permite ejecutar labores crí cas. Si dichas labores se ejecutan de una forma in-sa sfactoria puede ocurrir un impacto adverso, que dará como resultado una degradación en la confi anza que provee el cer -fi cador.

43) SELLO DE GARANTÍA (tamper evident): Caracterís cas de un disposi vo que proveen evidencia de que exis ó un intento de ataque sobre él.

44) SERVICIOS DE VALIDACIÓN DE CERTIFICADOS: Servicios provis-tos por el cer fi cador registrado o sus agentes que ejecutan la tarea de confi rmar la validez del cer fi cado a una tercera parte que con a.


42

45) SUSCRIPTOR: La persona sica a cuyo favor se emite un cer fi -cado digital y que lo emplea para los propósitos señalados en el inciso 7) anterior, en conjunto con las claves, contraseñas y/o disposi vos necesarios al efecto y de cuya custodia es respon-sable.

46) VERIFICACIÓN DE FIRMA: Con relación a la fi rma digital, signifi -ca determinar con precisión: (1) que la fi rma ha sido creada du-rante el período operacional de un cer fi cado válido, u lizando la llave pública listada en el cer fi cado; y, (2) que el mensaje no ha sido alterado desde que la fi rma fue creada.

Ar culo 3º– Aplicación al Estado. A los efectos del párrafo segundo del ar culo 1º de la Ley, los Supremos Poderes, el Tribunal Supremo de Elecciones, los demás órganos cons tucionales y todas las en dades públicas podrán adoptar separadamente las disposiciones par culares que requiera su ámbito específi co de competencia o la prestación del servicio público, incluyendo la posibilidad de fungir como cer fi cador respecto de sus funcionarios.

Ar culo 4º– Incen vo de los mecanismos de gobierno electrónico. Con excepción de aquellos trámites que necesariamente requieran la presencia sica del ciudadano, o que éste opte por realizarlos de ese modo, el Estado y todas las dependencias públicas incen varán el uso de documentos electrónicos, cer fi cados y fi rmas digitales para la pres-tación directa de servicios a los administrados, así como para facilitar la recepción, tramitación y resolución electrónica de sus ges ones y la comunicación del resultado correspondiente.

En la emisión de los reglamentos par culares a que se refi eren los ar culos 2º, inciso c) y 33 de la Ley, todas las dependencias públicas procurarán ajustar sus disposiciones a los principios de neutralidad tec-nológica e interopera vidad. En ningún caso se impondrán exigencias técnicas o jurídicas que impidan o difi culten injus fi cadamente la in-teracción con las ofi cinas públicas por medio de fi rmas o cer fi cados digitales emi dos por un cer fi cador registrado.

En lo rela vo a la conservación de los documentos electrónicos, así como la migración de documentos de soporte sico a electrónico, se aplicará lo dispuesto en el ar culo 6º de la Ley.


43

CAPÍTULO SEGUNDO

Cer fi cados Digitales

Ar culo 5°– Contenido y caracterís cas. El contenido, condiciones de emisión, suspensión, revocación y expiración de los cer fi cados di-gitales, serán los que se señalan en la Norma INTE /ISO 21188 versión vigente y las polí cas que al efecto emita la DCFD.

(Así reformado por el ar culo 1° del decreto ejecu vo N° 34890 del 27 de octubre de 2008)

Ar culo 6°– Tipos de cer fi cados. La DCFD establecerá los pos de cer fi cados que podrán emi r los cer fi cadores, con estricto apego a las normas técnicas y estándares internacionales aplicables que pro-muevan la interoperabilidad con otros sistemas.

En el caso de los cer fi cados digitales que vayan a ser u lizados en procesos de fi rma digital y de auten cación de la iden dad, los cer fi ca-dores necesariamente deberán:

1) U lizar al menos un proceso de verifi cación y registro presencial (cara a cara) de sus suscriptores.


2) Guardar copia de la documentación u lizada para verifi car la iden dad de la persona.

3) Registrar de forma biométrica (fotogra a, huellas digitales, etc.) al suscriptor a quién le será emi do un cer fi cado.

4) Requerir el uso de módulos seguros de creación de fi rma, con cer fi cación de seguridad que se indique conforme a las normas internacionales y a las Polí cas establecidas por la DCFD.


5) Establecer un contrato de suscripción detallando el nivel de ser-vicio que ofrece y los deberes y responsabilidades de las partes.


44

6) La DCFD podrá establecer cualquier otro requisito que considere per nente, en tanto emisor y gestor de polí cas del sistema de fi rma digital.

Ar culo 7º– Obligaciones de los usuarios. Para los efectos de los ar culos 14, inciso d) y 15 de la Ley, todos los suscriptores del sistema de cer fi cados y fi rmas digitales estarán obligados a:

1) Suministrar a los cer fi cadores la información veraz, completa y actualizada que éstos requieran para la prestación de sus servi-cios.

2) Resguardar estrictamente la confi dencialidad de la clave, con-traseña o mecanismo de iden fi cación que se les haya asignado con ese carácter, informando inmediatamente al cer fi cador en caso de que dicha confi dencialidad se vea o se sospeche que haya sido comprome da.

3) Acatar las recomendaciones técnicas y de seguridad que le seña-le el correspondiente cer fi cador.

Ar culo 8°– Plazo de suspensión de cer fi cados. Cuando un cer -fi cado digital deba ser suspendido por incurrir en alguna de las causales establecidas en el ar culo 14 de la Ley , éste será revocado y, una vez desaparecido el mo vo de suspensión, se procederá a la emisión de un nuevo cer fi cado.


Ar culo 9º– Revocación por cese de ac vidades. Para los efectos del ar culo 16 de la Ley, en el caso del cese de ac vidades de un cer fi -cador, éste mismo –o la DCFD en su defecto– ges onarán el traslado de la cartera de suscriptores que así lo hayan consen do a otro cer fi cador, que expedirá los nuevos cer fi cados.


45

CAPÍTULO TERCERO

Cer fi cadores

Ar culo 10.– Reconocimiento jurídico. Solo tendrán pleno efecto legal frente a terceros, así como respecto del Estado y sus ins tuciones, los cer fi cados digitales expedidos por cer fi cadores registrados ante la Dirección de Cer fi cadores de Firma Digital.

Las fi rmas y cer fi cados emi dos dentro o fuera del país que no cumplan con esa exigencia no sur rán efectos por sí solos, pero podrán ser empleados como elemento de convicción complementario para es-tablecer la existencia y alcances de un determinado acto o negocio.

Ar culo 11.– Comprobación de idoneidad técnica y administra va. Para obtener la condición de cer fi cador registrado, se requiere poseer idoneidad técnica y administra va, que serán valoradas por el ECA, de conformidad con los lineamientos técnicos establecidos en las Normas INTE–ISO/IEC 17021 e INTE/ISO 21188 versión vigente, las polí cas fi ja-das por la DCFD y los restantes requisitos que esa dependencia establez-ca, de acuerdo con su norma va específi ca.

A fi n de cumplir con lo establecido en el párrafo anterior, el cer fi ca-dor contará con el plazo de un año contado a par r de la fecha en que se le otorgó el registro por parte de la DCFD , con el propósito de lograr la acreditación respec va por parte del ECA. Si en el plazo señalado no lograra obtener la acreditación, se le cancelará su registro por parte de la DCFD y no podrá ser registrado nuevamente hasta tanto no presente la acreditación del ECA.


Ar culo 12.– Formalidades de la solicitud. La solicitud de inscrip-ción del cer fi cador se presentará debidamente auten cada ante la DCFD y deberá incluir la siguiente información:

1) Nombre o razón social de la solicitante, número de cédula de persona jurídica, domicilio y dirección postal, así como los co-rrespondientes números telefónicos y de fax (si lo tuviera), su si o Web en Internet y al menos una dirección de correo elec-trónico para la recepción de comunicaciones de la DCFD. En el caso de los sujetos privados, deberá adjuntar además una cer -


46

fi cación de personería jurídica con no menos de un mes de expe-dida, o el acuerdo de nombramiento debidamente cer fi cado, en el caso de los funcionarios públicos. Dicho documento de-berá acreditar, en el primer supuesto, que la persona jurídica se encuentra debidamente cons tuida de acuerdo con la ley y en pleno goce y ejercicio de su capacidad jurídica.

(Así reformado el inciso el anterior por el ar culo 1° del decreto ejecu vo N° 34890 del 27 de octubre de 2008)

2) Iden fi cación completa de la persona o personas que fungi-rán como responsables administra vos del cer fi cador ante la DCFD. Ésta o éstas necesariamente serán los fi rmantes de la ges- ón y ostentarán la representación legal u ofi cial de la solicitan-

te.


3) Iden fi cación completa de la persona o personas que fungirán como responsables técnicos del cer fi cador, si no fueren las mis-mas del punto anterior. Se entenderá por tales a la persona o personas que recibirán y custodiarán las claves, contraseñas y/o mecanismos de iden fi cación asignados al cer fi cador y que po-drán fi rmar digitalmente en su nombre.

4) La dirección sica precisa del establecimiento o local desde el cual se realizará la ac vidad de cer fi cación digital.

5) Documentación en la cual se demuestre a juicio de la DCFD , que cuenta con los requisitos para brindar el servicio de cer fi cación digital (con personal califi cado, con los conocimientos y expe-riencia necesarios para las labores que realizan, procedimientos de seguridad y de ges ón apropiados, así como la infraestructu-ra adecuada para realizar las ac vidades de cer fi cación digital, todo acorde a los requerimientos de las normas INTE/ISO 21188 versión vigente, INTE–ISO/IEC 17021 versión vigente, así como a las polí cas dictadas por la DCFD ).


6) Cer fi cación de composición y propiedad del capital social, si la solicitante fuera una sociedad mercan l.


47

7) (Derogado este inciso por el ar culo 3° del decreto ejecu vo N° 34890 del 27 de octubre de 2008)

Ar culo 13.– Caución. Los sujetos privados deberán rendir una cau-ción que será u lizada para responder por las eventuales consecuencias civiles, contractuales y extracontractuales de su ac vidad. Esta caución será rendida preferiblemente por medio de una póliza de fi delidad ex-pedida por el Ins tuto Nacional de Seguros. El monto –de acuerdo con la Ley– será fi jado por la DCFD en consulta con el Ins tuto Nacional de Seguros, tomando en consideración los riesgos y responsabilidades in-herentes en la labor de cer fi cación digital.

(Así reformado el párrafo anterior por el ar culo 1° del decreto eje-cu vo N° 34890 del 27 de octubre de 2008)

Cuando la caución esté sujeta a vencimiento, necesariamente debe-rá ser renovada por el interesado al menos dos meses antes de la fecha de expiración.

Ar culo 14.– Tramite de la solicitud. Recibida la solicitud de inscrip-ción, la DCFD procederá a:

1) Apercibir al interesado en un plazo no mayor de diez días hábiles y por una única vez sobre cualquier falta u omisión que deba ser subsanada, así como la necesidad de ampliar la documentación que se indica en el inciso 5 de ar culo 12 de este reglamento, para dar inicio a su trámite. Al efecto, se aplicará lo dispuesto en la “Ley de Protección al Ciudadano del Exceso de Requisitos y Trámites Administra vos”, número 8220 de 4 de marzo del 2002; y –en cuanto fuere necesario– lo dispuesto en el ar culo 340 de la LGAP.

2) Posteriormente, la DCFD estará facultada para que en caso ne-cesario proceda a realizar una visita al domicilio donde se reali-zará la ac vidad de cer fi cación digital, con el fi n de constatar la veracidad de lo indicado en los documentos aportados por el solicitante.

3) En caso de resultar favorable la solicitud y resueltas las oposicio-nes que se indican en el ar culo 15 de este Reglamento a favor del solicitante, se le prevendrá para que en el plazo de cinco días hábiles presente el comprobante de pago de la caución señalada en el ar culo 13 anterior.


48


Ar culo 15.– Oposiciones. Tramitada la solicitud ante la DCFD , ésta le entregará un resumen al solicitante, el cual deberá ser publicado en el Diario Ofi cial La Gaceta , sin perjuicio de que la DCFD lo haga también en los medios electrónicos establecidos en la Ley y este Reglamento.

Dentro de los cinco días hábiles siguientes a la publicación, quien se sin ere legí mamente perjudicado por la solicitud planteada, deberá comunicarlo a la DCFD, presentando todas las pruebas per nentes. En tal caso, la DCFD conferirá audiencia al interesado por un plazo de cinco días hábiles para que se refi era a los hechos planteados.

Una vez vencido el plazo indicado y resueltas las posibles oposicio-nes, se le prevendrá al solicitante a fi n de que aporte el pago respec vo de la caución indicada en el ar culo 13 de este Reglamento.

No se aplicará lo dispuesto en este ar culo cuando la ges ón corres-ponda a una dependencia pública.


Ar culo 16.– Resolución. Cumplido lo dispuesto en el ar culo an-terior, la DCFD resolverá lo que corresponda –incluyendo las oposicio-nes formuladas, si las hubiere– en un plazo no mayor de quince días, por medio de resolución fundada que no fi cará a los interesados. Si el acuerdo fuera favorable, se publicará a través de los medios electróni-cos previstos en la Ley y este Reglamento.

Ar culo 17.– Silencio posi vo. La ges ón que no haya sido resuelta dentro del plazo que señala el ar culo precedente se entenderá aproba-da.

Ar culo 18.– Recursos. Contra lo resuelto por la DCFD, se admi rá el recurso de reposición, aplicándose al efecto lo dispuesto en los ar cu-los 346, siguientes y concordantes, de la LGAP.

Ar culo 19.– Funciones. Los cer fi cadores registrados tendrán las siguientes atribuciones y responsabilidades:

1) Expedir las claves, contraseñas o disposi vos de iden fi cación a sus suscriptores, en condiciones seguras y previa verifi cación


49

fehaciente de su iden dad. Lo mismo hará respecto de sus cer- fi cadores subordinados cuando los hubiere, los cuales también

deberán registrarse ante la DCFD. El cer fi cador no podrá copiar o conservar información rela va

a la clave privada de fi rma digital de un suscriptor y deberá abs-tenerse de tomar conocimiento o acceder a ella bajo ninguna circunstancia.

2) Llevar un registro completo y actualizado de todos sus suscrip-tores, para lo cual les requerirá la información necesaria. En el caso de los cer fi cadores, comerciales, no se solicitará de sus clientes más información personal que la que sea estrictamente necesaria, quedando obligados a mantenerla bajo estricta confi -dencialidad, con la salvedad prevista en el inciso úl mo de este ar culo.

3) Expedir el cer fi cado digital que respalde la fi rma digital de los suscriptores de sus servicios y de sus cer fi cadores subordina-dos, así como suspenderlo o revocarlo bajo las condiciones pre-vistas en la Ley y este Reglamento.

4) Prestar los servicios ofrecidos a sus suscriptores, en estricta con-formidad con las polí cas de cer fi cación que haya comunicado al público y que hayan sido aprobados por la DFCD.

5) Conservar la información y registros rela vos a los cer fi cados que emitan, durante no menos de diez años contados a par r de su expiración o revocación. En caso de cese de ac vidades, la información y registros respec vos deberán ser remi dos a la DCFD, quien dispondrá lo rela vo a su adecuada conservación y consulta.

6) Mantener un repositorio electrónico, permanentemente accesi-ble en línea y publicado en internet para posibilitar la consulta de la información pública rela va a los cer fi cados digitales que haya expedido y de su estado actual, de la manera que se indi-que en la Norma INTE /ISO 21188 versión vigente y en los linea-mientos que sobre el par cular dicte la DCFD.


7) Suministrar, con arreglo a las disposiciones cons tucionales y le-gales per nentes, la información que las autoridades competen-


50

tes soliciten con relación a sus suscriptores y a los cer fi cados que les hayan sido expedidos.

8) Impar r lineamientos técnicos y de seguridad a los suscriptores y cer fi cadores subordinados, con base en los que a su vez dicte la DCFD.

9) Acatar las instrucciones y directrices que emita la DCFD para una mayor seguridad o confi abilidad del sistema de fi rma digital.


10) Rendir a la DCFD los informes y datos que ésta requiera para el adecuado desempeño de sus funciones y comunicarle a la ma-yor brevedad cualquier otra circunstancia relevante que pueda impedir o comprometer su ac vidad.

Ar culo 20.– Divulgación de datos. En adición al repositorio en lí-nea a que se refi ere el ar culo previo, todo cer fi cador registrado debe-rá mantener un si o o página electrónica en Internet, de alta disponibi-lidad y protegida con esquemas de seguridad razonables para impedir su subplantación, por medio del cual suministre permanentemente al público al menos los datos siguientes, empleando un lenguaje fácilmen-te comprensible y en idioma español:

1) Su nombre, dirección sica y postal, número(s) telefónico(s) y de fax (si lo tuviera), así como un mecanismo de contacto por medio de correo electrónico.

2) Los datos de inscripción ante la DCFD y su estado actual (ac vo o suspendido).

3) Las polí cas de cer fi cación que aplica y que son respaldados y aprobados por la DCFD

4) El resultado fi nal más reciente de evaluación o auditoría de sus servicios, efectuada por el Ente Costarricense de Acreditación.

5) Cualesquiera restricciones establecidas por la DCFD.

6) Cualquier otro dato de interés general que disponga la Ley, este Reglamento o la DCFD.


51

Ar culo 21.– Corresponsalías. Al informar a la DCFD sobre el esta-blecimiento de relaciones de corresponsalía conforme al ar culo 20 de la Ley, se deberá especifi car si la homologación de cer fi cados expe-didos por cer fi cadores extranjeros está o no sujeta a alguna clase de restricción o salvedad y, caso afi rma vo, en qué consiste. Lo mismo se hará al momento de ofrecer este servicio al público.

Ar culo 22.– Actualización permanente de datos. Los cer fi cadores deberán mantener permanentemente actualizada la información que requieran la DCFD y el ECA para el cumplimiento de sus funciones. Cual-quier cambio de domicilio sico o electrónico, o de cualquier otro dato relevante, deberá ser comunicado de inmediato a ambas ins tuciones.



52

CAPÍTULO CUARTO

Dirección de Cer fi cadores de Firma Digital

Ar culo 23.– Responsabilidad. La Dirección de Cer fi cadores de Fir-ma Digital – perteneciente al Ministerio de Ciencia y Tecnología– será el órgano administrador y supervisor del sistema nacional de cer fi cación digital. Tendrá el carácter de órgano de desconcentración máxima y las resoluciones dictadas en los asuntos de su competencia agotarán la vía administra va.

La DCFD tendrá, de pleno derecho, el carácter de cer fi cador raíz. No obstante, para garan zar una óp ma efec vidad en el cumplimiento de esta función, podrá ges onar el apoyo de otro órgano, en dad o em-presa del Estado, a los efectos de que supla la infraestructura material y el personal idóneo necesarios para operar la raíz, debiendo acreditar la operación técnica de la misma ante el ECA, para lo cual tendrá un plazo de un año a par r de que la misma entre en operación completa.


Ar culo 24.– Funciones. La Dirección de Cer fi cadores de Firma Digital (DCFD tendrá las funciones que señala la Ley. El registro de cer -fi cados digitales a que se refi ere el inciso b) del ar culo 24 de la Ley ten-drá un contenido y propósitos puramente cuan ta vos y estadís cos.

La DCFD tendrá la responsabilidad de defi nir polí cas y requerimien-tos para el uso de cer fi cados digitales que deberán ser especifi cados en una Polí ca de Cer fi cados o acuerdos complementarios; en especial la DCFD será el emisor y el gestor de las polí cas para el Sistema de Cer- fi cadores de Firma Digital.


Dentro de sus ac vidades, la DCFD procurará realizar programas de difusión en materia de Firma Digital, así como en la media de sus posibi-lidades establecer enlaces de cooperación con organismos o programas internacionales relacionados con esta materia.



53

Ar culo 25.– Cooperación interins tucional. Se autoriza a las ins -tuciones del Estado para presupuestar y girar recursos, en la medida de sus posibilidades jurídicas y materiales, a fi n de contribuir a lograr los obje vos de la DCFD.

Ar culo 26.– Jefatura. El superior administra vo de la DCFD será el Director, quien será nombrado por el Ministro de Ciencia y Tecnología y será un funcionario de confi anza, de conformidad con el inciso g) del ar culo 4, del Estatuto de Servicio Civil. El Director deberá declarar sus bienes oportunamente, de conformidad con lo establecido en la Ley Contra la Corrupción y el Enriquecimiento Ilícito en la Función Pública.


Quien sea designado Director deberá reunir los siguientes requisitos:

1) Poseer un tulo universitario per nente al cargo, con grado mí-nimo de licenciatura.

2) Tener experiencia profesional demostrable en el tema.

3) Estar incorporado al respec vo colegio profesional y al día en sus obligaciones con éste.

4) Los demás que establezca el manual de clasifi cación y puestos del Ministerio de Ciencia y Tecnología.

Ar culo 27.– Régimen interior. El régimen de servicio al que estará sujeto el personal de la DCFD será el establecido en el reglamento autó-nomo de servicio del Ministerio de Ciencia y Tecnología, que se aplicará también al Director en lo que legalmente sea procedente.

Ar culo 28.– Comité Asesor de Polí cas. El Director de la DCFD con-tará con la asesoría de un comité de polí cas, integrado por represen-tantes de los siguientes órganos y en dades:

1) Banco Central de Costa Rica;

2) Tribunal Supremo de Elecciones;

3) Poder Ejecu vo;

4) Poder Judicial;


54

5) Consejo Nacional de Rectores (CONARE), en representación del sector académico; y,

6) Asociación Cámara Costarricense de Tecnologías de la Informa-ción y Comunicaciones (CAMTIC), en representación del sector privado.

Cada una de esas dependencias designará a un representante pro-pietario y otro suplente, por períodos de dos años, reelegibles automá- camente y en forma indefi nida salvo manifestación en contrario de la

respec va dependencia. Deberá tratarse en todos los casos de profesio-nales con grado mínimo de licenciatura, graduados en materias afi nes y con experiencia demostrable en el tema. El cargo será desempeñado en forma ad honórem.


El Comité Asesor será presidido por el Director de la DCFD. Se reu-nirá ordinariamente al menos una vez cada seis meses y extraordinaria-mente cada vez que lo convoque el Director de la DCFD o lo soliciten por escrito al menos cuatro de sus integrantes.


En lo demás, el Comité ajustará su funcionamiento al régimen de los órganos colegiados previsto en la LGAP.

Ar culo 29.–Funciones del Comité Asesor de Polí cas. El Comité Asesor tendrá las siguientes funciones:

1) Recomendar a la DCFD las polí cas generales de operación del sistema nacional de cer fi cación digital, observando los están-dares y buenas prác cas internacionales de la materia;

2) Interpretar, aclarar o adicionar esas polí cas ante las dudas o consultas de cualquier operador del sistema;

3) Evaluar y actualizar periódicamente las polí cas de operación, formulando –en caso necesario– las recomendaciones per nen-tes a la DCFD; y,


55

4) Aconsejar a la DCFD en cualquier otro aspecto que ésta someta a su consideración.

5) Funcionar como Comité para la preservación de la imparciali-dad, conforme a los parámetros señalados en la norma INTE–ISO/IEC 17021 versión vigente.

(Así adicionado el inciso anterior por el ar culo 2° del decreto ejecu- vo N ° 34890 del 27 de octubre de 2008)

Salvo caso de urgencia, la adopción o modifi cación de polí cas que afecten la operación del sistema nacional de cer fi cación digital se hará previa consulta pública, en la que se invitará a las en dades públicas y privadas, organizaciones representa vas y público en general a ofrecer comentarios y sugerencias per nentes; todo conforme a los ar culos 361 y 362 de la LGAP.


56

CAPÍTULO QUINTO

Sanciones

Ar culo 30.– Aplicación de mecanismos alterna vos de solución de confl ictos. Tanto antes como durante la tramitación de los procedimien-tos disciplinarios por quejas o denuncias planteadas contra un cer fi ca-dor, la DCFD procurará aplicar mecanismos alterna vos de resolución de confl ictos para encontrar salidas que permitan tutelar los derechos legí mos de las partes, así como la con nuidad y confi abilidad del siste-ma, todo conforme a la legislación aplicable.

Ar culo 31.– Multas. El pago de las multas impuestas conforme al ar culo 28 de la Ley se realizará por medio de Entero de Gobierno, den-tro de los diez días hábiles siguientes a la fi rmeza de la resolución que las imponga.

El cobro de multas no canceladas oportunamente se realizará con-forme a lo dispuesto en el ar culo 36 siguiente.

Ar culo 32.– Suspensión. La suspensión que se aplique de acuerdo con el ar culo 29 de la Ley implicará la imposibilidad para el cer fi cador sancionado de expedir nuevos cer fi cados digitales o de renovar los que expiren durante el plazo de la suspensión. No afectará en nada los emi- dos previamente.

En los casos del inciso a) del referido ar culo, si al cabo del plazo de suspensión el cer fi cador persiste en no renovar debidamente la cau-ción a pesar de la prevención que en ese sen do se le hará, se procederá conforme al ar culo 30, inciso c) de la Ley, a efectos de declarar la revo-catoria de la inscripción.

Ar culo 33.– Revocatoria de la inscripción. Para los efectos del ar- culo 30, inciso a) de la Ley, se entenderá por “cer fi cado falso” aquel

que no esté respaldado por una solicitud previa demostrable del corres-pondiente suscriptor o cuyo trámite no haya seguido los procedimientos de seguridad establecidos para la clase de cer fi cado de que se trate.

Ar culo 34.– Publicidad de las sanciones. Para los propósitos del ar culo 32 párrafo segundo de la Ley, la publicación electrónica de las sanciones impuestas se mantendrá:


57

1) En el caso de multa, por todo el lapso en que ésta permanezca sin cancelar y posteriormente por dos años a par r del pago.

2) En el caso de suspensión o revocatoria de la inscripción, durante cinco años desde la fi rmeza de la resolución sancionatoria.

Ar culo 35.– Determinación de responsabilidades adicionales. Si corresponde, lo rela vo a la responsabilidad civil en que pueda haber incurrido un cer fi cador se examinará y resolverá en el mismo procedi-miento en que se discuta la responsabilidad disciplinaria. Caso de es -marse que ha lugar al pago de una indemnización, el acto fi nal preven-drá al cer fi cador su oportuno pago, dentro del plazo que al efecto se señalará y que no excederá de un mes.

De llegarse a considerar además que los hechos inves gados supo-nen la posible comisión de un ilícito penal, la Dirección ordenará tes -moniar las piezas correspondientes y pondrá los hechos en conocimien-to del Ministerio Público.

Ar culo 36.– Medios de ejecución. Si el cer fi cador sancionado no realiza oportunamente el pago a que estuviere obligado, se procederá a ejecutar la caución por el monto respec vo. En tal caso (así como para el reclamo de cualquier saldo en descubierto que pudiera subsis r) se aplicará en lo per nente lo dispuesto en los ar culos 149 y 150 de la LGAP. La DCFD será el órgano competente para realizar las in maciones de ley, así como para expedir el tulo ejecu vo, si corresponde.

CAPÍTULO SEXTO

Disposiciones fi nales

Ar culo 37.– Vigencia. Rige a par r de su publicación.

Dado en la Presidencia de la República.–San José, a los veinte días del mes de marzo del dos mil seis.

ANEXO ÚNICO

(Derogado este Anexo por el ar culo 3° del decreto ejecu vo N° 34890 del 27 de octubre de 2008).

OID 2.16.188.1.1.1.1Versión: 1.120 de mayo, 2013

P

registrados

DireccióMinisterio de Ciencia y Tecnología

Polí ca de cer fi cados para la jerarquía nacional de cer fi cadores registrados

61

Control de versiones

Fecha Versión Autor(es) Aprobado Descripción

26–10–07Consulta pública

Comité de Polí casComité Técnico

Lic. Oscar Solís Director DCFD

Se presenta la versión para discusión fi nal del comité de polí cas y aprobación del Director de la DCFD.

03–12–07 Borrador Comité de Polí casLic. Oscar Solís Director DCFD

Se incorporan las observaciones de la consulta pública, de acuerdo al edicto publicado el día lunes 19 de noviembre del 2007 en el diario ofi cial La Gaceta Nº 222.

04–09–08 1.0 Comité de Polí casLic. Oscar Solís Director DCFD

Ofi cialización y entrada en vigencia de la polí ca.

03–04–13Consulta pública

(1.1)

Comité de Polí casDirección de

Cer fi cadores de Firma Digital

Alexander Barquero Director DCFD

Actualizaciones para cer fi cados digitales de persona jurídica, vigencia y unicidad de los cer fi cados.

10–05–13Borrador

(1.1)

Dirección de Cer fi cadores de Firma

Digital


Se incorporan las observaciones de la consulta pública, de acuerdo al aviso del martes 16 de abril del 2013 en el Alcance Digital Nº 68 del diario ofi cial La Gaceta Nº 72.

20–05–13 1.1Dirección de



Ofi cialización y entrada en vigencia de la versión 1.1 de la polí ca.


63

1. Introducción

Este documento defi ne las Polí cas de Cer fi cado (en adelante CP) dictadas por la Dirección de Cer fi cadores de Firma Digital (en adelante DCFD) para el Sistema Nacional de Cer fi cación Digital.

La autoridad cer fi cadora registrada debe implementar las polí cas en los servicios de cer fi cación que incluyen: la emisión, ges ón, sus-pensión y revocación de los cer fi cados.

Las siguientes secciones describen las polí cas de acatamiento obli-gatorio que deben ser implementadas por la Autoridad Cer fi cadora Raíz (en adelante CA Raíz) y por cualquier otra Autoridad Cer fi cadora Registrada (en adelante CA) en los niveles inferiores de la jerarquía na-cional de cer fi cadores registrados. Sin embargo, este documento no pretende ser una guía exhaus va para la evaluación del cumplimiento de los requisitos necesarios para un proceso de acreditación. La guía detallada para la evaluación de una autoridad cer fi cadora que desea incorporarse al sistema de cer fi cación nacional, debe solicitarse a la DCFD, y la misma se adhiere a los lineamientos establecidos en: la nor-ma INTE–ISO–21188:2007 “Infraestructura de llave pública para servi-cios fi nancieros– Estructura de prác cas y polí cas”.

Este CP se ha desarrollado conforme a lo es pulado en el RFC 3647: ”Internet X.509 Public Key Infrastructure. Cer fi cate Policy and Cer fi ca- on Prac ces Framework”.

1.1 Resumen

Estas Polí cas de Cer fi cado (CP) son específi camente aplicables a:

Autoridad Cer fi cadora Raíz (CA Raíz). Autoridades Cer fi cadoras de Polí cas (CA de Polí cas) dentro

de la jerarquía nacional de cer fi cadores registrados. Autoridades Cer fi cadoras emisoras (CA emisoras) que se re-

gistren ante la DCFD, y que emitan los cer fi cados a las en da-des fi nales.

Suscriptores y partes que con an.


64

Las polí cas nacionales contemplan los siguientes pos de cer fi ca-dos, defi nidos en este documento como:

Cer fi cados para CA emisoras. Cer fi cados de auten cación de persona sica. Cer fi cados de fi rma digital de persona sica. Cer fi cados de agente electrónico (auten cación) de persona

jurídica. Cer fi cados de sello electrónico (fi rma digital) de persona jurí-

dica. Cer fi cados de autoridades de sellado de empo (TSA).

Los diferentes pos de cer fi cados están defi nidos en la polí ca y se implementan a través de una jerarquía de tres niveles: el primero corresponde a la raíz nacional, el segundo nivel corresponde a las auto-ridades cer fi cadoras de polí cas y el tercer nivel a las CA emisoras de cer fi cados.

El siguiente diagrama detalla la estructura de la jerarquía nacional de cer fi cadores registrados:

Diagrama de la jerarquía nacional de cer fi cadores registrados


65

1.2 Nombre e iden fi cación del documento

Este documento es la “Polí ca de Cer fi cados para la Jerarquía Na-cional de Cer fi cadores Registrados” y se referencia mediante el iden -fi cador de objeto (OID): 2.16.188.1.1.1.1

Sección Descripción

2 joint–iso–itu–t16 Country

188 Costa Rica1 Organización1 Dirección de Cer fi cadores de Firma Digital1 Polí cas

1Polí ca de Cer fi cados para la jerarquía nacional de cer fi cadores registrados

Las polí cas derivadas para la jerarquía nacional de cer fi cadores registrados son:

Polí ca para cer fi cados generados por la jerarquía nacional de cer fi cadores registrados

OID

Polí ca de cer fi cados de CA emisora del Sistema Nacional de Cer fi cación Digital

2.16.188.1.1.1.1.1

Polí ca de cer fi cados de persona sica del Sistema Nacional de Cer fi cación Digital

• Firma digital• Auten cación

2.16.188.1.1.1.1.22.16.188.1.1.1.1.3

Polí ca de sellado de empo del Sistema Nacional de Cer fi cación Digital

2.16.188.1.1.1.1.5

Polí ca de cer fi cados de persona jurídica del Sistema Nacional de Cer fi cación Digital

• Sello electrónico• Agente electrónico

2.16.188.1.1.1.1.62.16.188.1.1.1.1.7

1.3 Par cipantes en la PKI

1.3.1 Autoridades cer fi cadoras

Las autoridades cer fi cadoras (CA) son todas las en dades autoriza-das a emi r cer fi cados de llave pública dentro de la jerarquía nacional


66

de cer fi cadores registrados. Esto incluye:

CA Raíz. CA de Polí cas. CA emisoras.

La CA Raíz y las CAs de Polí cas son parte de la jerarquía nacional administrada por el Ministerio de Ciencia, Tecnología y Telecomunica-ciones (MICITT). Ambas se regulan a través de la Dirección de Cer fi -cadores de Firma Digital (DCFD). Las CAs emisoras deben implementar esta polí ca, para formar parte de la jerarquía nacional de cer fi cadores registrados.

1.3.2 Autoridades de Registro

Una Autoridad de Registro (RA) es una en dad que verifi ca la iden- dad de los solicitantes que aplican por un cer fi cado. La RA debe vali-

dar los requisitos de iden fi cación del solicitante, dependiendo del po de cer fi cado y de la especifi cación de la polí ca per nente. Además, tramita las solicitudes de revocación para los cer fi cados y valida la in-formación contenida en las solicitudes de cer fi cados. Las Autoridades de Registro se regulan en el documento de “Directrices para las Autori-dades de Registro. Caracterís cas de cumplimiento de Autoridades de Registro (RA) de la jerarquía nacional de cer fi cadores registrados de Costa Rica” emi do por la DCFD para este propósito.

1.3.3 Suscriptores

Se defi ne como suscriptor a todos los usuarios fi nales a quienes se les ha emi do un cer fi cado por una CA, dentro de la jerarquía nacional de cer fi cadores registrados. El suscriptor puede ser una persona sica o una persona jurídica.

1.3.4 Partes que con an

Una parte que con a es una persona sica o jurídica que actúa con-fi ando en un cer fi cado y/o en las fi rmas digitales generadas a par r de un cer fi cado, emi dos bajo la jerarquía nacional de cer fi cadores registrados. Una parte que con a puede o no ser también un suscriptor.


67

1.3.5 Otros par cipantes

Sin es pulaciones.

1.4 Uso del cer fi cado

1.4.1 Usos apropiados del cer fi cado

Tipo Descripción de uso apropiado

Cer fi cados de CA emisora • Operar la infraestructura PKI y emi r cer fi cados a suscriptores dentro de la cadena de confi anza.

o Digital Signature.o Cer fi cate Signing.o Off –line CRL Signing.o CRL Signing.

Cer fi cados de fi rma digital de persona sica

• Firma digital o Digital Signature.o Non–Repudia on.

Cer fi cados de auten cación de persona

sica

• Auten cación o Digital Signature.o Key Encipherment.

Cer fi cados de sello electrónico de persona

jurídica

• Sello electrónicoo Digital Signature. o Non–Repudia on.

Cer fi cados de agente electrónico de persona

jurídica

• Agente electrónicoo Digital Signature.o Key Encipherment.o Data Encipherment.

Cer fi cados de Autoridad de Sellado de Tiempo (TSA)

• Sellado de empoo Digital Signature. o Non–Repudia on.

1.4.2 Usos prohibidos del cer fi cado

Los cer fi cados emi dos deben ser u lizados dentro del marco de la Ley 8454 “Ley de cer fi cados, fi rmas digitales y documentos electróni-cos” y su reglamento. Cualquier otro uso del cer fi cado no especifi cado en la Ley 8454, su reglamento y en esta CP (y sus polí cas asociadas) está fuera del alcance y responsabilidad de estas polí cas.


68

1.5 Administración de la Polí ca

1.5.1 Organización que administra el documento

Dirección de Cer fi cadores de Firma DigitalMinisterio de Ciencia, Tecnología y Telecomunicaciones, dirección: San José, 50 metros Este del Museo Nacional. Apartado Postal: 5589–1000 San José, Costa Rica. Correo electrónico: fi [email protected] o in-formacion@fi rmadigital.go.cr

1.5.2 Persona de contacto

Jefatura de la Dirección de Cer fi cadores de Firma Digital: Director de Cer fi cadores de Firma Digital, correo electrónico: fi [email protected] o informacion@fi rmadigital.go.cr. Tel. (506) 2248–1515, ext. 189.

1.5.3 Persona que determina la adecuación de la CPS a la Polí ca

El Director de la Dirección de Cer fi cadores de Firma Digital será el encargado de determinar la adecuación de la declaración de prác cas de cer fi cación (CPS) de todas las autoridades cer fi cadoras que desean pertenecer a la jerarquía nacional de cer fi cadores registrados.

1.5.4 Procedimientos de aprobación de la CP

La polí ca y las subsecuentes enmiendas o modifi caciones deben ser propuestas por la DCFD o por el Comité Asesor de Polí cas, y presenta-das al Director de la DCFD, quien posterior a su análisis y correcciones, las somete a consulta pública (salvo casos de urgencia) en la que se invi-tará a las en dades públicas y privadas, organizaciones representa vas y público en general a ofrecer comentarios y sugerencias per nentes;


69

todo conforme a los ar culo 3611 y 3622 de la Ley General de Adminis-tración Pública (LGAP). La encargada de la aprobación fi nal de la CP es la DCFD.

1.6 Defi niciones y acrónimos

Ver Anexo A: Defi niciones y acrónimos

2. Responsabilidades de publicación y del repositorio

2.1 Repositorios

Las autoridades emisoras son responsables de las funciones de repo-sitorio para su propia CA. Las listas de los cer fi cados emi dos a usua-rios fi nales no se deben hacer públicas.

Sobre la revocación de cer fi cados de suscriptores, las autoridades emisoras deben publicar el aviso de revocación de los cer fi cados de sus suscriptores.

2.2 Publicación de información de cer fi cación

La CA emisora debe mantener un repositorio basado en Web que permita a las partes que con an verifi car en línea la revocación y cual-quier otra información necesaria para validar el estado del cer fi cado. La CA emisora debe proporcionar a las partes que con an la información de cómo encontrar el repositorio adecuado para verifi car el estado del cer fi cado y los servicios de validación de cer fi cados en línea (OCSP) para la verifi cación en línea.

1 Ar culo 361.–1. Se concederá audiencia a las en dades descentralizadas sobre los proyectos de

disposiciones generales que puedan afectarlas.2. Se concederá a las en dades representa vas de intereses de carácter general o

corpora vo afectados por la disposición la oportunidad de exponer su parecer, dentro del plazo de diez días, salvo cuando se opongan a ello razones de interés público o de urgencia debidamente consignadas en el anteproyecto.

3. Cuando, a juicio del Poder Ejecu vo o del Ministerio, la naturaleza de la disposición lo aconseje, el anteproyecto será some do a la información pública, durante el plazo que en cada caso se señale.

2 Ar culo 362.– En la disposición general se han de consignar expresamente las anteriores que quedan total o parcialmente reformadas o derogadas.


70

La CA emisora debe mantener publicada, entre otros aspectos, la versión actualizada de:

La polí ca de los cer fi cados que implementa. La plan lla del acuerdo de suscriptor. Los cer fi cados en la cadena de confi anza. Las listas de revocación.

La información de la CA Raíz está publicada en el si o Web del MICI-TT, en la siguiente dirección:

h p://www.fi rmadigital.go.cr

2.3 Tiempo o frecuencia de publicación

Las actualizaciones de las polí cas de cer fi cado se publicarán de acuerdo con lo establecido en la sección 9.12 de este documento. Las actualizaciones de acuerdos de suscriptores serán publicadas, cuando sufran modifi caciones. La información de estados de cer fi cado es pu-blicado de acuerdo con las disposiciones de esta polí ca, de acuerdo a la sección 4.9.7 de “Frecuencia de emisión de CRL”.

2.4 Controles de acceso a los repositorios

La información publicada en el repositorio es información accesible únicamente para consulta. La CA emisora debe establecer controles para prevenir que personas no autorizadas agreguen, eliminen o modi-fi quen información de los repositorios.

3. Iden fi cación y auten cación

3.1 Nombres

3.1.1 Tipos de nombres

En la sección 3.1.4 se explican las reglas para interpretación del có-digo de iden fi cación, la que, en el caso de las personas sicas naciona-les corresponde al número de cédula, para personas sicas extranjeras o diplomá cas, al número único de permanencia y para las personas


71

jurídicas corresponde al número de cédula de persona jurídica. El uso del campo número de serie (serial number OID 2.5.4.5) se establece de acuerdo al RFC 3039 “Internet X.509 Public Key Infrastructure Qualifi ed Cer fi cates Profi le” como un atributo del nombre dis n vo del sujeto.

A con nuación se presentan los formatos de los nombres para el suscriptor del cer fi cado dependiendo de su po. Cuando los datos se encuentran en itálica signifi can que son valores de ejemplo.

En el caso de la CA Raíz:

Atributo Valor Descripción

Country (C) CREl código de país es asignado de acuerdo al estándar ISO 31663.

Organiza on (O) MICITEl Ministerio de Ciencia, Tecnología y Telecomunicaciones es el responsable de la Raíz Nacional.

Organiza on Unit (OU)

DCFDLa Dirección de Cer fi cadores de Firma Digital.

Common NameCA RAIZ

NACIONAL – COSTA RICA

Nombre de la CA Raíz.

Serial Number{OID:2.5.4.5}

CPJ–2–100–098311

Número de cédula de persona jurídica en el Registro Nacional. El prefi jo CPJ corresponde a Cédula Persona Jurídica.

En el caso de las CA de Polí cas:



Organiza on (O) MICITEl Ministerio de Ciencia, Tecnología y Telecomunicaciones es el responsable de las CA de Polí cas.


DCFDLa Dirección de Cer fi cadores de Firma Digital.

3 Norma ISO 3166 “Códigos para la representación de los nombres de los países y sus subdivisiones. Parte 1: Códigos de los países”. Esta norma establece los códigos de dos caracteres para la asignación del país


72

Common Name

CA POLITICA PERSONA

FISICA – COSTA RICA

CA POLITICA + Nombre de la polí ca – COSTA RICA


CPJ–2–100–098311

Número de cédula de persona jurídica en el Registro Nacional. El prefi jo CPJ corresponde a Cédula Persona Jurídica.

En el caso de las CA emisoras:



Organiza on (O)CORP. EJEMPLO

S.A4

Nombre de la empresa o ins tución defi nido en la cer fi cación de personería jurídica.


CA EJEMPLOUnidad organizacional de la persona jurídica responsable de la CA emisora.

Common NameCA EJEMPLO–

PERSONA FISICA

CA + Nombre CA– Polí ca. La Polí ca puede ser: PERSONA FISICA, PERSONA JURÍDICA, SELLADO DE TIEMPO, u otra defi nida por la CA Raíz.


CPJ–9–999–999999

Número de cédula de persona jurídica en el Registro Nacional, debe ser validada durante el proceso de registro.

En el caso de suscriptor persona sica:



Organiza on (O) PERSONA FISICA

La polí ca iden fi ca si se trata de un cer fi cado para: Persona Física, Persona Jurídica o Sellado de Tiempo, o bien otra defi nida por la jerarquía nacional de cer fi cadores registrados.


CIUDADANOLa clase de cer fi cado es: CIUDADANO, EXTRANJERO o DIPLOMATICO.

Common NameJUAN PEREZ

PÉREZ (FIRMA)

Nombre del suscriptor, según documento de iden fi cación ofi cial, en mayúsculas y sin ldes El propósito debe ser FIRMA o AUTENTICACION.

4 Los valores en itálica son colocados a manera de ejemplo.


73


CPF–01–0449–0161

El formato del documento de iden fi cación se especifi ca en la sección 3.1.4 “Reglas para la interpretación de varias formas de nombres”.

Surname (SN) {OID:2.5.4.4}

PEREZ PEREZSe registran los dos apellidos del suscriptor, en mayúsculas y sin ldes.

GivenName (G){OID:2.5.4.42}

JUANSe registra el nombre del suscriptor, en mayúsculas y sin ldes.

En el caso de suscriptor para persona jurídica:


Country (C) CREl código de país es asignado de acuerdo al es-tándar ISO 3166.

Organiza on (O)PERSONA JURÍDICA

La polí ca iden fi ca si se trata de un cer fi cado para: Persona Física, Persona Jurídica o Sellado de Tiempo, o bien otra defi nida por la jerarquía nacional de cer fi cadores registrados.


Iden fi cador opcional para unidades organiza-cionales vinculadas jurídicamente a la persona jurídica solicitante.

Common Name

CORTE SUPREMA DE

JUSTICIA (SELLO ELECTRONICO)

Razón social/Nombre de la persona jurídica que solicita el cer fi cado, según la información del Registro de Personas Jurídicas de Registro Nacional. El propósito debe ser SELLO ELEC-TRÓNICO o AGENTE ELECTRÓNICO.


CPJ–2–300–042155

El formato de la cédula de persona jurídica se especifi ca en la sección 3.1.4 “Reglas para la interpretación de varias formas de nombres”.

Subject Alterna ve Name {OID:2.5.29.17}

Dns=www.poder–judicial.

go.cr

Valor opcional donde se coloca el nombre del dominio, y aplica únicamente para los cer fi ca-dos de AGENTE ELECTRÓNICO.

En el caso de suscriptor para autoridad de sellado de empo:


Country (C) CREl código de país es asignado de acuerdo al es-tándar ISO 3166.

Organiza on (O)LABORATORIO

COSTARRICENSE DE METROLOGIA

Nombre de la empresa o ins tución que solici-ta el cer fi cado.


74


0001

Iden fi cador consecu vo para la autoridad de sellado de empo. Este campo es responsabili-dad de la empresa o ins tución proporcionar-lo, y es u lizado para mantener la con nuidad del negocio.

Common Name

TSA LABORATORIO

COSTARRICENSE DE METROLOGIA

TSA + Nombre de la persona jurídica, según la información del Registro de Personas Jurídicas de Registro Nacional. Se concatena el propósi-to de TSA (Time Stamping Authority) para indi-car que es una autoridad de sellado de empo.


CPJ–3–007–351220

El formato de la cédula de persona jurídica se especifi ca en la sección 3.1.4 “Reglas para la interpretación de varias formas de nombres”.

3.1.2 Necesidad de nombres signifi ca vos

El nombre signifi ca vo corresponde al nombre especifi cado en el documento ofi cial presentado por el solicitante en el momento de re-gistro. Además para evitar errores de interpretación en el nombre de personas sicas, se registra el nombre y los apellidos en atributos sepa-rados (GivenName y SurName, respec vamente).

3.1.3 Anonimato o pseudónimos de los suscriptores

De acuerdo con la ley 8454, “Ley de cer fi cados, fi rmas digitales y documentos electrónicos” y su reglamento, los cer fi cados de fi rma digital no admiten anonimato para cumplir con el requisito de “No Re-pudio”. El pseudónimo no se considera un nombre signifi ca vo del soli-citante y no se u lizará como parte del cer fi cado.

3.1.4 Reglas para la interpretación de varias formas de nombres

Cer fi cados de CA emisora

La cédula de persona jurídica es defi nida por el Registro de Personas Jurídicas de Registro Nacional y debe cumplir el siguiente formato:

Tipo de documento Prefi jo Formato

Cédula de persona jurídica CPJ CPJ–9–999–999999


75

Cer fi cados de fi rma digital y auten cación de persona sica

El nombre común ene concatenado el propósito del cer fi cado en-tre paréntesis, el cual puede ser únicamente uno de los siguientes:

(FIRMA) (AUTENTICACION)

El número de cédula de persona sica y el número único de perma-nencia deben cumplir el siguiente formato:


Cédula de persona sica CPF CPF–99–9999–9999

Número único de permanencia NUP NUP–9XXX999999995

Cer fi cados de sello electrónico y agente electrónico de persona jurídica y de autoridad de sellado de empo

La cédula de persona jurídica debe cumplir el siguiente formato:


Cédula de persona jurídica CPJ CPJ–9–999–999999

3.1.5 Unicidad de los nombres

Para cada suscriptor, la CA emisora debe asegurar que el “nombre dis n vo del suscriptor” (subject dis nguished name) es único dentro

5 El número único de permanencia (NUP) está conformado por los siguientes elemen-tos:• Código de No Nacional, es un dígito, y siempre se asignan los números 1 o 5.• Código de país, es un código alfanumérico de acuerdo con el ISO–3166 “Códigos

para la representación de los nombres de los países y sus subdivisiones. Parte 1: Códigos de los países.” con formato de 3 letras, por ejemplo: NIC = Nicaragua, CRI = Costa Rica, USA = Estados Unidos de América, COL= Colombia, etc.

• Consecu vo por país, corresponde a la numeración de seis dígitos, que repre-senta la can dad de personas que han ingresado con estatus migratorio al país en el momento de la inscripción.

• Dígitos de verifi cación, son dos dígitos que verifi can la consistencia de la nota-ción para ese extranjero.


76

de la jerarquía nacional de cer fi cadores registrados, a través de una verifi cación dentro del proceso de inscripción.

3.1.6 Reconocimiento, auten cación y rol de las marcas registradas

La jerarquía nacional de cer fi cadores registrados no arbitrará, me-diará o resolverá ninguna disputa concerniente a la propiedad de nom-bres de dominio, nombres de empresas, ins tuciones o personas jurídi-cas, o marcas registradas.

3.2 Validación inicial de iden dad

3.2.1 Método para probar posesión de la llave privada

El solicitante del cer fi cado debe demostrar que posee la llave pri-vada correspondiente a la llave pública que estará listada en el cer fi -cado. El método de prueba de posesión de la llave privada puede ser el PKCS#10, u otras demostraciones criptográfi cas equivalentes, aproba-das por la DCFD.

3.2.2 Auten cación de iden dad de persona jurídica

La iden dad de la persona jurídica solicitante debe ser confi rmada por la CA emisora, o por la RA, donde aplique, de acuerdo con los pro-cedimientos establecidos. Como mínimo, se debe verifi car el nombre o razón social, la cédula de persona jurídica y representante legal debida-mente acreditado contra las bases de datos ofi ciales correspondientes.

En el caso de los cer fi cados de persona jurídica, si el solicitante re-quiere incluir información en el campo “unidad organizacional” (Organi-za on Unit), la CA emisora, o donde aplique, la RA, deberá solicitar toda la información necesaria al suscriptor para garan zar el vínculo jurídico entre la unidad organizacional en cues ón y la persona jurídica solicitan-te.

En el caso de los cer fi cados de agente electrónico de persona jurídi-ca, si el solicitante requiere incluir uno o más nombres DNS en el campo “nombre alterna vo del sujeto” (Subject Alterna ve Name, o también conocido como SAN por sus siglas en inglés), la CA emisora, o donde


77

aplique, la RA, debe verifi car la información de DNS suministrada por el solicitante, contra los datos ofi ciales correspondientes.

3.2.3 Auten cación de iden dad de persona sica

Para la iden fi cación de la persona sica la CA emisora o RA verifi ca la validez y vigencia del documento legalmente aceptado, presentado por el solicitante. Este proceso debe realizarse en forma presencial (cara a cara).

La CA emisora, o donde aplique, la RA, debe verifi car la información suministrada por el solicitante contra los datos ofi ciales correspondien-tes.

3.2.4 Información del suscriptor no verifi cada

No aplica, la información incluida en el cer fi cado es verifi cada du-rante el proceso de auten cación de la iden dad.

3.2.5 Validación de la Autoridad

La CA emisora, o donde aplique, la RA, debe validar la autoridad que posee el solicitante para ges onar un po de cer fi cado específi co. Además, debe validar que el solicitante no posea impedimentos legales de acuerdo a la información ofi cial vigente para tales efectos.

En el caso de cer fi cados de persona sica, debe validar que sea mayor de edad.

En el caso de cer fi cados de persona jurídica, debe validarse que sea un personero o un representante con facultades sufi cientes para hacer la solicitud de los cer fi cados.

La CA emisora, o donde aplique, la RA, debe verifi car la información suministrada por el solicitante contra los datos ofi ciales correspondien-tes.


78

3.2.6 Criterios para interoperabilidad

Se permi rá la interoperabilidad de los cer fi cados emi dos, siem-pre y cuando la CA emisora cumpla con la polí ca de la raíz y estén ads-critas a la jerarquía nacional de cer fi cadores registrados. La homolo-gación de cer fi cados extranjeros se hará de acuerdo con la legislación aplicable y los procedimientos establecidos por la DCFD para tales casos.

3.3 Iden fi cación y auten cación para solicitudes de re–emisión de llaves

3.3.1 Iden fi cación y auten cación para re–emisión de llaves ru na-ria

No se permite la re–emisión de cer fi cados. En dado caso, se debe optar por un nuevo cer fi cado.

3.3.2 Iden fi cación y auten cación para la re–emisión de llaves des-pués de una revocación

Bajo estas circunstancias la re–emisión de llaves no aplica.

3.4 Iden fi cación y auten cación para solicitudes de revocación

Los procedimientos de revocación deben asegurar, previo a cual-quier revocación, que la solicitud de revocación ha sido generada por el suscriptor del cer fi cado o por una en dad autorizada para tales propó-sitos.

Los procedimientos aceptados para la auten cación de solicitudes de revocación presentadas por el suscriptor incluyen alguno de los si-guientes medios:

La recepción de un mensaje fi rmado digitalmente por el sus-criptor del cer fi cado.

Mediante la validación de una “frase de desa o” (challenge phrase).

Presencialmente, a través de los procesos de auten cación de iden dad (secciones 3.2.2 y 3.2.3).


79

Cualquier otro medio aprobado por la DCFD que permita una auten cación robusta.

Los procedimientos aceptados para la auten cación de solicitudes de revocación presentadas por una en dad autorizada para tales efec-tos (ver sección 4.9.2), incluye la recepción de un mensaje fi rmado por una autoridad competente.

4. Requerimientos operacionales del ciclo de vida del cer fi cado

4.1 Solicitud de cer fi cado

4.1.1 Quién puede presentar una solicitud de cer fi cado

En la siguiente lista se detallan las personas que pueden presentar una solicitud de cer fi cado:

Para el caso de cer fi cados de CA de polí cas, el Director de Cer fi cadores de Firma Digital.

Para el caso de cer fi cados de CA emisoras, el representante legal o apoderado con poderes sufi cientes de la en dad a ser registrada.

Para el caso de cer fi cados de fi rma digital y auten cación de persona sica, cualquier persona mayor de edad con un docu-mento de iden dad legalmente aceptado, que será el sujeto a cuyo nombre se emita el cer fi cado.

Para el caso de cer fi cados de sello electrónico y agente elec-trónico de persona jurídica, el personero o representante con facultades sufi cientes de la persona jurídica a la que representa (por ejemplo un tramitador de cer fi cados digitales de persona jurídica debidamente registrado ante el Registro Nacional).

Para los cer fi cados de Autoridad de Sellado de Tiempo, el re-presentante legal o apoderado con poderes sufi cientes de la en dad de sellado de empo (TSA).


80

4.1.2 Proceso de inscripción y responsabilidades

Durante el proceso de inscripción, el solicitante debe fi rmar un acuerdo de suscriptor, donde se establecen las responsabilidades y de-beres asumidos con el uso del cer fi cado.

La DCFD ene la responsabilidad de:

Ejecutar el proceso de registro y verifi cación de iden dad de las CA emisoras.

Velar porque la en dad solicitante cumpla los requisitos esta-blecidos en la Ley 8454, Ley de cer fi cados, fi rmas digitales y documentos electrónicos y su reglamento.

Informar al suscriptor de sus deberes y responsabilidades con respecto al uso del cer fi cado.

Emi r el cer fi cado de acuerdo con la información suministra-da en la solicitud de cer fi cado.

La CA emisora ene la responsabilidad de:

Validar la iden dad de la RA que remite las solicitudes. Validar la información suministrada en la solicitud. Emi r el cer fi cado de acuerdo con la información suministra-

da en la solicitud. Enviar el cer fi cado a la RA para que sea entregado al suscrip-

tor.

La RA ene la responsabilidad de:

Ejecutar el proceso de registro y verifi cación de iden dad y de las facultades del solicitante para solicitar un determinado cer- fi cado dependiendo del po de cer fi cado.

Remi r la solicitud de cer fi cado digital a la CA emisora, fi rma-da digitalmente.

Informar al suscriptor de sus deberes y responsabilidades con respecto al uso del cer fi cado.

El solicitante ene las siguientes responsabilidades dependiendo del po de cer fi cado:


81


Completar el formulario de inscripción de cer fi cado y proveer información correcta y verdadera. Esta información debe pre-sentarse ante la RA, para este caso la DCFD.

Presentar un documento de iden fi cación legalmente acep-tado y vigente, así como una personería jurídica vigente (con menos de un mes de emi da) donde se establezca su relación como representante legal o apoderado con poderes sufi cientes de la empresa o ins tución a cer fi car.

Generar la solicitud de cer fi cado de forma que se demuestre la posesión de la llave privada correspondiente a la llave públi-ca entregada, cumpliendo lo es pulado en el apartado 3.2.1.

Firmar el acuerdo de suscriptor.


Completar el formulario de inscripción de cer fi cado y proveer información correcta y verdadera.

Presentar un documento de iden fi cación legalmente acepta-do y vigente.

Ingresar confi dencialmente la “frase de desa o” (“challenge phrase”), que será requerida en el proceso de revocación del cer fi cado.

Generar la solicitud de cer fi cado de forma que se demuestre la posesión de la llave privada correspondiente a la llave pú-blica entregada, cumpliendo con lo dispuesto en el apartado 3.2.1.


Cer fi cados de sello electrónico y agente electrónico de persona jurídica

Completar el formulario de inscripción de cer fi cados y pro-veer información correcta y verdadera.

Presentar un documento de iden fi cación legalmente acepta-do y vigente, así como una personería jurídica con menos de un mes de emi da, o los documentos legales sufi cientes que


82

garan cen su relación como personero o representante con fa-cultades sufi cientes de la persona jurídica solicitante. Para los cer fi cados de agente electrónico, en el caso de requerir que uno o varios nombres DNS formen parte del campo nombre alterna vo del sujeto (Subject Alterna ve Name o SAN por sus siglas en inglés) es necesario que el personero o representan-te con facultades sufi cientes de la persona jurídica solicitante, presente evidencia de que el nombre de dominio solicitado está registrado a nombre de la persona jurídica que representa (ver sección 7.1.2.3).

Generar la solicitud de cer fi cado cumpliendo con el apartado 3.2.1 de este CP y presentarla ante la CA, con lo que se demues-tra la posesión de la llave privada correspondiente a la llave pública entregada.


Cer fi cados de Autoridad de Sellado de Tiempo (TSA)

Completar el formulario de inscripción de cer fi cado y proveer información correcta y verdadera ante la DCFD.

Cumplir con todas las responsabilidades señaladas anterior-mente para solicitante de cer fi cados de sello electrónico y agente electrónico de persona jurídica.

4.2 Procesamiento de la solicitud de cer fi cado

4.2.1 Ejecución de las funciones de iden fi cación y auten cación

Cer fi cados de CA emisora y de autoridad de sellado de empo

La encargada de estas funciones es la DCFD, en dad que debe velar por el cumplimiento de la iden fi cación y la auten cación de acuerdo con las disposiciones establecidas en la sección 3.2.

Cer fi cados de fi rma digital y auten cación de persona sica o cer- fi cados de sello electrónico y agente electrónico de persona jurídica

La encargada de estas funciones es la autoridad de registro (RA), o donde aplique la CA, que debe velar por el cumplimiento de la iden fi -


83

cación y la auten cación de acuerdo con las disposiciones establecidas en la sección 3.2.

4.2.2 Aprobación o rechazo de solicitudes de cer fi cado

Cer fi cados de CA emisora y de autoridad de sellado de empo (TSA)

La DCFD debe administrar y supervisar el proceso de cer fi cación, en par cular lo concerniente a la aceptación o rechazo de las aplicaciones para cer fi cados de autoridad cer fi cadora. Para optar por un cer fi cado de autoridad cer fi cadora, la CA solici-tante debe cumplir con todos los requisitos establecidos en la Ley 8454, su Reglamento y demás lineamientos establecidos por la DCFD.


La RA debe rechazar cualquier solicitud de cer fi cado que no cum-pla con la Ley, su Reglamento y demás lineamientos establecidos por la DCFD. Asimismo, la CA emisora debe rechazar cualquier solicitud prove-niente de una RA que no cumpla con los requisitos para la emisión del cer fi cado.

4.2.3 Tiempo para procesar solicitudes de cer fi cado

El empo de procesamiento de solicitudes de cer fi cados ( empo entre la solicitud emi da a la CA y la emisión del cer fi cado al suscrip-tor) de persona sica, cuando el proceso se realice en forma automá ca, no debe ser mayor a diez minutos.

En cualquier otro caso, las CA y RA procesarán las solicitudes de cer- fi cados dentro de un empo razonable, a menos que se especifi quen

otros parámetros en el acuerdo de suscriptor, en la CPS o en otros acuer-dos entre los par cipantes.


84

4.3 Emisión de cer fi cado

4.3.1 Acciones de la CA durante la emisión de cer fi cados

Cer fi cados de CA y cer fi cados de autoridad de sellado de empo (TSA)

La CA debe verifi car que el solicitante cumple con los requisitos de esta polí ca, con las normas técnicas y con la legislación aplicable.


La CA debe verifi car que las solicitudes de cer fi cado provengan de RAs autorizadas. Una vez creado el cer fi cado, la CA debe remi rlo a la RA desde la cual ingresó la solicitud.

4.3.2 No fi cación al suscriptor por parte de la CA sobre la emisión del cer fi cado

Cer fi cados de CA emisora y cer fi cados de autoridad de sellado de empo (TSA)

La DCFD debe no fi car a la CA emisora o la TSA solicitante sobre la emisión del cer fi cado, de acuerdo a los procedimientos defi nidos para tales efectos.


En este caso, la entrega del cer fi cado es presencial por lo tanto la no fi cación es inmediata.


Cuando las circunstancias lo permitan, la RA, o donde aplique la CA, entregará los cer fi cados en forma presencial, en cuyo caso la no fi ca-ción será inmediata. En cualquier otro caso, la no fi cación se realizará de acuerdo a los procedimientos defi nidos para tales efectos.


85

4.4 Aceptación de cer fi cado

4.4.1 Conducta cons tu va de aceptación de cer fi cado

Cer fi cados de CA emisora y cer fi cados de autoridad de sellado de empo (TSA)

El proceso de instalación del cer fi cado respec vo por parte de la CA emisora o TSA solicitante, cons tuirá la aceptación del cer fi cado.


El cer fi cado se da por aceptado cuando la persona fi rma digital-mente un comprobante de aceptación del cer fi cado entregado, esta es la primera vez que se usa y permite al suscriptor verifi car que el cer fi -cado está funcionando correctamente.


El proceso de instalación de los cer fi cados respec vos por parte de la persona jurídica que u liza los cer fi cados, cons tuirá la aceptación de los cer fi cados.

4.4.2 Publicación del cer fi cado por la CA

La CA no debe publicar información de los cer fi cados emi dos en los repositorios de acceso público.

4.4.3 No fi cación de la emisión del cer fi cado por la CA a otras en -dades

No se defi nen en dades externas que necesiten o requieran ser no- fi cadas acerca de los cer fi cados emi dos por las CA.


86

4.5 Uso del par de llaves y del cer fi cado

4.5.1 Uso de la llave privada y del cer fi cado por el suscriptor

El uso de la llave privada correspondiente a la llave pública contenida en el cer fi cado solamente debe ser permi do una vez que el suscrip-tor haya aceptado el cer fi cado emi do. Dicho uso debe realizarse en concordancia con la norma va aplicable, lo es pulado en este CP, y los contratos de suscriptor respec vos.

Los suscriptores deben proteger sus llaves privadas del uso no auto-rizado y deben descon nuar su uso después de la expiración o revoca-ción del cer fi cado.

Cer fi cados de CA

• CA raíz: la llave privada sólo puede ser u lizada para fi rmar cer- fi cados de CA de polí cas.

• CA polí cas: Las CA de polí cas son CA emisoras cuya llave pri-vada únicamente puede ser u lizada para fi rmar cer fi cados de CA emisoras subordinadas (SubCa) y autoridades cer fi ca-doras de sellado de empo.

• CA emisora de persona sica o persona jurídica: la llave privada solo debe ser u lizada para fi rmar cer fi cados de auten cación y fi rma digital de personas sicas o cer fi cados de sello electró-nico y agente electrónico de personas jurídicas.


El uso que se le dé a los cer fi cados de persona sica debe ser acor-de con lo dispuesto en la sección 6.1.7.


87

Cer fi cados de sello electrónico de persona jurídica

Los cer fi cados de sello electrónico serán u lizados para actos de la persona jurídica suscriptora, salvo aquellos casos donde se determine su inadmisibilidad legal o administra va. Dichos actos generan respon-sabilidad de conformidad con el Ar culo 10 de la Ley de Cer fi cados, Firmas Digitales y Documentos Electrónicos No. 8454. 6

Cada persona jurídica deberá desarrollar y establecer los mecanis-mos de seguridad informá ca y de infraestructura sica, así como los reglamentos, procedimientos o polí cas que considere per nentes para resguardar y delimitar el uso de dicho cer fi cado en su organización.

Las personas jurídicas que hagan uso de los cer fi cados de sello electrónico deberán proveer las herramientas necesarias y adecuadas para que tanto los ciudadanos como otras administraciones puedan ver-ifi car la validez de sus sellos electrónicos.

Con respecto a la u lización de las llaves, el uso que se le dé a los cer- fi cados de sello electrónico debe ser acorde con lo dispuesto la sección

6.1.7.

Cer fi cados de agente electrónico de persona jurídica

Con respecto a la u lización de las llaves, el uso que se le dé a los cer fi cados de agente electrónico debe ser acorde con lo dispuesto la sección 6.1.7.

Cer fi cados autoridad de sellado de empo (TSA)

La llave privada solo debe ser u lizada para prestar el servicio de sellado de empo.

6 Ar culo 10.– Presunción de autoría y responsabilidad Todo documento, mensaje electrónico o archivo digital asociado a una fi rma

digital cer fi cada se presumirá, salvo prueba en contrario, de la autoría y res-ponsabilidad del tular del correspondiente cer fi cado digital, vigente en el momento de su emisión.


88

4.5.2 Uso de la llave pública y del cer fi cado por la parte que con a

Las partes que con an deben aceptar las es pulaciones establecidas en este CP, en lo que les resulte aplicable, como condición indispensable para confi ar en el cer fi cado.

La confi anza en un cer fi cado debe ser razonable, de acuerdo con las circunstancias. Si las circunstancias indican la necesidad de verifi ca-ciones adicionales, la parte que con a debe obtener tales verifi caciones para que la confi anza sea considerada razonable.

Antes de cualquier acto de confi anza las partes que con an deben evaluar en forma independientemente:

La per nencia del uso del cer fi cado para cualquier propósito dado y determinar que la voluntad del cer fi cado, de hecho, sea u lizada para un propósito apropiado que no está prohibi-do o de otra forma restringido por este CP. Las CA o RA no son responsables por la evaluación de la per nencia en el uso de un cer fi cado.

Que el cer fi cado sea u lizado de acuerdo con las disposi-ciones de esta CP (por ejemplo: Si en el cer fi cado faltan los propósitos de fi rma y no repudio en el atributo de KeyUsage, entonces el cer fi cado no puede ser confi able para validar la fi rma de un suscriptor).

El estado del cer fi cado y el estado de todos los cer fi cados de las CA en la cadena que emi eron el cer fi cado. Si cualquiera de los cer fi cados en la cadena del cer fi cado ha sido revoca-do, la parte que con a es la única responsable de inves gar si la confi anza en una fi rma digital efectuada por un suscriptor antes de la revocación de un cer fi cado en la cadena es razo-nable. Cualquier confi anza de este po es asumida únicamente bajo el riesgo de la parte que con a.

Si se determina que el uso del cer fi cado es apropiado, las partes que con an deben u lizar el hardware y so ware necesario para ejecu-tar la verifi cación de la fi rma digital u otra operación criptográfi ca que ellos deseen efectuar, como una condición para confi ar en los cer fi ca-dos relacionados con tales operaciones.


89

4.6 Renovación de cer fi cado

La renovación del cer fi cado no está permi da por esta CP, cuando un cer fi cado requiera ser renovado debe solicitarse un nuevo cer fi ca-do, de acuerdo con la sección 4.1 de este CP.

4.6.1 Circunstancias para renovación de cer fi cado

No aplica.

4.6.2 Quién puede solicitar renovación

No aplica.

4.6.3 Procesamiento de solicitudes de renovación de cer fi cado

No aplica.

4.6.4 No fi cación al suscriptor sobre la emisión de un nuevo cer fi -cado

No aplica.

4.6.5 Conducta cons tu va de aceptación de un cer fi cado renova-do

No aplica.

4.6.6 Publicación por la CA del cer fi cado renovado

No aplica.

4.6.7 No fi cación por la CA de la emisión de un cer fi cado a otras en dades

No aplica.


90

4.7 Re–emisión de llaves de cer fi cado

La re–emisión del cer fi cado no está permi da por esta CP, cuando un cer fi cado requiera ser re–emi do debe solicitarse un nuevo cer fi -cado, de acuerdo con la sección 4.1 de este CP.

4.7.1 Circunstancia para re–emisión de llaves de cer fi cado

No aplica.

4.7.2 Quién puede solicitar la cer fi cación de una nueva llave pública

No aplica.

4.7.3 Procesamiento de solicitudes de re–emisión de llaves de cer fi -cado

No aplica.

4.7.4 No fi cación al suscriptor sobre la reemisión de un nuevo cer -fi cado

No aplica.

4.7.5 Conducta cons tu va de aceptación de un cer fi cado reemi -do

No aplica.

4.7.6 Publicación por la CA de los cer fi cados reemi dos

No aplica.

4.7.7 No fi cación por la CA de la reemisión de un cer fi cado a otras en dades

No aplica.


91

4.8 Modifi cación de cer fi cados

4.8.1 Circunstancias para modifi cación del cer fi cado

Cuando se requiera la modifi cación de la información contenida en un cer fi cado debe revocarse y realizar una solicitud para un nuevo cer- fi cado, de acuerdo con la sección 4.1.

4.8.2 Quién puede solicitar modifi cación del cer fi cado

No aplica.

4.8.3 Procesamiento de solicitudes de modifi cación del cer fi cado

No aplica.

4.8.4 No fi cación al suscriptor de la emisión de un nuevo cer fi cado

No aplica.

4.8.5 Conducta cons tu va de aceptación del cer fi cado modifi cado

No aplica.

4.8.6 Publicación por la CA de los cer fi cados modifi cados

No aplica.

4.8.7 No fi cación por la CA de emisión de cer fi cado a otras en da-des

No aplica.

4.9 Revocación y suspensión de cer fi cado

4.9.1 Circunstancias para la revocación

Cer fi cados de CA:


92

A pe ción de la CA que considera o sospecha que su llave priva-da fue comprome da.

Iden fi cación o componentes de afi liación inválidos. Violación del acuerdo de suscriptor. Insolvencia, cese de ac vidades, quiebra o liquidación de la CA. Se comprueba la expedición de cer fi cados falsos. Reincidencia en cualquiera de las infracciones que le hayan

merecido una sanción de suspensión, dentro de los cinco años siguientes.

Cuando se enen razones para creer que el cer fi cado no fue emi do de acuerdo a los lineamientos de la CP aplicable.

Cuando se determina que los pre–requisitos para la emisión del cer fi cado no fueron sa sfechos.

Cer fi cados de fi rma digital y auten cación de persona sica, de sello electrónico y agente electrónico de persona jurídica, y de sellado de empo:

A pe ción del suscriptor, a favor de quién se expidió, quién e-ne razones o sospechas para creer que su llave privada ha sido comprome da.

Cuando se confi rme que el suscriptor ha comprome do su confi abilidad, desatendiendo los lineamientos de seguridad es-tablecidos, suplido información falsa al cer fi cador u omi do otra información relevante, con el propósito de obtener o re–emi r el cer fi cado.

Por fallecimiento (en el caso de persona sica), ausencia legal-mente declarada, interdicción o insolvencia.

Cuando el suscriptor fi naliza el contrato por voluntad propia. Por errores de información del cer fi cado, por ejemplo el nom-

bre del suscriptor o alguno de los atributos. El acuerdo entre el suscriptor y la CA emisora se ha terminado. Cuando se enen razones para creer que el cer fi cado no fue

emi do de acuerdo a los lineamientos de la CP aplicable. Cuando se determina que los pre–requisitos para la emisión del

cer fi cado no fueron sa sfechos. Cuando la información incluida dentro del cer fi cado es inco-

rrecta o ha cambiado. Para el caso de los cer fi cados de persona jurídica, cuando ven-


93

za el plazo social de la persona jurídica o cuando la misma sea disuelta.

Adicionalmente, cuando se determine que el uso del cer fi cado atenta contra la seguridad del Sistema Nacional de Cer fi cación Digital. Esto se determinará con base en la legislación aplicable, la naturaleza y el número de denuncias recibidas, la iden dad del denunciante, y cual-quier otra que la DCFD determine.

4.9.2 Quién puede solicitar revocación

De pleno derecho el suscriptor del cer fi cado puede solicitar la revo-cación de su cer fi cado, ya sea por voluntad propia o por compromiso de su llave privada. En caso de sospecha o compromiso de su llave priva-da, la no fi cación debe realizarla en forma inmediata a la CA correspon-diente.

Para todos los casos, la CA emisora del cer fi cado y la autoridad ju-dicial competente pueden solicitar la revocación del cer fi cado. Asimismo, pueden solicitar la revocación los siguientes par cipantes se-gún el po de cer fi cado: Para cer fi cados de CA emisora o TSA

El representante legal o apoderado con poderes sufi cientes de la CA emisora o TSA.

La DCFD. Para cer fi cados de fi rma digital y auten cación de persona -sica

El Tribunal Supremo de Elecciones, en caso de fallecimiento.

Para cer fi cados de sello electrónico y agente electrónico de persona jurídica

El personero o representante con facultades sufi cientes de la persona jurídica suscriptora del cer fi cado (por ejemplo el tra-mitador de cer fi cados digitales de persona jurídica vigente y


94

debidamente registrado ante el Registro Nacional).

El Registro Nacional, por medio de su registro de personas jurí-dicas.

Además, cualquier persona puede solicitar la revocación de un cer -fi cado ante la CA correspondiente presentando evidencia contundente que revele el compromiso de la llave privada del suscriptor.

4.9.3 Procedimiento para la solicitud de revocación

Verifi car que la solicitud de revocación ha sido presentada por el sus-criptor del cer fi cado o por una autoridad competente, de acuerdo con la sección 3.4.

Las solicitudes para la revocación de cer fi cados de CA emisoras de-ben ser auten cadas por sus en dades superiores dentro de la jerarquía nacional de cer fi cadores registrados, para asegurar que la revocación de una CA emisora ha sido solicitada por una en dad autorizada para tales efectos.

Para los casos donde un suscriptor posea dos o más cer fi cados vi-gentes del mismo po y propósito, la CA emisora tendrá la responsabili-dad de brindar al suscriptor la información sufi ciente que le permita de-terminar con exac tud cuál de los cer fi cados es el que dicho suscriptor desea revocar, así como de informarle al momento de la revocación del estado de sus otros cer fi cados vigentes.

4.9.4 Periodo de gracia para solicitud de revocación

No se es pulan periodos de gracia para revocación de cer fi cados, salvo los impuestos por la ley para realizar apelaciones.

4.9.5 Tiempo dentro del cual la CA debe procesar la solicitud de revo-cación

Las solicitudes de revocación deben ser procesadas en un rango de empo razonable, de acuerdo con el procedimiento para la solicitud de

revocación (ver sección 4.9.3). Cuando la solicitud provenga del suscrip-


95

tor y se u licen mecanismos electrónicos automa zados, la revocación debe realizarse en forma inmediata.

4.9.6 Requerimientos de verifi cación de revocación para las partes que con an

Las partes que con an deben evaluar el estado del cer fi cado y el estado de todos los cer fi cados de las CA en la cadena a la que pertene-ce el cer fi cado, antes de confi ar en él.

En caso de que cualquiera de los cer fi cados en la cadena del cer fi -cado haya sido revocado, la parte que con a es la única responsable de inves gar si la confi anza en una fi rma digital efectuada por un suscriptor antes de la revocación de un cer fi cado en la cadena es razonable. Cual-quier confi anza de este po es asumida únicamente bajo el riesgo de la parte que con a. Para estos propósitos las partes que con an pueden verifi car el estado del cer fi cado mediante el servicio de OCSP o la lista de revocación más reciente, de acuerdo con su grado de tolerancia al riesgo.

4.9.7 Frecuencia de emisión de CRL

CA Raíz

La CA Raíz debe actualizar su lista de revocación cada cuatro meses y cada vez que se presente una revocación del cer fi cado de una CA de Polí cas, en cuyo caso se debe no fi car a las CA subsecuentes.

CA de Polí cas

La CA de Polí cas debe actualizar su lista de revocación cada dos meses y cada vez que se presente una revocación del cer fi cado de una CA emisora, en cuyo caso se debe no fi car a todas las CA emisoras.

CA emisora

La CA emisora debe actualizar y publicar las listas de revocación al menos una vez a la semana. Además deberá publicar los Delta CRL una vez al día.


96

4.9.8 Latencia máxima para CRLs

La CA o TSA debe publicar la CRL en el repositorio en un plazo no mayor a dos horas posterior a su generación.

4.9.9 Disponibilidad de verifi cación de revocación/estado en línea

Todas las CA o TSA deben mantener disponible un repositorio con in-formación del estado de los cer fi cados emi dos por ésta, el cual puede ser accedido vía Web. Adicionalmente, para la CA emisora registrada es obligatorio implementar el servicio de validación en línea OCSP.

4.9.10 Requerimientos para verifi car la revocación en línea

La parte que con a debe verifi car el estado de un cer fi cado en el cual desea confi ar, u lizando los mecanismos de verifi cación del estado de cer fi cados establecidos en la sección anterior.

4.9.11 Otras formas de advertencias de revocación disponibles

No se es pulan.

4.9.12 Requerimientos especiales por compromiso de llaves reemi -das

La DCFD debe no fi car en el menor empo posible a todos los par -cipantes de la jerarquía nacional de cer fi cadores registrados acerca del compromiso de la llave privada de alguna de las CA.

4.9.13 Circunstancias para suspensión

4.9.13.1 Suspensión de cer fi cados para personas sicas o cer fi ca-dos para de personas jurídicas

De conformidad con el ar culo 14 de la ley 8454 de cer fi cados digi-tales, las circunstancias de suspensión son:

a. Por pe ción del propio usuario a favor de quién se expidió el cer fi cado.


97

b. Como medida cautelar, cuando el cer fi cador que lo emi ó tenga sospechas fundadas de que el propio usuario haya com-prome do su confi abilidad, para obtener el cer fi cado.

c. Si contra el usuario se ha dictado auto de apertura a juicio, por delitos en cuya comisión se haya u lizado la fi rma digital.

d. Por no cancelar oportunamente el costo del servicio.

Para los efectos prác cos se puede implementar la suspensión de cer fi cados de personas sicas o de personas jurídicas, como la anula-ción técnica del cer fi cado, que evite que pueda seguir siendo u lizado para el propósito de fi rma por parte del suscriptor. Además, ninguna CA emisora podrá expedirle un cer fi cado de fi rma o sello electrónico mientras el estado de suspensión se encuentre vigente. Este aspecto será determinado por las declaraciones de prác cas de cer fi cación o el acuerdo de suscriptor defi nido por la CA que emita los cer fi cados.

4.9.13.2 Suspensión de una CA

Se puede suspender una CA emisora, si existe una orden judicial o por decisión de la DCFD, o cuando el ECA acredite que la CA emisora incumple las obligaciones que le impone la ley 8454 y su reglamento. Para este caso en par cular el reglamento defi ne la suspensión de la CA emisora en el ar culo 32, como la imposibilidad para el cer fi cador sancionado de expedir nuevos cer fi cados digitales o de renovar los que expiren durante el plazo de suspensión. Esta suspensión no afectará a los cer fi cados emi dos previamente.

4.9.14 Quién puede solicitar la suspensión

De pleno derecho, el suscriptor del cer fi cado puede solicitar la sus-pensión de su propio cer fi cado.

Asimismo, pueden solicitar la suspensión otros par cipantes según el po de cer fi cado:


98

Cer fi cados de CA y cer fi cados de autoridad de sellado de em-po (TSA)

El representante legal o apoderado con poderes sufi cientes de la CA emisora o TSA.

El Ente Costarricense de Acreditación. La autoridad judicial competente. La DCFD.


La autoridad judicial competente. La CA emisora.


El personero o representante con facultades sufi cientes de la persona jurídica suscriptora del cer fi cado, o el tramitador de cer fi cados digitales de persona jurídica vigente y debidamen-te registrado ante el Registro Nacional.

La autoridad judicial competente. La CA emisora.

4.9.15 Procedimiento para la solicitud de suspensión

El procedimiento de suspensión depende del po de cer fi cado y del solicitante de la suspensión, de acuerdo con:

Cer fi cados de CA emisora o TSA

El representante legal o apoderado con poderes sufi cientes de la CA emisora debe:o Presentar un documento de iden fi cación legalmente

aceptado y vigente, así como la personería jurídica vigen-te (con menos de un mes de emi da) donde se establezca su relación como representante legal o apoderado con poderes sufi cientes de la empresa o ins tución suscripto-ra del cer fi cado.


99

o Implementar los controles y procedimientos para no ex-pedir nuevos cer fi cados digitales o de renovar los que expiren durante el plazo de suspensión.

Ente Costarricense de Acreditación (ECA)o Comunicar a la DCFD el incumplimiento de la acreditación

o de las obligaciones que imponen la ley 8454, Ley de cer- fi cados, fi rmas digitales y documentos electrónicos y su

reglamento. La autoridad judicial competente

o Remi r a la DCFD la resolución en la que se ordena la sus-pensión, los alcances y los plazos de la misma.

La DCFDo No fi car a la CA correspondiente las razones por las cua-

les se le va a suspender.o Recibir las pruebas de descargo correspondientes, en

caso de que las hubieran.o Comunicar a las CA emisoras la resolución correspondien-

te.


Suscriptor del cer fi cadoo Puede presentarse ante una RA de la CA que emi ó el cer-

fi cado y solicitar la suspensión.o Puede solicitar la suspensión vía web, proporcionando la

respuesta a la “frase desa o” (challenge phrase) que su-ministró durante el proceso de aplicación del cer fi cado.

o Puede solicitar la suspensión a través del centro de aten-ción al cliente de la CA que emi ó el cer fi cado.

o Por cualquier otro medio autorizado por la DCFD y que cumpla con un mecanismo de auten cación robusto.

La autoridad judicial competenteo Remi r a la DCFD la resolución en la que se ordena la sus-

pensión, los alcances y los plazos de la misma.o La DCFD comunica a la CA emisora respec va, la resolu-

ción judicial para suspender el cer fi cado de fi rma digital emi do para el suscriptor en cues ón.

La CA emisorao Contar con las jus fi caciones para emi r la suspensión.


100

o Si la suspensión es recurrida ante la Dirección de Cer fi -cadores de Firma Digital, la CA emisora debe esperar la resolución de la DCFD para suspender el cer fi cado.

o Si fuera el caso, se procede con la suspensión (o revoca-ción) del cer fi cado.


El personero o representante con facultades sufi cientes de la persona jurídica suscriptora del cer fi cado, o el tramitador de cer fi cados digitales de persona jurídica vigente y debidamen-te registrado ante Registro Nacional debe:o Presentar ante la autoridad de registro correspondiente,

la documentación que lo acredita como personero o re-presentante con facultades sufi cientes o tramitador de cer fi cados digitales de la persona jurídica.

o Solicitar la suspensión del cer fi cado. La autoridad judicial competente:

o Remi r a la DCFD la resolución en la que se ordena la sus-pensión, los alcances y los plazos de la misma.

La CA emisora:o Contar con las jus fi caciones para emi r la suspensión.o Si la suspensión es recurrida ante la Dirección de Cer fi -

cadores de Firma Digital, la CA emisora debe esperar la resolución de la DCFD para suspender el cer fi cado.

o Si fuera el caso, se procede con la suspensión (o revoca-ción) del cer fi cado.

4.9.16 Límites del periodo de suspensión

De acuerdo con el ar culo 8 del reglamento de la Ley 8454 de cer- fi cados, fi rmas digitales y documentos electrónicos, la suspensión (o

revocación) se mantendrá por todo el plazo en que subsista la causal que le dio origen.


101

4.10 Servicios de estado de cer fi cado

4.10.1 Caracterís cas operacionales

El estado de los cer fi cados debe estar disponible a través de los CRL publicados en un si o Web (en el URL especifi cado en el CP) y para las CA emisoras de cer fi cados de fi rma digital de personas sicas, es obligatorio implementar un servicio OCSP.

4.10.2 Disponibilidad del servicio

La CA debe mantener los servicios de verifi cación del estado de los cer fi cados disponibles 24 x 7 x 365.

4.10.3 Caracterís cas opcionales

El servicio OCSP, que permite consultar el estado de cer fi cados es una caracterís ca opcional para la CA de la Raíz y las CAs de polí cas. Sin embargo, para las CA emisoras cons tuye una caracterís ca obligatoria.

4.11 Finalización de la suscripción

Un suscriptor puede fi nalizar su suscripción de las siguientes formas:

Revocando su cer fi cado antes del vencimiento (fecha de expira-ción).

Cuando expira el cer fi cado.

4.12 Custodia y recuperación de llave

4.12.1 Polí ca y prác cas de custodia y recuperación de llave

La CA no debe custodiar llaves de suscriptores para ningún cer fi ca-do cuyo propósito sea de fi rma digital, únicamente se man enen respal-dos de sus propias llaves privadas de acuerdo con el Plan de Con nuidad de Negocio.

Para los efectos de Plan de Con nuidad de Negocio, las llaves pri-vadas de las CA deben estar en custodia y respaldadas bajo estrictas


102

normas de seguridad, y almacenadas en disposi vos criptográfi cos FIPS 140–2 nivel 3, que garan zan la no divulgación de las llaves.

4.12.2 Polí cas y prác cas de recuperación y encapsulación de llave de sesión

Sin es pulaciones para esta sección.

5. Controles operacionales, de ges ón y de instalaciones

La Autoridad Cer fi cadora Raíz man ene controles de seguridad no–técnicos (esto es, controles sicos, procedimientos y de personal) para asegurar la ejecución de las funciones de generación de llave, auten -cación de los sujetos, emisión del cer fi cado, revocación del cer fi cado, auditoría y almacenamiento.

5.1 Controles sicos

5.1.1 Localización y construcción del si o

Las operaciones de la CA deben estar dentro de un ambiente de pro-tección sica que impida y prevenga usos o accesos no autorizados o divulgación de información sensible.

Las instalaciones de la CA deben contar con al menos cuatro períme-tros de seguridad sica (área de recepción, área de servicios de sopor-te– clima zación, energía, comunicaciones, etc.–, área de operación de la CA, área de custodia de material criptográfi co). Un perímetro es una barrera o entrada que provee un control de acceso para individuos y requiere una respuesta posi va para proceder a ingresar a la siguiente área. Cada perímetro sucesivo se encuentra más restringido, con con-troles de acceso más estrictos.

Las instalaciones donde se crean los cer fi cados de la CA se deben proteger con su propio y único perímetro sico, y las barreras sicas (paredes, barrotes) deben ser sólidas, extendiéndose desde el piso real al cielo raso real. Asimismo, estas barreras deben prevenir las emisiones de radiación electromagné ca.


103

5.1.2 Acceso sico

Los controles de acceso sico deben evitar el acceso no autorizado a las instalaciones de la CA. Adicionalmente, el acceso al recinto donde se encuentran las operaciones de la autoridad cer fi cadora debe u lizar controles con 2 factores de auten cación como mínimo (al menos uno de ellos debe ser biométrico).

Cuando las instalaciones operacionales de la CA estén desocupadas, deben estar cerradas con llave y con las alarmas debidamente ac vadas.

Los perímetros deben ser auditados y controlados para verifi car que solo puede tener acceso el personal autorizado debidamente iden fi ca-do.

Los derechos de acceso a las instalaciones de la CA deben revisarse y actualizarse regularmente, al menos cada seis meses o cuando se pre-sente movimiento en el personal relacionado con labores de operación de la CA.

Los visitantes o personal de servicio de soporte tercerizado que re-quiera acceso a las instalaciones operacionales de la CA, deben ser es-coltados y registrarse el responsable de autorizar el acceso, la fecha y hora de entrada y salida.

5.1.3 Energía y aire acondicionado

El equipo de la autoridad cer fi cadora debe protegerse contra fallas en el fl uido eléctrico corriente y otras anomalías en la energía.

Las instalaciones de la CA deben estar equipadas con sistemas de energía primario y de respaldo para asegurar con nuidad del fl uido eléctrico.

Las instalaciones deben contar con sistemas de aire acondicionado redundantes. El equipo instalado para clima zar el recinto, debe ser ca-paz de controlar la humedad rela va del mismo.


104

5.1.4 Exposiciones al agua

Las instalaciones de la CA deben ser construidas y equipadas, y con-tar con procedimientos implementados para prevenir inundaciones y otros daños por exposición al agua.

5.1.5 Prevención y protección contra fuego

Las instalaciones de la CA deberán contar con procedimientos im-plementados para la prevención y protección al fuego. Además de ser construidas y equipadas para prevenir, detectar y suprimir incendios o daños producidos por la exposición a llamas o humo.

5.1.6 Almacenamiento de medios

La CA debe asegurar el adecuado manejo y protección de los me-dios de almacenamiento de información, que contengan datos crí cos o sensi vos del sistema, contra daños accidentales (agua, fuego, electro-magne smo) y debe impedir, detectar y prevenir su uso no autorizado, acceso o su divulgación.

5.1.7 Eliminación de residuos

La CA debe implementar controles para la eliminación de residuos (papel, medios, equipos y cualquier otro desecho) con el fi n de prevenir el uso no autorizado, el acceso o divulgación de información privada y confi dencial contenida en los desechos.

5.1.8 Respaldo fuera de si o

La CA debe mantener respaldos de los datos crí cos del sistema y de cualquier otra información sensi va, incluyendo los datos de auditoría, en una instalación segura fuera del si o principal.

5.2 Controles procedimentales

5.2.1 Roles de confi anza

Los empleados, contra stas y consultores designados para ges onar


105

la infraestructura de confi anza deben ser considerados “personas de confi anza” sirviendo en “roles de confi anza”.

Los roles de confi anza deben incluir, al menos, roles que contemplen las siguientes responsabilidades:

a. responsabilidad general de administrar la implementación de las prác cas de seguridad de la CA;

b. aprobación de la generación, revocación y suspensión de los cer fi cados;

c. instalación, confi guración y mantenimiento de los sistemas de la CA;

d. operación diaria de los sistemas de la CA, respaldo y recupera-ción de sistemas;

e. funciones de auditoria interna para ejecutar la inspección y mantenimiento de las bitácoras del sistema de la CA y de los registros de auditoría;

f. funciones de ges ón del ciclo de vida de llaves criptográfi cas (ejemplo, custodios de componentes de llaves);

g. desarrollo de sistemas de la CA.

5.2.2 Número de personas requeridas por tarea

La CA debe establecer, mantener y ejecutar procedimientos de con-trol rigurosos para asegurar la segregación de funciones, basados en las responsabilidades del trabajo y la can dad de personas de confi anza que ejecutan las tareas sensi vas.

5.2.3 Iden fi cación y auten cación para cada rol

La CA debe confi rmar la iden dad y autorización de todo el personal que intente iniciar labores de confi anza. La auten cación de la iden dad debe incluir la presencia sica de la persona y una verifi cación por me-dio de documentos vigentes de iden fi cación legalmente reconocidos, tales como la cédula de iden dad para los ciudadanos costarricenses, o el documento único de permanencia, en caso de extranjeros.


106

5.2.4 Roles que requieren separación de funciones

Los roles que requieren separación de los deberes incluyen (pero no está limitado) a los encargados de ejecutar las siguientes responsabili-dades:

La validación de información en aplicaciones de cer fi cado y de solicitudes o información del suscriptor.

La aceptación, rechazo, otros procesamientos de la aplicación de cer fi cado, solicitud de revocación, información de afi lia-ción.

La emisión, o revocación de los cer fi cados, incluyendo perso-nal con acceso a porciones restringidas del repositorio.

La generación, emisión o destrucción de los cer fi cados de la CA.

La puesta en operación de la CA en producción. La auditoría interna de la operación de la CA y RA debe ser eje-

cutada por un rol par cular.

5.3 Controles de personal

5.3.1 Requerimientos de experiencia, capacidades y autorización

Las personas seleccionadas para laborar en roles de confi anza deben contar con un contrato y deben:

Haber aprobado exitosamente el programa de entrenamiento apropiado.

Haber demostrado capacidad para ejecutar sus deberes. Haber aceptado las cláusulas de confi dencialidad. No poseer otros deberes que puedan interferir o causar confl ic-

to con los de la CA. No tener antecedentes de negligencia o incumplimiento de la-

bores. No tener antecedentes penales.

5.3.2 Procedimientos de verifi cación de antecedentes

La CA debe contar con procedimientos para verifi car la experiencia y


107

los antecedentes del personal que intenta obtener un rol de confi anza. Algunos aspectos de la inves gación de antecedentes incluyen:

Confi rmación de empleos anteriores. Verifi cación de referencias profesionales. Título académico obtenido. Búsqueda de antecedentes criminales. Verifi cación de registros fi nancieros y credi cios.

La verifi cación de registros fi nancieros y credi cios debe ser repe da para el personal de confi anza al menos una vez cada tres años.

Los antecedentes deben ser evaluados por la CA para tomar las ac-ciones que sean razonables, de acuerdo al po, magnitud y frecuencia del comportamiento descubierto por la inves gación respec va. Los factores revelados en el proceso de verifi cación pueden ser considera-dos como mo vos para re rar al funcionario del puesto de confi anza.

5.3.3 Requerimientos de capacitación

Todo el personal involucrado en las operaciones de la CA debe estar capacitado apropiadamente, en aspectos tales como: operación del sof-tware y hardware, polí cas y procedimientos organizacionales, procedi-mientos de seguridad y operacionales, y las es pulaciones legales.

5.3.4 Requerimientos y frecuencia de re–capacitación

La CA debe capacitar al personal cuando se presenten cambios signi-fi ca vos en las operaciones de la CA, por ejemplo cuando se producen actualizaciones de hardware o so ware, cambios en los sistemas de se-guridad, etc.

La CA debe proveer los programas de entrenamiento y actualización a su personal para asegurar que el personal man ene el nivel requerido de efi ciencia para ejecutar sus labores sa sfactoriamente.

5.3.5 Frecuencia y secuencia en la rotación de las funciones

La CA debe efectuar una rotación de sus roles de trabajo. La frecuen-


108

cia de la rotación del personal debe ser al menos:

una vez cada tres años, para la CA emisora. una vez cada cinco años, para la CA Raíz.

Antes de asumir las nuevas labores, el personal debe recibir a una actualización de la capacitación que le permita asumir las tareas sa s-factoriamente.

5.3.6 Sanciones para acciones no autorizadas

La CA debe ejecutar las acciones administra vas y disciplinarias apropiadas contra el personal que violente las normas de seguridad es-tablecidas en esta polí ca o su CPS, de acuerdo a lo es pulado en el contrato de trabajo defi nido para los roles de confi anza. Además debe llevar un registro de la frecuencia y severidad de las acciones, con el fi n de determinar la sanción que debe ser aplicada.

5.3.7 Requerimientos para contra stas independientes

La CA puede contratar personal externo o consultores solamente si existe una relación claramente defi nida con el contra sta y bajo las si-guientes condiciones:

existe un contrato con cláusulas propias de los roles de confi an-za y es pula sanciones para las acciones no autorizadas.

no se posee personal disponible para llenar los roles de con-fi anza contratados.

los contra stas o consultores cumplen con los mismos requisi-tos del punto 5.3.1.

una vez fi nalizado el servicio contratado se revocan los dere-chos de acceso.

5.3.8 Documentación suministrada al personal

La CA debe suministrar sufi ciente documentación al personal para que ejecute un rol, donde se defi nen los deberes y procedimientos para el correcto desempeño de su función.


109

5.4 Procedimientos de bitácora de auditoría

La CA debe mantener controles para proveer una seguridad razona-ble de que:

los eventos relacionados con el ambiente de operación de la CA, la ges ón de las llaves y los cer fi cados, son registrados exacta y apropiadamente;

se man ene la confi dencialidad y la integridad de los registros de auditoría vigentes y archivados;

los registros de auditoría son archivados completa y confi den-cialmente;

los registros de auditoría son revisados periódicamente por personal autorizado.

5.4.1 Tipos de eventos registrados

La CA debe registrar los pos de eventos que se presentan en sus operaciones. La CA debe mantener las bitácoras manuales o automá -cas, indicando para cada evento la en dad que lo causa, la fecha y hora del mismo. La CA debe registrar los eventos relacionados con:

la ges ón del ciclo de vida de las llaves de la CA; la ges ón del ciclo de vida del disposi vo criptográfi co; la ges ón del ciclo de vida del sujeto de cer fi cado; la información de solicitud de cer fi cados; la ges ón del ciclo de vida del cer fi cado; los eventos sensibles de seguridad;

Las bitácoras de auditoría no deben registrar las llaves privadas de ninguna forma y los relojes del sistema de cómputo de la CA deben estar sincronizados con el servicio de empo UTC–6 para un registro exacto de los eventos.

5.4.2 Frecuencia de procesamiento de la bitácora

El personal de la CA emisora con el rol de auditor debe realizar al me-nos tres revisiones por año de las bitácoras de auditoría, sin necesidad de ser avisadas; mientras que la CA de la Raíz debe realizar al menos una revisión anual de las bitácoras.


110

Además de las revisiones ofi ciales, las bitácoras de auditoría deben ser revisadas en respuesta a una alerta, por irregularidades o incidentes dentro de los sistemas de la CA.

El procesamiento de la bitácora de auditoría consiste en una revisión de las bitácoras y la documentación de los mo vos para los eventos sig-nifi ca vos, y todas las acciones deben ser documentadas.

Las bitácoras de auditorías actuales y archivadas deben ser recupe-radas solamente por personal autorizado, ya sea por razones válidas del negocio o por seguridad.

5.4.3 Periodo de retención para la bitácora de auditoría

Las bitácoras de auditoría deben ser mantenidas en el sistema por al menos dos meses posterior a su procesamiento y deber ser archivadas de acuerdo a la sección 5.5.2.

5.4.4 Protección de bitácora de auditoría

Las bitácoras de auditorías actuales o archivadas deben mantenerse de forma que se prevenga su revelación, modifi cación, destrucción no autorizada o cualquier otra intromisión.

5.4.5 Procedimientos de respaldo de bitácora de auditoría

La CA debe mantener copias de respaldo de todos los registros audita-dos.

5.4.6 Sistema de recolección de auditoría (interno vs. externo)

Los procesos de auditoría de seguridad deben ejecutarse indepen-dientemente y no deben, de ninguna forma, estar bajo el control de la CA, los procesos de auditoría deben ser invocados al iniciar el equipo y terminarlos solo cuando el sistema es apagado.

En caso de que el sistema automa zado de auditoría falle, la opera-ción de la CA debe cesar hasta que las capacidades de auditoría puedan ser reestablecidas.


111

5.4.7 No fi cación al sujeto que causa el evento

Cuando un evento es almacenado por la bitácora, no se requiere no- fi car al causante de dicho evento.

5.4.8 Evaluación de Vulnerabilidades

La CA y el personal opera vo deben estar vigilantes de intentos para violar la integridad del sistema de generación de cer fi cados, incluyen-do equipo, localización sica y personal. Las bitácoras deben ser revisa-das por un auditor de seguridad para los eventos que poseen acciones repe vas, solicitudes para información privilegiada, intentos de acceso al sistema de archivos y respuestas no auten cadas.

Los equipos donde se ejecutan las operaciones de la CA emisora de-ben someterse a análisis semestrales de vulnerabilidades.

5.5 Archivado de registros

5.5.1 Tipos de registros archivados

La CA debe almacenar los registros para establecer la validez de una fi rma y de la operación propia de la infraestructura PKI. Se deben archi-var los siguientes datos:

Durante la inicialización del sistema de la CA:

la acreditación de la CA (si es necesaria); el CP y el CPS; cualquier acuerdo contractual para establecer los límites de la

CA; la confi guración del sistema.

Durante la operación de la CA:

modifi caciones o actualizaciones de cualquiera de los ítems an-teriores;

solicitudes de cer fi cados o de revocación; documentación para auten car la iden dad del suscriptor;


112

documentación de recepción y aceptación del cer fi cado; documentación de recepción de disposi vos de almacena-

miento de llaves; todos los cer fi cados y CRLs (información de revocación) tanto

emi dos o publicados; bitácoras de auditoría; otros datos o aplicaciones para verifi car el contenido de los ar-

chivos; todos los trabajos comunicados o relacionados a polí cas, otras

CA y cumplimiento de auditoría.

5.5.2 Periodos de retención para archivo

Todos los archivos deben mantenerse por un periodo de al menos diez años. Además de mantener los controles para que los archivos pue-dan ser leídos durante el periodo de retención defi nido.

5.5.3 Protección de archivo

Los archivos no deben modifi carse o eliminarse por alguna opera-ción no autorizada del equipo de la CA. La CA debe mantener la lista de personas autorizadas a mover los registros a otros medios.

Los medios de almacenamientos deben estar guardados en instala-ciones seguras, los registros deben ser e quetados con un nombre dis- n vo, la fecha y hora de almacenamiento y la clasifi cación del po de

información.

5.5.4 Procedimientos de respaldo de archivo

La CA debe mantener procedimientos adecuados de respaldo de archivos ( sicos y electrónicos), tanto en el si o principal como en el alterno, que aseguren la disponibilidad de los mismos, de acuerdo a un análisis de riesgos determinado por los factores de operación de la CA.

5.5.5 Requerimientos para sellado de empo de registros

Los cer fi cados, las listas de revocación (CRL) y otras entradas en la bases de datos de revocación debe contener información de fecha y


113

hora. Esta información de fecha y hora no necesita tener una base crip-tográfi ca, pero si debe estar sincronizada con el servicio de empo de la UTC–6.

5.5.6 Sistema de recolección de archivo (interno o externo)

Los sistemas de archivos de la CA son internos al ámbito de sus ope-raciones y deben conservar las pistas de auditoría.

5.5.7 Procedimientos para obtener y verifi car la información archiva-da

Solamente el personal de confi anza autorizado está habilitado para obtener acceso al archivo. La CA debe realizar pruebas de restauración de la información archivada al menos una vez al año. La integridad de la información debe ser verifi cada cuando es restaurada.

5.6 Cambio de llave

La CA debe cambiar periódicamente sus llaves de fi rma, de acuerdo con los años de validez de sus cer fi cados en la jerarquía nacional de cer fi cadores registrados ( empo de uso) y considerando que el úl -mo cer fi cado otorgado debe poder ser verifi cado durante su vigencia ( empo operacional), tal como se muestra en el siguiente cuadro:

Nivel de jerarquía

Tiempo máximo

de uso en años

Tiempo operacional

en añosDescripción

Cer fi cado de

suscriptores

4 4 El cer fi cado emi do al usuario es otorgado por un máximo de 4 años, al fi nalizar ese pe-riodo pierde su validez.


114

Nivel de jerarquía

Tiempo máximo

de uso en años

Tiempo operacional

en añosDescripción

CA emisoras 8 12 A la CA emisora se le otorga un cer fi cado con una validez de máximo 8 años, durante ese periodo puede emi r cer fi cados a los usuarios o suscriptores. Sin embargo el úl -mo cer fi cado emi do antes de vencer su validez, debe tener la misma efec vidad, es decir, cuatro años para el usuario o suscrip-tor. Entonces su empo de uso es 8 años (con capacidad para emi r cer fi cados de suscrip-tor), pero dura cuatro años más en operación para validar las listas de revocación, de ahí que el empo operacional es por 12 años.

CA Polí cas 12 24 La CA de polí cas ene una validez de máxi-mo 12 años, y el úl mo cer fi cado otorgado a una CA emisora debe garan zar la operación por doce años más. Por estos mo vos el pe-riodo operacional de la CA de Polí cas debe ser de al menos 24 años.

CA Raíz 24 48 Siguiendo el mismo criterio la validez de la CA Raíz es máximo 24 años, más 24 años que pueda operar la CA de Polí ca, da como resul-tado los 48 años de empo operacional para el cer fi cado de la CA Raíz.

Del cuadro anterior, se deduce que en determinado momento pue-de haber dos cer fi cados del mismo nivel y po ac vos, donde el em-po de traslape de la vigencia de los cer fi cados debe ser de al menos el empo operacional del cer fi cado de un suscriptor.

Los responsables de las CAs tendrán la obligación de garan zar que el empo máximo de uso en años de los cer fi cados de niveles inferio-res se ajusta con el empo operacional de todos los niveles superiores.

5.7 Recuperación de desastre y compromiso

5.7.1 Procedimientos para el manejo de incidente y compromiso

La CA debe contar con polí cas y procedimientos formales para el reporte y atención de incidentes.


115

Los funcionarios ejecutando roles de confi anza deben velar por la seguridad de las instalaciones y la CA debe mantener procedimientos para que estos funcionarios reporten los incidentes.

La CA debe mantener un plan de recuperación de desastres, si el equipo de la CA es dañado entonces las operaciones de la CA deben reestablecerse lo más pronto posible, dando prioridad a la capacidad de revocar cer fi cados de suscriptor.

Si la CA no puede ser reestablecida dentro de una semana, enton-ces su llave se reporta como comprome da y todos sus cer fi cados son revocados. En casos excepcionales, la DCFD puede otorgar extensiones para la CA.

5.7.2 Corrupción de datos, so ware y/o recursos computacionales

Posterior a una corrupción de recursos computacionales, so ware o datos, la CA afectada debe realizar, en forma oportuna, un reporte del incidente y una respuesta al evento.

5.7.3 Procedimientos de compromiso de llave privada de la en dad

La CA debe mantener controles para brindar una seguridad razona-ble de que la con nuidad de las operaciones se mantenga en caso de compromiso de las llaves privadas de la CA.

Los planes de con nuidad del negocio de la CA deben referirse al compromiso o sospecha de compromiso de las llaves privadas de la CA como un desastre.En caso de que la llave de la CA se haya comprome do, el superior de la CA deberá revocar el cer fi cado de CA, y la información de la revocación debe publicarse inmediatamente.

5.7.4 Capacidad de con nuidad del negocio después de un desastre

La CA debe contar con un proceso administra vo para desarrollar, probar, implementar y mantener sus planes de con nuidad del negocio.


116

La CA debe desarrollar, probar, mantener e implementar un plan de recuperación de desastres des nado a mi gar los efectos de cualquier desastre natural o producido por el hombre. Los planes de recuperación de desastres se enfocan en la restauración de los servicios de sistemas de información y de las funciones esenciales del negocio.

El si o alterno debe contar con protecciones de seguridad sica equivalentes al si o principal.

El si o alterno, deben tener la capacidad de restaurar o recobrar operaciones esenciales dentro de las vein cuatro horas siguientes al de-sastre, con al menos soporte para las siguientes funciones: revocación de cer fi cados y publicación de información de revocación.

5.8 Terminación de una CA o RA

En caso de que la terminación de la CA se dé por conveniencia, re-organización, o por otras razones que no estén relacionadas con la se-guridad, entonces se deben tomar las previsiones antes de terminar la CA para evitar el compromiso de toda la infraestructura. En este caso, puede ser que ningún cer fi cado fi rmado por la CA deba ser revocado.

En caso de que la terminación de la CA esté relacionada con eventos de seguridad, entonces la CA debe considerarse como una CA compro-me da.

Antes de la terminación de la CA, toda la información relacionada con la operación de la CA deben ser enviados a la DCFD para su custodia.

Cuando se presenta la terminación de una RA, todos los archivos de datos deben ser enviados a la CA respec va para su custodia.

Si se presenta un compromiso de la llave de la CA o un desastre don-de las instalaciones de la CA están sicamente dañadas y todas las co-pias de las llaves de fi rma de la CA están destruidos, entonces la CA debe solicitar que se revoque su cer fi cado.

Cada CA o RA debe desarrollar un plan de terminación que minimice el impacto y la interrupción del servicio provisto a los clientes, suscrip-


117

tores y partes que con an. Dicho plan debe darle tratamiento al menos a los siguientes puntos:

No fi cación a las partes afectadas asumiendo el costo de la misma.

Procedimiento de revocación del cer fi cados (de la CA, CA su-bordinadas, los u lizados en RA para sus operaciones, suscrip-tores, etc. según sea el caso).

La preservación de toda la información en concordancia con este CP y la norma va aplicable.

La con nuación de los servicios de validación de los cer fi ca-dos y de soporte a los suscriptores.

Procedimientos para la eliminación de las llaves privadas y del hardware que las con ene.

Disposiciones para la transición de los servicios a una CA suce-sora.

6. Controles técnicos de seguridad

En esta sección se defi nen las medidas de seguridad tomadas por la CA para proteger sus llaves criptográfi cas y los datos de ac vación. La ges ón de las llaves es un factor crí co que permite asegurar que todas las llaves privadas están protegidas y solamente pueden ser ac vadas por personal autorizado.

6.1 Generación e instalación del par de llaves

La CA mantendrá controles para brindar seguridad razonable de que los pares de llaves de la CA, se generan e instalan de acuerdo con el pro-tocolo defi nido para la generación de llaves.

6.1.1 Generación del par de llaves

El proceso de generación de llaves ejecutado por la CA previene la pérdida, divulgación, modifi cación o acceso no autorizado a las llaves privadas que son generadas. Este requerimiento aplica para toda la je-rarquía nacional de cer fi cadores registrados hasta llegar a los suscrip-tores.


118


La CA debe generar las llaves mediante un proceso seguro por me-dio del módulo criptográfi co de hardware, que cumple como mínimo el estándar Fips 140–2 nivel 3 y a un procedimiento acorde con la “cere-monia de generación de llaves” defi nida en el anexo D de la norma INTE/ISO 21188 “Infraestructura de llave pública para servicios fi nancieros– Estructura de prác cas y polí cas.”. La CA garan za que la llave privada de fi rma nunca permanecerá fuera del módulo donde fue generada, a menos que se almacene en un mecanismo de recuperación de llaves.

El proceso de generación de llaves de CA debe producir llaves que:

a. sean apropiadas para la aplicación o propósito des nado y que sean proporcionales a los riesgos iden fi cados;

b. usen un algoritmo aprobado en este CP, de acuerdo a la sección 7.1.3;

c. tengan una longitud de llave que sea apropiada para el algo-ritmo y para el período de validez del cer fi cado de la CA, de acuerdo con la sección 6.1.5 de tamaños de llave;

d. tomen en cuenta los requisitos del tamaño de llave de la CA padre (la CA que le emi ó el cer fi cado) y subordinada (la CA que recibe el cer fi cado);


La generación de las llaves de los suscriptores requiere que los mó-dulos de criptogra a asociados cumplan al menos con el estándar Fips 140–2 nivel 2, o bien que posean al menos la cer fi cación Common Cri-teria EAL 4+ en el perfi l de protección SSCD po 3.


La generación de las llaves de los cer fi cados de persona jurídica requiere que los módulos de criptogra a asociados cumplan al menos con el estándar Fips 140–2 nivel 3, o bien que posean al menos la cer -fi cación Common Criteria EAL 4+ en el perfi l de protección SSCD po 3.


119

Cer fi cados de autoridad de sellado de empo (TSA)

La TSA debe generar las llaves mediante un proceso seguro, con un módulo criptográfi co de hardware, que cumpla al menos con el están-dar Fips 140–2 nivel 3.

6.1.2 Entrega de la llave privada al suscriptor

Se debe generar y mantener la llave privada dentro de los límites del módulo criptográfi co, es decir el módulo criptográfi co debe generar la llave privada localmente.

6.1.3 Entrega de la llave pública al emisor del cer fi cado

Las llaves públicas transferidas deben ser entregadas a través de mecanismos que aseguren que la llave pública no se altera durante el tránsito.


La llave pública debe ser entregada mediante un método fuera de banda, tal como:

almacenado en un módulo criptográfi co de la en dad; otros medios seguros que garan cen auten cidad e integridad.


La llave pública debe ser entregada por la RA a través de medios legibles por computadoras desde una fuente auten cada;


La llave pública debe ser distribuida u lizando uno de los siguientes métodos:

medios legibles por computadoras desde una fuente auten ca-da;


120



La llave pública debe ser entregada mediante un método fuera de banda, tal como:


6.1.4 Entrega de la llave pública de la CA a las partes que con an

La distribución de la llave pública se realiza a través del cer fi cado digital y del repositorio público respec vo.

6.1.5 Tamaños de llave

El tamaño de las llaves debe ser sufi cientemente largo para prevenir que otros puedan determinar la llave privada u lizando cripto–análisis durante el periodo de uso del par de llaves.


La llave de la CA raíz debe tener un tamaño mínimo de 4096 bits. La CA de Polí cas debe mantener llaves con un tamaño mínimo de 2048 bits. Para las CA emisoras debe tener un tamaño de 2048 bits.

Cer fi cados de fi rma digital y auten cación de persona sica y cer- fi cados de sello electrónico y agente electrónico de persona jurídica

y de TSA

El tamaño de las llaves para el suscriptor debe ser de 2048 bits. La longitud de la llave pública que será cer fi cada por la CA, debe ser me-nor o igual al tamaño de la llave privada de fi rma de la CA.


121

6.1.6 Generación de parámetros de llave pública y verifi cación de ca-lidad

La CA genera y verifi ca los parámetros de llave pública de acuerdo con el estándar FIPS 186–2 (Digital Signature Standard–DSS) que defi ne el cripto–algoritmo u lizado en la generación.

6.1.7 Propósitos de uso de llave (Campo “keyusage” de X.509 v3)


La CA Raíz únicamente podrá emi r cer fi cados de fi rma para las Autoridades de Polí cas y para las CRL respec vas. Las CAs de polí cas únicamente podrán emi r cer fi cados de fi rma a las CA emisoras y para sus CRLs.

La CA emisora no puede emi r cer fi cados con el uso de encripción.


Los suscriptores tendrán dos cer fi cados emi dos uno con el uso de fi rma digital y el otro con el uso de auten cación.

Para fi rmar: digitalSignature + nonRepudia on Para auten carse: digitalSignature + keyEncipherment


Los suscriptores tendrán dos cer fi cados emi dos uno con el uso de sello electrónico (fi rma digital) y el otro con el uso de agente electrónico (auten cación).

Para sello electrónico: digitalSignature + nonRepudia on Para agente electrónico: digitalSignature + keyEncipherment +

dataEncipherment


122

6.2 Controles de ingeniería del módulo criptográfi co y protección de la llave privada

6.2.1 Estándares y controles del módulo criptográfi co


La CA debe mantener controles para asegurar que las llaves priva-das de la CA permanecen confi denciales y man enen su integridad y el acceso al hardware criptográfi co de la CA está limitado a individuos autorizados.

Las llaves privadas de la CA deben ser respaldadas, guardadas y re-cuperadas por personal autorizado con roles de confi anza, u lizando controles múl ples en un ambiente sicamente seguro.

Las copias de respaldo de las llaves privadas de la CA Raíz deben estar sujetas al mismo o mayor nivel de controles de seguridad que las llaves que actualmente están en uso. La recuperación de las llaves de la CA debe llevarse a cabo de una forma tan segura como el proceso de respaldo.

El estándar de módulos criptográfi cos es el “Security Requirements for Cryptographics Modules” (actualmente FIPS140). Los módulos crip-tográfi cos para las CAs Emisoras deben cer fi carse como mínimo con el FIPS 140–2 nivel 3.


El suscriptor debe cumplir con los controles defi nidos en el acuerdo de suscriptor y u lizar módulos criptográfi cos basados como mínimo en el estándar FIPS 140–2 nivel 2, o bien que posean al menos la cer fi ca-ción Common Criteria EAL 4+ en el perfi l de protección SSCD po 3.


Los suscriptores de cer fi cados de persona jurídica deben cumplir con los controles defi nidos en el acuerdo de suscriptor y u lizar un mó-


123

dulo criptográfi co basado como mínimo en el estándar FIPS 140–2 nivel 3, o bien que posean al menos la cer fi cación Common Criteria EAL 4+ en el perfi l de protección SSCD po 3.


El cer fi cado de TSA debe cumplir con los controles defi nidos en el acuerdo de suscriptor y u lizar un módulo criptográfi co basado como mínimo en el estándar FIPS 140–2 nivel 3.

6.2.2 Control mul –persona de llave privada (m de n)


Para la ac vación de la llave privada de fi rma de la CA se debe u lizar controles de acceso de múl ples partes (es decir, “m” de “n”) con un valor mínimo de 3 para “m”.

Si las llaves privadas de la CA son respaldadas, estas deben ser res-paldadas, guardadas y recuperadas por personal autorizado con roles de confi anza, u lizando controles múl ples en un ambiente sicamente seguro. La can dad de personal autorizado para llevar a cabo esta fun-ción debe mantenerse al mínimo.


Sin es pulaciones.


Para la ac vación de la llave privada de sello electrónico y/o agente electrónico de persona jurídica se debe u lizar controles de acceso que resguarden la llave privada. Una vez ac vado el disposi vo de fi rma, se debe mantener resguardado sicamente y monitoreado, para evitar uso inapropiado.


124


Para la ac vación de la llave privada de fi rma del TSA se debe u lizar controles de acceso de múl ples partes (es decir, “m” de “n”) con un valor mínimo de 3 para “m”. Una vez ac vado el disposi vo de fi rma se debe mantener resguardado sicamente y monitoreado, para evitar otros usos.

6.2.3 Custodia de llave privada

No se deben implementar servicios de custodia de llaves de fi rmas emi das a terceros.

6.2.4 Respaldo de llave privada

Los respaldos de llaves privadas de la CA son únicamente para pro-pósitos de recuperación en caso de una con ngencia o desastre. Los planes de con nuidad del negocio de la CA deben incluir procesos de recuperación de desastres para todos los componentes crí cos del sis-tema de la CA, incluyendo el hardware, so ware y llaves, en el caso de falla de uno o más de estos componentes.

Las copias de respaldo de las llaves privadas de la CA deberían estar sujetas al mismo o mayor nivel de controles de seguridad que las llaves que actualmente están en uso. La recuperación de las llaves de la CA debe llevarse a cabo de una forma tan segura como el proceso de res-paldo.

Las llaves privadas de cer fi cados de fi rma digital de los suscriptores no son respaldadas por ningún mo vo en la CA, y estas permanecen dentro de los límites de los disposi vos criptográfi cos donde fueron ge-neradas.

6.2.5 Archivado de llave privada

La CA no archiva la llave privada de ninguno de los suscriptores. En el caso de la CA, ésta debe archivar su par de llaves (pública y privada) en forma encriptada en concordancia con las disposiciones de protección de llaves defi nidas en este CP, por un plazo acorde con la legislación aplicable.


125

6.2.6 Transferencia de llave privada hacia o desde un módulo cripto-gráfi co

Las llaves privadas de la CA son generadas por un módulo criptográ-fi co seguro. En el evento que una llave privada es transportada desde un módulo criptográfi co a otro, la llave privada debe estar encriptada durante su transporte.

La llave privada usada para encriptar el transporte de la llave privada debe estar protegida contra divulgación no autorizada.

6.2.7 Almacenamiento de la llave privada en el módulo criptográfi co

Los disposi vos criptográfi cos u lizados para el almacenamiento del respaldo de las llaves privadas de la CA deben ser guardados de forma segura, en un si o alterno, para que sean recuperados en el caso de un desastre en el si o primario

Las partes de la clave secreta o los componentes necesarios para usar y ges onar los disposi vos criptográfi cos de recuperación de de-sastres, deberían estar también guardados con seguridad en una ubica-ción fuera del si o primario.

Las llaves privadas de la CA deben ser almacenadas y u lizadas den-tro de un disposi vo criptográfi co seguro que cumpla como mínimo con el perfi l de protección apropiado de los requisitos del estándar FIPS 140–2 nivel 3

6.2.8 Método de ac vación de llave privada


Los métodos de ac vación de llaves de la CA están protegidos y para accederlos se deben contar con mecanismos de auten cación de al me-nos dos factores de seguridad. Los datos de ac vación deben estar dis-tribuidos en roles de confi anza que ejecutan diversas personas.


126


Los métodos de ac vación de llaves para un usuario deben contar con al menos un factor de seguridad.


Los métodos de ac vación de llaves para un usuario deben contar con al menos un factor de seguridad.


Los métodos de ac vación de llaves de autoridades de sellado de empo están protegidos mediante una combinación de al menos dos

factores de seguridad. Los datos de ac vación deben estar distribuidos en roles de confi anza que ejecutan diversas personas.

6.2.9 Método de desac vación de llave privada


Para la CA Raíz y de Polí cas es obligatorio que los módulos cripto-gráfi cos, los cuales han sido ac vados, no estén desatendidos o abiertos al acceso no autorizado. Después de usarlos, estos deben ser desac va-dos manualmente o por un empo de expiración por estado pasivo. Los módulos de hardware criptográfi co deben ser removidos y almacenados cuando no estén en uso.

En el caso de las CA emisoras los equipos se man enen en línea, para dichos efectos una vez ac vados los disposi vos criptográfi cos, estos se deben mantener monitoreados y protegidos contra accesos no autoriza-dos.


Sin es pulaciones.


127


Cuando los equipos que hospedan los cer fi cados de persona jurí-dica se encuentran en línea, estos se deben mantener monitoreados y protegidos contra accesos no autorizados. Cuando los equipos no estén en uso entonces los módulos de hardware criptográfi co deben ser re-movidos y almacenados.


Cuando los equipos que hospedan el cer fi cado sellado de empo se encuentran en línea, estos se deben mantener monitoreados y pro-tegidos contra accesos no autorizados. Cuando los equipos no estén en uso entonces los módulos de hardware criptográfi co deben ser removi-dos y almacenados.

6.2.10 Método de destrucción de llave privada

El procedimiento para la destrucción de llaves privadas debe incluir la autorización para destruirla.


La CA raíz, las CA de polí cas y la CA emisora deben destruir los res-paldos de las llaves privadas que han expirado. Para los módulos cripto-gráfi cos de hardware, estos deben ser limpiados por medio de inicializa-ción de ceros (Zeroize Command).


Los módulos criptográfi cos de hardware que hospedan la llave pri-vada deben ser limpiados por medio de inicialización de ceros (Zeroize Command).


Los módulos criptográfi cos de hardware que hospedan la llave pri-


128

vada deben ser limpiados por medio de inicialización de ceros (Zeroize Command).


La TSA debe destruir los respaldos de las llaves privadas que han expirado. Para los módulos criptográfi cos de hardware, estos deben ser limpiados por medio de inicialización de ceros (Zeroize Command).

6.2.11 Clasifi cación del módulo criptográfi co


La capacidad del módulo criptográfi co de la CA emisora es expresada en cumplimiento como mínimo del estándar Fips 140–2, nivel 3.


El módulo criptográfi co para los suscriptores de cer fi cados de fi rma digital y auten cación debe cumplir como mínimo con el estándar Fips 140–2, nivel 2, o bien debe poseer al menos la cer fi cación Common Criteria EAL 4+ en el perfi l de protección SSCD po 3.


El módulo criptográfi co para los cer fi cados de persona jurídica debe cumplir como mínimo con el estándar Fips 140–2, nivel 3, o bien que posean al menos la cer fi cación Common Criteria EAL 4+ en el perfi l de protección SSCD po 3.


La TSA debe cumplir como mínimo con el estándar Fips 140–2, nivel 3

6.3 Otros aspectos de ges ón del par de llaves

Las CA de la jerarquía nacional de cer fi cadores registrados deben establecer los medios necesarios para ges onar en forma segura las lla-ves de los suscriptores durante el ciclo de vida de las mismas.


129

6.3.1 Archivado de la llave pública

La CA debe mantener controles para sus propias llaves, de acuerdo a lo es pulado en la sección 5.5. Las llaves archivadas de la CA deberían estar sujetas al mismo o mayor nivel de control de seguridad que las llaves que están en uso actualmente.

6.3.2 Periodo operacional del cer fi cado y periodo de uso del par de llaves

Los periodos de uso de la llave son descritos en la sección 5.6, de acuerdo a la siguiente tabla:

Nivel de jerarquía Tiempo de uso en añosTiempo operacional

en añosCer fi cado de usuario 4 4

CA emisoras 8 12CA Polí cas 12 24

CA Raíz 24 48

6.4 Datos de ac vación

La CA man ene estrictos controles en los datos de ac vación para operar los módulos criptográfi cos y que necesitan ser protegidos (ejem-plo un PIN, una frase de paso o “password”, una medida biométrica o una parte de llave mantenida manualmente).

6.4.1 Generación e instalación de los datos de ac vación


Se debe contar con datos de ac vación de múl ples factores para protección de los accesos al uso de llaves privadas y su ac vación re-quiere de un control de múl ples partes (es decir, “m” de “n”) con un valor mínimo de tres para “m”.


Se deben generar e instalar sus propios datos de ac vación para


130

proteger y prevenir perdidas, robos, modifi cación, divulgación o uso no autorizado de sus llaves privadas.


Se debe contar con controles para protección de los accesos al uso de llaves privadas. En par cular, se requiere generar sus propios datos de ac vación para prevenir uso no autorizado de la llave privada.


Se debe generar e instalar sus propios datos de ac vación para pro-teger y prevenir perdidas, robos, modifi cación, divulgación o uso no au-torizado de sus llaves privadas. Adicionalmente, como parte de los datos de ac vación se requiere de un control de múl ples partes (es decir, “m” de “n”) con un valor mínimo de tres para “m”.

6.4.2 Protección de los datos de ac vación

Los datos de ac vación deberían ser memorizados, sin mantener respaldo escrito. Si se escriben, estos deberían de estar almacenados en un nivel de seguridad semejante al de los módulos criptográfi cos para protegerlos, y en una localización diferente a la de los módulos cripto-gráfi cos.

6.4.3 Otros aspectos de los datos de ac vación

Los datos de ac vación de los módulos criptográfi cos de la CA Raíz y CA de Polí cas deben ser cambiados al menos una vez cada año. Y en el caso de las CA emisoras o TSA la frecuencia debe ser al menos una vez cada dos meses.

6.5 Controles de seguridad del computador

El equipo de la CA debe usar sistemas opera vos que:

Requieran auten cación para poder ser accedidos Provean capacidad para mantener bitácoras y registros de se-


131

guridad con fi nes de auditoría Cumplan con requerimientos y controles de seguridad, al me-

nos tan estrictos como los defi nidos en este CP.

Luego de que la plataforma donde opera el equipo de la CA ha sido aprobada, debe con nuar operando bajo los mismos parámetros apro-bados.

6.5.1 Requerimientos técnicos de seguridad de computador específi -cos

Los equipos donde operan los sistemas de la CA, que requieran acce-so remoto deben poseer auten cación mutua y los sistemas opera vos deberían estar confi gurados de acuerdo con los estándares del sistema opera vo de la CA y ser revisados periódicamente.

Las actualizaciones y parches de los sistemas opera vos deberían ser aplicados de manera oportuna y la u lización de programas u litarios del sistema debería ser restringida al personal autorizado, y debe estar estrictamente controlado.

6.5.2 Clasifi cación de la seguridad del computador

Los sistemas sensibles de la CA requieren un ambiente informá co dedicado y aislado, que implemente el concepto de sede computacional confi able con procesos de auditoria que ejecuten pruebas de seguridad al menos dos veces al año.

6.6 Controles técnicos del ciclo de vida

La CA debe mantener controles en los equipos de seguridad (hard-ware y so ware) requeridos para operar en una infraestructura PKI des-de el momento de la compra hasta su instalación, de forma que reduz-can la probabilidad que cualquiera de sus componentes sea violentado.

Todo el hardware y so ware que ha sido iden fi cado para operar las CA debe ser enviado y entregado con métodos que provean una ade-cuada cadena de custodia.


132

6.6.1 Controles para el desarrollo de sistemas

La CA debe mantener controles que proporcionen una seguridad ra-zonable de las ac vidades de desarrollo y mantenimiento de los siste-mas de la CA.Los nuevos sistemas o para la expansión de los sistemas existentes, deben especifi car los requisitos de control, seguir procedimientos de prueba de so ware y control de cambios para la implementación de so ware.

La CA debe mantener controles sobre el acceso a las bibliotecas fuente de programas.

6.6.2 Controles de ges ón de seguridad

Los Administradores de la CA son los responsables de garan zar que se cumplan los procedimientos de seguridad correctamente. Además de ejecutar revisiones periódicas para asegurar el cumplimiento de los estándares de implementación de seguridad.

6.6.3 Controles de seguridad del ciclo de vida

La CA debe incluir controles en la ges ón de seguridad por medio de herramientas y procedimientos que verifi quen la adherencia a la confi -guración de seguridad de los sistemas opera vos y redes.

6.7 Controles de seguridad de red

El equipo de la CA debe estar dentro de los límites de la red interna, operando bajo un nivel de seguridad de red crí co. La red de la CA debe estar protegida contra ataques. Los puertos y servicios que no se requie-ran deben estar apagados.

En el caso de la CA Raíz debe estar off –line y aislada de la red organi-zacional.Los niveles crí cos de seguridad de red, deben incluir:

La encripción de las conexiones involucradas con las operacio-nes de la CA.


133

Los si os Web están provistos de cer fi cados SSL. La red está protegida por fi rewalls y sistemas de detección de

intrusos. Los accesos externos a información de bases de datos de la CA

están prohibidos. La CA debe controlar la ruta de acceso del usuario desde la Ter-

minal hasta los servicios. Los componentes de la red local deben mantenerse en un am-

biente sicamente seguro y sus confi guraciones deben ser au-ditadas periódicamente.

Los datos sensibles deben encriptarse cuando se intercambian sobre redes públicas o no confi ables.

La CA debe defi nir los procedimientos de control del cambio para el hardware, los componentes de la red y los cambios de confi guración del sistema.

6.8 Sellado de empo (“Time–Stamping”)

Los cer fi cados, CRL y otras entradas en la base de datos de revo-caciones deben contener la fecha y hora, sincronizadas u lizando los servicios UTC–6. El sellado de empo es una caracterís ca opcional.

7. Perfi les de Cer fi cados, CRL y OCSP

Este capítulo especifi ca el formato de las CRL y OCSP, tales como in-formación del perfi l, versión y extensiones u lizadas. En el caso de la jerarquía nacional de cer fi cadores registrados, los OCSP son un meca-nismo opcional para la CA Raíz y las CA de Polí cas, debido a que son pocos los cer fi cados emi dos y por tanto revocados por ellas. La verifi -cación del estado de los cer fi cados para las CA emisoras cons tuye un factor crí co de seguridad para diversas aplicaciones, por lo tanto deben obligatoriamente implementar los dos métodos de validación: OCSP y CRL.

7.1 Perfi l del Cer fi cado

Los cer fi cados digitales deben cumplir con:


134

Estándar X.509 versión 3. RFC3280: Internet X.509 Public Key Infrastructure Cer fi cate

and CRL Profi le. RFC 3039 “Internet X.509 Public Key Infrastructure Qualifi ed

Cer fi cates Profi le. ISO 3166–1 “Códigos para la representación de los nombres de

los países y sus subdivisiones. Parte 1: Códigos de los países”.

Cómo mínimo el cer fi cado con ene:

Campo Valor o restricciones

Versión V3, los cer fi cados deben ser X.509 versión 3.

Número de serie Valor único emi do dentro del ámbito de cada CA emisora.

Algoritmo de fi rma El Algoritmo de fi rma debe ser como mínimo SHA1RSA.

Emisor Nombre de la CA Emisora. Ver sección 7.1.4.

Válido desde Este campo especifi ca la fecha y hora a par r de la cual el cer fi cado es válido. Las fechas establecidas para el periodo de validez deben ser sincronizadas con respecto al servicio de empo UTC–6.

Válido hasta Este campo especifi ca la fecha y hora a par r de la cual el cer fi cado deja de ser válido. Las fechas para la validez del cer fi cado deben ser sincronizadas con el servicio de empo UTC–6.

Sujeto Nombre del suscriptor. Ver sección 7.1.4.

Llave pública del sujeto Codifi cado de acuerdo con el RFC 3280. Con un largo de llave mínima de 2048 bits y algoritmo RSA.

Iden fi cador de llave de la autoridad

Este campo es usado por los diversos so ware de validación para ayudar a iden fi car a la autoridad cer fi cadora registra-da que emi ó el cer fi cado en la cadena de confi anza. Re-ferencia el campo “Subject Key Iden fi er” de la CA emisora del cer fi cado.

Iden fi cador de la llave del sujeto

Este campo es usado por so ware de validación para ayudar a iden fi car un cer fi cado que con ene una determinada llave pública.

Polí ca del cer fi cado Describe las polí cas aplicables al cer fi cado, especifi ca el OID y la dirección URL donde se encuentra disponible el CP respec vo.

Uso de la llave Debe indicar los usos permi dos de la llave. Este campo debe ser marcado como un CAMPO CRÍTICO. Ver sección 1.4.1 Usos apropiados del cer fi cado


135


Punto de distribución del CRL

Este campo es usado para indicar las direcciones donde puede ser encontrado el CRL correspondientes a la CA que emi ó el cer fi cado, de tal forma que se pueda validar si el cer fi cado en cues ón ha sido revocado o no. En el caso del cer fi cado de la CA Raíz, este atributo no debe especifi carse.

Acceso a la información de la autoridad

Este campo es usado para indicar las direcciones donde pue-de ser encontrado el cer fi cado de la CA emisora. Además, para indicar la dirección donde puede accederse el servicio de OCSP, de tal forma que se pueda validar si el cer fi cado en cues ón ha sido revocado o no. En el caso del cer fi cado de la CA Raíz, este atributo no debe especifi carse.

Usos extendidos de la llave

Referencia otros propósitos de la llave, adicionales al uso. De acuerdo con la sección 7.1.2.5.

Restricciones básicas Para el caso de la CA emisora la extensión PathLenConstra-int debe ser igual a cero. Ver sección 7.1.2.4 Restricciones básicas.

7.1.1 Número(s) de versión

Todos los cer fi cados emi dos dentro de la jerarquía nacional de cer fi cadores registrados deben ser X.509 versión 3 o superior.

7.1.2 Extensiones del cer fi cado

7.1.2.1 Key Usage

El “key usage” es una extensión crí ca que indica el uso del cer fi ca-do de acuerdo con el RFC 3280 “Internet X.509 Public Key Infrastructure Cer fi cate and CRL Profi le”. Ver sección 1.4.1 Usos apropiados del cer -fi cado.

7.1.2.2 Extensión de polí ca de cer fi cados

La extensión de “cer fi catepolicies” del X.509 versión 3 es el iden -fi cador del objeto de este CP de acuerdo con la sección 7.1.6. La exten-sión no es considerada como crí ca.

7.1.2.3 Nombre alterna vo del sujeto

La extensión “subjectAltName” es opcional y solamente se puede usar para cer fi cados de agente electrónico de persona jurídica. En caso


136

de ser u lizada, el uso de esta extensión debe ser “NO crí co” y única-mente está permi do el uso del nombre DNS, en concordancia con la sección 4.1.2.

7.1.2.4 Restricciones básicas

Para el caso de las CAs emisoras se debe colocar el campo “PathLen-ghtConstraint” con un valor de 0, para indicar que la CA no permite más sub–niveles en la ruta del cer fi cado. Es un campo crí co.

7.1.2.5 Uso extendido de la llave

La extensión permite confi gurar los propósitos de la llave, y no es considerada crí ca. A con nuación se presenta el cuadro con los propó-sitos comunes:

OID Descripción Tipos de cer fi cado

1.3.6.1.5.5.7.3.1 Auten cación de servidor Agente electrónico

1.3.6.1.5.5.7.3.2 Auten cación del clienteAuten cación de persona sica

Agente electrónico

1.3.6.1.5.5.7.3.4 Protección del correo Firma de persona sica

1.3.6.1.5.5.7.3.8 Sellado de empo Sellado de empo

1.3.6.1.4.1.311.20.2.2 Smart Card Logon Auten cación de persona sica

7.1.2.6 Puntos de distribución de los CRL

La extensión “CRL Distribu on Points” con ene las direcciones URL de la localización donde las partes que con an pueden obtener el CRL para verifi car el estado del cer fi cado. La extensión NO es crí ca.

7.1.2.7 Iden fi cador de llave de Autoridad

El método para la generación del iden fi cador está basado en la lla-ve pública de la CA emisora del cer fi cado, de acuerdo a lo descrito por el RFC 3280 “Internet X.509 Public Key Infraestructura Cer fi cate and CRL Profi le”. La extensión NO es crí ca.


137

7.1.2.8 Iden fi cador de la llave del sujeto

La extensión no es crí ca, y el método para la generación del iden -fi cador de llave está basado en la llave pública del sujeto del cer fi cado y es calculado de acuerdo con uno de los métodos descritos en el RFC 3280 “Internet X.509 Public Key Infrastructure Cer fi cate and CRL Profi -le”.

7.1.3 Iden fi cadores de objeto de algoritmos

Los cer fi cados generados dentro de la jerarquía nacional de cer fi -cadores registrados deben usar uno de los siguientes algoritmos:

sha–1WithRSAEncryp on OID ::= {iso(1) member–body(2) us(840) rsadsi(113549) pkcs(1) pkcs–1(1) 5}

sha256WithRSAEncryp on OID::= {iso(1) member–body(2) us(840) rsadsi(113549) pkcs(1) pkcs–1(1) 11}

El algoritmo SHA–1 se man ene como algoritmo válido para sopor-tar los cer fi cados que sean emi dos por CAs cons tuidas al amparo de versiones anteriores de la polí ca, sin embargo toda CA nueva o renova-da a par r de la emisión de la presente polí ca deberá emi r cer fi ca-dos u lizando el algoritmo SHA256.

7.1.4 Formas del nombre

Los nombres dentro de la jerarquía nacional de cer fi cadores re-gistrados deben cumplir las regulaciones de la sección 3.1.1. Adicional-mente, los cer fi cados de suscriptores generalmente deben incluir el URL donde se encuentran los términos del uso de los cer fi cados y los acuerdos entre las partes.

7.1.5 Restricciones del nombre

Los nombres se escriben en mayúsculas y sin ldes, únicamente se debe aceptar el carácter Ñ como un caso especial para los nombres de personas sicas y jurídicas.


138

El código de país es de dos caracteres y se asigna de acuerdo al es-tándar ISO 3166–1 “Códigos para la representación de los nombres de los países y sus subdivisiones. Parte 1: Códigos de los países”.

7.1.6 Iden fi cador de objeto de Polí ca de Cer fi cado

El OID de la polí ca de cer fi cado correspondiente a cada clase de cer fi cado es defi nido acorde a la sección 1.2. El director de la DCFD le corresponde la administración de los “Iden fi cadores de Objetos” (OID) para el Sistema Nacional de Cer fi cación Digital.

7.1.7 Uso de la extensión “Restricciones de Polí ca” (Policy Constra-ints)

Sin es pulaciones.

7.1.8 Semán ca y sintaxis de los “Califi cadores de Polí ca” (Policy Qualifi ers)

El califi cador de la polí ca está incluido en la extensión de “cer fi ca-te policies” y con ene una referencia al URL con el CP aplicable y a los acuerdos de partes que con an.

7.1.9 Semán ca de procesamiento para la extensión crí ca de “Polí- cas de Cer fi cado” (Cer fi cate Policies)

Sin es pulaciones.

7.2 Perfi l de la CRL

Las listas de revocación de cer fi cados cumplen con el RFC 3280 “Internet X.509 Public Key Infrastructure Cer fi cate and CRL Profi le”y con enen los elementos básicos especifi cados en el siguiente cuadro:


Versión Ver sección 7.2.1


139


Algoritmo de fi rma Algoritmo usado para la fi rma del CRL, puede ser: • sha1WithRSAEncryp on

(OID: 1.2.840.113549.1.1.5)• sha256WithRSAEncryp on

(OID:1.2.840.113549.1.1.11)Emisor En dad que emite y fi rma la CRL.

Fecha efec va Fecha de emisión del CRL.Siguiente actualización Fecha para la cual es emi da la siguiente CRL. La

frecuencia de emisión del CRL está acorde con lo requerido en la sección 4.9.7

Cer fi cados revocados Lista de cer fi cados revocados, incluyendo el número de serie del cer fi cado revocado y la fecha de revocación.


La jerarquía nacional de cer fi cadores registrados de cer fi cación soporta las CRLs X.509 versión 2.

7.2.2 CRL y extensiones de entradas de CRL

Sin es pulación.

7.3 Perfi l de OCSP

El servicio de validación de cer fi cados en línea OCSP (Online Cer -fi cate Status Protocol) es una forma para obtener información reciente sobre el estado de un cer fi cado.

El servicio OCSP que se implemente debe cumplir lo es pulado en el RFC2560 “X.509 Internet Public Key Infrastructure Online Cer fi cate Status Protocol – OCSP”.


Debe cumplir al menos con la versión 1 del RFC2560 “X.509 Internet Public Key Infrastructure Online Cer fi cate Status Protocol – OCSP”.


140

7.3.2 Extensiones de OCSP

Sin es pulaciones.

8. Auditoría de cumplimiento y otras evaluaciones

De acuerdo con el ar culo 21 de la Ley de Cer fi cados, Firmas Digi-tales y Documentos Electrónicos No. 8454, “Todo cer fi cador registrado estará sujeto a los procedimientos de evaluación y auditoría que acuer-de efectuar la DCFD o el ECA”.

Adicionalmente, el ar culo 24 inciso e) de ese cuerpo norma vo, dispone como una función de la DCFD el “fi scalizar el funcionamiento de los cer fi cadores registrados, para asegurar su confi abilidad, efi ciencia y el cabal cumplimiento de la norma va aplicable, imponiendo, en caso necesario, las sanciones previstas en esta Ley. La supervisión podrá ser ejercida por medio del ECA, en el ámbito de su competencia”.

Todas las autoridades emisoras de cer fi cados deben ajustarse al cumplimiento de las auditorías realizadas por el ECA, las cuales permi-ten establecer una confi anza razonable en el sistema de fi rma digital.

Se pueden ejecutar inves gaciones y revisiones para asegurar la con-fi anza de la jerarquía nacional de cer fi cadores registrados, las cuales incluyen, pero no se limitan a:

Revisión de seguridad y de prác cas, las cuales incluyen instala-ciones, documentos de seguridad, declaración de prác cas de cer fi cación, acuerdos entre las partes, polí ca de privacidad y validación de los planes para asegurar el cumplimiento de es-tándares.

El ECA es la en dad responsable de ejecutar las auditorias, de acuerdo a lo es pulado en la ley.

La DCFD puede solicitar al ECA auditorías especiales cuando tenga sospecha de un incidente o compromiso de la CA, que ponga en riesgo la integridad del sistema.

Adicionalmente, cada CA debe implementar un programa de audito-rías internas para la verifi cación de su sistema de ges ón. Dicho progra-


141

ma de auditorías debe estar basado en la INTE–ISO/IEC 19011 “Directri-ces para la auditoría de sistemas de ges ón de la calidad y/o ambiental”.

8.1 Frecuencia o circunstancias de evaluación

El cumplimiento de la evaluación externa del ECA se debe ejecutar al menos una vez al año y los costos deben ser asumidos por la en dad evaluada. El ECA puede realizar evaluaciones extraordinarias de acuerdo con sus procedimientos.El programa de auditorías internas establecerá la frecuencia o circuns-tancias para su realización, pero en términos generales se espera que las CA ejecuten al menos una auditoría al año.

8.2 Iden dad/calidades del evaluador

El personal que ejecuta las evaluaciones para el ECA incluye:

Experto Técnico: Persona asignada por el ECA para aportar co-nocimientos técnicos específi cos o pericia respecto al alcance de acreditación a ser evaluado.

Evaluador: Persona designada para ejecutar como parte de un equipo evaluador, la evaluación de un Organismo de Evaluación de la Conformidad OEC.

Evaluador Líder: Evaluador al que le es dada la completa res-ponsabilidad por ac vidades de evaluación específi cas.

El ECA ene procedimientos establecidos para determinar la compe-tencia de cada uno de estos.

Para las auditorías internas la CA debe establecer los requisitos de competencia de sus auditores según los lineamientos de la INTE–ISO/IEC 19011 “Directrices para la auditoría de sistemas de ges ón de la calidad y/o ambiental”.

8.3 Relación del evaluador con la en dad evaluada

Por ley, el ECA cons tuye un ente independiente e imparcial, el cual ejecutará las evaluaciones acorde a sus procedimientos.


142

Para las auditorías internas la CA debe seguir lo establecido en la INTE–ISO/IEC 19011 “Directrices para la auditoría de sistemas de ges- ón de la calidad y/o ambiental”.

8.4 Aspectos cubiertos por la evaluación

Los puntos de evaluación para cada en dad son detallados a con -nuación:

Auditorias de la autoridad de registro

Es obligatorio que la autoridad cer fi cadora registrada (CA emisora) supervise las autoridades de registro y no fi que cualquier excepción o irregularidad de las polí cas de la jerarquía nacional de cer fi cadores registrados, y además tome las medidas para remediarlas.

Auditorias de las CA emisoras

Las CA emisoras dentro de la jerarquía nacional de cer fi cadores re-gistrados deben cumplir con las polí cas nacionales y con los estándares determinados, a saber:

Ley y reglamento de fi rma digital, Polí cas de la raíz para los cer fi cados de: Firma digital y auten cación de persona sica. Sello electrónico y auten cación de agente electrónico. INTE/ISO 21188: “Infraestructura de llave pública para servicios

fi nancieros. Estructura de prác cas y polí cas”. RFC 3647: “Internet X.509 Public Key Infrastructure. Cer fi cate

Policy and Cer fi ca on Prac ces Framework”.

Autoridades de sellado de empo

Ley y reglamento de fi rma digital. Polí cas de la raíz para los cer fi cados de: Autoridad de sellado de empo. RFC 3161: “Internet X.509 Public Key Infrastructure. Time–

Stamp Protocol (TSP)”. RFC 3628: “Policy Requirements for Time–Stamping Authori es

(TSAs)”.


143

Polí ca de sellado de empo del sistema nacional de cer fi ca-ción digital

8.5 Acciones tomadas como resultado de una defi ciencia

La CA debe tener procedimientos para ejecutar acciones correc -vas para las defi ciencias iden fi cadas tanto en las evaluaciones externas como en las auditorías internas.

8.6 Comunicación de resultados

El ECA ene procedimientos para la ejecución de la acreditación que incluyen la comunicación de los resultados y los procedimientos de ape-lación.

9. Otros asuntos legales y comerciales

9.1 Tarifas

9.1.1 Tarifas de emisión o renovación de cer fi cados

La tarifa para la emisión y administración de los cer fi cados será de-terminada por la CA emisora del cer fi cado.

9.1.2 Tarifas de acceso a cer fi cados

Las CA emisoras dentro de la jerarquía nacional de cer fi cadores re-gistrados no pueden cobrar por el mantenimiento de los repositorios de cer fi cados a las partes que con an.

9.1.3 Tarifas de acceso a información del estado o revocación

Las CA emisoras dentro de la jerarquía nacional de cer fi cadores registrados no pueden cobrar por el mantenimiento de las listas de re-vocación de cer fi cados a las partes que con an. Sin embargo, se pue-den establecer tarifas para otros servicios especializados de revocación, OCSP o sellado de empo.


144

9.1.4 Tarifas por otros servicios

Las CA emisoras dentro de la jerarquía nacional de cer fi cadores re-gistrados no pueden establecer tarifas para acceder información del CP o su respec vo CPS.

9.1.5 Polí ca de reembolso

La CA que implemente una polí ca de reembolso debe documentar-la como parte de sus polí cas y publicarlas dentro de su si o Web.

9.2 Responsabilidad fi nanciera

9.2.1 Cobertura de seguro

De acuerdo con los ar culos 12 y 13 del reglamento de fi rma digital, es obligatorio para los sujetos privados, mantener una caución rendida preferiblemente por medio de póliza de fi delidad, y cuyo monto será fi jado por la DCFD. Cuando la caución esté sujeta a vencimiento, esta debe ser renovada al menos dos meses antes de la fecha de expiración.9.2.2 Otros ac vos

La CA emisora debe poseer sufi cientes recursos fi nancieros para mantener sus operaciones y ejecutar sus deberes. La CA emisora debe ser razonablemente capaz de administrar el riesgo de responsabilidad para los suscriptores y partes que con an.

9.2.3 Cobertura de Seguro o garan a para en dades fi nales

Sin es pulaciones.

9.3 Confi dencialidad de la información comercial

9.3.1 Alcance de la información confi dencial

Los siguientes registros del suscriptor deben ser mantenidos confi -denciales:


145

Registros de solicitudes de la Autoridad Cer fi cadora, tanto aprobados como rechazados.

Registros de solicitud de cer fi cados de sujeto. Registros de las transacciones. Registros de pistas de auditorías. Planes de con ngencias y recuperación de desastres. Medidas de seguridad controlando las operaciones de cer fi ca-

dos (Hardware/So ware). Servicios de administración de cer fi cados y servicios de enro-

lamiento.

9.3.2 Información no contenida en el alcance de información confi -dencial

No se considera información confi dencial las listas de revocación ni la información del estado de los cer fi cados.

9.3.3 Responsabilidad para proteger la información confi dencial

Las CA emisoras par cipantes dentro de la jerarquía nacional de cer- fi cadores registrados deben asegurar a los par cipantes que su infor-

mación no será comprome da ni divulgada a terceras partes y deben cumplir con las leyes aplicables de privacidad.

9.4 Privacidad de información personal

9.4.1 Plan de privacidad

Las CA emisoras dentro de la jerarquía nacional de cer fi cadores re-gistrados deben implementar las polí cas de privacidad de información, de acuerdo con las leyes vigentes. No se puede divulgar o vender infor-mación de los suscriptores a cer fi cados o información de iden fi cación de éstos.

9.4.2 Información tratada como privada

Cualquier información acerca de los suscriptores que no esté públi-camente disponible a través del contenido del cer fi cado emi do y ser-vicios de CRL’s debe ser tratada como información privada.


146

9.4.3 Información que no es considerada como privada

El tratamiento de la información que no es considerada como priva-da, estará sujeto a lo que dispone la norma va nacional al efecto. Única-mente se considera pública la información contenida en el cer fi cado.

9.4.4 Responsabilidad para proteger información privada

Las CA emisoras dentro de la jerarquía nacional de cer fi cadores re-gistrados deben asegurar que la información privada no puede ser com-prome da o divulgada a terceras partes.

9.4.5 No fi cación y consen miento para usar información privada

La información privada no puede ser usada sin el consen miento de las partes. En este sen do, la CA no requiere no fi car a los suscriptores para usar información privada.

9.4.6 Divulgación de acuerdo con un proceso judicial o administra vo

Para divulgar información privada se requiere de una orden judicial que así lo determine y se divulga estrictamente la información solicitada por los jueces.

9.4.7 Otras circunstancias de divulgación de información

La información privada podrá ser divulgada en otras circunstancias, siempre que ésta resulte expresamente prevista por la legislación apli-cable.

9.5 Derechos de propiedad intelectual

Sin es pulaciones.

9.6 Representaciones y garan as

9.6.1 Representaciones y garan as de la CA

Las CA de la jerarquía nacional de cer fi cadores registrados deben garan zar que:


147

No se presentan distorsiones en la información contenida en los cer fi cados o en la emisión del mismo.

No haya errores en la información que fue introducida por la en dad que aprueba la emisión del cer fi cado.

Los cer fi cados reúnen los requerimientos expuestos en esta CP.

Los servicios de revocación y el uso de los repositorios cumplen lo es pulado en este CP.

9.6.2 Representaciones y garan as de la RA

Las Autoridades de Registro (RA) deben garan zar que:

No se presentan distorsiones en la información contenida en los cer fi cados o en la emisión del mismo.

No se presentan errores en la información del cer fi cado que fue introducida por las en dades de registro.

Que los disposi vos y materiales requeridos cumplen con lo dispuesto en este CP.

9.6.3 Representaciones y garan as del suscriptor

El suscriptor debe garan zar que:

Cada fi rma digital creada usando la llave privada corresponde a la llave pública listada en el cer fi cado.

La llave privada está protegida y que no autoriza a personas a tener acceso a la llave privada del suscriptor.

Toda la información suplida por el suscriptor y contenida en el cer fi cado es verdadera.

El cer fi cado es u lizado exclusivamente para los propósitos autorizados.

9.6.4 Representaciones y garan as de las partes que con an

Los acuerdos de partes que con an requieren que los actores co-nozcan sufi ciente información para tomar las decisiones de aceptar el cer fi cado.


148

9.6.5 Representaciones y garan as de otros par cipantes

Sin es pulaciones.

9.7 Renuncia de garan as

Cualquier po de cláusula rela va a la renuncia de garan as debe estar prevista en los acuerdos de suscriptor y de partes que con an.

9.8 Limitaciones de responsabilidad legal

Las limitaciones de responsabilidad legal deben estar previstas en forma expresa en los acuerdos de suscriptor y de partes que con an.

9.9 Indemnizaciones

La CA dentro de la jerarquía nacional de cer fi cadores registrados debe indemnizar a los suscriptores por cualquier causa legalmente esta-blecida, incluyendo:

Falsedad en la información suministrada. Por fallas en la protección del sistema de la CA, o por el uso de

sistemas no confi ables.

En ambos casos, se deberá demostrar ante las autoridades corres-pondientes los daños y perjuicios causado por la CA.

9.10 Plazo y Finalización

9.10.1 Plazo

El CP empieza a ser efec vo después de la publicación en el reposito-rio y los nuevos cer fi cados deben ser emi dos cumpliendo las polí cas determinadas en la nueva versión del CP.

9.10.2 Finalización

La vigencia del CP se debe mantener hasta que todos los cer fi cados emi dos bajo esta polí ca hayan fi nalizado o hayan sido reemplazados por otros cer fi cados emi dos bajo la nueva polí ca.


149

9.10.3 Efectos de la fi nalización y supervivencia

Después de fi nalizada la vigencia del CP, la cual puede ser por cam-bios o modifi caciones en las polí cas, esta se mantendrá válida mientras existan cer fi cados ac vos.

9.11 No fi cación individual y comunicaciones con par cipantes

Se permiten las comunicaciones comerciales con los par cipantes, a menos de que el contrato entre las partes especifi que otras cláusulas.

9.12 Enmiendas

9.12.1 Procedimiento para enmiendas

De ofi cio el Comité Asesor de Polí cas tendrá al menos una reunión anual para evaluar los atributos del cer fi cado, determinando la con-veniencia de seguir u lizando los mismos algoritmos, longitudes de las llaves y parámetros para la generación de los cer fi cados.

Los cambios en las polí cas nacionales deben ser some dos a con-sulta pública, y una vez aprobadas deben comunicarse a los par cipan-tes dentro de la jerarquía nacional de cer fi cadores registrados.

Las modifi caciones o enmiendas de las polí cas deben documen-tarse y mantenerse actualizadas a través de versiones. Las enmiendas deben publicarse en el si o Web de la CA emisora.

9.12.2 Mecanismo y periodo de no fi cación

La DCFD es la responsable de realizar los comunicados a las CA emi-soras para implementar las modifi caciones. Al menos treinta días natu-rales antes de cualquier cambio mayor en las polí cas, estas se deben publicar en el si o Web y realizar una comunicación en los medios escri-tos.


150

9.12.3 Circunstancias bajo las cuales los OID deben ser cambiados

Los cambios en los OIDs corresponden a nuevas polí cas que con-tengan otros objetos con OID adicionales. Si la estructura del cer fi cado se man ene entonces no es necesario cambiar los OIDs.

9.13 Disposiciones para resolución de disputas

De acuerdo con la ley de fi rma digital, le compete a la DCFD la re-solución de las disputas, como órgano administrador y supervisor del sistema de cer fi cación digital. Las resoluciones dictadas por la DCFD agotan la vía administra va.

9.14 Ley gobernante

Las CA emisoras dentro de la jerarquía nacional de cer fi cadores re-gistrados están sujetas a las leyes de la República de Costa Rica, en par- cular de la ley 8454 “Ley de cer fi cados, fi rmas digitales y documentos

electrónicos” y su reglamento.

9.15 Cumplimiento con la ley aplicable

Las polí cas descritas cumplen con las regulaciones nacionales.

9.16 Disposiciones varias

9.16.1 Acuerdo completo

No aplicable.

9.16.2 Asignación

No aplicable.

9.16.3 Separabilidad

En el eventual caso que una cláusula de la polí ca sea declarada in-cons tucional por los tribunales de jus cia o las leyes, el resto de las cláusulas de estas polí cas se mantendrán vigentes.


151

9.16.4 Aplicación (Honorarios de abogado y renuncia de derechos)

No aplicable.

9.16.5 Fuerza mayor

Los acuerdos de suscriptores y partes que con an deben incluir cláu-sulas de fuerza mayor para proteger a la CA emisora.

9.17 Otras disposiciones

No aplicable.

10. Anexo A: Defi niciones y acrónimos

10.1 Defi niciones

Términos Defi nición

Acuerdo de parte que con a, RPA (por sus siglas en inglés Relying party agreement)

Es un acuerdo entre la autoridad cer fi cadora y las par-tes que con an que picamente establece los derechos y responsabilidades entre estas partes con respecto a la verifi cación de las fi rmas digitales y otros usos del cer fi -cado. Este acuerdo no requiere la aceptación explícita de la parte que con a.

Acuerdo de suscriptor Es un acuerdo entre la CA raíz y la CA emisora, y entre la CA emisora y el suscriptor, que establece los derechos y responsabilidades de las partes con respecto a la emisión y ges ón de los cer fi cados. Este acuerdo sí requiere la aceptación explícita tanto de la CA emisora como del sus-criptor, respec vamente.

Apoderado Persona que ene la capacidad jurídica para actuar en nombre de una empresa o ins tución y que ene la po-testad legal para cumplir con las responsabilidades asig-nadas en este CP.

Auten cación Verifi cación de la iden dad afi rmada por el individuo:a) en el momento de registro, el acto de evaluar las cre-denciales de las en dades fi nales (esto es, suscriptores) como evidencia de la iden dad afi rmada;b) durante su uso, el acto de comparar electrónicamente la iden dad y las credenciales presentadas contra los va-lores almacenados, para probar iden dad.

Autoridad Cer fi cadora CA (por sus siglas en inglés)

En dad en la cual una o más en dades con an para crear, asignar, revocar o suspender cer fi cados de llave pública.


152


Autoridad Cer fi cadora Registrada

El cer fi cador inscrito y autorizado por la Dirección de Cer fi cadores de Firma Digital.

Autoridad de polí cas PA (por sus siglas en inglés)

Parte o cuerpo con autoridad y responsabilidad fi nal de especifi car las polí cas de cer fi cado y asegurar que las prác cas y controles de la CA, cumplen totalmente las po-lí cas de cer fi cado respec vas. (Ver defi nición ampliada en el ar culo 28 del Reglamento de la ley 8454).

Autoridad de registro RA (por sus siglas en inglés)

En dad responsable de la iden fi cación y auten cación de sujetos de cer fi cados, que no es la CA y por lo tanto no fi rma ni emite cer fi cados.Nota: Una RA puede ayudar en el proceso de solicitud del cer fi cado, en el proceso de revocación o en ambos. La RA no necesita ser un organismo separado, sino que pue-de ser parte de la CA.

CA emisora Autoridad cer fi cadora registrada que forma parte de la jerarquía nacional de cer fi cadores registrados, y que im-plementa una o varias polí cas para emisión de cer fi ca-dos de usuario fi nal.

CA de Polí cas Autoridad cer fi cadora que forma parte de la raíz nacio-nal, u lizada para segmentar el riesgo de acuerdo a la po-lí ca de emisión para un po de cer fi cado.

CA raíz Autoridad cer fi cadora registrada que se ubica en el ápice de la jerarquía nacional de cer fi cadores registrados.

CA subordinada o Sub–CA Autoridad cer fi cadora registrada que está más abajo en relación a otra CA en la jerarquía nacional de cer fi cado-res registrados.

Califi cador de la polí ca Información dependiente de la polí ca, que acompaña un iden fi cador de polí ca de cer fi cado en un cer fi cado de la norma X.509.

Cer fi cación Proceso de creación de un cer fi cado de llave pública para una en dad.

Cer fi cado La llave pública y la iden dad de un suscriptor, junto con otra información, que se torna infalsifi cable al ser fi rmada con la llave privada de la autoridad cer fi cadora que emi- ó ese cer fi cado de llave pública.

Cer fi cado suspendido Suspensión de la validez de un cer fi cado.

Compromiso Violación de la seguridad de un sistema tal que pueda haber ocurrido una divulgación no autorizada de informa-ción sensible.

Comité asesor de polí cas (CAP)

Ver “Autoridad de polí cas (PA)”.


153


Control múl ple Condición bajo la cual dos o más partes, man enen por separado y confi dencialmente, la custodia de componen-tes de una sola llave que, individualmente, no conlleva al conocimiento de la llave criptográfi ca resultante.

Datos de auten cación Información u lizada para verifi car la iden dad afi rmada de una en dad, tal como la de un individuo, un rol defi ni-do o una persona jurídica.

Datos de ac vación Valores de los datos, dis ntos a las llaves, que son reque-ridos para operar los módulos criptográfi cos y que nece-sitan estar protegidos (por ejemplo: por un PIN, una frase de paso o una llave mancomunada).

Declaración de divulgación PKI o PDS (por sus siglas en inglés)

Documento suplementario de una CP o una CPS que di-vulga la información crí ca sobre las polí cas y prác cas de una CA /PKI. Nota: Una declaración de divulgación PKI es un medio para divulgar y enfa zar la información normalmente cu-bierta en detalle por la CP y/o la CPS asociados. Por lo tanto, un PDS no ene la intención de sus tuir una CP o una CPS.

Declaración de prác cas de cer fi cación o CPS (por sus siglas en inglés)

Declaración de las prác cas que emplea una autoridad cer fi cadora al emi r cer fi cados y que defi ne el equipo, polí cas y procedimientos que u liza la CA para sa sfacer los requisitos especifi cados en las polí cas del cer fi cado que son soportadas por esta.

Delta CRL Par ción del CRL dentro de una unidad de empo, que con ene los cambios realizados al CRL base desde su úl- ma actualización.

Diario de eventos o bitáco-ra de auditoría

Registro cronológico de las ac vidades del sistema, el cual es sufi ciente para permi r la reconstrucción, revisión e inspección de la secuencia de los ambientes y de las ac vidades que rodean o que conducen a cada aconteci-miento en la ruta de una transacción desde su inicio hasta la salida de los resultados fi nales.

Documento de iden dad legalmente aceptado

Es el documento formal que según el ordenamiento jurí-dico costarricense, sirve para iden fi car legalmente a un suscriptor. En el caso de las personas sicas costarricen-ses, es la cédula de iden dad, para las personas sicas extranjeras, es el documento único de permanencia, se-gún sea su estatus migratorio y para las personas jurídicas nacionales, la cédula de persona jurídica. En el caso de la cédula de persona jurídica el documento debe ser acompañado por una cer fi cación de personería jurídica vigente (con menos de un mes de emi da), y el documento de iden dad del personero.


154


Emisor del cer fi cado Organización cuyo nombre aparece en el campo del emi-sor de un cer fi cado.

Encripción Proceso para conver r la información a un formato más seguro. En otras palabras, los datos que están en un for-mato claro, o sea entendible, se convierten mediante un proceso matemá co a un formato encriptado o codifi ca-do, o sea ininteligible.

En dad CA, RA o en dad fi nal.

En dad fi nal Sujeto de cer fi cado que u liza su llave privada para otros propósitos diferentes al de fi rmar cer fi cados. En este caso, puede tratarse de una persona sica, un agente electrónico o una autoridad de sellado de empo.

Firma digital Transformación criptográfi ca que, cuando está asociada a una unidad de datos, proporciona los servicios de auten- cación del origen, integridad de los datos y no–repudio

del fi rmante.

Firma digital cer fi cada Firma digital generada u lizando la llave privada corres-pondiente de un cer fi cado de llave pública, emi do por una CA registrada.

Disposi vo criptográfi co o módulo de seguridad de hardware (HSM por sus siglas en inglés)

Es un disposi vo criptográfi co basado en hardware que genera, almacena y protege claves criptográfi cas.

Iden fi cador de objeto u OID (por sus siglas en inglés)

Serie única de números enteros que iden fi ca inequívoca-mente un objeto de información.

Infraestructura de llave pública o PKI (por sus siglas en inglés)

Estructura de hardware, so ware, recurso humano, pro-cesos y polí cas que u liza tecnología de fi rma digital para facilitar una asociación comprobable entre el com-ponente público de un par de llaves asimétricas con un suscriptor específi co que posee la llave privada corres-pondiente.Nota La llave pública puede ser provista para verifi cación de fi rma digital, auten cación del sujeto en diálogos de comunicación, y/o para el intercambio o la negociación de llaves de encripción de mensajes.

Lista de revocación de cer fi cados o CRL (por sus siglas en inglés)

Es una lista con los números de serie de los cer fi cados que han sido revocados.

Parte que con a RP (por sus siglas en inglés)

Receptor de un cer fi cado quien actúa confi ando en ese cer fi cado, en las fi rmas digitales verifi cadas usando ese cer fi cado, o ambos.

Perfi l del cer fi cado Especifi cación del formato requerido para un po par cu-lar de cer fi cado (incluyendo requisitos para el uso de los campos estándar y extensiones).


155


Período de operación Período de vigencia de un cer fi cado que comienza en la fecha y la hora en que es emi do por una CA (o una fecha y una hora posterior, si se indica en el cer fi cado) y termina en la fecha y la hora en que expira o se revoca el mismo.

Personero o representante con facultades sufi cientes

Quien ostente poder general o generalísimo en una per-sona jurídica.

Polí ca de cer fi cado o CP (por sus siglas en inglés)

Conjunto de reglas establecidas que indican la aplicabili-dad de un cer fi cado a una comunidad par cular y/o una clase de aplicaciones con requisitos comunes de seguri-dad.

Protocolo de consulta en línea del estado del cer fi -cado u OCSP (por sus siglas en inglés)

Protocolo para determinar el estado actual de un cer fi -cado en lugar de o como suplemento a la comprobación contra una CRL periódica, y que especifi ca los datos que necesitan ser intercambiados entre una aplicación que comprueba el estado de un cer fi cado y el servidor que proporciona ese estado.

Re–emisión de llaves del cer fi cado

Proceso por medio del cual una en dad con un par de lla-ves y un cer fi cado recibe un nuevo cer fi cado para una nueva llave pública, siguiendo la generación de un nuevo par de llaves.

Renovación del cer fi cado Proceso por medio del cual a una en dad le es emi da una nueva instancia de un cer fi cado existente con un nuevo período de validez, conservando el mismo par de llaves.

Repositorio Sistema para el almacenamiento y la distribución de los cer fi cados y de la información relacionada (esto es, al-macenamiento y recuperación de la polí ca de cer fi ca-do, estado del cer fi cado, etc.).

Rol de confi anza Puesto de trabajo que realiza funciones crí cas que, si se realiza insa sfactoriamente, puede tener un impacto adverso sobre el grado de confi anza proporcionado por la CA.

Ruta de cer fi cación Secuencia ordenada de cer fi cados de en dades que, junto con la llave pública de la en dad inicial en la ruta, pueden ser procesadas para obtener la llave pública de la en dad fi nal en la ruta.

Servicios de validación del cer fi cado

Servicios proporcionados por la CA o su agente quien rea-liza la tarea de confi rmar la validez de un cer fi cado a una parte que con a.

Sello electrónico Firma digital cer fi cada generada a par r de un cer fi ca-do digital de sello electrónico de persona jurídica.


156


Solicitud de cer fi cado Presentación a una CA por una RA (o a la CA raíz por una CA), su agente o un sujeto, de una solicitud de registro validada para registrar la llave pública del sujeto que se colocará en un cer fi cado.

Solicitud de registro Presentación por parte de una en dad a una RA (o CA) para registrar la llave pública de la en dad en un cer -fi cado.

Solicitud de servicio de validación

Pe ción realizada por la parte que con a a un servicio de validación para comprobar la validez de un cer fi cado.

Sujeto En dad cuya llave pública es cer fi cada en un cer fi cado de llave pública.

Suscriptor En dad que se suscribe con una autoridad cer fi cadora a nombre de uno o más sujetos.

Tramitador de cer fi cados de persona jurídica

Persona sica que es designada para actuar en represen-tación de una persona jurídica, con el fi n de solicitar y re -rar en nombre de ésta los cer fi cados de persona jurídica de sello electrónico y/o agente electrónico, así como de fi rmar en nombre de ésta el acuerdo de suscriptor.

Validez del cer fi cado Aplicabilidad (apto para el uso previsto) y estado (ac vo, suspendido, revocado o expirado) de un cer fi cado.

Verifi cación de la fi rma Determinación y validación de:a) que la fi rma digital fue creada durante el período ope-racional de un cer fi cado válido por la llave privada co-rrespondiente a la llave pública que se encuentra en el cer fi cado;b) que el mensaje no ha sido alterado desde que su fi rma digital fue creada.

10.2 Abreviaturas

Abreviatura Descripción

CAAutoridad Cer fi cadora (CA por sus siglas en inglés Cer fi cate Authority).

CAP Comité Asesor de Polí cas.

CP Polí cas de Cer fi cado (CP por sus siglas en inglés Cer fi cate Policy).

CPSDeclaración de prác cas de Cer fi cación (CPS por sus siglas en inglés Cer fca on Prac ce Statement).

CRLListas de revocación de Cer fi cados (CRL por sus siglas en inglés Cer fi cate Revoca on List).

DCFD Dirección de Cer fi cadores de Firma Digital.

DNS Sistema de nombres de dominio (Domain name system).

ECA Ente Costarricense de Acreditación.


157


FIPSEstándar para los disposi vos criptográfi cos (FIPS por sus siglas en inglés Federal Informa on Processing Standard).

HSMDisposi vo criptográfi co (HSM por sus siglas en inglés Hardware Security Module).

ISOOrganización Internacional para la Estandarización (ISO por sus siglas en inglés Interna onal Standards Organiza on).

LGAP Ley General de Administración Pública.

MICIT Ministerio de Ciencia y Tecnología.

NICCentro de información de redes de Internet en Costa Rica (NIC por sus siglas en inglés Network Informa on Center).

OCSPServicios de validación de cer fi cados en línea (OCSP por sus siglas en inglés Online Cer fi cate Status Protocol).

OEC Organismo de Evaluación de la Conformidad.

OID Iden fi cador de Objeto (OID por sus siglas en inglés Object Iden fi er).

PDSDeclaración de divulgación PKI (PDS por sus siglas en inglés PKI Disclosure Statement).

PINNúmero de iden fi cación Personal (PIN por sus siglas en inglés Personal Iden fi ca on Number).

PKIInfraestructura de llave pública (PKI por sus siglas en inglés Public Key Infraestructura).

RA Autoridad de registro (RA por sus siglas en inglés Registra on Authority).

RFCDocumento técnico aplicable que aún no es un estándar internacional (RFC por sus siglas en inglés Request for Comments).

RNP Registro nacional de la propiedad.

TSAAutoridad de sellado de empo (TSA por sus siglas en inglés Time Stamping Authority).

TSE Tribunal Supremo de Elecciones.

URLLocalizador Uniforme de Recurso que permite asignar nombres a recursos en Internet (URL por sus siglas en inglés Uniform Resource Locutor).

UTCTiempo Universal Coordinado (UTC por sus siglas en inglés (Universal Time Coordinated).

X.509Estándar u lizado para estructuras de datos y algoritmos de validación en las infraestructuras de llave pública.


158

11. Anexo B: Documentos de referencia

Los siguientes documentos referenciados son aplicados para la con-fección de las polí cas de cer fi cación.

RFC 3039 “Internet X.509 Public Key Infrastructure Qualifi ed Cer- fi cates Profi le.

RFC 3280 Internet X.509 Public Key Infrastructure Cer fi cate and CRL Profi le.

RFC2560 “X.509 Internet Public Key Infrastructure Online Cer fi -cate Status Protocol– OCSP”.

RFC 3647: “Internet X.509 Public Key Infrastructure. Cer fi cate Policy and Cer fi ca on Prac ces Framework”.

RFC 3161: “Internet X.509 Public Key Infrastructure. Time–Stamp Protocol (TSP)”.

RFC 3628: “Policy Requirements for Time–Stamping Authori es (TSAs)”.

INTE–ISO–21188:2007 “Infraestructura de llave pública para ser-vicios fi nancieros– Estructura de prác cas y polí cas.

INTE–ISO/IEC 19011 “Directrices para la auditoría de sistemas de ges ón de la calidad y/o ambiental”.

ISO 3166 “Códigos para la representación de los nombres de los países y sus subdivisiones. Parte 1: Códigos de los países.

INTE–ISO/IEC 17021 Evaluación de la conformidad– Requisitos para los organismos que realizan la auditoría y la cer fi cación de sistemas de ges ón.

Ley 8454 “Ley de cer fi cados, fi rmas digitales y documentos electrónicos” y su reglamento.

Documentos anexos:

– Polí ca de sellado de empo del sistema nacional de cer fi ca-ción digital.

– Directrices para las Autoridades de Registro. Caracterís cas de cumplimiento de Autoridades de Registro (RA) de la jerarquía na-cional de cer fi cadores registrados de Costa Rica.

– Guía para la autorización de una Autoridad Cer fi cadora Emiso-ra de la jerarquía nacional de cer fi cadores registrados de Costa Rica.

P

D recc

OID 2.16.188.1.1.1.2.1Vers ón: 1.0

161

Polí ca de formatos ofi ciales de los documentos electrónicos fi rmados digitalmente



26/07/12Consulta pública

Comité Asesor dePolí cas

Alexander Barquero

Director DCFD

Se presenta la versión para discusión del CAP y aprobación del Director de la DCFD.

08/05/13 BorradorDirección de


Alexander Barquero

Director DCFD

Se incorporan las observaciones de la consulta pública, de acuerdo al aviso publicado el día lunes 13 de Agosto del2012, en el diario ofi cial “La Gaceta”,número 155.

20/05/13 1.0Dirección de


Alexander Barquero

Director DCFDOfi cialización y entrada en vigencia de la polí ca.

163


1. Introducción

La presente polí ca defi ne las caracterís cas que conforman los for-matos ofi ciales de documentos electrónicos fi rmados digitalmente, al amparo de la Ley No. 8454 Ley de Cer fi cados, Firmas Digitales y Docu-mentos Electrónicos y de su Reglamento. Dichas caracterís cas deberán ser incorporadas por el fi rmante, receptor o validador de un documento electrónico en los procesos de generación o validación de la fi rma digi-tal, según corresponda, y verifi cadas por cualquier receptor del docu-mento electrónico en el respec vo proceso de validación de la fi rma digital del mismo.

Los formatos ofi ciales serán acogidos por toda en dad pública, em-presa privada o par cular, como el estándar en el cual basarán sus do-cumentos electrónicos fi rmados digitalmente, mismos que generan o consumen en sus respec vos procesos de negocio apoyados en siste-mas de información. Los documentos en formatos ofi ciales enen una serie de mecanismos que le garan zan mayor robustez a los procesos y a las organizaciones o individuos que los u lizan e implementan, y su uso potencia la interoperabilidad de procesos digitales y documentos electrónicos fi rmados digitalmente entre las diferentes ins tuciones del país.




Ministerio de Ciencia, Tecnología y Telecomunicaciones, dirección: San José, Calles 17 y 19, Avenida Segunda (50 metros Este del Museo Nacional). Apartado Postal: 5589–1000San José, Costa Rica.


Director de Cer fi cadores de Firma Digital, Dirección de Cer fi ca-dores de Firma Digital. Correo Electrónico: fi [email protected]. Tel. (506)2248–1515, ext. 232 o 183.


164

2. Resumen

Esta polí ca detalla las caracterís cas que un documento electrónico fi rmado digitalmente debe tener para considerar que implementa un formato ofi cial nacional.

3. Defi niciones, conceptos generales y abreviaturas

3.1 Defi niciones y conceptos generales

Para los propósitos del presente documento, se aplican los siguien-tes términos y defi niciones:

Documento electrónico: c ualquier manifestación con carácter representa vo o declara vo, expresada o transmi da por un medio electrónico o informá co. En otras palabras, cualquier conjunto de datos creado, preservado, transmi do o visualiza-do por medios electrónicos puede ser considerado un docu-mento electrónico.

Documento electrónico fi rmado digitalmente: a quel documen-to electrónico, cualesquiera que sean su contenido, contexto y estructura, que ene lógicamente asociada una fi rma digital. En otras palabras, es un objeto conceptual que con ene tanto el documento electrónico como una fi rma digital, sin importar que estos dos elementos puedan encontrarse representados por conjuntos de datos diferentes.

Token de sellado de empo: Respuesta estandarizada de una TSA que permite relacionar un conjunto de datos con un em-po concreto, estableciendo así evidencia de que el dato exis a antes de ese empo. Los token de sellado se emiten de acuer-do al RFC 3161 “Internet X.509 Public Key Infrastructure Time Stamp Protocol (TSP)”. También se conocen con el nombre de estampas de empo.

Autoridad de Sellado de Tiempo (TSA por sus siglas en inglés Time Stamping Authority): s istema de emisión y ges ón de token de sellado de empo basado en una fi rma digital acredi-

165


tada dentro de la jerarquía nacional de cer fi cadores registra-dos.

Ruta de cer fi cación: corresponde a la cadena de cer fi cados que soportan un cer fi cado en par cular, empezando en el cer- fi cado raíz y terminando en el cer fi cado en cues ón, siempre

dentro de la jerarquía nacional según el Sistema Nacional de Cer fi cación Digital.

Información de revocación: se refi ere al conjunto de datos que permiten determinar la validez de un cer fi cado en un momen-to dado del empo. Los mecanismos tradicionales de informa-ción de revocación son las Listas de Revocación de Cer fi cados (CRLs por sus siglas en inglés) y la respuesta del Protocolo En Línea de Estado de Cer fi cados (OCSP por sus siglas en inglés).

Listas de Revocación de Cer fi cados (CRLs): man ene un lista-do de todos los cer fi cados que han sido revocados y del mo-mento en que se dio su revocación. La autoridad cer fi cadora defi ne un empo de validez para la CRL, de tal forma que una vez que caduque debe ser actualizada.

Protocolo en Línea de Estado de Cer fi cados (OCSP): protocolo de implementación de servicios de respuesta en línea del esta-do de un cer fi cado en el momento en que es solicitado. Re-quiere de comunicación en línea con la autoridad cer fi cadora.

Formato de Firma Digital: especifi cación donde se defi ne la es-tructura y codifi cación de un documento fi rmado digitalmente.

3.2 Abreviaturas


CA Autoridad Cer fi cadora (Cer fi cate Authority)

CAdES CMS Advanced Electronic Signature

CRLLista de Revocación de Cer fi cados (Cer fi cate

Revoca on List)


166


OCSPProtocolo En Línea de Estado de Cer fi cado (Online

Cer fi cate Status Protocol)PAdES PDF Advanced Electronic Signature

TSAAutoridad de Sellado de Tiempo (Time–Stamping

Authority)TST Token de Sellado de Tiempo (Time–Stamp Token)

XAdES XML Advanced Electronic Signature

4. Polí ca de Formatos Ofi ciales de los Documentos Electrónicos Firmados Digitalmente

4.1 Resumen

La Polí ca de Formatos Ofi ciales de los Documentos Electrónicos Firmados Digitalmente establece el conjunto de reglas generales para el procesamiento de documentos electrónicos fi rmados digitalmente, tanto para la realización de la fi rma digital como para la verifi cación de su validez en cualquier momento en el empo.

4.2 Iden fi cación

Este documento es la “Polí ca de Formatos Ofi ciales de los Docu-mentos Electrónicos Firmados Digitalmente”, y se referencia mediante el iden fi cador de objeto (OID) : 2.16.188.1.1.1.2.1

OID Descripción2 joint–iso–itu–t

16 Country188 Costa Rica

1 Organización1 Dirección de Cer fi cadores de Firma Digital1 Polí cas

2Polí cas de Documentos Electrónicos Firmados Digitalmente

1Polí ca de Formatos Ofi ciales de los Documen-tos Electrónicos Firmados Digitalmente

167


4.3 Comunidad de usuarios y aplicabilidad

Esta polí ca ene como obje vo guiar a las diferentes en dades pú-blicas y privadas que deseen proveer o consumir servicios en internet con mecanismos de fi rma digital, a los proveedores y desarrolladores de soluciones de so ware con mecanismos de fi rma digital, a los usuarios de los servicios o soluciones antes mencionados y a los ciudadanos que deseen conocer o u lizar mecanismos de fi rma digital en general.

4.4 Cumplimiento

Las en dades públicas, empresas privadas o par culares que deseen implementar soluciones con mecanismos de fi rma digital, tanto para so-luciones internas, interins tucionales, o para los servicios ofrecidos a sus clientes o administrados, deberán cumplir con los lineamientos esta-blecidas en ésta polí ca para generar y procesar documentos mediante el uso de formatos ofi ciales, según el conjunto de responsabilidades que les corresponda (fi rma digital y/o validación de la fi rma digital).

4.5 Vigencia

La “Polí ca de Formatos Ofi ciales de los Documentos Electrónicos Firmados Digitalmente” rige a par r de su publicación.

Se establece un periodo transitorio de 24 meses naturales a par r de su publicación para que las en dades públicas, empresas privadas o par- culares que u lizan documentos electrónicos fi rmados digitalmente en

sistemas informá cos a la medida o mediante soluciones ofi má cas ya instaladas, u licen el formato ofi cial como soporte electrónico estanda-rizado cuando sea necesario el uso de fi rmas digitales.

Cualquier nuevo uso de fi rma digital, así como cualquier nuevo sis-tema informá co a la medida que contemple el uso de mecanismos de fi rma digital y que sea desarrollado a par r de la publicación de la pre-sente Polí ca, deberá acogerse a ésta y cumplir con los formatos ofi cia-les establecidos.


168

5. Especifi cación de los Formatos Ofi ciales

5.1 Uso de Formatos Avanzados

En el Sistema Nacional de Cer fi cación Digital, se conocerán como formatos avanzados todos aquellos formatos de fi rma digital que defi -nen de manera estandarizada los atributos sufi cientes para garan zar la verifi cación de la validez del documento en el empo, que estén auspi-ciados por alguna en dad internacional reconocida, y que sus especifi -caciones técnicas sean de acceso público. Esta defi nición se basa en los estándares promulgados por el Ins tuto de Estándares de Telecomuni-caciones Europeo (ETSI por sus siglas en inglés), a par r de la Direc va 1999/93/EC emi da por la Unión Europea.

Los formatos ofi ciales de los documentos electrónicos fi rmados di-gitalmente en Costa Rica serán solo aquellos que la Dirección de Cer fi -cadores de Firma Digital determine. Bajo esa premisa, se defi ne que los formatos ofi ciales de los documentos electrónicos fi rmados digitalmen-te en Costa Rica serán aquellos construidos con base en los formatos avanzados emi dos como normas técnicas y estándares por la ETSI, en un nivel de especifi cación que contemple la inclusión de todos los atri-butos necesarios para garan zar la verifi cación de su validez en el em-po de manera irrefutable. Dichos formatos avanzados y confi guración de niveles son los que se especifi can a con nuación:

• CAdES–X–Lo Basado en la especifi cación ETSI TS 101 733, en su úl ma

versión ofi cial.o Para documentos con información codifi cada en binario.o Para su codifi cación en soluciones a la medida, se propo-

ne el perfi l CAdES Baseline Profi le de la ETSI, el cual puede encontrarse en la especifi cación ETSI TS 103 173, en su úl ma versión ofi cial.

• PAdES Long Term (PAdES LTV)o Basado en la especifi cación ETSI TS 102 778, en su úl ma

versión ofi cial.o Para documentos en formatos PDF y sus formatos exten-

didos.

169


o Para su codifi cación en soluciones a la medida, se propo-ne el perfi l PAdES Baseline Profi le de la ETSI, el cual puede encontrarse en la especifi cación ETSI TS 103 172, en su úl ma versión ofi cial.

• XAdES–X–Lo Basado en la especifi cación ETSI TS 101 903, en su úl ma

versión ofi cial.o Para documentos en formatos XML.o Se recomienda para el desarrollo de soluciones informá -

cas en donde sea necesaria la interoperabilidad con otras ins tuciones.

o Para su codifi cación en soluciones a la medida, se propo-ne el perfi l XAdES Baseline Profi le de la ETSI, el cual puede encontrarse en la especifi cación ETSI TS 103 171, en su úl ma versión ofi cial.

Sin importar las diferencias en codifi cación y forma inherentes a cada especifi cación, los niveles de confi guración de los formatos avan-zados aquí mencionados cumplen con las siguientes caracterís cas de-terminantes para su selección:

• Permiten la u lización de algoritmos criptográfi cos robustos.• Respetan el principio de neutralidad tecnológica:

o Son estándares abiertos.o Pueden ser empleados en escenarios mul plataforma.o No están sujetos a un determinado producto licenciado.

• Cuentan con una adecuada documentación técnica.• Permiten la incorporación de múl ples fi rmas en un documen-

to electrónico.• Implementan los principios de un mecanismo de fi rma confi a-

ble: o Garan a de la auten cidad del documento electrónico. o Garan a de la integridad del documento electrónico.o Ubicación fehaciente del documento electrónico en el

empo.• Especifi can mecanismos estandarizados para garan zar la pre-

servación y verifi cación de la validez de las fi rmas digitales del documento electrónico en el empo:


170

o Inclusión de sellos de empo en el documento electróni-co.

o Inclusión de la ruta de cer fi cación en el documento elec-trónico.

o Inclusión de la información de revocación en el documen-to electrónico.

5.2 Responsabilidades

En el ciclo de vida de un documento electrónico fi rmado digitalmen-te mediante el uso de un formato ofi cial, se iden fi can dos conjuntos de responsabilidades relacionados con mecanismos de fi rma digital: la fi r-ma digital y la verifi cación de validez de la fi rma digital. Para la emisión de un documento electrónico fi rmado digitalmente, y para la recepción o verifi cación de su validez, se establecen una serie de ac vidades que deben realizarse para garan zar que la fi rma digital asociada tenga valor en el empo. El lugar y la manera en que se codifi can estos atributos en el documento electrónico corresponden con lo indicado en las especifi -caciones de la ETSI mencionadas anteriormente.

5.2.1 Firma digital del documento electrónico

Cuando se fi rma digitalmente un documento electrónico, será res-ponsabilidad del sistema o sistemas que implementan los mecanismos de fi rma digital incluir los atributos descritos a con nuación (siempre respetando el estándar que corresponda):

Nombre del Atributo Descripción del AtributoEtapas de proceso

posibles para la inclusión del Atributo

en el Documento

Resumen hashencriptado (digest)

Mecanismo criptográfi co que permite garan zar la integridad y auten cidad del documento.

Emisión

Cer fi cado del fi rmante

Copia del cer fi cado del fi rmante que permite ve-rifi car la autoría del docu-mento.

Emisión

171


Tokens de sellado de empo1

Solicitados a una TSA de la jerarquía del Sistema Nacional de Cer fi cación Digital.

Emisión, Recepción oValidación

Rutas de cer fi cación

Cadenas de cer fi cados que ubiquen el cer fi cado del fi rmante y de los sellos de empo en la jerarquía del Sistema Nacional de Cer fi cación Digital.

Emisión, Recepción oValidación

Información de revocación

Respuestas de validez del cer fi cado del fi rmante, de los sellos de empo y de todos los cer fi cados de sus respec vas rutas de cer fi ca-

ción.

Emisión, Recepción o Validación

5.2.2 Verifi cación de la validez de la fi rma digital en el documento electrónico

Cuando se verifi ca la validez de un documento electrónico fi rmado digitalmente en el formato ofi cial, es impera vo que se realicen las si-guientes validaciones de los diferentes atributos que el documento con- ene:

Nombre delAtributo

Descripción de la Ac vidad de Validación

Resumen hashencriptado (digest)

Verifi car que el hash encriptado corresponda con el documento electrónico.

Cer fi cado del fi rmante

Verifi car que la fi rma del documento corresponda con el cer fi cado del fi rmante.

1 Los tokens de sellado de empo que se u lizan de manera estandarizada en los for-matos ofi ciales son para determinar la existencia de u n conjunto de datos en un momento determinado del empo (por ejemplo, para garan zar que el cer fi cado no estaba vencido al momento de la fi rma), y no necesariamente para iden fi car el momento de realización de la fi rma por parte del fi rmante ni del momento de la re-cepción del documento por parte de un receptor del mismo. Pueden u lizarse otros tokens de sellado de empo, adecuadamente controlados y documentados en las herramientas, para tales fi nes.


172

Tokens de selladode empo

Verifi car que los tokens de sellado de empo son de fechas previas a la fecha de vencimiento de los cer -fi cados del fi rmante o de las rutas de cer fi cación e información de revocación según corresponda, y así garan zar que todos los cer fi cados y cadenas eran vigentes y válidas cuando se usaron.

Rutas de cer fi caciónVerifi car que todos los cer fi cados del documento co-rrespondan a cer fi cados de la jerarquía del Sistema Nacional de Cer fi cación Digital.

Información de revocación

Verifi car que todos los cer fi cados del documento eran válidos (vigentes y no revocados) en el momento de su inclusión en el documento.

5.2.3 Consideraciones adicionales para la inclusión de los atributos

Tal y como se desprende de la presente polí ca y de los estándares a los que hace referencia, los atributos “Resumen hash encriptado (di-gest)” y “Cer fi cado del fi rmante” solo pueden agregarse en presencia de cada uno de los fi rmantes tulares de los cer fi cados que realizan un ejercicio de fi rma sobre el documento electrónico. Los restantes atribu-tos, “Tokens de sellado de empo”, “Rutas de cer fi cación” e “Informa-ción de revocación”, pueden agregarse posterior al ejercicio de fi rmado del/de los fi rmantes del documento, ya sea al momento de la recepción o durante la validación del documento. Esto úl mo es cierto siempre y cuando los cer fi cados de los fi rmantes, y los cer fi cados de la jerar-quía, no hayan vencido ni tampoco hayan sido revocados.

El escenario descrito es una medida existente para atender el riesgo de que, al tratar de hacer una fi rma digital en formato ofi cial, los ser-vicios de respuesta en línea o los repositorios de información de revo-cación no estén disponibles; con el obje vo de que dicha eventualidad no limite la creación de fi rmas digitales en documentos electrónicos, a los que posteriormente pueden incluirse todos los atributos adicionales que permiten la verifi cación de la validez de la fi rma digital del docu-mento electrónico a largo plazo.

Directrices para las Autoridades de

cumplimiento de Autoridades deRegistro (RA) de la jerarquía

registrados de Costa Rica

DireccióMinisterio de Ciencia y Tecnología

OID 2.16.188.1.1.1.1Versión: 1.00

175

Directrices para las Autoridades de Registro. Caracterís cas de cumplimiento de Autoridades de Registro (RA) de la jerarquía nacional de cer fi cadores registrados de Costa Rica



03–12–07 Borrador Comité de Polí casLic.Oscar SolísDirector DCFD

Se incorporan las observaciones de la consulta pública, de acuerdo al edicto publicado el día lunes 19 de no-viembre del 2007 en el diario ofi cial “La Gaceta”, número Nº 222

04–09–08 1.00 Comité de Polí casLic.Oscar SolísDirector DCFD

Ofi cialización y entrada en vigencia de las polí cas.

177


1. Disposiciones Generales

Este documento regula la operación y procedimientos mínimos adoptados por las Autoridades de Registro (en adelante RA) que ges- onan los cer fi cados dentro de la jerarquía nacional de cer fi cadores

registrados de Costa Rica, y es un complemento de la “Polí ca de Cer -fi cados para la jerarquía nacional de cer fi cadores registrados”

La Autoridad de Registro (RA) es la en dad responsable por la comu-nicación entre el usuario y la autoridad cer fi cadora (CA). Está vinculada a una CA y ene por obje vo recibir, validar, verifi car y ges onar las solicitudes de emisión o revocación de los cer fi cados digitales, cum-pliendo con lo establecido en la polí ca de cer fi cación nacional y en concordancia con las polí cas y procedimientos defi nidos por la CA co-rrespondiente

Para el presente documento se aplican las defi niciones del “Regla-mento a la Ley de cer fi cados, fi rma digitales y documentos electróni-cos (Decreto No. 33018–MICIT)” y de la “Polí ca de Cer fi cados para la jerarquía nacional de cer fi cadores registrados”. Sin embargo, para ampliar la reglamentación de la RA se deben aclarar los siguientes con-ceptos:

a. Agente de registro: Persona responsable de la ejecución de las ac vidades propias de la RA. Esta persona debe realizar las vali-daciones y verifi caciones defi nidas en la polí ca del cer fi cado que corresponda.

b. Confi rmar la iden dad del solicitante: proceso para comprobar que el solicitante es la persona con autoridad para solicitar el cer fi cado, de acuerdo a la polí ca asociada al cer fi cado.

c. Suspensión de un agente de registro: Es cuando un funciona-rio que ene el rol de agente de registro deja de ejercer sus labores temporalmente, alterándosele sus permisos dentro del sistema de la CA.


178

d. Desvincular a un Agente de Registro: Es el proceso de separar a un agente de registro de sus funciones, eliminándole los permi-sos dentro del sistema de la CA. Este proceso ocurre cuando:

1. El funcionario ha renunciado a su cargo en la organización

2. El funcionario es cesado de sus funciones o de su organi-zación

3. El funcionario que ha recibido la función de agente de re-gistro la deja de ejercer, aunque con núa trabajando en otros puestos de la organización.

4. El funcionario sancionado mediante un proceso adminis-tra vo, o por un procedimiento disciplinario, que impidan con nuar en su cargo.

e. Encargado de la RA: Persona responsable de la supervisión de las funciones de los agentes de registro, y la coordinación con la CA.

f. Expediente del agente de registro: Es el conjunto de documen-tos rela vos a un agente de registro.

g. Expediente de instalación: Es el conjunto de documentos rela- vo a las instalaciones de la RA, tales como plan de con nui-

dad de negocio, análisis de riesgos, reglamento de sanciones, inventario de ac vos y un plan de terminación de la RA (de acuerdo con el punto “5.8 Terminación de una CA o RA” del documento de Polí ca de cer fi cados para la jerarquía nacional de cer fi cadores registrados).

h. Instalaciones: Es el ambiente sico de una RA, cuyo funciona-miento es debidamente autorizado para realizar las ac vidades de validación y verifi cación de las solicitudes de cer fi cado.

i. Validación del solicitante del cer fi cado: Es la verifi cación de la iden dad del individuo o la organización que se presente ante una RA para solicitar un cer fi cado. Esta validación requiere de

179


la presencia sica del solicitante y de la evidencia que permita determinar su autoridad para la solicitud de su cer fi cado res-pec vo.

Las áreas y ac vidades ejecutadas por la RA incluyen, entre otras:

Verifi car y validar los documentos de iden dad

Registrar y enrolar a los suscriptores

Entregar cer fi cados digitales

Ges onar la aceptación del cer fi cado por parte del suscriptor

Ges onar revocaciones de cer fi cados

Registrar los eventos en las bitácoras

Controlar y supervisar a los agentes de registro

Almacenar y custodiar la documentación

Controlar los reportes de incidentes

La RA debe establecer los procedimientos y guías para asegurar el cumplimiento de la polí ca de cer fi cados de la jerarquía nacional y de este documento, además de tomar las acciones que prevengan alguna defi ciencia de la RA, incluyendo la termi-nación o suspensión de sus deberes.

1.1 Administración del documento



Ministerio de Ciencia y Tecnología, dirección: San José, 50 metros Este del Museo Nacional. Apartado Postal: 5589–1000 San José, Costa Rica. Correo Electrónico: informacion@fi rmadigital.go.cr


180


Jefatura de la Dirección de Cer fi cadores de Firma Digital Director de Cer fi cadores de Firma Digital, Correo Electrónico: informacion@fi rma-digital.go.cr. Tel. (506) 2248–1515, ext. 115.

2. Controles del Personal

2.1 Disposiciones generales

La autoridad de registro es la responsable administra va de su ope-ración y debe enviar a la CA la información actualizada de los agentes de registros ac vos, sus perfi les, cualidades y necesidades de acceso a la información Esta información es actualizada y consolidada por la CA, ejecutando los más estrictos procedimientos de custodia y fi scalización indicados en la sección 5.5.3 “protección de archivos”, de la Polí ca de Cer fi cados para la jerarquía nacional de cer fi cadores registrados.

Los agentes de registro deben ser funcionarios de la organización que opera como Autoridad de Registro.

2.2 Requerimientos de documentación del Agente de Registro

Para cada agente de registro, en concordancia con los requisitos de personal ejecutando roles de confi anza en la sección 5.3 de la polí ca de cer fi cados para la jerarquía nacional de cer fi cadores registrados, la RA correspondiente debe poseer un expediente con:

a. Un contrato de trabajo o documento que permita comprobar su situación laboral

b. Comprobante de verifi cación de antecedentes criminales c. Comprobante de verifi cación de situación credi cia

d. Comprobante de verifi cación de empleos anteriores. Incluyen-do empleos en otras RA y las sanciones aplicadas, en caso de que existan.

181


e. Comprobante de escolaridad y residencia

f. Comprobante de aprobación de las capacitaciones recibidas re-ferentes a las ac vidades propias de un Agente de Registro.

g. Declaración en que afi rma conocer las atribuciones que asume y el deber de cumplir con la polí ca nacional de cer fi cación, y de mantener confi dencialidad y privacidad de los datos dispo-nibles en la CA o RA

h. Resultados de las evaluaciones periódicas

i. Registro que lo compromete a ejecutar labores de agente de registro en la RA

j. Registro en la CA o RA del momento en que fue incluido el rol de agente en el sistema de cer fi cación

Cuando un Agente de Registro es desvinculado o suspendido de sus ac vidades en la RA entonces el expediente de la persona debe indicar:

Registro de la solicitud para deshabilitar al agente de registro del sistema de cer fi cación

Registro en la CA del momento en que el agente de registro es deshabilitado o suspendido del sistema de cer fi cación

2.3 Requerimientos Capacitación

Todo agente de registro, y personal involucrado de su administra-ción, debe recibir capacitación y documentación en los siguientes te-mas:

a. Concepto básico de cer fi cados digitales, Tokens y Smart Card

b. Principios y mecanismos de seguridad de la RA

c. Uso del Sistema de Cer fi cación de la CA


182

d. Procedimientos de recuperación de desastres y de con nuidad del negocio

e. Procedimientos para la validación y verifi cación de iden dad

Esto deberá constar en el expediente de agente de registro. Cuando se presenten cambios signifi ca vos en las operaciones de la RA, el per-sonal involucrado debe recibir capacitación al respecto.

2.4 Procedimiento de suspensión o desvinculación

Cuando un Agente de Registro sea suspendido o desvinculado de sus ac vidades, el encargado de la RA debe ges onar inmediatamente con la CA la suspensión o revocación de sus permisos de acceso a los siste-mas de la CA y de las labores inherentes a las ac vidades de la RA. Estos procesos deben ser documentados.

3. Controles sicos

3.1 Exigencias mínimas de seguridad sica

Todas las Autoridades de Registro deben cumplir con las siguientes exigencias mínimas de seguridad:

a. Disposi vos para la detección de incendios

b. Gabinetes o armarios con llave, de uso exclusivo de la RA

c. Los equipos de la RA deben estar protegidos contra fallas del fl uido eléctrico y otras anomalías en la energía

d. Vigilancia y monitoreo del ambiente de la RA durante su hora-rio de operación

e. Un perímetro de seguridad en el edifi cio donde se encuentran las instalaciones de la RA, con un guarda asignado durante el horario de operación.

f. Controles contra coacción para cada agente de registro

g. Iluminación de emergencia

183


3.2 Procedimientos de monitoreo

Mantener monitoreo por Circuito Cerrado de Televisión (CCTV), o cualquier otra tecnología de video–vigilancia, para la supervisión de las ac vidades de la RA. Las imágenes deben ser mantenidas en un ambien-te seguro por al menos 60 días.

4. Controles lógicos

4.1 Controles de seguridad de las estaciones de trabajo

Las estaciones de trabajo de la RA, incluyendo los equipos portá les, deben estar protegidas contra amenazas y acciones no autorizadas.

Las estaciones de trabajo de la RA, deben cumplir las siguientes di-rec vas de seguridad:

a. Control de acceso lógico al sistema operacional

b. Auten cación robusta (por ejemplo, u lizando cer fi cados di-gitales) para hacer uso de las estaciones de trabajo

c. Direc vas bloqueo de la sesión de usuario

d. Bitácoras de auditoría del sistema opera vo ac vadas, regis-trando:

1. Inicio y terminación de las sesiones del sistema opera vo

2. Intentos de crear, remover, defi nir contraseñas o modifi -car los privilegios del sistema opera vo

3. Modifi caciones en la confi guración de las estaciones

4. Accesos (login) y de salidas (logoff ) del sistema opera vo5. Intentos de acceso no autorizado al sistema opera vo

e. An virus instalados, actualizados y habilitados


184

f. Permisos de acceso mínimos que le permitan ejecutar las ac -vidades estrictamente necesarias.

g. Protector de pantalla ac vado como máximo dos minutos des-pués de estar en inac vidad el equipo y exigiendo un mecanis-mo de auten cación del usuario para desbloquearlo.

h. Sistema opera vo actualizado y con la aplicación de las correc-ciones necesarias (parches, ho ix, etc.)

i. Endurecimiento de Estación (Hardening1)

j. Instalar únicamente aplicaciones autorizadas y concernientes a la función.

k. U lización de so ware licenciado en las estaciones de la RA

l. Limitar el acceso remoto a la estación de trabajo de la RA, vía otro equipo ligado a una red de computadores u lizada por la RA, excepto para ac vidades de soporte remoto de la CA

m. Sincronización con la hora UTC en Costa Rica

Las bitácoras deben permanecer almacenadas localmente por un periodo de al menos 60 días y posteriormente pueden ser eliminadas.

En las estaciones de la RA debe contarse con un perfi l de administra-dor de los equipos, que sea el responsable de administrar la confi gura-ción de la máquina y esta labor debe ser segregada de las funciones del agente de registro de la RA.

4.2 Controles de la aplicación de la RA

La aplicación de la RA es la conexión entre la RA y el sistema de cer- fi cados de la CA y debe cumplir al menos con las siguientes funcionali-

dades:

1 El Hardening es una técnica compuesta por un conjunto de ac vidades llevadas a cabo por el administrador de un sistema opera vo para reforzar al máximo posible la seguridad de este.

185


a. Auten car robustamente (por ejemplo u lizando un cer fi ca-do digital) al funcionario que funge en el rol de agente de regis-tro

b. Permi r acceso solamente a través de equipos auten cados

c. Almacenar el historial de las inclusiones y exclusiones de los agentes de registro y los permisos o revocatorias aplicadas

d. Proveer mecanismo de revocación automá ca de los cer fi ca-dos por parte del suscriptor o dueño del cer fi cado

e. Almacenar información que evidencie los procesos de iden fi -cación y auten cación de los solicitantes

f. Implementar controles para verifi car la información incluida en el cer fi cado digital, en par cular validarlos con las fuentes ofi -ciales de información defi nidas en polí ca de Cer fi cados para la jerarquía nacional de cer fi cadores registrados

g. Remi r la solicitud de cer fi cado digital a la CA emisora, fi rma-da digitalmente

h. Proveer métodos de ac vación de los disposi vos criptográfi -cos a través de esquemas seguros, que evite divulgar informa-ción acerca de la ac vación de los disposi vos.

i. Evidenciar que el proceso de generación e instalación del cer -fi cado se realizó dentro del empo defi nido en la sección “4.2.3 Tiempo para procesar solicitudes de cer fi cado” de las polí -cas de cer fi cación o con base en el acuerdo del suscriptor.

j. Implementar controles para la preservación de la privacidad de la información

k. Dejar evidencia para los cer fi cados de persona sica de la aceptación de los deberes y responsabilidades por parte del suscriptor acerca del uso del cer fi cado, fi rmando digitalmente el comprobante de aceptación con el cer fi cado entregado y validando que funciona correctamente


186

l. Registrar en la bitácoras de auditoría las operaciones del ciclo de vida del cer fi cado

m. Reportar cualquier incidente a la CA

5. Controles de seguridad de la RED

Cada instalación de la RA debe mantener los componentes de su red local en un ambiente sicamente seguro y sus confi guraciones deben ser revisadas periódicamente. Además, deben protegerse la privacidad e integridad de los datos sensibles.

6. Controles de seguridad de la información

6.1 Directrices generales

Toda la información y documentos relacionados con la instalación y puesta en operación de la RA deben ser clasifi cados y almacenados de acuerdo a los requisitos de seguridad defi nidos en la sección “5.5 Archi-vado de registros” de Polí ca de cer fi cados para la jerarquía nacional de cer fi cadores registrados; y que garan zan privacidad y confi dencia-lidad de la información.

El “Expediente de Instalación” es un documento clasifi cado como privado y confi dencial, por mantener información sensible de la instala-ción técnica de la RA, y está cons tuido por los siguientes documentos actualizados:

a. Plan de con nuidad del negocio

b. Análisis de riesgos

c. Reglamento de sanciones

d. Plan de terminación de una RA

e. Inventario de Ac vos de la RA

187


Adicionalmente, debe tener disponible los siguientes documentos para uso de los agentes de registro:

Copia de las polí cas de cer fi cación

Manual de operación para los agentes de registro

6.2 Procedimientos de almacenamiento, manipulación y destruc-ción de documentos

Los documentos en papel que componen los expedientes de los so-licitantes de cer fi cado deben ser guardados obligatoriamente en archi-vos donde únicamente tengan acceso los agentes de registro. Una RA puede sus tuir los documentos sicos por digitales, siempre y cuando estén fi rmados digitalmente con un cer fi cado emi do por la jerarquía nacional de cer fi cación digital.

Los documentos que contengan información confi dencial o privada deben ser almacenados en los gabinetes o armarios con llave de uso ex-clusivo de la RA y cuando se dejen de u lizar deberán ser destruidos, de tal forma que no se pueda recuperar la información contenida en ellos.

7. Controles del ciclo de vida del cer fi cado

La RA debe respetar el ciclo de vida del cer fi cado defi nido en el capítulo 4 “Requerimientos operacionales del ciclo de vida del cer fi ca-do”, del documento de “Polí ca de cer fi cados para la jerarquía nacio-nal de cer fi cadores registrados”.

8. Acuerdos operacionales

La CA debe celebrar un acuerdo operacional para que la RA ejecute las ac vidades de validación y verifi cación de las solicitudes de cer fi ca-do. Este acuerdo debe contener al menos:

a. La iden fi cación y calidades de los celebrantes del acuerdo de la RA

b. La iden fi cación de los deberes que competen a la RA en fun-ción del acuerdo


188

c. La iden fi cación de los responsables de la RA

d. Compromiso de la RA de cumplir con las normas y procedi-mientos defi nidos

e. Plazo por medio del cual el acuerdo es celebrado

f. Obligaciones de la RA para verifi car los procesos que ejecuta

P

Digital

Di

OID 2.16.188.1.1.1.5i : 1.00

191

Polí ca de sellado de empo delSistema Nacional de Cer fi cación Digital



26–10–07Consultapública

Comité de Polí casComité Técnico

Lic.Oscar SolísDirector DCFD

Se presenta la versión de las Polí cas de Sellado de Tiempo y se ob ene la aprobación del Director de la DCFD.

03–12–07 Borrador Comité de Polí casLic.Oscar Solís Director DCFD

Se incorporan las observaciones de la consulta públi-ca, de acuerdo al edicto publicado el día lunes 19 de noviembre del 2007 en el diario ofi cial “La Gaceta”, nú-mero Nº 222

04–09–08 1.00 Comité de Polí casLic.Oscar Solís Director DCFD

Ofi cialización y entrada en vigencia de las polí cas.

193


1. Introducción

Este documento defi ne las polí cas de sellado de empo para la emisión del cer fi cado de autoridades de sellado de empo (TSA) re-ferenciado en el documento de “Polí cas de Cer fi cación del Sistema Nacional de Cer fi cación Digital” del gobierno de Costa Rica.

La autoridad de sellado de empo debe implementar las polí cas defi nidas en este documento para poder registrarse ante la Dirección de Cer fi cadores de Firma Digital (DCFD).

En el siguiente gráfi co se muestra la ubicación de una autoridad de sellado de empo en la jerarquía nacional de cer fi cadores registrados:

CA Raíz

CA de as Sellado de empo Otras as

Autoridad de Sellado de

Tiempo

Unidad de sellado de (TSU)

Sellos de

Diagrama N.1: Autoridad de sellado de empo delsistema nacional de cer fi cación digital

Adicionalmente, para la implementación de la polí ca de sellado de empo se debe cumplir con el protocolo defi nido por el RFC 3161 “In-

ternet X.509 Public Key Infrastructure Time–Stamp Protocol (TSP)”


194




Ministerio de Ciencia y Tecnología, dirección: San José, 50 metros Este del Museo Nacional. Apartado Postal: 5589–1000 San José, Costa Rica. Correo Electrónico: informacion@fi rmadigital.go.cr


Jefatura de la Dirección de Cer fi cadores de Firma Digital Director de Cer fi cadores de Firma Digital, Correo Electrónico: informacion@fi rma-digital.go.cr. Tel. (506) 2248– 1515, ext. 115.

2. Resumen

Este CP especifi ca los requerimientos para una Autoridad de Sellado de Tiempo (TSA), tales como requisitos para la sincronización del em-po, el sistema de emisión de los sellos de empo, y otros requerimientos específi cos para el proceso de sellado de empo de un documento o dato.

3. Defi niciones y abreviaturas

3.1 Defi niciones

Para los propósitos del presente documento, se aplican los siguien-tes términos y defi niciones:

Parte que con a: receptor del token de sellado de empo que con a en este sello de empo, o cualquier en dad que quiera comprobar que los datos sellados que ha recibido con enen un sello de empo válido. Puede ser la misma en dad que u lizó el servicio de sellado de empo, para comprobar que el sello generado es válido y correcto.

195


Subscriptor: Persona o en dad que solicita los servicios propor-cionados por la TSA y el cual implícita o explícitamente acepta las polí cas de uso de este servicio. En un proceso de sellado de empo, es el solicitante que posee la información a la que quiere incluir un sello de empo para probar que los datos ex-is an en un determinado instante.

Token de sellado de empo: Objeto de datos que está asocia-do a una representación de un dato para un empo concreto, estableciendo así evidencia de que el dato exis a antes de ese empo. Los token de sellado de empo deben emi rse de acu-

erdo al RFC 3161 “Internet X.509 Public Key Infrastructure Time Stamp Protocol (TSP)”

Autoridad de Sellado de Tiempo (TSA por sus siglas en inglés Time Stamping Authority): Sistema de emisión y ges ón de to-ken de sellado de empo basado en una fi rma digital acredita-da dentro de la jerarquía nacional de cer fi cadores registrados, encargada de proveer uno o más servicios de sellado de empo a través de unidades de sellado de empo (TSU).

Sistema de TSA: Conjunto de elementos organizados para so-portar los servicios de sellado de empo.

Polí ca de sellado de empo: Conjunto de reglas que indican la aplicabilidad de un token de sellado de empo para una comu-nidad par cular y/o la clase de aplicación con requerimientos de seguridad comunes.

Unidad de sellado de empo (TSU por sus siglas en inglés, “ me–stamping unit”) es el conjunto de hardware y so ware que es ges onado como una unidad y que ene un token de sellado de empo fi rmado por una llave privada de la TSA.

Tiempo Universal Coordinado (UTC por sus siglas en inglés Uni-versal Time Coordinated): También conocido como empo ci-vil, el cual es determinado por la referencia a una zona horaria (por ejemplo: UTC–6 para Costa Rica). El empo coordinado UTC está basado en relojes atómicos que se sincronizan para


196

obtener una alta precisión y es el sistema de empo u lizado como estándar por la World Wide Web.

Declaración de Prác cas de sellado de empo: Declaración de las Prác cas que una autoridad de sellado de empo emplea en la emisión de los token de sellado de empo.

3.2 Abreviaturas


TSAAutoridad de Sellado de Tiempo (Time–Stamping Authority)

TSU Unidad de Sellado de Tiempo (Time–Stamping Unit)TST Token de Sellado de Tiempo (Time–Stamp Token)

UTCTiempo Universal Coordinado (Universal Time Coor-dinated)

TSSServicios de Sellado de Tiempo (Time Stamping Ser-vices)

4. Conceptos Generales

4.1 Servicios de Sellado de Tiempo (TSS)

El servicio de Sellado de Tiempo (TSS) se encarga de recibir la solici-tud de sellado de empo de un suscriptor, verifi ca los parámetros de la solicitud y genera el token de sellado de empo, de acuerdo a las polí -cas de estampado de empo.

Además, cuenta con mecanismos control para garan zar el acceso a fuentes de empo confi ables, servicios criptográfi cos y del sistema de validación.

4.2 Autoridad de Sellado de Tiempo (TSA)

La TSA es la autoridad en la que con an los usuarios de los servicios de sellado de empo (suscriptores y partes que con an) para la emisión de los sellos de empo. La TSA ene responsabilidad total en la provi-sión del servicio de sellado de empo que se iden fi ca en la cláusula 4.1.

197


Una TSA puede operar diferentes TSU, donde cada unidad ene un par de llaves diferentes. Es decir, una TSA puede tener varios cer fi ca-dos de sellado de empo según sean sus necesidades.

El proceso de sellado de empo sigue los siguientes pasos:

• El subscriptor del servicio realiza una pe ción de sellado de empo para un dato (hash), y para esto prepara la solicitud de acuerdo con el “Timestamp Request” defi nido en el RFC 3161.

• La autoridad de sellado de empo se encarga de:

• Revisa si la pe ción está completa y correcta. Si el resultado es posi vo, el dato (hash) se envía como entrada a la Unidad de Sellado de Tiempo.

• Ob ene la hora ofi cial de una fuente confi able de empo

• Crea un sello de empo que asocie el instante de empo actual, un número de serie único y el dato (hash) proporcionado para el sellado de empo, garan zando el cumplimiento de los requeri-mientos de esta polí ca.

• Crea el token de sellado de empo que se devolverá al subscrip-tor del servicio que realizó el pedido. En este momento se genera la fi rma criptográfi ca del sello de empo.

• El suscriptor recibe el token de sellado de empo

• Las partes que con an verifi can el sello de empo


198

El proceso de sellado de empo se observa en el siguiente diagrama:

Solicitante

Autoridad de Sellado de

Tiempo

Unidad de sellado de (TSU)

la hora

Envía a TSA

Firma el nuevo Hash y el Tiempo

Retorna al solicitante

Almacena todo junto

Diagrama N.2: Proceso de sellado de empo de unaAutoridad de Sellado de Tiempo (TSA)

El proceso de verifi cación de un sello de empo de una parte que con a es mostrado en el siguiente diagrama:

Documento con sellado de empo

+Veri ca el sello de

usando llave pública del cer cado

de la TSA

Son iguales

NOSello de empo fue alterado

SI Veri ca CRL

SI Sello válido

Sello inválido

Diagrama N.3: Proceso de verifi cación de un sello de empo

199


4.3 Suscriptores

Los suscriptores de este servicio son los organismos o en dades fi -nales, que han suscrito el correspondiente acuerdo de suscriptor que les permite acceder a estos servicios de fi rma electrónica.

4.4 Polí ca de Sellado de Tiempo y la Declaración de prác cas de la TSA

Estos documentos explican los roles rela vos a la polí ca de sellado de empo. En este caso, cualquier en dad que desea ser una TSA re-gistrada debe probar que su declaración de prác cas de TSA se adhiere a esta polí ca. El cumplimiento de los procedimientos y su adherencia a las polí cas debe ser aprobada por la DCFD, posterior al estudio de cumplimiento de la competencia técnica y administra va realizado por el ECA.

5. Polí cas de Sellado de Tiempo

5.1 Resumen

Las polí cas defi nidas para el sellado de empo establecen reglas par culares a las defi nidas en el documento general de Polí cas para el Sistema Nacional de Cer fi cación Nacional, y en par cular establece el conjunto de reglas u lizadas durante la emisión y el control de los token de sellado de empo (TST), y además de regular el nivel de seguridad requerido para la TSA.

5.2 Iden fi cación

De acuerdo con la sección 1.2 Nombre e Iden fi cación del Documen-to de las Polí cas del Sistema Nacional de Cer fi cación, se le asigna el siguiente OID a las polí cas del Cer fi cado de TSA:

OID Descripción

2 joint–iso–itu–t16 country

188 Costa Rica


200

OID Descripción

1 Organización1 Dirección de Cer fi cadores de Firma Digital1 Polí cas

1Polí ca de cer fi cados para la jerarquía nacional de cer -fi cadores registrados

5Polí ca de sellado de empo del sistema nacional de cer fi cación digital

5.3 Comunidad de usuarios y aplicabilidad

Esta polí ca de sellado de empo ene como obje vo cumplir con los requerimientos de las fi rmas digitales de sellado de empo para lar-gos periodos de validez, y por estar dentro de la jerarquía nacional de cer fi cación poseen las caracterís cas para garan zar no repudio en los procesos que requieran la cer fi cación del empo.

5.4 Cumplimiento

La TSA debe implementar los controles y procedimientos iden fi ca-dos en esta polí ca para garan zar la confi anza en los sellos de empo que emite.

6. Obligaciones y responsabilidades

6.1 Obligaciones de la TSA

6.1.1 General

La TSA que implementa esta polí ca está obligada a:

• Realizar sus operaciones en conformidad con esta polí ca.

• Proteger sus llaves privadas emi das para cada TSU.

• Emi r sellos de empo de acuerdo con la información conocida en el momento de su emisión, y libres de errores de entrada de datos.

201


• U lizar sistemas y productos fi ables que estén protegidos contra toda alteración y que garan cen la seguridad técnica y criptográ-fi ca de los procesos de cer fi cación a los que sirven de soporte.

• Garan zar que puede determinarse con precisión la fecha y la hora a la que se emi ó un sello de empo.

• Publicar esta polí ca y los documentos relacionados en el si o Web, garan zando el acceso a la versión actual del documento de polí cas de sellado de empo y de las polí cas del sistema nacional de cer fi cación digital.

• Garan zar que todos los requerimientos de la TSA, incluidos pro-cedimientos, prác cas rela vas a la emisión de token y revisión de sistemas están conforme se describe en los documentos ope-racionales, de procedimiento y técnicos del sistema nacional de cer fi cación digital.

6.1.2 Obligaciones de la TSA hacia sus suscriptores

La TSA debe garan zar el acceso permanente a los servicios de sella-do de empo que proporciona un empo de servicio (up me) superior al 90%, excluyendo procesos de mantenimiento de sistemas y equipos. Los procesos de mantenimiento técnicos deberán planifi carse con la su-fi ciente antelación, tener una duración determinada y avisar a los subs-criptores del servicio, u lizando los medios de difusión disponibles.

La TSA debe garan zar los siguientes aspectos:

• Que el empo UTC incluido en los sellos de empo, asegura una desviación máxima de 500 milisegundos.

• Que los sistemas u lizados en la provisión de estos servicios se ajustan a lo contemplado en la norma va legal.

• Que el valor de empo es fi able en cada token de sellado de empo emi do.


202

• Que los sellos de empo son fi rmados usando una llave privada generada exclusivamente para este propósito.

• Que no se emitan sellos de empo si el cer fi cado de la TSA está vencido o ha sido revocado.

• Que no hay ningún procesamiento de datos personales asociado a la operación de la Autoridad de Sellado de Tiempo (TSA).

6.2 Obligaciones del suscriptor

En el proceso de obtención de un sello de empo, los subscriptores deben verifi car la fi rma electrónica de la TSA y comprobar en la CRL el estado del cer fi cado de la TSA.

6.3 Obligaciones de partes que con an

Las partes que con an deben verifi car la fi rma del sello de empo, comprobar el estado del cer fi cado de la TSA y su periodo de validez.

En el caso de la verifi cación de un sello de empo, después de la expiración del cer fi cado de la TSA, se debe verifi car que el número de serie del cer fi cado de la TSA no se encuentra en la CRL, o determinar la validez del cer fi cado de la TSA en el momento que se generó el sello.

6.4 Responsabilidades

Las responsabilidades generales de la TSA se documentan en la polí- ca del Sistema Nacional de Cer fi cación Digital.

En par cular la TSA debe responsabilizarse de:

• Emi r los token de sellado de empo que pueden iden fi carse en forma unívoca.

• Mantener el empo UTC de los sellos de empo dentro del mar-gen de desviación defi nido en este CP.

203


• Comunicar al suscriptor las responsabilidades y deberes asumi-dos con el uso del servicio de sellado de empo, en el acuerdo de suscriptor.

• Implementación de los controles requeridos por esta polí ca para emi r los token de sellado de empo de acuerdo a este CP.

• Proteger información confi dencial o privada.

7. Requerimientos en prác cas de la TSA

7.1 Prác cas y declaraciones de divulgación

7.1.1 Declaración de prác cas de TSA

La TSA que desea registrarse ante la DCFD debe implementar los controles necesarios para garan zar la fi abilidad y confi anza del servicio, de acuerdo a las polí cas del sistema nacional de cer fi cación digital y de este documento. Estos controles deben especifi carse en el documen-to de la “declaración prác cas de la TSA”.

7.1.2 Declaración de divulgación de TSA

Para el caso del sistema nacional de cer fi cación digital, este docu-mento se considera opcional.

7.2 Ges ón del Ciclo de vida de las llaves

7.2.1 Generación de la llave de la TSU

La generación de la llave de la Unidad de Sellado de Tiempo asociada a la TSA, debe cumplir con lo especifi cado en las secciones del docu-mento de polí ca del sistema nacional de cer fi cación digital:

• 5.2 para controles procedimentales, y

• 6.1.1 para la generación del par de llaves


204

7.2.2 Protección de la llave privada de la TSU

Los niveles de seguridad para la protección de la llave privada deben cumplir con este documento de polí cas y las secciones del documento de polí ca del sistema nacional de cer fi cación digital:

• 4.12 de custodia y recuperación de la llave, y

• 6.2.1 de estándares y controles del módulo criptográfi co.

7.2.3 Distribución de la llave pública de la TSU

La distribución de la llave pública de la Unidad de Sellado de Tiempo de una TSA debe cumplir lo es pulado en las secciones de la polí ca del sistema nacional de cer fi cación digital:

• 6.1.3 para la entrega de la llave pública al emisor del cer fi cado, y

• 6.1.4 entrega de la llave pública de la CA a las partes que con an.

7.2.4 Re–emisión de llaves de la TSU

La re–emisión de llaves no se implementa como parte del sistema nacional de cer fi cación digital.

7.2.5 Terminación del ciclo de vida de la llave del TSU

La TSA debe asegurarse que las llaves privadas de fi rma de la Uni-dad de Sellado de Tiempo no puedan ser u lizadas más allá del periodo de expiración. En par cular la TSA debe cumplir con lo es pulado en sección 6.2.10 método de destrucción de la llave privada de la polí ca nacional de cer fi cación digital.

7.2.6 Ges ón del ciclo de vida de los módulos criptográfi cos usados para las fi rmas de sellado de empo

La TSA debe operar los disposi vos criptográfi cos de acuerdo a las especifi caciones de la sección 6.2 para los controles de ingeniería del

205


módulo criptográfi co y protección de la llave privada del documento de polí cas del sistema nacional de cer fi cación digital.

7.3 Sellado de empo

7.3.1 Token de sellado de empo

La TSA debe garan zar que los token de sellado de empo son emi- dos en forma segura y que incluyen la hora ofi cial de Costa Rica. En

par cular cada sello de empo emi do por la TSA debe incluir:

• El OID de la polí ca de sellado de empo de la jerarquía nacional de cer fi cadores registrados.

• Contener un iden fi cador único dentro de la TSA.

• Valores de fecha y hora iden fi cables, mediante los cuales se puede llegar al valor de empo UTC.

• El empo debe estar sincronizado con el empo UTC.

• Una representación (por ejemplo, valor hash) del dato que desea ser sellado, el cual es proveído por el solicitante.

• El iden fi cador de la TSA y de la TSU que lo emite.

Adicionalmente la TSA debe garan zar que:

• Si es imposible la obtención de la exac tud requerida para el empo entonces el sello de empo no podrá ser emi do.

• El token de sellado de empo es fi rmado por una llave generada exclusivamente para este propósito.

7.3.2 Sincronización de los relojes con UTC

La TSA debe asegurar que su reloj está sincronizado con el empo UTC, con una exac tud menor a un segundo, y establecer los controles para:


206

• La calibración del reloj de la TSU debe ser mantenida dentro de los límites defi nidos por este CP y por dis ntos caminos, u lizan-do como referencia el empo UTC para fi jar el empo ofi cial.

• El reloj de la TSU debe ser protegido contra amenazas que po-drían resultar en el cambio del empo fuera de la calibración o por la manipulación sica de los sistemas.

• La TSA debe asegura que las diferencias entre el sistema del empo de la TSU y el empo UTC sean detectadas. El cálculo de empo cumple con las recomendaciones de NTP (Network Time

Protocol) y de la Ofi cina de Pesos y Medidas (BIPM = Bureau In-terna onal des Poids et Mesures).

• La TSA debe asegurar que la sincronización del reloj es manteni-da cuando se presenten “segundos intercalares” (leap second) no fi cados por el organismo apropiado. Dos veces al año, duran-te el úl mo minuto de los días 30 de junio y 31 de diciembre, se realizan los ajustes automá cos para asegurar que la diferencia acumulada entre UTC y UT1 no excederá a 0.9 segundos antes del próximo ajuste programado. La TSA debe mantener un regis-tro del empo exacto (dentro de la exac tud declarada) cuando estos cambios ocurran.

7.4 Ges ón de la TSA y operaciones

7.4.1 Ges ón de seguridad

Todos los elementos rela vos al control de la seguridad se describen en la polí ca del sistema nacional de cer fi cación digital específi camen-te en la sección 5.2 de controles procedimentales, y de la sección 6.6.2 controles de ges ón de seguridad.

7.4.2 Ges ón y clasifi cación de ac vos

La TSA debe asegurar que su información y otros ac vos reciban un nivel apropiado de protección. En par cular, debe mantener el inventario de todos los ac vos y quién los ene asignados de acuerdo al análisis de riesgo efectuado.

207


7.4.3 Seguridad del personal

Las caracterís cas del personal son establecidas por la polí ca del sistema nacional de cer fi cación digital, en la sección 5.3 controles de personal. Dentro de los requerimientos de conocimiento del personal se encuentran:

• tecnología de sellado de empo.

• tecnología de fi rma digital.

• mecanismos de calibración o sincronización de los relojes de la TSU con el UTC.

• seguridad de la información y valoración de riesgos.

• procedimientos de seguridad para el personal con roles de con-fi anza.

7.4.4 Seguridad sica y ambiental

La descripción de la seguridad sica se encuentra documentada en la sección 5.1 de las polí cas del sistema nacional de cer fi cación digital.

7.4.5 Ges ón de las operaciones

La TSA debe implementar los controles de seguridad defi nidos por la polí ca del sistema nacional de cer fi cación digital para todas las ope-raciones de emisión de los token de sellado de empo, en par cular:

• Auditorias internas al sistema de la TSA.

• Reportes de incidentes y procedimientos de respuesta.

• Monitoreo de las transacciones.


208

7.4.6 Ges ón de acceso a los sistemas

Los controles de acceso a los sistemas son determinados dentro de la polí ca nacional de cer fi cación digital en la sección 6.5 controles de seguridad del computador.

7.4.7 Mantenimiento e implantación de sistemas de confi anza

El mantenimiento e implantación de los sistemas de la TSA deben cumplir con las es pulaciones de la polí ca nacional de cer fi cación di-gital en la sección 6.6.1 controles para el desarrollo de sistemas.

7.4.8 Compromiso de los servicios de TSA

En caso de compromiso de los servicios de sellado de empo, se deberá seguir lo es pulado en la sección 5.7 recuperación de desastre y compromiso de la polí ca del sistema nacional de cer fi cación digital.

7.4.9 Terminación de una TSA

La TSA debe garan zar el mínimo impacto en caso de un cese de ac vidades. En par cular, debe cumplir con los aspectos que una CA re-quiere para el cese de funciones y que están documentados como parte de la polí ca del sistema nacional de cer fi cación digital, en la sección 5.8 terminación de una CA o RA.

7.4.10 Cumplimiento de requerimientos legales

Sin es pulaciones.

7.4.11 Registro de información concerniente a las operaciones del servicio de sellado de empo

La TSA debe incorporar los mecanismos para la creación y control de las bitácoras de auditoría, con los eventos que han sido derivados de su operación, los cuales deben estar de acuerdo a la sección 5.4 procedi-mientos de bitácora de auditoría del documento de polí cas del sistema nacional de cer fi cación.

209


La TSA debe asegurar que toda la información relevante concernien-te a los Tokens de Sellado de Tiempo (TST) son almacenados por el pe-ríodo de empo apropiado, en par cular para:

• Operaciones de la TSA:

• Los datos y eventos específi cos a ser registrados en bitácoras deben ser documentados por la TSA;

• La confi dencialidad y la integridad de los registros actuales y los archivados rela vos a la operación de servicios de la TSA deben ser mantenidos;

• Los registros concernientes a la operación de servicios de la TSA debe estar almacenados completa y confi dencialmente;

• Los registros concernientes a la operación de servicios de la TSA debe estar disponible si fueron almacenados para el pro-pósito de evidencias de pruebas de la correcta operación de los servicios de la TSA con el obje vo de actos jurídicos;

• El empo preciso de eventos de sincronización del reloj de-ben ser registrados;

• Los registros concernientes a los servicios de la TSA deben estar retenidos por el período de empo posterior al venci-miento del cer fi cado de la TSA para proveer la evidencia le-gal necesaria;

• Los eventos deben ser registrados al sistema de manera que no puedan ser fácilmente eliminados o destruidos dentro del período de empo que están obligados a ser retenidos; y

• Cualquier información grabada acerca de Suscriptores deben ser mantenida confi dencial excepto cuando un contrato del Subscriber permita su publicación.


210

• Ges ón de la llave de la TSA

• los registros concernientes a todos los eventos referentes al ciclo de vida de las llaves de la TSA deben ser puestos en bitá-cora; y

• los registros concernientes a todos los eventos del ciclo de vida de los cer fi cados de la TSA deben ser puestos en bitá-cora.

• Sincronización de los relojes

• Los registros concernientes a todos los eventos de sincroniza-ción del reloj de la TSA para asignar el UTC deben ser puestos en la bitácora. Esto incluirá la información concerniente a la sincronización o calibración normal de relojes usados en el estampado de empo ; y

• los registros concernientes a todos los eventos relacionados para la detección de pérdida de sincronización deben ser puestos en bitácora.

7.5 Organización

Las autoridades de sellado de empo se encuentran incluidas dentro de la jerarquía nacional de cer fi cadores registrados, bajo una polí ca par cular de sellado de empo, y se adhieren a las polí cas dictadas por la Dirección de Cer fi cadores de Firma Digital (DCFD).

sistema nacional de certificaciÓn digital · sistema nacional de certificaciÓn digital sistema...

Documents