Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Gua de Acreditacin de
Entidades de Certificacin
EC
Versin 3.3
-2-
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrnica IOFE PERU Aprobado:
NDICE GENERAL
1. PREMBULO 5
OBJETIVO ................................................................................................... 5
PBLICO AL QUE VA DIRIGIDO .............................................................................. 5
2. DEFINICIONES/TERMINOLOGA 6
3. ACRNIMOS 14
5. METODOLOGA 16
7. PROCESO DE ACREDITACIN 25
1. INTRODUCCIN
2. PUBLICACIN Y RESPONSABILIDADES DEL REPOSITORIO
3. IDENTIFICACIN Y AUTENTICACIN
4. REQUISITOS OPERACIONALES DEL CICLO DE VIDA DE LOS CERTIFICADOS
5. CONTROLES DE LAS INSTALACIONES, DE LA GESTIN Y CONTROLES
OPERACIONALES
6. CONTROLES DE SEGURIDAD TCNICA
7. PERFILES DE CERTIFICADO, CRL Y OCSP
8. AUDITORAS DE COMPATIBILIDAD Y OTRAS EVALUACIONES
9. OTRAS MATERIAS DE NEGOCIO Y LEGALES
-3-
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrnica IOFE PERU Aprobado:
-4-
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrnica IOFE PERU Aprobado:
1. PREMBULO
Objetivo
-5-
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrnica IOFE PERU Aprobado:
2. DEFINICIONES/TERMINOLOGA
Certificacin cruzada: acto por el cual una certificadora acreditada reconoce la validez
de un certificado emitido por otra, sea nacional, extranjera o internacional, previa
autorizacin de la Autoridad Administrativa Competente y asume tal certificado como si
fuera de propia emisin, bajo su responsabilidad.
-6-
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrnica IOFE PERU Aprobado:
Clave pblica: es la otra clave en un sistema de criptografa asimtrica que es usada por
el destinatario de un mensaje de datos para verificar la firma digital puesta en dicho
mensaje. La clave pblica puede ser conocida por cualquier persona.
-7-
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrnica IOFE PERU Aprobado:
Documento: cualquier escrito pblico o privado, los impresos, fotocopias, facsmil o fax,
planos, cuadros, dibujos, fotografas, radiografas, cintas cinematogrficas, microformas
tanto en la modalidad de microfilm como en la modalidad de soportes informticos y
otras reproducciones de audio o video, la telemtica en general y dems objetos que
recojan, contengan o representen algn hecho o una actividad humana o su resultado.
Los documentos pueden ser archivados a travs de medios electrnicos, pticos o
cualquier otro similar.
-8-
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrnica IOFE PERU Aprobado:
1
En el contexto de esta Gua de Acreditacin, el firmware es el sistema operativo que proporciona
funcionalidades bsicas como acceso seguro a la tarjeta inteligente, autenticacin y cifrado.
-9-
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrnica IOFE PERU Aprobado:
2
En el contexto de esta Gua de Acreditacin, el middleware es el software que permite que una aplicacin que
se ejecuta en una PC se comunique con una tarjeta inteligente y tenga acceso a sus servicios; si fuera el caso,
la comunicacin se realiza a travs de una lectora de tarjeta inteligente.
- 10 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrnica IOFE PERU Aprobado:
Niveles de seguridad: son los diversos niveles de garanta que ofrecen las variedades
de firmas electrnicas, cuyos beneficios y riesgos deben ser evaluados por la persona,
empresa o institucin que piensa optar por una modalidad de firma electrnica para
enviar o recibir mensajes de datos o documentos electrnicos.
- 11 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrnica IOFE PERU Aprobado:
Servicio OCSP (Protocolo del estado en lnea del certificado, por sus siglas en ingls):
permite utilizar un protocolo estndar para realizar consultas en lnea al servidor de la
Autoridad de Certificacin sobre el estado de un certificado.
Software: palabra de origen nglico que hace referencia a todos los componentes
intangibles de una computadora, es decir, al conjunto de programas y procedimientos
necesarios para hacer posible la realizacin de una tarea especfica. Probablemente la
definicin ms formal de software es la atribuida a la IEEE, en su estndar 729: la suma
total de los programas de cmputo, procedimientos, reglas, documentacin y datos
asociados que forman parte de las operaciones de un sistema de cmputo3.
3
IEEE Std, IEEE Software Engineering Standard: Glossary of Software Engineering Terminology. IEEE
Computer Society Press, 1993
- 12 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrnica IOFE PERU Aprobado:
titularidad del certificado y de las firmas digitales generadas a partir de dicho certificado
correspondern a la persona jurdica, la cual deber ser duea del agente automatizado.
La atribucin de responsabilidad de suscriptor, para tales efectos, corresponde al
representante legal, que en nombre de la persona jurdica solicita el certificado digital.
Tercero que confa o tercer usuario: se refiere a las personas naturales, equipos,
servicios o cualquier otro ente que acta basado en la confianza sobre la validez de un
certificado y/o verifica alguna firma digital en la que se utiliz dicho certificado.
TSL (Lista de Estado de Servicio de Confianza, por sus siglas en ingls): lista de
confianza que incluye a los PSCs acreditados, autorizados a operar en el marco de la
IOFE. El propsito de la TSL es proveer de modo ordenado informacin del estado de los
proveedores de servicios, teniendo un rol preponderante en los servicios considerados
confiables (acreditados) y los proveedores supervisados por la Autoridad Administrativa
Competente.
4
Respecto a los temas de PKI, adems del factor seguridad, la usabilidad tambin es importante para lograr que
los usuarios aprendan su uso con facilidad. Debe evitarse, por ejemplo, que una persona entregue su tarjeta
inteligente a otra por no entender, debido a su complejidad, el modo de usarla, quebrantando as la seguridad
del sistema.
- 13 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrnica IOFE PERU Aprobado:
3. ACRNIMOS
- 14 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrnica IOFE PERU Aprobado:
TSL
El mecanismo de interoperabilidad utilizado con el propsito de proveer, de
modo ordenado, la informacin del estado de los Proveedores de Servicios
de Certificacin (PSCs) acreditados y supervisados por INDECOPI y por
tanto autorizados a operar en el marco de la IOFE es la TSL, Lista de
Estado de Servicio de Confianza.
- 15 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrnica IOFE PERU Aprobado:
5. METODOLOGA
7
Informacin disponible en: http://www.cio.gov/fbca/documents/crosscert_method_criteria.pdf
8
Lineamientos para Infraestructura de clave pblica (PKI)
9
APEC eSecurity Task Group, Draft Guidelines for Schemes to Issue Certificates Capable of Being Used in
Cross Jurisdiction E-Commerce, Marzo 2004. Informacin disponible en:
http://www.apectel29.gov.hk/download/estg_20.doc
- 16 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrnica IOFE PERU Aprobado:
10
En el Glosario de Trminos recogido en la Octava Disposicin Final del Reglamento de la Ley de Firmas y
Certificados Digitales, se establece la definicin de Niveles de Seguridad que se transcribe a continuacin:
Octava Disposicin Final.- Glosario de Trminos ()
Niveles de seguridad: son los diversos niveles de garanta que ofrecen las variables de firma electrnica cuyos
beneficios y riesgos deben ser evaluados por la persona, empresa o institucin que piensa optar por una
modalidad de firma electrnica para enviar o recibir mensajes de datos o documentos electrnicos.
11
El nivel de seguridad asociado con un certificado de clave pblica es una asercin del grado de confianza que
un usuario puede tener razonablemente en el vnculo de la clave pblica de un suscriptor con el nombre y los
atributos consignados en el certificado.
- 17 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrnica IOFE PERU Aprobado:
I. MARCO LEGISLATIVO/LEGAL
- 18 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrnica IOFE PERU Aprobado:
General
El empleo del estndar X.509 y el RFC 3647, que actualiza la versin
correspondiente al RFC 2527, para las Polticas de Certificacin (CP)
y la Declaracin de Prcticas de Certificacin (CPS) propugna el
proceso de reconocimiento transnacional.
12
Se refiere a la interoperabilidad legal y tcnica dentro de la Infraestructura de Clave Pblica (PKI) por parte de
los pases miembros del APEC en funcin al cumplimiento de disposiciones y estndares internacionales. Esto
implica el reconocimiento mutuo de documentos electrnicos firmados digitalmente.
- 19 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrnica IOFE PERU Aprobado:
Manejo de claves
No se permite el empleo de los depsitos de claves privadas de
backup (Key Escrow) para las claves de firma digital pues minan la
confianza en el uso del sistema e impiden el reconocimiento
transnacional de certificados (ver anexo 11).
Se propugna el reconocimiento transnacional de los certificados en
la medida que se incorpore el uso de buenas prcticas para la
generacin de claves, las cuales sean derivadas de estndares y
fuentes aceptadas internacionalmente.
Se genera confianza en el sistema y se propugna el reconocimiento
transnacional de los certificados cuando se adoptan las buenas
prcticas internacionales referidas a la distincin entre los
certificados asignados para procesos de cifrado (confidencialidad),
de autenticacin y de firma digital (no repudio).
Ingeniera criptogrfica
Se propugna la interoperabilidad y el reconocimiento transnacional
de los certificados mediante el uso de algoritmos criptogrficos de
reconocimiento internacional de tamao y seguridad criptogrfica
suficiente.
Se incrementa la seguridad y se propugna el reconocimiento
transnacional de certificados al asegurar que las claves criptogrficas
y los algoritmos sean lo suficientemente seguros para proteger de
ataques el resultado criptogrfico durante el tiempo de vigencia del
certificado.
Se propugna el reconocimiento transnacional de los certificados
mediante la realizacin de los procesos criptogrficos con
dispositivos certificados de conformidad con el estndar FIPS 140-
213 o la certificacin ISO/IEC 15408 (Common Criteria Nivel EAL4+)
u otro equivalente.
13
Nivel de Seguridad 3 para el caso de los mdulos criptogrficos de las ECs y Nivel de Seguridad 2 para el
caso de los mdulos criptogrficos de las ERs y los SVAs.
- 20 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrnica IOFE PERU Aprobado:
Nombres distinguidos
Se propugna la interoperabilidad mediante el uso de buenas
prcticas para la estandarizacin de los contenidos de los
componentes de Nombres diferenciados en el certificado.
En particular, el uso del estndar X.509, as como la poltica OID
para representar la aplicabilidad pretendida del certificado digital,
propugnan el reconocimiento transnacional.
Estndares de Directorio
Se promueve la confianza del usuario y se propugna el reconocimiento
transnacional de certificados mediante:
- 21 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrnica IOFE PERU Aprobado:
Lineamientos de gestin
Se promueve la confianza del usuario y se propugna el reconocimiento
transnacional de certificados mediante:
14
Documento disponible en ingls en: http://www.apectel29.gov.hk/download/estg_20.doc
- 22 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrnica IOFE PERU Aprobado:
Intercambio de documentos y
Trmites con el Estado en las
transacciones monetarias de
Aplicacin en el transacciones econmicas de Para informacin crtica
alto riesgo.
intercambio de monto bajo o medio y para el clasificada o de seguridad
Trmites con el Estado en las
informacin intercambio de documentos de nacional.
transacciones econmicas de
riesgo bajo o medio.
alto monto y alto riesgo.
Proteccin (autenticacin y
confidencialidad) para
Para el acceso a informacin Para el acceso a informacin
informacin que cruza los
Aplicacin en clasificada o informacin de clasificada o informacin de
lmites de la clasificacin
control de acceso acceso especial en redes acceso especial en redes no
cuando dicho lmite es an
protegidas. protegidas.
permitido por las polticas de
seguridad del sistema.
- 23 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrnica IOFE PERU Aprobado:
Alcance
Los niveles de seguridad integran diversos aspectos relativos a la IOFE. Se
exige que todos ellos ostenten un nivel de seguridad mnimo, de modo
que en conjunto brinden una garanta sobre su uso.
- 24 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrnica IOFE PERU Aprobado:
7. PROCEDIMIENTO DE ACREDITACIN
Evaluacin de las
Solicitud CP, CPS, la Poltica y
inicial el Plan de
Privacidad, la
Poltica de Seguridad
y los requerimientos
de Usabilidad
Resolucin
Evaluacin de
contenido Evaluacin
legal de
Interoperabilidad
15
Octava Disposicin Final.- Glosario de trminos
Acreditacin.- Acto a travs del cual la Autoridad Administrativa Competente, previo cumplimiento de las
exigencias establecidas en la Ley, en el Reglamento y en las disposiciones dictadas por ella, faculta a las
entidades solicitantes reguladas en el Reglamento a prestar los servicios solicitados en el marco de la
Infraestructura Oficial de Firma Electrnica.
16
En la Cuarta Disposicin Complementaria al Reglamento de la Ley de Firmas y Certificados Digitales
aprobado por Resolucin de la Comisin de Reglamentos Tcnicos y Comerciales del INDECOPI N 103-
2003/CRT-INDECOPI de fecha 23.10.2003 se establece este plazo de 120 das, pero al momento de disgregar
las etapas del procedimiento de acreditacin la suma del plazo asignado a cada una de ellas, slo da 90 das.
No obstante lo antes dicho, en el TUPA del INDECOPI, aprobado por Decreto Supremo N 088-2005-PCM de
fecha 11.12.2005, se establece el plazo total de 120 das tiles. Por lo que, se tomar en cuenta el aludido plazo
de 120 das para los efectos de la presente Gua de Acreditacin; ello en estricta observancia de lo regulado en
la Dcimo cuarta Disposicin Final y Transitoria de la Ley N 27809 Ley del Sistema Concursal.
- 25 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrnica IOFE PERU Aprobado:
Fase I: Inicio
a) Propsito:
b) Requisitos17:
- 26 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrnica IOFE PERU Aprobado:
- 27 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrnica IOFE PERU Aprobado:
estructural y funcional Entidad de Certificacin (EC), ver anexo 9
de la presente Gua de Acreditacin.
20
Articulo 33.- Entidades de Certificacin y de Registro o Verificacin ()
b) Entidades de Certificacin para el Estado Peruano (ECEP) acreditadas o reconocidas por la AAC, las cuales
sern las encargadas de proporcionar, emitir o cancelar los certificados digitales: i) a los administrados personas
naturales y jurdicas, los cuales sern utilizados nicamente en los trmites, procedimientos administrativos y
similares, ii) a los funcionarios, empleados y servidores pblicos para el ejercicio de sus funciones y la
realizacin de actos de administracin interna e interinstitucional, y a las personas expresamente autorizadas por
la entidad pblica correspondiente. Cualquier otro uso que no forme parte del ejercicio de las funciones, de los
procedimientos administrativos o de administracin interna del Estado o de los procedimientos y coordinaciones
entre entidades pblicas, carecer del respaldo legal de la IOFE.
- 28 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrnica IOFE PERU Aprobado:
21
Artculo 9 del Reglamento.- Elementos
La Infraestructura Oficial de Firma Electrnica IOFE- est constituida por:
a) El conjunto de firmas electrnicas, certificados digitales y documentos electrnicos generados bajo la
Infraestructura Oficial de Firma Electrnica.
b) Las prcticas de certificacin basadas en estndares internacionales o compatibles a los empleados
internacionalmente vigentes que aseguren la interoperabilidad y las funciones exigidas, conforme a lo
establecido por la AAC.
c) El software, el hardware y dems componentes adecuados para las prcticas de certificacin y las
condiciones de seguridad adicionales comprendidas en los estndares sealados en el inciso b)
d) Sistema de gestin que permita el mantenimiento de las condiciones sealadas en los literales anteriores, as
como la seguridad, confidencialidad, transparencia y no-discriminacin en la prestacin de sus servicios.
e) La AAC, as como Entidades de Certificacin, Entidades de Registro o Verificacin, Entidad de Certificacin
Nacional para el Estado Peruano (ECERNEP), Entidades de Certificacin para el Estado Peruano (ECEP) y
Entidades de Registro o Verificacin para el Estado Peruano (EREP), debidamente acreditadas o reconocidas.
22
Ello, de conformidad con lo establecido en el segundo prrafo del artculo 41 del Reglamento.
23
Ello, de conformidad con lo establecido en el segundo prrafo del artculo 41 del Reglamento.
- 29 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrnica IOFE PERU Aprobado:
24
El artculo 42 del Reglamento de la Ley seala que debe acompaarse a la solicitud de acreditacin
documentacin que acredite el cumplimiento de las obligaciones a que se refiere el artculo 12 del mismo
dispositivo legal. No obstante, fuera de lo referente a los seguros y garantas bancarias, la documentacin
referente al resto de obligaciones se encuentra documentada en las CP y CPS que deben acompaarse a la
solicitud de acreditacin.
25
Este requisito no ser exigible hasta julio del 2008, segn lo establecido en una de las recomendaciones del
Estudio para la implementacin de la Infraestructura Oficial de Firma Digital, que fuera aprobado por la CRT del
INDECOPI.
26
Ver anexo 1, seccin 9.2 Responsabilidad financiera.
27
Ello, de conformidad con lo establecido en los artculos 37 inciso f) y 38 inciso j).
- 30 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrnica IOFE PERU Aprobado:
28
Ello, de conformidad con lo establecido en los artculos 37 inciso f) y 38 inciso j).
29
A la fecha, dicho monto asciende a S/. 3,450.00.
30
Para facilitar las comparaciones para efectos de la acreditacin, debe realizarse un mapeo entre la
documentacin existente y el documento del APEC del anexo 1 basado en las provisiones de la RFC3647,
incluyendo para tales efectos la matriz comparativa incluida en la RFC3647.
- 31 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrnica IOFE PERU Aprobado:
- 32 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrnica IOFE PERU Aprobado:
a) Propsito:
b) Actividades:
- 33 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrnica IOFE PERU Aprobado:
31
Los recursos que pueden ser interpuestos son: Reconsideracin, en cuyo caso ser la propia CRT la que se
encargue de resolver el mismo o tambin se puede interponer el Recurso de Apelacin, siendo el encargado de
su resolucin la Sala de Defensa de la Competencia, del Tribunal del INDECOPI. En ambos supuestos el plazo
para la interposicin de los recursos es de 15 das tiles contados a partir de la recepcin de la resolucin de la
CRT, debindose abonar para tales efectos un monto equivalente al 10% de la UIT (S/. 350).
- 34 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrnica IOFE PERU Aprobado:
Esta etapa ser realizada con el apoyo del Comit Evaluador designado de
la CRT.
a) Propsito:
b) Actividades:
32
Ver anexos 2 y 4.
- 35 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrnica IOFE PERU Aprobado:
Asimismo, la EC deber:
a. Designar a un Oficial de Privacidad, quien ser el primer contacto
frente a incidentes de privacidad;
b. Publicar en su pgina WEB la Poltica de Privacidad y el Plan de
Privacidad y los datos de contacto del Responsable de Privacidad;
c. Implementar el Plan de privacidad de acuerdo a lo estipulado en
el mismo documento, sujeto a las existentes obligaciones
contractuales, licencias u otros arreglos de outsourcing;
d. Revisar y actualizar la Poltica de Privacidad y el Plan de
Privacidad al menos una vez por ao;
e. Elaborar y publicar en su pgina WEB una declaracin de
privacidad y seguridad;
33
La vigencia de la certificacin incluye el sometimiento a las auditoras anuales obligatorias.
- 36 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrnica IOFE PERU Aprobado:
- 37 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrnica IOFE PERU Aprobado:
a) Propsito:
b) Actividades:
- 38 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrnica IOFE PERU Aprobado:
Paso 5: Resolucin
a) Propsito:
b) Actividades:
34
La evaluacin incluye la presentacin de los documentos correspondientes a las CP, CPS, la Poltica y el Plan
de Privacidad, la Poltica de Seguridad y los requerimientos de Usabilidad.
- 39 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrnica IOFE PERU Aprobado:
35
De conformidad con el artculo 57 del Reglamento este aporte asciende a un monto que no podr exceder el
0.8% del valor de la facturacin anual de la EC, deducido el Impuesto General a las Ventas e Impuesto de
Promocin Municipal y este requisito es slo exigible slo para las EC privadas.
36
Los recursos que pueden ser interpuestos son: Reconsideracin y Apelacin.
- 40 -