Story Transcript
Programa de Modernización y Descentralización del Estado de la República Del Perú. Oficina Nacional de Gobierno Electrónico e Informática
Guía de Acreditación de Entidades de Certificación EC
Versión 3.3
Consultor Piloto – Guía de Acreditación de Entidad de Certificación
Infraestructura
Oficial
de
Electrónica IOFE PERU
Firma Rev: 03/23-02-2007 Aprobado:
1. Unidad: Unidad Co Ejecutora PCM (UCE PCM) 2. Componente: Gobierno Electrónico 3. Línea Presupuestal (seguir código POA): 21310305 4. Nombre de Actividad y/o Servicio: Consultor Piloto – Guía de Acreditación 5. Funcionario Responsable de la Supervisión: El
Especialista en
Gobierno Electrónico de la UCE-PCM y el Jefe de la Oficina Nacional de Gobierno Electrónico e Informática.
-2-
Infraestructura
Oficial
de
Firma Rev: 03/23-02-2007
Electrónica IOFE PERU
Aprobado:
ÍNDICE GENERAL 1.
PREÁMBULO OBJETIVO PÚBLICO
5
................................................................................................... 5
AL QUE VA DIRIGIDO
.............................................................................. 5
2.
DEFINICIONES/TERMINOLOGÍA
6
3.
ACRÓNIMOS
4.
ARQUITECTURA JERÁRQUICA DE CERTIFICACIÓN DEL ESTADO PERUANO Y
14
MECANISMO DE INTEROPERABILIDAD
15
5.
METODOLOGÍA
16
6.
LINEAMIENTOS DE LA POLÍTICA DE SEGURIDAD DE LA INFRAESTRUCTURA
OFICIAL DE FIRMA ELECTRÓNICA - IOFE
7.
17
I.
MARCO LEGISLATIVO/LEGAL ...................................................................... 18
II.
MARCO DE P OLÍTICAS ............................................................................. 19
III.
MARCO OPERACIONAL (RELATIVO A LAS OPERACIONES DE ECS) .......................... 19
IV.
NIVELES DE SEGURIDAD DE PKI................................................................ 23
PROCESO DE ACREDITACIÓN
25
FASE I:
INICIO .......................................................................................... 26
FASE II:
EVALUACIÓN TÉCNICA ........................................................................ 35
FASE III: DECISIÓN ...................................................................................... 39
ANEXO 1:
MARCO
DE
LA
POLÍTICA
DE
EMISIÓN
DE
CERTIFICADOS
DIGITALES 1. INTRODUCCIÓN 2. PUBLICACIÓN Y RESPONSABILIDADES DEL REPOSITORIO 3. IDENTIFICACIÓN Y AUTENTICACIÓN 4. REQUISITOS OPERACIONALES DEL CICLO DE VIDA DE LOS CERTIFICADOS 5. CONTROLES
DE
LAS
INSTALACIONES,
DE
LA
GESTIÓN
OPERACIONALES 6. CONTROLES DE SEGURIDAD TÉCNICA 7. PERFILES DE CERTIFICADO, CRL Y OCSP 8. AUDITORÍAS DE COMPATIBILIDAD Y OTRAS EVALUACIONES 9. OTRAS MATERIAS DE NEGOCIO Y LEGALES
-3-
Y
CONTROLES
Infraestructura
Oficial
de
Electrónica IOFE PERU
Firma Rev: 03/23-02-2007 Aprobado:
ANEXO 2:
REQUISITOS DE SEGURIDAD PARA LA ACREDITACIÓN
ANEXO 3:
REGLAMENTO DE LA LEY DE FIRMAS Y CERTIFICADOS DIGITALES
ANEXO 4:
DOCUMENTO ESTÁNDAR DE UNA POLÍTICA DE SEGURIDAD
ANEXO 5:
CONTROLES DE LOS ESTÁNDARES ISO/IEC 17799 E ISO/IEC
27001, SECCIONES 5 A 15 ANEXO 6:
NORMA MARCO SOBRE PRIVACIDAD
ANEXO 7:
REGLAMENTO GENERAL DE ACREDITACIÓN - PRESTADORES DE
SERVICIOS DE CERTIFICACIÓN DIGITAL ANEXO 8:
REGLAMENTO
ESPECÍFICO
DE
ACREDITACIÓN
ENTIDAD
DE
CERTIFICACIÓN - EC ANEXO 9:
MEMORIA
DESCRIPTIVA
Y
ORGANIGRAMA
ESTRUCTURAL
Y
FUNCIONAL ENTIDAD DE CERTIFICACIÓN (EC) ANEXO 10:
FICHA DE SOLICITUD DE ACREDITACIÓN COMO ENTIDAD DE
CERTIFICACIÓN (EC) ANEXO 11:
ESTÁNDARES RECONOCIDOS PARA LA ACREDITACIÓN
ANEXO 12:
REQUERIMIENTOS DE USABILIDAD
-4-
Infraestructura
Oficial
Electrónica IOFE PERU
de
Firma Rev: 03/23-02-2007 Aprobado:
1. PREÁMBULO Objetivo El presente documento establece los procedimientos y criterios que deben cumplir las Entidades de Certificación (EC) para lograr: 1. Acreditación de la EC. 2. Certificación cruzada con una EC acreditada conducente al permiso para operar en la IOFE. El Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual – INDECOPI, designado como la Autoridad Administrativa Competente (AAC) por la legislación vigente, establece en el presente documento los requisitos y pautas que buscan asegurar que la Entidad Certificadora (EC) que pretenda operar dentro de la Infraestructura Oficial de Firma Electrónica (IOFE) cumpla determinados niveles de seguridad e interoperabilidad a efectos de poder obtener la correspondiente acreditación. En tal sentido, los criterios establecidos se basan
en estándares
internacionalmente aceptados y en los principios acordados en la denominada Declaración de Lima, suscrita en el Sexto Meeting Ministerial del APEC llevado a cabo en Lima del 1° al 3 de julio del año 2005, en virtud a la cual se aprueban los Lineamientos para la Infraestructura de Clave Pública (PKI) –Public Key Infrastructure Guidelines–; tomando asimismo en consideración los principios establecidos en la Norma Marco sobre Privacidad aprobado en el Décimo Sexto Meeting Ministerial del APEC llevado a cabo en Santiago de Chile del 17 al 18 de noviembre del año 2004. Público al que va dirigido El presente documento pretende ser empleado por las Entidades de Certificación a través de sus delegados: oficiales de TI (Information Technology Officials), Gerentes de Certificación Digital, etc; a efectos que estos prestadores de servicios de certificación digital puedan identificar los requisitos necesarios que deben cumplir.
-5-
Infraestructura
Oficial
de
Electrónica IOFE PERU
Firma Rev: 03/23-02-2007 Aprobado:
2. DEFINICIONES/TERMINOLOGÍA Acreditación: acto a través del cual la Autoridad Administrativa Competente, previo cumplimiento de las exigencias establecidas en la Ley, en su Reglamento y en las disposiciones dictadas por ella, faculta a las entidades solicitantes reguladas en el Reglamento a prestar los servicios solicitados en el marco de la Infraestructura Oficial de Firma Electrónica.
Agente automatizado: procesos y equipos programados para atender requerimientos predefinidos y dar una respuesta automática sin intervención humana, en dicha fase.
Aplicabilidad: se refiere al rango de aplicaciones en las que se puede utilizar un certificado digital dentro de una comunidad. Este rango puede dividirse en tres partes: (a) Aplicaciones libres, destinadas a miembros comunes de una comunidad. (b) Aplicaciones restringidas a un grupo selecto dentro de la comunidad. (c) Aplicaciones prohibidas para cualquier miembro de la comunidad.
Autenticación: proceso técnico que permite determinar la identidad de la persona que firma electrónicamente, en función del mensaje firmado por éste y al cual se le vincula. Este proceso no otorga certificación notarial ni fe pública.
Autoridad Administrativa Competente (AAC): organismo público responsable de acreditar a las entidades de certificación y a las entidades de registro o verificación, de reconocer los estándares tecnológicos aplicables en la Infraestructura Oficial de Firma Electrónica, de supervisar dicha Infraestructura y las otras funciones señaladas en el Reglamento o aquellas que requiera en el transcurso de sus operaciones. Dicha responsabilidad recae en el Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual – INDECOPI.
Certificación cruzada: acto por el cual una certificadora acreditada reconoce la validez de un certificado emitido por otra, sea nacional, extranjera o internacional, previa autorización de la Autoridad Administrativa Competente y asume tal certificado como si fuera de propia emisión, bajo su responsabilidad.
Certificado digital: documento electrónico generado y firmado digitalmente por una entidad de certificación el cual vincula un par de claves con una persona natural o jurídica confirmando su identidad.
-6-
Infraestructura
Oficial
Electrónica IOFE PERU
de
Firma Rev: 03/23-02-2007 Aprobado:
Clave privada: es una de las claves de un sistema de criptografía asimétrica que se emplea para generar una firma digital sobre un mensaje de datos y es mantenida en reserva por el titular de la firma digital.
Clave pública: es la otra clave en un sistema de criptografía asimétrica que es usada por el destinatario de un mensaje de datos para verificar la firma digital puesta en dicho mensaje. La clave pública puede ser conocida por cualquier persona.
Código de verificación (hash o resumen): secuencia de bits de longitud fija obtenida como resultado de procesar un mensaje de datos con un algoritmo, de tal manera que: (1) El mensaje de datos produzca siempre el mismo código de verificación cada vez que se le aplique dicho algoritmo. (2) Sea improbable, a través de medios técnicos, que el mensaje de datos pueda ser derivado o reconstruido a partir del código de verificación producido por el algoritmo. (3) Sea improbable que, por medios técnicos, se pueda encontrar dos mensajes de datos que produzcan el mismo código de verificación al usar el mismo algoritmo.
Criptografía asimétrica: rama de las matemáticas aplicadas que se ocupa de transformar mensajes en formas aparentemente ininteligibles y devolverlas a su forma original, las cuales se basan en el empleo de funciones algorítmicas para generar dos “claves” diferentes pero matemáticamente relacionadas entre sí. Una de esas claves se utiliza para crear una firma numérica o transformar datos en una forma aparentemente ininteligible (clave privada) y la otra para verificar una firma numérica o devolver el mensaje a su forma original (clave pública). Las claves están matemáticamente relacionadas de tal modo que cualquier de ellas implica la existencia de la otra, pero la posibilidad de acceder a la clave privada a partir de la pública es técnicamente ínfima.
Declaración de prácticas de certificación (CPS): documento oficialmente presentado por una entidad de certificación a la Autoridad Administrativa Competente, mediante el cual define sus Prácticas de Certificación.
Declaración de prácticas de registro o verificación (RPS): documento oficialmente presentado por una entidad de Registro o Verificación a la Autoridad Administrativa Competente, mediante el cual define sus Prácticas de Registro o Verificación.
-7-
Infraestructura
Oficial
de
Firma Rev: 03/23-02-2007
Electrónica IOFE PERU
Aprobado:
Depósito de certificados: sistema de almacenamiento y recuperación de certificados, así como de la información relativa a éstos, disponible por medios telemáticos.
Destinatario: persona designada por el iniciador para recibir un mensaje de datos o un documento electrónico siempre y cuando no actúe a título de intermediario.
Documento: cualquier escrito público o privado, los impresos, fotocopias, facsímil o fax, planos, cuadros, dibujos, fotografías, radiografías, cintas cinematográficas, microformas tanto en la modalidad de microfilm como en la modalidad de soportes informáticos y otras reproducciones de audio o video, la telemática en general y demás objetos que recojan, contengan o representen algún hecho o una actividad humana o su resultado. Los documentos pueden ser archivados a través de medios electrónicos, ópticos o cualquier otro similar.
Entidad de certificación (EC): persona jurídica pública o privada que presta indistintamente servicios de producción, emisión, gestión, cancelación u otros servicios inherentes a la certificación digital. Asimismo, puede asumir las funciones de registro o verificación.
Entidad de certificación extranjera: la que no se encuentra domiciliada en el país, ni inscrita en los Registros Públicos del Perú, conforme a la legislación de la materia.
Entidad final: suscriptor o titular de un certificado digital.
Entidad de Registro o Verificación (ER): persona jurídica, con excepción de los notarios públicos, encargada del levantamiento de datos, comprobación de éstos respecto a un solicitante de un mecanismo de firma electrónica o certificación digital, la aceptación y autorización de las solicitudes para la emisión de un mecanismo de firma electrónica o certificados digitales, así como de la aceptación y autorización de las solicitudes de cancelación de mecanismos de firma electrónica o certificados digitales. Las personas encargadas de ejercer la citada función serán supervisadas y reguladas por la normatividad vigente.
Estándares
técnicos
internacionales:
requisitos
de
orden
técnico
y
de
uso
internacional que deben observarse en la emisión de firmas electrónicas y en las prácticas de certificación.
-8-
Infraestructura
Oficial
Electrónica IOFE PERU
de
Firma Rev: 03/23-02-2007 Aprobado:
Estándares técnicos nacionales: estándares técnicos aprobados mediante Normas Técnicas Peruanas por la Comisión de Reglamentos Técnicos y Comerciales – CRT de INDECOPI, en su calidad de Organismo Nacional de Normalización. Firmware 1: es un bloque de instrucciones de programa para propósitos específicos, grabado en una memoria tipo ROM, que establece la lógica de más bajo nivel que controla los circuitos electrónicos de un dispositivo de cualquier tipo. Funcionalmente, el firmware es la interfaz entre las órdenes externas que recibe el dispositivo y su electrónica, ya que es el encargado de controlar a ésta última para ejecutar correctamente dichas órdenes externas.
Hardware: es un neologismo proveniente del inglés, definido por la RAE como el conjunto de los componentes que integran la parte material de una computadora; sin embargo,
es utilizado
en una forma más
amplia, generalmente para describir
componentes físicos de una tecnología.
Identificador de objeto OID: Es una cadena de números, formalmente definida usando el estándar ASN.1 (ITU-T Rec. X.660 | ISO/IEC 9834 series), que identifica de forma única a un objeto. En el caso de la certificación digital, los OIDs se utilizan para identificar a los distintos objetos en los que ésta se enmarca (por ejemplo, componentes de los Nombres Diferenciados, CPSs, etc.). Referencia: http://www.oid-info.com/index.htm.
Infraestructura Oficial de Firma Electrónica (IOFE): sistema confiable, acreditado, regulado y supervisado por la Autoridad Administrativa Competente, provisto de instrumentos legales y técnicos que permiten generar firmas electrónicas y proporcionar diversos niveles de seguridad respecto a: 1) la integridad de los mensajes de datos y documentos electrónicos; 2) la identidad de su autor, lo que es regulado conforme a la Ley. El sistema incluye la generación de firmas electrónicas, en la que participan entidades de certificación y entidades de registro o verificación acreditadas ante la Autoridad Administrativa Competente, incluyendo a la Entidad de Certificación Nacional para el Estado Peruano (ECERNEP), las Entidades de Certificación para el Estado Peruano (ECEP) y las Entidades de Registro o Verificación para el Estado Peruano (EREP).
1
En el contexto de esta Guía de Acreditación, el firmware es el “sistema operativo” que proporciona funcionalidades básicas como acceso seguro a la tarjeta inteligente, autenticación y cifrado.
-9-
Infraestructura
Oficial
de
Firma Rev: 03/23-02-2007
Electrónica IOFE PERU
Aprobado:
Integridad: característica que indica que un mensaje de datos o un documento electrónico no ha sido alterado desde la transmisión por el iniciador hasta su recepción por el destinatario.
Lista de Certificados Digitales Revocados (CRL o LCR): es aquella en la que se deberán incorporar todos los certificados cancelados o revocados por la entidad de certificación de acuerdo con lo establecido en el Reglamento de la Ley de Firmas y Certificados Digitales.
Mecanismos de Firma Electrónica: un programa informático configurado o un aparato informático configurado que sirve para aplicar los datos de creación de firma. Dichos mecanismos varían según el nivel de seguridad que se les aplique.
Medios telemáticos: conjunto de bienes y elementos técnicos informáticos que en unión con
las
telecomunicaciones
permiten
la
generación,
procesamiento,
transmisión,
comunicación y archivo de datos e información.
Mensaje de datos: es la información generada, enviada, recibida, archivada o comunicada por medios electrónicos, ópticos o similares, como pudieran ser, entre otros, el intercambio electrónico de datos (EDI por sus siglas en inglés), el correo electrónico, el telegrama, el télex o el telefax entre otros. Middleware2: es un software de conectividad que ofrece un conjunto de servicios que hacen posible el funcionamiento de múltiples procesos sobre máquinas diferentes que deben interactuar. Proporciona las librerías que implementan todas las funcionalidades que permiten la comunicación.
Neutralidad
tecnológica:
principio
de
no
discriminación
entre
la
información
consignada sobre papel y la información comunicada o archivada electrónicamente, asimismo la no discriminación, preferencia o restricción de ninguna de las diversas técnicas o tecnologías que pueden utilizarse para firmar, generar, comunicar, almacenar o archivar electrónicamente información.
2
En el contexto de esta Guía de Acreditación, el middleware es el software que permite que una aplicación que se ejecuta en una PC se comunique con una tarjeta inteligente y tenga acceso a sus servicios; si fuera el caso, la comunicación se realiza a través de una lectora de tarjeta inteligente.
- 10 -
Infraestructura
Oficial
de
Firma Rev: 03/23-02-2007
Electrónica IOFE PERU
Aprobado:
Niveles de seguridad: son los diversos niveles de garantía que ofrecen las variedades de firmas electrónicas, cuyos beneficios y riesgos deben ser evaluados por la persona, empresa o institución que piensa optar por una modalidad de firma electrónica para enviar o recibir mensajes de datos o documentos electrónicos.
Nombre Diferenciado X.501: es un sistema estándar diseñado para consignar en el campo Sujeto de un certificado digital los datos identificativos del titular del certificado, de manera que éstos se asocien de forma inequívoca con ese titular dentro del conjunto de todos los certificados en vigor que ha emitido la EC. En inglés se denomina “Distinguished Name”, DN X.501.
Par de claves: en un sistema de criptografía asimétrica, comprende una clave privada y su correspondiente clave pública, ambas asociadas matemáticamente.
Política: Orientaciones o directrices que rigen la actuación de una persona o entidad en un asunto o campo determinado
Políticas de Certificación (CP): documento oficialmente presentado por una entidad de certificación a la Autoridad Administrativa Competente, mediante el cual establece, entre otras cosas, los tipos de certificados digitales que podrán ser emitidos, cómo se deben emitir y gestionar los certificados, y los respectivos derechos y responsabilidades de las Entidades de Certificación. Para el caso de una EC Raíz, la CP incluye las directrices para la gestión del Sistema de Certificación de las ECs vinculadas.
Práctica: Modo o método que particularmente observa alguien en sus operaciones.
Prácticas de Certificación: prácticas utilizadas para aplicar las directrices de la política establecida en la CP respectiva.
Prácticas específicas de Certificación: prácticas que completan todos los aspectos específicos para un tipo de certificado que no están definidos en la CPS respectiva.
Prácticas de Registro o Verificación: prácticas que establecen las actividades y requerimientos de seguridad y privacidad correspondientes al Sistema de Registro o Verificación de una ER.
- 11 -
Infraestructura
Oficial
de
Firma Rev: 03/23-02-2007
Electrónica IOFE PERU
Aprobado:
Reconocimiento de servicios de certificación prestados en el extranjero: proceso a través del cual la Autoridad Administrativa Competente acredita, equipara y reconoce oficialmente a las entidades de certificación extranjeras.
Reglamento de la Ley de Firmas y Certificados Digitales: el Reglamento de la Ley N° 27269 - Ley de Firmas y Certificados Digitales, modificada por la Ley N° 27310, aprobado por Decreto Supremo N° 004-2007-PCM del 12 de enero de 2007, y publicado en el Diario Oficial El Peruano con fecha 14 de enero de 2007.
Servicio de intermediación electrónica: servicio de valor añadido complementario de la firma digital brindado dentro o fuera de la Infraestructura Oficial de Firma Electrónica que permiten grabar, almacenar, conservar cualquier información remitida por medios electrónicos que permiten certificar los datos de envío y recepción, su fecha y hora, el no repudio en el origen y de recepción. El servicio de intermediación electrónica dentro de la Infraestructura Oficial de Firma Electrónica es brindado por persona jurídica acreditada ante la Autoridad Administrativa Competente.
Servicio OCSP (Protocolo del estado en línea del certificado, por sus siglas en inglés): permite utilizar un protocolo estándar para realizar consultas en línea al servidor de la Autoridad de Certificación sobre el estado de un certificado.
Software: palabra de origen ánglico que hace referencia a todos los componentes intangibles de una computadora, es decir, al conjunto de programas y procedimientos necesarios para hacer posible la realización de una tarea específica. Probablemente la definición más formal de software es la atribuida a la IEEE, en su estándar 729: “la suma total de los programas de cómputo, procedimientos, reglas, documentación y datos asociados que forman parte de las operaciones de un sistema de cómputo”3.
Suscriptor o titular de la firma digital: persona natural responsable de la generación y uso de la clave privada, a quien se le vincula de manera exclusiva con un mensaje de datos firmado digitalmente utilizando su clave privada. En el caso que el titular del certificado sea una persona natural, sobre la misma recaerá la responsabilidad de suscriptor. En el caso que una persona jurídica sea el titular de un certificado, la responsabilidad de suscriptor recaerá sobre el representante legal designado por esta entidad. Si el certificado está designado para ser usado por un agente automatizado, la
3
IEEE Std, IEEE Software Engineering Standard: Glossary of Software Engineering Terminology. IEEE Computer Society Press, 1993
- 12 -
Infraestructura
Oficial
Electrónica IOFE PERU
de
Firma Rev: 03/23-02-2007 Aprobado:
titularidad del certificado y de las firmas digitales generadas a partir de dicho certificado corresponderán a la persona jurídica, la cual deberá ser dueña del agente automatizado. La atribución de responsabilidad de suscriptor, para tales efectos, corresponde al representante legal, que en nombre de la persona jurídica solicita el certificado digital.
Tercero que confía o tercer usuario: se refiere a las personas naturales, equipos, servicios o cualquier otro ente que actúa basado en la confianza sobre la validez de un certificado y/o verifica alguna firma digital en la que se utilizó dicho certificado.
Titular de certificado digital: persona natural o jurídica a quien se le atribuye de manera exclusiva un certificado digital.
TSL (Lista de Estado de Servicio de Confianza, por sus siglas en inglés): lista de confianza que incluye a los PSCs acreditados, autorizados a operar en el marco de la IOFE. El propósito de la TSL es proveer de modo ordenado información del estado de los proveedores de servicios, teniendo un rol preponderante en los servicios considerados confiables (acreditados) y los proveedores supervisados por la Autoridad Administrativa Competente. Usabilidad4: es un término proveniente del inglés "usability", usado para denotar la forma en la que una persona puede emplear una herramienta particular de manera efectiva, eficiente y satisfactoria, en función de lograr una meta específica. A esta idea van asociadas la facilidad de aprendizaje (en la medida en que éste sea lo más amplio y profundo posible), la tasa de errores del sistema y la capacidad del sistema para ser recordado (que no se olviden las funcionalidades ni sus procedimientos).
4
Respecto a los temas de PKI, además del factor seguridad, la usabilidad también es importante para lograr que los usuarios aprendan su uso con facilidad. Debe evitarse, por ejemplo, que una persona entregue su tarjeta inteligente a otra por no entender, debido a su complejidad, el modo de usarla, quebrantando así la seguridad del sistema.
- 13 -
Infraestructura
Oficial
de
Firma Rev: 03/23-02-2007
Electrónica IOFE PERU
Aprobado:
3. ACRÓNIMOS AAC CC
Autoridad Administrativa Competente (CRT del INDECOPI) Common Criteria
CEN CP
Comité Europeo de Normalización Políticas de Certificación
CPS Declaración de Prácticas de Certificación de una EC CRL o LCR Certificate Revocation List (Lista de Certificados Revocados) CRT CWA
Comisión de Reglamentos Técnicos y Comerciales CEN Workshop Agreements
EAL EC
Evaluation Assurance Level Entidad de Certificación
ECEP ECERNEP
Entidad de Certificación para el Estado Peruano Entidad de Certificación Nacional para el Estado Peruano
ER EREP
Entidad de Registro o Verificación Entidad de Registro para el Estado Peruano
ETSI FBCA
European Telecommunications Standards Institute Federal Bridge Certification Authority
FIPS IEC
Federal Information Processing Standards International Electrotechnical Commission
IETF IOFE
Internet Engineering Task Force Infraestructura Oficial de Firma Electrónica
ISO NTP
International Organization for Standardization Norma Técnica Peruana
OCSP
Online Certificate Status Protocol (Protocolo del estado en línea del certificado)
OID PKI
Identificador de Objeto Public Key Infrastructure (Infraestructura de Clave Pública)
PSC
Prestador de Servicios de Certificación Digital Prestador de Servicios de Criptográficos
RFC RPS
Request for Comment Declaración de Prácticas de Registro o Verificación de una ER
SHA SVA
Secure Hash Algorithm Prestador de Servicios de Valor Añadido
TSL
(por ejemplo TimeStamping) Lista de Estado de Servicio de Confianza
VAPS
Declaración de Prácticas de Valor Añadido
- 14 -
Infraestructura
Oficial
Electrónica IOFE PERU
de
Firma Rev: 03/23-02-2007 Aprobado:
4. ARQUITECTURA JERÁRQUICA DE CERTIFICACIÓN DEL ESTADO PERUANO Y MECANISMO DE INTEROPERABILIDAD El Reglamento de la Ley N° 27269 - Ley de Firmas y Certificados Digitales (modificada por la Ley N° 27310), aprobado por Decreto Supremo N° 0042007-PCM, designa al RENIEC como ECERNEP5, ECEP y EREP6.
TSL El mecanismo de interoperabilidad utilizado con el propósito de proveer, de modo ordenado, la información del estado de los Proveedores de Servicios de Certificación (PSCs) acreditados y supervisados por INDECOPI –y por tanto autorizados a operar en el marco de la IOFE– es la TSL, Lista de Estado de Servicio de Confianza. La TSL consiste en un lista “blanca” que contiene la relación de los PSCs acreditados y es elaborada siguiendo el estándar ETSI TS102 231. Dicha lista es firmada digitalmente por INDECOPI a efectos de asegurar su integridad y estará disponible para que las aplicaciones de software puedan procesarla. 5
De acuerdo con el inciso a) del artículo 33º del Reglamento, la ECERNEP es la Entidad de Certificación Nacional para el Estado Peruano, la cual será la encargada de emitir los certificados raíz para las Entidades de Certificación para el Estado Peruano (ECEP), que así lo soliciten. Las EREPs son aquellas Entidades de Registro o Verifcación cuyas funciones están vinculadas a una o más ECEPs. 6 Artículo 34º.- Designación de las entidades responsables Se designa al Registro Nacional de Identificación y Estado Civil - RENIEC como ECERNEP, ECEP y EREP. Los servicios a ser prestados en el cumplimiento de los roles señalados estarán a disposición de todas las Entidades Públicas del Estado Peruano y de todas las personas naturales y personas jurídicas que mantengan vínculos con el mismo, no excluyendo ninguna representación del Estado Peruano en el territorio nacional o en el extranjero. Las entidades a que se refiere el artículo 33º del Reglamento serán acreditadas y reconocidas por la AAC.
- 15 -
Infraestructura
Oficial
de
Firma Rev: 03/23-02-2007
Electrónica IOFE PERU
Aprobado:
5. METODOLOGÍA La metodología empleada para la realización de la presente Guía de Acreditación toma como referente al documento denominado “USA Government Public Key Infrastructure cross certification criteria and methodology”7, vesión 1.3 emitido en Enero del año 2006 por la Autoridad de Políticas de estadounidense.
la
Infraestructura
Federal
de
PKI
del
gobierno
Asimismo, la presente Guía de Acreditación incluye el documento "Marco de la Política de emisión de certificados digitales", el cual establece los lineamientos para la elaboración de la CPS. Dicho documento está basado en los “Lineamientos8 para el marco de la política de emisión de certificados que pueden ser usados en comercio electrónico transnacional”, emitido por el APEC Telecommunications & Information Working Group APEC eSecurity Task Group9; así como los principios establecidos en la Norma Marco sobre Privacidad aprobado en el Décimo Sexto Meeting Ministerial del APEC llevado a cabo en Santiago de Chile del 17 al 18 de noviembre del año 2004.
7
Información disponible en: http://www.cio.gov/fbca/documents/crosscert_method_criteria.pdf Lineamientos para Infraestructura de clave pública (PKI) 9 APEC eSecurity Task Group, Draft Guidelines for Schemes to Issue Certificates Capable of Being Used in Cross Jurisdiction E-Commerce, Marzo 2004. Información disponible en: http://www.apectel29.gov.hk/download/estg_20.doc 8
- 16 -
Infraestructura
Oficial
de
Electrónica IOFE PERU
Firma Rev: 03/23-02-2007 Aprobado:
6. LINEAMIENTOS DE LA POLÍTICA DE SEGURIDAD DE LA INFRAESTRUCTURA OFICIAL DE FIRMA ELECTRÓNICA IOFE Estos lineamientos se estructuran conforme al marco legislativo peruano que comprende: la Ley N° 27269 - Ley de Firmas y Certificados Digitales, modificada por la Ley N° 27310 y su Reglamento (aprobado por Decreto Supremo N° 004-2007-PCM). Asimismo, incorporan los lineamientos establecidos por los “Principios rectores para esquemas de autenticación electrónica basados en PKI”, que fueran suscritos por el Perú en su condición de economía miembro del APEC (Asia-Pacific Economic Cooperation, en español Cooperación Económica del Asia-Pacífico) mediante la denominada Declaración de Lima, siendo la intención de estas políticas “facilitar la aceptación transnacional de Entidades de Certificación (EC) extranjeras y el establecimiento de acuerdos de reconocimiento transnacional para tales efectos”. Igualmente, se toman en consideración los principios establecidos en la Norma Marco sobre Privacidad del APEC, los mismos que tiene como objeto principal el reconocimiento de “… la importancia del desarrollo de protecciones a la privacidad efectivas que eviten las barreras para el flujo de información, aseguren el intercambio comercial continuo y el crecimiento económico de la región del APEC”. Por otro lado, se tomó en consideración para efectos del presente documento, el hecho que es de consenso general y además es recogido por la legislación vigente10, que no basta un único nivel de seguridad11 para todas las aplicaciones de PKI.
10
En el Glosario de Términos recogido en la Octava Disposición Final del Reglamento de la Ley de Firmas y Certificados Digitales, se establece la definición de Niveles de Seguridad que se transcribe a continuación: “Octava Disposición Final.- Glosario de Términos (…) Niveles de seguridad: son los diversos niveles de garantía que ofrecen las variables de firma electrónica cuyos beneficios y riesgos deben ser evaluados por la persona, empresa o institución que piensa optar por una modalidad de firma electrónica para enviar o recibir mensajes de datos o documentos electrónicos.” 11 El nivel de seguridad asociado con un certificado de clave pública es una aserción del grado de confianza que un usuario puede tener razonablemente en el vínculo de la clave pública de un suscriptor con el nombre y los atributos consignados en el certificado.
- 17 -
Infraestructura
Oficial
de
Firma Rev: 03/23-02-2007
Electrónica IOFE PERU
Aprobado:
Ciertas transacciones son menos críticas o implican alguna operación de bajo valor monetario y pueden soportar un nivel de mayor riesgo comparado con otras que requieren de un mayor nivel de seguridad.
En tal sentido, se recogen estas diferencias y se presentan tres niveles: Medio (M), Medio Alto (M+) y Alto (A) de seguridad, descritos en las subsecciones siguientes. La presente Guía de Acreditación sólo se refiere a los dos primeros niveles de seguridad para certificados de usuario finales.
Otro factor tan importante como la seguridad es la usabilidad. Deben incorporarse criterios que sean consecuentes con el fin social del empleo de la tecnología, en particular, de la certificación digital. Finalmente,
a
través
del
presente
documento,
se
establece
la
interoperabilidad y equivalencia de condiciones de seguridad entre los especificados por APEC –en la Declaración de Lima– y el nivel de seguridad medio (M) y medio alto (M+), para efectos de la implementación de la política de seguridad de la IOFE, los mismos que se consignan a continuación: I. MARCO LEGISLATIVO/LEGAL
Los presentes lineamientos son conformes al marco legal estipulado y establecen parámetros para la constitución y operación de ECs que facilitan la aceptación transnacional de los servicios que éstas proveen.
Tal marco permite y propugna la aceptación de servicios generados en otras jurisdicciones.
Dicho marco dota de efectos legales a los documentos y firmas electrónicas producidos tanto por ECs nacionales como extranjeras,
y facilita la predictibilidad legal a nivel transnacional. El referido marco no determina el empleo de ningún tipo de tecnología en particular. Propugna más bien la neutralidad tecnológica, la adopción permanente de los estándares del mercado, el desarrollo de la tecnología existente y la introducción de nueva tecnología. - 18 -
Infraestructura
Oficial
de
Electrónica IOFE PERU
Firma Rev: 03/23-02-2007 Aprobado:
II: MARCO DE POLÍTICAS
Los requerimientos para el establecimiento de ECs sirven para generar la confianza pública y la confidencialidad y facilitan el reconocimiento transnacional de los certificados emitidos por dichas
entidades. Los esquemas de valoración que utilizan estándares reconocidos y buenas prácticas para asegurar la interoperabilidad técnica entre los usuarios, son óptimos para facilitar el reconocimiento transnacional
de certificados. La implementación de estándares ampliamente aceptados –ver anexo 11– y de gestión en esquemas PKI permiten la adecuada implementación de las ECs y su reconocimiento.
Las políticas y los procedimientos para el reconocimiento transnacional de la implementación de esquemas PKI facilitan la predictibilidad legal y certeza respecto a certificados emitidos bajo dichos esquemas.
III: MARCO OPERACIONAL (RELATIVO A LAS OPERACIONES DE ECs) General El empleo del estándar X.509 y el RFC 3647, que actualiza la versión correspondiente al RFC 2527, para las Políticas de Certificación (CP) y la Declaración de Prácticas de Certificación (CPS) propugna el proceso de reconocimiento transnacional. Registro y Validación del Certificado El establecimiento de procedimientos para el registro y validación de la identidad del usuario que toman en consideración los procedimientos usados para tales efectos en otras jurisdicciones,
propugnan el reconocimiento transnacional de certificados12. Cada vez que un certificado expire (vencimiento del tiempo de vigencia) o sea revocado, el usuario debe repetir el mismo ciclo inicial de verificación de su identidad ante una ER acreditada a fin de adquirir un nuevo certificado digital.
12
Se refiere a la interoperabilidad legal y técnica dentro de la Infraestructura de Clave Pública (PKI) por parte de los países miembros del APEC en función al cumplimiento de disposiciones y estándares internacionales. Esto implica el reconocimiento mutuo de documentos electrónicos firmados digitalmente.
- 19 -
Infraestructura
Oficial
Electrónica IOFE PERU
de
Firma Rev: 03/23-02-2007 Aprobado:
Manejo de claves No se permite el empleo de los depósitos de claves privadas de backup (Key Escrow) para las claves de firma digital pues minan la confianza en el uso del sistema e impiden el reconocimiento
transnacional de certificados (ver anexo 11). Se propugna el reconocimiento transnacional de los certificados en la medida que se incorpore el uso de buenas prácticas para la generación de claves, las cuales sean derivadas de estándares y
fuentes aceptadas internacionalmente. Se genera confianza en el sistema y se propugna el reconocimiento transnacional de los certificados cuando se adoptan las buenas prácticas internacionales referidas a la distinción entre los certificados asignados para procesos de cifrado (confidencialidad), de autenticación y de firma digital (no repudio).
Ingeniería criptográfica
Se propugna la interoperabilidad y el reconocimiento transnacional de los certificados mediante el uso de algoritmos criptográficos de reconocimiento internacional de tamaño y seguridad criptográfica suficiente.
Se incrementa la seguridad y se propugna el reconocimiento transnacional de certificados al asegurar que las claves criptográficas y los algoritmos sean lo suficientemente seguros para proteger de ataques el resultado criptográfico durante el tiempo de vigencia del
certificado. Se propugna el reconocimiento transnacional de los certificados mediante la realización de los procesos criptográficos con dispositivos certificados de conformidad con el estándar FIPS 140213 o la certificación ISO/IEC 15408 (Common Criteria Nivel EAL4+) u otro equivalente.
13
Nivel de Seguridad 3 para el caso de los módulos criptográficos de las ECs y Nivel de Seguridad 2 para el caso de los módulos criptográficos de las ERs y los SVAs.
- 20 -
Infraestructura
Oficial
Electrónica IOFE PERU
de
Firma Rev: 03/23-02-2007 Aprobado:
Nombres distinguidos
Se propugna la interoperabilidad mediante el uso de buenas prácticas para la estandarización de los contenidos de los componentes de Nombres diferenciados en el certificado. En particular, el uso del estándar X.509, así como la política OID para representar la aplicabilidad pretendida del certificado digital, propugnan el reconocimiento transnacional.
Estándares de Directorio Se promueve la confianza del usuario y se propugna el reconocimiento transnacional de certificados mediante:
El uso de estándares internacionales y más comúnmente aceptados, tales como el X.500 Directory Service o LDPA (Lightweight Directory Access Protocol) v3 que facilita la interoperabilidad de las
aplicaciones, sistemas y operaciones de PKI. El uso de buenas prácticas internacionales para la seguridad del personal, seguridad de control y control de seguridad física de conformidad con el estándar NTP-ISO/IEC 17799 (BS 7799 parte I)
o ISO/IEC 27001 (BS 7799 parte II). El uso de por lo menos controles duales para las operaciones de los servicios y procesos de las ECs (por ejemplo control y manejo de la clave pública de la EC) de conformidad con la RFC 3647.
El uso de guías para los sistemas e integridad del software y control que cumplen con FIPS, ISO/IEC 15408 Common Criteria o estándares reconocidos equivalentes. El establecimiento de políticas de archivo que aseguren la retención del material relevante por una duración mínima suficiente (mínimo de 10 años).
El uso del sellado de tiempo (estándares de Time Stamp RFC 3161 y RFC 3628) y mecanismos de seguridad para prevenir cualquier cambio intencional en los documentos archivados, tales como el uso de resúmenes (hashes).
El aseguramiento que el propósito general del repositorio y de la lista de certificados revocados –Certificate Revocation List (CRL)– estén disponibles cuando sean requeridos. La garantía de la disponibilidad para la recepción y actuación frente a requerimientos de revocación de certificados cuando se produzcan.
- 21 -
Infraestructura
Oficial
Electrónica IOFE PERU
de
Firma Rev: 03/23-02-2007 Aprobado:
Lineamientos de gestión Se promueve la confianza del usuario y se propugna el reconocimiento transnacional de certificados mediante:
El establecimiento de planes recuperación de desastres.
El establecimiento de provisiones o guías en la eventualidad que una EC o ER deje de funcionar.
El empleo de auditorías/evaluaciones de conformidad realizadas por una tercera parte independiente, como parte de una buena práctica
de
continuidad
de seguridad para la acreditación o licenciamiento14.
14
Documento disponible en inglés en: http://www.apectel29.gov.hk/download/estg_20.doc
- 22 -
de
negocio
y
Infraestructura
Oficial
de
Firma Rev: 03/23-02-2007
Electrónica IOFE PERU
Aprobado:
IV: NIVELES DE SEGURIDAD DE PKI Características
Nivel de Seguridad Medio
Nivel de Seguridad Medio Alto
Nivel de Seguridad Alto
Aplicación en el intercambio de información
Trámites con el Estado en las transacciones económicas de monto bajo o medio y para el intercambio de documentos de riesgo bajo o medio.
• Intercambio de documentos y transacciones monetarias de alto riesgo. • Trámites con el Estado en las transacciones económicas de alto monto y alto riesgo.
Para información crítica clasificada o de seguridad nacional.
Aplicación Firma Digital
Para información crítica y de seguridad nacional en redes cifradas.
Para información crítica no clasificada o de seguridad nacional en una red no cifrada.
Para información crítica clasificada o de seguridad nacional en una red no cifrada.
en
Aplicación en control de acceso
Para el acceso a información clasificada o información de acceso especial en redes protegidas.
Para el acceso a información clasificada o información de acceso especial en redes no protegidas.
Protección (autenticación y confidencialidad) para información que cruza los límites de la clasificación cuando dicho límite es aún permitido por las políticas de seguridad del sistema.
Aplicación en el campo financiero
Aplicaciones de valor financiero medio o de comercio electrónico, tales como las planillas, contratos, compra de vehículos, etc.
Aplicaciones de valor financiero de riesgo y monto medio alto o de comercio electrónico.
Aplicaciones de valor financiero de riesgo y monto alto o de comercio electrónico.
Dispositivos criptográficos
Los dispositivos criptográficos físicos –hardware y firmware (sistema operativo)– que almacenan las claves privadas de la entidad final –usuarios– deben de cumplir con la certificación FIPS 140-2 Nivel de Seguridad 1 (mínimo) o Common Criteria EAL4.
Los dispositivos criptográficos físicos –hardware y firmware (sistema operativo)– que almacenan las claves privadas de la entidad final –usuarios– deben de cumplir con la certificación FIPS 140-2 Nivel de Seguridad 2 (mínimo) o Common Criteria EAL4+.
Los dispositivos criptográficos físicos –hardware y firmware (sistema operativo)– que almacenan las claves privadas de la entidad final –usuarios– deben de cumplir con la certificación FIPS 140-2 Nivel de Seguridad 3 (mínimo) o Common Criteria EAL4+.
La longitud de clave privada mínima debe ser de 1024 bits y el certificado debe ser renovado como máximo anualmente.
La longitud de clave privada mínima debe ser de 2048 bits y el certificado debe ser renovado como máximo cada dos (2) años.
La longitud de clave privada mínima debe ser de 2048 bits y el certificado debe ser renovado como máximo anualmente.
Generación de la clave privada
Los certificados a nivel de entidad final –usuarios– deben ser generados de manera individual y separados para las siguientes funciones: cifrado y firma (no repudio) o autenticación. Las funciones de firma y autenticación son compatibles y pueden ser realizadas con un mismo certificado.
Los certificados a nivel de entidad final –usuarios– deben ser generados de manera individual y separados para las siguientes funciones: cifrado y firma (no repudio) o autenticación. Las funciones de firma y autenticación son compatibles y pueden ser realizadas con un mismo certificado.
Los certificados a nivel de entidad final –usuarios– deben ser generados de manera individual y separados para las siguientes funciones: cifrado, firma (no repudio) y autenticación.
Certificaciones seguridad calidad Prestador Servicios Certificación Digital – PSC
ER:
ISO 9001:2000
ER:
ISO 9001:2000
Sin certificación; sólo cuenta con la aprobación de las auditorías correspondientes para la acreditación o implementación de las normas correspondientes.
EC:
ISO 27001
EC:
ISO 27001
SVA:
ISO 9001:2000 o ISO 27001
SVA:
ISO 9001:2000 o ISO 27001
SW:
ISO 9001:2000 o CMMI nivel 2 (mínimo)
SW:
ISO 9001:2000 o CMMI nivel 3 (mínimo)
Longitud de clave privada
la
de o del de de
- 23 -
Infraestructura
Oficial
Electrónica IOFE PERU
de
Firma Rev: 03/23-02-2007 Aprobado:
Alcance Los niveles de seguridad integran diversos aspectos relativos a la IOFE. Se exige que todos ellos ostenten un nivel de seguridad mínimo, de modo que en conjunto brinden una garantía sobre su uso. Dispositivos criptográficos: tanto el hardware (chip) como el firmware (sistema operativo) deben de cumplir con certificaciones de seguridad: Nivel de Seguridad Medio:
FIPS 140-2 Nivel de Seguridad 1 (mínimo) o Common Criteria EAL4 Nivel de Seguridad Medio Alto
FIPS 140-2 Nivel de Seguridad 2 (mínimo) o Common Criteria EAL4+ Nivel de Seguridad Alto FIPS 140-2 Nivel de Seguridad 3 (mínimo) o Common Criteria EAL4+
Certificaciones de seguridad o calidad del Prestador de Servicios de Certificación Digital – PSC: el PSC acreditado deberá contar con alguna certificación para prestar servicios con los niveles de seguridad Medio Alto y Alto.
La ER deberá obtener certificación de calidad ISO 9001:2000 para todos los procesos inherentes a su función; por ejemplo, de aceptación y autorización de solicitudes para la emisión de certificados digitales, de aceptación y autorización de las solicitudes de cancelación de
certificados digitales, etc. La EC deberá obtener certificación de seguridad ISO 27001 para los procesos inherentes a su función y la infraestructura tecnológica respectiva (según anexos 1 y 5 de la correspondiente Guía de
Acreditación). El SVA deberá obtener certificación de calidad ISO 9001:2000 para los procesos inherentes a su función o certificación de seguridad ISO 27001 para dichos procesos y la infraestructura tecnológica respectiva
(según anexos 1 y 3 de la correspondiente Guía de Acreditación). La aplicación de software (SW) deberá contar con certificación de calidad ISO 9001:2000 para los procesos de diseño y desarrollo de software o certificación de calidad CMMI (nivel 2 mínimo para nivel Medio Alto, nivel 3 mínimo para nivel Alto), relativo a transacciones seguras de comercio y gobierno electrónico (considerando para su desarrollo, la Guía para la Acreditación de aplicaciones de software).
- 24 -
Infraestructura
Oficial
de
Firma Rev: 03/23-02-2007
Electrónica IOFE PERU
Aprobado:
7. PROCEDIMIENTO DE ACREDITACIÓN El procedimiento de acreditación se encuentra definido en el Glosario de Términos contenido en la Primera Disposición Final del Reglamento15 y se rige por las disposiciones establecidas para tales efectos en la Ley y el Reglamento.
Para efectos de la presente Guía de Acreditación, el mencionado procedimiento está compuesto de las fases que se resumen en la tabla siguiente:
Solicitud inicial
Evaluación de contenido legal
Evaluación de las CP, CPS, la Política y el Plan de Privacidad, la Política de Seguridad y los requerimientos de Usabilidad
Resolución
Evaluación de Interoperabilidad
FASE I:
FASE II:
FASE III:
INICIO
EVALUACIÓN TÉCNICA
DECISIÓN
El plazo total del procedimiento de acreditación será de 120 días hábiles.16
15
Octava Disposición Final.- Glosario de términos Acreditación.- Acto a través del cual la Autoridad Administrativa Competente, previo cumplimiento de las exigencias establecidas en la Ley, en el Reglamento y en las disposiciones dictadas por ella, faculta a las entidades solicitantes reguladas en el Reglamento a prestar los servicios solicitados en el marco de la Infraestructura Oficial de Firma Electrónica. 16 En la Cuarta Disposición Complementaria al Reglamento de la Ley de Firmas y Certificados Digitales aprobado por Resolución de la Comisión de Reglamentos Técnicos y Comerciales del INDECOPI Nº 1032003/CRT-INDECOPI de fecha 23.10.2003 se establece este plazo de 120 días, pero al momento de disgregar las etapas del procedimiento de acreditación la suma del plazo asignado a cada una de ellas, sólo da 90 días. No obstante lo antes dicho, en el TUPA del INDECOPI, aprobado por Decreto Supremo Nº 088-2005-PCM de fecha 11.12.2005, se establece el plazo total de 120 días útiles. Por lo que, se tomará en cuenta el aludido plazo de 120 días para los efectos de la presente Guía de Acreditación; ello en estricta observancia de lo regulado en la Décimo cuarta Disposición Final y Transitoria de la Ley Nº 27809 – Ley del Sistema Concursal.
- 25 -
Infraestructura
Oficial
Electrónica IOFE PERU
de
Firma Rev: 03/23-02-2007 Aprobado:
Fase I: Inicio Esta fase se inicia con la presentación de la solicitud por parte de la EC, a efectos de obtener la correspondiente acreditación. En esta fase se realizará una evaluación preliminar a fin de verificar que el solicitante cumple con los requisitos legales establecidos para poder ingresar a la IOFE. Paso 1: Solicitud inicial a) Propósito: Presentación de la documentación requerida por la EC a efectos de obtener la correspondiente acreditación.
b) Requisitos17: 1
Solicitud dirigida al Secretario Técnico de la Comisión de Reglamentos Técnicos y Comerciales (CRT) del INDECOPI, indicando requerimiento de acreditación como: 1.1 1.2 1.3 1.4 1.5
EC raíz –lo cual incluye a la ECERNEP18– y EC de nivel subsiguiente –lo cual incluye a las ECEPs–; EC de nivel subsiguiente –lo cual incluye a las ECEPs–; Autorización para la realización de certificación cruzada con otras ECs; Renovación de la acreditación; Acreditación por homologación19. Asimismo, deberá especificarse en la solicitud el nivel de seguridad al que postula: Nivel Medio (M) o Medio Alto (M+). Sobre el particular, remitirse al punto IV de la sección 5 de la presente Guía de Acreditación. La solicitud será realizada en el Formato denominado: Ficha de solicitud de acreditación como Entidad de Certificación (EC) –ver
17
La relación de requisitos ha sido elaborada de conformidad con lo establecido para tales efectos en la Ley de firmas y certificados digitales, su Reglamento y el vigente TUPA del INDECOPI. 18 De acuerdo con el inciso a) del artículo 33º del Reglamento, la ECERNEP es la Entidad de Certificación Nacional para el Estado Peruano, la cual será la encargada de emitir los certificados raíz para las Entidades de Certificación para el Estado Peruano (ECEP), que así lo soliciten. 19 Referirse al CAPÍTULO VIII HOMOLOGACIÓN, del Reglamento General de Acreditación Prestadores de Servicios de Certificación Digital –ver anexo 7–.
- 26 -
Infraestructura
Oficial
de
Firma Rev: 03/23-02-2007
Electrónica IOFE PERU
Aprobado:
anexo 10– de la presente Guía de Acreditación. 2
Acreditación de la existencia y vigencia de la persona jurídica solicitante mediante los instrumentos públicos o norma legal respectivos. 2.1
2.2
2.3
3
La existencia y vigencia de la persona jurídica deberá acreditarse con el documento de vigencia respectivo expedido por los Registros Públicos o mediante la especificación de la norma legal de creación de la persona jurídica correspondiente. En el caso de empresas constituidas en el extranjero, se acreditará su existencia y vigencia mediante un certificado de vigencia de la sociedad u otro instrumento equivalente expedido por autoridad competente en su país de origen. En el caso de las instituciones del Estado, deberán acreditar la existencia de una oficina, gerencia o dependencia interna a la cual se le otorgan funciones como prestador de servicios de certificación digital.
Adjuntar los poderes en virtud a los cuales los representantes legales se encuentran facultados para solicitar la acreditación o autorización. Sobre el particular, deberá tenerse en cuenta lo siguiente: 3.1
3.2
3.3
En el caso de personas jurídicas constituidas en el país: en el documento que acredite la representación, deberán constar las facultades conferidas al representante, bastando para tales efectos la presentación de la copia del poder respectivo. En el caso de personas jurídicas constituidas en el extranjero: los correspondientes poderes deberán ser legalizados por un funcionario consular peruano y de encontrarse redactados en idioma extranjero, será necesario que sean traducidos, debiendo el responsable de la traducción suscribir el correspondiente documento. En el caso de instituciones del Estado, deberá acreditarse el nombramiento de la persona encargada de dirigir la oficina, gerencia o dependencia interna encargada de la certificación digital. Debiéndose asimismo acreditarse las facultades de este funcionario.
4
Memoria descriptiva de la empresa o entidad estatal.
5
Organigrama estructural y funcional de la EC.
6
Los documentos a que se refieren los puntos 4 y 5 serán elaborados en el formato denominado: Memoria descriptiva y organigrama
- 27 -
Infraestructura
Oficial
Electrónica IOFE PERU
de
Firma Rev: 03/23-02-2007 Aprobado:
estructural y funcional – Entidad de Certificación (EC), –ver anexo 9– de la presente Guía de Acreditación. 7
Documentos que acrediten domicilio en el país. Este hecho quedará acreditado con el comprobante de inscripción de la persona jurídica en el Registro Único de Contribuyentes (R.U.C.), la misma que debe figurar con la condición de “habida”. En su defecto, se podrá acompañar cualquier otra documentación que sirva para acreditar la condición de domiciliado en el país, la misma que será materia de evaluación por parte de la CRT.
8
Declaración jurada de contar con infraestructura e instalaciones necesarias, según el nivel de seguridad solicitado. Esta declaración jurada se encuentra incluida en el anexo 10.
9
Políticas de Certificación (CP) y la Declaración de Prácticas de Certificación (CPS). 9.1
9.2
9.3
Las CP y CPS deberán estar elaboradas en estricta observancia de los Lineamientos para Infraestructura de clave pública (PKI) del APEC, según el documento Marco de la Política de emisión de certificados digitales –ver anexo 1–, así como de la Norma Marco sobre Privacidad –ver anexo 6– de la presente Guía de Acreditación. En el caso de la ECERNEP, solamente se requiere la Política General de Certificación, donde se establecen las políticas y estándares para el Sector Público, las cuales deberán ser aprobadas por el INDECOPI, de conformidad con lo establecido en el artículo 37° inciso a) del Reglamento de la Ley de Firmas y Certificados Digitales. En el caso de las CP y CPS de las ECEPs que soliciten acreditación, deberá dejarse expresa constancia del procedimiento de información al usuario respecto a los alcances y restricciones en el empleo de los certificados digitales que emiten, de conformidad con lo establecido en el artículo 33° inc. b) del Reglamento20.
Nota: En caso que existan prácticas específicas para cada tipo de certificado, éstas deberán presentarse junto a la CPS como anexos. 20
Articulo 33°.- Entidades de Certificación y de Registro o Verificación (…) b) Entidades de Certificación para el Estado Peruano (ECEP) acreditadas o reconocidas por la AAC, las cuales serán las encargadas de proporcionar, emitir o cancelar los certificados digitales: i) a los administrados personas naturales y jurídicas, los cuales serán utilizados únicamente en los trámites, procedimientos administrativos y similares, ii) a los funcionarios, empleados y servidores públicos para el ejercicio de sus funciones y la realización de actos de administración interna e interinstitucional, y a las personas expresamente autorizadas por la entidad pública correspondiente. Cualquier otro uso que no forme parte del ejercicio de las funciones, de los procedimientos administrativos o de administración interna del Estado o de los procedimientos y coordinaciones entre entidades públicas, carecerá del respaldo legal de la IOFE.
- 28 -
Infraestructura
Oficial
Electrónica IOFE PERU
de
Firma Rev: 03/23-02-2007 Aprobado:
10 Documentación relativa al sistema de gestión que permita el mantenimiento de las condiciones señaladas por el artículo 9º del Reglamento21. Nota: En el caso que cualesquiera de los elementos que conforman el sistema de gestión señalado sean administrados por un tercero, la entidad solicitante, deberá demostrar su vinculación con aquél, asegurando la viabilidad de sus servicios bajo dichas condiciones y la disponibilidad de estos elementos para la evaluación y supervisión que el INDECOPI considere necesarias. En este caso, el INDECOPI tiene derecho a precisar los términos bajo los cuales se rigen este tipo de servicios de certificación digital22. Esta vinculación podrá ser demostrada a través de contrato, acuerdo, convenio de outsourcing o cualquier otro documento con valor legal dentro del ordenamiento jurídico peruano. 11 Declaración jurada declarando cumplir con tener operativo software, hardware y demás componentes adecuados para las prácticas de certificación, repositorio y las condiciones de seguridad adicionales basadas en estándares internacionales o compatibles a los internacionalmente vigentes que aseguren interoperabilidad –ver anexo 11–. Esta declaración jurada se encuentra incluida en el anexo 10. Nota: En el caso que cualesquiera de los elementos señalados sean administrados por un tercero, la entidad solicitante, deberá demostrar su vinculación con aquél, asegurando la viabilidad de sus servicios bajo dichas condiciones y la disponibilidad de estos elementos para la evaluación y supervisión que el INDECOPI considere necesarias. En este caso, el INDECOPI tiene derecho a precisar los términos bajo los cuales se rigen este tipo de servicios de certificación digital23. Esta vinculación podrá ser demostrada a través de contrato, acuerdo, convenio de outsourcing o cualquier otro documento con valor legal dentro del ordenamiento jurídico peruano. 21
Artículo 9º del Reglamento.- Elementos La Infraestructura Oficial de Firma Electrónica –IOFE- está constituida por: a) El conjunto de firmas electrónicas, certificados digitales y documentos electrónicos generados bajo la Infraestructura Oficial de Firma Electrónica. b) Las prácticas de certificación basadas en estándares internacionales o compatibles a los empleados internacionalmente vigentes que aseguren la interoperabilidad y las funciones exigidas, conforme a lo establecido por la AAC. c) El software, el hardware y demás componentes adecuados para las prácticas de certificación y las condiciones de seguridad adicionales comprendidas en los estándares señalados en el inciso b) d) Sistema de gestión que permita el mantenimiento de las condiciones señaladas en los literales anteriores, así como la seguridad, confidencialidad, transparencia y no-discriminación en la prestación de sus servicios. e) La AAC, así como Entidades de Certificación, Entidades de Registro o Verificación, Entidad de Certificación Nacional para el Estado Peruano (ECERNEP), Entidades de Certificación para el Estado Peruano (ECEP) y Entidades de Registro o Verificación para el Estado Peruano (EREP), debidamente acreditadas o reconocidas. 22 Ello, de conformidad con lo establecido en el segundo párrafo del artículo 41º del Reglamento. 23 Ello, de conformidad con lo establecido en el segundo párrafo del artículo 41º del Reglamento.
- 29 -
Infraestructura
Oficial
Electrónica IOFE PERU
de
Firma Rev: 03/23-02-2007 Aprobado:
12 Declaración jurada de aceptación de la visita comprobatoria del INDECOPI. Esta declaración jurada se encuentra incluida en el anexo 10. 13 Documento que acredite relación con al menos una ER acreditada por un periodo no menor a la acreditación solicitada. No será necesario este requisito en el caso que la EC a su vez realice funciones de ER, en cuyo supuesto deberá solicitar su acreditación de conformidad con la Guía de Acreditación de ER. En este caso, su acreditación como EC quedará condicionada a la obtención de la correspondiente acreditación como ER. 14 Informe favorable –cuando así lo solicite el INDECOPI–, de la entidad sectorial correspondiente, en el caso de personas jurídicas supervisadas, respecto de la legalidad y seguridad para el desempeño de actividades de certificación. 15 Documentación que acredite la contratación de seguros o garantías bancarias para salvaguardar las actividades de certificación24 y 25. Para efectos de la presentación de la solicitud de acreditación bastará adjuntar Declaración Jurada en la cual se señale que en caso se obtenga la acreditación por parte del INDECOPI, se procederá a la contratación del seguro o garantía bancaria correspondiente26. Nota: Este requisito no será exigible para la ECERNEP ni ECEPs27. 16 Documentación que acredite contar con respaldo económico. Para tales efectos la EC solicitante deberá presentar estados financieros (balance general, estado de ganancias y pérdidas y notas contables), con una antigüedad no mayor a dos meses del cierre contable del mes anterior a la presentación de la solicitud, acreditando solvencia económica.
24
El artículo 42º del Reglamento de la Ley señala que debe acompañarse a la solicitud de acreditación documentación que acredite el cumplimiento de las obligaciones a que se refiere el artículo 12º del mismo dispositivo legal. No obstante, fuera de lo referente a los seguros y garantías bancarias, la documentación referente al resto de obligaciones se encuentra documentada en las CP y CPS que deben acompañarse a la solicitud de acreditación. 25 Este requisito no será exigible hasta julio del 2008, según lo establecido en una de las recomendaciones del Estudio para la implementación de la Infraestructura Oficial de Firma Digital, que fuera aprobado por la CRT del INDECOPI. 26 Ver anexo 1, sección 9.2 Responsabilidad financiera. 27 Ello, de conformidad con lo establecido en los artículos 37º inciso f) y 38º inciso j).
- 30 -
Infraestructura
Oficial
Electrónica IOFE PERU
de
Firma Rev: 03/23-02-2007 Aprobado:
Nota: Los estados financieros antes señalados deberán ser individuales (no consolidados) y encontrarse auditados. Si una empresa presentara estados financieros con pérdidas acumuladas de ejercicios anteriores, para acreditar solvencia económica deberá capitalizar dicha pérdida o realizar nuevos aportes en cuantía que compense el desmedro y mostrar el nuevo capital suscrito y pagado e inscrito en Registros Públicos. Este requisito no será exigible para la ECERNEP ni ECEPs28. 17 Constancia de pago de los derechos administrativos correspondientes, los cuales ascienden al 100% de la UIT 29. Este pago será efectuado en las oficinas del INDECOPI. 18 Para efectos de la evaluación técnica de la EC, se deberá tener en cuenta lo siguiente: 18.1 En el caso de una EC proveniente de las economías miembros del APEC Australia, Canadá, China Hong Kong, Singapur y Estados Unidos, al haber participado en el mapeo efectuado con las provisiones del IETF RFC 3647 contenidas en los “Lineamientos para el marco de la política de emisión de certificados que pueden ser usados en comercio electrónico transnacional” del APEC, bastará para la presentación de: Los documentos que sustenten su condición de economía miembro del APEC. El documento en el que conste el mapeo30 correspondiente entre las CP y CPS de la EC solicitante y el documento del APEC antes señalado. El documento que sustente su acreditación u homologación en su respectivo país. 18.2 En el caso de los países miembros del APEC que no hubieran participado en el mapeo a que se alude en el punto anterior, y que no hubieran homologado en sus legislaciones los lineamientos antes señalados, así como para el caso del resto de países, se deberá: Elaborar, como se estipula en el punto 9, las CP y CPS siguiendo la estructura del documento Marco de la Política de emisión de certificados digitales –ver anexo 1–; o Presentar un documento donde conste un mapeo correspondiente entre las CP y CPS de la EC solicitante y el documento del APEC antes señalado. 28
Ello, de conformidad con lo establecido en los artículos 37º inciso f) y 38º inciso j). A la fecha, dicho monto asciende a S/. 3,450.00. 30 Para facilitar las comparaciones para efectos de la acreditación, debe realizarse un mapeo entre la documentación existente y el documento del APEC del anexo 1 basado en las provisiones de la RFC3647, incluyendo para tales efectos la matriz comparativa incluida en la RFC3647. 29
- 31 -
Infraestructura
Oficial
Electrónica IOFE PERU
de
Firma Rev: 03/23-02-2007 Aprobado:
18.3 En el caso que el INDECOPI hubiera celebrado un acuerdo de reconocimiento mutuo con entidades similares a nivel mundial, bastará que la EC solicitante acompañe la homologación o acreditación otorgada en su país de origen, debiendo hacer referencia al instrumento en el que conste el acuerdo de reconocimiento mutuo antes señalado. Serán válidas las auditorías por terceras partes independientes realizadas en el extranjero, siempre y cuando las mismas hayan sido elaboradas conforme a los lineamientos tecnológicos requeridos para tales efectos por el INDECOPI y contenidos en el documento del APEC. 18.4 En el caso de ECs de nivel subsiguiente, siempre y cuando la gestión de los certificados sea realizada en la misma infraestructura tecnológica montada para la EC raíz acreditada, bastará que este hecho se encuentre detallado en su CP y CPS y acompañar la resolución de acreditación de la EC raíz. Toda la documentación que se acompañe a la solicitud, deberá estar en idioma español. Si las fuentes originales provinieran de otro idioma, éstas deberán ser traducidas de manera oficial.
- 32 -
Infraestructura
Oficial
Electrónica IOFE PERU
de
Firma Rev: 03/23-02-2007 Aprobado:
Paso 2: Evaluación de contenido legal a) Propósito: Establecer la idoneidad de la documentación presentada por la EC solicitante para efectos de la acreditación.
b) Actividades: 1. La CRT realizará una verificación preliminar de índole formal, con relación a la solicitud y los recaudos acompañados a la misma. 2. En caso se haya cumplido de manera defectuosa o se haya omitido alguno de los requisitos exigidos, otorgará un plazo máximo de cinco (5) días útiles para la subsanación de estas observaciones. Transcurrido este plazo sin la subsanación correspondiente, se declarará la inadmisibilidad de la solicitud y la conclusión del procedimiento. 3. Una vez presentados los documentos necesarios para levantar las observaciones formuladas, la CRT luego de la evaluación correspondiente, emitirá la resolución de admisibilidad en la cual designará al Comité Evaluador encargado de la evaluación técnica a la solicitante. En caso la EC solicitante tuviera algún tipo de observación a los miembros designados del Comité, deberá proceder conforme a los lineamientos establecidos para tales efectos en el Reglamento General de Acreditación - Prestadores de Servicios de Certificación Digital. 4. Luego de emitida la resolución de admisibilidad, la CRT procederá a realizar un análisis legal detallado de la documentación presentada y pronunciarse sobre su procedencia. El plazo para esta evaluación es de diez (10) días útiles. En esta etapa no se evaluará la documentación técnica a que se refiere el punto 18 del paso 1, por cuanto la misma será materia de evolución en la Fase II referida a la evaluación técnica de la EC solicitante. 5. En caso existan observaciones a la documentación presentada, otorgará al solicitante un plazo de diez (10) días hábiles para el levantamiento de las mismas.
- 33 -
Infraestructura
Oficial
Electrónica IOFE PERU
de
Firma Rev: 03/23-02-2007 Aprobado:
6. Si se cumple con subsanar las observaciones dentro del plazo establecido, la CRT declarará la conformidad de la documentación presentada y se procederá a la etapa siguiente del procedimiento de acreditación. En esta misma resolución se citará al designado representante técnico de la EC solicitante a efectos de realizar las coordinaciones necesarias para la etapa de evaluación técnica. 7. Si no se levantan las observaciones formuladas dentro del plazo establecido, se declarará la improcedencia de la solicitud y la conclusión del procedimiento. 8. En todos los supuestos antes señalados la CRT deberá fundamentar claramente su decisión. 9. En caso de no encontrarse conforme con la decisión emitida, el solicitante tiene un plazo de quince (15) días útiles, para efectos de interponer los recursos impugnatorios que considere pertinentes31. Con la resolución que se emita en esta segunda instancia, quedará agotada la vía administrativa.
31
Los recursos que pueden ser interpuestos son: Reconsideración, en cuyo caso será la propia CRT la que se encargue de resolver el mismo o también se puede interponer el Recurso de Apelación, siendo el encargado de su resolución la Sala de Defensa de la Competencia, del Tribunal del INDECOPI. En ambos supuestos el plazo para la interposición de los recursos es de 15 días útiles contados a partir de la recepción de la resolución de la CRT, debiéndose abonar para tales efectos un monto equivalente al 10% de la UIT (S/. 350).
- 34 -
Infraestructura
Oficial
Electrónica IOFE PERU
de
Firma Rev: 03/23-02-2007 Aprobado:
Fase II: Evaluación Técnica El objetivo de esta fase es la evaluación respecto a la capacidad tecnológica instalada de la EC solicitante, tomando para tales efectos en cuenta el procedimiento establecido en su CP, CPS, en la presente Guía de Acreditación y sus anexos. También se solicitarán y evaluarán los documentos correspondientes a la Política y al Plan de Privacidad, y a la Política de Seguridad, así como el cumplimiento de los requerimientos de Usabilidad –ver anexo 12–. Esta etapa será realizada con el apoyo del Comité Evaluador designado de la CRT. Paso 3: Evaluación de las CP, CPS, la Política y el Plan de Privacidad, la Política de Seguridad y los requerimientos de Usabilidad a) Propósito: Examinar los documentos CP y CPS, la Política y el Plan de Privacidad y la Política de Seguridad de la EC, y establecer su equivalencia con los Lineamientos para Infraestructura de clave pública (PKI) del APEC, según el documento Marco de la Política de emisión de certificados digitales (anexo 1), la Norma Marco sobre Privacidad (anexo 6) y las normas ISO 17799 o ISO 27001 (anexo 2), respectivamente. Asimismo, se verificará el cumplimiento de los requerimientos de Usabilidad establecidos en el anexo 12.
b) Actividades: 1. En esta etapa corresponde a la EC solicitante la presentación los documentos correspondientes a la Política de Privacidad, al Plan de Privacidad y a la Política de Seguridad. 2. Los requerimientos correspondientes a la Política de Seguridad32 se encuentran especificados en el anexo 2.
32
Ver anexos 2 y 4.
- 35 -
Infraestructura
Oficial
Electrónica IOFE PERU
de
Firma Rev: 03/23-02-2007 Aprobado:
a. En caso que exista una certificación de seguridad ISO 27001 o BS 7799-II vigente33 que cumpla con los controles mínimos exigidos en el anexo 5 del presente documento, no será necesaria la presentación de esta documentación. b. En caso que la EC solicitante subcontrate la totalidad de la infraestructura tecnológica (incluyendo todos los procesos del sistema de gestión) utilizada también por una EC acreditada, se deberá sustentar este hecho, pudiendo emplear la documentación de la Política de Seguridad –correspondiente a la infraestructura tecnológica referida– presentada por dicha EC acreditada. En caso de incorporar modificaciones, éstas deberán ser sustentadas mediante las auditorías correspondientes –ver anexo 2–. 3. La Política de Privacidad y el Plan de Privacidad, mediante una evaluación de impactos sobre la privacidad, debe establecer el tipo de datos personales que pueden ser recolectados y cómo serán utilizados, protegidos, recuperados/corregidos, las circunstancias en que estos serán revelados y las sanciones en caso que el personal de la entidad no cumpla con el plan. Estos documentos debe estar de conformidad con la Norma Marco sobre Privacidad presentada en el anexo 6. Asimismo, la EC deberá: a. Designar a un Oficial de Privacidad, quien será el primer contacto frente a incidentes de privacidad; b. Publicar en su página WEB la Política de Privacidad y el Plan de Privacidad y los datos de contacto del Responsable de Privacidad; c. Implementar el Plan de privacidad de acuerdo a lo estipulado en el mismo documento, sujeto a las existentes obligaciones contractuales, licencias u otros arreglos de outsourcing; d. Revisar y actualizar la Política de Privacidad y el Plan de Privacidad al menos una vez por año; e. Elaborar y publicar en su página WEB una declaración de privacidad y seguridad; 4. El Comité Evaluador procederá a la evaluación de la documentación a que se refiere el punto 18 del paso 1 de la presente Guía de Acreditación, la Política de Privacidad, el Plan de Privacidad, la Política de Seguridad y los requerimientos de Usabilidad de la EC – conforme a los establecido en los anexos 1 y 12 de la presente Guía de Acreditación–.
33
La vigencia de la certificación incluye el sometimiento a las auditorías anuales obligatorias.
- 36 -
Infraestructura
Oficial
Electrónica IOFE PERU
de
Firma Rev: 03/23-02-2007 Aprobado:
5. El Comité Evaluador, una vez realizada la correspondiente evaluación, emitirá un informe que cuando menos contendrá lo siguiente: a. Grado de cumplimiento de los requisitos técnicos requeridos para la acreditación. b. Reporte de las no conformidades y observaciones detectadas durante la evaluación. c. Otra información que el Comité considere importante consignar. 6. En todos los supuestos antes señalados el Comité Evaluador deberá fundamentar claramente su informe. De considerarlo pertinente, el Comité podrá determinar dentro del plazo de evaluación técnica, la necesidad de realizar una visita comprobatoria a la EC. Este hecho debidamente fundamentado, se pondrá en conocimiento de la EC solicitante y correrá por cuenta de la misma los gastos que puedan generarse por esta evaluación. 7. En caso de presentarse no conformidades, la EC solicitante tiene un plazo de cinco (5) días de culminada la evaluación técnica para presentar a la CRT las propuestas de acciones correctivas que considere pertinentes y los plazos para su ejecución, los cuales no pueden ser superiores a un (1) mes. 8. La verificación del levantamiento de no conformidades se realizará mediante una evaluación complementaria dentro de los términos establecidos por el Reglamento General de Acreditación – Prestadores de Servicios de Certificación Digital. 9. La EC solicitante podrá solicitar la suspensión del procedimiento a efectos de implementar las medidas técnicas necesarias para superar las observaciones formuladas. En este caso, el procedimiento se reactivará con la presentación de la documentación que acredite la subsanación de las observaciones formuladas y se procederá a la evaluación complementaria a que se refiere el Reglamento General de Acreditación – Prestadores de Servicios de Certificación digital. 10. La primera visita comprobatoria se realizará dentro de los seis (6) primeros meses, luego de obtenida la acreditación, a efectos de verificar la implementación de sus Prácticas de Certificación. Las siguientes visitas se realizarán en el momento en que INDECOPI lo considere pertinente.
- 37 -
Infraestructura
Oficial
Electrónica IOFE PERU
de
Firma Rev: 03/23-02-2007 Aprobado:
Paso 4: Evaluación de interoperabilidad a) Propósito: Evaluar el cumplimiento de las condiciones para el establecimiento de la interoperabilidad mediante el uso de la TSL –ETSI TS102 231– como estándar para creación de la lista de proveedores de servicios de certificación confiables.
b) Actividades: 1. La evaluación de interoperabilidad se realizará en coordinación con el personal de la EC solicitante designado para tales efectos. Esta designación será especificada en el formato denominado: Memoria descriptiva y organigrama estructural y funcional –ver anexo 9– de la presente Guía de Acreditación. 2. Como parte del procedimiento de evaluación de interoperabilidad y en concordancia con el INDECOPI, se generará un TSL de prueba acorde con el estándar referido. 3. Esta TSL de prueba deberá ser alojada en la infraestructura de TI de la EC a fin de que a partir de ésta se pueda establecer la interoperabilidad. 4. Los resultados de las pruebas serán evaluados por el Comité Evaluador y formarán parte del informe que deberán entregar a la CRT. 5. La EC solicitante podrá solicitar la suspensión del procedimiento a efectos de implementar las medidas técnicas necesarias para superar las observaciones formuladas. En este caso, el procedimiento se reactivará con la presentación de la documentación que acredite la subsanación de las observaciones formuladas y se procederá a la evaluación complementaria a que se refiere el Reglamento General de Acreditación – Prestadores de Servicios de Certificación Digital.
- 38 -
Infraestructura
Oficial
de
Electrónica IOFE PERU
Firma Rev: 03/23-02-2007 Aprobado:
Fase III: Decisión En esta etapa corresponde al INDECOPI emitir decisión en relación a la procedencia o no de la acreditación de la EC solicitante y por ende su ingreso a la IOFE. Paso 5: Resolución a) Propósito: Decidir si se permite el ingreso a la IOFE de la EC solicitante, por medio de la correspondiente resolución de acreditación. b) Actividades: 1. El INDECOPI con los resultados obtenidos en las dos fases anteriores, procederá a resolver en cualquiera de los sentidos siguientes: a. Otorgar la acreditación a la EC solicitante. b. Denegar la acreditación. c. Otorgar la acreditación emitiendo determinadas recomendaciones y estableciendo el plazo dentro del cual las mismas deberán ser subsanadas por la EC solicitante. 2. En todos los supuestos antes señalados la CRT deberá fundamentar claramente su decisión. 3. La acreditación se otorgará por un periodo de tres (3) años renovables por periodos similares. Durante dicho periodo la EC estará sujeta a evaluaciones técnicas34 anuales para mantener la vigencia de la referida acreditación. 4. En caso se obtenga la correspondiente acreditación, la EC deberá cumplir con remitir al INDECOPI, dentro de un plazo perentorio de veinte (20) días, los documentos que acrediten la contratación de seguros o garantías bancarias correspondientes. Este plazo podrá ser ampliado por igual tiempo y por una sola vez, en caso medie solicitud por escrito de la EC.
34
La evaluación incluye la presentación de los documentos correspondientes a las CP, CPS, la Política y el Plan de Privacidad, la Política de Seguridad y los requerimientos de Usabilidad.
- 39 -
Infraestructura
Oficial
Electrónica IOFE PERU
de
Firma Rev: 03/23-02-2007 Aprobado:
5. Una vez recibida la documentación a que se alude en el punto anterior, se entenderá que la EC acreditada ingresará a la IOFE, a través de su inscripción en el Registro de Prestadores de Servicios de Certificación Digital que mantiene para tales efectos la CRT y se encontrará obligada al pago del aporte por supervisión y control anual35. Asimismo, a partir de dicha fecha, el INDECOPI procederá a incorporar a la EC acreditada a la TSL correspondiente. 6. En caso de no encontrarse conforme con la decisión emitida, el solicitante tiene un plazo de quince (15) días útiles posteriores a la recepción de la decisión, para efectos de interponer los recursos impugnatorios que considere pertinentes36. Con la resolución que se emita en esta segunda instancia quedará agotada la vía administrativa. Las especificaciones del procedimiento de acreditación antes señalado se encuentran detalladas en el Reglamento General de Acreditación – Prestadores de Servicios de Certificación Digital –ver anexo 7– de la presente Guía de Acreditación y en particular en el Reglamento Específico de Acreditación de Entidades de Certificación (EC) –ver anexo 8– de la presente Guía de Acreditación.
35
De conformidad con el artículo 57° del Reglamento este aporte asciende a un monto que no podrá exceder el 0.8% del valor de la facturación anual de la EC, deducido el Impuesto General a las Ventas e Impuesto de Promoción Municipal y este requisito es sólo exigible sólo para las EC privadas. 36 Los recursos que pueden ser interpuestos son: Reconsideración y Apelación.
- 40 -