DECLARACION DE PRACTICAS CERTIFICACIÓN DE LA INFRAESTRUCTURA DE CLAVE PÚBLICA DEL PARAGUAY

Transcripción

1 DECLARACION DE PRACTICAS CERTIFICACIÓN DE LA INFRAESTRUCTURA DE CLAVE PÚBLICA DEL PARAGUAY Ministerio de Industria y Comercio Viceministerio de Comercio República del Paraguay Tabla de contenido 1.1 Descripción general Nombre e Identificación del documento Participantes de la PKI Autoridades Certificadoras (CA) Autoridad de Registro (RA) Suscriptores Parte que confía Otros participantes Uso del Certificado Usos apropiados del Certificado Usos prohibidos del certificado Política de Administración Organización que administra el documento Persona de Contacto Persona que determina la adecuación de la CPS a la Política Procedimientos de aprobación de la Declaración de Prácticas de Certificación (CPS) Definiciones y acrónimos Definiciones Acrónimos RESPONSABILIDADES DE PUBLICACION Y DEL REPOSITORIO Repositorios Publicación de Información de Certificación Tiempo o frecuencia de Publicación Controles de Acceso a los Repositorios IDENTIFICACION Y AUTENTICACION Nombres... 19

2 3.1.1 Tipos de Nombres Necesidad de Nombres significativos Anonimato o seudónimos de los suscriptores Reglas para interpretación de varias formas de Nombres Unicidad de los nombres Reconocimiento, autenticación y rol de las marcas registradas Validación inicial de identidad Método para probar posesión de la clave privada Autenticación de identidad de Persona Jurídica Autenticación de identidad de Persona Física Información del Suscriptor no verificada Validación de la Autoridad (Capacidad de hecho) Criterios para interoperabilidad Identificación y autenticación para solicitudes de re emisión de claves Identificación y autenticación para re emisión de claves rutinaria Identificación y autenticación para la re emisión de claves después de una revocación Identificación y autenticación para solicitudes de revocación REQUERIMIENTOS OPERACIONALES DEL CICLO DE VIDA DEL CERTIFICADO Solicitud del Certificado Quién puede presentar una solicitud de certificado Proceso de Inscripción y responsabilidades Procesamiento de la Solicitud del Certificado Ejecución de las funciones de Identificación y Autenticación Aprobación o rechazo de solicitudes de certificado Tiempo para procesar solicitudes de Certificado Emisión del Certificado Acciones de la CA durante la emisión de los certificados Notificación al suscriptor sobre la emisión del Certificado Digital Aceptación del Certificado Conducta constitutiva de aceptación de certificado Publicación del Certificado por la CA Notificación de la emisión del certificado por la CA a otras entidades Uso del par de claves y del certificado Uso de la Clave privada y del certificado por el Suscriptor Uso de la clave pública y del certificado por la parte que confía Renovación del certificado Circunstancias para renovación de certificado Quién puede solicitar renovación Procesamiento de solicitudes de renovación de certificado Notificación al suscriptor sobre la emisión de un nuevo certificado Conducta constitutiva de aceptación de un certificado renovado Publicación por la CA del certificado renovado Notificación por la CA de la emisión de un certificado a otras entidades Re-emisión de claves de certificado Circunstancias para re-emisión de claves de certificado Quien puede solicitar la certificación de una clave pública Procesamiento de solicitudes de re-emisión de claves de certificado Notificación al suscriptor sobre la re-emisión de un nuevo certificado Conducta constitutiva de aceptación de un certificado re-emitido Publicación por la CA de los certificados re-emitidos Notificación por la CA de la re-emisión de un certificado a otras entidades Modificación de certificados... 27

3 4.8.1 Circunstancias para modificación del certificado Quién puede solicitar modificación del certificado Procesamiento de solicitudes de modificación del certificado Notificación al suscriptor de la emisión de un nuevo certificado Conducta constitutiva de aceptación del certificado modificado Publicación por la CA de los Certificados modificados Notificación por la CA de emisión de certificado a otras entidades Revocación y suspensión Circunstancias para la revocación Quien puede solicitar Revocación Procedimiento para la solicitud de revocación Periodo de gracia para solicitud de revocación Tiempo dentro del cual la CA debe procesar la solicitud de revocación Requerimientos de verificación de revocación para las partes que confían Frecuencia de Emisión del CRL Latencia máxima para CRLs Disponibilidad de verificación de revocación/ estado en línea Requerimientos para verificar la revocación en línea Otras formas de advertencias de revocación disponibles Requerimientos especiales por compromiso de clave privada Circunstancias para suspensión Quien puede solicitar la suspensión Procedimiento para la solicitud de suspensión Límites del período de suspensión Servicios de comprobación de estado de Certificado Características operacionales Disponibilidad del Servicio Características opcionales Fin de la suscripción Custodia y recuperación de claves Política y prácticas de custodia y recuperación de claves Políticas y prácticas de recuperación y encapsulación de claves de sesión CONTROLES DE SEGURIDAD FÍSICA, DE GESTIÓN Y DE OPERACIONES Controles físicos Localización y construcción del sitio Acceso físico Energía y Aire acondicionado Exposiciones al agua Prevención y protección contra fuego Almacenamiento de medios Eliminación de residuos Respaldo fuera de sitio Controles procedimentales Roles de confianza Número de personas requeridas por tarea Identificación y autenticación para cada rol Roles que requieren separación de funciones Controles de personal Requerimientos de experiencia, capacidades y autorización Procedimientos de verificación de antecedentes Requerimientos de capacitación Requerimientos y frecuencia de capacitación... 44

4 5.3.5 Frecuencia y secuencia en la rotación de las funciones Sanciones para acciones no autorizadas Requisitos de contratación a terceros Documentación suministrada al personal Procedimiento de Registro de auditoría Tipos de eventos registrados Frecuencia de procesamiento del registro Período de conservación del registro de auditoría Protección del registro de auditoría Procedimientos de respaldo de registro de auditoría Sistema de recolección de información de auditoría (interno vs externo) Notificación al sujeto que causa el evento Evaluación de Vulnerabilidades Archivos de registros Tipos de registros archivados Periodos de retención para archivos Protección de archivos Procedimientos de respaldo de archivo Requerimientos para sellado de tiempo de registros Sistema de recolección de archivo (interno o externo) Procedimientos para obtener y verificar la información archivada Cambio de clave Recuperación de desastres y compromiso Procedimiento para el manejo de incidente y compromiso Corrupción de datos, software y/o recursos computacionales Procedimientos de compromiso de clave privada de la entidad Capacidad de continuidad del negocio después de un desastre Terminación de una CA CONTROLES TÉCNICOS DE SEGURIDAD Generación e instalación del par de claves Generación del par de claves Entrega de la clave privada al suscriptor Entrega de la Clave Pública al emisor del Certificado Entrega de la clave pública de la CA a las partes que confían Tamaño de la clave Generación de parámetros de clave pública y verificación de calidad Propósitos de usos de clave (Campo key usage x509 v3) Controles de ingeniería del módulo criptográfico y protección de la clave privada Estándares y controles del Módulo criptográfico Control multi-persona de clave privada Custodia de la clave privada Respaldo de la clave privada Archivado de la clave privada Transferencia de clave privada hacia o desde un módulo criptográfico Almacenamiento de la clave privada en el módulo criptográfico Método de activación de clave privada Métodos de desactivación de la clave privada Destrucción de clave privada Clasificación del Módulo criptográfico Otros aspectos de gestión del par de claves Archivo de la clave pública Período operacional del certificado y período de uso del par de claves... 55

5 6.4 Datos de activación Generación e instalación de los datos de activación Protección de los datos de activación Otros aspectos de los datos de activación Controles de seguridad del computador Requerimientos técnicos de seguridad de computador específicos Clasificación de la seguridad del computador Controles técnicos del ciclo de vida Controles para el desarrollo del sistema Controles de gestión de seguridad Controles de seguridad del ciclo de vida Controles de seguridad de red Sellado de tiempo (Time-stamping) PERFILES DE CERTIFICADOS, CRL Y OCSP Perfil del Certificado Número (s) de versión Extensiones del certificado Key Usage Extensión de política de certificados Nombre alternativo del sujeto Restricciones básicas Uso extendido de la clave Puntos de distribución de los CRL Identificador de clave de Autoridad Identificador de la clave del sujeto QcStatements Identificadores de objeto de algoritmos Formas del nombre Restricciones del nombre Identificador de objeto de Política de Certificado Uso de la extensión Restricciones de Política (Policy Constraints) Semántica y sintaxis de los Calificadores de Política (Policy Qualifiers) Semántica de procesamiento para la extensión de Políticas de Certificado (Certificate Policies) Perfil de la CRL Número (s) de versión CRL y extensiones de entradas de CRL Número CRL (CRL Number) Identificador de clave de Autoridad Puntos de distribución de las CRL Perfil de OCSP Número (s) de versión Extensiones de OCSP AUDITORIA DE CUMPLIMIENTO Y OTRAS EVALUACIONES Frecuencia o circunstancias de evaluación Identidad/calidades del evaluador Relación del evaluador con la entidad evaluada Aspectos cubiertos por la evaluación Acciones tomadas como resultado de una deficiencia Comunicación de resultados... 62

6 9. OTROS ASUNTOS LEGALES Y COMERCIALES Tarifas Tarifas de emisión y administración de certificados Tarifas de acceso a certificados Tarifas de acceso a información del estado o revocación Tarifas por otros servicios Políticas de reembolso Responsabilidad financiera Cobertura de seguro Otros activos Cobertura de seguro o garantía para usuarios finales Confidencialidad de la información comercial Alcance de la información confidencial Información no contenida en el alcance de información confidencial Privacidad de información personal Plan de Privacidad Información tratada como privada Información que no es considerada como privada Responsabilidad para proteger información privada Notificación y consentimiento para usar información privada Divulgación de acuerdo con un proceso judicial o administrativo Otras circunstancias de divulgación de información Derecho de Propiedad intelectual Representaciones y garantías Representaciones y garantías de la CA Representaciones y garantías de la RA Representaciones y garantías del suscriptor Representaciones y garantías de las partes que confían Representaciones y garantías de otros participantes Exención de garantía Limitaciones de responsabilidad legal Indemnizaciones Plazo y finalización Plazo Finalización Efectos de la finalización y supervivencia Notificación individual y comunicaciones con participantes Enmiendas Procedimientos para enmiendas Procedimiento de publicación y notificación Circunstancias en que los OID deben ser cambiados Disposiciones para resolución de disputas Normativa aplicable Adecuación a la ley aplicable Disposiciones varias Acuerdo completo Asignación Divisibilidad Aplicación (Honorarios de Abogados y renuncia de derechos) Fuerza mayor Otras disposiciones DOCUMENTOS DE REFERENCIA...73

7 INTRODUCCIÓN 1.1 Descripción general El Ministerio de Industria y Comercio (MIC), a través del Viceministerio de Comercio, se constituye en la Autoridad de Aplicación (AA) conforme lo dispone la Ley que rige la materia. La Dirección General de Firma Digital y Comercio Electrónico (DGFD&CE) es la dependencia designada para ejecutar las funciones atribuidas al MIC como AA. Entre sus funciones principales se encuentran: Administrar la Autoridad Certificadora Raíz del Paraguay (CA Raíz) Dictar las normas que regulen el Servicio de Certificación Digital en el país Estudiar la Solicitud de Habilitación del Prestador de Servicios de Certificación (PSC) y emitir dictamen técnico-jurídico de aprobación o rechazo Auditar al PSC Evaluar la posible revocación de la Habilitación del PSC Imponer sanciones al PSC La Habilitación del PSC, será aprobada por resolución ministerial, previo dictamen de la DGFD&CE, al igual que la revocación de su habilitación. La presente Declaración de Prácticas de Certificación (CPS por sus siglas en inglés Certification Practice Statement), describe las prácticas y procedimientos empleados por la DGFD&CE en el desempeño de sus funciones como administradora de la Autoridad Certificadora Raíz (CA Raíz) y establece los términos bajo los cuales será prestado el servicio de certificación digital. La estructura de esta CPS fue elaborada conforme a las recomendaciones establecidas en el RFC 3647 INTERNET X.509 Public Key Infrastructure. Certificate Policy and Certification Practices Framework ; y contiene los principios y reglas relativos a la gestión de Certificados 1

8 Digitales, las normas mínimas y básicas que debe cumplir el PSC, el uso de los certificados digitales, entre otras cuestiones relacionadas con la PKI Paraguay. Esta CPS se define de acuerdo con los requisitos establecidos en la Política de Certificación (CP). El Prestador de Servicios de Certificación (PSC), debe contar con una CP y CPS cuyo contenido debe concordar con las disposiciones establecidas en el presente documento y la CP de la PKI. En resumen, esta CPS es específicamente aplicable a: Autoridad Certificadora Raíz del Paraguay (CA Raíz) Prestador de Servicios de Certificación (PSC) Usuario Final Parte que confía Esta CPS contempla los siguientes tipos de certificados: Certificado de CA Raíz Certificado de PSC Certificado de persona física para autenticación Certificado de persona física para firma digital Certificado de persona jurídica para autenticación Certificado de persona jurídica para firma digital El certificado de CA Raíz cuenta con el nivel más alto en la jerarquía de PKI Paraguay; el mismo contiene la clave pública correspondiente a la clave privada de la CA Raíz que es utilizada para firmar: su propio certificado; certificados de CA inmediatamente inferior a su nivel; y 2

9 su Lista de Certificados Revocados (CRL). El PSC, una vez habilitado, pasará a formar parte de la cadena de confianza de la PKI Paraguay, para lo cual deberá contar con un certificado digital firmado y emitido por la CA Raíz, conformando de esa manera una estructura jerárquica como se muestra en la figura 1. En el Paraguay, la cadena de certificación tiene como máximo dos niveles, en el primer nivel se encuentra la CA Raíz, en el segundo nivel, uno o varios PSC, habilitados a emitir certificados digitales a usuarios finales. Figura 1 Autoridad Certificadora Raíz Autoridad Certificadora del Prestador Habilitado A (PSC Autoridad Certificadora del Prestador Habilitado B (PSC) Autoridad Certificadora del Prestador Habilitado C (PSC) 1.2 Nombre e Identificación del documento Nombre: Declaración de Prácticas de Certificación de la Infraestructura de Clave Pública del Paraguay Versión: 3.0 Fecha de aprobación: febrero de 2014 Sitio de internet oficial: 3

10 1.3 Participantes de la PKI Autoridades Certificadoras (CA) Son las entidades autorizadas a emitir certificados de clave pública dentro de la PKI Paraguay. Esto incluye a: Autoridad Certificadora Raíz del Paraguay (CA Raíz) La CA Raíz es administrada por la AA y sus funciones están estipuladas en la CP, en la presenta CPS y normativa vigente. Prestador de Servicios de Certificación (PSC) La entidad interesada en prestar servicios de certificación digital deberá presentar la Solicitud de Habilitación al MIC y además deberá ajustarse al procedimiento establecido para el efecto Autoridad de Registro (RA) La RA se encarga de garantizar y cumplir con las siguientes tareas: Que el trámite se realice de forma presencial por parte de las personas implicadas en la solicitud, custodia y uso del certificado solicitado, en todas las modalidades del certificado; que los documentos aportados para la identificación y acreditación de la capacidad de representación sean auténticos y suficientes para llevar a cabo este trámite; en la medida de sus posibilidades, corroborar que el solicitante y cuantas personas intervengan en el trámite de solicitud sean capaces, y lo realicen libre y voluntariamente; que las consultas y dudas que les sean formuladas sean atendidas; poner a disposición del solicitante y de todas las personas que intervienen en el trámite de solicitud, la CPS, CP, tasas y aranceles del servicio, así como toda 4

11 información relacionada con el proceso de emisión y de revocación: causas, obligaciones y procedimiento a seguir; informar a los solicitantes, de las condiciones precisas para la utilización del certificado y de sus limitaciones de uso; verificar que el titular de los datos ha prestado su consentimiento para el tratamiento de sus datos personales, en conocimiento de la finalidad que se les va a dar; procesar toda la documentación presentada por el solicitante y enviar la solicitud de certificado a la CA de forma segura y firmada digitalmente. El responsable del Registro que realiza el trámite deberá archivar todas las documentaciones y suscribir con el usuario solicitante el Formulario de Solicitud respectivo. Deberá hacer entrega de la copia del Acuerdo de Suscriptores y posteriormente entregar el certificado solicitado Suscriptores Respecto a la CA Raíz, es suscriptor el PSC; en relación a este último, es suscriptor toda persona física o jurídica a quien se emite un certificado digital dentro de la jerarquía PKI Paraguay. Es obligación de todo suscriptor el conocimiento de la presente CPS así como de la normativa vigente Parte que confía Es toda persona física o jurídica que confía en un certificado y/o en las firmas digitales generadas a partir de un certificado, emitidos dentro de la jerarquía PKI Paraguay. Una parte que confía puede o no ser un suscriptor Otros participantes Sin estipulaciones. 5

12 1.4 Uso del Certificado Usos apropiados del Certificado La CP es la que determina los usos apropiados que deben darse al certificado, no es objetivo de esta CPS la determinación de dicho usos. Para una mayor claridad, se describen los valores del campo Uso de la Clave - Key Use utilizado en los diferentes tipos de certificados: Firma de Certificado (Certificate Signing): se usa en caso que la clave pública del suscriptor es utilizada para verificar una firma en certificados. Esta extensión solo se puede utilizar en los certificados de CA. Si el Certificate Signing se activa, en la extensión del perfil restricciones básicas deberá aparecer la restricción tipo de sujeto (subject type) = CA; Firma CRL (CRL Signing) y Firma del CRL sin conexión (Off line CRL Signing): se activa cuando la clave pública del suscriptor se utiliza para la verificación de firmas en la lista de revocación de certificados; Firma Digital (Digital Signature): se activa cuando la clave pública del suscriptor se usa para la verificación de firmas digitales, distintas de firmas en certificados; No repudio (Non repudiation): se activa cuando la clave pública del suscriptor es utilizada para verificar las firmas digitales, distintas de las firmas en certificados, proporciona un servicio de no repudio que protege contra el hecho que el firmante falsamente niegue alguna acción. En las últimas ediciones de X.509 han cambiado el nombre del no repudio a contenido aprobado (Content commitment); Cifrado de Clave (Key encipherment): se activa cuando la clave pública del suscriptor es utilizada para cifrar otras claves usadas en proceso de autenticación. No se encriptan los datos. Acuerdo de Clave (Key agreement): se activa cuando la clave pública del suscriptor es utilizada para acordar la clave. 6

13 Usos prohibidos del certificado La CP determina las limitaciones y restricciones en el uso de los certificados. No es objetivo de esta CPS la determinación de dichas limitaciones y restricciones. 1.5 Política de Administración Organización que administra el documento Nombre: Dirección General de Firma Digital y Comercio Electrónico (DGFD&CE). Dirección: Avenida Mcal. López N Asunción, Paraguay. Teléfono: (+595) (21) Dirección de correo electrónico: info-dgfdce@mic.gov.py. Página Web: Persona de Contacto Nombre: Dirección General de Firma Digital y Comercio Electrónico (DGFD&CE). Dirección: Avenida Mcal. López N Asunción, Paraguay. Teléfono: (+595) (21) Dirección de correo electrónico: info-dgfdce@mic.gov.py Persona que determina la adecuación de la CPS a la Política El Director General de Firma Digital y Comercio Electrónico, será el encargado de determinar la adecuación de la Declaración de Prácticas de Certificación (CPS) de la PKI y la del PSC que desee formar parte de la PKI Paraguay. 7

14 1.5.4 Procedimientos de aprobación de la Declaración de Prácticas de Certificación (CPS) El MIC aprobará el contenido de la presente Declaración de Prácticas de Certificación y sus posteriores enmiendas o modificaciones, por Resolución Ministerial. 1.6 Definiciones y acrónimos Definiciones Acuerdo de Suscriptores: Es un acuerdo entre la CA Raíz y el PSC, y entre el PSC y el usuario final, que establece los derechos y responsabilidades de las partes con respecto a la emisión y gestión de los certificados. Éste acuerdo, requiere la aceptación explícita tanto del PSC, como del suscriptor, respectivamente. Armario ignífugo: Armario equipado con sistemas de protección contra el fuego para aislar los productos almacenados en su interior. Autenticación: Proceso técnico que permite determinar la identidad de la persona que firma electrónicamente, en función del mensaje firmado por ésta, y al cual se le vincula. Este proceso no otorga certificación notarial ni fe pública. Autoridad de Aplicación (AA): Ministerio de Industria y Comercio a través de la Dirección General de Firma Digital y Comercio Electrónico, dependiente del Viceministerio de Comercio. órgano regulador competente designado por Ley, establecido por el artículo 38 de la Ley 4610/2012 que modifica y amplía la Ley N 4017/2010 De validez jurídica de la Firma Electrónica, Firma Digital, los Mensajes de Datos y el Expediente Electrónico. Autoridad Certificadora (CA): Entidad que presta servicios de emisión, gestión, revocación u otros servicios inherentes a la certificación digital. Asimismo, puede asumir las funciones de una RA. En el marco de la PKI Paraguay, son Autoridades Certificadoras, la CA Raíz del Paraguay y el o los PSC. Autoridad Certificadora Raíz (CA Raíz): Es la Autoridad de Certificación Raíz de la PKI 8

15 Paraguay, cuya función principal es habilitar al PSC y emitirle certificados digitales. Posee un certificado auto firmado y es a partir de allí, donde comienza la cadena de confianza. Autoridad de Registro (RA): Entidad responsable de la identificación y autenticación de titulares de certificados digitales, la misma no emite ni firma certificados. Una RA puede ayudar en el proceso de solicitud del certificado, en el proceso de revocación o en ambos. La RA, no necesita ser un organismo separado sino que puede ser parte de la CA. Cadena de certificación: Lista ordenada de Certificados que contiene un Certificado de usuario final y Certificados de CA, que termina en un Certificado raíz. El emisor del certificado del usuario final es el titular del certificado de CA y a su vez, el emisor del certificado de CA es el titular del certificado de CA Raíz. El usuario final o la parte que confía debe verificar la validez de los certificados en la cadena. Ceremonia de claves: Procedimiento mediante el cual es generado un par de Claves de CA, su clave privada es generada y almacenada en un módulo criptográfico, y debe ser respaldada con el mismo nivel de seguridad que la original. Este procedimiento debe ser documentado. Certificado Digital (CD): Es un documento electrónico, generado y firmado por una CA legalmente habilitada para el efecto, el cual vincula un par de claves con una persona física o jurídica confirmando su identidad. Cifrado asimétrico: Tipo de cifrado que utiliza un par de claves criptográficas diferentes (ejemplo: privado y público) y matemáticamente relacionados. Claves criptográficas: Valor o código numérico que se utiliza con un algoritmo criptográfico para transformar, validar, autenticar, cifrar y descifrar datos. Clave Privada: Es una de las claves de un sistema de criptografía asimétrico que se emplea para generar una firma digital sobre un mensaje de datos y es mantenida en reserva por el titular de la firma digital. Clave Pública: Es la otra clave del sistema de criptografía asimétrica, que es usada por el 9

16 destinatario de un mensaje de datos para verificar la firma digital puesta en dicho mensaje. La clave pública puede ser conocida por cualquier persona. Cofre de seguridad: Compartimiento para almacenar materiales o documentos sensibles de la CA, debe ser resistente al fuego y ofrecer protección a aberturas forzadas. Compromiso: Violación de la seguridad de un sistema a raíz de una posible divulgación no autorizada de información sensible. Data center (Centro de Datos): Infraestructura compuesta por espacio físico para la instalación de equipos informáticos y de comunicación con adecuados sistemas de energía, aire acondicionado y seguridad. Es parte de una CA, constituye un recinto seguro que alberga, entre otras cosas, los módulos criptográficos de hardware, protege la infraestructura tecnológica y es el lugar donde se ejecutan servicios del ciclo de vida del Certificado. La importancia del data center radica en la protección que brinda a la clave privada y asegura la confianza en los certificados digitales emitidos por la CA. Datos de activación: Valores de los datos, distintos a las claves, que son requeridos para operar los módulos criptográficos y que necesitan estar protegidos. Declaración de Prácticas de Certificación (CPS): Declaración de las prácticas que emplea una CA al emitir certificados y que define la infraestructura, políticas y procedimientos que utiliza la CA para satisfacer los requisitos especificados en la CP vigente. Delta CRL: Partición del CRL, dentro de una unidad de tiempo, que contiene los cambios realizados al CRL base desde su última actualización. Emisión: Comprende la generación, validación y firma de los Certificados; el proceso de generación es una función de la Autoridad de Registro, la validación y firma, función de la CA. Emisor del certificado: Organización cuyo nombre aparece en el campo emisor de un certificado. 10

17 Encriptación: Proceso para convertir la información a un formato más seguro. Se convierte mediante un proceso matemático a un formato codificado, es decir ininteligible. Estándares Técnicos Internacionales: Requisitos de orden técnico y de uso internacional que deben observarse en la emisión de firmas electrónicas y en las prácticas de certificación. Firma Digital: Es una firma electrónica certificada por un prestador habilitado, que ha sido creada usando medios que el titular mantiene bajo su exclusivo control, de manera que se vincula únicamente al mismo y a los datos a lo que se refiere, permitiendo la detección posterior de cualquier modificación, verificando la identidad del titular e impidiendo que desconozca la integridad del documento y su autoría. Grupo Electrógeno: Máquina encargada de generar electricidad a partir de un motor de gasolina o diesel. La instalación de este equipo deberá ser de tal forma que al interrumpirse el suministro de energía eléctrica del proveedor, el mismo debe arrancar automáticamente tomando la carga de las instalaciones del data center de la AC, incluyendo los circuitos de iluminación, de los equipos informáticos, equipos de refrigeración, circuitos de monitoreo, prevención de incendios; en fin de todos los circuitos eléctricos críticos para el funcionamiento de las instalaciones tecnológicas Habilitación: Autorización que otorga el MIC al PSC para emitir certificados digitales a usuarios finales, una vez cumplidos los requisitos y condiciones establecidos en la norma. Huella digital (Código de verificación o resumen): Secuencia de bits de longitud fija obtenida como resultado de procesar un mensaje de datos con un algoritmo, de tal manera que: (1) el mensaje de datos produzca siempre el mismo código de verificación cada vez que se le aplique dicho algoritmo (2) sea improbable, a través de medios técnicos, que el mensaje de datos pueda ser derivado o reconstruido a partir del código de verificación producido por el algoritmo (3) sea improbable, por medios técnicos, se pueda encontrar dos mensajes de datos que produzcan el mismo código de verificación al usar el mismo algoritmo. Identificación: Procedimiento de reconocimiento de la identidad de un solicitante o titular de certificado dentro de la jerarquía PKI Paraguay. 11

18 Identificador de Objeto (OID): Los identificadores de objeto son un sistema de identificación para entidades físicas o virtuales basado en una estructura arbórea de componentes de identificación. El árbol de OID se define plenamente en las Recomendaciones UIT-T y las normas internacionales ISO Infraestructura de Clave Pública (PKI): Es un conjunto de personas, políticas, procedimientos y sistemas informáticos necesarios para proporcionar servicios de autenticación, integridad y no repudio, mediante el uso de criptografía de claves públicas y privadas y de certificados digitales, así como la publicación de información, consultas de vigencia y validez de los mismos Integridad: Característica que indica que un mensaje de datos o un documentos electrónico no ha sido alterado desde la transmisión por el iniciador hasta su recepción por el destinatario. Jerarquía PKI: Jerarquía de confianza que se conforma por un conjunto de autoridades de certificación que mantienen relaciones de confianza por las cuales una CA de nivel superior (CA Raíz) garantiza la confiabilidad de una o varias de nivel inferior (PSC) y a su vez, de los certificados emitidos por éstos a los suscriptores. Lista de certificados revocados (CRL): Lista emitida por una CA, publicada periódicamente y que contiene los certificados que han sido revocados antes de sus respectivas fechas de vencimiento. Módulo criptográfico: Software o Hardware criptográfico que genera y almacena claves criptográficas. Módulo de Seguridad de Hardware (HSM, Hardware Security Module): Dispositivo criptográfico basado en hardware que genera, almacena y protege claves criptográficas. No Repudio: Refiere que la posesión de un documento electrónico y la firma digital asociada al mismo, será prueba efectiva del contenido y del autor del documento. 12

19 Par de claves: Son las claves privada y pública de un criptosistema asimétrico. La clave privada y la clave pública están relacionadas matemáticamente y poseen ciertas propiedades, entre ellas que es imposible deducir la clave privada de la clave pública conocida. PKCS#1: Estándar de Criptografía de Clave Pública #1, desarrollado por RSA Security Inc., que proporciona las definiciones básicas y recomendaciones para la implementación de algoritmo RSA para criptografía de clave pública. PKCS#10 (Certification Request Syntax Standard): Estándar desarrollado por RSA que define la sintaxis de una petición de certificado. Parte que confía: Es toda persona física o jurídica que confía en un certificado y/o en las firmas digitales generadas a partir de un certificado, emitidos bajo la PKI Paraguay. Perfil del certificado: Especificación del formato requerido para un tipo particular de certificado (incluyendo requisitos para el uso de los campos estándar y extensiones) Periodo de operación: Periodo de vigencia de un certificado, que comienza en la fecha y la hora en que es emitido por una CA, y termina en la fecha y la hora en que expira o se revoca el mismo. Periodo de uso: Refiere al tiempo establecido para los certificados emitidos dentro la jerarquía de la PKI para determinados usos. Política: Orientaciones o directrices que rigen la actuación de una persona o entidad en un asunto o campo determinado. Política de Certificación: (CP) Documento en el cual la CA, define el conjunto de reglas que indican la aplicabilidad de un certificado a una comunidad particular y/o una clase de aplicaciones con requisitos comunes de seguridad. Práctica: Modo o método que particularmente observa alguien en sus operaciones. Prestador de Servicios de Certificación (PSC): Entidad habilitada ante la AA, encargada de 13

20 operar una CA en el marco de la PKI Paraguay. El PSC debe contar con un certificado digital emitido por la CA Raíz y solo podrá emitir certificados a usuarios finales. Registro de Auditoría: Registro cronológico de las actividades del sistema, el cual es suficiente para permitir la reconstrucción, revisión e inspección de la secuencia de los ambientes y de las actividades que rodean o que conducen a cada acontecimiento en la ruta de una transacción desde su inicio hasta la salida de los resultados finales. Repositorio: Sitio principal de internet confiable y accesible, mantenido por la CA con el fin de difundir su información pública. Rol de confianza: Función crítica que desempeña personal de la CA, que si se realiza insatisfactoriamente puede tener un impacto adverso sobre el grado de confianza proporcionado por la CA. Ruta del certificado: Secuencia ordenada de certificados de entidades que, junto a la clave pública de la entidad inicial en la ruta, puede ser procesada para obtener la clave pública de la entidad final en la ruta Servicio OCSP: Permite utilizar un protocolo estándar para realizar consultas en línea al servidor de la CA sobre el estado de un certificado. Solicitante de Certificado: Persona física o jurídica que solicita la emisión de un certificado a una CA. Solicitud de Firma de Certificado (CSR): Es una petición de certificado digital que se envía a la CA. Mediante la información contendida en el CSR, la CA, puede emitir el certificado digital una vez realizadas las comprobaciones que correspondan. Suscriptor: Persona física o jurídica titular de un certificado digital emitido por una CA. Usuario final: Persona física o jurídica que adquiere un certificado digital de un PSC. Validez de la firma: Aplicabilidad (apto para el uso previsto) y estado (activo, revocado o 14

21 expirado) de un certificado. Verificación de la firma: Determinación y validación de: a) que la firma digital fue creada durante el periodo operacional de un certificado válido por la clave privada correspondiente a la clave pública que se encuentra en el certificado; b) que el mensaje no ha sido alterado desde que su firma digital fue creada. X. 500: Estándar desarrollado por la ITU que define las recomendaciones del directorio. Da lugar a la serie de recomendaciones siguientes: X.501, X.509, X.511. X.518, X.519, X.520, X.521, X.525. X. 509: Estándar desarrollado por la ITU, que define el formato electrónico básico para certificados electrónicos Acrónimos Acrónimo C CA CA Raíz CI CIE CN CP CPS Descripción País (del inglés, Country) Autoridad Certificadora (CA por sus siglas en inglés Certificate Authority) Autoridad Certificadora Raíz del Paraguay Cédula de identidad Cédula de identidad extranjera Nombre común (del inglés, Common Name) Políticas de Certificación (CP por sus siglas en inglés Certificate Policy) Declaración de Prácticas de Certificación (CPS por sus siglas en inglés Certification Practice Statement) 15

22 Acrónimo CRL CSR CSP: CWA DGFD&CE DNS ETSI FIPS HSM ISO ITU-T Descripción Lista de certificados revocados (CRL por sus siglas en inglés certificate revocation list) Solicitud de firma de Certificado (CSR por sus siglas en inglés Certificate Signing Request) Prestadores de Servicios de Certificación (CSP por sus siglas en inglés Certification Service Provider) Documento de referencia del Comité Europeo de Normalización (CEN) desarrollado y aprobado en un taller de trabajo, algunos de los CWA son específicos para firma electrónica (CEN Workshopp Agreement) Dirección General de Firma Digital y Comercio Electrónico dependiente del Vice Ministerio de Comercio. Servicio de nombre de dominio (DNS por sus siglas en inglés Domaine Name server) Instituto Europeo de Normas de Telecomunicaciones (ETSI por sus siglas en inglés European Telecomunications Standards Institute) Estándares Federales de Procesamiento de la Información (FIPS por sus siglas en inglés Federal Information Processing Standards). Módulo de seguridad criptográfico basado en Hardware (HSM por sus siglas en inglés Hardware security module) Organización Internacional para la Estandarización (ISO por sus siglas en inglés International Organization for Standardization). Unión Internacional de Telecomunicaciones Sector de Normalización de las telecomunicaciones (ITU-T por sus siglas en inglés International Telecomunication Union Telecomunication Standardization Sector) 16

23 Acrónimo MIC O OCSP Descripción Ministerio de Industria y Comercio Organización (del inglés Organization) Servicio de validación de certificados en línea (OCSP por sus siglas en inglés Online Certificate Status Protocol). OID Identificador de Objeto (OID Identifier). por sus siglas en inglés Object OU PIN PKCS PKI PSC PY Unidad Organizacional (OU, por sus siglas en inglés Organization Unit) Número de Identificación Personal, (por sus siglas en inglés Personal Identification Number) contraseña que protege el acceso a una tarjeta criptográfica Norma de criptografía de clave pública (PKCS por sus siglas en inglés Public Key Cryptography Standard) Infraestructura de Clave Pública (PKI por sus siglas en inglés Public Key Infrastructure). Prestador de Servicios de Certificación Paraguay RA Autoridad de Registro (RA por Authority). sus siglas en inglés Registration RFC RSA RUC SN Petición de Comentarios (RFC por sus siglas en inglés Request for Comments) Sistema criptográfico de clave pública desarrollado por Rivers, Shamir y Adleman Registro único del Contribuyente Número de Serie (del inglés, Serial Number) 17

24 Acrónimo SSL UPS URL Descripción Capa de Conexión Segura (SSL por sus siglas en inglés Secure Sockets Layer) Sistemas de alimentación ininterrumpida (UPS por sus siglas en inglés uninterruptible power supply) Localizador uniforme de recursos (URL por sus siglas en inglés Uniform Resource Locator). 2 RESPONSABILIDADES DE PUBLICACION Y DEL REPOSITORIO 2.1. Repositorios La CA Raíz dispone del siguiente sitio de internet como repositorio público de información: y cuyo acceso será gratuito e irrestricto. De la misma manera, el PSC debe contar con un sitio de internet como repositorio público de información, el cual deberá ser verificado al momento de la Habilitación. 2.2 Publicación de Información de Certificación Además de lo establecido en la CP sobre el contenido de la publicación de la información, la CA debe garantizar que todos los certificados de la cadena de confianza estén publicados y disponibles en el sitio principal de internet. El servicio de publicación de información de una CA debe estar disponible durante las veinticuatro horas los siete días de la semana. En caso de interrupción por causa de fuerza mayor, el servicio se restablecerá en un plazo no mayor a veinticuatro horas. La CA dedicará sus mejores esfuerzos para que el servicios se restablezca y esté disponible rápidamente. 18

25 2.3 Tiempo o frecuencia de Publicación 2.4 Controles de Acceso a los Repositorios La CA debe implementar medidas de seguridad lógicas y físicas para evitar que personas no autorizadas puedan añadir, borrar o modificar el contenido del repositorio. 3 IDENTIFICACION Y AUTENTICACION 3.1 Nombres Tipos de Nombres Necesidad de Nombres significativos Anonimato o seudónimos de los suscriptores Reglas para interpretación de varias formas de Nombres Certificado de PSC, Certificado de Persona Jurídica para firma digital y para autenticación Conforme a lo estipulado en la CP. Certificado de Persona física para firma digital y para autenticación Conforme a lo estipulado en la CP. 19

26 3.1.5 Unicidad de los nombres Reconocimiento, autenticación y rol de las marcas registradas Conforme a lo estipulado en la CP. 3.2 Validación inicial de identidad En las siguientes subsecciones se describen los procedimientos y criterios para validar la identidad y/o otros atributos de un solicitante de certificado. Se debe asegurar la verificación presencial de la identidad del solicitante de un certificado Método para probar posesión de la clave privada Autenticación de identidad de Persona Jurídica El proceso de comprobación de la identidad de la persona jurídica cuyos datos se incluyen en un certificado tiene como objeto garantizar que el titular del certificado sea la misma persona jurídica identificada en la solicitud de un certificado, y que la información que se incluye en el certificado sea verdadera y exacta. La CA como mínimo deberá requerir la presentación de los siguientes documentos respaldatorios: Documento que acredite la creación de la persona jurídica. RUC Nombre y documento de identidad del representante legal Domicilio de la persona jurídica 20

27 3.2.3 Autenticación de identidad de Persona Física El proceso de comprobación de la identidad de la persona física cuyos datos se incluyen en un certificado tiene como objeto garantizar que el titular del certificado sea la misma persona identificada en la solicitud de un certificado, y que la información que se incluye en el certificado sea verdadera y exacta. Se debe verificar la identidad del solicitante mediante la exhibición del documento original de identidad expedido por el Departamento de Identificaciones de la Policía Nacional, el cual deberá estar vigente al momento de la presentación Información del Suscriptor no verificada No aplica Validación de la Autoridad (Capacidad de hecho) Criterios para interoperabilidad 3.3 Identificación y autenticación para solicitudes de re emisión de claves Identificación y autenticación para re emisión de claves rutinaria No se permite la re emisión de claves Identificación y autenticación para la re emisión de claves después de una revocación No se permite la re emisión de claves 21

28 3.4 Identificación y autenticación para solicitudes de revocación 4 REQUERIMIENTOS OPERACIONALES DEL CICLO DE VIDA DEL CERTIFICADO 4.1 Solicitud del Certificado Quién puede presentar una solicitud de certificado Conforme lo estipulado en la CP Proceso de Inscripción y responsabilidades Conforme lo estipulado en la CP 4.2. Procesamiento de la Solicitud del Certificado Ejecución de las funciones de Identificación y Autenticación La CA en su función de Registro debe especificar como mínimo los siguientes procedimientos para la validación de identidad de una persona física o jurídica: El solicitante del certificado debe asistir personalmente para la verificación de su identidad Indicar el lugar donde se realizará la verificación Designar a la persona responsable de la verificación Requerir la documentación necesaria para identificar a una persona según sea una persona física, jurídica o PSC Comprobar la veracidad de las documentaciones presentadas a través de consultas a bases de datos oficiales de información nacional y registros públicos. 22

29 4.2.2 Aprobación o rechazo de solicitudes de certificado La solicitud del certificado no trae implícita su obtención, razón por la cual si el solicitante no cumple con los requerimientos establecidos en la normativa, será rechazado; la CA no contrae responsabilidad alguna por las consecuencias derivadas del rechazo. En el caso que una solicitud sea aprobada por la CA, ésta debe realizar lo siguiente: Proceder a la emisión del certificado Requerir al suscriptor la firma de un contrato de conformidad personal (acuerdo de suscriptores). El contrato antes aludido deberá contener responsabilidades y las obligaciones que deben cumplir los suscriptores de conformidad con la legislación que rige la materia, para garantizar el efecto legal de las transacciones realizadas empleando el certificado emitido por dicha CA, así como las consecuencias de no cumplir con el acuerdo. El contrato del suscriptor puede ser firmado de forma digital o manuscrita y debe ser archivado por la CA. La CA debe registrar y archivar toda información proporcionada por los solicitantes, lo cual incluye el acuerdo de suscriptor Tiempo para procesar solicitudes de Certificado Para el PSC El tiempo de procesamiento del CSR, será como máximo de cinco días hábiles contados a partir de la Resolución Ministerial de Habilitación. Para persona física y jurídica Se establece el plazo máximo de cinco días hábiles para la tramitación de la solicitud del certificado, contados a partir de haberse verificado la identidad del solicitante y admitida la solicitud. En caso que la CA supere el plazo máximo establecido para la tramitación de la solicitud, deberá informar al solicitante de las causas que motivaron la demora y el nuevo 23

30 plazo en el que se tramitará la solicitud. En caso que el interesado opte por desistir de su solicitud por el motivo expuesto, la CA tendrá previsto un procedimiento de reembolso de lo abonado. 4.3 Emisión del Certificado Acciones de la CA durante la emisión de los certificados Conforme a lo estipulado en la CP Notificación al suscriptor sobre la emisión del Certificado Digital 4.4. Aceptación del Certificado Conducta constitutiva de aceptación de certificado Conforme lo estipulado en la CP Publicación del Certificado por la CA La CA Raíz debe publicar en su sitio principal de Internet su certificado. El PSC, debe publicar su certificado y el certificado de la CA Raíz para validar la cadena de confianza de la PKI Paraguay Notificación de la emisión del certificado por la CA a otras entidades No se definen entidades externas que necesiten o requieran ser notificados a cerca de los certificados emitidos por la CA. 24

31 4.5 Uso del par de claves y del certificado Uso de la Clave privada y del certificado por el Suscriptor Las responsabilidades y limitaciones del uso del par de claves y del certificado se establecen en la correspondiente CP. De forma general cabe mencionar que el suscriptor solo puede utilizar la clave privada y el certificado para los usos autorizados en la CP y de acuerdo con lo establecido en los Campos Uso de la Clave (Key usage) y Uso extendido de la Clave (Extended key usage) del Certificado Uso de la clave pública y del certificado por la parte que confía Los terceros que confían solo pueden depositar su confianza para aquello que establezca la correspondiente CP y de acuerdo con lo establecido en los campos Uso de la Clave (Key usage) y Uso extendido de la Clave (Extended key usage) del Certificado. Los terceros aceptantes han de realizar las operaciones de la clave pública de manera satisfactoria para confiar en el certificado, así como asumir la responsabilidad de verificar el estado del certificado utilizando los medios que se establecen en esta CPS y en la CP. 4.6 Renovación del certificado Circunstancias para renovación de certificado No aplica Quién puede solicitar renovación No aplica. 25