Políticas de Certificado (PC) Funcionario Público

Transcripción

1 Políticas de Certificado (PC) Funcionario Público Sede Central: Carretera Nacional Hoyo de la Puerta-Baruta, Urb. Monte Elena II-Sartenejas. Baruta, Estado Miranda; Zona Postal 1080, Caracas, Venezuela. Teléfono: (0212) / 00 Fax: (0212) ; Sede Guayana: Sector Los Pinos, Centro Empresarial Autana, Local 11. Puerto Ordaz, Estado Bolívar. Telf: (0416) Dirección Postal: Apartado , Caracas 1040-A, Venezuela.

2 Fundación Instituto de Ingeniería Centro de Seguridad Informática y Certificación Electrónica Políticas de Certificado Funcionario Público Número de páginas: 122 Autor: Revisado por: Aprobado por: Firma: Firma: Firma: Resumen : Lista de Distribución: Histórico de revisiones: 09/ María Liendo REV 2 / 122

3 I INDICE 1. INTRODUCCIÓN PRESENTACIÓN IDENTIFICACIÓN DEL DOCUMENTO E IDENTIFICACIÓN ALCANCE APLICABILIDAD MARCO LEGAL Y NORMATIVO COMUNIDAD DE USUARIOS Y APLICABILIDAD AUTORIDAD DE APROBACIÓN DE POLÍTICAS JERARQUÍA DE ENTIDADES DE CERTIFICACIÓN AUTORIDAD DE CERTIFICACIÓN RAÍZ (AC RAÍZ) PROVEEDOR DE SERVICIOS DE CERTIFICACIÓN (PSC) AUTORIDAD DE CERTIFICACIÓN SUBORDINADA DE SEGUNDO NIVEL AC-FII AUTORIDAD DE REGISTRO (AR) AR-FII AUTORIDAD DE REGISTRO EXTERNA (AR) DEL PSC-FII AUTORIDAD DE CERTIFICACIÓN SUBORDINADA DE TERCER NIVEL DE FUNDAYACUCHO AUTORIDAD DE REGISTRO DE LA AUTORIDAD DE CERTIFICACIÓN SUBORDINADA DE TERCER NIVEL DE FUNDAYACUCHO CERTIFICADOS ELECTRÓNICOS TERCEROS DE BUENA FE USO DE LOS CERTIFICADOS USOS PERMITIDOS PARA LOS CERTIFICADOS USOS NO PERMITIDOS PARA LOS CERTIFICADOS POLÍTICA DE ADMINISTRACIÓN DE LA AC ESPECIFICACIONES DE LA UNIDAD ADMINISTRATIVA PERSONA CONTACTO COMPETENCA PARA DETERMINAR LA ADECUACIÓN DE LA PC A LAS POLÍTICAS ACRÓNIMOS PUBLICACIÓN DE INFORMACIÓN DEL PSC-FII Y REPOSITORIOS DE LOS CERTIFICADOS REPOSITORIOS PUBLICACIÓN DE LA INFORMACIÓN DE CERTIFICACIÓN FRECUENCIA DE LA PUBLICACIÓN 25 3 / 122

4 2.3.1 CERTIFICADOS DEL PSC LISTA DE CERTIFICADOS REVOCADOS (LCR) PC CONTROLES DE ACCESO AL REPOSITORIO DE CERTIFICADO IDENTIFICACIÓN Y AUTENTICACIÓN REGISTRO DE NOMBRES TIPOS DE NOMBRES NECESIDAD DE QUE LOS NOMBRES SEAN SIGNIFICATIVOS INTERPRETACIÓN DE FORMATOS DE NOMBRES UNICIDAD DE LOS NOMBRES RESOLUCIÓN DE CONFLICTOS RELATIVOS A NOMBRES VALIDACIÓN INICIAL DE LA IDENTIDAD MÉTODO DE PRUEBA DE POSESIÓN DE LA CLAVE PRIVADA AUTENTICACIÓN DE LA IDENTIDAD DE LA ORGANIZACIÓN COMPROBACIÓN DE LAS FACULTADES DE REPRESENTACIÓN CRITERIOS PARA OPERAR CON AC EXTERNAS IDENTIFICACIÓN Y AUTENTICACIÓN DE LAS SOLICITUDES DE RENOVACIÓN DE LA CLAVE RUTINARIAS DE LA CLAVE DESPUÉS DE UNA RENOVACIÓN CLAVE NO COMPROMETIDA IDENTIFICACIÓN Y AUTENTICACIÓN DE LAS SOLICITUDES DE REVOCACIÓN DE LA CLAVE CICLO DE VIDA DE LOS CERTIFICADOS DEL PSC-FII SOLICITUD DE CERTIFICADO PROCESO DE GENERACIÓN DE LA SOLICITUD DE CERTIFICADOS Y RESPONSABILIDADES QUIÉN PUEDE REALIZAR UNA SOLICITUD DE CERTIFICADO? PROCESO DE FIRMA DEL CERTIFICADO PROCESO DE GENERACIÓN DE LA SOLICITUD DE RENOVACIÓN DE LAS CLAVES DEL CERTIFICADO PROCEDIMIENTO PARA REALIZAR UNA SOLICITUD DE REVOCACIÓN DE UN CERTIFICADO PROCEDIMIENTO PARA REALIZAR UNA SOLICITUD DE SUSPENSIÓN DE UN CERTIFICADO TRAMITACIÓN DE SOLICITUD DE UN CERTIFICADO REALIZACIÓN DE LAS FUNCIONES DE IDENTIFICACIÓN Y AUTENTICACIÓN 37 4 / 122

5 4.2.2 APROBACIÓN O DENEGACIÓN DE UN CERTIFICADO PLAZOS PARA LA TRAMITACIÓN DE UN CERTIFICADO EMISIÓN DE CERTIFICADO ACCIONES DE LA AC DURANTE LA EMISIÓN DE UN CERTIFICADO NOTIFICACIÓN AL SOLICITANTE POR LA AC ACERCA DE LA EMISIÓN DE SU CERTIFICADO ACEPTACIÓN DE CERTIFICADOS FORMA EN LA QUE SE ACEPTA EL CERTIFICADO PUBLICACIÓN DEL CERTIFICADO POR LA AC NOTIFICACIÓN DE LA EMISIÓN DEL CERTIFICADO POR LA AC A OTRAS AUTORIDADES USO DE LA CLAVE PRIVADA Y DEL CERTIFICADO USO DEL PAR DE LA CLAVE PRIVADA DEL CERTIFICADO USO DE LA CLAVE PÚBLICA Y DEL CERTIFICADO POR LOS TERCEROS DE BUENA FÉ RENOVACIÓN DE CERTIFICADO CON CAMBIO DE CLAVE CAUSAS PARA LA RENOVACIÓN DE UN CERTIFICADO ENTIDAD QUE PUEDE SOLICITAR LA RENOVACIÓN DEL CERTIFICADO PROCEDIMIENTO DE SOLICITUD PARA LA RENOVACIÓN DE UN CERTIFICADO NOTIFICACIÓN DE LA EMISIÓN DE UN NUEVO CERTIFICADO A LA AR PUBLICACIÓN DEL CERTIFICADO RENOVADO POR LA AC NOTIFICACIÓN DE LA EMISIÓN DEL CERTIFICADO POR LA AC A OTRAS ENTIDADES MODIFICACIÓN DE CERTIFICADOS REVOCACIÓN Y SUSPENSIÓN DE UN CERTIFICADO CIRCUNSTANCIAS PARA LA REVOCACIÓN DE UN CERTIFICADO ENTIDAD QUE PUEDE SOLICITAR LA REVOCACIÓN PROCEDIMIENTO DE SOLICITUD DE LA REVOCACIÓN PERÍODO DE GRACIA DE LA SOLICITUD DE REVOCACIÓN CIRCUNTANCIAS PARA LA SUSPENSIÓN PROCEDIMIENTO PARA LA SOLICITUD DE SUSPENSIÓN LÍMITES DEL PERÍODO DE SUSPENSIÓN FRECUENCIA DE EMISIÓN DE LCR DISPONIBILIDAD DE COMPROBACIÓN ON-LINE DE REVOCACIÓN Y ESTADO DE LOS CERTIFICADOS REQUISITOS DE COMPROBACIÓN ON-LINE DE REVOCACIÓN OTRAS FORMAS DE DIVULGACIÓN DE INFORMACIÓN DE REVOCACIÓN DISPONIBLES SERVICIOS DE COMPROBACIÓN DE ESTADO DE CERTIFICADOS CARACTERÍSTICAS OPERATIVAS DISPONIBILIDAD DE SERVICIO FINALIZACIÓN DE LA SUSCRIPCIÓN CUSTODIA Y RECUPERACIÓN DE LA CLAVE 43 5 / 122

6 PRÁCTICAS Y POLÍTICAS DE RECUPERACION DE LA CLAVE CONTROLES FISICOS DE LA INSTALACIÓN, GESTIÓN Y OPERACIONES CONTROLES DE SEGURIDAD FÍSICA UBICACIÓN Y CONSTRUCCIÓN DEL PSC ACCESO FÍSICO ALIMENTACIÓN ELÉCTRICA Y AIRE ACONDICIONADO EXPOSICIÓN DE AGUA PROTECCIÓN YPREVENCIÓN DE INCENDIOS SISTEMA DE ALMACENAMIENTO ELIMINACIÓN DE RESIDUOS ALMACENAMIENTOS DE COPIAS DE SEGURIDAD CONTROLES FUNCIONALES PAPELES DE CONFIANZA NÚMERO DE PERSONAS REQUERIDAS POR ROL IDENTIFICACIÓN Y AUTENTICACIÓN PARA CADA ROL CONTROLES DE SEGURIDAD PERSONAL REQUERIMIENTOS DE ANTECEDENTES, CALIFICACIÓN, EXPERIENCIA Y ACREDITACIÓN REQUERIMIENTOS DE FORMACIÓN REQUERIMIENTOS Y FRECUENCIA DE ACTUALIZACIÓN DE LA FORMACIÓN FRECUENCIA Y SECUENCIA DE ROTACIÓN DE TAREAS SANCIONES POR ACCIONES NO AUTORIZADAS DOCUMENTACIÓN PROPORCIONADA AL PERSONAL PROCEDIMIENTOS DE CONTROL DE SEGURIDAD TIPOS DE EVENTOS REGISTRADOS FRECUENCIA DE PROCESADOS DE REGISTROS DE LOGS PERIODO DE RETENCIÓN PARA LOS LOGS DE AUDITORIA PROTECCIÓN DE LOS LOGS DE AUDITORIA PROCEDIMIENTOS DE BACKUP DE LOS REGISTROS DE AUDITORIA ARCHIVO DE INFORMACIONES Y REGISTROS TIPO DE INFORMACIONES Y EVENTOS REGISTRADOS PERÍODO DE RETENCIÓN PARA EL ARCHIVO PROTECCIÓN DEL ARCHIVO REQUERIMIENTO PARA EL ESTAMPADO DE TIEMPO PARA EL REGISTRO SISTEMA DE REPOSITORIO DE ARCHIVOS DE AUDITORIA (INTERNO VS. EXTERNO) CAMBIO DE CLAVE RECUPERACIÓN EN CASO DE DESASTRE PROCEDIMIENTOS DE GESTIÓN DE INCIDENTES Y VULNERABILIDADES ALTERACIÓN DE LOS RECURSOS DE HARDWARE, SOFTWARE Y/O DATOS 57 6 / 122

7 5.7.3 PROCEDIMIENTO DE ACTUACIÓN ANTE LA VULNERABILIDAD DE LA CLAVE PRIVADA DE UNA AUTORIDAD SEGURIDAD DE LAS INSTALACIONES TRAS UN DESASTRE NATURAL O DE OTRO TIPO CESE DE LA ACTIVIDAD CONTROLES DE SEGURIDAD TÉCNICA GENERACIÓN E INSTALACIÓN DEL PAR DE CLAVES GENERACIÓN DEL PAR DE CLAVES ENTREGA DE LA CLAVE PRIVADA ENTREGA DE LA CLAVE PÚBLICA ENTREGA DE LA CLAVE PÚBLICA DE LA AC A LOS SIGNATARIOS DISPONIBILIDAD DE LA CLAVE PÚBLICA TAMAÑO DE LA CLAVE PARÁMETROS DE GENERACIÓN DE LA CLAVE PÚBLICA Y VERIFICACIÓN DE LA CALIDAD HARDWARE / SOFTWARE DE GENERACIÓN DE CLAVES PROPÓSITOS DE UTILIZACIÓN DE CLAVES PROTECCIÓN DE LA CLAVE PRIVADA ESTÁNDARES PARA LOS MÓDULOS CRIPTOGRÁFICOS CONTROL N DE M DE LA CLAVE PRIVADA CUSTODIA DE LA CLAVE PRIVADA COPIA DE SEGURIDAD DE LA CLAVE PRIVADA ARCHIVO DE LA CLAVE PRIVADA INSERCIÓN DE LA CLAVE PRIVADA EN EL MÓDULO CRIPTOGRÁFICO MÉTODO DE ACTIVACIÓN DE LA CLAVE PRIVADA MÉTODO DE DESACTIVACIÓN DE LA CLAVE PRIVADA MÉTODO DE DESTRUCCIÓN DE LA CLAVE PRIVADA RANKING DEL MÓDULO CRIPTOGRÁFICO OTROS ASPECTOS DE LA GESTIÓN DEL PAR DE CLAVES ARCHIVO DE LA CLAVE PÚBLICA PERIODO OPERATIVOS DE LOS CERTIFICADOS Y PERIODO DE USO DEL PAR DE CLAVES DATOS DE ACTIVACIÓN GENERACIÓN E INSTALACIÓN DE LOS DATOS DE ACTIVACIÓN PROTECCIÓN DE LOS DATOS DE ACTIVACIÓN CONTROLES DE SEGURIDAD DEL COMPUTADOR REQUISITOS TÉCNICOS ESPECÍFICOS CALIFICACIONES DE SEGURIDAD COMPUTACIONAL CONTROLES DE SEGURIDAD DEL CICLO DE VIDA 66 7 / 122

8 6.6.1 CONTROLES DE DESARROLLO DE SISTEMAS CONTROLES DE ADMINISTRACIÓN DE SEGURIDAD CALIFICACIONES DE SEGURIDAD DEL CICLO DE VIDA CONTROLES DE SEGURIDAD DE LA RED CONTROLES DE INGENIERÍA DE LOS MÓDULOS CRIPTOGRÁFICOS PERFIL DEL CERTIFICADO DE 69 FUNCIONARIO PÚBLICO, LCR Y OCSP PERFIL DEL CERTIFICADO NUMERO DE VERSIÓN EXTENSIONES DEL CERTIFICADO IDENTIFICADORES DE OBJETO (OID) DE LOS ALGORITMOS FORMATOS DE NOMBRE LIMITACIONES DE NOMBRES IDENTIFICADOR DE OBJETOS DE LA PC TRATAMIENTO DE SEMÁNTICA PARA LA POLÍTICA DE CERTIFICADOS CRÍTICA PERFIL DE LA LCR NUMERO DE VERSIÓN EXTENSIONES DE LCR Y ENTRADAS DE LCR PERFIL OCSP NÚMERO DE VERSIÓN EXTENSIONES OCSP AUDITORIA DE CONFORMIDAD FRECUENCIA O CIRCUNSTANCIAS DE LOS CONTROLES IDENTIFICACIÓN / EXPERIENCIA DEL AUDITOR RELACIÓN ENTRE EL AUDITOR Y LA ENTIDAD AUDITADA ASPECTOS CUBIERTOS POR LOS CONTROLES ACCIONES A TOMAR COMO RESULTADO DE UNA DEFICIENCIA COMUNICACIÓN DE RESULTADOS REQUISITOS COMERCIALES Y LEGALES TARIFAS 85 8 / 122

9 9.1.1 TARIFAS DE EMISIÓN O RENOVACIÓN DE CERTIFICADOS TARIFAS DE ACCESO A LOS CERTIFICADOS TARIFAS DE REVOCACIÓN O ACCESO A LA INFORMACIÓN DE ESTADO RESPONSABILIDADES FINANCIERAS POLITICAS DE CONFINDENCIALIDAD CONSIDERACIONES DE CONFIDENCIALIDAD INFORMACIÓN CONFIDENCIAL INFORMACIÓN ESTRICTAMENTE CONFIDENCIAL INFORMACIÓN NO CONFIDENCIAL PUBLICACIÓN DE INFORMACIÓN SOBRE LA REVOCACIÓN O SUSPENCIÓN DE UN CERTIFICADO DIVULGACIÓN DE INFORMACIÓN COMO PARTE DE UN PROCESO JUDICIAL O ADMINISTRATIVO PROTECCIÓN DE LA INFORMACIÓN PRIVADA/SECRETA INFORMACIÓN CONSIDERADA PRIVADA INFORMACIÓN CONSIDERADA NO PRIVADA RESPONSABILIDADES DE PROTEGER LA INFORMACIÓN PRIVADA/SECRETA PRESTACIÓN DEL CONOCIMIENTO EN EL USO DE LA INFORMACION PRIVADA/SECRETA COMUNICACIÓN DE LA INFORMACIÓN A AUTORIDADES ADMINISTRATIVAS Y/O JUDICIALES DERECHOS DE PROPIEDAD INTELECTUAL REPRESENTACIONES Y GARANTÍAS OBLIGACIONES Y RESPONABILIDAD CIVIL OBLIGACIONES DE LA AUTORIDAD DE REGISTRO (AR-FII) OBLIGACIONES DE LAS AR EXTERNAS DEL PSC-FII OBLIGACIONES DE LA AUTORIDAD DE CERTIFICACIÓN (AC-FII) SON OBLIGACIONES DE LA AUTORIDAD DE CERTIFICACIÓN SUBORDINADA DE TERCER NIVEL (AC3) OBLIGACIONES DE LOS SIGNATARIOS OBLIGACIONES DE TERCEROS DE BUENA FE SON OBLIGACIONES DEL PERSONAL DEL PSC-FII OBLIGACIONES DEL REPOSITORIO RENUNCIAS DE GARANTÍAS LIMITACIÓN DE RESPONSABILIDADES DESLINDE DE RESPONSABILIDADES LIMITACIONES DE PÉRDIDAS INDEMNIZACIONES PLAZO Y FINALIZACIÓN PLAZO FINALIZACIÓN NOTIFICACIONES 99 9 / 122

10 9.13 MODIFICIACIONES PROCEDIMIENTOS DE ESPECIFICACIÓN DE CAMBIOS PROCEDIMIENTOS DE PUBLICACIÓN Y NOTIFICACIÓN PROCEDIMIENTOS DE APROBACIÓN DE LA PC RESOLUCIÓN DE CONFLICTOS LEGISLACIÓN APLICABLE CONFORMIDAD CON LA LEY APLICABLE INTERPRETACIÓN DE UN PROCESO DE DISPUTA 101 ANEXOS 102 ANEXO A. CONCEPTOS DEFINIDOS POR SUSCERTE EN SUS NORMAS 017, 018, 019, 020, 021, 023, 024, 025 Y ANEXO B. IDENTIFICACIÓN DE ACRÓNIMOS QUE CONSIDERA LO EXPUESTO EN LAS NORMAS 017, 018, 019, 020, 021,023, 024 Y 025 EMITIDAS POR SUSCERTE. 110 ANEXO C. REQUERIMIENTOS GENERALES DE HARDWARE Y SOFTWARE PARA EL OTORGAMIENTO DE CERTIFICADOS ELECTRÓNICOS 111 ANEXO D. FORMATO DE PLANTILLA DE SOLICITUD DE SERVICIOS 117 ANEXO E. TEST DE VULNERABILIDADES 119 ANEXO F. PLAN DE GUARDIAS DEL PERSONAL DEL PSC-FII 121 ANEXO G. CONTROL DE CAMBIOS / 122

11 11 / 122

12 1. INTRODUCCIÓN 12 / 122

13 1.1 PRESENTACIÓN En el presente documento se definirán las políticas necesarias para asegurar el éxito en las operaciones de los certificados electrónicos que emitirá el Proveedor de Servicios de Certificación de la Fundación Instituto de Ingeniería, que serán utilizados por el funcionario público de la República Bolivariana de Venezuela. El funcionario público puede ser de carrera o de libre nombramiento y remoción designado mediante un gaceta oficial u otro instrumento el cual tendrá entre sus responsabilidades hacer uso correcto de su firma electrónica. El documento especifica los procesos que tiene que realizar el funcionario público para la petición, emisión y revocación de los certificados, además de establecer cuales serán los correctos usos que se le pueden dar a los mismos, y hasta que punto llegan las responsabilidades y obligaciones de la Fundación Instituto de Ingeniería. Esta PC se ha inspirado en la norma RFC 3647 Internet X.509 Public Key Infraestructure Certificate Policy and Certification Practices Framewortk del Internet Engineering Task Force (IETF) (que sustituye a la RFC2527) como guía de asistencia en la redacción de este tipo de documentos. La PC de PSC-FII contempla todas las secciones esenciales de la especificación, no obstante el autor ha estimado necesario incluir otras secciones que, a su juicio, considera necesarias para una correcta adaptación a las exigencias del marco de la legislación vigente, en especial, del Decreto Ley sobre Mensajes de Datos y Firmas Electrónicas (LSMDFE). 13 / 122

14 1.2 IDENTIFICACIÓN DEL DOCUMENTO E IDENTIFICACIÓN Nombre Políticas de Certificado de Funcionario Público Versión Estado Vigente Referencia de la PC / OID (Objeto de Identificación) Fecha de Emisión Agosto 2012 Fecha de Expiración En 10 años Localización Electrónica Clasificación de la Información De Uso Público 1.3 ALCANCE En el presente documento se define las políticas necesarias para asegurar el éxito en las operaciones de los certificados electrónicos, que emitirá el Proveedor de Servicios de Certificación de la Fundación Instituto de Ingeniería y serán utilizados por los funcionarios públicos. El documento especificará los procesos que tendrán que realizarse para la petición, emisión y revocación de los certificados, además de establecer cuales serán los correctos usos que se le pueden dar a los mismos, y hasta que punto llegan las responsabilidades y obligaciones del Proveedor de Servicios de Certificación de la Fundación Instituto de Ingeniería. 1.4 APLICABILIDAD Usos para los cuales podrán ser destinados los certificados de funcionario público tal como gestión de documentos en representación del Gobierno centralizado o descentralizado, entre otros que aplique según la naturaleza de sus operaciones. 14 / 122

15 1.5 MARCO LEGAL Y NORMATIVO Ley Orgánica de la Administración Pública. Ley Orgánica de Procedimientos Administrativos (LOPA). Ley sobre el Estatuto de la Función Pública Ley de Delitos Informáticos. Decreto Ley sobre Mensajes de Datos y Firmas Electrónicas (LSMDFE). Decreto 3390 sobre Uso de Software Libre. Reglamento Parcial de la Ley sobre Mensajes de Datos y Firmas Electrónicas (RLSMDFE). Declaración de Prácticas de Certificación de la Superintendencia de Servicios de Certificación Electrónica (SUSCERTE). Política de Certificados de SUSCERTE. ISO ETSI TI V1.1.1 RFC COMUNIDAD DE USUARIOS Y APLICABILIDAD AUTORIDAD DE APROBACIÓN DE POLÍTICAS El Centro de Seguridad Informática y Certificación Electrónica, bajo la máxima autoridad de la Fundación Instituto de Ingeniería tiene atribuida la función de aprobación de la presente PC, así como de sus modificaciones JERARQUÍA DE ENTIDADES DE CERTIFICACIÓN La jerarquía de entidades de certificación para la Infraestructura Nacional de Certificación Electrónica está compuesta por tres niveles (ver esquema) que incluye una AC Raíz 15 / 122

16 (administrada por SUSCERTE), PSC s acreditados (AC subordinada de segundo nivel y AR s propias y externas) y AC subordinada de tercer nivel y sus AR s. Las AC siempre deberán disponer de infraestructura para la actividad de certificación, mientras que las AR funcionarán de manera remota a través de solicitudes Web. Figura 1 Modelo de Jerarquía AUTORIDAD DE CERTIFICACIÓN RAÍZ (AC RAÍZ) La AC Raíz es la Autoridad de Certificación Raíz de la Infraestructura de Claves Públicas (ICP) de Venezuela cuya función principal es emitir los certificados electrónicos a los Proveedores de Servicios de Certificación (PSC). Posee un certificado raíz que ninguna entidad de confianza superior firma electrónicamente como raíz, es decir, posee un certificado autofirmado que cumple con los estándares internacionales y aplicables que garantizan interoperabilidad. Este certificado autofirmado con su clave privada, es con el que firma los certificados de clave pública de los PSC y a su vez estos emplean sus claves privadas, para firmar los certificados de 16 / 122

17 las entidades finales, de modo que toda la jerarquía se encuentra cubierta por la confianza de la AC Raíz de la ICP de Venezuela PROVEEDOR DE SERVICIOS DE CERTIFICACIÓN (PSC) Desde el punto de vista operativo, comprende un esquema funcional compuesto por entidades tales como Autoridad de Certificación (AC-FII) de segundo nivel, AC s subordinada de tercer nivel (AC3) y Autoridades de Registro (AR propias y AR Externas). Dentro de la dinámica de operación maneja Listas de Certificados Revocados (LCR), Listas de Certificados Validos, Registro de solicitudes de Certificados, OSCP RESPONDER (Online) y CSR Petición por firma de certificado. El PSC-FII opera con una Infraestructura de Clave Pública (ICP) (Public Key Infrastructure X.509: RFC 2459 & 5280), pares de claves y uso de criptografía como elementos de seguridad. Entre los servicios que ofrece el PSC-FII se incluyen: Emisión de Certificados Electrónicos Generación de claves Distribución de certificados Salvaguarda de claves Revocación de certificados AUTORIDAD DE CERTIFICACIÓN SUBORDINADA DE SEGUNDO NIVEL AC- FII La Autoridad de Certificación del PSC-FII (AC-FII) o segunda autoridad en la jerarquía de la Infraestructura Nacional de Certificación Electrónica emitida por la AC RAÍZ, se encarga de emitir, renovar, revocar los certificados electrónicos y emitir las listas de certificados revocados a los signatarios, así como el certificado de su AC subordinada de tercer nivel (AC3). 17 / 122

18 1.6.6 AUTORIDAD DE REGISTRO (AR) AR-FII La Autoridad de Registro (AR) es la entidad responsable por la comunicación entre el usuario y la AC-FII. Está vinculada a la AC-FII y tiene por objetivo recibir, validar, verificar y gestionar las solicitudes de emisión o revocación de los certificados electrónicos, de acuerdo con las normas de esta PC. La función de las AR es controlar la generación de certificados para los signatarios de la AC-FII. Previa identificación, la Autoridad de Registro se encarga de realizar la petición del certificado y de guardar los datos pertinentes. La documentación de autenticación entregada por el solicitante de certificados electrónicos será resguardada, durante el período de vigencia del certificado o de cualquiera de sus renovaciones, de ser ese el caso. En el apartado se presentan las obligaciones de la Autoridad de Registro (AR) AUTORIDAD DE REGISTRO EXTERNA (AR) DEL PSC-FII Autoridad de registro instalada en un centro de datos externo del PSC-FII acreditado y operada por un tercero interesado en la Infraestructura Nacional de Certificación Electrónica asociada a la AC-FII, que se encarga de solicitar la emisión, renovación y revocación de certificados electrónicos a la AC-FII, dentro del ámbito o naturaleza de sus operaciones una vez comprobada la veracidad y exactitud de los datos suministrados por los signatarios, al igual, que se encarga de almacenar los datos necesarios que demuestren el cumplimiento por parte del signatario, de los requisitos necesarios para cada solicitud. La AR Externa podrá ser operada por un tercero interesado o por personal del PSC-FII AUTORIDAD DE CERTIFICACIÓN SUBORDINADA DE TERCER NIVEL DE FUNDAYACUCHO FUNDAYACUCHO es incorporada como la tercera autoridad en la jerarquía de la Infraestructura Nacional de Certificación Electrónica emitida por la Autoridad de Certificación de 18 / 122

19 segundo nivel (AC-FII) del PSC-FII, se encarga de emitir, renovar y revocar certificados electrónicos de los Becarios para el proceso de firma del convenio de becas entre el becario y FUNDAYACUCHO con el fin de agilizar el trámite, disminuir los tiempos, evitando traslado y gastos de logística tanto al becario como a la Fundación. Este proceso automatizado atribuye validez legal al trámite electrónico, que será firmado con el uso de certificados electrónicos emitidos por la AC 3-FUNDAYACUCHO dentro de la ICP del PSC-FII AUTORIDAD DE REGISTRO DE LA AUTORIDAD DE CERTIFICACIÓN SUBORDINADA DE TERCER NIVEL DE FUNDAYACUCHO Para el modelo de ICP implementado por FUNDAYACUCHO, la Autoridad de Registro de FUNDAYACUCHO (AR3-FUNDAYACUCHO) recibe los datos de identidad de los solicitantes de las becas, validados y comprobados por FUNDAYACUCHO, a fin de generar la solicitud de certificados destinados únicamente para la firma del convenio de Beca, de acuerdo con las normas de la PC de Becario de FUNDAYACUCHO. La documentación de autenticación entregada por el solicitante de certificados electrónicos será resguardada por FUNDAYACUCHO CERTIFICADOS ELECTRÓNICOS Los certificados electrónicos son documentos digitales firmados electrónicamente por una autoridad de certificación, que asocia una clave pública con su titular durante el período de vigencia del certificado. Un Certificado Electrónico está compuesto de: Un Nombre o Pseudónimo del titular. Versión del Certificado. Un código único que identifica al certificado. Un Identificador del PSC-FII que expide el certificado. Un período de validez del certificado. La Firma Electrónica de la AC-FII o AC3 que expide el certificado. 19 / 122

20 Un dispositivo de verificación de Firma Electrónica que corresponda a un dispositivo de creación de Firma Electrónica bajo control del titular. Un Atributo específico del titular. Los límites de uso del certificado, si procede. Dirección de la Consulta de la Lista de Certificados Revocados. Los límites de la responsabilidad de cada una de las AC-FII o AC3 y del valor de las transacciones para las que tiene validez el certificado TERCEROS DE BUENA FE Se entiende por tercero de buena fe a la persona que voluntariamente confía y hace uso de los certificados que provee cada una de las AC-FII y AC3 pertenecientes a la jerarquía de confianza del PSC-FII. 1.7 USO DE LOS CERTIFICADOS USOS PERMITIDOS PARA LOS CERTIFICADOS El uso del certificado esta limitado a la Firma Electrónica y No Repudio de los mensajes de correo electrónico y cualquier otro documento electrónico que gestione o haga uso el funcionario público dentro de la institución USOS NO PERMITIDOS PARA LOS CERTIFICADOS El uso no permitido para los certificados emitidos por el PSC-FII son todos aquellos que no se encuentran contemplados en el punto anterior. 1.8 POLÍTICA DE ADMINISTRACIÓN DE LA AC ESPECIFICACIONES DE LA UNIDAD ADMINISTRATIVA Esta PC es propiedad de la Fundación Instituto de Ingeniería: 20 / 122

21 Carretera Nacional Hoyo de la Puerta Baruta, Urbanización Monte Elena II Altos de Sartenejal, Zona postal Apartado Caracas 1040 A. Venezuela. Esta siendo administrada por el Centro de Seguridad Informática y Certificación Electrónica PERSONA CONTACTO Para cualquier información relacionada con esta PC: admin-pki@fii.gob.ve COMPETENCA PARA DETERMINAR LA ADECUACIÓN DE LA PC A LAS POLÍTICAS El Centro de Seguridad Informática y Certificación Electrónica, es responsable de la adecuación de la PC a los estándares y mejores prácticas en la materia. 1.9 ACRÓNIMOS AC AC-FII AC3 AC3- FUNDAYACUCHO AR AR-FII AR3-FUNDAYACUCHO DPC Autoridad de Certificación Autoridad de Certificación de la Fundación Instituto de Ingeniería Autoridad de Certificación subordinada de tercer nivel Autoridad de Certificación subordinada de tercer nivel de FUNDAYACUCHO Autoridad de Registro Autoridad de Registro de la Fundación Instituto de Ingeniería Autoridad de Registro de la Autoridad de Certificación subordinada de tercer nivel de FUNDAYACUCHO Centro de Seguridad Informática y Certificación Electrónica de la FII Declaración de Prácticas de Certificación 21 / 122

22 FUNDAYACUCHO FII ICP LCR LOAP LOPA LSMDFE PC PKI PSC PSC-FII SUSCERTE Fundación Gran Mariscal de Ayacucho (Fundayacucho), Institución adscrita al Ministerio del Poder Popular para Ciencia, Tecnología e Innovación Fundación Instituto de Ingeniería Infraestructura de Clave Pública Lista de Certificados Revocados Ley Orgánica de Administración Pública Ley Orgánica de Procedimientos Administrativos Iniciales que identifican el Decreto con fuerza de Ley sobre Mensajes de Datos y Firmas Electrónicas (1.204). Políticas de Certificado Public Key Infrastructure Proveedor de Servicios de Certificación. Proveedor de Servicios de Certificación de la Fundación Instituto de Ingeniería. Superintendencia de Servicios de Certificación Electrónica. 22 / 122

23 2. PUBLICACIÓN DE INFORMACIÓN DEL PSC-FII Y REPOSITORIOS DE LOS CERTIFICADOS 23 / 122

24 2.1 REPOSITORIOS El repositorio es la estructura encargada de almacenar la información relativa a la ICP. En el repositorio se tienen los certificados validos y el repositorio de listas de certificados revocados (LCR). Los servicios de publicación a los cuales podrán acceder los signatarios, estarán disponibles los 365 días del año, durante las 24 horas del día, en caso de interrupción por causa de fuerza mayor, el mismo se restablecerá en el menor tiempo posible, siendo este no mayor de cuatro (4) horas consecutivas y treinta y seis (36) horas al año. El repositorio público de la AC-FII no contiene ninguna información considerada como confidencial o privada. 2.2 PUBLICACIÓN DE LA INFORMACIÓN DE CERTIFICACIÓN Tal como se indica la Ley sobre Mensaje de Datos y Firmas Electrónicas, es obligación del PSC, garantizar la integridad, disponibilidad y accesibilidad de la información y documentos relacionados con los servicios que proporciona. En este sentido, el PSC-FII realiza publicaciones de toda aquella información considerada de dominio público, lo cual se hará a través de la página Web. En este sentido: Este documento y sus anexos son públicos y se encuentran disponibles en el sitio Web del PSC-FII: La Declaración de Prácticas de Certificación es pública y se encuentra disponible en el sitio Web del PSC-FII: El certificado raíz de la AC-FII del PSC-FII es público y se encuentra disponible en el sitio Web del PSC-FII: 24 / 122

25 Los certificados emitidos por la AC-FII son públicos y se encuentran disponibles en el sitio Web del PSC-FII: La LCR de la AC-FII, es pública y se encuentra disponible en el sitio Web del PSC-FII Las listas de LCR s que han sido publicadas por la AC-FII, permanecen disponibles al público, en ningún caso se procederá a su borrado o destrucción. Todos los documentos se encuentran firmados electrónicamente por el PSC-FII. 2.3 FRECUENCIA DE LA PUBLICACIÓN CERTIFICADOS DEL PSC Los certificados que la AC-FII, emita serán publicados de manera inmediata a su generación o revocación en el publicador del PSC-FII. La AC-FII crea simultáneamente al acto de revocación del certificado, una nueva LCR que lo incluye. Los certificados emitidos por la AC-FII son públicos y se encuentran disponibles en el sitio Web del PSC-FII: LISTA DE CERTIFICADOS REVOCADOS (LCR) La Lista de Certificados Revocados (LCR) o por sus siglas en ingles (Certification Revocation Lists o CRL) es un mecanismo mediante el cual la AC publica y distribuye información acerca de los certificados anulados a las aplicaciones que los emplean. Una LCR es una estructura de datos firmada por la AC que contiene su fecha y hora de publicación, el nombre de la entidad certificadora y los números de serie de los certificados anulados que aun no han expirado. Cuando una aplicación trabaja con certificados electrónicos debe obtener la última LCR de la AC que firma el certificado que está empleando y comprobar que su número de serie no está incluido en él. 25 / 122

26 La LCR de la AC-FII, es pública y se encuentra disponible en el sitio Web del PSC-FII Las listas de LCR s que han sido publicadas, permanecerán disponibles al público, en ningún caso se procederá a su borrado o destrucción PC La PC será publicada en el sitio Web a partir del momento de su creación y aprobación. Serán motivos de actualización documental cuando se presente alguno de los siguientes ítems: Cambios en la estructura organizacional. Cambios en los procesos. Actualización en la Normativa por parte de la Superintendencia de Servicios de Certificación Electrónica (SUSCERTE). Actualizaciones en la Normativa Internacional que regula las actividades relacionadas con los Proveedores de Certificación Electrónica. Inclusión de un tipo de certificado por modificación de las estructura de los ya existentes. Inclusión de una nueva entidad en la jerarquía de confianza del PSC-FII. Documentación con más de un (1) año, sin modificación o actualización, deberá imprimirse como una nueva versión. 2.4 CONTROLES DE ACCESO AL REPOSITORIO DE CERTIFICADO La información publicada por la AC-FII, solo podrá ser consultada y en ningún momento modificada por personas no autorizadas. La misma solo será actualizada por personal interno el cual estará capacitado y autorizado para tal fin. 26 / 122

27 3. IDENTIFICACIÓN Y AUTENTICACIÓN 27 / 122

28 3.1 REGISTRO DE NOMBRES TIPOS DE NOMBRES EL PSC-FII solo genera y firma certificados con tipos de nombres acordes al estándar X.500. El nombre distintivo (DN) para el certificado del Proveedor de Servicio de Certificación está conformado por los siguientes atributos: CN= PSC Publico del MppCTII para el Estado Venezolano O=Sistema Nacional de Certificacion Electronica OU= Fundación Instituto de Ingeniería C=VE E=admin-pki@fii.gob.ve El nombre alternativo (AN) del PSC-FII formado por los siguientes atributos: dnsname=ar.fii.gob.ve OID =[Código identificador del PSC] othername= OID =RIF-G Para los certificados emitidos por el PSC-FII: El DN de los certificados emitidos por el PSC está formado por los siguientes atributos: CN=Nombre o Razón Social del usuario del certificado [identificación de la persona] O=Sistema Nacional de Certificación Electrónica OU= Nombre o Razón de la unidad organizacional a la cual pertenece el certificado [Campo opcional] C=VE E=[correo electrónico del signatario del portador del certificado] 28 / 122

29 El nombre alternativo (AN) de los certificados emitidos por el PSC está formado por los siguientes atributos: dnsname=pagina principal de la Autoridad registro que aprueba el certificado [dominio del registrado ante nic.ve] othername=othername OID =[Código identificador del PSC] OID =[RIF o numero de documento de identidad del portador del certificado] NECESIDAD DE QUE LOS NOMBRES SEAN SIGNIFICATIVOS Si el signatario o solicitante es una persona física (Natural), el nombre asignado al atributo Common Name es el nombre del signatario (Nombres y Apellidos). Si el signatario es una entidad organizativa, el nombre asignado a Common Name será el correspondiente a su Razón social INTERPRETACIÓN DE FORMATOS DE NOMBRES Las reglas utilizadas para la interpretación de los nombres distinguidos en los certificados emitidos están descritas en la ISO/IEC 9595 (X.500) Distinguished Name (DN). Adicionalmente todos los certificados emitidos utilizan codificación UTF8 para todos los atributos, según la RFC 5280 ( Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile ) UNICIDAD DE LOS NOMBRES El PSC-FII basándose en la declaración de prácticas de certificación y políticas de certificado emitidas por SUSCERTE, define como campo DN (Distinguished Name), de todos los certificados a emitir como único y sin ambigüedad. Para ello se incluirá como parte del DN, en el campo OU (opcional), el nombre o razón social del solicitante y la extensión bajo el OID 29 / 122

30 la cual corresponde al documento de identificación o RIF. Por lo tanto, la unicidad se garantiza mediante la confianza sobre la unicidad de los nombres mercantiles en el registro mercantil nacional y el registro de ciudadanos por el Servicio Administrativo de Identificación, Migración y Extranjería (SAIME) RESOLUCIÓN DE CONFLICTOS RELATIVOS A NOMBRES El PSC-FII no actuará como árbitro o mediador, ni resuelve ninguna disputa relativa a la titularidad de nombres de personas u organizaciones, nombres de dominio, marcas o nombres comerciales, etc. Así mismo, este organismo se reserva el derecho de rechazar una solicitud de certificado debido al conflicto de nombres. 3.2 VALIDACIÓN INICIAL DE LA IDENTIDAD MÉTODO DE PRUEBA DE POSESIÓN DE LA CLAVE PRIVADA El sistema de certificación implementado y utilizado por el PSC-FII para la administración del ciclo de vida de sus certificados controla y garantiza de forma automática la emisión del certificado firmado al poseedor de la clave privada correspondiente a la clave publica incluida en la solicitud. Esta garantía se logra mediante el formato PKCS#10 que incluye en la propia solicitud una firma electrónica de la misma realizada con la clave privada correspondiente a la clave pública del certificado AUTENTICACIÓN DE LA IDENTIDAD DE LA ORGANIZACIÓN Los certificados electrónicos se pueden emitir a personas Jurídicas. La identificación y autenticación del futuro signatario o signatarios se ajusta mediante siguiente procedimiento: 30 / 122

31 La AR verifica la identidad y autoridad de la persona que actúa en nombre del futuro signatario y su aptitud para recibir las claves en nombre de la organización correspondiente, mediante la presentación de los documentos que así lo acrediten. La AR o la AC mantiene un registro del tipo y los detalles de identificación empleados; además, la AR o la AC conservarán el nombre de la persona responsable de la petición para el cual se emite el certificado de organización o persona jurídica. Los procedimientos para la emisión de un certificado de organización no entran en conflicto con otras estipulaciones de la presente PC (por ejemplo, generación de claves, protección de claves privadas y obligaciones de los signatarios) COMPROBACIÓN DE LAS FACULTADES DE REPRESENTACIÓN La solicitud de un certificado electrónico deberá presentarla la persona en cuestión. Además de su identificación, el futuro signatario deberá llenar la solicitud Web ante su AR para la autenticación previa a la emisión del certificado. La AR es responsable de obtener confirmación de la pertenencia a la organización y será la encargada de obtener confirmación de la identidad del signatario que solicita un certificado. La verificación de la identidad se lleva a cabo, bien en el momento de la solicitud del certificado o bien con anterioridad a dicha solicitud, utilizando la documentación de autenticación incluida en los directorios y archivos de la AR CRITERIOS PARA OPERAR CON AC EXTERNAS Actualmente no prestamos este servicio. 31 / 122

32 3.3 IDENTIFICACIÓN Y AUTENTICACIÓN DE LAS SOLICITUDES DE RENOVACIÓN DE LA CLAVE RUTINARIAS La identificación y autenticación para la renovación del certificado se debe realizar utilizando las técnicas para la autenticación e identificación inicial. Este método de renovación requiere que la clave privada no esté ni vencida ni revocada DE LA CLAVE DESPUÉS DE UNA RENOVACIÓN CLAVE NO COMPROMETIDA La política de identificación y autenticación para la renovación de un certificado electrónico después de una revocación sin compromiso de la clave será la misma que para el registro inicial. Adicionalmente, el PSC podrá negar discrecionalmente la renovación extraordinaria de un certificado electrónico para un signatario. 3.4 IDENTIFICACIÓN Y AUTENTICACIÓN DE LAS SOLICITUDES DE REVOCACIÓN DE LA CLAVE La política de identificación para las solicitudes de revocación podrá ser la misma que para el registro inicial. La política de autenticación aceptará solicitudes de revocación firmadas electrónicamente por la Autoridad de Registro luego de validar la petición por parte de la persona vía electrónica. El PSC o cualquiera de las entidades que la componen pueden solicitar de oficio la revocación de un certificado si tuvieran el conocimiento o sospecha del compromiso de la clave privada del signatario, o cualquier otro hecho que recomendara emprender dicha acción. 32 / 122

33 4. CICLO DE VIDA DE LOS CERTIFICADOS DEL PSC-FII 33 / 122

34 4.1 SOLICITUD DE CERTIFICADO PROCESO DE GENERACIÓN DE LA SOLICITUD DE CERTIFICADOS Y RESPONSABILIDADES Para el caso de los certificados electrónicos de funcionario público, el jefe inmediato del funcionario público comunicación (escrita o por correo electrónico) al PSC-FII con los datos de nombre, apellido, copia de la cédula de identidad, cargo, copia del tipo de instrumento utilizado para el nombramiento del cargo del empleado o funcionario público, fecha del mismo y el pago correspondiente del certificado electrónico. Finalizado el procedimiento administrativo por parte del jefe inmediato del funcionario público vía Web a través de la dirección realizan las solicitudes de certificados al PSC-FII, la AR-FII realiza los controles necesarios para verificar la información entregada por el signatario para el otorgamiento de certificados de funcionario público. En caso de cumplir las condiciones requeridas la AR-FII, emite la solicitud y la registra. Luego la AC-FII, inicia el proceso de emisión del certificado, envía el certificado firmado a la AR-FII y correo electrónico al signatario notificando que se ha producido la generación del certificado en la Autoridad de Certificación y el certificado se encuentra disponible y puede ser descargado. A continuación la generación de la solicitud y las responsabilidades: Jefe Inmediato del Funcionario Público Autoridad de -Envía comunicación (escrita o por correo electrónico) al PSC-FII para notificar que su empleado directo luego realizará la solicitud del certificado de funcionario público en el sitio Web del PSC-FII. Dicha comunicación contiene los datos del funcionario público: nombre, apellido, copia de la cédula de identidad, cargo, copia del tipo de instrumento utilizado para el nombramiento del cargo del empleado o funcionario público, correo electrónico, número de teléfono -Procede a realizar el pago correspondiente del certificado electrónico -Recibe la información. 34 / 122

35 Registro Funcionario Público Autoridad de Registro Autoridad de Certificación Autoridad de Registro Signatario -Se comunica con el funcionario público para validar los datos de identificación y hacer entrega del dispositivo criptográfico. - Hace la solicitud del certificado electrónico de Funcionario Público vía Web ( - Procesa la información indicada en el paso anterior y procede a verificar su veracidad. Esto lo realiza en un plazo no mayor a 36 horas hábiles consecutivas, pudiendo aprobar o rechazar esta solicitud. -Inicia el proceso de emisión del certificado y lo envía a la autoridad de registro. -Publica el certificado electrónico -Notifica al funcionario público la emisión del respectivo certificado. Accede al sitio Web del PSC-FII y realiza la descarga del certificado. (Termina el Proceso). FIN QUIÉN PUEDE REALIZAR UNA SOLICITUD DE CERTIFICADO? Los mismos podrán ser solicitados por todas aquellas personas que cumplan con los siguientes requerimientos: Funcionario Público Mayor de edad. Copia de la cédula de identidad del signatario documento de identificación válido para la República Bolivariana de Venezuela. Nombre del cargo. Copia del tipo de instrumento utilizado para el nombramiento del cargo del empleado o funcionario público. Realiza la solicitud Web a través de la autoridad de registro en PROCESO DE FIRMA DEL CERTIFICADO 35 / 122

36 Como AC-FII del PSC-FII debe administrar los certificados electrónicos tramitados a través de las AR subordinadas (AR-FII y AR Externas), en un proceso por lote el cual se considerarán todas las solicitudes que las AR hayan procesado en las 24 horas anteriores a la sincronización de repositorios. Los certificados emitidos por la AC-FII, serán almacenados en la base de datos de la AC-FII y se enviarán a sus respectivas AR s, durante la próxima sincronización. La AC- FII, firmará las solicitudes de certificados y revocación de certificados, realizará las operaciones de actualización y sincronización de repositorios y publicará las listas de certificados vigentes, y revocados que le correspondan PROCESO DE GENERACIÓN DE LA SOLICITUD DE RENOVACIÓN DE LAS CLAVES DEL CERTIFICADO Para la AC-FII del PSC-FII, una vez recibida la solicitud para la renovación del certificado se aprueba y se procede a la solicitud de certificado y la firma del certificado según lo definido en el apartado 4.1.1, y de la presente PC PROCEDIMIENTO PARA REALIZAR UNA SOLICITUD DE REVOCACIÓN DE UN CERTIFICADO. Primero el jefe inmediato del funcionario público envía comunicación (escrita o correo electrónico) al PSC-FII para notificar que el funcionario público procederá a la revocación de su certificado electrónico por diferentes motivos entre los cuales esta que será promovido a otro cargo, comisión de servicio a otro ente que implica otras responsabilidades, despido o renuncia del funcionario público. El funcionario público realiza la petición de revocación vía Web ( Cada signatario o usuario revoca su certificado haciendo uso de su clave de revocación. Luego la AR envía la petición de revocación y la AC-FII procede a la revocación y publicación de la LCR. Luego se le transfiere a cada AR los certificados revocados. 36 / 122

37 4.1.6 PROCEDIMIENTO PARA REALIZAR UNA SOLICITUD DE SUSPENSIÓN DE UN CERTIFICADO. Actualmente el certificado electrónico no tiene el estado de suspendido. 4.2 TRAMITACIÓN DE SOLICITUD DE UN CERTIFICADO REALIZACIÓN DE LAS FUNCIONES DE IDENTIFICACIÓN Y AUTENTICACIÓN Para el PSC-FII, estas funciones deberán ser realizadas por los operadores de la AR-FII, encontrándose de igual modo, debidamente estipulado en la descripción de cargos del PSC-FII APROBACIÓN O DENEGACIÓN DE UN CERTIFICADO La AC-FII del PSC-FII es la entidad que se encarga de la aprobación o rechazo de la firma de certificados, por tanto una vez la AR-FII aprueba la solicitud, entonces la AC-FII firma el certificado electrónico. Caso contrario si la AR-FII, no aprueba una solicitud de certificado esta es automáticamente rechazada por la AC-FII. Para la aprobación de la solicitud de certificado la AR-FII, procederá a verificar y comprobar la veracidad de la información PLAZOS PARA LA TRAMITACIÓN DE UN CERTIFICADO Una vez realizados los trámites administrativos para los certificados, el signatario o propietario del certificado procede a realizar la solicitud en el sitio Web del PSC-FII ( para la generación del certificado el plazo es de 24 horas a 48 horas. Luego el signatario podrá saber el status de la solicitud a través del sitio Web, en la opción de Gestión de Certificados. 4.3 EMISIÓN DE CERTIFICADO ACCIONES DE LA AC DURANTE LA EMISIÓN DE UN CERTIFICADO 37 / 122

38 Tal como se señala en el apartado NOTIFICACIÓN AL SOLICITANTE POR LA AC ACERCA DE LA EMISIÓN DE SU CERTIFICADO Para los certificados emitidos por la AC-FII del PSC-FII, el signatario podrá saber el status de la solicitud a través del sitio Web y una vez emitido el certificado recibirá un correo notificándole la disponibilidad del mismo, de igual modo podrá dirigirse a las instalaciones del PSC-FII y será informado por el personal que allí labora. 4.4 ACEPTACIÓN DE CERTIFICADOS FORMA EN LA QUE SE ACEPTA EL CERTIFICADO La aceptación del certificado por parte del signatario se realiza al momento de la emisión del mismo, en el que firma la solicitud y de esta manera acepta las condiciones especificadas en este documento PUBLICACIÓN DEL CERTIFICADO POR LA AC La AC del PSC-FII mantiene disponible con acceso público el repositorio de publicación de los certificados para la gestión de certificados a través de la petición, obtener, búsqueda y revocación de los certificados, lista de certificados válidos y revocados en el Sitio Web NOTIFICACIÓN DE LA EMISIÓN DEL CERTIFICADO POR LA AC A OTRAS AUTORIDADES No aplica. 4.5 USO DE LA CLAVE PRIVADA Y DEL CERTIFICADO 38 / 122

39 4.5.1 USO DEL PAR DE LA CLAVE PRIVADA DEL CERTIFICADO El uso de los certificados emitidos por el PSC-FII es el dispuesto en el apartado El signatario será responsable de su clave privada y de todas las acciones que ejecute con la misma USO DE LA CLAVE PÚBLICA Y DEL CERTIFICADO POR LOS TERCEROS DE BUENA FÉ Para los certificados emitidos por la AC-FII del PSC-FII, el signatario será responsable de su clave privada y de todas las acciones que ejecute con la misma. 4.6 RENOVACIÓN DE CERTIFICADO CON CAMBIO DE CLAVE CAUSAS PARA LA RENOVACIÓN DE UN CERTIFICADO La causa por la que se realiza la renovación de un certificado, es la caducidad del mismo ENTIDAD QUE PUEDE SOLICITAR LA RENOVACIÓN DEL CERTIFICADO La renovación de un certificado podrá ser solicitada por el jefe inmediato del funcionario público, el signatario o usuario para quien fue emitido el mismo o los por los operadores de las autoridades de registro o certificación PROCEDIMIENTO DE SOLICITUD PARA LA RENOVACIÓN DE UN CERTIFICADO Se lleva a cabo el mismo proceso que en caso de emisión de certificados. Esto se indica en el apartado 4.1.1, y NOTIFICACIÓN DE LA EMISIÓN DE UN NUEVO CERTIFICADO A LA AR Tal como se indica en el apartado / 122

40 4.6.5 PUBLICACIÓN DEL CERTIFICADO RENOVADO POR LA AC La AC-FII deberá publicar las listas de certificados electrónicos y su correspondiente estado de vigencia y revocación. Este proceso es exclusivo de la AC-FII, en la cual una vez son aprobados los certificados, pasan a estado válido y los certificados que hayan sido revocados pasan a la lista de certificados revocados (previa solicitud escrita por parte del signatario) NOTIFICACIÓN DE LA EMISIÓN DEL CERTIFICADO POR LA AC A OTRAS ENTIDADES La operación de la notificación de la emisión del certificado por las Autoridades de Certificación (AC) a otras entidades no se encuentra normada. 4.7 MODIFICACIÓN DE CERTIFICADOS Las firmas o certificados electrónicos generados por la AC-FII del PSC-FII, durante su período de vigencia mantendrán su integridad y no podrán ser objeto de modificación o cambio alguno. 4.8 REVOCACIÓN Y SUSPENSIÓN DE UN CERTIFICADO CIRCUNSTANCIAS PARA LA REVOCACIÓN DE UN CERTIFICADO Para los certificados de funcionario público, podrán ser revocados por razones de: caducidad, extravío o perdida o en caso de que la clave privada se considere comprometida. Adicionalmente, podrán ser revocados por: despido o suspensión motivada, violación o presunta violación de la seguridad, fin de la relación laboral ENTIDAD QUE PUEDE SOLICITAR LA REVOCACIÓN Para los certificados de funcionario público, la revocación de un certificado podrá ser solicitada por el jefe inmediato del funcionario público, el signatario para quien fue emitido, o por los operadores de la autoridad de registro y/o certificación (previa solicitud escrita por parte del signatario). 40 / 122

41 4.8.3 PROCEDIMIENTO DE SOLICITUD DE LA REVOCACIÓN Para los certificados emitidos por la AC-FII del PSC-FII, el signatario siempre podrá comunicarse vía correo electrónico a la cuenta admin-pki@fii.gob.ve y por teléfono al / en el horario de atención de lunes a viernes de 8:30 AM a 12:00m y de 1:00 PM a 4:45PM. Para revocar los certificados de funcionario público emitidos por la AC-FII del PSC-FII: 1. El jefe inmediato notifica (escrita o correo electrónico) que el funcionario procederá a la solicitud de revocación vía web. 2. El funcionario público realiza la petición de revocación directamente a través del sitio Web del PSC-FII, 3. Los operadores del PSC-FII se comunican con la persona responsable y de esta manera se verifican los datos del usuario. Luego se procede a la revocación del certificado electrónico. 4. Una vez revocado el certificado el operador notifica a la persona que el certificado ya esta revocado que puede realizar una nueva solicitud de renovación de certificado si el caso lo amerita PERÍODO DE GRACIA DE LA SOLICITUD DE REVOCACIÓN No aplica CIRCUNTANCIAS PARA LA SUSPENSIÓN No aplica PROCEDIMIENTO PARA LA SOLICITUD DE SUSPENSIÓN No aplica. 41 / 122