Declaración de Prácticas de Certificación (DPC) SEU Entidad de Certificación 1 DE MARZO DE 2013

Transcripción

1 Declaración de Prácticas de Certificación (DPC) SEU Entidad de Certificación 1 DE MARZO DE 2013 Código de referencia: P_01-DPC_PC Versión: 1.1 Fecha de la edición: 25/11/2013

2 ESTADO FORMAL Preparado por: Revisado por: Aprobado por: Xavier Vila Antonio Pinedo Carlos Quiroga Marilena Chaparro CONTROL DE VERSIONES Versión Partes que cambian Descripción del cambio Autor del cambio Fecha del cambio 1.0 Todo Creación del documento Xavier Vila 01/03/ Repositorios Se adaptan las URLs Xavier Vila 20/11/2013 SEU P_01-DPC_SEU_V1_1 25/11/2013 Pág.: 2 / 71

3 ÍNDICE DE CONTENIDOS 1 INTRODUCCIÓN PRESENTACIÓN NOMBRE DEL DOCUMENTO ENTIDADES PARTICIPANTES EN EL SISTEMA DE CERTIFICACIÓN DIGITAL CERTIFICADOS DIGITALES QUE EXPIDE SEU USOS NO AUTORIZADOS DE LOS CERTIFICADOS ADMINISTRACIÓN DE LAS POLÍTICAS DEFINICIONES Y ACRÓNIMOS REPOSITORIOS Y PUBLICACION DE INFORMACION REPOSITORIOS PUBLICACIÓN DE INFORMACIÓN FRECUENCIA DE PUBLICACIÓN CONTROL DE ACCESO A LOS REPOSITORIOS IDENTIFICACIÓN Y AUTENTICACIÓN REGISTRO DE NOMBRES VALIDACIÓN INICIAL DE LA IDENTIDAD IDENTIFICACIÓN Y AUTENTICACIÓN EN LA RENOVACIÓN DE CERTIFICADOS IDENTIFICACIÓN Y AUTENTICACIÓN EN LA REVOCACIÓN DE CERTIFICADOS REQUISITOS OPERATIVOS EN LA GESTIÓN DEL CICLO DE VIDA DE LOS CERTIFICADOS SOLICITUD DE CERTIFICADOS TRAMITACIÓN DE LA SOLICITUD EMISIÓN DE CERTIFICADOS ACEPTACIÓN DEL CERTIFICADO USO DE LAS CLAVES Y EL CERTIFICADO RENOVACIÓN DE CERTIFICADOS SIN CAMBIO DE CLAVES RENOVACIÓN CON CAMBIO DE CLAVES MODIFICACION DE CERTIFICADOS REVOCACIÓN Y SUSPENSIÓN DE CERTIFICADOS SERVICIOS DE INFORMACIÓN DEL ESTADO DE CERTIFICADOS FINALIZACIÓN DE LA SUSCRIPCIÓN CONTROLES DE SEGURIDAD FÍSICA, INSTALACIONES, GESTIÓN Y OPERACIONALES CONTROLES FÍSICOS CONTROLES DE PROCEDIMIENTO CONTROLES DE PERSONAL PROCEDIMIENTOS DE AUDITORIA DE SEGURIDAD SEU P_01-DPC_SEU_V1_1 25/11/2013 Pág.: 3 / 71

4 5.5 ARCHIVO DE REGISTROS CAMBIO DE CLAVES DE LA EC PLAN DE RECUPERACIÓN DE DESASTRES CESE DE ACTIVIDAD CONTROLES DE SEGURIDAD TÉCNICA GENERACION E INSTALACIÓN DEL PAR DE CLAVES PROTECCIÓN DE LA CLAVE PRIVADA Y CONTROLES DE LOS MÓDULOS CRIPTOGRÁFICOS OTROS ASPECTOS DE LA GESTION DEL PAR DE CLAVES DATOS DE ACTIVACION CONTROLES DE SEGURIDAD INFORMÁTICA CONTROLES DE SEGURIDAD DEL CICLO DE VIDA CONTROLES DE SEGURIDAD DE LA RED FUENTE DE TIEMPO PERFILES DE LOS CERTIFICADOS, CRL Y OCSP PERFIL DE LOS CERTIFICADOS PERFIL DE CRL AUDITORÍAS DE CUMPLIMIENTO Y OTROS CONTROLES FRECUENCIA DE LAS AUDITORIAS CUALIFICACIÓN DEL AUDITOR RELACIÓN ENTRE EL AUDITOR Y LA AUTORIDAD AUDITADA ASPECTOS CUBIERTOS POR LOS CONTROLES ACCIONES A EMPRENDER COMO RESULTADO DE LA DETECCIÓN DE INCIDENCIAS COMUNICACIÓN DE RESULTADOS ASPECTOS LEGALES Y DE ACTIVIDAD TARIFAS RESPONSABILIDADES ECONÓMICAS CONFIDENCIALIDAD DE LA INFORMACIÓN DERECHOS DE PROPIEDAD INTELECTUAL OBLIGACIONES EXENCIÓN DE GARANTÍA RESPONSABILIDADES INDEMNIZACIONES PERIODO DE VALIDEZ NOTIFICACIONES INDIVIDUALES Y COMUNICACIÓN CON LOS PARTICIPANTES CAMBIOS EN LAS ESPECIFICACIONES RECLAMACIONES Y RESOLUCIÓN DE CONFLICTOS NORMATIVA APLICABLE CUMPLIMIENTO DE LA NORMATIVA APLICABLE ESTIPULACIONES DIVERSAS SEU P_01-DPC_SEU_V1_1 25/11/2013 Pág.: 4 / 71

5 SEU P_01-DPC_SEU_V1_1 25/11/2013 Pág.: 5 / 71

6 1 INTRODUCCIÓN 1.1 PRESENTACIÓN Servicios Electrónicos Universitarios, S.A.S. (SEU) nació como un proyecto conjunto de varias organizaciones con un profundo conocimiento y una amplia experiencia en el ámbito universitario, por un lado, y un bagaje profesional de primera línea en el sector de la certificación electrónica. Se constituyó como Sociedad por Acciones Simplificada (S.A.S.) en el año 2012 en Colombia, con el fin de actuar con total independencia como Entidad de Certificación Digital Abierta para prestar servicios, en especial en el entorno educativo, proporcionando las herramientas necesarias a las universidades para que puedan mantener relaciones electrónicas con otras entidades, con sus empleados y con sus estudiantes, con plena seguridad jurídica, en cumplimiento de la Ley 527 de 1999 y el Decreto 1747 de Los servicios de Certificación Electrónica ofrecidos por Servicios Electrónicos Universitarios, S.A.S. (SEU) están orientados a universidades y su objetivo es acreditar la identidad digital de las universidades, sus profesionales y sus estudiantes que actúen a través de la red. SEU tiene su domicilio principal en la ciudad de Bogotá, en la Carrera 13, nº 93-68, Oficina 209. SEU se encuentra inscrita en el registro tributario con el número de identificación y está autorizada para prestar servicios de certificación digital abierta por parte del Organismo Nacional de Acreditación de Colombia (ONAC). El presente documento constituye la Declaración de Prácticas de Certificación (DPC), que establece las normas y condiciones generales en la prestación de servicios de certificación de SEU. En lo que se refiere a la gestión de la información para los procesos de verificación y emisión de certificados digitales, también se mencionan las condiciones aplicables por cada tipo de producto y/o servicio: expedición, uso, revocación, las políticas de seguridad, controles técnicos, los mecanismos de información, difusión y servicio al cliente. Esta DPC está dirigida a todas aquellas personas naturales o jurídicas, solicitantes, suscriptores, en general a los usuarios de certificados digitales emitidos por SEU y terceros que confíen en ellos como evidencias jurídicas y probatorias, o en el ámbito en el que sean implementados, en cumplimiento con la Ley 527 de 1999 y el Decreto 1747 de La estructura de este documento está basada en la especificación del estándar RFC Internet X.509 Public Key Infrastructure: Certificate Policy and Certification Practices Framework, creado por el grupo de trabajo PKIX del IETF. La actualización y/o modificación de esta DPC, se realizará a través del procedimiento establecido para estos casos, que se basa en que cualquier cambio sobre el documento deberá ser revisado y analizado por el personal autorizado de SEU y su aprobación final está a cargo del Gerente General de SEU. El documento modificado será publicado en la Web de SEU SEU P_01-DPC_SEU_V1_1 25/11/2013 Pág.: 6 / 71

7 1.2 NOMBRE DEL DOCUMENTO IDENTIFICACIÓN Nombre: Revisión: 1.0 Descripción: Fecha de revisión: 1/03/2013 OID Localización Declaración de Practicas de Certificación (DPC) Declaración de Prácticas de Certificación de Servicios Electrónicos Universitarios S.A.S OIDS SEU tiene registrado en IANA el número como OID de empresa privada ( El significado de los OID que comienzan por es el siguiente: OID Tipo de Objeto Descripción 0.V.R Declaración de Prácticas de Certificación (DPC) V = Versión de la DPC R = Subversión de la DPC 1.T.D Política de certificado T = Tipo de Certificado 1 = De Persona Natural 2 = De Representante Legal 3 = De Titulado 4 = De Sello o Persona Jurídica 5 = De Servidor Seguro (SSL) D = Dispositivo / Nivel de Seguridad 1 = Nivel Alto 2 = Nivel Medio T.N Política de Certificación de EC Subordinada Campo con información relativa a la titulación EC Subordinada T = identifica a la información correspondiente a una misma titulación: N=1 : nombre oficial de la titulación N=2 : código oficial de la titulación N=3 : organismo que ha expedido la titulación SEU P_01-DPC_SEU_V1_1 25/11/2013 Pág.: 7 / 71

8 1.3 ENTIDADES PARTICIPANTES EN EL SISTEMA DE CERTIFICACIÓN DIGITAL ENTIDAD DE CERTIFICACIÓN DIGITAL Una Entidad de Certificación Digital es un tercero de confianza que se dedica a la prestación de servicios de certificación como la emisión de certificados digitales. Un certificado digital es un documento electrónico mediante el cual un tercero de confianza como SEU certifica la identidad de un sujeto contenida en dicho documento. Para emitir los certificados digitales las Entidades de Certificación Digital utilizan la Infraestructura de Clave Pública (conocida como PKI, por sus siglas en inglés), que es el conjunto de elementos tecnológicos que, por medio del uso de un par de claves criptográficas, una privada que solo posee el suscriptor del servicio y una pública que se incluye en el certificado digital, logran: Identificar a quien envía una comunicación. Impedir que terceras personas puedan observar los mensajes que se envían a través de medios electrónicos. Impedir que un tercero pueda alterar la información que es enviada a través de medios electrónicos. Evitar que el suscriptor del servicio de certificación digital que envió un mensaje electrónico pueda después negar dicho envío. SEU es una Entidad de Certificación Digital Abierta que emite certificados según la Ley 527 de 1999 y el Decreto 1747 de SEU es la entidad emisora de los certificados y responsable de las operaciones del ciclo de vida de los mismos. Las funciones de autorización, registro, emisión y revocación respecto de los certificados digitales, pueden ser realizadas por otras entidades por delegación soportada contractualmente con SEU, que actuarán como intermediarios JERARQUÍA DE CERTIFICACIÓN SEU forma parte de la jerarquía de certificación de la Autoridad de Certificación española Firmaprofesional, que está compuesta por diversas Autoridades de Certificación (en inglés AC o Certification Authority) AUTORIDAD DE CERTIFICACIÓN RAÍZ Se denomina Autoridad de Certificación Raíz (AC Root) a la entidad dentro de la jerarquía que emite certificados a otras autoridades de certificación, y cuyo certificado de clave pública ha sido autofirmado. Su función es firmar el certificado de las otras AC pertenecientes a la Jerarquía de Certificación. Los datos de identificación del Certificado Raíz actual de Firmaprofesional son: CN: Autoridad de Certificacion Firmaprofesional CIF A Hash SHA1: AEC5 FB3F C8E1 BFC4 E54F A9A E800 B7F7 B6FA Válido desde el 20 de mayo de hasta el 31 de diciembre de Longitud de clave RSA 4096 bits SEU P_01-DPC_SEU_V1_1 25/11/2013 Pág.: 8 / 71

9 AUTORIDAD DE CERTIFICACIÓN SUBORDINADA Se denomina Autoridades de Certificación Delegadas o Subordinadas (AC Sub) a las entidades dentro de la jerarquía de certificación que emiten certificados de entidad final y cuyo certificado de clave pública ha sido firmado digitalmente por la Autoridad de Certificación Raíz. Como Entidad de Certificación Digital Abierta, acreditada ante el Organismo Nacional de Acreditación de Colombia (ONAC), SEU dispone de una Autoridad de Certificación Subordinada, con la siguiente información: CN= SEU Autoridad de Certificacion Hash SHA1: 43:2C:2A:08:ED:3E:4A:CB:87:E8:47:04:DC:FD:9C:3B:D8:4D:18:B7 Válido desde: 20 de febrero de 2013 hasta 31 de diciembre de 2030 Longitud de clave RSA 2048 bits La Autoridad de Certificación Subordinada SEU Autoridad de Certificacion emite certificados digitales principalmente para su uso en el ámbito universitario conforme a lo establecido en la Ley 527 de 1999 y el Decreto 1747 de ENTIDAD DE REGISTRO (ER) Las Entidades de Registro (en inglés Registration Authority o RA) de SEU son dependencias designadas por SEU para realizar las siguientes tareas: Tramitar las solicitudes de certificados. Identificar al solicitante y comprobar que cumple con los requisitos necesarios para la solicitud de los certificados. Validar las circunstancias personales de la persona que constará como firmante del certificado Aprobar la emisión de certificados digitales. Gestionar la generación de claves y la emisión del certificado Hacer entrega del certificado al suscriptor. Podrán actuar como Entidad de Registro de SEU: La propia SEU, directamente. Cualquier entidad que sea cliente de SEU, para la emisión de certificados a nombre de la entidad o a sus empleados o a sus estudiantes. Cualquier entidad de confianza que llegue a un acuerdo con SEU para actuar como intermediario en nombre de SEU. SEU formalizará contractualmente las relaciones entre ella y cada una de las entidades que actúen como Entidad de Registro de SEU. La entidad que actúe como ER de SEU podrá autorizar a una o varias personas como Operador de la Entidad de Registro para operar con el sistema informático de emisión de certificados de SEU en nombre de la Entidad de Registro. SEU P_01-DPC_SEU_V1_1 25/11/2013 Pág.: 9 / 71

10 1.3.3 SOLICITANTE Solicitante es la persona natural o jurídica que, en nombre propio o en representación de un tercero, solicita la emisión de un certificado a SEU SUSCRIPTOR El suscriptor es la persona natural o jurídica a cuyo nombre se expide un certificado FIRMANTE O USUARIO El Firmante es la persona que posee un dispositivo de creación de firma y que actúa en nombre propio o en nombre de una persona jurídica a la que representa. El Firmante será responsable de custodiar los datos de creación de firma, es decir, la clave privada asociada al certificado. La custodia de los datos de creación de firma asociados a cada certificado electrónico de persona jurídica será responsabilidad de la persona natural solicitante, cuya identificación se incluirá en el certificado electrónico PARTE CONFIANTE Se entiende como tercero que confía en los certificados (en inglés, relying party) a toda persona natural o jurídica que voluntariamente confía en un certificado emitido por SEU. El certificado Raíz de la jerarquía que SEU forma parte está reconocido por los principales fabricantes de software como Microsoft, la Fundación Mozilla, Adobe o Apple. Las obligaciones y responsabilidades de SEU con terceros que voluntariamente confíen en los certificados se limitarán a las recogidas en esta DPC y en la Ley 527 de 1999 y en el Decreto 1747 de Los terceros que confíen en estos certificados deben tener presente las limitaciones en su uso, si existieran. SEU P_01-DPC_SEU_V1_1 25/11/2013 Pág.: 10 / 71

11 1.4 CERTIFICADOS DIGITALES QUE EXPIDE SEU SEU expide una serie de certificados digitales orientados a satisfaces las necesidades de sus clientes, en función de sus líneas de negocio. CERTIFICADOS EMITIDOS POR SEU Certificados de Persona Natural: Estudiante Los certificados digitales de estudiante se expiden a personas naturales, nacionales o extranjeras, cumplen con lo establecido con la Ley 527 de 1999 y con el Decreto 1747 de 2000, e identifican telemáticamente al suscriptor como estudiante de una determinada Institución de Educación Superior. La gestión de las solicitudes y emisiones de los certificados será realizada por las Instituciones de Educación que actúen como Entidades de Registro de SEU. Cada entidad que actúe como ER de SEU podrá emitir certificados de Estudiante a aquellas personas naturales con las que tenga una vinculación directa como estudiantes de la Institución. Certificados de persona natural: Funcionario o Empleado Los certificados digitales de Funcionario o Empleado se expiden a personas naturales, nacionales o extranjeras, cumplen con lo establecido con la Ley 527 de 1999 y con el Decreto 1747 de 2000, e identifican telemáticamente al suscriptor como funcionario de una Institución Pública o como empleado de una Entidad privada. Certificados de Persona Natural: Titulado Certificados de Persona Natural: Representante Legal Los certificados digitales de titulado se expiden a personas naturales, nacionales o extranjeras, cumplen con lo establecido con la Ley 527 de 1999 y con el Decreto 1747 de 2000, e identifican telemáticamente al suscriptor poseedor de una determinada titulación de educación superior, ya sea correspondiente a pregrado o postgrado. La gestión de las solicitudes de los certificados será realizada por las entidades que actúen como Entidades de Registro de SEU. Cada entidad que actúe como ER de SEU podrá cursar la solicitud de certificados de titulado a aquellas personas físicas que hayan finalizado sus estudios y solicitado su título. Son certificados que tienen como suscriptor tanto a la persona natural que actúa en nombre y representación legal de una persona jurídica, como a la persona jurídica representada que figura igualmente en el certificado digital. La gestión y emisión de los certificados de Representante Legal se realizará a través de la Entidad de Registro de SEU. SEU P_01-DPC_SEU_V1_1 25/11/2013 Pág.: 11 / 71

12 Son certificados expedidos a personas jurídicas de derecho público o privado, entidades del Estado o personas jurídicas comerciantes para dispositivos informáticos, programas o aplicaciones dedicados a firmar en nombre de esa persona jurídica en sistemas de firma electrónica para la actuación administrativa automatizada. Certificados de Sello Electrónico (persona jurídica) La finalidad de estos certificados es poder firmar en nombre de la empresa documentos electrónicos de manera automática, con las máximas garantías de protección de datos de carácter personal de la persona física que obtiene y se responsabiliza de la custodia los datos de creación de firma del certificado. Estos certificados tienen como objetivo cumplir las mismas funciones que realizan los Sellos de Empresa en los documentos en papel, como por ejemplo para la firma de facturas electrónicas. La custodia de los datos de creación de firma asociados a cada certificado electrónico de sello electrónico será responsabilidad del solicitante. Certificados de Servidor Seguro Son certificados utilizados para autenticar un servidor Web por parte de los navegadores mediante el uso de protocolo HTTPS: Certificados SSL o SSL-EV Certificados de Sede Electrónica : Certificados de servidor seguro emitidos para garantizar la dirección electrónica de la entidad pública. La gestión de los certificados de Servidor Seguro se realizará a través de la Entidad de Registro de SEU. Los distintos perfiles de los certificados emitidos se distinguen gracias a los identificadores de política siguientes: OID DE LOS CERTIFICADOS EMITIDOS POR SEU D D D D Certificados de Persona Natural: Estudiante, Funcionario o Empleado Certificados de Persona Natural: Representante Legal Certificados de Persona Natural: Titulado Certificados de Sello Electrónico (Persona Jurídica) Certificados de Servidor Seguro D = Dispositivo / Nivel de Seguridad: 1 = Dispositivo Hardware (Nivel Alto), 2 = Otros dispositivos (Nivel Medio) SEU P_01-DPC_SEU_V1_1 25/11/2013 Pág.: 12 / 71

13 1.4.1 CERTIFICACIONES RECÍPROCAS SEU reconoce los siguientes certificados de firmas digitales emitidos por las siguientes entidades de certificación extranjeras: Entidad de certificación extranjera Certificado extranjero OID extranjero OID de políticas de certificados equivalentes emitidos por SEU SIGNE AC Certificado de Titulado SIGNE AC Certificado de Sello Electrónico SIGNE AC Certificado de Persona Jurídica SIGNE AC Certificado de Persona Física AC Firmaprofesional Certificado de Servidor Seguro AC Firmaprofesional Certificado de Servidor Seguro Extended Validation (SSL-EV) SEU P_01-DPC_SEU_V1_1 25/11/2013 Pág.: 13 / 71

14 1.5 USOS NO AUTORIZADOS DE LOS CERTIFICADOS No se permite el uso de los certificados en las siguientes circunstancias: Los certificados digitales emitidos por SEU no podrán ser utilizados por ninguna persona y bajo ninguna circunstancia con fines o en operaciones ilícitas bajo cualquier régimen legal del mundo, particular pero no exclusivamente aquellas que requieren de una autorización estatal para ser realizadas. Queda prohibido cualquier uso de los certificados digitales emitidos por SEU que sea contrario a la legislación colombiana, a los convenios internacionales suscritos por el estado colombiano, a las normas supranacionales, a las buenas costumbres, a las sanas prácticas comerciales, y a todas las normas contenidas en esta Declaración de prácticas de certificación, en las Políticas de Certificación y en los contratos que se firmen entre SEU y el Suscriptor. Los certificados no se han diseñado, no se pueden destinar y no se autoriza su uso o reventa como equipos de control de situaciones peligrosas o para usos que requieren actuaciones a prueba de fallos, como el funcionamiento de instalaciones nucleares, sistemas de navegación o comunicaciones aéreas, o sistemas de control de armamento, donde un fallo pudiera directamente conllevar la muerte, lesiones personales o daños medioambientales severos. No se permite el uso de los certificados digitales en ningún sistema cuyo fallo pueda ocasionar la muerte o lesión de personas, u ocasionar un serio perjuicio al medio ambiente. Los certificados de usuario final no pueden emplearse para firmar certificados de clave pública de ningún tipo, ni firmar listas de revocación de certificados. SEU no crea, almacena ni posee en ningún momento la clave privada del suscriptor de certificados reconocidos, no siendo posible recuperar los datos cifrados con la correspondiente clave pública en caso de pérdida o inutilización de la clave privada o del dispositivo que la custodia por parte del Suscriptor. El Suscriptor que decida cifrar información lo hará en todo caso bajo su propia y única responsabilidad, sin que, en consecuencia, SEU tenga responsabilidad alguna por perdida de información derivada de la perdida de las claves de cifrado. Por ello, SEU no recomienda el uso de los certificados digitales para el cifrado de la información. SEU P_01-DPC_SEU_V1_1 25/11/2013 Pág.: 14 / 71

15 1.6 ADMINISTRACIÓN DE LAS POLÍTICAS ORGANIZACIÓN RESPONSABLE El Departamento Técnico de SEU es responsable de la administración de esta DPC PERSONA DE CONTACTO Organización responsable: Servicio Electrónicos Universitarios, S.A.S. Persona de contacto: Director Técnico de SEU Teléfono: +57 (1) Dirección: Bogotá, Carrera 13, nº 93-68, Oficina FRECUENCIA DE REVISIÓN La DPC y las distintas PC serán revisadas y, si procede, actualizadas anualmente PROCEDIMIENTO DE APROBACIÓN La publicación de las revisiones de esta DPC deberá ser aprobada por la Dirección General de SEU, después de comprobar el cumplimiento de los requisitos expresados en ella. SEU P_01-DPC_SEU_V1_1 25/11/2013 Pág.: 15 / 71

16 1.7 DEFINICIONES Y ACRÓNIMOS DEFINICIONES Suscriptor: persona a cuyo nombre se expide un certificado. Firmante: Persona que le da uso a un certificado y que puede ser distinta del suscriptor. Repositorio: sistema de información utilizado para almacenar y recuperar certificados y otra información relacionada con los mismos. Entidad de Certificación: Es aquella persona que, autorizada conforme a la presente ley, está facultada para emitir certificados en relación con las firmas digitales de las personas, ofrecer o facilitar los servicios de registro y estampado cronológico de la transmisión y recepción de mensajes de datos, así como cumplir otras funciones relativas a las comunicaciones basadas en las firmas digitales. Entidad de certificación abierta: la que ofrece servicios propios de las entidades de certificación, tales que: a) Su uso no se limita al intercambio de mensajes entre la entidad y el suscriptor, o b) Recibe remuneración por éstos. Certificado Digital o Electrónico: mensaje de datos firmado por la entidad de certificación que identifica, tanto a la entidad de certificación que lo expide, como al suscriptor y contiene la clave pública de éste. Clave Pública y Clave Privada: la criptografía asimétrica en la que se basa la PKI emplea un par de claves en la que lo que se cifra con una de ellas sólo se puede descifrar con la otra y viceversa. A una de esas claves se la denomina pública y se la incluye en el certificado electrónico, mientras que a la otra se la denomina privada y únicamente es conocida por el titular del certificado. Datos de Creación de Firma (Clave Privada): son valores numéricos únicos que, utilizados conjuntamente con un procedimiento matemático conocido, sirven para generar la firma digital de un mensaje de datos. Datos de Verificación de Firma (Clave Pública): son los datos, como códigos o claves criptográficas públicas, que son utilizados para verificar que una firma digital fue generada con la clave privada del iniciador. Firma Digital: Se entenderá como un valor numérico que se adhiere a un mensaje de datos y que, utilizando un procedimiento matemático conocido, vinculado a la clave del iniciador y al texto del mensaje permite determinar que este valor se ha obtenido exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido modificado después de efectuada la transformación. Función Hash: es una operación que se realiza sobre un conjunto de datos de cualquier tamaño, de forma que el resultado obtenido es otro conjunto de datos de tamaño fijo, independientemente del tamaño original, y que tiene la propiedad de estar asociado unívocamente a los datos iniciales. Listas de Certificados Revocados (CRL): lista donde figuran las relaciones de certificados revocados o suspendidos. Módulo Criptográfico Hardware (HSM): módulo hardware utilizado para realizar funciones criptográficas y almacenar claves en modo seguro. SEU P_01-DPC_SEU_V1_1 25/11/2013 Pág.: 16 / 71

17 Sello de Tiempo: mensaje de datos firmado por una entidad de certificación que sirve para verificar que otro mensaje de datos no ha cambiado en un período que comienza en la fecha y hora en que se presta el servicio y termina en la fecha en que la firma del mensaje de datos generado por el prestador del servicio de estampado, pierde validez. Autoridad de Sellado de Tiempo (TSA): Entidad de confianza que emite sellos de tiempo. Autoridad de Validación (VA): Entidad de confianza que proporciona información sobre la validez de los certificados digitales y de las firmas electrónicas ACRÓNIMOS CRL DPC EC EC Sub ER HSM LDAP OCSP OID PC PKI PSC TSA VA Lista de Certificados Revocados (Certificate Revocation List) Declaración de Prácticas de Certificación (Certificate Practice Statement) Entidad o Autoridad de Certificación (Certification Authority) Entidad o Autoridad de Certificación Subordinada Autoridad de Registro (Registration Authority) Módulo de seguridad criptográfico (Hardware Security Module) Lightweight Directory Access Protocol Online Certificate Status Protocol. Identificador de objeto único (Object identifier) Política de Certificación (Certificate Policy) Infraestructura de Clave Públic (Public Key Infrastructure) Prestador de Servicios de Certificación Autoridad de sellado de tiempo (Time Stamp Authority) Autoridad de validación (Validation Authority) Estándares y Organismos de estandarización: CEN CWA ETSI FIPS IETF PKIX PKCS RFC Comité Europeo de Normalización CEN Workshop Agreement European Telecommunications Standard Institute Federal Information Processing Standard Internet Engineer Task Force Grupo de trabajo del IETF sobre PKI Public Key Cryptography Standards Request For Comments SEU P_01-DPC_SEU_V1_1 25/11/2013 Pág.: 17 / 71

18 2 REPOSITORIOS Y PUBLICACION DE INFORMACION 2.1 REPOSITORIOS Acceso Descripción URL Público DPC y Políticas de Certificación Público EC Raíz Público EC Subordinada SEU Público ARL: Lista de CAs Revocadas Público CRL: Lista de Certificados Revocados de usuario final Estos repositorios están referenciados por una URL. Cualquier cambio en las URLs se notificará a todas entidades que puedan verse afectadas. Las direcciones IP correspondientes a cada URL podrán ser múltiples y dinámicas, pudiendo ser modificadas sin previo aviso. 2.2 PUBLICACIÓN DE INFORMACIÓN Toda Entidad de Certificación tiene la obligación de publicar la información relativa a sus prácticas, sus certificados y el estado actualizado de dichos certificados. Todas las publicaciones que realice SEU de cualquier información clasificada como pública, se anunciará en su Web del siguiente modo: Lista de Certificados Revocados (CRL), se encuentra disponible en formato CRL versión 2, en Tanto la DPC actual como las Políticas de Certificación de cada tipo de certificados estarán disponibles en formato electrónico en la web de SEU Las versiones anteriores de la DPC estarán disponibles en la web de SEU, y estarán disponibles en formato PDF. Las llaves públicas de todos los certificados digitales emitidos por la EC subordinada de SEU se pueden consultar en la URL un en formato X.509 v3. Pueden ser consultados por un criterio de búsqueda. Todos los datos de contacto de SEU se encuentran publicados en La relación contractual entre SEU y los suscriptores está basada en la firma de un Contrato de Prestación de Servicios de Certificación y la aceptación de las Condiciones Generales de Contratación de SEU, publicadas en su Web SEU P_01-DPC_SEU_V1_1 25/11/2013 Pág.: 18 / 71

19 2.3 FRECUENCIA DE PUBLICACIÓN La EC Raíz emitirá una Lista de ECs Revocadas (Authority Revocation List o ARL) como mínimo cada seis meses, o extraordinariamente, cuando se produzca la revocación de un certificado de autoridad. Cada EC Subordinada emitirá una Lista de Certificados Revocados (Certificate Revocation List o CRL) diariamente, y de forma extraordinaria, cada vez que se suspenda o revoque un certificado. SEU publicará de forma inmediata cualquier modificación en: La Declaración de Prácticas de Certificación y las Políticas de Certificación. El modelo de Contrato de Prestación de Servicios de Certificación que se establece con el suscriptor y en las Condiciones Generales de Contratación. Los manuales de operaciones y cualquier otra información relevante acerca de los certificados. 2.4 CONTROL DE ACCESO A LOS REPOSITORIOS La DPC, las Condiciones Generales de Contratación, los certificados de EC y las listas de certificados revocados (CRL) se publicarán en repositorios de acceso público sin control de acceso. Los certificados emitidos podrán publicarse en repositorios públicos o de acceso restringido según las necesidades. Los servicios de validación por el protocolo OCSP y de sellado de tiempo por el protocolo TSP serán servicios de acceso restringido y de pago. SEU P_01-DPC_SEU_V1_1 25/11/2013 Pág.: 19 / 71

20 3 IDENTIFICACIÓN Y AUTENTICACIÓN 3.1 REGISTRO DE NOMBRES TIPOS DE NOMBRES Todos los certificados requieren un nombre distintivo (DN o distinguished name) conforme al estándar X.500. Adicionalmente, todos los nombres de los certificados digitales son coherentes con lo dispuesto en las normas: ETSI TS Technical Specification. Policy requirements for certification authorities issuing public key certificates. RFC Internet X.509 Public Key Infrastructure Certificate and CRL Profile, RFC Qualified Certificates Profile NECESIDAD DE QUE LOS NOMBRES SEAN SIGNIFICATIVOS Los campos del DN referentes al Nombre y Apellidos corresponderán con los datos registrados legalmente del suscriptor, expresados exactamente en el formato que conste en la cédula de ciudadanía, pasaporte o cédula de extranjería o documento equivalente reconocido por la ley. En el caso que los datos consignados en el DN fueran ficticios o se indique expresamente su invalidez (ej. PRUEBA o INVÁLIDO ), se considerará al certificado sin validez legal, únicamente válido para realizar pruebas técnicas de interoperabilidad USO DE SEUDÓNIMOS Los certificados no admiten el uso de seudónimo de firmante en ningún caso REGLAS PARA INTERPRETAR VARIOS FORMATOS DE NOMBRES SEU atiende en todo caso a lo marcado por el estándar X.500 de referencia en la ISO/IEC UNICIDAD DE LOS NOMBRES El nombre distinguido (DN) de los certificados emitidos será único para cada suscriptor. Para ello se incluirá como parte del DN, específicamente en el campo CN, el nombre o razón social del titular del certificado. Por lo tanto, la unicidad se garantiza mediante la confianza sobre la unicidad de los nombres mercantiles en el registro mercantil nacional. La EC Raíz define como campo DN (Distinguished Name) del Certificado de Autoridad como único y sin ambigüedad RECONOCIMIENTO, AUTENTICACIÓN Y PAPEL DE LAS MARCAS REGISTRADAS La EC no asume compromisos en la emisión de certificados respecto al uso por los suscriptores de una marca comercial. SEU no permite deliberadamente el uso de un nombre cuyo derecho de uso no sea propiedad del suscriptor. SEU P_01-DPC_SEU_V1_1 25/11/2013 Pág.: 20 / 71