DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN (CPS) de VITSA (efirma)

Transcripción

1 Prestador de Servicios de Certificación VIT S.A. (efirma) DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN (CPS) de VITSA (efirma) Documento: DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN (CPS) de VITSA Versión: 1.0 Razón Social: VIT S.A Marca Comercial: efirma Referencia de la CPS / OID de la CPS: Estado del Documento: APROBADO Fecha de emisión: 20 de Agosto de 2014 Sitio de internet oficial: URL del documento: Clasificación: PÚBLICO Archivo: cps_vitsa_efirma1.docx Nº de páginas: 47 Preparado por: VITSA

2 Tabla de contenido 1 INTRODUCCIÓN Descripción general Nombre e Identificación del documento Participantes de la PKI Autoridades Certificadoras (CA) Autoridad de Registro (RA) Suscriptores Parte que confía Otros participantes Uso del Certificado Usos apropiados del Certificado Usos prohibidos del certificado Administración de la CPS y Políticas Organización que administra el documento Persona de Contacto PERSONA QUE DETERMINA LA ADECUACIÓN DE LA DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN (CPS) A LAS POLÍTICAS PROCEDIMIENTOS DE APROBACIÓN DE LA POLÍTICA DE CERTIFICACIÓN (CP) Definiciones y acrónimos Definiciones Acrónimos RESPONSABILIDADES DE PUBLICACIÓN Y DEL REPOSITORIO Repositorios Publicación de Información de Certificación Tiempo o frecuencia de Publicación Controles de Acceso a los Repositorios IDENTIFICACIÓN Y AUTENTICACIÓN Nombres Tipos de Nombres Necesidad de Nombres significativos Anonimato o seudónimos de los suscriptores Reglas para interpretación de varias formas de Nombres UNICIDAD DE LOS NOMBRES Reconocimiento, autenticación y rol de las marcas registradas Validación inicial de identidad Método para probar posesión de la clave privada Autenticación de identidad de Persona Jurídica Autenticación de identidad de Persona Física Información del Suscriptor no verificada Validación de la Autoridad (Capacidad de hecho) Criterios para interoperabilidad

3 3.3 Identificación y autenticación para solicitudes de re-emisión de claves Identificación y autenticación para re-emisión de claves rutinaria Identificación y autenticación para la re-emisión de claves después de una revocación Identificación y autenticación para solicitudes de revocación REQUERIMIENTOS OPERACIONALES DEL CICLO DE VIDA DEL CERTIFICADO Solicitud del Certificado Quién puede presentar una solicitud de certificado Proceso de Inscripción y responsabilidades Procesamiento de la Solicitud del Certificado Ejecución de las funciones de Identificación y Autenticación Aprobación o rechazo de solicitudes de certificado Tiempo para procesar solicitudes de Certificado Emisión del Certificado Acciones de la CA durante la emisión de los certificados Notificación al suscriptor sobre la emisión del Certificado Digital Aceptación del Certificado Conducta constitutiva de aceptación de certificado Publicación del Certificado por la CA Notificación de la emisión del certificado por la CA a otras entidades Uso del par de claves y del certificado Uso de la Clave privada y del certificado por el Suscriptor Uso de la clave pública y del certificado por la parte que confía Renovación del certificado Circunstancias para renovación de certificado Quién puede solicitar renovación Procesamiento de solicitudes de renovación de certificado NOTIFICACIÓN AL SUSCRIPTOR SOBRE LA EMISIÓN DE UN NUEVOCERTIFICADO Conducta constitutiva de aceptación de un certificadorenovado Publicación por la CA del certificado renovado Notificación por la CA de la emisión de un certificado a otras entidades Re-emisión de claves de certificado Circunstancias para re-emisión de claves de certificado Quien puede solicitar la certificación de una clave pública Procesamiento de solicitudes de re-emisión de claves de certificado Notificación al suscriptor sobre la re-emisión de un nuevo certificado Conducta constitutiva de aceptación de un certificado re-emitido Publicación por la CA de los certificados re-emitidos Notificación por la CA de la re-emisión de un certificado a otras entidades Modificación de certificados Circunstancias para modificación del certificado Quién puede solicitar modificación del certificado Procesamiento de solicitudes de modificación del certificado Notificación al suscriptor de la emisión de un nuevo certificado Conducta constitutiva de aceptación del certificado modificado Publicación por la CA de los Certificados modificados Notificación por la CA de emisión de certificado a otras entidades

4 4.9 Revocación y suspensión Circunstancias para la revocación Quien puede solicitar Revocación Procedimiento para la solicitud de revocación Periodo de gracia para solicitud de revocación Tiempo dentro del cual la CA debe procesar la solicitud de revocación Requerimientos de verificación de revocación para las partes que confían Frecuencia de Emisión del CRL Latencia máxima para CRLs DISPONIBILIDAD DE VERIFICACIÓN DE REVOCACIÓN/ESTADO EN LÍNEA Requerimientos para verificar la revocación en línea Otras formas de advertencias de revocación/estado disponibles Requerimientos especiales por compromiso de clave privada Circunstancias para suspensión Quien puede solicitar la suspensión Procedimiento para la solicitud de suspensión Límites del período de suspensión Servicios de comprobación de estado de Certificado Características operacionales Disponibilidad del Servicio Características opcionales Fin de la suscripción Custodia y recuperación de claves Política y prácticas de custodia y recuperación de claves Políticas y prácticas de recuperación y encapsulación de claves de sesión CONTROLES DE SEGURIDAD FÍSICA, DE GESTIÓN Y DE OPERACIONES Controles físicos Localización y construcción del sitio Acceso físico Energía y Aire acondicionado Exposiciones al agua Prevención y protección contra fuego Almacenamiento de medios Eliminación de residuos Respaldo fuera de sitio Controles procedimentales Roles de confianza Número de personas requeridas por tarea Identificación y autenticación para cada rol Roles que requieren separación de funciones Controles de personal Requerimientos de experiencia, capacidades y autorización Procedimientos de verificación de antecedentes Requerimientos de capacitación Requerimientos y frecuencia de capacitación Frecuencia y secuencia en la rotación de las funciones Sanciones para acciones no autorizadas Requisitos de contratación a terceros Documentación suministrada al personal

5 5.4 Procedimiento de Registro de auditoría Tipos de eventos registrados Frecuencia de procesamiento del registro Período de conservación del registro de auditoría Protección del registro de auditoría Procedimientos de respaldo de registro de auditoría Sistema de recolección de información de auditoría (interno vs externo) Notificación al sujeto que causa el evento Evaluación de Vulnerabilidades Archivos de registros Tipos de registros archivados Periodos de retención para archivos Protección de archivos Procedimientos de respaldo de archivo Requerimientos para sellado de tiempo de registros Sistema de recolección de archivo (interno o externo) Procedimientos para obtener y verificar la información archivada Cambio de clave Recuperación de desastres y compromiso Procedimiento para el manejo de incidente y compromiso Corrupción de datos, software y/o recursos computacionales Procedimientos de compromiso de clave privada de la entidad Capacidad de continuidad del negocio después de un desastre Terminación de una CA CONTROLES TÉCNICOS DE SEGURIDAD Generación e instalación del par de claves Generación del par de claves Entrega de la clave privada al suscriptor Entrega de la Clave Pública al emisor del ertificado Entrega de la clave pública de la CA a las partes que confían Tamaño de la clave Generación de parámetros de clave pública y verificación de calidad Propósitos de usos de clave (Campo key usage x509 v3) Controles de ingeniería del módulo criptográfico y protección de la clave privada Estándares y controles del Módulo criptográfico Control multi-persona de clave privada Custodia de la clave privada Respaldo de la clave privada Archivado de la clave privada Transferencia de clave privada hacia o desde un módulo criptográfico Almacenamiento de la clave privada en el módulo criptográfico Método de activación de clave privada Métodos de desactivación de la clave privada Destrucción de clave privada Clasificación del Módulo criptográfico Otros aspectos de gestión del par de claves Archivo de la clave pública Período operacional del certificado y período de uso del par de claves Datos de activación

6 6.4.1 Generación e instalación de los datos de activación Protección de los datos de activación Otros aspectos de los datos de activación Controles de seguridad del computador Requerimientos técnicos de seguridad de computador específicos Clasificación de la seguridad del computador Controles técnicos del ciclo de vida Controles para el desarrollo del sistema Controles de gestión de seguridad Controles de seguridad del ciclo de vida Controles de seguridad de red Sellado de tiempo (Time-stamping) PERFILES DE CERTIFICADOS, CRL Y OCSP Perfil del Certificado Perfil de certificado PSC VITSA Perfil de la CRL Perfil de LA CRL DEL PSC VITSA Número (s) de versión CRL y extensiones de entradas de CRL Perfil de OCSP Perfil de VALIDACIÓN DEL PSC VITSA Número (s) de versión AUDITORIA DE CUMPLIMIENTO Y OTRAS EVALUACIONES Frecuencia o circunstancias de evaluación Identidad/calidades del evaluador Relación del evaluador con la entidad evaluada Aspectos cubiertos por la evaluación Acciones tomadas como resultado de una deficiencia Comunicación de resultados OTROS ASUNTOS LEGALES Y COMERCIALES Tarifas Tarifas de emisión y administración de certificados Tarifas de acceso a certificados Tarifas de acceso a información del estado o revocación Tarifas por otros servicios Políticas de reembolso Responsabilidad financiera Cobertura de seguro Otros activos Cobertura de seguro o garantía para usuarios finales Confidencialidad de la información comercial Alcance de la información confidencial Información no contenida en el alcance de información confidencial

7 9.4 Privacidad de información personal Plan de Privacidad Información tratada como privada Información que no es considerada como privada Responsabilidad para proteger información privada Notificación y consentimiento para usar información privada Divulgación de acuerdo con un proceso judicial o administrativo Otras circunstancias de divulgación de información Derecho de Propiedad intelectual Representaciones y garantías Representaciones y garantías de la CA Representaciones y garantías de la RA Representaciones y garantías del suscriptor Representaciones y garantías de las partes que confían Representaciones y garantías de otros participantes Exención de garantía Limitaciones de responsabilidad legal Indemnizaciones Plazo y finalización Plazo Finalización Efectos de la finalización y supervivencia Notificación individual y comunicaciones con participantes Enmiendas Procedimientos para enmiendas Procedimiento de publicación y notificación Circunstancias en que los OID deben ser cambiados Disposiciones para resolución de disputas Normativa aplicable Adecuación a la ley aplicable Disposiciones varias Acuerdo completo Asignación Divisibilidad Aplicación (Honorarios de Abogados y renuncia de derechos) Fuerza mayor Otras disposiciones

8 1 INTRODUCCIÓN 1.1 DESCRIPCIÓN GENERAL El presente documento contiene la Declaración de Prácticas de Certificación (CPS) de VITSA. VITSA es un Prestador de Servicios de Certificación, entidad habilitada ante la Autoridad de Aplicación establecida por Ley en Paraguay y encargada de operar la Autoridad Certificadora VITSA en el marco de la PKI Paraguay y la legislación correspondiente. La Autoridad Certificadora VITSA está subordinada a la Autoridad Certificadora Raíz del Paraguay y presta servicios de emisión, gestión, revocación y otros servicios inherentes a la certificación digital, asumiendo también las funciones de Autoridad de Registro en el marco de la PKI Paraguay. La presente Declaración de Prácticas de Certificación constituye el compendio general de normas aplicables a toda actividad certificadora de VITSA como Prestador de Servicios de Certificación. Sin embargo, las distintas especialidades aplicables a cada uno de los diferentes tipos de certificados que se emitan se establecen en las distintas Políticas de Certificación de cada tipo de certificado que, como normas complementarias y específicas, prevalecerán sobre la presente Declaración de Prácticas de Certificación en lo que se refiera a cada tipo de certificado. En este documento se detallan las normas y condiciones generales de los servicios de certificación que presta VITSA relacionadas, entre otros, con la gestión de los datos de los certificados, las condiciones aplicables a la solicitud, expedición, uso, suspensión y extinción de la vigencia de los certificados, y las medidas de seguridad técnicas y organizativas, y los mecanismos de resguardo y accesibilidad a la información relacionadas con la actividad de prestación de servicios de certificación. Las presentes Prácticas de Certificación fueron elaboradas conforme a las recomendaciones establecidas en el RFC 3647 INTERNET X.509 Public Key Infrastructure. Certificate Policy and Certification Practices Framework propuesto por Network Working Group para este tipo de documentos, y tomando como base para las mismas el marco legal de aplicación en Paraguay y cumpliendo con las definiciones y exigencias de la Autoridad Certificadora Raíz del Paraguay. Esta Declaración de Prácticas de Certificación (CPS) de VITSA junto a lo especificado en las Políticas de Certificación de cada tipo de certificado guardan concordancia con las disposiciones de la POLÍTICA DE CERTIFICACIÓN DE LA INFRAESTRUCTURA DECLAVE PÚBLICA DEL PARAGUAY. 1.2 NOMBRE E IDENTIFICACIÓN DEL DOCUMENTO Nombre: Declaración de Prácticas de Certificación (CPS) de VITSA Descripción: Este documento expone la CPS de a el PSC VITSA del Prestador de Servicios de Certificación VITSA (PSC VITSA). Versión: 1.0 Referencia de la CPS / OID de la CPS: Estado del Documento: APROBADO Fecha de emisión: 20 de Agosto de 2014 Sitio de internet oficial: URL del documento:

9 1.3 PARTICIPANTES DE LA PKI AUTORIDADES CERTIFICADORAS (CA) Dentro del marco de la PKI Paraguay, son entidades autorizadas a emitir certificados de clave pública la propia Autoridad Certificadora Raíz del Paraguay (CA Raíz) y la Autoridad Certificadora de Prestadores de Servicios de Certificación (PSC), subordinada la CA Raíz. VITSA es un Prestador de Servicios de Certificación y dispone de la Autoridad Certificadora VITSA (CA VITSA) subordinada a la CA Raíz del Paraguay. Su función es la emisión de certificados para entidades con o sin personalidad jurídica. La información del Certificado del PSC VITSA es un certificado X.509versión 3 firmado por la CA Raíz de Paraguay disponible en con: CN = CA-VIT S.A. O = VIT S.A. C = PY SERIALNUMBER = RUC AUTORIDAD DE REGISTRO (RA) Esta CPS se aplica a las Autoridades de Registro que VITSA emplee en los procedimientos de emisión y gestión de certificados. VITSA cumple funciones de RA ejecutando las tareas de identificación de los solicitantes, suscriptores y poseedores de claves de los certificados, comprobación de la documentación acreditativa e información que consta en los certificados, así como la validación y aprobación de las solicitudes de emisión, revocación y renovación de los certificados. Todo esto se realiza según el tipo de Certificado y la especificación de la presente CPS y Políticas correspondientes. VITSA podrá establecer sucursales en todo el territorio de la República del Paraguay respecto a las funciones de Registro bajo su responsabilidad, cumpliendo las normas y procedimientos establecidos en la normativa vigente, previa comunicación y autorización de la AA SUSCRIPTORES En el contexto de esta CPS y en relación al PSC VITSA, es suscriptor toda persona física o jurídica a quien se emite un certificado digital por el PSC VITSA dentro la jerarquía PKI Paraguay PARTE QUE CONFÍA Es toda persona física o jurídica que confía en un certificado y/o en las firmas digitales generadas a partir de los certificados emitidos por el PSC VITSA dentro la jerarquía PKI Paraguay. Una parte que confía puede o no ser un suscriptor OTROS PARTICIPANTES No estipulado. 1.4 USO DEL CERTIFICADO USOS APROPIADOS DEL CERTIFICADO Las Políticas de Certificación correspondientes a cada tipo de certificado emitido por VITSA constituyen los documentos en los que se determinan los usos de cada certificado USOS PROHIBIDOS DEL CERTIFICADO Los certificados emitidos deben ser utilizados conforme el marco de la normativa vigente que rige la materia, de la presente CPS y de las Políticas de Certificación correspondientes a cada tipo de certificado. 1.5 ADMINISTRACIÓN DE LA CPS Y POLÍTICAS ORGANIZACIÓN QUE ADMINISTRA EL DOCUMENTO - 9 -

10 Nombre: VIT S.A. RUC: Dirección:. España N 2028 c/ Brasilia. 6to piso Teléfono: Dirección de correo electrónico: info@efirma.com.py Página Web: PERSONA DE CONTACTO Nombre: Nadia Raquel González Morinigo Dirección: España N 2028 c/ Brasilia.6to piso Teléfono: Dirección de correo electrónico: info@efirma.com.py PERSONA QUE DETERMINA LA ADECUACIÓN DE LA DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN (CPS) A LAS POLÍTICAS La entidad competente para determinar la adecuación de esta CPS a las diferentes Políticas de Certificación de VITSA es el Directorio y el personal autorizado de VITSA conforme con los Estatutos de la empresa. Además, según establecido en la normativa vigente, el Director General de Firma Digital y Comercio Electrónico será el encargado de determinar la adecuación de la CPS del PSC que forme parte de la PKI Paraguay, en este caso de la CPS de VITSA PROCEDIMIENTOS DE APROBACIÓN DE LA POLÍTICA DE CERTIFICACIÓN (CP) El Directorio y el personal autorizado de VITSA, conforme con los Estatutos de la empresa, aprobará el contenido de las Políticas de Certificación y sus posteriores enmiendas o modificaciones, y luego será puesta a consideración de la Dirección General de Firma Digital y Comercio Electrónico y autoridades pertinentes del Ministerio de Industria y Comercio para su aprobación. 1.6 DEFINICIONES Y ACRÓNIMOS DEFINICIONES VIT S.A: Denominación de la Empresa, encargada del servicio de emisión y comercialización de certificados digitales. efirma: Marca Comercial utilizada para identificar los servicios de la empresa. Acuerdo de Suscriptores: Es un acuerdo entre la CA Raíz y el PSC, y entre el PSC y el usuario final, que establece los derechos y responsabilidades de las partes con respecto a la emisión y gestión de los certificados. Éste acuerdo, requiere la aceptación explícita tanto del PSC, como del suscriptor, respectivamente. Autenticación: Proceso técnico que permite determinar la identidad de la persona que firma electrónicamente, en función del mensaje firmado por éste, y al cual se le vincula. Éste proceso no otorga certificación notarial ni fe pública. Autoridad de Aplicación (AA): Ministerio de Industria y Comercio a través de la Dirección General de Firma Digital y Comercio Electrónico, dependiente de la Subsecretaría de Estado de Comercio. Órgano Regulador competente designado por Ley, establecido por el artículo 38 de la Ley 4610/2012 que modifica y amplía la Ley N 4017/2010 De validez jurídica de la Firma Electrónica, Firma Digital, los Mensajes de Datos y el Expediente Electrónico. Autoridad Certificadora (CA): Entidad que presta servicios de emisión, gestión, revocación u otros servicios inherentes a la certificación digital. Asimismo, puede asumir las funciones de una RA. En el marco de la

11 PKI Paraguay, son Autoridades Certificadoras, la CA Raíz del Paraguay y el PSC. Autoridad Certificadora Raíz (CA Raíz): Es la Autoridad de Certificación Raíz de la PKI Paraguay, cuya función principal es habilitar al PSC y emitirle certificados digitales. Posee un certificado auto firmado y es a partir de allí, donde comienza la cadena de confianza. Autoridad de Registro (RA): Entidad responsable de la identificación y autenticación de titulares de certificados digitales, la misma no emite ni firma certificados. Una RA puede ayudar en el proceso de solicitud del certificado, en el proceso de revocación o en ambos. La RA, no necesita ser un organismo separado sino que puede ser parte de la CA. Certificado Digital (CD): Es un documento electrónico, generado y firmado por una CA legalmente habilitada para el efecto, el cual vincula un par de claves con una persona física o jurídica confirmando su identidad. Cifrado asimétrico: Tipo de cifrado que utiliza un par de claves criptográficas diferentes(ejemplo: privado y público) y matemáticamente relacionados. Claves criptográficas: Valor o código numérico que se utiliza con un algoritmo criptográfico para transformar, validar, autenticar, cifrar y descifrar datos. Clave Privada: Es una de las claves de un sistema de criptografía asimétrico que se emplea para generar una firma digital sobre un mensaje de datos y es mantenida en reserva por el titular de la firma digital. Clave Pública: Es la otra clave del sistema de criptografía asimétrica, que es usada por el destinatario de un mensaje de datos para verificar la firma digital puesta en dicho mensaje. La clave pública puede ser conocida por cualquier persona. Compromiso: Violación de la seguridad de un sistema a raíz de una posible divulgación no autorizada de información sensible. Datos de activación: Valores de los datos, distintos a las claves, que son requeridos para operar los módulos criptográficos y que necesitan estar protegidos. Declaración de Prácticas de Certificación (CPS): Declaración de las prácticas que emplea una CA al emitir certificados y que define la infraestructura, políticas y procedimientos que utiliza la CA para satisfacer los requisitos especificados en la CP vigente. Emisión: Comprende la generación, validación y firma de los Certificados; el proceso degeneración es una función de la Autoridad de Registro, la validación y firma, función de la CA. Emisor del certificado: Organización cuyo nombre aparece en el campo emisor de un certificado. Encriptación: Proceso para convertir la información a un formato más seguro. Se convierte mediante un proceso matemático a un formato codificado, es decir ininteligible. Estándares Técnicos Internacionales: Requisitos de orden técnico y de uso internacional que deben observarse en la emisión de firmas electrónicas y en las prácticas de certificación. Firma Digital: Es una firma electrónica certificada por un prestador habilitado, que ha sido creada usando medios que el titular mantiene bajo su exclusivo control, de manera que se vincula únicamente al mismo y a los datos a lo que se refiere, permitiendo la detección posterior de cualquier modificación, verificando la identidad del titular e impidiendo que desconozca la integridad del documento y su autoría. Huella digital (Código de verificación o resumen): Secuencia de bits de longitud fija obtenida como resultado de procesar un mensaje de datos con un algoritmo, de tal manera que: (1) el mensaje de datos produzca siempre el mismo código de verificación cada vez que se le aplique dicho algoritmo (2) sea

12 improbable, a través de medios técnicos, que el mensaje de datos pueda ser derivado o reconstruido a partir del código de verificación producido por el algoritmo (3) sea improbable, por medios técnicos, se pueda encontrar dos mensajes de datos que produzcan el mismo código de verificación al usar el mismo algoritmo. Identificación: Procedimiento de reconocimiento de la identidad de un solicitante o titular de certificado dentro de la jerarquía PKI Paraguay. Identificador de Objeto (OID): Serie única de números enteros, que identifica inequívocamente un objeto de información. Infraestructura de Clave Pública (PKI): Es un conjunto de personas, políticas, procedimientos y sistemas informáticos necesarios para proporcionar servicios de autenticación, integridad y no repudio, mediante el uso de criptografía de claves públicas y privadas y de certificados digitales, así como la publicación de información, consultas de vigencia y validez de los mismos Integridad: Característica que indica que un mensaje de datos o un documentos electrónico no ha sido alterado desde la transmisión por el iniciador hasta su recepción por el destinatario. Lista de certificados revocados (CRL): Lista emitida por una CA, publicada periódicamente y que contiene los certificados que han sido revocados antes de sus respectivas fechas de vencimiento. Módulo criptográfico: Software o Hardware criptográfico que genera y almacena claves criptográficas. Módulo de Seguridad de Hardware (HSM, Hardware Security Module): Dispositivo criptográfico basado en hardware que genera, almacena y protege claves criptográficas. No Repudio: Refiere que la posesión de un documento electrónico y la firma digital asociada al mismo, será prueba efectiva del contenido y del autor del documento. Par de claves: Son las claves privada y pública de un criptosistema asimétrico. La clave privada y la clave pública están relacionadas matemáticamente y poseen ciertas propiedades, entre ellas que es imposible deducir la clave privada de la clave pública conocida. PKCS#10 (Certification Request Syntax Standard): Estándar desarrollado por RSA que define la sintaxis de una petición de certificado. Parte que confía: Es toda persona física o jurídica que confía en un certificado y/o en las firmas digitales generadas a partir de un certificado, emitidos bajo la PKI Paraguay. Perfil del certificado: Especificación del formato requerido para un tipo particular de certificado (incluyendo requisitos para el uso de los campos estándar y extensiones) Periodo de operación: Periodo de vigencia de un certificado, que comienza en la fecha y la hora en que es emitido por una CA, y termina en la fecha y la hora en que expira o se revoca el mismo. Periodo de uso: Refiere al tiempo establecido para los certificados emitidos dentro la jerarquía de la PKI para determinados usos. Política: Orientaciones o directrices que rigen la actuación de una persona o entidad en un asunto o campo determinado. Política de Certificación: (CP) Documento en el cual la CA, define el conjunto de reglas que indican la aplicabilidad de un certificado a una comunidad particular y/o una clase de aplicaciones con requisitos comunes de seguridad. Práctica: Modo o método que particularmente observa alguien en sus operaciones

13 Prestador de Servicios de Certificación (PSC): Entidad habilitada ante la AA, encargada de operar una CA en el marco de la PKI Paraguay. El PSC debe contar con un certificado digital emitido por la CA Raíz y solo podrá emitir certificados a usuarios finales. Registro de Auditoría: Registro cronológico de las actividades del sistema, el cual es suficiente para permitir la reconstrucción, revisión e inspección de la secuencia de los ambientes y de las actividades que rodean o que conducen a cada acontecimiento en la ruta de una transacción desde su inicio hasta la salida de los resultados finales. Repositorio: Sitio principal de internet confiable y accesible, mantenido por la CA con el fin de difundir su información pública. Rol de confianza: Función crítica que desempeña personal de la CA, que si se realizan satisfactoriamente puede tener un impacto adverso sobre el grado de confianza proporcionado por la CA. Ruta del certificado: Secuencia ordenada de certificados de entidades que, junto a la clave pública de la entidad inicial en la ruta, puede ser procesada para obtener la clave pública de la entidad final en la ruta Servicio OCSP: Permite utilizar un protocolo estándar para realizar consultas en línea al servidor de la CA sobre el estado de un certificado. Solicitud de Firma de Certificado (CSR): Es una petición de certificado digital que se envía a la CA. Mediante la información contendida en el CSR, la CA, puede emitir el certificado digital una vez realizadas las comprobaciones que correspondan. Suscriptor: Persona física o jurídica titular de un certificado digital emitido por una CA. Usuario final: Persona física o jurídica que adquiere un certificado digital de un PSC. Validez de la firma: Aplicabilidad (apto para el uso previsto) y estado (activo, revocado o expirado) de un certificado. Verificación de la firma: Determinación y validación de: a) que la firma digital fue creada durante el periodo operacional de un certificado válido por la clave privada correspondiente a la clave pública que se encuentra en el certificado; b) que el mensaje no ha sido alterado desde que su firma digital fue creada. X. 500: Estándar desarrollado por la ITU que define las recomendaciones del directorio. Da lugar a la serie de recomendaciones siguientes: X.501, X.509, X.511. X.518, X.519, X.520, X.521, X.525. X. 509: Estándar desarrollado por la ITU, que define el formato electrónico básico para certificados electrónicos ACRÓNIMOS C CA CA Raíz CI CIE CN CP CPS CRL CSR DGFD&CE País (del inglés, Country) Autoridad de Certificación de (Certification Authority) Autoridad Certificadora Raíz del Paraguay Cédula de Identidad Cédula de identidad extranjera Nombre Comun (del inglés, Common Name) Declaración de Políticas de Certificación Declaración de Prácticas de Certificación (del inglés, Certification Practices Statement) Lista de Certificados Revocados (Certificates revocation list) Solicitud de firma de Certificado (del inglés, Certificate Signing Request) Dirección General de Firma Digital y Comercio Electrónico de la subsecretaría de

14 DNS ETSI FIPS ISO ITU-T MIC O OCSP OID OU PKI PSC PY RA RFC RUC SN SSL URL Comercio. Servicio de Nombres de Dominio (Domain Name Server) Instituto Europeo de Normas de Telecomunicaciones (European Telecomunications Standards Institute) Estándares Federales de Procesamiento de la Información (Federal Information Processing Standards) Organización Internacional para la Estandarización (ISO por sus siglas en inglés International Organization for Standardization). Unión Internacional de Telecomunicaciones Sector de Normalización de las telecomunicaciones (ITU-T por sus siglas en inglés International Telecomunication Union Telecomunication Standardization Sector) Ministerio de Industria y Comercio Organización (del inglés Organization) Servicio de validación de certificados en línea (OCSP por sus siglas en inglés Online Certificate Status Protocol). Identificador de Objeto (OID por sus siglas en inglés Object Identifier). Unidad Organizacional (OU, por sus siglas en inglés Organization Unit) Infraestructura de Clave Pública (PKI por sus siglas en inglés Public Key Infrastructure). Prestador de Servicios de Certificación Paraguay Autoridad de Registro (RA por sus siglas en inglés Registration Authority). Petición de Comentarios (RFC por sus siglas en inglés Request for Comments) Registro único del Contribuyente Número de Serie (del inglés, Serial Number) Capa de Conexión Segura (SSL por sus siglas en inglés Secure Sockets Layer) Localizador uniforme de recursos (URL por sus siglas en inglés Uniform Resource Locator). 2 RESPONSABILIDADES DE PUBLICACIÓN Y DEL REPOSITORIO 2.1. REPOSITORIOS VITSA es responsable de las funciones de Repositorio para su CAVITSA. El servicio de Repositorio aquí referido no contiene ninguna información de naturaleza confidencial. 2.2 PUBLICACIÓN DE INFORMACIÓN DE CERTIFICACIÓN El PSC VITSA mantiene un Repositorio público en su sitio principal de internet que permita a las partes que confían verificar en línea la revocación de un Certificado y cualquier otra información necesaria para validar el estado del mismo. Se mantiene publicada, entre otros aspectos, la versión actualizada de: Las CP y CPS que implementa El Certificado de la CA Raíz El Certificado del PSC VITSA subordinada a la CA Raíz La Lista de Certificados Revocados

15 Proforma de Contrato de Suscriptor Las Resoluciones que habilitan, suspenden o revocan al PSC VITSA La información relevante de la última auditoría que hubiere sido objeto Leyes, decretos, reglamentos y resoluciones que rigen la actividad de la PKI Paraguay Identificación, domicilio y medios de contacto El PSC VITSA dispone del siguiente sitio de internet como Repositorio público de información: y cuyo acceso es irrestricto. 2.3 TIEMPO O FRECUENCIA DE PUBLICACIÓN Las actualizaciones de la CPS, Políticas de Certificación y del Acuerdo de Suscriptores serán publicadas cuando sufran modificaciones y sean aprobadas por las autoridades correspondientes. La información de estados de certificados es publicada de acuerdo con a lo dispuesto en el punto de esta CPS. El resto de la información del Repositorio público será actualizada a la brevedad posible, no superando un día hábil. 2.4 CONTROLES DE ACCESO A LOS REPOSITORIOS La información publicada en el Repositorio es accesible únicamente para consulta, siendo el acceso a lectura libre y gratuito. El PSC VITSA dispone de los mecanismos adecuados para garantizar la integridad de los datos publicados en el Repositorio y su fiabilidad. 3 IDENTIFICACIÓN Y AUTENTICACIÓN 3.1 NOMBRES TIPOS DE NOMBRES Todo certificado emitido por el PSC VITSA contienen los datos que identifican al suscriptor o sujeto titular. Estos datos están expresados en notación DN (Distinguished Name), y los referenciamos como nombre distintivo del suscriptor(suscriberdn). Un nombre distintivo se compone de un conjunto de atributos, que consisten en un nombre o etiqueta y un valor asociado. Los tipos y forma de los nombres distintivos para los suscriptores de certificados dependen del tipo de suscriptor y certificado. La documentación específica de los tipos de nombre utilizados por el PSC VITSA son Según lo especificado en las Políticas de Certificación de cada tipo de certificado. También los certificados contienen los datos del emisor del mismo en notación DN, los cuales referenciamos como nombre distintivo del emisor (IssuerDN)y que para el PSC VITSA es el siguiente: Emisor (IssuerDN): CN = CA-VIT S.A. O = VIT S.A. C = PY SERIALNUMBER = RUC

16 NECESIDAD DE NOMBRES SIGNIFICATIVOS Las reglas definidas correspondientes a cada tipo de suscriptor garantizan que los nombres distintivos(dn) de los certificados son suficientemente significativos y permiten vincular la clave pública con una identidad o entidad ANONIMATO O SEUDÓNIMOS DE LOS SUSCRIPTORES No se admite el anonimato. No se admite e luso de seudónimos en el Certificado REGLAS PARA INTERPRETACIÓN DE VARIAS FORMAS DE NOMBRES La regla primaria para interpretar el formato los nombres distintivos de los suscriptores en los certificados que emite VITSA es X.500 Distinguished Name(DN). Las reglas particulares para interpretar nombres que se utilizan en los certificados emitidos por el PSC VITSA dependen de su tipo: Según lo especificado en las Políticas de Certificación de cada tipo de certificado UNICIDAD DE LOS NOMBRES El nombre distintivo del suscriptor -subject Distinguished Name- es único dentro del PSC VITSA. Las reglas definidas en esta CSP y Políticas de Certificación de los certificados de VITSA garantizan que el nombre distintivo del suscriptor en los certificados es suficientemente significativo para vincularlo con una identidad o entidad. Consideraciones particulares respecto de unicidad de los nombres que se utilizan en los certificados emitidos por el PSC VITSA pueden depender de su tipo y serán según lo especificado en las Políticas de Certificación de cada tipo de certificado RECONOCIMIENTO, AUTENTICACIÓN Y ROL DE LAS MARCAS REGISTRADAS El PSC VITSA no arbitrará, mediará o resolverá ninguna disputa concerniente a la propiedad de nombres, nombres de dominio, nombres de empresas o instituciones y marcas registradas. Se prohíbe a los solicitantes de certificados que incluyan nombres en las solicitudes que puedan suponer infracción de derechos de terceros. VITSA no determina si un solicitante de certificados tiene derecho sobre las marcas que puedan aparecer en una solicitud de certificado. VITSA se reserva el derecho de rechazar una solicitud de certificado a causa de conflicto de nombre. 3.2 VALIDACIÓN INICIAL DE IDENTIDAD El proceso de comprobación de identidad del suscriptor tiene como objetivo garantizar que el suscriptor sea el que se indica en la solicitud del certificado y que la información que se incluye en el certificado sea exacta. En principio, la exactitud y veracidad de la información proporcionada por el suscriptor es atribuida al mismo, sin perjuicio de la respectiva comprobación por parte del PSC VITSA MÉTODO PARA PROBAR POSESIÓN DE LA CLAVE PRIVADA La generación de la solicitud de certificación se hará en presencia del solicitante utilizando mecanismos que garanticen la posesión inequívoca de la clave privada por parte del solicitante. En otros casos, la posesión de la clave privada correspondiente a la clave pública para la que se solicita que se genere el certificado, quedará probada mediante el envío de la solicitud de certificado u otras demostraciones criptográficas equivalentes, aprobadas por el PSC VITSA y la DGFD&CE, en la cual se incluirá la clave pública firmada mediante la clave privada asociada.el PSCVITSA define los métodos para que el solicitante pueda probar la posesión de la clave privada según lo especificado en las Políticas de Certificación de cada tipo de certificado AUTENTICACIÓN DE IDENTIDAD DE PERSONA JURÍDICA El PSC VITSA, en su función de Autoridad de Registro, autentica la identidad de la empresa o institución solicitantes según lo especificado en las Políticas de Certificación de cada tipo de certificado. Se comprueba fehacientemente la identidad del solicitante del certificado antes de la emisión del mismo,

17 tanto de la entidad solicitante (empresa o institución), como de la persona solicitante y sus atribuciones legales para realizar la solicitud, de conformidad con las normas técnicas establecidas por la Autoridad de Aplicación AUTENTICACIÓN DE IDENTIDAD DE PERSONA FÍSICA El PSC VITSA, en su función de Autoridad de Registro, autentica la identidad de la persona solicitante según lo especificado en las Políticas de Certificación de cada tipo de certificado. Se comprueba fehacientemente la identidad del solicitante del certificado antes de la emisión del mismo, de conformidad con lo establecido por la Autoridad de Aplicación INFORMACIÓN DEL SUSCRIPTOR NO VERIFICADA Para todos los suscriptores se verifica la información contenida en el certificado según lo especificado en las Políticas de Certificación de cada tipo de certificado VALIDACIÓN DE LA AUTORIDAD (CAPACIDAD DE HECHO) Según lo especificado en las Políticas de Certificación de cada tipo de certificado CRITERIOS PARA INTEROPERABILIDAD No se aplicarán criterios de interoperabilidad con otros prestadores de servicios de certificación para la autenticación de identidad de solicitantes. 3.3 IDENTIFICACIÓN Y AUTENTICACIÓN PARA SOLICITUDES DE RE-EMISIÓN DE CLAVES IDENTIFICACIÓN Y AUTENTICACIÓN PARA RE-EMISIÓN DE CLAVES RUTINARIA No se permite la re-emisión de claves. Para la renovación de un certificado se generan nuevas claves y se crea un nuevo certificado. Una renovación de certificado implica que el suscriptor deba solicitar uno nuevo, es decir, para la renovación de un certificado se debe iniciar una nueva solicitud de certificado, como la primera vez que se realizó. La identificación y autenticación se realiza de igual forma que para la validación inicialsegún lo especificado en las Políticas de Certificación de cada tipo de certificado IDENTIFICACIÓN Y AUTENTICACIÓN PARA LA RE-EMISIÓN DE CLAVES DESPUÉS DE UNA REVOCACIÓN No se permite la re-emisión de claves. Luego de una revocación se puede solicitar la emisión de un nuevo certificado. Se debe iniciar una nueva solicitud de certificado, como la primera vez que se realizó. La identificación y autenticación se realiza de igual forma que para la validación inicial según lo especificado en las Políticas de Certificación de cada tipo de certificado. 3.4 IDENTIFICACIÓN Y AUTENTICACIÓN PARA SOLICITUDES DE REVOCACIÓN Los suscriptores que cuenten con un certificado emitido por el PSC VITSA podrán solicitar la revocación de su certificado. La revocación de un certificado es un proceso por el cual se termina prematuramente su período de validez, y se realiza cuando se detecta un mal uso del certificado o se sospecha de compromiso de su clave privada asociada, entre otros. En estos casos, dicha solicitud debe ser realizada por el suscriptor mismo, en forma presencial o remota. También, existen motivos por los cuales la solicitud de revocación de un certificado puede ser solicitada por una entidad autorizada o un tercero autorizado para tales propósitos. Los detalles los medios de identificación y autenticación para solicitudes de revocación se detallan Según lo especificado en las Políticas de Certificación de cada tipo de certificado

18 4 REQUERIMIENTOS OPERACIONALES DEL CICLO DE VIDA DEL CERTIFICADO La presente Declaración de Prácticas de Certificación regula los requisitos operativos comunes a los certificados emitidos. La regulación específica para cada tipo de certificado deberá consultarse en la documentación aplicables según lo especificado en las Políticas de Certificación de cada tipo de certificado. 4.1 SOLICITUD DEL CERTIFICADO Para emitir un certificado es necesario realizar una solicitud de emisión según lo especificado en las Políticas de Certificación de cada tipo de certificado. No será necesaria nueva solicitud de emisión en el caso de emisiones realizadas como consecuencia de una revocación debida a fallos técnicos en la emisión y/o distribución del certificado o documentación relacionada QUIÉN PUEDE PRESENTAR UNA SOLICITUD DE CERTIFICADO Según lo especificado en las Políticas de Certificación de cada tipo de certificado PROCESO DE INSCRIPCIÓN Y RESPONSABILIDADES El proceso de inscripción y responsabilidades para los solicitantes y suscriptores es Según lo especificado en las Políticas de Certificación de cada tipo de certificado. El PSC VITSA tiene la responsabilidad de: Ejecutar el proceso de registro Verificar de identidad del solicitante. Validar la información suministrada en la solicitud de certificado (CSR). Informar al suscriptor de sus deberes y responsabilidades con respecto al uso de certificados Emitir y entregar el certificado de acuerdo con la información suministrada en la solicitud PROCESAMIENTO DE LA SOLICITUD DEL CERTIFICADO EJECUCIÓN DE LAS FUNCIONES DE IDENTIFICACIÓN Y AUTENTICACIÓN El PSC VITSA ejecuta las funciones de identificación y autenticación para los certificados que emite de acuerdo con las disposiciones establecidas en el punto 3.2 y según lo especificado en las Políticas de Certificación de cada tipo de certificado APROBACIÓN O RECHAZO DE SOLICITUDES DE CERTIFICADO El PSC VITSA realiza el análisis de la solicitud de certificados conforme a la normativa y a lo establecido en esta CPS y según lo especificado en las Políticas de Certificación de cada tipo de certificado. Se aprobarán las solicitudes de certificado que cumplan con estos criterios. Se rechazarán las solicitudes de certificado en los casos que no se dé cumplimiento a la normativa vigente y a lo establecido en la CPS y según lo especificado en las Políticas de Certificación de cada tipo de certificado TIEMPO PARA PROCESAR SOLICITUDES DE CERTIFICADO El tiempo de procesamiento del CSR (lapso de tiempo entre la solicitud emitida a el PSC VITSA y la emisión del certificado del suscriptor), cualquiera sea el caso y tipo de certificado, será el menor posible. Dicho plazo es según lo especificado en las Políticas de Certificación de cada tipo de certificado. El tiempo máximo para procesar solicitudes de certificado será de 5 (cinco) días hábiles

19 4.3 EMISIÓN DEL CERTIFICADO ACCIONES DE LA CA DURANTE LA EMISIÓN DE LOS CERTIFICADOS Una vez ejecutadas las labores previas de identificación y autenticación de los solicitantes, el PSC VITSA verificará que se hayan cumplido los procedimientos establecidos en esta CPS y en la Política de Certificación correspondiente, de acuerdo con las normas técnicas y legislación vigente que rige la materia. El PSC VITSA realizará las siguientes acciones durante la emisión de los certificados: Asegurarse que la generación de un par de claves y un certificado se haya realizado de manera segura de acuerdo a la sección Asociación del par de claves que corresponde al certificado con un suscriptor, y que el par de claves se encuentre en su posesión Emisión del certificado digital de acuerdo con el Nombre Distintivo asociado con el suscriptor y según la Política de Certificación correspondiente, firmado por el PSC VITSA. En ningún momento el PSC VITSA accederá a la clave privada del solicitante. Las acciones que requieran de consideraciones adicionales por tipo de certificado serán Según lo especificado en las Políticas de Certificación de cada tipo de certificado NOTIFICACIÓN AL SUSCRIPTOR SOBRE LA EMISIÓN DEL CERTIFICADO DIGITAL En el caso que el certificado sea emitido en un dispositivo de seguridad criptográfico en presencia del suscriptor en el PSC VITSA: esta notificación no será necesaria. En el caso que la emisión no sea en forma presencial: luego de emitido el certificado, el PSC VITSA notificará por medios electrónicos al suscriptor que se ha creado el certificado, que se encuentra disponible y la forma de obtenerlo ACEPTACIÓN DEL CERTIFICADO CONDUCTA CONSTITUTIVA DE ACEPTACIÓN DE CERTIFICADO Una vez emitido el certificado de Persona física o Jurídica por el PSC VITSA, el solicitante debe aceptar el certificado aceptando los términos del Acuerdo de Suscriptore según lo especificado en las Políticas de Certificación de cada tipo de certificado PUBLICACIÓN DEL CERTIFICADO POR LA CA El PSC VITSA no publicará los certificados emitidos en los Repositorios de acceso público. Sólo se publicará información del estado de los mismos NOTIFICACIÓN DE LA EMISIÓN DEL CERTIFICADO POR LA CA A OTRAS ENTIDADES El PSC VITSA no notificará a otras entidades externas acerca de sus certificados emitidos. 4.5 USO DEL PAR DE CLAVES Y DEL CERTIFICADO USO DE LA CLAVE PRIVADA Y DEL CERTIFICADO POR EL SUSCRIPTOR El uso de la clave privada correspondiente a la clave pública, contenida en el certificado, solamente será permitido una vez que el suscriptor haya aceptado el Acuerdo de Suscriptores y el certificado emitido. Como reglas de uso general, los suscriptores deben: Usar el certificado conforme a la normativa vigente, lo estipulado en la Política de Certificación y en esta CPS. Proteger su clave privada del uso no autorizado y una vez expirado o revocado el certificado, su uso queda expresamente prohibido. Notificar al PSC VITSA sobre: o La pérdida, robo o extravío del dispositivo criptográfico,

20 o o o El compromiso potencial de su clave privada, La pérdida de control sobre su clave privada, debido al compromiso de los datos de activación o por cualquier otra causa, Las inexactitudes o cambios en el contenido del certificado que conozca o pudiera contener el suscriptor. Reglas adicionales de uso se aplican según lo especificado en las Políticas de Certificación de cada tipo de certificado USO DE LA CLAVE PÚBLICA Y DEL CERTIFICADO POR LA PARTE QUE CONFÍA La parte que confía debe aceptar las estipulaciones establecidas en la presente política, en todo lo que les resulte aplicable, como condición indispensable para confiar en el certificado. Antes de cualquier acto de confianza, la parte que confía debe evaluar en forma independiente: Que el certificado sea utilizado para un propósito apropiado, y que no esté prohibido o restringido por la presente política. El PSC VITSA no es responsable de esta tarea. El estado del certificado y el estado de todos los certificados de las CA en la cadena que emitieron los certificados. 4.6 RENOVACIÓN DEL CERTIFICADO No se permite la renovación de certificados. Cuando un certificado requiera ser renovado, debe solicitarse uno nuevo de acuerdo con la sección 4.1 de esta CPS y según lo especificado en las Políticas de Certificación de cada tipo de certificado CIRCUNSTANCIAS PARA RENOVACIÓN DE CERTIFICADO No aplica QUIÉN PUEDE SOLICITAR RENOVACIÓN No aplica PROCESAMIENTO DE SOLICITUDES DE RENOVACIÓN DE CERTIFICADO No aplica NOTIFICACIÓN AL SUSCRIPTOR SOBRE LA EMISIÓN DE UN NUEVOCERTIFICADO No aplica CONDUCTA CONSTITUTIVA DE ACEPTACIÓN DE UN CERTIFICADORENOVADO No aplica PUBLICACIÓN POR LA CA DEL CERTIFICADO RENOVADO No aplica NOTIFICACIÓN POR LA CA DE LA EMISIÓN DE UN CERTIFICADO A OTRAS ENTIDADES No aplica. 4.7 RE-EMISIÓN DE CLAVES DE CERTIFICADO No se permite la re-emisión de claves de certificados. En este caso, debe solicitarse uno nuevo de acuerdo con la sección 4.1 de esta CPS y según lo especificado en las Políticas de Certificación de cada tipo de certificado CIRCUNSTANCIAS PARA RE-EMISIÓN DE CLAVES DE CERTIFICADO No aplica QUIEN PUEDE SOLICITAR LA CERTIFICACIÓN DE UNA CLAVE PÚBLICA No aplica PROCESAMIENTO DE SOLICITUDES DE RE-EMISIÓN DE CLAVES DE CERTIFICADO No aplica