INFORME DE LA SECRETARIA GENERAL DE LA ALADI SOBRE EL PROYECTO PILOTO DE CERTIFICADOS DE ORIGEN DIGITALES (COD)

Transcripción

1 INFORME DE LA SECRETARIA GENERAL DE LA ALADI SOBRE EL PROYECTO PILOTO DE CERTIFICADOS DE ORIGEN DIGITALES (COD) (Versión para el Grupo de Trabajo Ad Hoc)

2 Tabla de contenido 1. Introducción 2. Objetivo General 3. Objetivos Específicos 4. Descripción del Sistema de Certificados de Origen Digitales SCOD 5. Servicios 6. Requerimientos generales (PRELIMINARES) - Hardware - Comunicaciones y Helpdesk - Infraestructura civil. - Certificados digitales de servidores - Planes de contingencia - Certificación de calidad. 7. Cronograma 8. Glosario de Términos Técnicos 2

3 Introducción Con el respaldo institucional de lo dispuesto por la Resolución 59 (XIII), párrafo 19, y en la Resolución 60 (XIII), artículo quinto, del Consejo de Ministros, en las que se resuelve apoyar e impulsar el intercambio de información, coordinación y acciones comunes entre los países miembros en los aspectos técnicos, normativos y de promoción de las TIC para facilitar el comercio, la ALADI ha desplegado un importante esfuerzo en la modernización de los procesos de comercio internacional con la elaboración de la Propuesta para la Digitalización de los Certificados de Origen en el Ámbito de la ALADI (ALADI/SEC/dt 459/Rev.2) en el año Este documento tuvo como objetivo proporcionar elementos que permitieran evaluar la factibilidad de digitalizar el proceso de certificación de origen en el ámbito de la ALADI, mediante la presentación de un modelo de procedimientos básicos de un sistema digital que incluyera, además de la solicitud y emisión de los Certificados de Origen Digitales (COD), la comunicación de las partes involucradas en las operaciones comerciales internacionales mediante el uso de las tecnologías digitales y de redes. Con el objetivo de darle continuidad al proceso iniciado con la elaboración de la referida propuesta de modelo genérico de digitalización de los certificados de origen, un grupo de expertos gubernamentales y del sector privado, especialistas en origen, certificación digital y criptografía analizaron, de conjunto con los técnicos de la Secretaría General, el documento ALADI/SEC/dt 459/Rev.2, a través de un Foro Virtual en Internet, que culminó con la aprobación de los Términos de Referencia para el desarrollo de un Proyecto Piloto de Certificados de Origen Digitales, en la Reunión Presencial de Representantes Gubernamentales y Expertos en Certificación de Origen y Certificación Digital de los países miembros de la ALADI, celebrada en esta Secretaría General los días 30 de noviembre y 1 de diciembre de 2005 (Doc. Inf. 747). A inicios del año 2006 se instituyó el Grupo de Trabajo Ad Hoc, responsable de la implementación del Proyecto Piloto de Certificados de Origen Digitales, para lo cual utiliza un foro virtual en Internet como plataforma de trabajo permanente y ha realizado dos reuniones de coordinación presencial, en mayo y agosto del Dada la necesidad de reconocer la firma digital en los COD, se ha abierto la discusión de un proyecto de Acuerdo de Alcance Regional o Parcial sobre Firma Digital, a través de un foro virtual en Internet, cuyo objetivo es alcanzar una norma jurídica que garantice la equivalencia funcional de la firma digital a la firma autógrafa y que permita el reconocimiento de los COD y, si los países lo tienen a bien, extenderla a otros documentos y trámites vinculados a las operaciones de comercio internacional que se expidan en formato digital. De acuerdo a lo acordado en la III Reunión Presencial, la Secretaría General de la ALADI (SG-ALADI) implementará el Sistema de Certificados de Origen Digitales (SCOD) que es una plataforma tecnológica necesaria para dar soporte logístico a la validación de los COD desde las Aduanas Nacionales y otras instancias oficiales de los países participantes dentro de la Iniciativa de COD y el Espacio de Libre Comercio acordado por el Consejo de Ministros de la ALADI. 3

4 Objetivo General El presente informe, por lo tanto, tiene como primer objetivo describir la estructura, funcionalidad y operatoria del SCOD, el cual deberá ser implementado por la Secretaría General como parte del Proyecto COD, y, en segundo lugar, detallar los requerimientos técnicos y operativos que deberá cumplir la Secretaría General, para alcanzar los objetivos específicos del mismo. Objetivos específicos: 1. Implementar, dentro del SCOD, un Directorio Seguro (DS), basado en el Protocolo LDAP (Lightweight Directory Access Protocol) para el almacenamiento de la información y los datos necesarios para la operación del SCOD; 2. Diseñar y mantener un sistema de consultas interactivas, basadas en XML Web Services, que se publicarán en el DS, los cuales serán utilizados para realizar la validación de los COD; 3. Garantizar la operación del DS las 24 horas de los 365 días del año. Descripción del SCOD El SCOD es un sistema informático, de arquitectura cliente-servidor, cuyo núcleo es una aplicación en plataforma Web para la administración y mantenimiento de un DS y la publicación de Web Services, los cuales serán invocados, a través de Internet, por diversos agentes y programas desde las Aduanas Nacionales de los países miembros. Los modos de interacción de los diversos usuarios con el DS serán, básicamente, de dos tipos: Automático: con otros programas informáticos que, a través de Internet. invocan Web Services publicados en el DS, para la validación de los COD. Manual: Usando el navegador de Internet, en una conexión segura (protocolo SSL), y su Certificado de Identificación Digital (CID) personal, el funcionario habilitado por la Autoridad Habilitante (AH) podrá editar/adicionar/modificar/eliminar el contenido del registro nacional que se publica en el DS, para los efectos pertinentes a la validación automática. Servicios El SCOD permitirá verificar la firma digital de los COD a través de una consulta automática al DS. Dicha consulta se realizará a través de un Web Service publicado en el DS de la ALADI, el cual será invocado en el momento de la validación de los COD. Así, los programas informáticos que demandarán y consumirán los Web Services deberán enviar, en forma de consulta, un mensaje XML con los parámetros necesarios y suficientes para validar un COD. Estos son: el código del país (emisor del COD), el valor hash del CID del Funcionario Habilitado (FH) firmante y la fecha de emisión del COD (Fecha de firma). Empleando estos parámetros es posible buscar el CID correspondiente dentro del DS, verificar que éste fuera emitido por una Autoridad de Certificación (AC) de 4

5 confianza, validar la vigencia del mismo, verificar su estado a través de la consulta a las CRL y validar que corresponde a un FH. Por su parte, la información y los datos necesarios para validar los COD serán almacenados, utilizando un Módulo de Administración Web que se diseñará y dispondrá exclusivamente para el uso de las AH de cada país miembro, a través del cual éstas ingresarán los datos necesarios que se emplearán en el proceso de validación del COD. Entre los datos que se almacenarán en el DS están los CID actualmente vigentes de cada FH y sus CID anteriores, emitidos en un periodo de cinco años. De acuerdo a los requerimientos normativos que se derivan del Régimen de Origen actualmente vigente en la ALADI, el DS mantendrá en su base de datos un registro histórico de todos los FH y sus respectivos CID anteriores. Adicionalmente, se implementarán los siguientes servicios: 1. Consulta por lotes: Se recibirá un listado de consultas (solicitudes de validación de varios COD) y se realizará el proceso en lotes, según el orden de llegada (FIFO First In / First Out). 2. Descarga de las actualizaciones del DS. Para ello habrá que definir: a. Formato de intercambio b. Criterios de actualización c. Periodicidad d. Horario de transferencia e. Concurrencias múltiples y simultáneas por parte de aduanas. 3. Mantenimiento de la información relativa a las CRL. Se implementarán consultas periódicas a las AC intermedias y raíces. 4. Bitácora de actividades. Se llevará un registro de las actividades del DS, por usuario. Finalmente, la ALADI ofrecerá los siguientes servicios complementarios: a. Respaldos Diarios, en DVD, a almacenarse fuera del edificio de la SG-ALADI. b. Seguridad lógica, a través de: - Sensores Intruder Detection System (IDS) de Internet Security Systems (ISS) en cada servidor para bloquear la dirección IP desde donde se produciría un ataque. - Contraseña de administrador compleja y cambiada cada 30 días. - Contratación de un servicio de análisis de vulnerabilidades que realice un análisis periódico, por parte de una firma dedicada a ello y certificada. - Antivirus de servidor actualizado en forma permanente - Testeo de operación correcta. - Aplicación que desde otro servidor revisa si la aplicación está funcionando correctamente y recibe una respuesta. Frente a un mal funcionamiento, emite un sms a varios teléfonos celulares de los funcionarios vinculados al Sistema. c. Seguridad física - Sala de operaciones con acceso restringido - Sensor volumétrico con alarma, fuera del horario de trabajo de la SG-ALADI - Cámaras de video con grabación en DVD que registra el acceso a la Sala de Servidores. - Guardia de seguridad con ronda fuera del horario de trabajo de la SG-ALADI. d. Infraestructura física - UPS con baterías para 2 horas y motor generador con mantenimiento. - Cableado eléctrico totalmente nuevo. 5

6 - Aire acondicionado con contrato de service de mantenimiento mensual. - Sensor de humo con alarma. e. Help desk - Servicio de ayuda al usuario, en horario de la Secretaria General. f. Contingencia - Procedimiento asignando los roles en caso de contingencia - Servicio de Recuperación de Operaciones Informáticas: contratación de una infraestructura de hardware y de comunicaciones fuera del edificio de la SG- ALADI. - Simulacros periódicos. Requerimientos generales (PRELIMINARES) Para alcanzar los objetivos del Proyecto y poder ofrecer los servicios planificados, la ALADI tendrá una infraestructura informática y de comunicaciones que garantizará la operatividad del SCOD de forma ininterrumpida todos los días del año. Considerando que el SCOD es un sistema de misión crítica, se requiere una dedicación exclusiva de personal especializado que pueda atender y responder a las demandas del sistema y de los usuarios, y que garantice niveles de excelencia y confiabilidad en su funcionamiento. Requerimientos de Hardware El núcleo del SCOD estará integrado por dos sitios (A y B), con la misma dotación de equipos, que se estarán replicando de forma automática a través de un canal seguro. Para su funcionamiento, cada uno dispondrá de la siguiente infraestructura: - Un computador con procesador Intel Pentium IV, en función de firewall, con tres tarjetas de red Ethernet de 100 Mbits/s cada una; - Un servidor principal de aplicaciones (Web Server), con doble procesador y tarjeta de red, - Un servidor para desarrollar una estructura compatible con LDAP (Server LDAP) para almacenar los datos del DS, con doble procesador y tarjeta de red. - Dos switches para garantizar la conexión de equipos de protección contra intrusos y estaciones de administración; - Una grabadora de DVD; - Arreglo de discos duros en configuración RAID-5;. - UPS de respaldo; - Otros. Los servidores principales de aplicaciones serán escalables (hasta 8 procesadores); Requerimientos de Comunicaciones y Helpdesk Se dispondrán dos canales independientes de acceso a Internet. Ambos tendrán un ancho de banda (no compartido) no menor a 1 Megabit por segundo (1 mps) y serán proveídos por ISP independientes. Por ejemplo, a través de las empresas Anteldata y Dedicado. Se habilitará un buró de consultas (Servicio de HelpDesk) para atender las solicitudes de información de los usuarios de los países miembros. Este buró utilizará servicios de Chat, y VoIP. 6

7 Requerimientos de Infraestructura civil Los estándares internacionales sobre la materia indican que es necesario acondicionar los servidores de COD en ambiente construido mampostería y vidrios blindados, con puerta de acceso con dispositivo de seguridad, control y autorización del ingreso de personas, entre otros dispositivos, para lo cual se acometerán las acciones pertinentes. Certificados digitales de los servidores Se instalarán certificados en los servidores de aplicaciones, contratados a una AC reconocida por todos los actores del Proyecto COD, de acuerdo a las normativas nacionales. Se contratará los servicios de una AC registrada por los países participantes del Proyecto, siguiendo criterios de calidad/precio. Planes de contingencia Se establecerán reglas de contingencia que garantizarán la integridad del SCOD que evitarán las pérdidas de información del DS por fallas energéticas, ataques cibernéticos y otras causas. (Leer Servicios Complementarios). Certificación de Calidad Se adoptarán los estándares de Calidad Internacional en lo referido a Procesos y Técnicas de Seguridad en Tecnologías de la Información y Sistemas de Administración de la Información Segura según las normas ISO. Estos estándares especifican los requerimientos para establecer, implementar, monitorizar, rever, mantener y mejorar un Sistema de Administración de la Información Segura dentro del contexto de los riesgos de las actividades de la organización. Se especifican requerimientos para la implementación de controles de seguridad adaptados a las necesidades de organizaciones individuales o a partes de ellas. Estos estándares están diseñados para asegurar la selección de controles de seguridad adecuados y proporcionales que protegen la información y brindan confianza a las partes interesadas. Son adecuados para diferentes tipos de uso, incluyendo los siguientes: - Uso en organizaciones para formular sus requerimientos de seguridad y objetivos. - Uso en organizaciones como una forma de asegurarse que los riesgos de seguridad son efectivamente manejados a un costo apropiado. - Uso en organizaciones para asegurarse el cumplimiento de leyes y regulaciones. - Uso en organizaciones como una estructura de procesos para la implementación y manejo de controles para asegurarse que los objetivos de seguridad son alcanzados - Definición de un nuevo Proceso de Administración de la Información Segura. - También son usados por la administración de las organizaciones para determinar el estado de la Administración de las actividades de seguridad. - Son usados por los auditores internos y externos de las organizaciones para determinar el grado de cumplimiento con las políticas, directivas y estándares adoptados por la organización. - Usado por las organizaciones para proveer información relevante de sus políticas de seguridad, directivas, estándares y procedimientos a otras 7

8 organizaciones con las cuales interactúa. - Usado para definir un sistema de seguridad en la información - Usado por las organizaciones para proveer información relevante de su seguridad hacia sus consumidores o clientes. - Implementación de la disponibilidad de la información en forma segura. Cronograma La fase de inicio de las pruebas técnicas está prevista para el 30 de noviembre de 2006, fecha en la cual deberá disponerse de una versión de prueba (beta) del SCOD de la ALADI, según los requerimientos técnicos incluidos en este informe. Fases del Proyecto Piloto (Propuesta) 1. Diseño, desarrollo y programación del SCOD usando la metodología RUP(dos meses aproximadamente): Esta etapa incluye: 1.1. Diseño del esquema de datos que soporte el registro de FH de las EH (actual e histórico) y otros datos complementarios, según la estructura basada en LDAP, que conformará el DS; 1.2. Desarrollo e implementación del DS según el método CRUD; 1.3. Diseño, desarrollo y programación de los Web Services que se invocarán durante las consultas de las aduanas Planificación y desarrollo de la infraestructura informática del DS. 2. Inicio de fase de pruebas (prevista para el 30 de noviembre). Esta etapa puede extenderse por un periodo de 1 a 3 meses. 3. Emisión controlada de COD. En esta etapa se comienzan a emitir COD desde un número reducido de EH de los países participantes. Las aduanas receptoras deberán tener la adecuada infraestructura logística e informática para poder validar los COD (de seis a nueve meses). 4. Plan Piloto Ampliado. Se expande el universo de actores y se realizan pruebas de contingencia. 5. Presentación del Informe Final (Diciembre de 2007). 8

9 Glosario de Términos Técnicos Autoridad de Certificación (AC): Es una tercera parte confiable cuyos propósitos son emitir Certificados de Identificación Digitales, -para entidades, dispositivos y personas que operan e interactúan en Internet- validar la identidad del portador de los mismos y emitir las Listas de Certificados de Identificación Digital Revocados (CRL). Autoridad Habilitante (AH): Organismos oficiales que habilitan y/o controlan a las Entidades Habilitadas a emitir Certificados de Origen. Certificado de Identificación Digital: Es un archivo electrónico que permite establecer las credenciales de las personas, servidores, instituciones y organizaciones participantes en transacciones electrónicas en Internet. El archivo contiene el nombre, número de serie, fecha de expiración, una copia de la clave pública del portador del Certificado (usada para cifrar y descifrar mensajes y firmar documentos electrónicos) y la firma electrónica de la Autoridad de Certificación que lo emitió, de modo que el que lo reciba pueda verificar su autenticidad. Certificado de Origen Digital (COD): Es aquel emitido en formato digital, firmado electrónicamente, enviado a través de redes de transmisión de datos como Internet y almacenado en una base de datos. Criptografía: Se entiende por Criptografía (Kriptos=ocultar, Graphos=escritura) a la técnica de transformar un mensaje inteligible, denominado texto en claro, en otro que sólo puedan entender las personas autorizadas a ello. A este último mensaje se le llama criptograma o texto cifrado. El método o sistema empleado para cifrar el texto en claro se denomina algoritmo de encriptación. CRUD: En computación, CRUD son las siglas que representan la metodología create, retrieve, update, and delete, la cual es usada para referirse a las funciones básicas de una base de datos, directorio de información, etc. DMZ: Del inglés, Demilitarized Zone, y se define así a la parte de la red que no pertenece a la red de área local ni tiene acceso a Internet. Entidades Habilitadas (EH): Se consideran Entidades Habilitadas todas las reparticiones oficiales y entidades privadas autorizadas a emitir Certificados de Origen. FIFO: Del inglés, First in, First out, y es un método de coordinación del flujo secuencial de información en un dispositivo de almacenamiento temporal. Firewall: Computador usado como puerta de entrada que limita el acceso entre las redes, de acuerdo con las políticas locales de seguridad. Firma electrónica/digital: La firma electrónica/digital es un bloque de caracteres que acompaña a un documento (o fichero) que acredita al autor (autenticación) y que garantiza que no exista ninguna manipulación posterior de los datos (integridad). Para firmar un documento digital, su autor utiliza su propia clave secreta a la que sólo él tiene acceso, lo que impide que pueda después negar su autoría (no revocación). De esta forma, el autor queda vinculado al documento así firmado. La validez de dicha firma puede ser comprobada por cualquier persona que disponga de la clave pública del autor. 9

10 Funcionarios Habilitados (FH): Son las personas autorizadas a firmar los Certificados de Origen en las Entidades Habilitadas para la emisión de los mismos. HASH: En computación un hash, o función resumen, se refiere a una función o método para generar claves o llaves que representen de manera unívoca a un documento, registro o archivo electrónicos. Infraestructura de Llaves/Claves Públicas (PKI): Del Inglés Public Key Infrastructure, es un sistema integrado por Certificados de Identificación Digitales, Autoridades de Certificación y Agencias de Registro que verifican y autentican la validez de cada una de las partes involucradas en transacciones en Internet. LDAP (Lighweight Directory Access Protocol) en sí es un servicio de directorio ordenado y distribuido para buscar diversa información en un entorno de red. LDAP puede considerarse una base de datos (aunque su sistema de almacenamiento puede ser otro diferente) al que pueden realizarse consultas. Linux: es la denominación de un sistema operativo y el nombre de un núcleo. Es uno de los paradigmas del desarrollo de software libre (y de código abierto), donde el código fuente está disponible públicamente y cualquier persona, con los conocimientos informáticos adecuados, puede libremente estudiarlo, usarlo, modificarlo y redistribuirlo. Lista de Certificados de Identificación Digital Revocados (CRL): Es un documento electrónico, firmado digitalmente por la Autoridad de Certificación, que se publica periódicamente y contiene la lista de los Certificados de Identificación Digitales que han sido suspendidos o revocados antes de su fecha de expiración o vencimiento. La CRL generalmente indica el nombre del emisor (la Autoridad de Certificación), la fecha de emisión, la fecha de la siguiente emisión de la CRL, los números de serie de los certificados revocados o suspendidos y las razones de la suspensión o revocación. RAID: Del ingles, Redundant Array of Independent (or Inexpensive) Disks, es un arreglo de de discos duros (rígidos) que permite aumentar la tolerancia a los posibles errores o fallas. Es una metodología usada normalmente en servidores da datos. Existen varios niveles del arreglo, donde RAID-5 es uno de los más utilizados. SMS: El servicio de mensajes cortos o SMS (Short Message Service) permite el envío de pequeños mensajes de texto entre teléfonos móviles, teléfonos fijos y otros dispositivos de mano. SOAP (siglas de Simple Object Access Protocol) es un protocolo estándar creado por el W3C que define cómo dos objetos en diferentes procesos pueden comunicarse por medio de intercambio de datos XML. SOAP es uno de los protocolos utilizados en los servicios Web. SSL: Son las siglas de Secure Sockets Layer que es un protocolo diseñado para permitir las comunicaciones cifradas y debidamente autenticadas a través de Internet. El protocolo SSL garantiza tres importantes aspectos: privacidad, autenticación e integridad de los mensajes. UPS: Del inglés Uninterruptible Power Supply, y se define como el equipamiento necesario para garantizar el suministro de energía eléctrica a los sistemas de 10

11 cómputo y las redes de información (computadoras, servidores, conmutadores, concentradores, etc.) en el caso de una interrupción en el servicio eléctrico. URL: Son las siglas de Uniform Resource Locator y es la forma de identificar documentos y otros recursos en la World Wide Web. La primera parte de la dirección indica el protocolo usado (HTTP, FTP, etc.), mientras la segunda especifica la dirección IP o el nombre de dominio donde se ubica el recurso solicitado o invocado, incluidas las carpetas y el nombre del archivo específico. VoIP: Del inglés, Voice Over Internet Protocol, y es la tecnología que permite la transmisión de conversaciones de voz en una red de transmisión de datos, usando el protocolo básico de Internet (IP). VPN: Del inglés, Virtual Private Network, o Red Privada Virtual, y es una red virtual de datos que se establece sobre una infraestructura pública, como Internet, y que garantiza la privacidad de la información y de los datos, a través de un protocolo de túnel y otros procedimientos de seguridad. Web Service: Un servicio Web (en inglés Web service) es una colección de protocolos y estándares que sirven para intercambiar datos entre aplicaciones de software (programas informáticos) en redes de datos, como Internet, y que han sido desarrolladas en plataformas y lenguajes de programación diferentes. La interoperabilidad se consigue mediante la adopción de estándares abiertos. XML: es el acrónimo del inglés extensible Markup Language (lenguaje de marcado ampliable o extensible) desarrollado por el World Wide Web Consortium (W3C). 11