POLÍTICA DE CERTIFICACIÓN DE LA AUTORIDAD CERTIFICADORA RAÍZ DEL PARAGUAY

Transcripción

1 Pagina 1 Re polución N 1399, POLÍTICA DE CERTIFICACIÓN DE LA AUTORIDAD CERTIFICADORA RAÍZ DEL PARAGUAY Ministerio de Industria y Comercio Viceministerio de Comercio República del Paraguay DOC-PKI-02 VERSIÓN 4.0 mg. 1;00 t* tes : 10o Tool

2 Pagina 2 N 1393 CONTROL DOCUMENTAL Documento Título: Política de Certificación de la Nombre Archivo: Autoridad Certificadora Raíz del Paraguay. Código: DOC-PKI-02 Soporte Lógico: Fecha: 28/10/2016 Versión: 4.0 Ubicación Física: DGFDyCE Versión Fecha Registro de Cambios Motivo de Cambio Nombre Ministerio de Industria Comercio (MIC) Autoridad Certificadora (CA) Documento Público Distribución del documento y Área Comercio Electrónico (DGFDyCE) Prestadores de Servicio de Certificación (PSC) Control del Documento Preparado por: Revisado por: Aceptado por: lng. Lucas Sotomayor Lic. Claudia Dacak.24 Sc. Mario Monges Lic. Noelia Smith M. Sc. Rodys Rolón

3 Pagina 3 N CONTENIDO 1. INTRODUCCIÓN DESCRIPCIÓN GENERAL NOMBRE E IDENTIFICACIÓN DEL DOCUMENTO PARTICIPANTES DE LA PKI AUTORIDAD DE CERTIFICACIÓN (CA) AUTORIDAD DE REGISTRO (RA) SUSCRIPTORES PARTE QUE CONFÍA OTROS PARTICIPANTES USO DEL CERTIFICADO USOS APROPIADOS DEL CERTIFICADO USOS PROHIBIDOS DEL CERTIFICADO ADMINISTRACIÓN DE LA POLÍTICA ORGANIZACIÓN QUE ADMINISTRA EL DOCUMENTO PERSONA DE CONTACTO PERSONA QUE DETERMINA LA ADECUACIÓN DE LA CPS A LA POLÍTICA PROCEDIMIENTOS DE APROBACIÓN DE LA POLÍTICA DE CERTIFICACIÓN (CP) DEFINICIONES Y ACRÓNIMOS DEFINICIONES ACRÓNIMOS RESPONSABILIDADES DE PUBLICACIÓN Y DEL REPOSITORIO REPOSITORIOS PUBLICACIÓN DE INFORMACIÓN DE CERTIFICACIÓN TIEMPO O FRECUENCIA DE PUBLICACIÓN CONTROLES DE ACCESO A LOS REPOSITORIOS 31 s Rolón A. GENERAL pejo Elactrénks

4 Pagina 4 N 13 - Abog. s Floión A. DIREC R GENERAL Fuma Digtiy rch Electrónico 3. IDENTIFICACIÓN Y AUTENTICACIÓN NOMBRES TIPOS DE NOMBRES NECESIDAD DE NOMBRES SIGNIFICATIVOS ANONIMATO O SEUDÓNIMOS DE LOS SUSCRIPTORES REGLAS PARA INTERPRETACIÓN DE VARIAS FORMAS DE NOMBRES UNICIDAD DE LOS NOMBRES RECONOCIMIENTO, AUTENTICACIÓN Y ROL DE LAS MARCAS REGISTRADAS VALIDACIÓN INICIAL DE IDENTIDAD MÉTODO PARA PROBAR POSESIÓN DE LA CLAVE PRIVADA AUTENTICACIÓN DE IDENTIDAD DE PERSONA JURÍDICA AUTENTICACIÓN DE IDENTIDAD DE PERSONA FÍSICA INFORMACIÓN DEL SUSCRIPTOR NO VERIFICADA VALIDACIÓN DE LA AUTORIDAD (CAPACIDAD DE HECHO) CRITERIOS PARA INTEROPERABILIDAD IDENTIFICACIÓN Y AUTENTICACIÓN PARA SOLICITUDES DE RE EMISIÓN DE CLAVES IDENTIFICACIÓN Y AUTENTICACIÓN PARA RE EMISIÓN DE CLAVES RUTINARIA IDENTIFICACIÓN Y AUTENTICACIÓN PARA LA RE EMISIÓN DE CLAVES DESPUÉS DE UNA REVOCACIÓN IDENTIFICACIÓN Y AUTENTICACIÓN PARA SOLICITUDES DE REVOCACIÓN REQUERIMIENTOS OPERACIONALES DEL CICLO DE VIDA DEL CERTIFICADO SOLICITUD DEL CERTIFICADO QUIÉN PUEDE PRESENTAR UNA SOLICITUD DE CERTIFICADO PROCESO DE INSCRIPCIÓN Y RESPONSABILIDADES APROBACIÓN O RECHAZO DE SOLICITUDES DE CERTIFICADO 38

5 Pagina 5 N Abog.LRodys Ación A. DIRECTOR GENERAL Rima Goal y CorwroloEktánkio TIEMPO PARA PROCESAR SOLICITUDES DE CERTIFICADO EMISIÓN DEL CERTIFICADO ACCIONES DE LA CA DURANTE LA EMISIÓN DE LOS CERTIFICADOS NOTIFICACIÓN AL SUSCRIPTOR SOBRE LA EMISIÓN DEL CERTIFICADO DIGITAL ACEPTACIÓN DEL CERTIFICADO CONDUCTA CONSTITUTIVA DE ACEPTACIÓN DE CERTIFICADO PUBLICACIÓN DEL CERTIFICADO POR LA CA NOTIFICACIÓN DE LA EMISIÓN DEL CERTIFICADO POR LA CA A OTRAS ENTIDADES USO DEL PAR DE CLAVES Y DEL CERTIFICADO USO DE LA CLAVE PRIVADA Y DEL CERTIFICADO POR EL SUSCRIPTOR USO DE LA CLAVE PÚBLICA Y DEL CERTIFICADO POR LA PARTE QUE CONFÍA RENOVACIÓN DEL CERTIFICADO CON CAMBIO DE CLAVE CAUSA PARA RENOVACIÓN DE CERTIFICADO QUIÉN PUEDE SOLICITAR RENOVACIÓN PROCEDIMIENTO DE SOLICITUD DE RENOVACIÓN DE CERTIFICADO NOTIFICACIÓN AL SUSCRIPTOR SOBRE LA EMISIÓN DE UN NUEVO CERTIFICADO CONDUCTA CONSTITUTIVA DE ACEPTACIÓN DE UN CERTIFICADO RENOVADO PUBLICACIÓN POR LA CA DEL CERTIFICADO RENOVADO NOTIFICACIÓN POR LA CA DE LA EMISIÓN DE UN CERTIFICADO A OTRAS ENTIDADES RENOVACIÓN DEL CERTIFICADO SIN CAMBIO DE CLAVE CIRCUNSTANCIAS PARA RE-EMISIÓN DE CLAVES DE CERTIFICADO QUIEN PUEDE SOLICITAR LA CERTIFICACIÓN DE UNA CLAVE PÚBLICA PROCESAMIENTO DE SOLICITUDES DE RE-EMISIÓN DE CLAVES DE CERTIFICADO 43

6 Pagina 6 Revlución N 392 bog. ys Rolón A. DIRE GENERAL FInne Digital Ido Electrónico NOTIFICACIÓN AL SUSCRIPTOR SOBRE LA RE-EMISIÓN DE UN NUEVO CERTIFICADO CONDUCTA CONSTITUTIVA DE ACEPTACIÓN DE UN CERTIFICADO RE- EMITIDO PUBLICACIÓN POR LA CA DE LOS CERTIFICADOS RE-EMITIDOS NOTIFICACIÓN POR LA CA DE LA RE-EMISIÓN DE UN CERTIFICADO A OTRAS ENTIDADES MODIFICACIÓN DE CERTIFICADOS CIRCUNSTANCIAS PARA MODIFICACIÓN DEL CERTIFICADO QUIÉN PUEDE SOLICITAR MODIFICACIÓN DEL CERTIFICADO PROCESAMIENTO DE SOLICITUDES DE MODIFICACIÓN DEL CERTIFICADO NOTIFICACIÓN AL SUSCRIPTOR DE LA EMISIÓN DE UN NUEVO CERTIFICADO CONDUCTA CONSTITUTIVA DE ACEPTACIÓN DEL CERTIFICADO MODIFICADO PUBLICACIÓN POR LA CA DE LOS CERTIFICADOS MODIFICADOS NOTIFICACIÓN POR LA CA DE EMISIÓN DE CERTIFICADO A OTRAS ENTIDADES REVOCACIÓN Y SUSPENSIÓN CIRCUNSTANCIAS PARA LA REVOCACIÓN QUIEN PUEDE SOLICITAR REVOCACIÓN PROCEDIMIENTO PARA LA SOLICITUD DE REVOCACIÓN PERIODO DE GRACIA PARA SOLICITUD DE REVOCACIÓN TIEMPO DENTRO DEL CUAL LA CA DEBE PROCESAR LA SOLICITUD DE REVOCACIÓN REQUERIMIENTOS DE VERIFICACIÓN DE REVOCACIÓN PARA LAS PARTES QUE CONFÍAN FRECUENCIA DE EMISIÓN DEL CRL LATENCIA MÁXIMA PARA CRLS 47

7 Pagina 7 N 13a9,Abog. ys Rolón A. DIREC R GENERAL Rrma Dig O Electrónico DISPONIBILIDAD DE VERIFICACIÓN DE REVOCACIÓN/ ESTADO EN LÍNEA REQUERIMIENTOS PARA VERIFICAR LA REVOCACIÓN EN LÍNEA OTRAS FORMAS DE ADVERTENCIAS DE REVOCACIÓN DISPONIBLES REQUERIMIENTOS ESPECIALES POR COMPROMISO DE CLAVE PRIVADA CIRCUNSTANCIAS PARA SUSPENSIÓN QUIEN PUEDE SOLICITAR LA SUSPENSIÓN PROCEDIMIENTO PARA LA SOLICITUD DE SUSPENSIÓN LÍMITES DEL PERÍODO DE SUSPENSIÓN SERVICIOS DE COMPROBACIÓN DE ESTADO DE CERTIFICADO CARACTERÍSTICAS OPERACIONALES DISPONIBILIDAD DEL SERVICIO CARACTERÍSTICAS OPCIONALES FIN DE LA SUSCRIPCIÓN CUSTODIA Y RECUPERACIÓN DE CLAVES POLÍTICA Y PRÁCTICAS DE CUSTODIA Y RECUPERACIÓN DE CLAVES POLÍTICAS Y PRÁCTICAS DE RECUPERACIÓN Y ENCAPSULACIÓN DE CLAVES DE SESIÓN CONTROLES DE SEGURIDAD FÍSICA, DE GESTIÓN Y DE OPERACIONES CONTROLES FÍSICOS LOCALIZACIÓN Y CONSTRUCCIÓN DEL SITIO ACCESO FÍSICO ENERGÍA Y AIRE ACONDICIONADO EXPOSICIONES AL AGUA PREVENCIÓN Y PROTECCIÓN CONTRA FUEGO ALMACENAMIENTO DE MEDIOS ELIMINACIÓN DE RESIDUOS RESPALDO FUERA DE SITIO 51

8 Pagina 8 N Abog.,R dys Rolón A. DIREC Fl GENERAL Firma NOW y ftle Eletténico 5.2 CONTROLES PROCEDIMENTALES ROLES DE CONFIANZA NÚMERO DE PERSONAS REQUERIDAS POR TAREA IDENTIFICACIÓN Y AUTENTICACIÓN PARA CADA ROL ROLES QUE REQUIEREN SEPARACIÓN DE FUNCIONES CONTROLES DE PERSONAL REQUERIMIENTOS DE EXPERIENCIA, CAPACIDADES Y AUTORIZACIÓN PROCEDIMIENTOS DE VERIFICACIÓN DE ANTECEDENTES REQUERIMIENTOS DE CAPACITACIÓN REQUERIMIENTOS Y FRECUENCIA DE CAPACITACIÓN FRECUENCIA Y SECUENCIA EN LA ROTACIÓN DE LAS FUNCIONES SANCIONES PARA ACCIONES NO AUTORIZADAS REQUISITOS DE CONTRATACIÓN A TERCEROS DOCUMENTACIÓN SUMINISTRADA AL PERSONAL PROCEDIMIENTO DE REGISTRO DE AUDITORÍA TIPOS DE EVENTOS REGISTRADOS FRECUENCIA DE PROCESAMIENTO DEL REGISTRO PERÍODO DE CONSERVACIÓN DEL REGISTRO DE AUDITORÍA PROTECCIÓN DEL REGISTRO DE AUDITORÍA PROCEDIMIENTOS DE RESPALDO DE REGISTRO DE AUDITORÍA SISTEMA DE RECOLECCIÓN DE INFORMACIÓN DE AUDITORÍA (INTERNO VS EXTERNO) NOTIFICACIÓN AL SUJETO QUE CAUSA EL EVENTO EVALUACIÓN DE VULNERABILIDADES ARCHIVOS DE REGISTROS TIPOS DE REGISTROS ARCHIVADOS PERIODOS DE RETENCIÓN PARA ARCHIVOS PROTECCIÓN DE ARCHIVOS 53

9 Pagina 9 N PROCEDIMIENTOS DE RESPALDO DE ARCHIVO REQUERIMIENTOS PARA SELLADO DE TIEMPO DE REGISTROS SISTEMA DE RECOLECCIÓN DE ARCHIVO (INTERNO O EXTERNO) PROCEDIMIENTOS PARA OBTENER Y VERIFICAR LA INFORMACIÓN ARCHIVADA CAMBIO DE CLAVE RECUPERACIÓN DE DESASTRES Y COMPROMISO PROCEDIMIENTO PARA EL MANEJO DE INCIDENTE Y COMPROMISO CORRUPCIÓN DE DATOS, SOFTWARE Y/0 RECURSOS COMPUTACIONALES PROCEDIMIENTOS DE COMPROMISO DE CLAVE PRIVADA DE LA ENTIDAD CAPACIDAD DE CONTINUIDAD DEL NEGOCIO DESPUÉS DE UN DESASTRE TERMINACIÓN DE UNA CA 54 6 CONTROLES TÉCNICOS DE SEGURIDAD GENERACIÓN E INSTALACIÓN DEL PAR DE CLAVES GENERACIÓN DEL PAR DE CLAVES ENTREGA DE LA CLAVE PRIVADA AL SUSCRIPTOR ENTREGA DE LA CLAVE PÚBLICA AL EMISOR DEL CERTIFICADO ENTREGA DE LA CLAVE PÚBLICA DE LA CA A LAS PARTES QUE CONFÍAN TAMAÑO DE LA CLAVE GENERACIÓN DE PARÁMETROS DE CLAVE PÚBLICA Y VERIFICACIÓN DE CALIDAD PROPÓSITOS DE USOS DE CLAVE ESTÁNDARES Y CONTROLES DEL MÓDULO CRIPTOGRÁFICO CONTROL MULTI-PERSONA DE CLAVE PRIVADA CUSTODIA DE LA CLAVE PRIVADA RESPALDO DE LA CLAVE PRIVADA 60 Abog. R DIRECT :irme Digital y Co s Rolón A. GENERAL ciclo Electrónico

10 Pagina 10 N -I ARCHIVADO DE LA CLAVE PRIVADA TRANSFERENCIA DE CRIPTOGRÁFICO ALMACENAMIENTO CRIPTOGRÁFICO CLAVE PRIVADA HACIA O DESDE UN MÓDULO 61 DE LA CLAVE PRIVADA EN EL MÓDULO MÉTODO DE ACTIVACIÓN DE CLAVE PRIVADA MÉTODOS DE DESACTIVACIÓN DE LA CLAVE PRIVADA DESTRUCCIÓN DE CLAVE PRIVADA CLASIFICACIÓN DEL MÓDULO CRIPTOGRÁFICO OTROS ASPECTOS DE GESTIÓN DEL PAR DE CLAVES ARCHIVO DE LA CLAVE PÚBLICA PERÍODO OPERACIONAL DEL CERTIFICADO Y PERÍODO DE USO DEL PAR DE CLAVES DATOS DE ACTIVACIÓN GENERACIÓN E INSTALACIÓN DE LOS DATOS DE ACTIVACIÓN PROTECCIÓN DE LOS DATOS DE ACTIVACIÓN OTROS ASPECTOS DE LOS DATOS DE ACTIVACIÓN 63 FI Ab 6.5 CONTROLES DE SEGURIDAD DEL COMPUTADOR REQUERIMIENTOS TÉCNICOS DE SEGURIDAD DE COMPUTADOR ESPECÍFICOS CLASIFICACIÓN DE LA SEGURIDAD DEL COMPUTADOR 6.6 CONTROLES TÉCNICOS DEL CICLO DE VIDA CONTROLES PARA EL DESARROLLO DEL SISTEMA CONTROLES DE GESTIÓN DE SEGURIDAD CONTROLES DE SEGURIDAD DEL CICLO DE VIDA 6.7 CONTROLES DE SEGURIDAD DE RED 6.8. CONTROLES DE INGENIERÍA DEL MÓDULO CRIPTOGRÁFICO 7. PERFILES DE CERTIFICADOS, CRL Y OCSP odys Rolón A. TOR GENERAL y 7.1 PERFIL DEL CERTIFICADO NÚMERO (S) DE VERSIÓN

11 Pagina 11 N EXTENSIONES DEL CERTIFICADO IDENTIFICADORES DE OBJETO DE ALGORITMOS FORMAS DEL NOMBRE RESTRICCIONES DEL NOMBRE IDENTIFICADOR DE OBJETO DE POLÍTICA DE CERTIFICADO USO DE LA EXTENSIÓN RESTRICCIONES DE POLÍTICA (POLICY CONSTRAINTS) SEMÁNTICA Y SINTAXIS DE LOS CALIFICADORES DE POLÍTICA (POLICY QUALIFIERS) SEMÁNTICA DE PROCESAMIENTO PARA LA EXTENSIÓN DE POLÍTICAS DE CERTIFICADO (CERTIFICATE POLICIES) PERFILES PERFIL DE CERTIFICADO DE LA CA RAÍZ PERFIL DE CERTIFICADOS DE LOS PSC PERFIL DE LA CRL NÚMERO (S) DE VERSIÓN CRL Y EXTENSIONES DE ENTRADAS DE CRL PERFIL DE OCSP NÚMERO (S) DE VERSIÓN EXTENSIONES DE OCSP AUDITORIA DE CUMPLIMIENTO Y OTRAS EVALUACIONES FRECUENCIA O CIRCUNSTANCIAS DE EVALUACIÓN IDENTIFICACIÓN/CUALIFICACIÓN DEL EVALUADOR RELACIÓN DEL EVALUADOR CON LA ENTIDAD EVALUADA ASPECTOS CUBIERTOS POR LA EVALUACIÓN ACCIONES TOMADAS COMO RESULTADO DE UNA DEFICIENCIA COMUNICACIÓN DE RESULTADOS OTROS ASUNTOS LEGALES Y COMERCIALES TARIFAS 80 Abog, DIRECT Firma Digital y s Rajón A. GENERAL role Electrónico

12 Pagina 12 Resplución N a TARIFAS DE EMISIÓN Y ADMINISTRACIÓN DE CERTIFICADOS TARIFAS DE ACCESO A CERTIFICADOS TARIFAS DE ACCESO A INFORMACIÓN DEL ESTADO O REVOCACIÓN TARIFAS POR OTROS SERVICIOS POLÍTICAS DE REEMBOLSO RESPONSABILIDAD FINANCIERA COBERTURA DE SEGURO OTROS ACTIVOS COBERTURA DE SEGURO O GARANTÍA PARA USUARIOS FINALES CONFIDENCIALIDAD DE LA INFORMACIÓN COMERCIAL ALCANCE DE LA INFORMACIÓN CONFIDENCIAL INFORMACIÓN NO CONTENIDA EN EL ALCANCE DE INFORMACIÓN CONFIDENCIAL PRIVACIDAD DE INFORMACIÓN PERSONAL PLAN DE PRIVACIDAD INFORMACIÓN TRATADA COMO PRIVADA INFORMACIÓN QUE NO ES CONSIDERADA COMO PRIVADA RESPONSABILIDAD PARA PROTEGER INFORMACIÓN PRIVADA NOTIFICACIÓN Y CONSENTIMIENTO PARA USAR INFORMACIÓN PRIVADA DIVULGACIÓN DE ACUERDO CON UN PROCESO JUDICIAL O ADMINISTRATIVO OTRAS CIRCUNSTANCIAS DE DIVULGACIÓN DE INFORMACIÓN DERECHO DE PROPIEDAD INTELECTUAL REPRESENTACIONES Y GARANTÍAS REPRESENTACIONES Y GARANTÍAS DE LA CA REPRESENTACIONES Y GARANTÍAS DE LA RA REPRESENTACIONES Y GARANTÍAS DEL SUSCRIPTOR REPRESENTACIONES Y GARANTÍAS DE LAS PARTES QUE CONFÍAN 82 Abog DIRE 'Irme Digital dys Robín A. R GENERAL anemia El/cara/te

13 Pagina 13 N REPRESENTACIONES Y GARANTÍAS DE OTROS PARTICIPANTES EXENCIÓN DE GARANTÍA LIMITACIONES DE RESPONSABILIDAD LEGAL INDEMNIZACIONES PLAZO Y FINALIZACIÓN PLAZO FINALIZACIÓN EFECTOS DE LA FINALIZACIÓN Y SUPERVIVENCIA NOTIFICACIÓN INDIVIDUAL Y COMUNICACIONES CON PARTICIPANTES ENMIENDAS PROCEDIMIENTOS PARA ENMIENDAS PROCEDIMIENTO DE PUBLICACIÓN Y NOTIFICACIÓN CIRCUNSTANCIAS EN QUE LOS OID DEBEN SER CAMBIADOS DISPOSICIONES PARA RESOLUCIÓN DE DISPUTAS NORMATIVA APLICABLE ADECUACIÓN A LA LEY APLICABLE DISPOSICIONES VARIAS ACUERDO COMPLETO ASIGNACIÓN DIVISIBILIDAD APLICACIÓN (HONORARIOS DE ABOGADOS Y RENUNCIA DE DERECHOS) FUERZA MAYOR OTRAS DISPOSICIONES DOCUMENTOS DE REFERENCIA 85 Abog. R DIREC Firma ana l s Rolón A. ENERAL mio Electrónico

14 Pagina 14 N INTRODUCCIÓN 1.1. DESCRIPCIÓN GENERAL El Ministerio de Industria y Comercio (MIC), a través del Viceministerio de Comercio, se constituye en la Autoridad de Aplicación (AA) conforme lo dispone la Ley que rige la materia. La Comercio Electrónico (DGFDyCE) es la dependencia designada para ejecutar las funciones atribuidas al MIC en su calidad de AA. Entre sus funciones principales se encuentran: Administrar la Autoridad Certificadora Raíz del Paraguay (CA Raíz). Dictar las normas que regulen los servicios de certificación digital en el país. Recepcionar, procesar y expedirse sobre solicitudes de habilitación de interesados en constituirse en Prestador de Servicios de Certificación (PSC). Inspeccionar y auditar al Prestador de Servicios de Certificación habilitado. Revocar la habilitación del PSC Imponer sanciones al PSC. En la cúspide de la jerarquía de la Infraestructura de Clave Pública del Paraguay (PKI Paraguay), por sus siglas en inglés Public Key Infrastructure, se ubica la CA Raíz, la misma cuenta con un certificado autofirmado y aceptado por los terceros que confían en la PKI Paraguay. Los certificados digitales emitidos por la CA Raíz, se rigen y ajustan a la presente Política de Certificación (CP), cuyo cumplimiento es de carácter obligatorio. Esta CP fue elaborada conforme a las recomendaciones establecidas en el RFC 3647 "INTERNET X.509 Public Key Infrastructure. Certificate Policy and Certification Practices Framework"; y contiene los principios y reglas relativos a la gestión de certificados digitales, las normas mínimas y básicas que debe cumplir la CA Raíz, el uso de los certificados digitales, entre otras cuestiones relacionadas con a PK Abow. Ro A. DIRECT EN ERAL Firme Net y m'e Electrónico

15 Pagina 15 N J33.97 En resumen, esta CP es específicamente aplicable a: Autoridad Certificadora Raíz del Paraguay (CA Raíz). Prestador de Servicios de Certificación (PSC). o Autoridad de Certificación Intermedia. o Autoridad de Registro (RA). o Autoridad de Validación (VA). Suscriptor. Parte que confía. Esta política contempla los siguientes tipos de certificados: Certificado de CA Raíz. Certificado de PSC. El PSC, una vez habilitado, pasa a ser parte de la cadena de confianza de la PKI Paraguay, y debe contar con un certificado digital firmado y emitido por la CA Raíz, generando de esta manera una estructura jerárquica como se muestra en la figura 1. En el Paraguay, la cadena de certificación tiene como máximo dos niveles, en el primer nivel se encuentra la CA Raíz, en el segundo nivel, uno o varios PSC; éstos solo podrán emitir certificados digitales a usuarios finales. Figura 1 e Autoridad Certificadora Ral N Abog. Rdds Rolón A. DIRECTO ENERAL Irme Digital y Autoridad Codificadora del Prestador Habilitado A (PSC z Autoridad Certificadora del Prestador Habilitado S (PSC) Autoridad C rtificadora del Prestador abilitado C (PSC)

16 Pagina 16 Resplución N NOMBRE E IDENTIFICACIÓN DEL DOCUMENTO Nombre: Política de Certificación de la Autoridad Certificadora Raíz del Paraguay. Versión: 4.0 Fecha de aprobación: Sitio de Internet oficial: PARTICIPANTES DE LA PKI Las entidades y personas intervinientes en la PKI son: Autoridad de Certificación (CA). Autoridad de Registro (RA). Suscriptores. Terceros que confían. Otros participantes AUTORIDAD DE CERTIFICACIÓN (CA). Son las entidades autorizadas a emitir certificados de claves públicas dentro de la PKI Paraguay. Esto incluye a: Ministerio de Industria y Comercio (MIC), en su carácter de Autoridad Certificadora Raíz del Paraguay (CA Raíz) o Autoridad de Certificación Raíz del Paraguay (CA Raíz), indistintamente; emite certificados a los PSC bajo la jerarquía del Certificado Raíz, el cual es auto-firmado y a partir de él, se inicia la cadena de confianza. Subordinados al Certificado Raíz, se encuentran los certificados emitidos al PSC; Prestador de Servicios de Certificación (PSC), en su carácter de Autoridad Abog. DIREC Fina Digital y ys Rolón A. GENERAL rcio Electrónico Certificadora Intermedia, es la persona jurídica que emite certificados digitales para personas físicas y/o jurídicas que permiten identificar a dichos titulares. El PSC, una vez habilitado, pasa a ser parte de la cadena de confianza de la PKI Paraguay, y debe contar con un certificado digital firmado y emitido por la CA Raíz, generando de esta manera, una estructura jerárquica.

17 Pagina 17 N AUTORIDAD DE REGISTRO (RA) La RA ejecuta labores de identificación y autenticación del solicitante de un Certificado, valida los requisitos de identificación y atributos del solicitante, dependiendo del tipo de certificado y de la especificación de la Política pertinente. Además, tramita las solicitudes de emisión y revocación de certificados. La DGFDyCE y el PSC cumplen funciones de RA. La actividad de identificación y registro del PSC será realizada durante el proceso de habilitación, no habiendo otra autoridad de registro en el ámbito de la CA Raíz, más que la DGFDyCE. El PSC podrá delegar las funciones de registro a otras organizaciones, que siempre estarán bajo su responsabilidad y control, cumpliendo las normas y procedimientos establecidos en la normativa vigente, previa comunicación y autorización de la AA. La RA podrá llevar a cabo sus actividades en una sede fija o en modalidad móvil, siempre que medie autorización de la AA SUSCRIPTORES Respecto a la CA Raíz, es suscriptor el PSC; en relación a este último, es suscriptor toda persona física o jurídica a quien se emite un certificado digital, dentro de la jerarquía PKI Paraguay PARTE QUE CONFÍA Es toda persona física o jurídica que confía en un certificado y/o en las firmas digitales relacionadas con el mismo, emitidos dentro de la jerarquía PKI Paraguay. Una parte que confía puede o no ser un suscriptor OTROS PARTICIPANTES Sin estipulaciones. Atlgg. Rod Ion A. DIRECTO ENERAL Firma OigitS y C Electrónico

18 Pagina 18 N J USO DEL CERTIFICADO USOS APROPIADOS DEL CERTIFICADO Es un certificado autofirmado utilizado para firmar certificados de PSC y CRL de la CA Raíz. Certificado de CA Raíz Firma de Certificado (Certificate Signing) Firma de CRL sin conexión (Off line CRL Signing) Certificado emitido por la CA Raíz, utilizado por el PSC con el único propósito de validar la cadena de confianza de la PKI, firmar los certificados emitidos a sus suscriptores Certificado de PSC. finales y firmar la lista de certificados revocados. Firma de Certificado (Certificate Signing) Firma de CRL (CRL Signing) USOS PROHIBIDOS DEL CERTIFICADO Los certificados emitidos deben ser utilizados en el marco de la normativa vigente que rige la materia. Cualquier otro uso de los certificados no especificado en esta CP y en la normativa vigente, está fuera del alcance y responsabilidad de esta CP. El uso indebido del certificado, será sancionado por la AA, inclusive con la revocación del M O. bog. s Rolón A. DIREC GENERAL Firma Digital momio Electrónico

19 Pagina 19 Re olución N ADMINISTRACIÓN DE LA POLÍTICA ORGANIZACIÓN QUE ADMINISTRA EL DOCUMENTO Nombre: Ministerio de Industria y Comercio. Dirección: Avenida Mcal. López Asunción, Paraguay. Teléfono: (+595) (21) Dirección de correo electrónico: consultas(imic.gov.pv Página Web: PERSONA DE CONTACTO Nombre: (DGFDyCE). Dirección: Capitán Pedro Villamayor esq. Capitán Nicolás Blinoff. Asunción, Paraguay. Teléfono: (+595) (21) Dirección de correo electrónico: info-dqfdceamic.qov.pv PERSONA QUE DETERMINA LA ADECUACIÓN DE LA CPS A LA POLÍTICA En el caso de la CPS de la CA Raíz, la Máxima Autoridad Institucional, será la encargada de determinar la adecuación de la Declaración de Prácticas de Certificación (CPS) a la CP de la CA Raíz. El PSC deberá designar ante la AA, el responsable competente para determinar la adecuación de su CPS a las CP que implementen según la normativa vigente PROCEDIMIENTOS DE APROBACIÓN DE LA POLÍTICA DE CERTIFICACIÓN (CP) El MIC aprobará el contenido de la presente Política de Certificación y sus posteriores enmiendas o modificaciones, por resolución ministerial. Se podrá someter a consideración de entidades públicas y privadas relacionadas al área, para que emitan sus comentarios y sugerencias, previo al trámite de aprobación. Abog. DIRECT Firme Dieil ys Rolón A. GENERAL rolo Electrónico

20 Pagina 20 N El PSC deberá establecer sus procedimientos para aprobación y puesta en vigencia de las CP que implementan y ser aprobadas por la AA. 1.6 DEFINICIONES Y ACRÓNIMOS DEFINICIONES Acuerdo de Suscriptores: es un acuerdo entre la CA Raíz y el PSC, y entre el PSC y el usuario final, que establece los derechos, obligaciones y responsabilidades de las partes con respecto a la emisión y gestión de los certificados. Éste acuerdo, requiere la aceptación explícita de las partes intervinientes. Armario ignífugo: armario equipado con sistemas de protección contra el fuego para aislar los productos almacenados en su interior. Autenticación: proceso técnico que permite determinar la identidad de la persona que firma electrónicamente, en función del mensaje firmado por ésta, y al cual se le vincula. Este proceso no otorga certificación notarial ni fe pública. Autoridad de Aplicación (AA): se designa al Ministerio de Industria y Comercio como órgano regulador competente por Ley, establecido por el artículo 38 de la Ley 4610/2012 que modifica y amplía la Ley N 4017/2010 "De validez jurídica de la Firma Electrónica, Firma Digital, los Mensajes de Datos y el Expediente Electrónico". Ejerce funciones a través de su unidad administrativa, la Dirección General de Firma Digital y, dependiente del Viceministerio de Comercio. Autoridad de Certificación (CA): entidad que presta servicios de emisión, gestión, revocación u otros servicios inherentes a la certificación digital. En el marco de la PKI Paraguay, son Autoridades de Certificación, la CA Raíz del Paraguay y el PSC. Autoridad Certificadora Raíz o Autoridad de Certificación Raíz (CA Raíz): es el órgano técnico dentro de la PKI, cuya función principal es habilitar al PSC y emitir a éste, el certificado digital correspondiente. Posee un certificado autofirmado y es a rtir de allí, donde comienza la cadena de confianza. Abog. Ro Rolón A. DIRECT ENERAL Firma Digital y rolo Electrónico

21 Pagina 21 Relolución N 1399, Autoridad de Certificación Intermedia (CA): entidad cuyo certificado de clave pública ha sido firmado digitalmente por la Autoridad de Certificación Raíz; es responsable de la emisión de certificados a usuarios finales. Autoridad de Registro (RA): entidad responsable de la identificación y autenticación de titulares de certificados digitales; la misma no emite ni firma certificados. Una RA interviene en el proceso de solicitud del certificado, en el proceso de revocación o en ambos. La RA, no necesita ser un organismo separado, sino que puede ser parte de la CA. Autoridad de Validación (VA): entidad responsable de suministrar información sobre la vigencia de los certificados que a su vez hayan sido registrados por una autoridad de registro y certificados por la autoridad de certificación. La VA, no necesita ser un organismo separado sino que puede ser parte de la CA. Cadena de certificación: lista ordenada de certificados que contiene un certificado de usuario final y certificados de CA, que termina en un certificado raíz. El emisor del certificado del usuario final es el titular del certificado de CA y a su vez, el emisor del certificado de CA es el titular del certificado de CA Raíz. El usuario final o la parte que confía, debe verificar la validez de los certificados en la cadena. Ceremonia de claves: procedimiento mediante el cual es generado un par de claves de CA, su clave privada es generada y almacenada en un módulo criptográfico, y debe ser respaldada con el mismo nivel de seguridad que la clave original. Este procedimiento debe ser documentado. Certificado Digital (CD): es un documento electrónico, generado y firmado por una CA legalmente habilitada para el efecto, el cual vincula un par de claves con una persona física o jurídica confirmando su identidad. Abog. Ro Rolón A. DIRECTO NERAL Firma Digna! y C rcio Electrónico

22 Pagina 22 N 339- Cifrado: es un método que permite aumentar la seguridad de un mensaje o de un archivo mediante la codificación del contenido de manera que solo pueda leerlo la persona que disponga de la clave del cifrado adecuada para decodificarla. Cifrado asimétrico: tipo de cifrado que utiliza un par de claves criptográficas diferentes (ejemplo: privado y público) y matemáticamente relacionadas. Claves criptográficas: valor o código numérico que se utiliza con un algoritmo criptográfico para transformar, validar, autenticar, cifrar y descifrar datos. Clave pública y privada: la criptografía en la se basa la PKI Paraguay, es la criptografía asimétrica. En ella se emplea un par de claves: lo que se cifra con una de ellas sólo se puede descifrar con la otra y viceversa. A una de esas claves se la denomina pública y está incorporada en el certificado digital, mientras que a la otra se le denomina privada y está bajo la custodia del titular del certificado. Cofre de seguridad: compartimiento para almacenar materiales o documentos sensibles de la CA, debe ser resistente al fuego y ofrecer protección a aperturas forzadas. Compromiso: violación de la seguridad de un sistema a raíz de una posible divulgación no autorizada de información sensible. Data Center (Centro de Datos): infraestructura compuesta por el espacio físico para la instalación de equipos informáticos y de comunicación con adecuados sistemas de energía, aire acondicionado y seguridad. Es parte de una CA, constituye un recinto seguro que alberga, entre otras cosas, los módulos criptográficos de hardware, protege la infraestructura tecnológica y es el lugar donde se ejecutan servicios del ciclo de vida del certificado. La importancia del data center radica en la protección que brinda a la clave privada y asegura la confianza en los certificados digitales emitidos por la CA. Abog. Ro Rolón A. DIRECT ENERAL Firma Digital y C ' Electrónica

23 Pagina 23 N A Datos de activación: valores de los datos, distintos al par de claves, que son requeridos para operar los módulos criptográficos y que necesitan estar protegidos. Declaración de Prácticas de Certificación (CPS): declaración de las prácticas que emplea una CA al emitir certificados y que define la infraestructura,. políticas y procedimientos que utiliza la CA para satisfacer los requisitos especificados en la CP vigente. Delta CRL: partición del CRL, dentro de una unidad de tiempo, que contiene los cambios realizados al CRL base desde su última actualización. Emisión: comprende la generación del certificado, cuyo proceso es una función de la CA. Emisor del certificado: organización cuyo nombre aparece en el campo emisor de un certificado. Estándares Técnicos Internacionales: requisitos de orden técnico y de uso internacional que deben observarse en la emisión de firmas electrónicas y en las prácticas de certificación. Firma Digital: es una firma electrónica certificada por un prestador habilitado, que ha sido creada usando medios que el titular mantiene bajo su exclusivo control, de manera que se vincula únicamente al mismo y a los datos a lo que se refiere, permitiendo la detección posterior de cualquier modificación, verificando la identidad del titular e impidiendo que desconozca la integridad del documento y su autoría. Grupo Electrógeno: máquina encargada de generar electricidad a partir de un motor de gasolina o diésel. La instalación de este equipo deberá ser de tal forma que al interrumpirse el suministro de energía eléctrica del proveedor externo, el mismo debe arrancar automáticamente tomando la carga de las instalaciones del Abog. R DIREC Firma Digital y s Rolón A. GENERAL rcio Electrónico

24 Pagina 24 N 3399,--..//data center de la CA, incluyendo los circuitos de iluminación, de los equipos informáticos, equipos de refrigeración, circuitos de monitoreo, prevención de incendios; en fin de todos los circuitos eléctricos críticos para el funcionamiento de las instalaciones tecnológicas. Habilitación: autorización que otorga el MIC al PSC para emitir certificados digitales a usuarios finales, una vez cumplidos los requisitos y condiciones establecidos en la norma. Huella digital (Código de verificación o resumen): secuencia de bits de longitud fija obtenida como resultado de procesar un mensaje de datos con un algoritmo, de tal manera que: (1) el mensaje de datos produzca siempre el mismo código de verificación cada vez que se le aplique dicho algoritmo (2) sea improbable, a través de medios técnicos, que el mensaje de datos pueda ser derivado o reconstruido a partir del código de verificación producido por el algoritmo (3) sea improbable, por medios técnicos, que se pueda encontrar dos mensajes de datos que produzcan el mismo código de verificación al usar el mismo algoritmo. Identificación: procedimiento de reconocimiento de la identidad de un solicitante o titular de certificado dentro de la jerarquía PKI Paraguay. Identificador de Objeto (OID): los identificadores de objeto son un sistema de identificación para entidades físicas o virtuales basado en una estructura arbórea de componentes de identificación. El árbol de OID se define plenamente en las Recomendaciones UIT-T y las normas internacionales ISO. Infraestructura de Clave Pública (PKI): es un conjunto de personas, políticas, procedimientos y sistemas informáticos necesarios para proporcionar servicios de autenticación, integridad y no repudio, mediante el uso de criptografía de claves públicas y privadas y de certificados digitales, así como la publicación de inf rmación, consultas de vigencia y validez de los mismos Abog. R DIREC Firma Digit ys Rolón A. GENERAL ommie Ebehóiúoo

25 Pagina 25 N Integridad: característica que indica que un mensaje de datos o un documentos electrónico no ha sido alterado desde la transmisión por el iniciador hasta su recepción por el destinatario. Jerarquía PKI: jerarquía de confianza que se conforma por un conjunto de autoridades de certificación que mantienen relaciones de confianza por las cuales una CA de nivel superior (CA Raíz) garantiza la confiabilidad de una o varias de nivel inferior (PSC) y a su vez, de los certificados emitidos por éstos a los suscriptores. Lista de certificados revocados (CRL): lista emitida por una CA, publicada periódicamente y que contiene los certificados que han sido revocados antes de sus respectivas fechas de vencimiento. Módulo criptográfico: software o hardware criptográfico que genera y almacena claves criptográficas. Módulo de Seguridad de Hardware (HSM, Hardware Security Module): dispositivo criptográfico basado en hardware que genera, almacena y protege claves criptográficas. No Repudio: refiere que la posesión de un documento electrónico y la firma digital asociada al mismo, será prueba efectiva del contenido y del autor del documento. Par de claves: son las claves privada y pública de un criptosistema asimétrico. La clave privada y la clave pública están relacionadas matemáticamente y poseen ciertas propiedades, entre ellas que es imposible deducir la clave privada de la clave pública conocida. PKCS#1: estándar de criptografía de clave pública #1, desarrollado por RSA Security Inc., que proporciona las definiciones básicas y recomendaciones para la implementación de algoritmo RSA para criptografía de clave pública. Ab DIR CT Fuma DIU y Rolón A. GENERAL rejo EledrónIco

26 Pagina 26 Relolución N I PKCS#10 (Certification Request Syntax Standard): Estándar desarrollado por RSA que define la sintaxis de una petición de certificado. Parte que confía: es toda persona física o jurídica diferente del titular, que decide aceptar y confiar en un certificado emitido bajo la jerarquía de la PKI Paraguay. Perfil del certificado: especificación del formato requerido para un tipo particular de certificado (incluyendo requisitos para el uso de los campos estándar y extensiones). Periodo de operación: periodo de vigencia de un certificado, que comienza en la fecha y la hora en que es emitido por una CA, y termina en la fecha y la hora en que expira o se revoca el mismo. Periodo de uso: rrefiere al tiempo establecido para los certificados emitidos dentro la jerarquía de la PKI para determinados usos. Política: orientaciones o directrices que rigen la actuación de una persona o entidad en un asunto o campo determinado. Política de Certificación: (CP) documento en el cual la CA, define el conjunto de reglas que indican la aplicabilidad de un certificado a una comunidad particular y/o una clase de aplicaciones con requisitos comunes de seguridad. Práctica: modo o método que particularmente observa alguien en sus operaciones. Prestador de Servicios de Certificación (PSC): entidad habilitada por la AA, encargada de operar una CA en el marco de la PKI Paraguay. El PSC debe contar con un certificado digital emitido por la CA Raíz del Paraguay y solo podrá emitir certificados a usuarios finales. Registro de Auditoría: registro cronológico de las actividades del sistema, el cual es suficiente para permitir la reconstrucción, revisión e inspección de la secuencia de los ambientes y de las actividades que rodean o que conducen a cada Abo9. R Rolón A. DIRECT R GENERAL Firma Digital y rcio Electrónico

27 Pagina 27 N //acontecimiento en la ruta de una transacción desde su inicio hasta la salida de los resultados finales. Repositorio: sitio principal de Internet confiable y accesible, mantenido por la CA con el fin de difundir su información pública. Rol de confianza: función crítica que desempeña personal de la CA, que si se realiza insatisfactoriamente puede tener un impacto adverso sobre el grado de confianza proporcionado por la CA. Ruta del certificado: secuencia ordenada de certificados de entidades que, junto a la clave pública de la entidad inicial en la ruta, puede ser procesada para obtener la clave pública de la entidad final en la ruta. Servicio OCSP: permite utilizar un protocolo estándar para realizar consultas en línea al servidor de la CA sobre el estado de un certificado. Solicitante de Certificado: persona física o jurídica que solicita la emisión de un certificado a una CA. Solicitud de Firma de Certificado (CSR): es una petición de certificado digital que se envía a la CA. Mediante la información contendida en el CSR, la CA, puede emitir el certificado digital una vez realizadas las comprobaciones que correspondan. Suscriptor: persona física o jurídica titular de un certificado digital emitido por una CA. Usuario final: persona física o jurídica que adquiere un certificado digital de un PSC. Validez de la firma: aplicabilidad (apto para el uso previsto) y estado (activo, revocado o expirado) de un certificado. Abog. Ro DI REC AMI Dighal y Rolón A. ENERAL ercio Electrónico

28 Pagina 28 N Verificación de la firma: determinación y validación de: a) que la firma digital fue creada durante el periodo operacional de un certificado válido por la clave privada correspondiente a la clave pública que se encuentra en el certificado; b) que el mensaje no ha sido alterado desde que su firma digital fue creada. X. 500: estándar desarrollado por la ITU que define las recomendaciones del directorio. Da lugar a la serie de recomendaciones siguientes: X.501, X.509, X.511. X.518, X.519, X.520, X.521, X.525. X. 509: estándar desarrollado por la ITU, que define el formato electrónico básico para certificados electrónicos ACRÓNIMOS Acrónimo Descripción C País (C por sus siglas en inglés, Country) Autoridad de Certificación (CA por sus siglas en inglés CA Certificate Authority) Autoridad de Certificación Intermedia (Certificate Authority CAI Intermediate) CA Raíz Autoridad Certificadora Raíz del Paraguay CI Cédula de identidad CN Nombre común (CN por sus siglas en inglés, Common Name) Políticas de Certificación (CP por sus siglas en inglés, CP certificate policy) Declaración de Prácticas de Certificación (CPS por sus siglas CPS en inglés, certification practice statement) Lista de certificados revocados (CRL por sus siglas en inglés, CRL certificate revocation list) Solicitud de firma de Certificado (CSR por sus siglas en inglés, CSR certificate Signing Request) Abo. Rod DI R TO F Firma Digital y C olón A. ENERAL ralo Electrónico

29 Pagina 29 N isa9 Documento de referencia del Comité Europeo de CWA DGFDyCE DNS FIPS HSM ISO ITU-T MIC O OCSP OID OU _. Normalización (CEN) desarrollado y aprobado en un taller de trabajo, algunos de los CWA son específicos para firma electrónica (CEN Workshopp Agreement) dependiente del Vice Ministerio de Comercio. Servicio de nombre de dominio (DNS por sus siglas en inglés Domain Name server) Estándares Federales de Procesamiento de la Información (FIPS por sus siglas en inglés, Federal Information Processing Standards). Módulo de seguridad criptográfico basado en Hardware (HSM por sus siglas en inglés, Hardware security module) Organización Internacional para la Estandarización (ISO por sus siglas en inglés, International Organization for Standardization). Unión Internacional de Telecomunicaciones Sector de normalización de las telecomunicaciones (ITU-T por sus siglas en inglés International Telecomunication Union Telecomunication Standardization Sector) Ministerio de Industria y Comercio Organización (por su sigla en inglés, Organization) Servicio de validación de certificados en línea (OCSP por sus siglas en inglés, Online Certificate Status Protocol). Identificador de Objeto (OID por sus siglas en inglés, Object Identifier). Unidad Organizacional (OU por sus siglas en inglés, Organization Unit) Ab s Rolón A. DIRECT GENERAL Firme Digital y C rolo Electrónico

30 Pagina 30 N 1399 PIN PKCS PKI PSC PY RA RFC RSA RUC SN TLS UPS URL VA Número de Identificación Personal, (por sus siglas en inglés, Personal Identification Number) Norma de criptografía de clave pública (PKCS por sus siglas en inglés, Public Key Cryptography Standard) Infraestructura de Clave Pública (PKI por sus siglas en inglés, Public Key Infrastructure). Prestador de Servicios de Certificación Paraguay Autoridad de Registro (RA por sus siglas en inglés, Registration Authority). Petición de Comentarios (RFC por sus siglas en inglés, Request for Comments) Sistema criptográfico de clave pública desarrollado por Rivers, Shamir y Adleman Registro único del contribuyente Número de Serie (por sus siglas en inglés, Serial Number) Capa de conexión segura (TLS por sus siglas en inglés, Transport Layer Security) Sistemas de alimentación ininterrumpida (UPS por sus siglas en inglés, uninterruptible power supply) Localizador uniforme de recursos (URL por sus siglas en inglés, Uniform Resource Locator). Autoridad de validación (VA por sus siglas en inglés, Validation Autorithy) Abog. RodViolón A. DIRECTOR NERAL Firma Digital y Lamo Electrónica

31 Pagina 31 N 2. RESPONSABILIDADES DE PUBLICACIÓN Y DEL REPOSITORIO 2.1. REPOSITORIOS Conforme a lo estipulado en la CPS. 2.2 PUBLICACIÓN DE INFORMACIÓN DE CERTIFICACIÓN Conforme a lo estipulado en la CPS. 2.3 TIEMPO O FRECUENCIA DE PUBLICACIÓN Conforme a lo estipulado en la CPS. 2.4 CONTROLES DE ACCESO A LOS REPOSITORIOS Conforme a lo estipulado en la CPS. Abog. Ro DIRECTO Firma Digital y Com Rolón A. ENERAL io Electrónico

32 Pagina 32 N IDENTIFICACIÓN Y AUTENTICACIÓN 3.1 NOMBRES TIPOS DE NOMBRES Todos los titulares de certificados requieren un nombre distintivo (Distinguished Name) conforme con el estándar X.500. A continuación se presentan los formatos de los nombres para el suscriptor del certificado dependiendo de su tipo. En el caso de la CA Raíz Country (C) Organization (0) Common Name (CN) PY Ministerio de Industria y Comercio Autoridad Certificadora Raíz del Paraguay Código de país es asignado de acuerdo al estándar ISO 3166 Ministerio de Industria y Comercio es el responsable la administración de la CA Raíz de Paraguay Nombre de la CA Raíz de la PKI Paraguay Abog. Ro Rolón A. DIFdECT ENERAL Firma Digital y C ralo Electrónico

33 Pagina 33 N Á 3:-Y0 En el caso del PSC Country (C) PY Código de país es asignado de acuerdo al estándar ISO 3166 Organization (0) Firma Fiel S.A. Denominación o Razón Social de la Persona Jurídica habilitada como PSC Common Name (CN) Serial Number {01D: ) CA-Firma Fiel S.A. RUC Nombre de la CA RUC Registro Unico de Contribuyente correspondiente al PSC emitido por la Subsecretaría de Estado de Comercio del Ministerio de Hacienda. Debe ser validado durante el proceso de registro NECESIDAD DE NOMBRES SIGNIFICATIVOS Conforme a lo estipulado en la CPS ANONIMATO O SEUDÓNIMOS DE LOS SUSCRIPTORES Conforme a lo estipulado en la CPS REGLAS PARA INTERPRETACIÓN DE VARIAS FORMAS DE NOMBRES La regla utilizada por la CA Raíz para interpretar los nombres distintivos de los titulares de certificados que emite es ISO/IEC 9595 (X.500) Distinguished Name (DN). Para el certificado de PSC se requiere: Abog. DIREC Firma Digital y s Rolón A. GENERAL mio Electrónico

34 Pagina 34 N 1399 La Cédula Tributaria RUC es expedida por la Subsecretaría de Estado de Tributación del Ministerio de Hacienda y debe cumplir el siguiente formato : Cédula Tributaria RUC RUC RUC UNICIDAD DE LOS NOMBRES El conjunto de nombre distintivo (Distinguished Name), más el contenido de la extensión Policy Identifier, debe ser único y no ambiguo. El uso del número RUC del PSC en la sección Número de Serie (Serial Number) del campo Sujeto (Subject) garantiza la unicidad del mismo RECONOCIMIENTO, AUTENTICACIÓN Y ROL DE LAS MARCAS REGISTRADAS Conforme a lo estipulado en la CPS. 3.2 VALIDACIÓN INICIAL DE IDENTIDAD La CA Raíz garantiza que el PSC sea la persona identificada en la solicitud del certificado, y que la información que se incluya en el certificado sea exacta. En principio, la exactitud y veracidad de la información proporcionada por el suscriptor es atribuida al mismo, sin perjuicio de la respectiva comprobación por parte de la CA Raíz MÉTODO PARA PROBAR POSESIÓN DE LA CLAVE PRIVADA El solicitante del certificado debe demostrar que posee la clave privada correspondiente a la clave pública que deberá ser listada en el certificado. La posesión de la clave privada, correspondiente a la clave pública para la que se solicita que se genere el certificado, quedará probada mediante la generación y entrega de la solicitud de firma de certificado (CSR) en formato PKCS#10 u otras demostraciones criptográficas equivalentes, aprobadas por la DGFDyCE, en la cual se incluirá la clave pública firmada mediante la clave privada asociada., El CSR se genera en presencia del representante de la AA de acuerdo al procedimiento de h- e ación del PSC. A os! Ro. Rolón A. DIREC é - GENERAL Firma Digital y mia Electrónico

35 Pagina 35 N A 39c AUTENTICACIÓN DE IDENTIDAD DE PERSONA JURÍDICA La CA Raíz en su función de autoridad de registro valida la identidad de la organización solicitante. La CA Raíz garantiza que el titular del certificado sea la misma persona jurídica identificada en la solicitud de un certificado, y que la información que se incluye en el certificado sea verdadera y exacta. Como mínimo, valida: Nombre o razón social; Documento que acredite la creación de la persona jurídica; RUC; Documento que acredite al representante legal; Nombre y documento de identidad del representante legal; y Domicilio de la persona jurídica AUTENTICACIÓN DE IDENTIDAD DE PERSONA FÍSICA No aplica INFORMACIÓN DEL SUSCRIPTOR NO VERIFICADA No aplica VALIDACIÓN DE LA AUTORIDAD (CAPACIDAD DE HECHO) La CA Raíz determina si el solicitante se encuentra apto para solicitar un tipo de certificado específico. Además, valida que el solicitante no posee impedimentos legales. Verifica: Nombre o razón social y cédula tributaria; Nombre y documento de identidad del representante legal; y Mayoría de edad del representante legal. La información suministrada por el solicitante debe ser corroborada contra los datos oficiales correspondientes.r Abog. R s Rolón A. DIRÉ T GENERAL Fina DIO rcio Electrónico

36 Pagina 36 N á CRITERIOS PARA INTEROPERABILIDAD 3.3 IDENTIFICACIÓN Y AUTENTICACIÓN PARA SOLICITUDES DE RE EMISIÓN DE CLAVES IDENTIFICACIÓN Y AUTENTICACIÓN PARA RE EMISIÓN DE CLAVES RUTINARIA No se permite la re emisión de claves IDENTIFICACIÓN Y AUTENTICACIÓN PARA LA RE EMISIÓN DE CLAVES DESPUÉS DE UNA REVOCACIÓN No se permite bajo estas circunstancias, la re emisión de claves. Luego del procedimiento de revocación, se debe solicitar la emisión de un nuevo certificado. 3.4 IDENTIFICACIÓN Y AUTENTICACIÓN PARA SOLICITUDES DE REVOCACIÓN El procedimiento de revocación asegura, que la solicitud de revocación ha sido generada por el suscriptor del certificado o por una entidad autorizada para tales propósitos. El PSC deberá informar a la AA sobre las personas autorizadas para solicitar la revocación. Los procedimientos aceptados para la autenticación del solicitante de la revocación incluyen algunos de los siguientes mecanismos: El envío de un mensaje de datos firmado digitalmente al sistema de información designada por la AA. Presencialmente a través de los procesos de autenticación de identidad (secciones y ) Cualquier otro medio aprobado por la DGFDyCE que permita una identificación veraz y segura. Los sujetos habilitados para solicitar la revocación se encuentran establecidos en la sección y los procedimientos de revocación en la sección Abog. Ro Rolón A. DIRECT GENERAL Firma Digital y C rcio Electrónico

37 Pagina 37 Relolución N 1399 Abog. dys Rolón A. DIREC R GENERAL Firma Digitsi y Cornwell EietttnIco 4. REQUERIMIENTOS OPERACIONALES DEL CICLO DE VIDA DEL CERTIFICADO 4.1 SOLICITUD DEL CERTIFICADO QUIÉN PUEDE PRESENTAR UNA SOLICITUD DE CERTIFICADO La solicitud de certificado para un PSC solo es posible después de la aprobación de su solicitud de habilitación como tal. Una vez emitida la resolución de habilitación, se realizará el proceso de emisión de certificado conforme a los procedimientos establecidos en la "GUÍA DE ESTÁNDARES TECNOLÓGICOS Y LINEAMIENTOS DE SEGURIDAD PARA LA HABILITACIÓN Y AUDITORÍA A PRESTADORES DE SERVICIOS DE CERTIFICACIÓN". La solicitud debe ser presentada por el representante legal o apoderado del PSC con poder suficiente, utilizando el estándar definido en el documento NORMAS DE ALGORITMOS CRIPTOGRÁFICOS DE LA PKI PARAGUAY PROCESO DE INSCRIPCIÓN Y RESPONSABILIDADES La DGFDyCE tiene la responsabilidad de: Ejecutar el proceso de registro y verificación de identidad del PSC; Validar la información suministrada en la solicitud de firma de certificado (CSR); Velar que el PSC cumpla con los requisitos establecidos en la normativa vigente que rige la materia; Informar al PSC de sus deberes y responsabilidades por el uso del certificado; y Emitir y entregar el certificado de acuerdo con la información suministrada por el solicitante. El solicitante tiene las siguientes responsabilidades Presentar la solicitud de Habilitación ante el MIC conforme a las disposiciones de la normativa vigente;