Informe de Auditoría Independiente

Transcripción

1 Assurance & Advisory Tel.: Business Services (AABS) Fax: Torre Picasso Plaza Pablo Ruiz Picasso Madrid Informe de Auditoría Independiente A los Administradores de: FIRMAPROFESIONAL, S.A. Alcance Hemos examinado las Manifestaciones realizadas por los Administradores de la Autoridad de Certificación FIRMAPROFESIONAL, S.A. (en adelante FIRMAPROFESIONAL) en su labor certificadora, desarrollada durante el período que va desde el 1 de junio de 2003 al 2 de octubre de 2003, en el que FIRMAPROFESIONAL: Manifestó sus prácticas sobre la privacidad de la información y sobre la gestión del ciclo de vida de los certificados y claves en su Declaración de Prácticas de Certificación y Políticas de Certificación y suministró tales servicios de acuerdo con dichas prácticas manifestadas. Manifestó que mantuvo controles efectivos para suministrar una seguridad razonable de que: - La información del suscriptor fue autenticada adecuadamente para las actividades de registro realizadas por FIRMAPROFESIONAL y - La integridad de los certificados y claves que se gestionaron fue protegida a través de sus ciclos de vida. Manifestó que mantuvo controles efectivos para suministrar una seguridad razonable de que: - La información del suscriptor y de los usuarios estuvo restringida al personal autorizado y protegida de usos no especificados en las Manifestaciones de prácticas de negocio de la Autoridad de Certificación. - Se mantuvo la continuidad de las operaciones de gestión del ciclo de vida de las claves y del certificado; y - El desarrollo, mantenimiento y operaciones de los sistemas de la Autoridad de Certificación fueron autorizados y realizados adecuadamente para mantener la integridad de los mismos. todo ello de acuerdo con los requisitos establecidos en el programa Webtrust que, para Autoridades de Certificación, impone la AICPA, la CICA y el IACJCE. (Programa WebTrust para Autoridades de Certificación) La Dirección de FIRMAPROFESIONAL es responsable de sus Manifestaciones. Nuestra responsabilidad es la de expresar una opinión acerca de dichas Manifestaciones, basada en el trabajo que hemos realizado. FIRMAPROFESIONAL utiliza autoridades de registro externas para determinadas actividades de registro de suscriptores, tal y como se indica en la Declaración de Prácticas de Certificación y en las Políticas de Certificación de FIRMAPROFESIONAL. Nuestro examen no incluye los controles de las autoridades de registro externas. Ernst & Young, S.L. Domicilio Social: Plaza Pablo Ruiz Picasso, s/n Madrid. Inscrita en el Registro Mercantil de Madrid al Tomo 12749, Libro 0, Folio 215, Sección 8ª, Hoja M-23123, Inscripción 116. C.I.F. B

2 Nuestro examen se realizó de conformidad con las normas específicas de revisión de los criterios WebTrust para Autoridades de Certificación, establecidas por los organismos competentes en esta materia, que son el AICPA/CICA/IACJCE, e incluye: (1) La obtención de una adecuada comprensión sobre: - Las prácticas de privacidad de la información y de gestión del ciclo de vida de los certificados y claves y de los controles sobre la integridad del certificado y de las claves, - La autenticidad y privacidad de la información del suscriptor y de los usuarios, - La continuidad de las operaciones de gestión del ciclo de vida del certificado y de las claves, y - El desarrollo, mantenimiento y operación en la integridad de los sistemas; (2) Pruebas selectivas de transacciones ejecutadas de acuerdo con las prácticas de privacidad de la información y de gestión del ciclo de vida de los certificados y claves manifestadas. (3) Prueba y evaluación de la efectividad operativa de los controles; y (4) Realización de otros procedimientos de revisión y evaluación, que hemos considerado necesarios en las circunstancias. Estimamos que nuestra evaluación suministra una base suficiente para soportar razonablemente nuestra opinión. Exclusiones El Sello de Confianza WebTrust para Autoridades de Certificación del sitio web de FIRMAPROFESIONAL ( constituye una representación simbólica de los contenidos de este informe y no va dirigido a actualizar este informe, ni debe ser interpretado como tal, ni ser utilizado para otros fines. La eficacia e importancia relativa de determinados controles de FIRMAPROFESIONAL y su efecto en las evaluaciones del riesgo de control para suscriptores y usuarios dependen de su interacción con los controles y otros factores presentes en las ubicaciones de las autoridades de registro externas, de los suscriptores y de los usuarios. No hemos realizado procedimientos para evaluar la efectividad de los controles en las ubicaciones de las autoridades de registro externas, de los suscriptores y de los usuarios. Este informe no incluye ninguna opinión profesional acerca de la calidad de los productos o servicios de FIRMAPROFESIONAL ni de su idoneidad para los objetivos concretos de cualquier cliente, más allá de los criterios WebTrust cubiertos.

3 Limitaciones inherentes A causa de las limitaciones inherentes en los propios controles del sistema, puede que existan errores o fraudes que no sean detectados. Además, la toma de alguna conclusión en periodos posteriores al de la fecha de nuestro informe, basada en nuestras afirmaciones, está sujeta al riesgo de que se produzcan: (1) cambios en los controles o en el sistema establecido, (2) cambios en los requisitos de procesamiento, (3) cambios requeridos a causa del propio paso del tiempo, o (4) que el grado de cumplimiento de las políticas o procedimientos puedan alterar la validez de nuestras conclusiones. Opinión del Auditor En nuestra opinión, para el periodo comprendido entre el 1 de junio de 2003 al 2 de octubre de 2003, las Manifestaciones de los Administradores de FIRMAPROFESIONAL, en relación con sus Prácticas como Autoridad de Certificación, basada en los criterios del programa AICPA/CICA Webtrust para Autoridades de Certificación referidos arriba, están adecuadamente formuladas, en todos sus aspectos significativos. ERNST & YOUNG, S.L. Madrid, España. Auditores de Cuentas 6 de octubre de 2003 Daevid Anthony Lane Socio-Auditor

4 MANIFESTACIONES DE LOS ADMINISTRADORES SOBRE SUS PRÁCTICAS DE NEGOCIO Y SUS CONTROLES EN RELACIÓN CON SUS OPERACIONES COMO AUTORIDAD DE CERTIFICACIÓN DURANTE EL PERIODO COMPRENDIDO ENTRE EL 1 DE JUNIO DE 2003 AL 2 DE OCTUBRE DE de octubre de 2003 FIRMAPROFESIONAL, S.A. (Firmaprofesional) opera como una Autoridad de Certificación (AC) Raíz y Autoridades de Certificación Delegadas (AC Firmaprofesional-CA1 y Autoridad de Certificación de la Abogacía) vinculadas a dicha Autoridad de Certificación Raíz y proporciona los siguientes servicios de autoridades de certificación: - Registro del suscriptor - Emisión de Certificados - Renovación de Certificados - Distribución de Certificados (utilizando un repositorio online) - Revocación de Certificados - Suspensión de Certificados - Procesamiento de la información del estado de los Certificados (utilizando un repositorio online) - Gestión del ciclo de vida de una tarjeta de circuito integrada Para llevar a cabo la prestación del servicio de certificación, Firmaprofesional hace uso de algunos Colegios Profesionales y Consejos de Colegios Profesionales de España como Autoridades de Registro para la identificación de los Solicitantes de Certificados, conforme a las normas de la Declaración de Prácticas de Certificación (CPS) y al acuerdo suscrito con Firmaprofesional. La Dirección de Firmaprofesional es responsable de establecer y mantener los controles efectivos sobre las operaciones de las AC de Firmaprofesional, incluyendo las Manifestaciones de sus Prácticas de Negocio como AC, la integridad del servicio (incluyendo controles para gestionar el ciclo de vida de las claves y los certificados) y los controles del Entorno de la AC. Estos controles contienen mecanismos de monitorización, y se toman acciones para corregir las deficiencias encontradas. Existen limitaciones inherentes en algunos controles, incluyendo la posibilidad de errores humanos y la evasión o anulación de los controles. Como consecuencia, incluso los controles efectivos pueden proporcionar solamente una seguridad razonable en relación con las operaciones de Firmaprofesional como AC. Adicionalmente, debido a cambios en las condiciones, la efectividad de los controles puede variar cada cierto tiempo. La Dirección ha evaluado los controles sobre sus operaciones como AC. Con base en dicha evaluación, en opinión de la Dirección de Firmaprofesional, durante el periodo de 1 de junio de 2003 a 2 de octubre de 2003: Pág. 1

5 Hizo públicas sus Prácticas de Negocio sobre la Gestión del Ciclo de Vida de las claves y los certificados, así como su política de privacidad de la información y proporcionó sus servicios conforme a dichas afirmaciones. Mantuvo controles efectivos para proporcionar una seguridad razonable de que: La información del suscriptor es autenticada adecuadamente (para las actividades de registro realizadas por Firmaprofesional), La integridad de las claves y certificados gestionados se estableció y protegió a lo largo de todo su ciclo de vida. La información de suscriptores y usuarios está restringida a personal autorizado y protegida de usos no especificados en las prácticas de negocio publicadas de Firmaprofesional. Se mantiene la continuidad de las operaciones relativas a la gestión del ciclo de vida de las claves y los certificados. Las tareas de explotación, desarrollo y mantenimiento de los sistemas de la AC son adecuadamente autorizadas y realizadas para mantener la integridad de los mismos. todo ello de acuerdo con los Criterios AICPA/CICA WebTrust para Autoridades de Certificación, incluyendo los siguientes: Declaración de las Prácticas del Negocio AC raíz y AC Firmaprofesional-CA1 - Declaración de Prácticas de Certificación - Política de Certificación de la Jerarquía - Política de Certificados Personales de Colegiado - Política de Certificados Personales de Personal Vinculado - Política de Certificado de Servidor Seguro Autoridad de Certificación de la Abogacía - Declaración de Prácticas de Certificación - Política de Certificado de Colegiado - Política de Certificado de Empleado Integridad del Servicio Controles en la Gestión del Ciclo de Vida de las Claves Generación de las claves de la AC Almacenamiento, copias de seguridad y recuperación de las claves de la AC Distribución de la Clave pública de la AC Uso de la Clave de la AC Destrucción de la clave de la AC Archivo de claves de la AC Controles en la Gestión del Ciclo de Vida del Certificado Registro de suscriptores Renovación de certificados Emisión de certificados Pág. 2

6 Distribución de certificados Revocación de certificados Suspensión de certificados Gestión del ciclo de vida de la tarjeta de circuito integrado Controles de Entorno de la AC Gestión de las CPS Y CP Gestión de la seguridad Clasificación y gestión de Activos Seguridad del personal Seguridad física y medioambiental Gestión de operaciones Gestión de acceso al sistema Sistemas desarrollados y mantenidos Gestión de la continuidad de negocio Seguimiento y conformidad Registro de incidencias Jesús Alonso Presidente Albert Lluch Consejero Delegado Pág. 3