POLÍTICA DE CERTIFICACIÓN de Certificados de Persona Física Y Persona Jurídica de VITSA (efirma)

Transcripción

1 Prestador de Servicios de Certificación VIT S.A. (efirma) POLÍTICA DE CERTIFICACIÓN de Certificados de Persona Física Y Persona Jurídica de VITSA (efirma) Documento: POLÍTICA DE CERTIFICACIÓN de Certificados de Persona Física y Persona Jurídica Versión: 1.1 Razón Social: VIT S.A Marca Comercial: efirma Estado del Documento: APROBADO Fecha de emisión: 20 de Agosto de 2014 Sitio de internet oficial: URL del documento: Clasificación: PÚBLICO Archivo: cp_vitsa_efirma1.docx Nº de páginas: 39 Preparado por: VITSA

2 Tabla de contenido 1 INTRODUCCIÓN Descripción general Nombre e Identificación del documento Participantes de la PKI Autoridades Certificadoras (CA) Autoridad de Registro (RA) Suscriptores Parte que confía Otros participantes Uso del Certificado Usos prohibidos del certificado Administración de la Política Organización que administra el documento Persona de Contacto Persona que determina la adecuación de la Declaración de Prácticas de Certificación (CPS) a la Política Procedimientos de aprobación de la Política de Certificación (CP) Definiciones y acrónimos RESPONSABILIDADES DE PUBLICACIÓN Y DEL REPOSITORIO Repositorios Publicación de Información de Certificación Tiempo o frecuencia de Publicación Controles de Acceso a los Repositorios IDENTIFICACIÓN Y AUTENTICACIÓN Nombres Tipos de Nombres Necesidad de Nombres significativos Anonimato o seudónimos de los suscriptores Reglas para interpretación de varias formas de Nombres Unicidad de los nombres Reconocimiento, autenticación y rol de las marcas registradas Validación inicial de identidad Método para probar posesión de la clave privada Autenticación de identidad de Persona Jurídica Autenticación de identidad de Persona Física Información del Suscriptor no verificada Validación de la Autoridad (Capacidad de hecho) Criterios para interoperabilidad Identificación y autenticación para solicitudes de re-emisión de claves Identificación y autenticación para re-emisión de claves rutinaria Identificación y autenticación para la re-emisión de claves después de una revocación Identificación y autenticación para solicitudes de revocación REQUERIMIENTOS OPERACIONALES DEL CICLO DE VIDA DEL CERTIFICADO Solicitud del Certificado

3 4.1.1 Quién puede presentar una solicitud de certificado Proceso de Inscripción y responsabilidades Procesamiento de la Solicitud del Certificado Ejecución de las funciones de Identificación y Autenticación Aprobación o rechazo de solicitudes de certificado Tiempo para procesar solicitudes de Certificado Emisión del Certificado Aceptación del Certificado Conducta constitutiva de aceptación de certificado Publicación del Certificado por la CA Notificación de la emisión del certificado por la CA a otras entidades Uso del par de claves y del certificado Uso de la Clave privada y del certificado por el Suscriptor Uso de la clave pública y del certificado por la parte que confía Renovación del certificado Re-emisión de claves de certificado Modificación de certificados Revocación y suspensión Circunstancias para la revocación Quien puede solicitar Revocación Procedimiento para la solicitud de revocación Periodo de gracia para solicitud de revocación Tiempo dentro del cual la CA debe procesar la solicitud de revocación Requerimientos de verificación de revocación para las partes que confían Frecuencia de Emisión del CRL Latencia máxima para CRLs DISPONIBILIDAD DE VERIFICACIÓN DE REVOCACIÓN/ ESTADO EN LÍNEA Requerimientos para verificar la revocación en línea Otras formas de advertencias de revocación disponibles Requerimientos especiales por compromiso de clave privada Circunstancias para suspensión Quien puede solicitar la suspensión Procedimiento para la solicitud de suspensión Límites del período de suspensión Servicios de comprobación de estado de Certificado Fin de la suscripción Custodia y recuperación de claves Política y prácticas de custodia y recuperación de claves Políticas y prácticas de recuperación y encapsulación de claves de sesión CONTROLES DE SEGURIDAD FÍSICA, DE GESTIÓN Y DE OPERACIONES CONTROLES TÉCNICOS DE SEGURIDAD Generación e instalación del par de claves Generación del par de claves Entrega de la clave privada al suscriptor Entrega de la Clave Pública al emisor del Certificado Entrega de la clave pública de la CA a las partes que confían Tamaño de la clave Generación de parámetros de clave pública y verificación de calidad Propósitos de usos de clave (Campo key usage x509 v3) Controles de ingeniería del módulo criptográfico y protección de la clave privada Estándares y controles del Módulo criptográfico Control multi-persona de clave privada Custodia de la clave privada Respaldo de la clave privada

4 6.2.5 Archivado de la clave privada Transferencia de clave privada hacia o desde un módulo criptográfico Almacenamiento de la clave privada en el módulo criptográfico Método de activación de clave privada Métodos de desactivación de la clave privada Destrucción de clave privada Clasificación del Módulo criptográfico Otros aspectos de gestión del par de claves Archivo de la clave pública Período operacional del certificado y período de uso del par de claves Datos de activación Generación e instalación de los datos de activación Protección de los datos de activación Otros aspectos de los datos de activación Controles de seguridad del computador Controles de seguridad de red Sellado de tiempo (Time-stamping) PERFILES DE CERTIFICADOS, CRL Y OCSP Perfil del Certificado Perfiles de Persona Física Perfil de Certificado de Persona Jurídica Número (s) de versión Extensiones del certificado Identificadores de objeto de algoritmos Formas del nombre Restricciones del nombre Identificador de objeto de Política de Certificado Uso de la extensión Restricciones de Política (Policy Constraints) Semántica y sintaxis de los Calificadores de Política (Policy Qualifiers) Semántica de procesamiento para la extensión de Políticas de Certificado(Certificate Policies) Perfil de la CRL Perfil de OCSP AUDITORIA DE CUMPLIMIENTO Y OTRAS EVALUACIONES OTROS ASUNTOS LEGALES Y COMERCIALES Tarifas Tarifas de emisión y administración de certificados Tarifas de acceso a certificados Tarifas de acceso a información del estado o revocación Tarifas por otros servicios Políticas de reembolso Responsabilidad financiera Confidencialidad de la información comercial Privacidad de información personal Derecho de Propiedad intelectual Representaciones y garantías Exención de garantía Limitaciones de responsabilidad legal Indemnizaciones Plazo y finalización Plazo Finalización Efectos de la finalización y supervivencia

5 9.11 Notificación individual y comunicaciones con participantes Enmiendas Procedimientos para enmiendas Procedimiento de publicación y notificación Circunstancias en que los OID deben ser cambiados Disposiciones para resolución de disputas Normativa aplicable Adecuación a la ley aplicable Disposiciones varias Acuerdo completo Asignación Divisibilidad Aplicación (Honorarios de Abogados y renuncia de derechos) Fuerza mayor Otras disposiciones

6 1 INTRODUCCIÓN 1.1 DESCRIPCIÓN GENERAL El presente documento es la Política de Certificación (CP) asociada a los certificados de Persona Física y Jurídica, que contiene las reglas a las que se sujeta la gestión y el uso de los certificados definidos en esta política. Se describen los papeles, responsabilidades y relaciones entre el usuario final y VITSA, y las reglas de solicitud, adquisición gestión y uso de los certificados. Este documento matiza y complementa a la Declaración de Prácticas de Certificación (CPS) de VITSA. La Política de Certificación referida en este documento se utilizará para la emisión de certificados para Personas Físicas y Personas Jurídicas. Y contempla los siguientes tipos de certificados: Certificado de Persona Física para autenticación Certificado de Persona Física para firma digital Certificado de Persona Jurídica para autenticación Certificado de Persona Jurídica para firma digital Este es un único documento para las cuatro políticas de los Certificados aquí definidos, cada una con su correspondiente identificación y diferenciadas según el tipo de Certificado que se trate: Política de Certificación de Certificados de Persona Física para autenticación Política de Certificación de Certificados de Persona Física para firma digital Política de Certificación de Certificados de Persona Jurídica para autenticación Política de Certificación de Certificados de Persona Jurídica para firma digital La presente Política de Certificación fue elaborada conforme a las recomendaciones establecidas en el RFC 3647 INTERNET X.509 Public Key Infrastructure. Certificate Policy and Certification Practices Framework propuesto por Network WorkingGroup para este tipo de documentos. La redacción de este documento asume que el lector conoce los conceptos básicos de Infraestructura de Clave Pública, certificado y firma digital. 1.2 NOMBRE E IDENTIFICACIÓN DEL DOCUMENTO Documento: POLÍTICA DE CERTIFICACIÓN de Certificados de Persona Física y Persona Jurídica Versión: 1.1 Calificador: Certificados de Persona Física y Persona Jurídica. CPS relacionada: Declaración de Prácticas de Certificación (CPS) de VITSA Estado: APROBADO Fecha de emisión: 20 de Agosto de 2014 URL del documento:

7 Las Políticas de Certificación incluidas en el presente documento son: Nombre de la Política Versión de la Política 1.1 Estado de la Política APROBADA Referencia de la Política / OID de la política Fecha de emisión 20 de Agosto de 2014 POLÍTICA DE CERTIFICACIÓN de Certificados de Persona Física para firma digital de VITSA (efirma) Nombre de la Política Versión de la Política 1.1 Estado de la Política APROBADA Referencia de la Política / OID de la política Fecha de emisión 20 de Agosto de 2014 POLÍTICA DE CERTIFICACIÓN de Certificados de Persona Física para autenticación de VITSA (efirma) Nombre de la Política Versión de la Política 1.1 Estado de la Política APROBADA Referencia de la Política / OID de la política Fecha de emisión 20 de Agosto de 2014 POLÍTICA DE CERTIFICACIÓN de Certificados de Persona Jurídica para firma digital de VITSA (efirma) Nombre de la Política Versión de la Política 1.1 Estado de la Política APROBADA Referencia de la Política / OID de la política Fecha de emisión 20 de Agosto de 2014 POLÍTICA DE CERTIFICACIÓN de Certificados de Persona Jurídica para autenticación de VITSA (efirma) - 7 -

8 1.3 PARTICIPANTES DE LA PKI AUTORIDADES CERTIFICADORAS (CA) La CA que puede emitir certificados acordes con esta política es la Autoridad Certificadora VITSA (CA VITSA) AUTORIDAD DE REGISTRO (RA) VITSA actuará por sí misma cumpliendo las funciones de Autoridad de Registro. La lista de Autoridades de Registro de VITSA que gestionan las solicitudes de certificados definidos en esta política se encuentra en la URL SUSCRIPTORES El grupo de usuarios que pueden solicitar certificados definidos por esta política está compuesto por cualquier Persona Física o Persona Jurídica en posesión de los elementos de identificación requeridos PARTE QUE CONFÍA Es toda Persona Física o Persona Jurídica que confía en un certificado y/o en las firmas digitales generadas a partir de un certificado emitido acorde con esta política OTROS PARTICIPANTES No estipulado. 1.4 USO DEL CERTIFICADO Usos apropiados del Certificado Tipo de Certificado Certificado de Persona Física para firma digital Certificado de Persona Física para autenticación Certificado de Persona Jurídica para firma digital Certificado de Persona Jurídica para Autenticación Descripción de uso apropiado del Certificado Firma digital No repudio (Non-Repudiation) Autenticación Firma Digital (Digital Signature) Cifrado de Clave (Key Encipherment) Firma digital No Repudio (Non-Repudiation) Autenticación Firma Digital (Digital Signature) Cifrado de Clave (Key Encipherment) Acuerdo de Clave (Key Agreement) USOS PROHIBIDOS DEL CERTIFICADO Los certificados emitidos deben ser utilizados conforme el marco de la normativa vigente que rige la materia, de la presente CPS y de las correspondientes Políticas de Certificación

9 Cualquier otro uso de los certificados no especificado en esta CPS, en la correspondiente Política de Certificación y en la normativa vigente, está prohibido y podrá sancionarse llegando a la revocación del mismo. 1.5 ADMINISTRACIÓN DE LA POLÍTICA ORGANIZACIÓN QUE ADMINISTRA EL DOCUMENTO Nombre: VIT S.A. RUC: Dirección:. España c/ Brasilia N to piso Teléfono: Dirección de correo electrónico: info@efirma.com.py Página Web: PERSONA DE CONTACTO Nombre: Raquel Villalba Dirección: España N 2028 c/ Brasilia Teléfono: Dirección de correo electrónico: info@efirma.com.py PERSONA QUE DETERMINA LA ADECUACIÓN DE LA DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN (CPS) A LA POLÍTICA En primera instancia, la entidad competente para determinar la adecuación de la CPS a esta Política de Certificación es el Directorio y personal autorizado de VITSA conforme con los Estatutos de la empresa. La aprobación definitiva, según establecido en la normativa vigente, el Ministerio de Industria y Comercio será el encargado final de determinar dicha adecuación PROCEDIMIENTOS DE APROBACIÓN DE LA POLÍTICA DE CERTIFICACIÓN (CP) En forma preliminar el Directorio y el personal autorizado de VITSA, conforme con los Estatutos de la empresa, aprobará el contenido de las Políticas de Certificación y sus posteriores enmiendas o modificaciones. La aprobación definitiva está a cargo del Ministerio de Industria y Comercio. 1.6 DEFINICIONES Y ACRÓNIMOS - 9 -

10 2 RESPONSABILIDADES DE PUBLICACIÓN Y DEL REPOSITORIO 2.1. REPOSITORIOS La CA VITSA dispone de un Repositorio público de información en el sitio PUBLICACIÓN DE INFORMACIÓN DE CERTIFICACIÓN En dicho Repositorio se mantiene publicada información de los servicios de certificación digital de la CA VITSA y aspectos relacionados: Las CP y CPS que implementa El Certificado de la CA Raíz El Certificado de la CA VITSA subordinada a la CA Raíz La Lista de Certificados Revocados Proforma de Contrato de Suscriptor Las Resoluciones que habilitan, suspenden o revocan al PSC VITSA La información relevante de la última auditoría que hubiere sido objeto Leyes, decretos, reglamentos y resoluciones que rigen la actividad de la PKI Paraguay Identificación, domicilio y medios de contacto Los cambios en las especificaciones o en las condiciones del servicio serán comunicados por VITSA a los usuarios en la URL TIEMPO O FRECUENCIA DE PUBLICACIÓN La información se mantiene actualizada Según lo especificado en la Declaración de Prácticas de Certificación (CPS) de VITSA. 2.4 CONTROLES DE ACCESO A LOS REPOSITORIOS La información del Repositorio es pública, de acceso libre y gratuito, y únicamente para consulta

11 3 IDENTIFICACIÓN Y AUTENTICACIÓN 3.1 NOMBRES TIPOS DE NOMBRES Los datos personales del Suscriptor acreditados durante el proceso de solicitud del Certificado componen el nombre distintivo (DN). Dependiendo del tipo de suscriptor, la composición del nombre distintivo DN es el siguiente: En el caso del suscriptor Persona Física: Campo Descripción Ejemplo de referencia Country (C) Código de país es asignado de acuerdo al PY estándar ISO 3166 Organization (O) Nombre del suscriptor, según documento de NOMBRES APELLIDO1 identificación, en mayúsculas y sin tildes. APELLIDO2 OrganizationUnit (OU) La Política identifica si se trata de un certificado PERSONA FISICA para: PERSONA FISICA ó PERSONA JURIDICA. CommonName (CN) Nombre del suscriptor, según documento de NOMBRES APELLIDO1 identificación, en mayúsculas y sin tildes. El APELLIDO2 (FIRMA) propósito debe ser FIRMA ó AUTENTICACION Serial CI más Número de Cédula de Identidad para CI Number(SERIALNUMBER) paraguayos o CIE más Cédula de identidad para {OID: } Extranjeros Surname (SN) Los dos apellidos del suscriptor, en mayúsculas y APELLIDO1 APELLIDO2 {OID: } sin tildes. GivenName (G) Se registra el nombre de suscriptor, en NOMBRES {OID: } mayúsculas y sin tildes Ejemplo DNpara Persona Física: C=PY O=NOMBRES APELLIDO1 APELLIDO2 OU=PERSONA FISICA CN=NOMBRES APELLIDO1 APELLIDO2 (FIRMA) SERIALNUMBER=CI SN=APELLIDO1 APELLIDO2 G=NOMBRES En el caso del suscriptor Persona Jurídica: Campo Descripción Ejemplo de referencia Country (C) Código de país es asignado de acuerdo al PY estándar ISO 3166 Organization (O) Razón Social de la entidad, según inscripción RAZONSOCIAL SA en el Registro Público, en mayúsculas y sin tildes

12 OrganizationUnit (OU) Identifica si se trata de un certificado para: PERSONA JURIDICA PERSONA FISICA ó PERSONA JURIDICA CommonName (CN) Nombre del Suscriptor en mayúsculas y sin RAZONSOCIAL SA (FIRMA) tildes o nombres de dominio de la organización, más el propósito que debe ser FIRMA o AUTENTICACION Serial Number RUC Número de Cédula Tributaria RUC (SERIALNUMBER) correspondiente al Suscriptor. Debe ser {OID: } validada durante el proceso de registro. SubjectAlternative Nombre alternativo del Sujeto Este es un DNS= Name valor opcional donde pueden colocarse otros nombres de dominio, direcciones de correo electrónico, direcciones IP, u otros identificadores únicos. Este campo se aplica únicamente para los certificados de AUTENTICACIÓN Ejemplo DNpara Persona Jurídica: C=PY O=RAZONSOCIAL SA OU=PERSONA JURÍDICA CN=RAZONSOCIAL SA (FIRMA) SERIALNUMBER=RUC En el caso del PSC VITSA como emisor de certificados dentro de la jerarquía de PKI del Paraguay, según la POLÍTICA DE CERTIFICACIÓN DE LA INFRAESTRUCTURADECLAVE PÚBLICA DEL PARAGUAY: Campo Descripción Valor Country (C) Código de país es asignado de acuerdo al PY estándar ISO 3166 Organization (O) Denominación o Razón Social dela Persona VIT S.A. Jurídica habilitada como PSC OrganizationUnit (OU) CA + Nombre de la CA CA-VIT S.A. Serial Number RUC Número de Cédula Tributaria RUC (SERIALNUMBER) correspondiente al PSC. {OID: } Valor DNpara PSC VITSA: C=PY O=VIT S.A. CN=CA-VIT S.A. SERIALNUMBER=RUC NECESIDAD DE NOMBRES SIGNIFICATIVOS ANONIMATO O SEUDÓNIMOS DE LOS SUSCRIPTORES REGLAS PARA INTERPRETACIÓN DE VARIAS FORMAS DE NOMBRES Para Certificados de Persona Física para firma digital y para autenticación La Cédula de Identidad es expedida por el Departamento de Identificaciones de la Policía Nacional, y

13 debe cumplir el siguiente formato: Tipo de Documento Prefijo Formato Cédula de identidad CI CI Cédula de identidad para extranjero CIE CIE Para Certificados de Persona Jurídica para firma digital y para autenticación La Cédula Tributaria RUC es expedida por la Subsecretaría de Estado de Tributación y debe cumplir el siguiente formato: Tipo de Documento Prefijo Formato Cédula Tributaria RUC RUC RUC UNICIDAD DE LOS NOMBRES Para Certificados de Persona Física para firma digital y para autenticación El nombre distintivo del suscriptor subjectdistinguishedname- es único. Para Certificados de Persona Jurídica para firma digital y para autenticación El nombre distintivo del suscriptor -subjectdistinguishedname- es único RECONOCIMIENTO, AUTENTICACIÓN Y ROL DE LAS MARCAS REGISTRADAS 3.2 VALIDACIÓN INICIAL DE IDENTIDAD MÉTODO PARA PROBAR POSESIÓN DE LA CLAVE PRIVADA El solicitante debe probar la posesión de la clave privada correspondiente a la clave pública que solicita que se certifique. Para certificados de Persona Física: Solicitud presencial en Entidad de Registro: Las claves privadas asociadas a certificados emitidos bajo esta Política de Certificación serán siempre generadas en dispositivos criptográficos seguros (tokens o tarjetas criptográficas).la generación de la solicitud de certificación se hará en presencia del solicitante utilizando mecanismos que garanticen la posesión inequívoca de la clave privada por parte del solicitante. Este proceso se realizará utilizando el dispositivo criptográfico seguro sobre la infraestructura de la Entidad de Registro dispuesta para estos fines. Para certificados de Persona Jurídica: Solicitud presencial en Entidad de Registro: Las claves privadas asociadas a certificados emitidos bajo esta Política de Certificación serán siempre generadas en dispositivos criptográficos seguros (tokens o tarjetas criptográficas).la generación de la solicitud de certificación se hará en presencia del solicitante utilizando mecanismos que garanticen la posesión inequívoca de la clave privada por parte del solicitante. Este proceso se realizará utilizando el dispositivo criptográfico seguro sobre la infraestructura de la Entidad de Registro dispuesta para estos fines. Solicitud con dispositivo criptográfico fuera de la Entidad de Registro: Cuando el certificado a solicitar corresponda a una Persona Jurídica que requiera generar el par de claves en un módulo criptográfico de hardware (HSM) que se encuentre alojado en sus instalaciones (fuera de la

14 Entidad de Registro), la generación del par de claves en dicho hardware criptográfico se hará en presencia de un funcionario autorizado del PSC VITSA, el cual auditará el proceso de generación, y quedará en posesión de una petición de certificación con la clave pública correspondiente, que luego procesará en la CA AUTENTICACIÓN DE IDENTIDAD DE PERSONA JURÍDICA Para la autenticación de la identidad de una entidad Persona Jurídica, será una Persona Física representante (por ejemplo Administrador, Representante Legal o individuo autorizado) quien efectivamente realizará el trámite, y para ello debe presentarse en la Autoridad de Registro del PSC VITSA. Dicha Persona Física deberá demostrar ante la Autoridad de Registro su propia identidad, la existencia de la Persona Jurídica a la cual representa en este acto, y acreditar su representación para solicitar el certificado, presentando los documentos correspondientes: Cédula de Identidad de la Persona Física representante. Cédula Tributaria RUC de la Persona Jurídica. Documento autenticado por Escribano donde la Persona Física representante acredite su representación para esta tarea en nombre de la Persona Jurídica, y donde se indiquen los datos de personería jurídica y se deje constancia expresa de la validación de constitución y existencia de la Persona Jurídica. La Autoridad de Registro comprobará la información recibida: Verificará la validez y vigencia de los documentos presentados. Comprobará que la Persona Física tenga capacidad de representación para esta tarea en nombre de la Persona Jurídica AUTENTICACIÓN DE IDENTIDAD DE PERSONA FÍSICA Para la autenticación de identidad de una Persona Física, la misma debe presentarse en la Autoridad de Registro del PSC VITSA. Dicha Persona Física deberá demostrar su identidad presentando ante la Autoridad de Registro el documento de identificación correspondiente: Cédula de Identidad La Autoridad de Registro comprobará la información recibida: Verificará la validez y vigencia del documento presentado, y mayoría de edad INFORMACIÓN DEL SUSCRIPTOR NO VERIFICADA No se incluye información de suscriptor no verificada en los certificados VALIDACIÓN DE LA AUTORIDAD (CAPACIDAD DE HECHO) El PSC VITSA determina si el solicitante se encuentra apto para solicitar un tipo de certificado específico para sí mismo o para la entidad que represente. Ver secciones y CRITERIOS PARA INTEROPERABILIDAD No se definen criterios de interoperabilidad entre la AC de VITSA y otras. Los mecanismos deberán ser establecidos de forma bilateral e independiente con otras Autoridades de Certificación

15 3.3 IDENTIFICACIÓN Y AUTENTICACIÓN PARA SOLICITUDES DE RE-EMISIÓN DE CLAVES IDENTIFICACIÓN Y AUTENTICACIÓN PARA RE-EMISIÓN DE CLAVES RUTINARIA No se permite la re-emisión de claves. Para la renovación un certificado, el suscriptor debe solicitar uno nuevo donde se generan nuevas claves y se crea un nuevo certificado. La identificación y autenticación se realiza de igual forma que para la validación inicial. Ver sección IDENTIFICACIÓN Y AUTENTICACIÓN PARA LA RE-EMISIÓN DE CLAVES DESPUÉS DE UNA REVOCACIÓN No se permite la re-emisión de claves. Luego de una revocación, el suscriptor puede solicitar uno nuevo donde se generan nuevas claves y se crea un nuevo certificado. La identificación y autenticación se realiza de igual forma que para la validación inicial. Ver sección IDENTIFICACIÓN Y AUTENTICACIÓN PARA SOLICITUDES DE REVOCACIÓN La identificación y autenticación para solicitudes de revocación de claves y certificados aplica a aquellas personas o entidades que realicen una solicitud de revocación. Las solicitudes pueden ser realizadas por el suscriptor del certificado o por terceras partes según sea el caso. Los sujetos habilitados para solicitar la revocación se encuentran establecidos en la sección Los procedimientos aceptados para la identificación y autenticación del solicitante de la revocación incluyen: En forma presencial en una Autoridad de Registro: o El solicitante de la revocación debe demostrar su identidad presentando ante la Autoridad de Registro la documentación de identificación, y también de representación si correspondiere, según el procedimiento de identificación y autenticación de identidad indicado en las Secciones y de esta Política. En forma remota, contactando al PSC VITSA vía telefónica al número : o En el momento de la solicitud de certificado, la Entidad de Registro recoge una serie de datos personales del Suscriptor, cuyo conocimiento garantiza la identidad del mismo. Entre estos datos se encuentran: todos sus datos personales registrados más una respuesta a una pregunta de seguridad que el Suscriptor elige. Al momento de solicitar una revocación remota por vía telefónica, el PSC VITSA debe preguntar al Suscriptor estos datos personales, y verificar las respuestas contra los datos almacenados. Según las respuestas sean correctas, la autenticación será exitosa; o caso contrario, se da por fallida la autenticación. o Sólo el suscriptor del certificado podrá solicitar su revocación en forma remota. Los procedimientos habilitados para solicitar la revocación se encuentran establecidos en la sección

16 4. REQUERIMIENTOS OPERACIONALES DEL CICLO DE VIDA DEL CERTIFICADO 4.1 SOLICITUD DEL CERTIFICADO QUIÉN PUEDE PRESENTAR UNA SOLICITUD DE CERTIFICADO Las personas que pueden presentar una solicitud de certificado al PSC VITSA son: Para Certificados de Persona Física Podrá presentar una solicitud de certificado cualquier persona mayor de edad, sin distinción, con un documento de identidad válido, que será el sujeto a cuyo nombre se emita el certificado. Para certificado de Persona Jurídica: Podrá presentar una solicitud de certificado cualquier persona representante legal o apoderado con poder suficiente en nombre de la Persona Jurídica PROCESO DE INSCRIPCIÓN Y RESPONSABILIDADES El solicitante tendrá las siguientes responsabilidades - Deberá proveer información correcta y verdadera durante el proceso de inscripción. - Presentar toda la documentación requerida, la cual deberá ser válida y estar vigente. - Y dependiendo del tipo de certificado deberá: Para Certificados de Persona Física para firma digital y para autenticación Presentar original (o copia autenticada) y copia simple de: o Formulario de Solicitud de EMISIÓN de Certificado completado y firmado o Cédula de Identidad Generar el par de claves y probar la posesión de la clave privada correspondiente a la clave pública que solicita que se certifique conforme a lo estipulado en el apartado de la presente política. Firmar el Acuerdo de Suscriptores Para Certificado de Persona Jurídica para firma digital y para autenticación Presentar original (o copia autenticada) y copia simple de: o Formulario de Solicitud de EMISIÓN de Certificado completado y firmado por la Persona Física representante (como representante legal o poder otorgado para este acto) de la Persona Jurídica. o Cédula de Identidad de la Persona Física representante. o Cédula Tributaria RUC de la Persona Jurídica. o Documento autenticado por Escribano donde: la Persona Física acredite su representación para esta tarea en nombre de la Persona Jurídica solicitante, y se indiquen los datos de personería jurídica (*) y se deje constancia expresa de la validación de constitución y existencia de dicha Persona Jurídica. o (*) Opcionalmente, y en forma adicional, podrá solicitarse otra documentación que acredite la personería jurídica de la entidad solicitante. Esta documentación podrá variar de acuerdo al tipo de entidad

17 o Documentación de evidencia que el nombre de dominio DNS del campo nombre alternativo del sujeto está registrado a su nombre (en caso que se utilice dentro del certificado a emitir). Generar el par de claves y probar la posesión de la clave privada correspondiente a la clave pública que solicita que se certifique conforme a lo estipulado en el apartado de la presente política. Firmar el Acuerdo de Suscriptores Para todas las certificaciones y autenticaciones por Escribano, una vez expedidas, se considera una validez de 15 días hábiles. Las responsabilidades de la CA VITSA para este procedimiento son comunes a todos los tipos de certificados y son según lo especificado en la Declaración de Prácticas de Certificación (CPS) de VITSA PROCESAMIENTO DE LA SOLICITUD DEL CERTIFICADO EJECUCIÓN DE LAS FUNCIONES DE IDENTIFICACIÓN Y AUTENTICACIÓN El PSC VITSA ejecuta las funciones de identificación y autenticación para los certificados que emite de acuerdo con las disposiciones establecidas en el punto APROBACIÓN O RECHAZO DE SOLICITUDES DE CERTIFICADO El PSC VITSA analiza y decide la aprobación o rechazo de la solicitud de certificados según lo establecido en esta Política y según lo especificado en la Declaración de Prácticas de Certificación (CPS) de VITSA conforme a la normativa vigente TIEMPO PARA PROCESAR SOLICITUDES DE CERTIFICADO El tiempo para procesar solicitudes de certificado será inmediato en modalidad de operación normal para los certificados que se emitan bajo esta Política en forma presencial. Dicho plazo, cualquiera sea el caso, será el menor posible y no excederá los 5 (cinco) días hábiles. 4.3 EMISIÓN DEL CERTIFICADO Acciones de la CA durante la emisión de los certificados La CA VITSA seguirá las acciones generales para la emisión del certificado Según lo especificado en la Declaración de Prácticas de Certificación (CPS) de VITSA Según sea: Solicitud con dispositivo criptográfico en Entidad de Registro: El certificado quedará almacenado en el dispositivo criptográfico del solicitante para posterior entrega, aceptación y uso operativo. Solicitud con dispositivo criptográfico fuera de la Entidad de Registro El certificado se entregará en un medio magnético o se remitirá vía mail al suscriptor Notificación al suscriptor sobre la emisión del Certificado Digital Cuando el certificado se emite en presencia del suscriptor en la Autoridad de Registro, esta notificación es también presencial parte del mismo acto. En los otros casos se notificará a través de mensaje de correo

18 4.4. ACEPTACIÓN DEL CERTIFICADO CONDUCTA CONSTITUTIVA DE ACEPTACIÓN DE CERTIFICADO Una vez emitido el certificado de Persona física o Jurídica por el PSC VITSA, el solicitante debe en el mismo acto presencial de entrega en la Autoridad de Registro: Firmar el Acuerdo de Suscriptores. Este acuerdo registra la adhesión del solicitante a la presente Política de Certificación, a la Declaración de Prácticas de Certificación (CPS) de VITSA y a la regulación aplicable. Firmar digitalmente el Acuerdo de Suscriptores. Firmar la conformidad de aceptación del certificado PUBLICACIÓN DEL CERTIFICADO POR LA CA NOTIFICACIÓN DE LA EMISIÓN DEL CERTIFICADO POR LA CA A OTRAS ENTIDADES 4.5 USO DEL PAR DE CLAVES Y DEL CERTIFICADO USO DE LA CLAVE PRIVADA Y DEL CERTIFICADO POR EL SUSCRIPTOR El uso de la clave privada correspondiente a la clave pública, contenida en el certificado, solamente será permitido una vez que el suscriptor haya aceptado el Acuerdo de Suscriptores y el certificado emitido. Las normas de uso generales son Según lo especificado en la Declaración de Prácticas de Certificación (CPS) de VITSA. Además, los suscriptores deben, según el tipo de certificado: Certificado de Persona Física para autenticación y firma digital El uso de los certificados emitidos por el PSCVITSA debe ser acorde a lo dispuesto en el punto de la presente Política Certificado de Persona Jurídica para autenticación y firma digital Los certificados de Persona Jurídica para firma digital serán usados de conformidad a lo establecido en la normativa vigente. En el caso que el titular del certificado sea una Persona Jurídica, serán responsables por el uso sus representantes o personas designadas. Cada Persona Jurídica deberá desarrollar y establecer los mecanismos de seguridad informática y de infraestructura física, así como los reglamentos, procedimientos o políticas que considere pertinentes para resguardar y delimitar el uso de dicho certificado en su organización. El uso de los certificados emitidos por el PSCVITSA debe ser acorde a lo dispuesto en el punto de la presente Política USO DE LA CLAVE PÚBLICA Y DEL CERTIFICADO POR LA PARTE QUE CONFÍA La parte que confía debe aceptar las estipulaciones establecidas en la presente política, en todo lo que les resulte aplicable, como condición indispensable para confiar en el certificado. Antes de cualquier acto de confianza, la parte que confía debe evaluar en forma independiente:

19 Que el certificado sea utilizado para un propósito apropiado, y que no esté prohibido o restringido por la presente política. El PSC VITSA no es responsable de esta tarea. El estado del certificado y el estado de todos los certificados de las CA en la cadena que emitieron los certificados. 4.6 RENOVACIÓN DEL CERTIFICADO No se permite la renovación de certificados. Cuando un certificado requiera ser renovado, debe solicitarse uno nuevo de acuerdo con la sección 4.1 de esta Política y según lo especificado en la Declaración de Prácticas de Certificación (CPS) de VITSA 4.7 RE-EMISIÓN DE CLAVES DE CERTIFICADO No se permite la re-emisión de claves de certificados. En este caso, debe solicitarse uno nuevo de acuerdo con la sección 4.1 de esta Política y según lo especificado en la Declaración de Prácticas de Certificación (CPS) de VITSA. 4.8 MODIFICACIÓN DE CERTIFICADOS No se permite la modificación de certificados. Cuando un certificado requiera ser modificado, primero debe revocarse y luego solicitarse uno nuevo de acuerdo con la sección 4.1 de esta Política y según lo especificado en la Declaración de Prácticas de Certificación (CPS) de VITSA. 4.9 REVOCACIÓN Y SUSPENSIÓN CIRCUNSTANCIAS PARA LA REVOCACIÓN Los certificados de Persona Física y Persona Jurídica pueden ser revocados por diferentes motivos aplicables, según lo especificado en la Declaración de Prácticas de Certificación (CPS) de VITSA QUIEN PUEDE SOLICITAR REVOCACIÓN Los habilitados para realizar la solicitud de revocación son: La Persona física o Persona Jurídica suscriptor del certificado. Otras personas o terceras partes según lo especificado en la Declaración de Prácticas de Certificación (CPS) de VITSA PROCEDIMIENTO PARA LA SOLICITUD DE REVOCACIÓN El solicitante de la revocación tendrá las siguientes responsabilidades - Deberá proveer información correcta y verdadera durante el proceso de revocación. - Presentar toda la documentación requerida, la cual deberá ser válida y estar vigente. - Y ejecutar el procedimiento de solicitud según sea el caso: SOLICITUD DE REVOCACIÓN PRESENCIAL: La solicitud se realiza en forma presencial en una Autoridad de Registro, ya sea por el suscriptor o un tercero, y se debe proceder según: Si el solicitante es una Persona Física: Presentar original (o copia autenticada) y copia simple de:

20 o Formulario de Solicitud de REVOCACIÓN de Certificado completado y firmado o Cédula de Identidad Si el solicitante es una Persona Jurídica: Presentar original (o copia autenticada) y copia simple de: o Formulario de Solicitud de REVOCACIÓN de Certificado completado y firmado por la Persona Física representante (como representante legal o poder otorgado para este acto) de la Persona Jurídica. o Cédula de Identidad de la Persona Física representante. o Cédula Tributaria RUC de la Persona Jurídica. o Documento autenticado por Escribano donde: la Persona Física acredite su representación para esta tarea en nombre de la Persona Jurídica solicitante, y se indiquen los datos de personería jurídica y se deje constancia expresa de la validación de constitución y existencia de dicha Persona Jurídica. Para todas las certificaciones y autenticaciones por Escribano, una vez expedidas, se considera una validez de 15 días hábiles. SOLICITUD DE REVOCACIÓN REMOTA: La solicitud se realiza en forma remota vía telefónica al teléfono del PSC VITSA. Sólo el suscriptor del certificado podrá solicitar su revocación en forma remota, y se debe proceder según: El solicitante suscriptor deberá primero brindar su CI al operador telefónico. El operador del PSC VITSA formulará al suscriptor una serie de preguntas. El suscriptor deberá responder al operador telefónico del PSC VITSA sobre: o Los datos del formulario de Solicitud de EMISIÓN de Certificado que el suscriptor había brindado al momento del registro. o La pregunta de seguridad que el suscriptor había fijado al momento del registro. Si las respuestas fueron correctas, continúa el proceso y se ejecuta la revocación. Si las respuestas fueron incorrectas, se da por fallida la autenticación, ante lo cual el PSC VITSA alertará al Suscriptor de este hecho. El formulario de Solicitud de REVOCACIÓN de Certificado se encuentra en el Repositorio web En los casos que la solicitud de revocación provenga del propio PSC VITSA o de una Autoridad Judicial competente, este procedimiento se complementa según lo especificado en la Declaración de Prácticas de Certificación (CPS) de VITSA. Las responsabilidades del PSC VITSA para este procedimiento son comunes a todos los tipos de certificados y son según lo especificado en la Declaración de Prácticas de Certificación (CPS) de VITSA PERIODO DE GRACIA PARA SOLICITUD DE REVOCACIÓN TIEMPO DENTRO DEL CUAL LA CA DEBE PROCESAR LA SOLICITUD DE REVOCACIÓN REQUERIMIENTOS DE VERIFICACIÓN DE REVOCACIÓN PARA LAS PARTES QUE CONFÍAN

21 4.9.7 FRECUENCIA DE EMISIÓN DEL CRL LATENCIA MÁXIMA PARA CRLS DISPONIBILIDAD DE VERIFICACIÓN DE REVOCACIÓN/ ESTADO EN LÍNEA REQUERIMIENTOS PARA VERIFICAR LA REVOCACIÓN EN LÍNEA OTRAS FORMAS DE ADVERTENCIAS DE REVOCACIÓN DISPONIBLES REQUERIMIENTOS ESPECIALES POR COMPROMISO DE CLAVE PRIVADA CIRCUNSTANCIAS PARA SUSPENSIÓN No se permite la suspensión del Certificado QUIEN PUEDE SOLICITAR LA SUSPENSIÓN No aplica PROCEDIMIENTO PARA LA SOLICITUD DE SUSPENSIÓN No aplica LÍMITES DEL PERÍODO DE SUSPENSIÓN No aplica SERVICIOS DE COMPROBACIÓN DE ESTADO DE CERTIFICADO 4.11 FIN DE LA SUSCRIPCIÓN La extinción de la validez de un certificado se produce en los siguientes casos: Con la Expiración del certificado, cuando llega a su fecha de fin de validez. Antes de la Expiración del certificado a través de una Revocación del mismo por cualquiera de las

22 causas establecidas en esta Política y según lo especificado en la Declaración de Prácticas de Certificación (CPS) de VITSA CUSTODIA Y RECUPERACIÓN DE CLAVES POLÍTICA Y PRÁCTICAS DE CUSTODIA Y RECUPERACIÓN DE CLAVES El PSCVITSA no custodia claves de los certificados emitidos bajo esta Política POLÍTICAS Y PRÁCTICAS DE RECUPERACIÓN Y ENCAPSULACIÓN DE CLAVES DE SESIÓN No aplica 5 CONTROLES DE SEGURIDAD FÍSICA, DE GESTIÓN Y DE OPERACIONES 6 CONTROLES TÉCNICOS DE SEGURIDAD 6.1 GENERACIÓN E INSTALACIÓN DEL PAR DE CLAVES GENERACIÓN DEL PAR DE CLAVES Las claves de los certificados emitidos bajo esta Política se generan mediante un proceso seguro por medio del módulo criptográfico de hardware. Certificados de Persona Física para firma digital y para autenticación

23 La generación de las claves de los suscriptores requiere que los módulos de criptografía asociados cumplan al menos con el estándar Fips nivel 2 Certificados de Persona Jurídica para firma digital y para autenticación La generación de las claves de los suscriptores requiere que los módulos de criptografía asociados cumplan al menos con el estándar Fips nivel ENTREGA DE LA CLAVE PRIVADA AL SUSCRIPTOR La clave privada se genera y se mantiene dentro de los límites del módulo criptográfico. El módulo criptográfico se entrega o está en posesión del suscriptor ENTREGA DE LA CLAVE PÚBLICA AL EMISOR DEL CERTIFICADO La clave pública es tratada desde su generación mediante mecanismos seguros que aseguran su autenticidad e integridad, impidiendo que sea alterada en su tránsito. El método de remisión de la clave pública a la CA es una prueba criptográfica del tipo petición de certificación CSR o equivalente definido internamente por el PSC VITSA ENTREGA DE LA CLAVE PÚBLICA DE LA CA A LAS PARTES QUE CONFÍAN El certificado de la CA está publicado en el Repositorio web de acceso libre e irrestricto TAMAÑO DE LA CLAVE Certificado de Persona Física El tamaño de las claves para el suscriptor será de 2048 bits RSA. Certificado de Persona Jurídica El tamaño de las claves para el suscriptor será de 2048 bits RSA GENERACIÓN DE PARÁMETROS DE CLAVE PÚBLICA Y VERIFICACIÓN DE CALIDAD El PSCVITSA generará y verificará los parámetros de clave pública de acuerdo con el estándar FIPS (Digital Signature Standard-DSS) que define el cripto-algoritmo utilizado en la generación PROPÓSITOS DE USOS DE CLAVE (CAMPO KEY USAGE X509 V3) Certificado de Persona Física para firma digital El valor del campo keyusage para este certificado es: nonrepudiaton=1. Certificado de Persona Física para autenticación El valor del campo keyusage para este certificado es: digitalsignature=1; KeyEncipherment=1. Certificado de Persona Jurídica para firma digital El valor del campo keyusagepara este certificado es: nonrepudiaton=1. Certificado de Persona Jurídica para autenticación El valor del campo keyusage para este certificado es: DigitalSignature=1; KeyAgreement=1; KeyEnchipherment=

24 6.2 CONTROLES DE INGENIERÍA DEL MÓDULO CRIPTOGRÁFICO Y PROTECCIÓN DE LA CLAVE PRIVADA ESTÁNDARES Y CONTROLES DEL MÓDULO CRIPTOGRÁFICO Certificado de Persona Física para firma digital y autenticación El suscriptor debe cumplir con los controles definidos en el Acuerdo de Suscriptores y utilizar módulos criptográficos basados como mínimo en el estándar FIPS nivel 2 Certificado de Persona Jurídica para firma digital y para autenticación El suscriptor debe cumplir con los controles definidos en el Acuerdo de Suscriptores y utilizar módulos criptográficos basados como mínimo en el estándar FIPS nivel CONTROL MULTI-PERSONA DE CLAVE PRIVADA Será responsabilidad del suscriptor mantener bajo su exclusivo control la clave privada CUSTODIA DE LA CLAVE PRIVADA La CA VITSA no custodia claves privadas de sus suscriptores ni de los módulos hardware que las contienen para certificados emitidos bajo esta Política. Será responsabilidad del suscriptor mantener bajo su exclusivo control la clave privada RESPALDO DE LA CLAVE PRIVADA La CA VITSA no respalda claves privadas de sus suscriptores para certificados emitidos bajo esta Política. La clave privada permanece dentro de los límites del dispositivo criptográfico donde fue generada ARCHIVADO DE LA CLAVE PRIVADA La CA VITSA no archiva claves privadas de sus suscriptores para certificados emitidos bajo esta Política. La clave privada permanece dentro de los límites del dispositivo criptográfico donde fue generada TRANSFERENCIA DE CLAVE PRIVADA HACIA O DESDE UN MÓDULO CRIPTOGRÁFICO La CA VITSA no gestiona claves privadas de sus suscriptores para certificados emitidos bajo esta Política ALMACENAMIENTO DE LA CLAVE PRIVADA EN EL MÓDULO CRIPTOGRÁFICO La CA VITSA no gestiona claves privadas de sus suscriptores para certificados emitidos bajo esta Política. La clave privada permanece dentro de los límites del dispositivo criptográfico donde fue generada MÉTODO DE ACTIVACIÓN DE CLAVE PRIVADA La clave privada, cuando no esté siendo utilizada, se encuentra desactivada. Para activar la clave privada del suscriptor asociada a certificados emitidos bajo esta Política, se aplica:

25 Para claves privadas asociadas a certificados de Persona Física para firma digital y para autenticación Debe existir un mecanismo de seguridad de al menos dos factores de seguridad para activar y usar la clave privada: El primer factor corresponde a la posesión del dispositivo criptográfico. El segundo factor, obligatorio, es un PIN de seguridad para activar el acceso al uso de la clave privada. Para claves privadas asociadas a certificados de Persona Jurídica para firma digital y para autenticación Debe existir un mecanismo de seguridad de al menos dos factores de seguridad para activar y usar la clave privada: El primer factor corresponde a la posesión del dispositivo criptográfico. El segundo factor, obligatorio, es un PIN de seguridad para activar el acceso al uso de la clave privada MÉTODOS DE DESACTIVACIÓN DE LA CLAVE PRIVADA La clave privada del suscriptor, cuando no esté siendo utilizada, se encuentra desactivada. Una vez activada y en uso, la desactivación de la clave privada del suscriptor se logra mediante la extracción del dispositivo criptográfico del equipo en el que se está usando DESTRUCCIÓN DE CLAVE PRIVADA Será responsabilidad del suscriptor mantener bajo su exclusivo control la clave privada, y de igual forma la destrucción de la misma. A modo de referencia se indican: el suscriptor podrá destruir físicamente el dispositivo criptográfico que la contiene o utilizando herramientas para borrado seguro de la memoria del mismo CLASIFICACIÓN DEL MÓDULO CRIPTOGRÁFICO Certificado de Persona Física para firma digital y para autenticación El módulo criptográfico para los suscriptores de certificados de Personas Físicas debe cumplir como mínimo con el estándar Fips 140-2, nivel 2. Certificados de Persona Jurídica para firma digital y para autenticación El módulo criptográfico para los certificados de Persona Jurídica debe cumplir como mínimo con el estándar Fips 140-2, nivel OTROS ASPECTOS DE GESTIÓN DEL PAR DE CLAVES ARCHIVO DE LA CLAVE PÚBLICA Los certificados generados por la CA, y por lo tanto las claves públicas, son almacenados por la CA durante el periodo de tiempo obligado por la legislación vigente PERÍODO OPERACIONAL DEL CERTIFICADO Y PERÍODO DE USO DEL PAR DE CLAVES El tiempo operacional de un certificado coincide con el descripto en los campos de Válido desde y Válido hasta del mismo. El tiempo de uso refiere al establecido para los certificados emitidos por el PSC VITSA para suscriptores según:

26 Certificado de Tiempo de Tiempo Descripción suscriptor uso operacional en años en años Certificado de 2 2 El certificado emitido al usuario final es Persona Física para otorgado por un tiempo máximo de dos años, al firma digital finalizar ese período pierde su validez Certificado de 2 2 El certificado emitido al usuario final es Persona Física para otorgado por un tiempo máximo de dos años, al autenticación finalizar ese período pierde su validez Certificado de 2 2 El certificado emitido al usuario final es Persona Jurídica para otorgado por un tiempo máximo de dos años, al firma digital finalizar ese período pierde su validez Certificado de 2 2 El certificado emitido al usuario final es Persona Jurídica para otorgado por un tiempo máximo de dos años, al autenticación finalizar ese período pierde su validez EL PSCVITSA garantiza que el tiempo máximo de uso en años de los certificados de niveles inferiores se ajusta con el tiempo operacional de todos los niveles superiores. 6.4 DATOS DE ACTIVACIÓN GENERACIÓN E INSTALACIÓN DE LOS DATOS DE ACTIVACIÓN Certificados de Persona Física para firma digital y para autenticación Se deben generar e instalar sus propios datos de activación (PIN de dispositivos criptográficos) para proteger y prevenir perdidas, robos, modificación, divulgación o uso no autorizado de sus claves privadas. Certificados de Persona Jurídica para firma digital y para autenticación Se deben generar e instalar sus propios datos de activación (PIN de dispositivos criptográficos) para proteger y prevenir perdidas, robos, modificación, divulgación o uso no autorizado de sus claves privadas PROTECCIÓN DE LOS DATOS DE ACTIVACIÓN Los suscriptores son responsables de proteger sus datos de activación (PIN de dispositivos criptográficos) OTROS ASPECTOS DE LOS DATOS DE ACTIVACIÓN No se estipula el tiempo de vida de los datos de activación, pero se recomienda al suscriptor cambiar los datos de activación (PIN de dispositivos criptográficos) en forma periódica. 6.5 CONTROLES DE SEGURIDAD DEL COMPUTADOR 6.7 CONTROLES DE SEGURIDAD DE RED