Esta especificación ha sido preparada por ANF AC para liberar a terceras partes.

Transcripción

1 Esta especificación ha sido preparada por para liberar a terceras partes. NIVEL DE SEGURIDAD DOCUMENTO PÚBLICO Este documento es propiedad de ANF Autoridad de Certificación. Está prohibida su reproducción y difusión sin autorización expresa de ANF Autoridad de Certificación - Copyright ANF Autoridad de Certificación OID: Página 1 de 20

2 INFORMACIÓN BÁSICA DEL DOCUMENTO Tipo Nombre del documento Documento de control Versión 1.3 Responsables de la auditoria del documento Nombre del fichero A. Díaz G. García DT_OID_ANFAC_v1.3 Fecha de creación Última moficiación Estado Aprobado Fecha aprobación Aprobado por Junta Rectora PKI Esta revisión se ha efectuado como consecuencia de la ampliación de OID s. Control del documento: Control de cambios Fecha Versión Cambios Autor 12/01/ Ampliación y actualización Moisés Amador 07/05/ Ampliación Laura Villas 27/04/ Ampliación Conchi Martinez OID: Página 2 de 20

3 ÍNDICE 1. Información General Tabla Identificadores de Certificados Electrónicos Identificadores de campos informativos en certificados Identificadores de DPC, Políticas y otros documentos pub OID: Página 3 de 20

4 1. Información General utiliza identificadores de objeto OID s según el estándar ITU-T Rec. X.660 y el estándar ISO/IEC :2005 (Procedures for the Operation of OSI Registration Authorities: General Procedures and ASN.1 Object Identifier tree top arcs). tiene asignado, entre otros, el código privado de empresa (SMI Network Management Private Enterprise Codes) por la organización internacional IANA -Internet Assigned Numbers Authority-, bajo la rama iso.org.dod.internet.private.enterprise ( IANA Registered Private Enterprise-). Con el objeto de identificar de forma individual cada objeto creado por, se otorgan identificadores únicos OID s. Estos OID s comienzan siempre con la siguiente secuencia: El significado del OID con el arco es el siguiente: Iso (1) Org (3) Dod (6) Internet (1) Private (4) Enterprise (1) ANF Autoridad de Certificación (18332) Declaración de Prácticas de Certificación ( ) Se dispone de un localizador de OID disponible en: OID: Página 4 de 20

5 2. Tabla Con el fin de facilitar la localización de un identificador de objeto, este documento se divide en las siguientes secciones: a) Identificadores correspondientes a tipos de certificados. b) Identificadores correspondientes a documentos de interés. c) Identificadores correspondientes al contenido de los certificados. d) Identificadores correspondientes a otros activos de. 2.1 Identificadores de Certificados Electrónicos TIPO CERTIFICADO SOPORTE Identificador OID Clase 2 de Persona Física Representante Legal de Persona Jurídica Representante Legal para administradores únicos y Firma Autenticación Cifrado Firma Autenticación Cifrado Firma Autenticación OID: Página 5 de 20

6 solidarios Representante Legal de Entidad sin personalidad jurídica Empleado Público Sello Electrónico AA.PP. Cifrado Firma Autenticación Cifrado Firma Nivel Alto Autenticación Nivel Alto Cifrado Nivel Alto Nivel Medio Nivel Alto Nivel Medio Sello Electrónico Operador AR Responsable Dictámenes de Emisión Firma Firma Autenticación Cifrado Firma Autenticación OID: Página 6 de 20

7 Operador PKI Servidor Seguro SSL Servidor Seguro SSL EV Sede Electrónica Sede Electrónica EV Cifrado Firma Autenticación Cifrado Soft Soft Nivel Alto Nivel Medio Soft Nivel Alto Nivel Medio Soft OID: Página 7 de 20

8 2.2 Identificadores de DPC, Políticas y otros documentos publicados. OID Título Rev Declaración Prácticas de Certificación de Política de Certificados de Persona Jurídica Política de Certificados de Representante Legal Política de Certificados de Persona Física Política de Certificados de Empleado Público Declaración Prácticas de TSA (transferido al ) Términos y Condiciones de uso del servicio Time-Stamping Condiciones Generales de Contrato de Suscripción Contrato de Confidencialidad (plantilla) Contrato de Suscripción Términos y Condiciones para el Uso de los Certificados Condiciones Generales del Acuerdo de Suscripción Time-Stamping Anexo 16a - Normativa sobre Medidas de Seguridad en las Comunicaciones Normas y Criterios de Auditoría de los Servicios de Certificación Normas Generales para la Auditoría de los Servicios de Confianza Código de Ética Profesional de Auditores de Normas específicas para la auditoria de Entidades de Formación Anexo 1a - Plan Seguridad Administrativa Anexo 11 - Plan Continuidad Negocio y Plan Recuperación Desastre Plan de Recuperación en caso de Desastre Análisis de Riesgos Matriz- OID: Página 8 de 20

9 Análisis de Riesgos Clasificación y valoración Magnitud del daño Análisis de Riesgos Valoración de "Probabilidad de Amenaza Análisis de Riesgos Ficha de Elementos de Información Procedimientos de utilización de los Componentes s DPC y Política de Certificados de TSU Política de Certificados Basic Política de Certificados OCSP Procedimiento de la TSA para el Archivo y Destrucción de Claves Generación, gestión, archivo y destrucción de Claves Política de Cifrado Política de Certificados de Operador AR Política de Certificados de RDE y Operador PKI Política de Certificados de Sello Electrónico Política de Firma Electrónica Política de Certificados de Aplicación, Firma de Código y Cifrado Documentación Técnica del Sistema de Detección de Intrusos Anexo 16d - Supervisión de Servidores DT Sistema protección servidores Documentación Técnica del Hardware Servidores Procedimientos de Copias y Recuperación de Datos Anexo 15a - Sistemas de Información Procedimiento de Revisión por Dirección de los Ficheros de Datos Política de Roles y Responsabilidades Política de Seguridad de Servicios Web Guía técnica sobre seguridad física OID: Página 9 de 20

10 Normativa de Gestión de Soportes Normativa en la Gestión de Incidencias Normativa de Tratamiento de Ficheros Temporales de los Ficheros de Protección de Datos Normativa de Registro y Autorización de Ficheros LOPD Funciones y Obligaciones del Personal Normativa y Acta de Confidencialidad Personal de Inventario de Contratos Tratamiento de la información Plan de Prevención de Riesgos Laborales Manual de Seguridad y Salud Manual de Auditoría de Prevención Riesgos Laborales Biblioteca Captcha Catálogo de Contraseñas Seguras Política de Claves de Contraseñas OID Procedimiento de Control de Versiones de Software Procedimiento de Test de Control de Calidad de las Aplicaciones y Actualizaciones en Línea Procedimiento de Gestión de Pruebas, Implantación y Puesta en Explotación de Servidores de Confianza Procedimiento de Diseño de Aplicaciones y Clasificación de Seguridad del Código Fuente Procedimiento de Control de Accesos a Servidores, Gestión Remota y Cambio de Claves Procedimiento de firma electrónica cualificada a distancia Declaración de Seguridad Servidor de Firma de Normas en la Asignación de Puertos y Reglas de Filtrado OID: Página 10 de 20

11 Documentación Técnica de los Protocolos de Comunicaciones Documentación Técnica del Diseño de los Dispositivos ARR Documentación Técnica del Diseño de los Servicios de Notariado y Factura Delegada Documentación Técnica del Diseño de los Dispositivos de Entidad Final Documentación Técnica del Sistema de Emisión de Certificados Anexo 16b Infraestructura de Servidores Documentación Técnica de la Base de Datos Documentación Técnica de la Infraestructura de Servidores Documentación Técnica del Diseño de los TSU Documentación Procedimientos Servicios Sellado de Tiempo TSS Documentación Técnica del Diseño del Servicio OCSP Normativa de Archivo para Ficheros no Automatizados Normativa para Dispositivos de Almacenamiento en Ficheros no Automatizados Normativa para Copia o Reproducción de Documentos de Ficheros no Automatizados Anexo 10 - DT CONTROL DE ACCESO FICHEROS NO AUTOMATIZADOS Manual de funcionamiento e- Identificación Política de Certificados de Servidor Seguro SSL y Sede Electrónica Política de Validación Lista negra de Países Lista negra de Personas y Entidades Política Ciclo de Vida del Software Nodos de Servicio Plan de Formación de Personal de de la Organización OID: Página 11 de 20

12 Modelo de Datos TSU Documentación del Fabricante de la PKI Documento de Inventario Asignación de Roles y Responsabilidades Política Medioambiental Política de Privacidad Política de Reclamación de CopyRight Declaración LSSI Aviso Legal Responsabilidad corporativa Anexo 16 DT SISTEMA PROTECCION SERVIDORES Anexo 14 - Procedimiento de Gestión de Incidencias Política de Calidad Código de Buenas Prácticas Sello Garantía Satisfacción al Cliente Manifiesto de Garantías Anexo 17 - Código Conducta Proveedores Anexo 18 - Manual de Políticas de Seguridad Política de Organizacional de la Seguridad Política para uso de dispositivos móviles Política para uso de conexiones remotas Política de seguridad personal Política aplicable durante la vinculación de empleados Política de desvinculación, licencias, vacaciones Política de gestión de activos Política de clasificación, etiquetado y manejo de información OID: Página 12 de 20

13 Política de uso de tokens de seguridad Política de periféricos y medios de almacenamiento Política de criptografía Anexo 20 - Política de seguridad física y medioambiental Política de seguridad para los equipos corporativos Política de selección y contratación Política de protección frente a software malicioso Política de registro de eventos y monitoreo de recursos Política de control de software Política de gestión de vulnerabilidades Política de gestión y aseguramiento de redes Política de uso de correo electrónico Política de adecuación del uso de internet Política de intercambio de información Política de establecimiento de requisitos de seguridad Política de desarrollo seguro, realización de pruebas, sop Política de protección de datos de prueba Política de inclusión de condiciones de seguridad Política de gestión de la prestación de servcios de las terc Política para el reporte y tratamiento de incidentes de seg Política de redundancia Política de cumplimiento de requisitos legales, técnicos y Política de privacidad e intimidad Anexo 19 - Política de Sanciones Disciplinarias Política de Pantalla y escritorio limpios Política de seguridad del gobierno electrónico OID: Página 13 de 20

14 Política de control de acceso a las aplicaciones Plan de Formación Alcance y Documental Anexo 1 - Política de Seguridad de la Información Anexo 2 - Procedimiento de Auditorías Internas Anexo 3 - Gestión de indicadores Anexo 4 - Procedimientos Revisiones por Dirección Anexo 5a- Normativa Interna Anexo 6 - Análisis de Riesgo Anexo 7 - Declaración de aplicabilidad Anexo 12 - Normas y Estándares Anexo 13 - Documento Seguridad Protección de Datos Anexo 15 - Procedimiento de operaciones TI Análisis implantación ETSI EN Análisis implantación ETSI EN Análisis implantación ETSI EN Análisis implantación ETSI EN Análisis implantación ETSI EN Análisis implantación ETSI EN Análisis implantación ETSI EN Análisis implantación ETSI EN Análisis implantación ETSI EN Análisis implantación ETSI EN Análisis implantación ETSI EN Procedimiento de Emisión de Certificados Auditoria de ARR OID: Página 14 de 20

15 Guía AR Auditoria de Certificados Emitidos Curso básico sobre certificación electrónica Guía de atención telefónica Guía para la atención al cliente Tratamiento papel Anexo 8 - Inventario de activos Guía de procedimiento técnico de gestión de activos y accesos lógicos OIDs Entidad de Certificación de Personas v /09/ Documentación Técnica del Bastionado de Sistemas Guía de Backups Manual de Calidad de la Procedimiento Control de Documentos Procedimiento de Altas -Bajas absentismo de Personal Anexo 8A - Procedimiento de retirada de material Procedimiento de control de registros Procedimiento de gestión de activos Procedimiento de validación de solicitudes SSL y SSL EV Roles HSM Proyectos Externos Anexo 16c - Reglamento de Sistemas NDA Acuerdo de Confidencialidad OID: Página 15 de 20

16 2.3 Identificadores de campos informativos en certificados. OID Valor contenido Nombre del representante legal (solicitante) Primer apellido del representante legal (solicitante) Segundo apellido del representante legal (solicitante) NIF del representante legal (solicitante) Documento acreditativo del representante legal (solicitante) Poderes mancomunados (sólo en caso de serlo) Dirección correo electrónico representante legal (solicitante) Tipo de cédula de identidad presentada por el solicitante Nacionalidad (solicitante) Hash del acta de mandato o poder de representación, digitalizada del original. Enlace para la descarga del acta de mandato o poder de representación, digitalizada del original. Nombre completo de una persona física o jurídica, que otorga una representación al suscriptor Nombre de pila de la persona física que otorga una representación al suscriptor Apellidos de la persona física que otorga una representación al suscriptor CIF / DNI / NIE de la entidad jurídica o persona física que otorga una representación al suscriptor Creación de los componentes criptográficos entidad final Localizador de la solicitud (secuencial de tramite identificador Operador AR o RDE que la tramitó) Identificador Operador AR que tramitó la solicitud. NOTA: en el caso de certificados de Operador AR, RDE o PKI, este OID corresponde al identificador del operador titular del certificado, reseñado en la parte primera del código) OID: Página 16 de 20

17 Razón social (suscriptor) CIF (suscriptor) Nombre (suscriptor) Primer apellido (suscriptor) Segundo apellido (suscriptor) NIF (suscriptor) Dirección (suscriptor) Tipo de cédula de identidad presentada por el suscriptor Nacionalidad (suscriptor) Código numérico que define el tratamiento con el que hay que dirigirse al suscriptor Identificador de certificado de prueba, con tres posibles valores de estado ( activo, revocado o caducado ) Nombre del Responsable del Certificado Primer Apellido del Responsable del Certificado Segundo Apellido del Responsable del Certificado NIF del Responsable del Certificado del Responsable del Certificado Cargo, titulo, rol del Responsable del Certificado Departamento. al que está adscripto el Responsable del Certificado Tipo de cédula de identidad presentada por el responsable del certificado Nacionalidad del responsable del certificado Dirección donde reside el responsable del certificado Población donde reside el responsable del certificado Provincia donde reside el responsable del certificado CP donde reside el responsable del certificado País donde reside el responsable del certificado OID: Página 17 de 20

18 Teléfono fijo del responsable del certificado Teléfono del responsable del certificado Fax del responsable del certificado Mail del responsable del certificado País al que corresponde la emisión del certificado Procedimiento de gestión de incidencias Calificación con la que ha sido emitido el certificado Límite de responsabilidad asumido por la CA Limitación de uso del certificado por concepto Limitación de uso del certificado por importe Limitación de uso del certificado tipo moneda Identificador de la Autoridad de Registro Reconocida a la que pertenece el operador. Determina que se trata de un Operador AR Nivel 1 Autoridad de Registro Reconocida Nivel 1 Determina que se trata de un RDE Responsable Dictámenes de Emisión Determina que se trata de un Operador AR Nivel 2 Autoridad de Registro Reconocida Nivel 2 Determina si se trata de un ARR con capacidad de tramitar certificados de corto plazo de vigencia AR autorizado emisión corta vigencia Nivel seguridad del Operador PKI Determina que se trata de un Operador PKI Operador Autorizado de la PKI Nombre del Titular del Despacho AR al cual está adscrito el Operador AR Departamento en el que trabaja el Operador AR en el Despacho AR Automatización de limitaciones para procesos automáticos NIF Apoderado 2 (mancomunado) OID: Página 18 de 20

19 Nombre apoderado 2 (mancomunado) Primer apellido apoderado 2 (mancomunado) Segundo apellido apoderado 2 (mancomunado) Documento acreditativo del apoderamiento Determina que se trata de un certificado de corta vigencia. Valor de referencia 1. UUID del Dispositivo de Firma Electrónica que almacena el certificado Guía seguridad criptográfica Si está activo indica que los datos de generación de firma están contenidos en un dispositivo criptográfico Procedimiento de recepción de dispositivos criptofráficos Infraestructura de Servidores Lista negra de personas y entidades Sistema de Micropagos activado Sistema Pagaré Electrónico activado Hash Entrante del encadenamiento de un Sello Digital de Tiempo Hash Saliente del encadenamiento de un Sello Digital de Tiempo Aspectos profesionales o empresariales descriptivos de la actividad Otros aspectos relacionados con la calidad del servicio Otros aspectos relacionados con la calidad del servicio Otros aspectos relacionados con la calidad del servicio Fecha creación empresa Forma Jurídica del suscriptor Año de origen de la actividad Marcas o denominaciones comerciales propias Marcas que distribuye sufijo 1 OID: Página 19 de 20

20 Marcas que distribuye sufijo Marcas que distribuye sufijo Ámbito geográfico en que desarrolla su actividad Direcciones de sedes, teléfonos, fax, sitios web de localización Delegaciones sufijo Delegaciones sufijo Delegaciones sufijo Compañías con las que se relaciona Compañías con las que se relaciona sufijo Compañías con las que se relaciona sufijo Compañías con las que se relaciona sufijo Entidades bancarias con las que mantiene relaciones Cuentas corrientes, SWIFT Información económica referida a su actividad Información económica referida a su actividad sufijo Información económica referida a su actividad sufijo Información económica referida a su actividad sufijo Número empleados Número de distribuidores Contiene la versión de la aplicación AR Manager utilizada para tramitar la solicitud de certificado. OID: Página 20 de 20