Informe de Auditoria Independiente



Documentos relacionados
Proporcionó tales servicios de acuerdo con sus prácticas manifestadas.

Informe de Auditoría Independiente

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

IAP CONSIDERACIONES PARTICULARES SOBRE LA AUDITORÍA DE LAS EMPRESAS DE REDUCIDA DIMENSIÓN

NORMA TÉCNICA DE AUDITORÍA SOBRE CONSIDERACIONES RELATIVAS A LA AUDITORÍA DE ENTIDADES QUE EXTERIORIZAN PROCESOS DE ADMINISTRACIÓN

ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: APUNTES TEMA 1: CONTROL DE CALIDAD

IAP TÉCNICAS DE AUDITORÍA APOYADAS EN ORDENADOR (TAAO)

Sistemas de Gestión de Calidad. Control documental

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES

NORMA TÉCNICA DE AUDITORÍA SOBRE LA AUDITORÍA DE CUENTAS EN ENTORNOS INFORMATIZADOS INTRODUCCIÓN

Reglas para lograr reconocimiento por la IATF- 3era edición para ISO/TS 16949:2002 Boletín Técnico No. 5

Certificados de sede electrónica

Certificados de sello electrónico

CAPÍTULO 3: OPERACIÓN Y REALIZACIÓN DE LOS PROCESOS DE CERTIFICACIÓN

Una Inversión en Protección de Activos

Utilización de la firma electrónica

Resumen de los protocolos de seguridad del Registro Telemático

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M

Auditorías Reglamentaria o Legal de Prevención de Riesgos Laborales

INFORME ANUAL DE EVALUACIÓN DEL CONTROL INTERNO CONTABLE CONTRALORIA MUNICIPAL DE ENVIGADO VIGENCIA 2011

ANEXO 23: TÉRMINOS DE REFERENCIA PARA LA AUDITORÍA DEL PROYECTO

CUESTIONARIO AUDITORIAS ISO

CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD

Certificado de dispositivo seguro de controlador de dominio (CDSCD)

SISTEMAS Y MANUALES DE LA CALIDAD

INSTITUTO TECNOLOGICO DE COSTA RICA CUESTIONARIO AUTOEVALUACIÓN DEL SISTEMA DE CONTROL INTERNO Dependencia: Nombre Director o Coordinador:

SISTEMA INTEGRADO DE GESTION DE CALIDAD Y CONTROL INTERNO ALCALDIA MUNICIPAL DE SABANAGRANDE

UNIVERSIDAD DE CÓRDOBA

COMO AUDITAR EL CUMPLIMIENTO DE LA LORTAD /LOPD / REGLAMENTO DE SEGURIDAD. Rafael Bernal, CISA. Universidad Politécnica de Valencia

MANUAL DEL SISTEMA INTEGRADO DE GESTION ISO 9001:2008 Y OHSAS 18001:2007 CAPITULO IV

VISIÓN GENERAL DEL SISTEMA INTEGRADO DE CALIDAD, MEDIOAMBIENTE Y PREVENCIÓN

Seguridad en el manejo de la información asociada a las muestras (Ficheros automatizados) Granada 06/11/2012

Glosario de términos

La documentación en el Sistema de Calidad

1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades

GLOSARIO DE TÉRMINOS

Boletín Informativo SIGMC

DOCUMENTO DE SEGURIDAD EMPRESA DE EJEMPLO SL

ANEXO II. Los datos facilitados no serán incorporados a sistemas o soportes distintos de los del responsable del fichero.

MANEJO DE QUEJAS Y RECLAMOS

CÓDIGO DE CONDUCTA DE DATOS PERSONALES

IAP ENTORNOS INFORMATIZADOS CON SISTEMAS DE BASES DE DATOS

Infraestructura Extendida de Seguridad IES

ISO 9000 Escuela de Ingeniería de Sistemas y Computación Desarrol o de Software II Agosto Diciembre 2007

PROCEDIMIENTO PARA EL CONTROL DE DOCUMENTOS Y REGISTROS TABLA DE CONTENIDO

ANEXO CRITERIOS DE IMPLANTACIÓN, ORGANIZACIÓN Y USO DE LA FIRMA ELECTRÓNICA EN EL AYUNTAMIENTO DE MADRID

LA FIGURA DEL DELEGADO DE PROTECCIÓN DE DATOS EN LA PROPUESTA DE REGLAMENTO.

El nuevo SAS 70. Entendiendo los nuevos reportes de control para las organizaciones de servicio

COPEG 4. SISTEMA DE GESTIÓN DE CALIDAD

APROBACIÓN DE PROGRAMAS DE FORMACIÓN PARA EL ACCESO A LA CERTIFICACIÓN DEL PERSONAL QUE REALIZA ENSAYOS NO DESTRUCTIVOS CONTENIDO:

BOLETÍN OFICIAL DEL ESTADO

Tipos de Auditorías y objetivos básicos. Beneficios de las auditorías.

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

Las medidas de seguridad en el Reglamento RD-1720/2007. El cumplimiento de la seguridad en la LOPD, paso a paso

Sistemas de gestión de la calidad Requisitos

NORMA INTERNACIONAL DE AUDITORÍA 805

PROCEDIMIENTO PARA CONTROL DE REGISTROS

En el artículo del mes pasado,

IBM Global Services España, S.A C/ Mar Adriático, 2 San Fernando de Henares MADRID. Servicios IBM de Soporte Técnico Remoto

Ley Orgánica de Protección de Datos

COLEGIO DE CONTADORES PUBLICOS DEL DISTRITO CAPITAL DECLARACIÓN SOBRE NORMAS Y PROCEDIMIENTOS DE AUDITORIA. No. 2

GUIA SOBRE LOS REQUISITOS DE LA DOCUMENTACION DE ISO 9000:2000

Seven ERP Guía De Referencia - Imágenes

Medidas de seguridad ficheros automatizados

DOCUMENTO DE SEGURIDAD

C O N T E N I D O. 1. Propósito. 2. Alcance. 3. Responsabilidad y autoridad. 4. Normatividad aplicable. 5. Políticas

CONDICIONES GENERALES DEL SERVICIO PROCONSI S.L.

POLITICA DE PRIVACIDAD DE LA PAGINA WEB

AUDITORIA DEL SISTEMA DE GESTIÓN Y ENSAYOS PARA LA EMISIÓN DE DECLARACIÓN DE CONFORMIDAD LISTA DE VERIFICACIÓN

Revisión de las Declaraciones Patrimoniales Juradas

Documento 13 Tema: Comité de Supervisión

Instalación de certificados digitales

REGLAMENTO DE USO DE MARCA DEL ÁREA DE CERTIFICACIÓN DE SISTEMAS DE GESTIÓN DE SIGE, S.C. REGLAMENTO

Procedimiento de Auditoria Interna Revisión: 3. Facultad de Ciencias PROCEDIMIENTO: DE AUDITORIA INTERNA

!" #$ % &' (%) ' *+ Carretera de Utrera, Km SEVILLA. ESPAÑA. Tfno. (34) Fax. (34)

ISO 9001:2015 Cuestionario de autoevaluación

ANEXO 1 DEL PROCEDIMIENTO GENERAL DE CERTIFICACIÓN DE SISTEMAS DE GESTIÓN.

Estatuto de Auditoría Interna

AUTORIZACIÓN DE CLÍNICAS DENTALES PARA EL IMPLANTE DE TEJIDO ÓSEO LIOFILIZADO Y/O DESMINERALIZADO

ISO 9001:2015 Estado de la Revisión

SECRETARIADO EJECUTIVO DEL SISTEMA NACIONAL DE SEGURIDAD PÚBLICA CENTRO NACIONAL DE CERTIFICACIÓN Y ACREDITACIÓN México, D.F. a 04 de mayo de 2010

SHAREFILE. Contrato de socio comercial

ICTE NORMAS DE CALIDAD DE AGENCIAS DE VIAJES REGLAS GENERALES DEL SISTEMA DE CALIDAD. Ref-RG Página 1 de 9

Nota de Información al cliente Auditoría Multisede

EVALUACIÓN DEL CONTROL INTERNO CONTABLE

Qué es CEPA Certified?

Sistema de Autoridad de Registro. Procuraduría General de la República. Manual de Usuario

TRANSFERENCIA ELECTRONICA DE INFORMACION Y FONDOS. 1.- Aplicación de las presentes normas.

CONVENCIÓN SOBRE EL COMERCIO INTERNACIONAL DE ESPECIES AMENAZADAS DE FAUNA Y FLORA SILVESTRES

Guía de Medidas de Seguridad

DECLARACIÓN SOBRE NORMAS Y PROCEDIMIENTOS DE AUDITORIA DNA 2. SOLICITUD DE INFORMACIÓN AL ABOGADO DEL CLIENTE

Condiciones Generales de los Servicios DSS EADTRUST (European Agency of Digital Trust, S.L.)

DOCUMENTACIÓN E IMPLEMENTACIÓN DE ISO 9001:2008

0. Introducción Antecedentes

AVISO DE PRIVACIDAD INTEGRAL

Guía de Obtención de Certificados para la Facturación Electrónica en Adquira Marketplace.

ACUERDO 018- CG EL CONTRALOR GENERAL DEL ESTADO CONSIDERANDO:

Certificación de Buenas Prácticas de Fabricación Productos Cosméticos UNE-EN-ISO Barcelona, 18 enero 2012

AVISO PRIVACIDAD PUBLIKTMAX S.A. DE C. V.

Transcripción:

Assurance & Advisory Tel: 91 572 72 00 Business Services (AABS) Tel: 91 572 72 70 Torre Picasso www.ey.com/es Plaza Pablo Ruiz Picasso 28020 Madrid Informe de Auditoria Independiente A los Administradores de: La Autoritat de Certificació de la Comunitat Valenciana (ACCV) Alcance Hemos examinado las Manifestaciones realizadas por los Administradores de la Autoritat de Certificació de la Comunitat Valenciana, (en adelante ACCV) en su labor como emisora de certificados digitales para la Autoridad de Certificación raíz ACCV RootCA y las Autoridades de Certificación Delegadas CAGVA, ACCV-CA1, ACCV-CA2 y ACCV-CA3, durante el período que va desde el 1 de Junio de 2007 al 31 de Mayo de 2008. En el citado periodo, la ACCV: Manifestó sus prácticas sobre la privacidad de la información y sus prácticas de negocio sobre la gestión del ciclo de vida de los certificados y claves (ver CPS de ACCV )y suministró tales servicios de acuerdo con dichas prácticas manifestadas. Mantuvo controles efectivos para suministrar una seguridad razonable de que: La información del suscriptor fue autenticada adecuadamente por la actividad de registro, realizada por la propia ACCV y La integridad de las claves y de los certificados gestionados por la ACCV fue establecida y protegida a través de sus ciclos de vida. La información del suscriptor y de las partes relacionadas, estuvo restringida a las personas y recursos autorizados y, protegida frente a usos no especificados en las Manifestaciones de prácticas de negocio de la ACCV. Se mantuvo la continuidad de las operaciones de gestión del ciclo de vida de las claves y de los certificados; y El desarrollo, mantenimiento y operaciones de los sistemas de la ACCV fueron autorizados y realizados adecuadamente para mantener la integridad de los sistemas de la ACCV. todo ello de acuerdo con los requisitos Webtrust que para las Autoridades de Certificación, imponen los Criterios WebTrust para Autoridades de Certificación de AICPA, la CICA y el IACJCE (Programa Webtrust para Autoridades de Certificación). Los Administradores de la Autoritat de Certificació de la Comunitat Valenciana son responsables de sus Manifestaciones. Nuestra responsabilidad es expresar una opinión acerca de dichas Manifestaciones, basada en el trabajo que hemos realizado. Nuestro examen ha sido realizado de acuerdo con las normas específicas de revisión de los Criterios WebTrust para Autoridades de Certificación, establecidas por los organismos

competentes en esta materia, que son el AICPA, el CICA y el Instituto de Censores de Jurados de Cuentas de España, e incluye (1) Obtención y adecuada comprensión sobre: Las prácticas de privacidad de la información y de negocio de la gestión del ciclo de vida de las claves, de los certificados, y de los controles sobre la integridad ambos. La autenticidad y privacidad de la información del suscriptor y de las partes relacionadas La continuidad de las operaciones de gestión del ciclo de vida del certificado y de las claves y, El desarrollo, mantenimiento y aseguramiento de la integridad de los sistemas; (2) Realización de pruebas selectivas sobre transacciones ejecutadas de acuerdo con sus prácticas manifestadas de privacidad de la información y, con sus prácticas de negocio sobre la gestión del ciclo de vida de los certificados y claves (3) Prueba y evaluación de la eficacia operativa de los controles; y (4) Realización de otros procedimientos de revisión y evaluación, que hemos considerado necesarios sobre la base de las circunstancias de cada momento. Entendemos que nuestra evaluación suministra una base suficientemente para soportar razonablemente nuestra opinión. Opinión del Auditor En nuestra opinión, para el periodo comprendido entre el 1 de Junio de 2007 al 31 de Mayo de 2008, las Manifestaciones de los Administradores de ACCV, en relación con sus Prácticas como Autoridad de Certificación, basada en los criterios del programa AICPA/CICA Webtrust para Autoridades de Certificación referidos arriba, están adecuadamente formuladas, en todos sus aspectos significativos. Limitaciones inherentes A causa de las limitaciones inherentes en los propios controles del sistema, puede que existan errores o fraudes que no hayan sido detectados. Además, la toma de alguna conclusión en periodos posteriores al de la fecha de nuestro informe, basada en nuestras afirmaciones, están sujetas al riesgo de que se produzcan: (1) cambios en los controles o en el sistema establecido, (2) cambios en los requisitos de procesamiento, (3) cambios requeridos a causa del propio paso del tiempo, o (4) que el grado de cumplimiento de las políticas o procedimientos puedan alterar la validez de nuestras conclusiones. Exclusiones El Sello de Confianza WebTrust para Autoridades de Certificación que aparece en el sitio web de ACCV (www.accv.es), constituye una representación simbólica de los contenidos de este informe, y no va dirigido a actualizar este informe, ni debe ser interpretado como tal, ni ser utilizado para otros fines.

La eficacia e importancia relativa de determinados controles de ACCV y su efecto en las evaluaciones del riesgo de control para los suscriptores y usuarios depende de su interacción con los controles y otros factores presentes en las ubicaciones de los subscriptores y de las partes confiantes. No hemos realizado procedimientos para evaluar la efectividad de los controles en las ubicaciones de los subscriptores y de las partes confiantes. Este informe no incluye ninguna opinión profesional acerca de la calidad de los servicios prestados por la ACCV, ni de su idoneidad para los objetivos concretos de cualquier suscriptor, más allá de los criterios de WebTrust para Autoridades de Certificación cubiertos. ERNST & YOUNG, S.L. Madrid, España Auditores de Cuentas 24 de Junio de 2008 Manuel Giralt Herrero Socio-Auditor

Manifestaciones de los Administradores sobre sus Prácticas de Negocio y sus Controles en relación con sus operaciones como Autoridad de Certificación durante el periodo que va desde el 1 de Junio de 2007 al 31 de Mayo de 2008. 24 de Junio de 2008 La Autoritat de Certificació de la Comunitat Valenciana (en adelante ACCV) opera como una Autoridad de Certificación (AC) raíz mediante ACCV RootCA, y una Autoridad de Certificación Delegada vinculada a la anterior Autoridad de Certificación Raíz mediante CAGVA, ACCV-CA1, ACCV-CA2 y ACCV-CA3, y proporciona los siguientes servicios de Autoridades de Certificación: Registro del Subscriptor. Emisión de certificados. Renovación de certificados. Distribución de Certificados. Suspensión de Certificados. Revocación de Certificados. Procesamiento de la información del estado de los Certificados (utilizando un repositorio online). Gestión del ciclo de vida de una tarjeta de circuito integrada. Para llevar a cabo la prestación del servicio de certificación la ACCV hace uso de Autoridades de Registro para la identificación de los solicitantes de certificados, conforme a las normas de la Declaración de Prácticas de Certificación (CPS) y al convenio suscrito con la ACCV. La Dirección de la ACCV es responsable de establecer y mantener los controles efectivos sobre las operaciones de las AC de ACCV, incluyendo las Manifestaciones de sus Prácticas de negocio como AC, la Integridad de Servicio (incluidos los controles de la gestión del ciclo de vida de los certificados y de sus claves) y los Controles del Entorno de la AC. Esos controles contienen mecanismos de monitorización y se toman acciones para corregir las deficiencias encontradas. Existen limitaciones inherentes en algunos controles, incluyendo la posibilidad de errores humanos y la evasión o anulación de los controles. Como consecuencia, incluso los controles efectivos pueden proporcionar solamente una seguridad razonable respecto a las operaciones de la ACCV como Autoridad de Certificación. Adicionalmente, debido a cambios en las condiciones, la efectividad de los controles puede variar cada cierto tiempo. La Dirección de la ACCV ha evaluado los controles sobre sus operaciones como AC mediante la autoridad de certificación raíz ACCV RootCA y las autoridades de certificación delegadas CAGVA, ACCV-CA1, ACCV-CA2 y ACCV-CA3. En base a dicha evaluación, en opinión de la Dirección de la ACCV, durante el periodo de el 1 de Junio de 2007 al 31 de Mayo de 2008: Hizo públicas sus Prácticas de Negocio sobre la Gestión del Ciclo de Vida de los certificados y de sus claves, y sus prácticas sobre la privacidad de la información, y suministró tales servicios de acuerdo con las prácticas manifestadas. Mantuvo controles efectivos para proporcionar una seguridad razonable de que: La información del suscriptor es autenticada adecuadamente (por la actividad de registro llevada a cabo por ACCV).

La integridad de los certificados y de sus claves se estableció y protegió a lo largo de todo su ciclos de vida. La información de los suscriptores y partes de confianza está restringida a personal autorizado y, protegida de usos no especificados en las manifestaciones de prácticas de negocio de la ACCV. Se mantiene la continuidad de las operaciones a la gestión del ciclo de vida de las claves y certificados; y Las tareas de explotación, mantenimiento y desarrollo de los sistemas de la AC son autorizadas convenientemente y realizadas para mantener la integridad de los mismos. todo ello de acuerdo con los Criterios AICPA/CICA WebTrust para Autoridades de Certificación, incluyendo los siguientes: Declaración de Práctica de Certificación. Políticas de Certificados personales para ciudadanos, empleados públicos y entidades. Políticas de Certificados no personales. http://www.accv.es/legislacion_c.htm Integridad en el Servicio Controles en la Gestión del Ciclo de Vida de las Claves Generación de las claves de la AC Almacenamiento, copias de seguridad y recuperación de las claves de la AC Distribución de la Clave pública de la AC Uso de la Clave de la AC Destrucción de la clave de la AC Archivo de claves de la AC Gestión del ciclo de vida de la tarjeta de circuito integrado Controles en la Gestión del Ciclo de Vida del Certificado Registro de suscriptores Renovación de certificados Emisión de certificados Distribución de certificados Revocación de certificados Procesamiento de la información del estado de los Certificados Controles de Entorno de la AC Gestión de las CPS Y CP Gestión de la seguridad Clasificación y gestión de Activos

Seguridad del personal Seguridad física y medioambiental Gestión de operaciones Gestión de acceso al sistema Sistemas desarrollados y mantenidos Gestión de la continuidad de negocio Seguimiento y conformidad Registro de incidencias Joaquín Galeano Senabre Coordinador ACCV

2026 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback