Circular de Tecnología Pautas para el uso de Certificados Digitales Personales

Documentos relacionados
Circular de Tecnología Pautas para el uso de Certificados Electrónicos

LEY No SOBRE COMERCIO ELECTRONICO, DOCUMENTOS Y FIRMAS DIGITALES AGENDA REGULATORIA DEL INDOTEL

Sistema de aseguramiento de los registros y su documentación

ANEXO TÉCNICO ALCANCE Se requiere de una bolsa económica que permita solicitar 4 tipos de certificados digitales:

MUNICIPALIDAD DE CARRILLO DEPARTAMENTO DE TECNOLOGÍAS DE INFORMACIÓN

Juan Carlos Rodríguez (S21Sec) Juan José Carrasco (IZENPE) Rames Swart (SmartAccess)

Criptografía y firma digital

POLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L

ANEXO 11: ESTÁNDARES RECONOCIDOS PARA LA ACREDITACIÓN

CONFIANZA Uno de los principales desafíos a que se enfrentan los medios telemáticos es asegurar la identidad de las partes que intervienen en cualquie

Firma Electrónica en el Ecuador y su beneficio en la gestión empresarial

Pedro Rodríguez López de Lemus. Sevilla, 2 de diciembre de 2010

Política de Seguridad de la Información de ACEPTA. Pública

Regidoria de Modernizació de l Administració APLICACIÓN DE CIFRADO

CONFIGURACIÓN DEL CERTIFICADO DIGITAL EN OUTLOOK EXPRESS 6.0

PO-1TI-001. Código: Versión: Elaborado por: - Gerencia de IT. Página: Revisado por: - Gerencia de IT. Page 1 of 5

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA

Criterios básicos de sistemas técnicos de juego y homologaciones.

NORMATIVA y jurisprudencia

Medidas de seguridad. Tema 1 SAD. Vicente Sánchez Patón. I.E.S Gregorio Prieto

ANEXO APLICACIÓN DE FIRMA

REVISIÓN DE LA OPERACIÓN DE LA INFRAESTRUCTURA TECNOLÓGICA

Solicitud de Certificación Aplicable a la Autoridad Certificadora de SeguriData Privada S.A. de C.V.

Desarrollo e implementación de un prototipo de Notaría Digital

INSTALACIÓN E-SEAL TOKEN EN WINDOWS (XP-VISTA-7)

SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN, RIESGOS Y CONTINUIDAD DE NEGOCIOS

MANUAL DE CONFIGURACIÓN DEL CERTIFICADO DIGITAL EN OUTLOOK EXPRESS 6.0

Soluciones de Biometría e Identificación

Perfiles y funciones de los Profesionales evaluadores

Manual de instalación AutoFirma 1.4.3

Auditoría de Gestión

MECANISMOS FUERTES DE AUTENTICACIÓN CIRCULAR 042 DE 2012 SUPERINTENDENCIA FINANCIERA

La Firma Digital. Seguridad en Redes TCP/IP. Tabla de Contenidos

Manual de instalación AutoFirma 1.4.2

Secretaría Nacional de la Administración Pública Subsecretaría de Tecnologías de la Información

JULIO ALBERTO PARRA ACOTA SUBDIRECTOR DEL SISTEMA DISTRITAL DE ARCHIVOS DIRECCION ARCHIVO DE BOGOTÁ QUITO ECUADOR NOVIEMBRE DE 2012

Canal de Denuncias Línea Ética para Empresas

MANUAL DE PROCEDIMIENTOS DE ARCHIVO Y RESGUARDO DE DOCUMENTACION UNIDAD DE AUDITORIA INTERNA

REGLAMENTO INTERNO PARA EL USO DE EQUIPO DE CÓMPUTO, INTERNET Y CORREO ELECTRONICO

Dirigido a: Organizaciones titulares de la certificación ICONTEC de sistema de gestión de la calidad con la norma NCh 2728.

CONVERSATORIO No. 30. NICC-1 Norma Internacional de Control de Calidad 1. Moderador: Luis Armando Leal. Relator: Dra. Maribel Albarracín

Procedimiento de Respaldo de Información.

REGLAMENTO DEL USO DE EQUIPOS DE CÓMPUTO, PROYECTORES MULTIMEDIA Y LABORATORIOS DE FACEM

Manual de Descarga e instalación de la Máquina Virtual Java. Versión 1.0

Manual de instalación Certitool.

Riesgos en Banca Electrónica Una perspectiva jurídica desde la certificación digital. ERICK RINCON CARDENAS

CD INTERACTIVO DE PLANES DE CONTINGENCIA Y SEGURIDAD INFORMÁTICA PARA LA MEDIANA Y GRAN EMPRESA DE EL SALVADOR.

Manual de Firmado y Validación de Firmas

CERTIFICADO DIGITAL EN OUTLOOK 2002

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA LA CONTRATACIÓN DE SERVICIOS DE CERTIFICACIÓN

SMV. Superintendencia del Mercado de Valores

Capítulo 3. Qué es un Prestador de Servicios de Certificación?

EVALUACIÓN Y REEVALUACIÓN DE PROVEEDORES

Quién interviene en el proceso de la emisión de un certificado?

CIRCULAR-TELEFAX 6/2005 Bis

Servicios de firma electrónica en las AAPP Vascas

SICRES 3.0 Presentación Ejecutiva

MANUAL DE CONFIGURACIÓN DEL CERTIFICADO DIGITAL EN OUTLOOK 2010

Firma Digital y Firma Electrónica

Y LA INFRAESTRUCTURA INFORMÁTICA DELASECRETARÍA GENERAL DE GOBIERNO,ASÍ COMO GARANTIZAR LA CONTINUIDAD DE LOS SERVICIOS QUE SE

PROCEDIMIENTO PARA LA PRESENTACIÓN DE LAS SOLICITUDES DE DEVOLUCIÓN Y/O COMPENSACIÓN POR SALDOS A FAVOR GENERADOS EN DECLARACIONES DE RENTA Y VENTAS

Ministerio de Agricultura y Ganadería Servicio Fitosanitario del Estado Departamento Administrativo y Financiero Unidad Financiera

INSTALACIÓN DE TOKEN GEMALTO DESDE EL CD

Normas Internacionales de Información Financiera NIC-NIIF Calendario adopción en Colombia

Manual de Descarga e Instalación Drivers de tokens y Winrar para Windows 7

VIRTUALIZACIÓN Eficiencia Competitividad Servicio Canales Diferenciación - Reputación

BOLETÍN OFICIAL DEL ESTADO

Sistema Integrado de Gestión INSTRUCTIVO PARA LA REALIZACIÓN DE COPIAS DE SEGURIDAD

C O N T E N I D O. 1. Propósito. 2. Alcance. 3. Responsabilidad y autoridad. 4. Normatividad aplicable. 5. Políticas

Manual de Usuario Cambio de unidad certificadora Banco Central de Costa Rica Manual de Operación

Caja Carcasa USB 3.0 de Disco Duro HDD SATA 2,5 Pulgadas Externo Cifrado con Encriptación Contraseña

Documento Obligatorio de IAF Para la aplicación de ISO/IEC En auditorías de Sistemas Integrados de Gestión

Manual de usuario de configuración de Navegadores para Sede Electrónica del SEPE

CA ControlMinder for Virtual Environments

DIRECCIÓN GENERAL DE REGISTRO CIVIL, IDENTIFICACIÓN Y CEDULACIÓN. Sistema Nacional de Identificación Ciudadana. Manual de Usuario

LINEAMIENTOS ESPECÍFICOS PARA EL USO DE LA FIRMA ELECTRÓNICA AVANZADA EN LOS OFICIOS DEL ESTADO DEL EJERCICIO DEL INSTITUTO NACIONAL ELECTORAL

CONFIGURACIÓN DE FIRMA DIGITAL EN WORD 2013

ALCANCE. Asegurar Calidad de bienes y servicios comprados ACTIVIDADES PRINCIPALES. Identificar las necesidades de bienes y servicios a comprar

AREA DE ORIGEN DE MERCADERÍAS

Plan Estratégico Proceso. Elaborar Plan de Acción de Funcional

Publicado en la Gaceta Digital n!26 de 30 de junio 2016JUNTA ADMINISTRATIVA DEL REGISTRO NACIONAL REGLAMENTO OPERATIVO PARA LA TRAMITACIÓN

Norma ISO 17020: 2004

VENTAJAS COMPETITIVAS DE LA INSCRIPCIÓN EN EL REGISTRO EMAS

1. Quién encomienda a los poderes Públicos, velar por la seguridad e higiene en el trabajo?

Rama Judicial del Poder Público Consejo Superior de la Judicatura Sala Administrativa

GESTIÓN 3e, S.L. Tfno Mail:

Tarjetas multimedia externas

AUTORIZACION DEL DOCUMENTO

Instructivo Tratamiento de Sustancias y Residuos Peligrosos

Recomendaciones para el uso del correo electrónico.

MANUAL DE USUARIOS DIGITALIZACION DE ARCHIVOS

Glosario Facturas Electrónicas

VERIFICACIÓN Y CONFIGURACIÓN DOCUMENTOS PDF (ADOBE READER X)

Lineamientos para el uso de equipo de cómputo

POLITICA DE CERTIFICADO SELLO DE ADMINISTRACIÓN

Respuestas a las dudas sobre la firma electrónica. Mayo de 2008

Manual de usuario de Encriptor de información de registros bancarios

Transcripción:

ASIT 20070501 CT Pautas para el uso de Certificados Digitales v3 2007-07-17 Documento de Circular de Tecnología Pautas para el uso de Certificados Digitales Personales Versión 003 Julio de 2007 ARCHIVO: ASIT 20070501 CT Pautas para el uso de Certificados Digitales v3.doc Nº. PÁG: 1 / 9

Índice del Contenido 1. Abstract 3 2. Objeto 3 3. Alcance 3 4. Antecedentes 3 5. Consideraciones Generales 3 5.1. Usos de Certificados Digitales Personales 3 5.2. Prestadores de Servicios de Certificación o Entidades de Certificación 4 5.3. Soporte para Certificados Digitales Personales 5 6. Clases de Certificados Digitales Personales 5 7. Características técnicas 6 7.1. Certificados Digitales Personales 6 7.2. Dispositivos criptográficos USB 6 8. Software para firma digital 6 9. Software para cifrado o encriptación 7 10. Seguridad en el uso de los certificados 7 11. Vigencia 9 12. Referencias Generales 9 ARCHIVO: ASIT 20070501 CT Pautas para el uso de Certificados Digitales v3.doc Nº. PÁG: 2 / 9

1. Abstract La siguiente Circular de Tecnología incluye definiciones tecnológicas y pautas de seguridad para el uso de Certificados Digitales Personales en el BPS. 2. Objeto Definir los requerimientos tecnológicos necesarios para la utilización del Certificado Digital en el BPS y pautas para un uso seguro de estas tecnologías. 3. Alcance Las definiciones que se incluyen en este documento sobre el uso de Certificados Digitales Personales tienen alcance sobre todas sus posibles aplicaciones en el Banco de Previsión Social. 4. Antecedentes La Firma Digital es una herramienta tecnológica que permite garantizar la autoría e integridad de los documentos digitales, así como servir de base tecnológica para implementar el no repudio. El uso de una firma digital, no implica asegurar la confidencialidad del documento. Para ésto es necesario encriptar o cifrar el documento. Para que un documento pueda ser firmado o cifrado es necesario el uso de un Certificado Digital. Con la firma de los acuerdos internacionales para el intercambio de información, se plantea la necesidad de instrumentar el uso de Certificados y Firma Digital en el BPS. Previamente se habían desarrollado talleres y pilotos de evaluación de las tecnologías de Certificados Digitales, los cuales se implementaron conjuntamente con la CSEI e interactuando con Entidades Certificadoras (Ver: ASIT 2006 RT Certificado Digital en Correo Electrónico.doc) 5. Consideraciones Generales 5.1. Usos de Certificados Digitales Personales Los siguientes se consideran posibles usos de los Certificados Digitales Personales: ARCHIVO: ASIT 20070501 CT Pautas para el uso de Certificados Digitales v3.doc Nº. PÁG: 3 / 9

o Autenticación: conocer la identidad entre partes que no necesariamente se conocen previamente o Firma Digital: garantizar la autoría e integridad de un documento electrónico o Cifrado o encriptación: asegurar la confidencialidad de información sensible. El uso de herramientas de firma digital, cifrado y de certificados digitales por parte de los funcionarios del BPS, estará justificado y responderá a la necesidad de uso para cumplimiento de las tareas asignadas. En todos los posibles usos de Certificados Digitales se cumplirá con la normativa vigente y se priorizará la interoperabilidad mediante la adhesión a estándares internacionales. 5.2. Prestadores de Servicios de Certificación o Entidades de Certificación Los Certificados Digitales Personales utilizados en las diferentes aplicaciones, serán emitidos por Prestadores de Servicios de Certificación externos. Para la selección de Prestadores de Servicios de Certificación como proveedores de Certificados Digitales Personales para el BPS, se evaluarán los siguientes requisitos: o Técnicos: considerar la utilización de sistemas seguros, tanto del software como del hardware empleados para la emisión de los certificados. o Empresariales: evaluar la credibilidad de la empresa y requisitos de garantía. o Existencia y aplicación de procedimientos, documentación de las actividades que se llevan a cabo para otorgar un certificado. o Nivel de capacitación y experiencia del personal. o Legales: se verificará el cumplimiento de la legislación vigente en la materia. o Existencia de auditorias periódicas para asegurar la fiabilidad del servicio. o Planes de contingencia y recuperación del negocio. Los mismos requisitos serán considerados cuando se trate de Certificados Digitales Personales de terceros, si la Entidad de Certificación que los emite no es de confianza de alguna ya seleccionada. ARCHIVO: ASIT 20070501 CT Pautas para el uso de Certificados Digitales v3.doc Nº. PÁG: 4 / 9

5.3. Soporte para Certificados Digitales Personales Los certificados en los que sea necesario el máximo nivel de seguridad se generarán y serán almacenados en dispositivos criptográficos USB que cumplan con el estándar de seguridad FIPS 140-1 nivel 2. En estos casos la clave y operación de firma digital se realiza en el propio dispositivo (no en el PC del usuario), lo cual otorga una seguridad mayor que si se realizara en el PC. En el caso que el nivel de seguridad requerido para el uso de los Certificados no se requiera tan estricto como en el anterior, las claves se generarán en el equipo y se almacenarán en soportes removibles o en el propio disco duro del equipo del usuario. 6. Clases de Certificados Digitales Personales En función del soporte del certificado y del procedimiento utilizado para su emisión, pueden considerarse dos clases de Certificados Digitales Personales para uso en el BPS: o Clase 1: Acreditan la identidad de una persona. Los certificados se generan y almacenan en dispositivos criptográficos USB personales, que cumplen con el estándar FIPS 140-1 nivel 2. Para su emisión, es necesaria la presencia física del solicitante con documento de identidad vigente, ante el Prestador de Servicios de Certificación. Esta clase de certificado será emitido de acuerdo al Decreto 382 de setiembre de 2003 que reglamenta el uso de la Firma Digital. o Clase 2: Garantizan la existencia y disponibilidad de una dirección de correo electrónico. Los certificados se generan en el equipo y pueden almacenarse en dispositivos removibles o en el disco duro del equipo del usuario. Para la emisión de esta clase de certificados no es necesaria la presencia física del solicitante ante el Prestador de Servicios de Certificación. Siempre que sea necesario que la firma digital de un documento electrónico tenga idéntica validez legal que la autógrafa, se utilizarán Certificados Digitales Personales Clase 1. Para el intercambio de información sensible con organismos externos, se exigirá el uso de certificados Clase 1. En otros casos, donde sea necesario garantizar la autoría, integridad y/o confidencialidad de un documento electrónico para uso interno, se podrán utilizar Certificados Digitales Personales Clase 2. ARCHIVO: ASIT 20070501 CT Pautas para el uso de Certificados Digitales v3.doc Nº. PÁG: 5 / 9

En todos los casos deberán tenerse en cuenta las consideraciones para garantizar la máxima seguridad en el uso de los certificados. 7. Características técnicas 7.1. Certificados Digitales Personales Los Certificados Digitales Personales utilizados en cualquiera de sus aplicaciones deberán ser emitidos de acuerdo al estándar internacional X.509 v3. El tamaño de las claves RSA tendrá como mínimo 1024 bits de largo. El período de validez será como mínimo de 1 año y como máximo de 2. 7.2. Dispositivos criptográficos USB El dispositivo criptográfico deberá reunir como mínimo, las siguientes características: o Conexión nativa USB estándar sin necesidad de utilizar lectores en forma separada o Soporte de sistemas operativos multiplataforma o Cumplir con los estándares de seguridad FIPS 140-1 nivel 2 o Soportar la especificación ISO 7816 1-4 para asegurar la compatibilidad entre dispositivos físicos y aplicaciones de software o Generación propia de las claves pública y privada que serán asociadas al Certificado Digital o Almacenamiento estándar para certificados X.509 v3 o Garantizar la protección de los datos almacenados o Algoritmos criptográficos y de PKI On-Board : RSA (1024 bits), DES, 3DES, SHA-1/MD5 o Memoria 16 k en adelante o Soportar el estándar PKCS #11 y Cripto API o Retención de la información asegurada por 10 años como mínimo o Incluir software de instalación y de administración 8. Software para firma digital La firma de correos electrónicos se hará con la opción Firma Digital del cliente MS Outlook 2000 en adelante. Se aceptará software para la firma de archivos y mensajes desarrollado específicamente (embebido en aplicaciones verticales) siempre que cumpla con los ARCHIVO: ASIT 20070501 CT Pautas para el uso de Certificados Digitales v3.doc Nº. PÁG: 6 / 9

requisitos de construcción (estándares, pautas de desarrollo, comunicaciones, protocolos) y de testeo. La firma y verificación de firma de documentos MS Word y MS Excel podrá realizarse con la opción disponible de Firma Digital en MS Office 2003 y posteriores. EN ESTUDIO: evaluación de software para firma y verificación de firma en otro tipo de documentos. 9. Software para cifrado o encriptación El cifrado o encriptación de mensajes de correo electrónico se hará con la opción Codificar mensaje de MS Outlook 2000 en adelante. EN ESTUDIO: evaluación de software para cifrado de información. 10. Seguridad en el uso de los certificados El nivel máximo de seguridad del certificado depende mayoritariamente, del uso responsable que el usuario le de al mismo. El propietario de un certificado digital deberá utilizarlo de acuerdo a los objetivos y políticas de uso definidas en el BPS. Es responsabilidad del usuario el resguardo de la clave privada, así como también informar en forma inmediata al Prestador de Servicios de Certificación si la misma se ve comprometida y verificar que el certificado que va a utilizar, no haya sido revocado y esté vigente. Los soportes de tipo criptográfico que posibilitan generar la clave privada dentro del mismo y que no permiten su exportación, garantizan el nivel máximo de seguridad, siempre que se tomen algunas precauciones: o Los Certificados Digitales de cada usuario estarán contenidos en dispositivos criptográficos individuales debidamente protegidos con PIN (Personal Identification Number) o contraseña o Es responsabilidad del propietario de un Certificado Digital el resguardo de dicha contraseña o No permitir que nadie utilice el dispositivo bajo la identidad del propietario o Cuidar que el dispositivo no se pierda o sea robado o Proteger el dispositivo de daños físicos En el caso que el Certificado Digital Personal se instale en el repositorio de Internet Explorer, el nivel de seguridad de dicho repositorio debe ser definido como Alto. ARCHIVO: ASIT 20070501 CT Pautas para el uso de Certificados Digitales v3.doc Nº. PÁG: 7 / 9

Si el certificado reside en el repositorio del navegador, deberá exportarse la clave privada y ser almacenada en un CD o diskette como copia de respaldo para evitar la pérdida del Certificado en caso que se dañe el disco del equipo, que el mismo tenga que ser formateado o que el usuario cambie de equipo. En este caso, la seguridad máxima de la clave privada depende del cuidado de la contraseña de acceso que se haya definido y de la seguridad del medio de almacenamiento. Si el equipo es compartido con otro usuario, se recomienda eliminar el certificado del repositorio una vez que haya sido utilizado. ARCHIVO: ASIT 20070501 CT Pautas para el uso de Certificados Digitales v3.doc Nº. PÁG: 8 / 9

11. Vigencia A partir de mayo de 2007. 12. Referencias Generales - Código de buenas prácticas para la gestión de la seguridad de la información UNIT-ISO/IEC 17799:2005 - ASIT 20041001 RT Firma Digital.doc - ASIT 2006 RT Certificado Digital en Correo Electrónico.doc - Taller sobre uso de Certificados Digitales: Certificados Digitales ARCHIVO: ASIT 20070501 CT Pautas para el uso de Certificados Digitales v3.doc Nº. PÁG: 9 / 9

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback