Valencia, 17 de Agosto de Informe de Auditoría Independiente. A la Subdirección de Certificación Electrónica de IVF (ACCV)

Documentos relacionados
Suministró tales servicios de acuerdo con dichas prácticas manifestadas.

A la dirección de la Agencia de Tecnología y Certificación Electrónica (ACCV)

Interpretación de Estados Financieros para no contables P R O F. M A N U E L S Á N C H E Z C A B R E R A

NORMAS INTERNACIONALES DE AUDITORÍA Y CONTROL DE CALIDAD (NIAs)

HUELLA HIDRICA. Revisión Crítica y Verificación de la ISO 14046

SIHI México, S. de R.L. de C.V. Pricing Guide

COBIT y la Administración de los Datos

NORMAS Y ESTÁNDARES SEGUIDOS EN LA PKI DE ANF AC

Cumpliendo con las Reglas

ISO 9001:2008. Novedades

San Joaquín, 8 - Madrid CONFIDENCIAL. Edificio D Albatros Business Park

COMPACT FOR SCHOOL PROGRESS THROUGH PARENT INVOLVEMENT

Informe de Auditoria Independiente

Proporcionó tales servicios de acuerdo con sus prácticas manifestadas.

Certificación. Concedida a METRO LIGERO OESTE, S.A. MADRID (COCHERAS METRO LIGERO OESTE) C/ EDGAR NEVILLE, S/N, 28223, POZUELO DE ALARCÓN, NORMA

XII JICS 25 y 26 de noviembre de 2010

Certificación. Concedida a METRO LIGERO OESTE, S.A. MADRID (COCHERAS METRO LIGERO OESTE) C/ EDGAR NEVILLE, S/N, 28223, POZUELO DE ALARCÓN, NORMA

PROCEDIMIENTOS DE CERTIFICACIÓN Y ACREDITACIÓN

Utilizando NetCrunch para el cumplimiento y auditorias de Seguridad. AdRem NetCrunch 6.x Tutorial

NORMA INTERNACIONAL DE AUDITORÍA 700

All written implementation materials are provided in both English and Spanish. The Employee MPN Information packet includes the following documents:

CERTIFICADO DE CUMPLIMIENTO DE NCF 1,2 / CERTIFICATE OF GMP COMPLIANCE OF A MANUFACTURER 1,2. Parte 1 / Part 1

LA BASE DE DATOS DE TITULACIONES

Oportunidades de Negocios en el Mercado Europeo


Appolon. Telefónica BBVA. Disclaimer

LAC Modificación DIRECT ALLOCATIONS TO ISPs DISTRIBUCIONES INICIALES A ISPs

TITLE VI COMPLAINT FORM

Mejores prácticas y tendencias para Contadores Públicos Universidad de Palermo Agosto de Cuente con nosotros

Adquisición Chubb Security Services

PELICULAS CLAVES DEL CINE DE CIENCIA FICCION LOS DIRECTORES LOS ACTORES LOS ARGUMENTOS Y LAS ANECD

Lic. Lourdes de Pescoso Directora General

TU EMBARAZO Y EL NACIMIENTO DEL BEBE GUIA PARA ADOLESCENTES EMBARAZADAS TEEN PREGNANCY AND PARENTI

SAP Banking Forum Millennials live. Buenos Aires, Agosto 2014

ISSAI Consideraciones de auditoría relativas a entidades que utilizan organizaciones de servicios. Directriz de auditoría financiera

Volatilidad: Noviembre 2010 Futuros Frijol de Soya

EL CONTROL INTERNO, RESPONSABILIDAD DE TODOS INTERNAL CONTROL, EVERYONE S RESPONSABILITY

Encuesta Auditoría Basada en Riesgos

LAC Modificación DIRECT ALLOCATIONS TO ISPs DISTRIBUCIONES DIRECTAS A ISPs

Documentation of Public Hearing Opportunity

Global Business Services. Sarbanes-Oxley (SOx), Sec 404 y su impacto en TI

Perspectivas de mercado

El desarrollo del mercado ISR: Integración

Plataforma de movilidad SAP en la Nube

MISSISSIPPI EMPLOYEES

Por qué ExecuTrain? Por qué ExecuTrain? Modalidad de servicio

Final Project (academic investigation)

Los cambios del borrador ISO 14001:2015

International Centre for Settlement of Investment Disputes Washington, D.C. In the proceedings between

ITGSM14. "Estándares de Confianza y Transparencia para proveedores cloud: Los grandes desconocidos. Daniel Madrid Díaz

Servicio de Reclamos Amadeus Guía Rápida

AUDITAJE A PROCESOS DE RECOLECCION, VALIDACIÓN Y MINERÍA DE DATOS SOCIALES.

ISSAI Directriz de auditoría financiera

SEGURIDAD DE LA INFORMACIÓN

DDR3 Unbuffered DIMMs Evaluated with AMD Phenom II X6 Processors

TELMEX ANUNCIA ACUERDO PARA ADQUIRIR TV CABLE Y CABLE PACÍFICO EN COLOMBIA

CRITERIOS PARA LA ACREDITACIÓN DE ORGANISMOS DE CERTIFICACIÓN DE SISTEMAS DE GESTIÓN

Tax exemption on primary agricultural, forestry, livestock, poultry, fishing and aquaculture activities

ORGANISMO CERTIFICADOR DE SISTEMAS DE GESTIÓN DE LA CALIDAD PROCEDIMIENTO VIGILANCIA, SEGUIMIENTO Y MANTENIMIENTO DE LA CERTIFICACIÓN

Certificación en España según normas UNE-EN-ISO 9000 y 14000

05/10/2009. Situación actual. Taller Especializado en Procesos de Certificación Orgánica. Taller Especializado en Procesos de Certificación Orgánica

DIRECTRICES GENERALES PARA LA OBTENCIÓN Y USO DE LA CERTIFICACIÓN DE SISTEMAS DE GESTIÓN AMBIENTAL COVENIN ISO 14001

PROPIEDAD INDUSTRIAL INDUSTRIAL PROPERTY

Formato de Descripción de Puesto

Conocimiento y evaluación del control interno

Mejore su proceso de administración de viajes y reservas en línea con SAP Cloud for Travel & Expense y GetThere Francisco Del Valle Marzo 12, 2014

ISO Anti Bribery Management Systems Requirement with guidance for use. El valor de la confianza

Estándares Certificados de ANF AC Pág. 2. Estándares de ANF AC TSA Pág. 5. Estándares ANF AC Firma Electrónica Pág. 7

UNIT ONE: Vocabulary and grammar-verb To Be. UNIT TWO : grammar; simple present- present progressive

Viviendo en las nubes Mesa Redonda

Documento Técnico NIA-ES CNyP y Dpto. Técnico

El problema de la indemnización de daños y perjuicios

Ejemplos de informes de auditoría sobre estados financieros

Servicio de Reclamos Amadeus Guía Rápida

ISO y los Sistemas de Gestión de la Inocuidad Alimentaria

Phone Manager Compatibilidad con aplicaciones OCTOBER 2014 DOCUMENT RELEASE 4.1 COMPATIBILIDAD CON APLICACIONES

NPERCI. Elementos Básicos de una Propuesta Basic Elements of a Proposal. Non-Profit Evaluation & Resource Center, Inc. NPERCI Publication Series

ISSAI Utilización del trabajo de los auditores internos. Directriz de auditoría financiera

LUIS GERARDO RUIZ AGUDELO

Phone Manager Compatibilidad con aplicaciones OCTOBER 2014 DOCUMENT RELEASE 4.1 COMPATIBILIDAD CON APLICACIONES

MEMORANDUM DE ENTENDIMIENTO ENTRE EL GOBIERNO DE LA REPUBLICA ARGENTINA Y

Information for assessors (do not distribute this page to participants):

Nombre de la Organización / Name of Organization

IMPORTANT. Vehicle Accident Report Kit. Another Safety Service from CNA. Keep This Kit in Your Vehicle. Contains Instructions and Forms:

[Firma con PIN] esfirma. I n f o r m a c i ó n d e s e g u r i d a d. 1 de 8

Carta de Preocupaciones y sugerencias de los padres. (Nombre del niño/a)

Política de Sellado de Tiempo de la ACCV

Level 1 Spanish, 2013

ESCUELA POLITÉCNICA DEL EJÉRCITO

GENERAR DOCUMENTACIÓN ON-DEMAND

ESTÁNDAR INTERNACIONAL DE OTROS SERVICIOS DE ASEGURAMIENTO


Phone Manager Compatibilidad con aplicaciones OCTOBER 2014 DOCUMENT RELEASE 4.1 COMPATIBILIDAD CON APLICACIONES

INFORMACIÓN ENVIADA Y CERTIFICACIONES DE AZURE. pandasecurity.com

Reportes de aseguramiento sobre los controles en una organización de servicio

Proceso Global de Verificación Laboral

Informe del Auditor Independiente de Aseguramiento Limitado para la Empresa de Energía de Bogotá S.A. E.S.P.

Hortimex adquiere flexbilidad con SAP

REGLAMENTO COMITÉ DE AUDITORIA OLD MUTUAL SEGUROS DE VIDA S.A.

Management s Responsibility for the Financial Statements

Transcripción:

Valencia, 17 de Agosto de 2016 Informe de Auditoría Independiente A la Subdirección de Certificación Electrónica de IVF (ACCV) Hemos auditado las Manifestaciones de los responsables de la Subdirección de Certificación Electrónica de IVF, (en adelante ACCV) para los servicios de emisión SSL como Autoridad de Certificación (a través de la jerarquía Root CA Generalitat Valenciana con su subordinada ACCV-CA2 y la jerarquía ACCVRAIZ1 con su subordinada ACCVCA-120 ) durante el período comprendido entre el 1 de Mayo 2015 al 30 de Abril 2016. En este período la ACCV ha: Dado a conocer sus prácticas y procedimientos de certificación así como su compromiso de proporcionar los certificados SSL de conformidad con las Directrices del CA / Browser Forum aplicables. Mantenido controles efectivos para proporcionar una seguridad razonable de que: - La información del suscriptor se recogió, se autenticó (para las actividades de registro realizadas por la AC, por la Autoridad de Registro (RA) y por otros subcontratistas) correctamente y se verificó; - La integridad de claves y certificados que gestiona fue establecida y protegida en todo su ciclo de vida. Mantenido controles efectivos para proporcionar una seguridad razonable de que: - El Acceso lógico y físico a los sistemas y los datos de AC se limitó al personal autorizadas; - Se mantiene la continuidad de las operaciones de gestión de claves y certificados; y - El desarrollo de sistemas, mantenimiento y operaciones de la AC fueron debidamente autorizados y realizados para mantener la integridad de los sistemas de AC. de acuerdo con los criterios de auditoría WebTrust Principles and Criteria for Certification Authorities SSL Baseline with Network Security Version 2. La Dirección de la ACCV es la responsable de sus Manifestaciones. Nuestra responsabilidad es expresar una opinión acerca de dichas Manifestaciones, basada en el trabajo que hemos realizado. Nuestro examen ha sido realizado de acuerdo con las normas específicas de revisión de los Criterios WebTrust para Autoridades de Certificación Criterios Base de Auditoría para SSL vigentes, establecidas por los organismos competentes en esta materia, que son el AICPA/CPA Canadá, e incluye (1) la obtención de un entendimiento de las prácticas y procedimientos de la gestión ciclo de vida de los certificados SSL de la ACCV, incluyendo los controles sobre

durante la emisión, renovación y revocación de certificados SSL, (2) probar selectivamente las operaciones realizadas en conformidad con las prácticas para la gestión del ciclo de vida de certificados SSL divulgadas, (3) realización de las pruebas y de la evaluación de la efectividad operativa de los controles, y (4) la realización de otros procedimientos que hayan sido considerados como necesarios en función de las circunstancias. Creemos que nuestra auditoría proporciona una base razonable para sustentar nuestra opinión. Opinión del Auditor En nuestra opinión, las Manifestaciones de la ACCV, a las que se refiere el párrafo anterior, están razonablemente formuladas en todos sus aspectos significativos, de acuerdo con los criterios de auditoría WebTrust para Autoridades de Certificación Criterios Base para SSL con Seguridad de Red. Limitaciones inherentes A causa de las limitaciones inherentes en los propios controles del sistema, puede que existan errores o fraudes que no hayan sido detectados. Además, la toma de alguna conclusión en periodos posteriores al de la fecha de nuestro informe, basada en nuestras afirmaciones, están sujetas al riesgo de que se produzcan: (1) cambios en los controles o en el sistema establecido, (2) cambios en los requisitos de procesamiento, (3) cambios requeridos a causa del propio paso del tiempo, o (4) que el grado de cumplimiento de las políticas o procedimientos puedan alterar la validez de nuestras conclusiones. Exclusiones El uso del Sello de Confianza WebTrust para Autoridades de Certificación Criterios Base para SSL por parte de la ACCV, constituye una representación simbólica de los contenidos de este informe, y no va dirigido a actualizar este informe, ni debe ser interpretado como tal, ni ser utilizado para otros fines. La eficacia e importancia relativa de determinados controles de ACCV y su efecto en las evaluaciones del riesgo de control para los suscriptores y usuarios depende de su interacción con los controles y otros factores presentes en las ubicaciones de los subscriptores y de las partes confiantes. No hemos realizado procedimientos para evaluar la efectividad de los controles en las ubicaciones de los subscriptores y de las partes confiantes.

Este informe no incluye ninguna opinión profesional acerca de la calidad de los servicios prestados por la ACCV, ni de su idoneidad para los objetivos concretos de cualquier suscriptor, más allá de los criterios de WebTrust para Autoridades de Certificación Criterios Base para SSL cubiertos. F. Mondragon, Auditor auren

Agencia de Tecnologla y Certificación Electrónica Manifestaciones de la Dirección General del Institut Valencia de Finances (IVF), donde se integra la ACCV, sobre sus Prácticas de Negocio y sus Controles en relación con sus operaciones sobre certificados SSL como Autoridad de Certificación durante el período entre el 1 de mayo de 2015 al 30 de abril de 2016. 16 de agosto de 2016 El IVF, a través de la Subdirección de Entidades Financieras y Certificación Electrónica del IVF (en adelante, ACCV), ha evaluado la divulgación de sus prácticas de certificación y sus controles sobre los servicios SSL de Autoridad de Certificación. En base a dicha evaluación, en opinión de la Dirección de la ACCV, se han diseñado, implantado y gestionado los controles adecuados respecto a los servicios de Certificación SSL en su sede de Valencia, España para el periodo comprendido entre el 1 de mayo de 2015 y el 30 de abril de 2016. En este periodo, la ACCV ha: a) Divulgado sus prácticas de certificación y su compromiso de proporcionar los certificados SSL de conformidad con las Guías de CA/Browser Forurn, y provee estos servicios de acuerdo con las prácticas publicadas mediante su Declaración de Prácticas de Certificación. b) Mantenido controles efectivos para proporcionar una seguridad razonable de que: La política de certificación y Declaración de Prácticas de Certificación están disponibles en todo momento y se actualizan anualmente. La información del Suscriptor se recoge, revisa y verifica adecuadamente. Se ha establecido la gestión de la integridad de las Claves y los Certificados SSL, y se protege en todo su ciclo de vida. El acceso lógico y físico a los sistemas y a los datos de la AC se limita a las personas autorizadas. Se mantiene la continuidad de las operaciones de gestión de claves y certificados. El desarrollo de sistemas, mantenimiento y operaciones de la AC son debidamente autorizadas y realizadas para mantener la integridad de los sisternas de AC. Todo ello de acuerdo con los Criterios Base para SSL de AICPAlCPA Canadá de WebTrust para Autoridades de Certificación. Antonio Tamarit Tatay Subdirector de EEFF y Certificación Electrónica Institut Valencia de Finances (IVF)

Valencia, August 17 th 2015 Independent Auditors Report To the Electronic Certification Subsection of IVF (ACCV) We have audited the Assertion by the management of Electronic Certification Subsection of IVF, (hereinafter ACCV) according its services as Certification Authority for issuing SSL certificates (through the Root CA Generalitat Valenciana hierarchy and the Delegated Certification Authorities ACCV-CA2 and through the ACCVRAIZ1 hierarchy and the Delegated Certification Authority ACCVCA-120 ) that during the period 1 st May 2015 through 30 th April 2016. In this period, ACCV has: Disclosed its Certificate practices and procedures and its commitment to provide SSL Certificates in conformity with the applicable CA/Browser Forum Guidelines Maintained effective controls to provide reasonable assurance that: - Subscriber information was properly collected, authenticated (for the registration activities performed by the CA, Registration Authority (RA) and subcontractor) and verified; - The integrity of keys and certificates it manages was established and protected throughout their life cycles. Maintained effective controls to provide reasonable assurance that: - Logical and physical access to CA systems and data was restricted to authorized individuals; - The continuity of key and certificate management operations was maintained; and - CA systems development, maintenance and operations were properly authorized and performed to maintain CA systems integrity. in accordance with the WebTrust Principles and Criteria for Certification Authorities SSL Baseline with Network Security Version 2. ACCV s management is responsible for its assertion. Our responsibility is to express an opinion based on our audit. Our audit was conducted in accordance with standards for assurance engagements established by the AICPA/CPA Canada and, accordingly, included (1) obtaining an understanding of ACCV SSL certificate life cycle management practices and procedures, including its relevant controls over the issuance, renewal and revocation of SSL certificates; (2) selectively testing transactions

executed in accordance with disclosed SSL certificate life cycle management practices; (3) testing and evaluating the operating effectiveness of the controls; and (4) performing such other procedures as we considered necessary in the circumstances. We believe that our audit provides a reasonable basis for our opinion. Auditor s Opinion In our opinion, ACCV management s assertion, as referred to above, is fairly stated, in all material respects, in accordance with the WebTrust for Certification Authorities SSL Baseline Requirements Audit Criteria with Network Security. Inherent Limitations Because of the nature and inherent limitations of controls, there may be undetected errors or instances of fraud. Furthermore, the projection of any conclusions based in our findings, to future periods subsequent to the date of our report, is subject to the risk that there may be: (1) changes made to the system or controls; (2) changes in processing requirements; (3) changes required because of the passage of time; or (4) degree of compliance with the policies or procedures may alter the validity of such conclusions. Exclusions ACCV s use of the WebTrust for SSL Baseline Requirements Seal constitutes a symbolic representation of the contents of this report and it is not intended, nor should it be construed, to update this report or provide any additional assurance. The relative effectiveness and significance of specific controls at ACCV and their effect on assessments of control risk for subscribers and relying parties are dependent on their interaction with the controls, and other factors present at individual subscriber and relying party locations. We have performed no procedures to evaluate the effectiveness of controls at individual subscriber and relying party locations. This report does not include any representation as to the quality of ACCV certification services beyond those covered by the WebTrust for Certification

Authorities SSL Baseline Requirements Audit Criteria, or the suitability of any of ACCV services for any customer's intended purpose. F. Mondragon, Auditor auren

Agencia de Tecnologla y Certificación Electrónica Manifestaciones de la Dirección General del Institut Valencia de Finances (IVF), donde se integra la ACCV, sobre sus Prácticas de Negocio y sus Controles en relación con sus operaciones sobre certificados SSL como Autoridad de Certificación durante el período entre el 1 de mayo de 2015 al 30 de abril de 2016. 16 de agosto de 2016 El IVF, a través de la Subdirección de Entidades Financieras y Certificación Electrónica del IVF (en adelante, ACCV), ha evaluado la divulgación de sus prácticas de certificación y sus controles sobre los servicios SSL de Autoridad de Certificación. En base a dicha evaluación, en opinión de la Dirección de la ACCV, se han diseñado, implantado y gestionado los controles adecuados respecto a los servicios de Certificación SSL en su sede de Valencia, España para el periodo comprendido entre el 1 de mayo de 2015 y el 30 de abril de 2016. En este periodo, la ACCV ha: a) Divulgado sus prácticas de certificación y su compromiso de proporcionar los certificados SSL de conformidad con las Guías de CA/Browser Forurn, y provee estos servicios de acuerdo con las prácticas publicadas mediante su Declaración de Prácticas de Certificación. b) Mantenido controles efectivos para proporcionar una seguridad razonable de que: La política de certificación y Declaración de Prácticas de Certificación están disponibles en todo momento y se actualizan anualmente. La información del Suscriptor se recoge, revisa y verifica adecuadamente. Se ha establecido la gestión de la integridad de las Claves y los Certificados SSL, y se protege en todo su ciclo de vida. El acceso lógico y físico a los sistemas y a los datos de la AC se limita a las personas autorizadas. Se mantiene la continuidad de las operaciones de gestión de claves y certificados. El desarrollo de sistemas, mantenimiento y operaciones de la AC son debidamente autorizadas y realizadas para mantener la integridad de los sisternas de AC. Todo ello de acuerdo con los Criterios Base para SSL de AICPAlCPA Canadá de WebTrust para Autoridades de Certificación. Antonio Tamarit Tatay Subdirector de EEFF y Certificación Electrónica Institut Valencia de Finances (IVF)

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback