Consideraciones Técnicas para el uso de la Firma Electrónica en la Administración Pública

Documentos relacionados
Firma Electrónica. Ministerio Secretaría General de la Presidencia

INSTRUCTIVO PARA LA OBTENCIÓN Y USO DE FIRMA ELECTRÓNICA AVANZADA EN MERCADOPÚBLICO

ACREDITACIÓN Y RENOVACIÓN COMO PROVEEDOR DE SERVICIOS DE CERTIFICACIÓN Ó CASOS ESPECIALES

PO02 DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN

ESTÁNDARES APLICABLES EN CERTIFICACIÓN ELECTRÓNICA

Circular de Tecnología Pautas para el uso de Certificados Digitales Personales

CERTIFICACIÓN ELECTRÓNICA. De Uso Público

NORMA SUSCERTE Nº /17 PÁGINA: 1 DE: 106 EDICIÓN Nº: 4.1 FECHA: 06/2017. De Uso Público. Luis Fernando Prada Fuentes

NORMAS Y ESTÁNDARES SEGUIDOS EN LA PKI DE ANF AC

Normativas relacionadas con Seguridad Informática

DECRETO Nº 181 / SANTIAGO, 09 de Julio de 2002 VISTOS: CONSIDERANDO: DECRETO:

Anexo 1 Política de certificación para certificados digitales de firma GSE SUB001_CO

DocuSign. Advantage Security S de RL de CV Av Prolongación Paseo de la Reforma 625 Paseo de las Lomas, Santa Fe CP Tel

APRUEBA REGLAMENTO DE LA LEY SOBRE DOCUMENTOS ELECTRONICOS, FIRMA ELECTRONICA Y LA CERTIFICACION DE DICHA FIRMA

Guía de Inspecciones Periódicas

Perfiles y funciones de los Profesionales evaluadores

Haga clic para modificar el estilo de título del patrón

Política de Privacidad de Datos Personales

Estándares Certificados de ANF AC Pág. 2. Estándares de ANF AC TSA Pág. 5. Estándares ANF AC Firma Electrónica Pág. 7

Norma técnica para los órganos de la Administración del Estado sobre interoperabilidad de documentos electrónicos

LA EXPERIENCIA DEL CENTRO CRIPTOLÓGICO NACIONAL Firma electrónica con seguridad certificada

Firmas electrónicas y digitales para la seguridad de los títulos valores electrónicos

Políticas de Certificado para Certificados Digitales

IDENTIDAD DIGITAL. Luis Villalta Márquez. Seguridad en la Conexión con Redes Públicas

GUÍA PARA LA ACREDITACIÓN O RENOVACIÓN DE PROVEEDORES DE SERVICIOS DE CERTIFICACIÓN

Declaración de Prácticas de Certificación Paperless S.A. Declaración de Prácticas De Certificación

Certificados e Infraestructura de Llave Pública

Firma Digital - Definición

Declaración de prácticas de Certificado

Implementación de Soluciones de Infraestructura Microsoft Azure

REVISIÓN DOCUMENTAL DE LA INFRAESTRUCTURA TECNOLÓGICA

SISTEMA NACIONAL DE CERTIFICACION DIGITAL

Estatuto Jurídico de la Firma Electrónica en Chile Presentación del estado del arte en la materia ALADI

Certificados Digitales y Navegación segura

FIRMA ELECTRÓNICA NECESIDADES CORPORATIVAS

*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ]

*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ]

ANEXO X ESTÁNDARES RECONOCIDOS PARA LA ACREDITACIÓN

PROCEDIMIENTO DE ACREDITACIÓN DE LOS REQUISITOS TECNOLOGICOS DE CONTINUIDAD Y RIESGO OPERACIONAL. Junio 2018

Aspectos Técnicos, Usos y Aplicaciones Firma y Certificado Digital. Comisión de Sistema de Gestión Documental Suscriptor de Certificado Digital

Normas Técnicas de Seguridad Interoperabilidad

Esquema de arquitectura y seguridad.

TALLER. BIA- Análisis de impacto en el negocio 2016 Riesgo Operativo, TI y Continuidad del Negocio

Servicio de movilidad mundial para Universidades e Instituciones de investigación de Uruguay

Servicios Web Requisitos de Cumplimiento de Auditoria Seguridad de la Información

Ficha de Solicitud de Acreditación como Aplicación de Software (SW)

TABLA DE CONTENIDOS OBJETO DEL DOCUMENTO...3 ACLARACIONES A LA VERSIÓN 2.0 DE LA GUÍA PARA LA HOMOLOGACIÓN DE LOS SISTEMAS DE APUESTAS...

ENTIDAD DE REGISTRO O VERIFICACIÓN DE AC CAMERFIRMA S.A. POLÍTICA DE PRIVACIDAD VERSIÓN 1.0. Contactos:

ANEXO APLICACIÓN DE FIRMA

Seguridad Informática

Dirigido a: Organizaciones titulares de la certificación ICONTEC de sistema de gestión de la calidad con la norma NCh 2728.

Procedimiento de Firma electrónica Cualificada a distancia

Sofis Solutions. Centro de Capacitación Catálogo 2015

INFORMACIÓN GENERAL DEL PRODUCTO Office Business Applications para Office 2010

Curso Especializado Seguridad Informática GNU/LINUX

LECCIÓN 5 Firma Electrónica

Recomendaciones en materia de Seguridad de Datos Personales

FIRMA DIGITAL: Aspectos Técnicos y Legales

IFACTURE NUESTRA SOLUCIÓN DE FACTURA ELECTRÓNICA INTEGRADA A INET.

Plataforma Integrada de Servicios Electrónicos del Estado PISEE

FACTURACIÓN ELECTRÓNICA EN COLOMBIA

LOS RETOS JURÍDICOS DE LA E-ADMINISTRACIÓN. El desarrollo tecnológico de la Ley 11/2007

REPÚBLICA DE PANAMÁ Ministerio de Comercio e Industrias Dirección Nacional de Comercio Electrónico DGCE-EPKI-SP

SOLICITUD DE AUTORIZACIÓN E INSPECCION DE LOS PRESTADORES DE SERVICIOS DE CERTIFICACION

Anexo 7 LISTA MAESTRA DE DOCUMENTOS INTERNOS CONTROLADOS DEL SGI

ESQUEMA DE VALIDACIÓN CERTIFICADO DE ORÍGEN DIGITAL

CERTIFICADOS DE SEDE ELECTRÓNICA

INSTRUCTIVO PARA ENROLAMIENTO Y ACTUALIZACIÓN DE ENTIDAD DE SERVIDORES PÚBLICOS EN EL SISTEMA DE AUTENTICACIÓN BIOMÉTRICA

20742 Identidad con Windows Server 2016

Interoperabilidad. Experiencia de e-gobierno en México. Carlos A. Patiño Calderón

Soluciones de Biometría e Identificación

PROCEDIMIENTO PARA ENROLAMIENTO Y ACTUALIZACIÓN DE ENTIDAD DE SERVIDORES PÚBLICOS EN EL SISTEMA DE AUTENTICACIÓN BIOMÉTRICA

Objetivo. Política de Seguridad con Proveedores

Jump Start ManageEngine Password Manager Pro

MÓDULO 2 NIVEL AVANZADO Las fuentes de información institucional Unidad didáctica 5: La seguridad en las operaciones telemáticas

PROCEDIMIENTOS DE CERTIFICACIÓN Y ACREDITACIÓN

MODERNIZACIÓN ADUANERA y su Impacto en la Facilitación del Comercio Internacional

LA FACTURACIÓN ELECTRÓNICA EN COLOMBIA

SEGURIDAD EN APLICACIONES WEB. Autor: Siler Amador Donado

Unimos personas, información. y tareas. AVANZIR Web Tfno

PLAN DE TRANSICIÓN A NUEVAS NORMAS

Oracle Database 11g: Seguridad Versión 2

Certificación Digital

TALLER. 19 y 20 de Julio 2016 Hotel Park Inn, San José. ISO-IEC Seguridad de la Información orientada al Negocio

adas IAM GT-Identidad

Política de Seguridad de la Información de ACEPTA. Pública

IMPLANTACIÓN DE APLICACIONES WEB EN ENTORNO INTERNET, INTRANET Y EXTRANET

ESTÁNDARES INTERNACIONALES DE SEGURIDAD EN SISTEMAS DE INFORMACIÓN

Capítulo V. Alta y Consumo de Servicios

CONSEJO DE NORMALIZACIÓN Y CERTIFICACIÓN DE COMPETENCIA LABORAL NORMAS TÉCNICAS DE COMPETENCIA LABORAL

Política de Certificación de Certificados Externos de Pruebas

CERTIFICACIÓN DE ORIGEN DIGITAL DE LA ALADI

a) Firma digital de un documento

IMPLANTACIÓN DE APLICACIONES WEB

Política de Certificación de Certificados Internos de Pruebas

Proyecto Piloto COD. Conceptos generales AFIP

Producto Pago Móvil-P2P (Interbancario)

GUÍA DE NOTIFICACIÓN DE SERVICIOS ELECTRÓNICOS DE CONFIANZA CUALIFICADOS

Transcripción:

Consideraciones Técnicas para el uso de la Firma Electrónica en la Administración Pública 26 de Septiembre de 2002 Marco Antonio Zúñiga Yáñez Asesor INTEC MAZ 2002 - www.maz.cl 1

Objetivo Presentar distinciones y proposiciones técnicas para el uso de Documentos Electrónicos y la implementación de la Firma Electrónica en la Administración Pública MAZ 2002 - www.maz.cl 2

Agenda Antecedentes Generales Alternativas y Recomendaciones de Implementación de Firma Electrónica Reglamento: Normas Técnicas y Proceso de Acreditación MAZ 2002 - www.maz.cl 3

Antecedentes Generales Instructivo Presidencial Ley 19.799 sobre documentos electrónicos, firma electrónica y los servicios de certificación de dicha firma Reglamento de la Ley 19.799 Normas y Estándares aplicables Guías de Evaluación y Procedimiento de Acreditación de Prestadores de Servicios de Certificación Usos actuales en la Administración del Estado Uso de tecnologías de seguridad, auditoría y control MAZ 2002 - www.maz.cl 4

Firma Electrónica Artículo 2o., Ley 19.799 f) Firma electrónica: cualquier sonido, símbolo o proceso electrónico, que permite al receptor de un documento electrónico identificar al menos formalmente a su autor; g) Firma electrónica avanzada: aquella certificada por un prestador acreditado, que ha sido creada usando medios que el titular mantiene bajo su exclusivo control, de manera que se vincule únicamente al mismo y a los datos a los que se refiere, permitiendo la detección posterior de cualquier modificación, verificando la identidad del titular e impidiendo que desconozca la integridad del documento y su autoría MAZ 2002 - www.maz.cl 5

Artículo 39 Reglamento Artículo 39. Los órganos de la Administración del Estado podrán ejecutar o realizar actos, celebrar contratos y expedir cualquier documento, dentro de su ámbito de competencia, suscribiéndolos por medio de firma electrónica Para tal efecto, los actos administrativos, formalizados por medio de documentos electrónicos y que consten en decretos o resoluciones, en acuerdos de órganos colegiados, así como la celebración de contratos, la emisión de cualquier otro documento que exprese la voluntad de un órgano o servicio público de la administración del Estado en ejercicio de sus potestades legales y, en general, todo documento que revista la naturaleza de instrumento público o aquellos que deban producir los efectos jurídicos de éstos, deberá suscribirse mediante firma electrónica avanzada MAZ 2002 - www.maz.cl 6

Espíritu en el uso al interior de los Organos del Estado Generar modelos operacionales sencillos, que privilegien la firma electrónica simple, cautelando niveles mínimos de seguridad Exigir al mundo electrónico protecciones equivalentes a las operaciones en el mundo del papel Fomentar una rápida masificación, considerando el universo de usuarios de la Administración Pública Tender a la automatización de procesos y evitar el uso de papel Simplificar los flujos de información Excepcionalmente y cuando se requiera por restricciones legales, uso de la Firma Electrónica Avanzada MAZ 2002 - www.maz.cl 7

Distinción entre Documentos y Transacciones Dependiendo de los objetos de información, se pueden buscar alternativas sencillas para la firma electrónica simple, que aprovechen aplicaciones actualmente disponibles y disminuyan el costo de implementación Para documentos electrónicos tipo Documentos (textos libres, presentaciones, planillas, Bases de Datos, informes), que además requieren distribución hacia terceros, el correo electrónico usando S/MIME es una buena alternativa Para documentos electrónicos tipo Transacciones (datos en formularios, decisiones intermedias, expresión de voluntad, resoluciones simples, etc.) se recomienda la utilización de técnicas de Workflow con manejo de clave de firma, log y MAC» Ejemplo: Cómo eliminar el documento papel firmado como output de un proceso backoffice, con firma electrónica simple MAZ 2002 - www.maz.cl 8

Impactos operacionales que deben ser considerados en el Sector Público Identificación del Ministro de Fé (art. 40) Apertura para externalizar en PSCs acreditados (art. 41)» Exclusivo para Firma Electrónica Avanzada Exigencia del Repositorio de Documentos Electrónicos (art. 42) Seguridad, integridad y disponibilidad de la información en el Repositorio (art. 43) Cumplimiento de normas técnicas equivalentes a los PSCs (art. 44) Mecanismo de Verificación del Documento Impreso (art. 45)» Exclusivo para Firma Electrónica Avanzada Timestamping de Certificados (art. 46) Estándares de Interoperabilidad y Comité Técnico (arts. 47, 48, 49 y 50) Relación con las personas: Dependiendo de su pertinencia, firma electrónica simple y/o avanzada (arts. 51 en adelante) MAZ 2002 - www.maz.cl 9

Propuesta Metodológica Simple para diseño de sistema de firma electrónica Levantamiento:» Identificación de Ministro de Fe» Identificación de Comunidades de Usuarios» Identificación de transacciones como potenciales documentos electrónicos» Identificación de usuarios creadores de firma» Determinación de niveles de seguridad requeridos por documento electrónico (legal, técnico) y asignación de tipo de firma» Identificación de Costos de Operación actuales Definición de modelo interno de operación de firma electrónica» Particularmente, modelo de responsabilidades Arquitectura Hw y Sw e Interoperabilidad (de ser aplicable) Evaluación Económica Diseño de Plan de Capacitación MAZ 2002 - www.maz.cl 10

Recomendaciones Básicas Verificar niveles de cumplimiento de estándares» Partiendo por la revisión de Guías de Evaluación y Normas Técnicas del Reglamento Reutilizar mecanismos de control y auditoría actualmente vigentes, como una base para los procesos de firma electrónica simple Ejecutar los procesos de motivación y capacitación adecuados» Este modelo cambia los paradigmas y contenidos de trabajo diario Incorporar firma electrónica avanzada por la vía de la excepción, teniendo presente el impacto a nivel de aplicaciones y a nivel operacional que exige su integración MAZ 2002 - www.maz.cl 11

Alternativas de Implementación de Firma Electrónica Simple Modelos Challenge / Response» Ejemplo: Llave de firma / Llave de sesión Uso de Message Authentication Codes (MACs)» Por la vía de algoritmos propietarios o estándares» Permite Autenticación + Integridad» No utilizar la Clave de Acceso a Redes como Clave de MAC!!! Manejo adecuado de bitácoras y logs» Incluyendo valores de integridad y archiving de los logs Para envío de documentos, implementar una emisora de certificados para firma electrónica simple y uso interno, con tecnologías de amplia disponibilidad basadas en llave pública/llave privada» Win2K o Linux, para la creación de certificados, llaves privadas en diskette o disco duro con recuperación, uso de aplicaciones estándares de cliente correo y navegadores MAZ 2002 - www.maz.cl 12

Sobre el Repositorio Puede implementarse con Soluciones de Administración de Documentos Aprovechando las recomendaciones de las Guías de Evaluación de PSCs para Repositorio de Claves Públicas:» Estructura de directorio» Residente en sistema operativo securizado o verificado por auditor independiente, tal que provea Common Criteria nivel EAL3/EAL4 o TCSEC C2/B1.» Aplicación periódica de parches distribuidos por el fabricante» Servidor de alta disponibilidad incluyendo como mínimo doble fuente de poder, doble interfaz de red, discos en configuración RAID.» Conexión Internet con disponiblidad mínima del 99%» Servidor ubicado en la zona DMZ de un cortafuegos» Disponibilidad mínima de alimentación eléctrica del 99.7% MAZ 2002 - www.maz.cl 13

Posibilidades Futuras de Implementación - I Para simplificar los Modelos Operacionales, se recomiendan las siguientes alternativas como no excluyentes para manejo de Documentos Electrónicos, Firma Electrónica y Firma Electrónica Avanzada:» Un repositorio de acceso público con acceso vía Web, donde cada Documento Electrónico posee un ID único» Para documentos que comprometan privacidad, acceso vía https, con clave de acceso entregada al usuario asociado a dicho documento» En el Contenido de los Documentos Electrónicos que requieran Firma Digital Avanzada, incluir el ID del documento cuando corresponda a formato imprimible Evaluar la inclusión de Código de Barras del ID del Documento MAZ 2002 - www.maz.cl 14

Posibilidades Futuras de Implementación - II Simplificar el acceso, diseñando modelos que combinen Documentos Electrónicos con Firma Simple y documentos con Firma Avanzada Ejemplo: Mail del funcionario al usuario, con URL de acceso al Documento con Firma Electrónica Avanzada en el Repositorio Ejemplo: Workflow de aprobación interna con Firma Simple, para emisión de la resolución con Firma Electrónica Avanzada Para relaciones con los particulares, implementar firma electrónica simple mediante https: con bitácora Incorporar modificaciones menores a las aplicaciones del backoffice, para solicitar de Clave de Firma y registro en bitácora Utilizar mecanismos robustos de autenticación 2 de 3: Algo que soy, algo que sé, algo que tengo Para interoperabilidad, generación de copias del Documento Electrónico en dos o mas formatos según estándares de facto (Versión impresa, Versión Transaccional (XML)) MAZ 2002 - www.maz.cl 15

Desafíos Futuros Modelos de operación comunes para el Sector Público Generar un modelo común para la generación de claves» Largos mínimos, contenidos alfanum, sensibilidad, etc. Utilización de mecanismos biométricos MAZ 2002 - www.maz.cl 16

Reglamento Ley 19.799 Normas Técnicas Proceso de Acreditación y Evaluación MAZ 2002 - www.maz.cl 17

Normas Técnicas del Reglamento Consideran el soporte técnico para el diseño del procedimiento de acreditación de los PSCs» Aplicables a todos los Prestadores de Servicios de Certificación Define un marco de recomendaciones que permite por extensión ser aplicado a diversos ámbitos de la Administración TI en el Sector Público» generando condiciones favorables Las normas y estándares ya identificados se encuentran en proceso de homologación por parte de INN para la generación de Normas Chilenas MAZ 2002 - www.maz.cl 18

Normas Técnicas - I Prácticas de Certificación:» ETSI TS 102 042: Policy requirements for certification authorities issuing public key certificates.» RFC 2527 Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework, Marzo 1999 Seguridad:» ISO/IEC 17799:2000 Information Technology Code of Practice for information Security Management (2000).» ISO/IEC 15408: Common Criteria for Information Technology Security Evaluation, Version 2.1 (2000)» FIPS PUB 140-1: Security Requirements for Cryptographic Modules, (Mayo 2001) MAZ 2002 - www.maz.cl 19

Normas Técnicas - II Estructura de Certificados» ISO/IEC 9594-8:2001 Information technology Open Systems Interconnection The Directory attribute certificate framework» ITU-T Rec. X.690 (1997) / ISO/IEC 8825-1:1998. ASN.1 Basic Encoding Rules Repositorio de Información.» [RFC 2559] Boeyen, S. et al., "Internet X.509 Public Key Infrastructure. Operational Protocols - LDAPv2", Abril 1999. MAZ 2002 - www.maz.cl 20

Sistema de Acreditación de PSCs Solicitud estudio de Normas Generación y homologación de Normas B. Entidad Normalizadora, Instituto Nacional de Normalización F. Normas Técnicas A. Entidad Acreditadora Subsecretaría de Economía Solicitud Evaluación Mantención Registro Acreditación Proceso de Evaluación E. Registro de PSCs Acreditados D.Prestadores de Servicios de Certificación ( PSCs) C. Entidad Evaluadora/ Auditora Información y acceso a evaluadores Informe de evaluación Solicitud de acreditación y antecedentes MAZ 2002 - www.maz.cl 21

Requisitos de Acreditación AS - Requisitos de Admisibilidad RG - Requisitos Generales LE - Aspectos Legales y de Privacidad TB - Técnicos Básicos PS - Seguridad ET - Evaluación Tecnológica SF - Seguridad Física PO - Política del PSC AD - Administración del PSC PE - Examen del Personal MAZ 2002 - www.maz.cl 22

Comentarios Generales El Procedimiento de Acreditación y Guías de Evaluación se encuentran liberadas en v1.0» Resultado del consenso de múltiples agentes públicos y privados (incluyendo potenciales PSCs)» Intec se propone como la Entidad Evaluadora/Auditora del Proceso Próximos pasos:» Generación de normas chilenas» Inicio del Proceso de Acreditación Estimado en 3 meses desde el momento de la presentación de antecedentes» Implementación de proyectos MAZ 2002 - www.maz.cl 23

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback