Informe de Auditoría Independiente

Documentos relacionados
Informe de Auditoria Independiente

Proporcionó tales servicios de acuerdo con sus prácticas manifestadas.

INFORME DE AUDITORÍA INDEPENDIENTE DE CUENTAS ANUALES ABREVIADAS. Al Socio Único de ARTERIA PROMOCIONES CULTURALES, S.L., Sociedad Unipersonal:

Propuesta de acuerdos para la Junta General Ordinaria a celebrar el 29 o el 30 de junio de 2017, en primera o segunda convocatoria respectivamente

É1lfRNST & YOUNG. TorrePicasso Plaza Pablo Ruiz Picasso, Madrid

TERMINOS Y CONDICIONES CON TERCEROS USUARIOS

DECLARACIÓN INFORMATIVA TSA

ENTIDAD DE REGISTRO O VERIFICACIÓN DE AC CAMERFIRMA S.A. POLÍTICA DE PRIVACIDAD VERSIÓN 1.0. Contactos:

La nueva ISO 9001:2015: una oportunidad para la puesta en valor de la gestión documental.

CERTIFICADOS PERSONALES

Certificados de Sello Electrónico de ACGISS

Informe de Auditoría Independiente PEUGEOT ESPAÑA, S.A. Cuentas Anuales e Informe de Gestión del ejercicio finalizado el 31 de diciembre de 2016

GUÍA TIC DE CASTILLA Y LEÓN EDITA: Consejo Regional de Cámaras Oficiales de Comercio e Industria de Castilla y León DISEÑA: IMPRIME: Grá

REGISTRO MERCANTIL DE BARCELONA

20742 Identidad con Windows Server 2016

CORTE DE CUENTAS DE LA REPÚBLICA CORTE DE CUENTAS DE LA REPUBLICA DIRECCIÓN DE AUDITORÍA DOS INFORME DE AUDITORÍA FINANCIERA

POLÍTICAS GENERALES. 4.- Política General de. Control y Gestión de. Riesgos de Acerinox, S.A. y de su Grupo de Empresas

SOLARIA ENERGÍA Y MEDIO AMBIENTE, S.A. ( la Sociedad )

REGLAMENTO DE USO DE CERTIFICADOS, FIRMA DIGITAL Y DOCUMENTOS ELECTRÓNICOS DE LA UNIVERSIDAD TECNICA NACIONAL

ITAU CHILE ADMINISTRADORA GENERAL DE FONDOS S.A. Informe sobre Información Privilegiada Título XXI Ley N Noviembre 2015

INFORME DEL COMITÉ DE AUDITORÍA SOBRE LA INDEPENDENCIA DE LOS AUDITORES DURANTE EL EJERCICIO 2015

Solicitud de Certificación Aplicable a la Autoridad Certificadora de SeguriData Privada S.A. de C.V.

Información General Mercantil

370 informe de auditoría y Cuentas anuales 2013 modelo de control interno

LAS PREGUNTAS CLAVE DEL ESQUEMA NACIONAL DE SEGURIDAD

POLITICA DE CERTIFICADO SELLO DE ADMINISTRACIÓN

Grupo Argos S.A. Estado de situación financiera consolidado

PROPUESTA DE ACUERDOS QUE SOMETE EL CONSEJO DE ADMINISTRACIÓN DE ACCIONA, S.A. A LA JUNTA GENERAL ORDINARIA DE ACCIONISTAS DE 2013

Auditoria IMPORTANCIA DE LAS DECLARACIONES DE LA ADMINISTRACION

Técnicas y procedimientos de auditoría. C.P.C. Roberto Ruiz Velázquez

Documento Técnico NIA-ES CNyP y Dpto. Técnico

SISTEMA DE GESTIÓN DE LA CALIDAD OPCIÓN 2 GLOBALGAP REGLAMENTO GENERAL PARTE II

Normas Internacionales de Auditoría (NIA) NIA 200 A 299 Principios Generales y Responsabilidades

DOWN ESPAÑA-Federación Española de Instituciones para el Síndrome de Down

NORMA TÉCNICA DE AUDITORÍA SOBRE PROCEDIMIENTOS ANALÍTICOS

Reglamento del Comité de Auditoria:

Documento Técnico NIA-ES CNyP y Dpto. Técnico

MEDIDAS DE SEGURIDAD DEL ENS

LISTA DE CHEQUEO DE DOCUMENTOS SOPORTE PARA LA VERIFICACIÓN DOCUMENTAL PROVEEDORES

ORGANISMO CERTIFICADOR DE SISTEMAS DE GESTIÓN DE LA CALIDAD PROCEDIMIENTO VIGILANCIA, SEGUIMIENTO Y MANTENIMIENTO DE LA CERTIFICACIÓN

POLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L

Arévalo Pérez, Iralda y Asociados, S. C.

MODELO SOLICITUD SUBVENCIÓN GASTOS DE FUNCIONAMIENTO SAN PABLO-SANTA JUSTA 2016 DATOS DE LA ENTIDAD SOLICITANTE

DICTAMEN DEL REVISOR FISCAL PERIODO 2016

V. Que de conformidad con lo dispuesto en el artículo 51 LME, se hace constar:

MODELO SOLICITUD SUBVENCIÓN GASTOS FUNCIONAMIENTO SAN PABLO-SANTA JUSTA 2015

LISTA DE VERIFICACION NORMA ISO 9001: 2008 (PROCESO DE SERVICIOS DE PRUEBAS Y CALIBRACIÓN)

EVALUACION Y VERIFICACION DEL SISTEMA DE CONTROL INTERNO (SCI) 1. OBJETIVO ALCANCE DEFINICIONES NORMAS LEGALES...

Sesión 3 Procesos Productivos, de Apoyo y Evaluación Revisión de los Requisitos 7, 8 y 9 ISO 9001:2015

entidad mexicana de acreditación, a. c.

INFORME DE LA COMISIÓN DE AUDITORIA Y CONTROL SOBRE LA INDEPENDENCIA DEL AUDITOR DE CUENTAS EJERCICIO 2016

ASIGNATURA: Auditoria II. Auditoria de cuentas por cobrar Facilitador:

NIA 330 Respuestas del Auditor a los Riesgos Valorados. C.P. Ricardo Palacios Olmos

Grupo Argos S.A. Estado de situación financiera separado

BANCO DE CAJA ESPAÑA DE INVERSIONES, SALAMANCA Y SORIA, S.A. CONVOCATORIA DE LA JUNTA GENERAL DE ACCIONISTAS

Auditoría y asesoramiento financiero. Servicios profesionales

CERTIFICACIÓN DEL REPRESENTANTE LEGAL DE LA COMPAÑÍA

ESTADOS FINANCIEROS CONSOLIDADOS

BELGRAVIA BETA, S.I.C.A.V., S.A. Convocatoria a Junta General Ordinaria y Extraordinaria de Accionistas

NIA 315 Identificación y evaluación del riesgo de errores materiales a través del conocimiento de la entidad y de su entorno

INFORME ESPECIAL EURONA WIRELESS TELECOM, S.A. ARTÍCULO 308 DE LA LEY DE SOCIEDADES DE CAPITAL

Transcripción:

Assurance & Advisory Tel.: 91 572 72 00 Business Services (AABS) Fax: 91 572 72 70 Torre Picasso www.ey.com Plaza Pablo Ruiz Picasso 28020 Madrid Informe de Auditoría Independiente A los Administradores de: FIRMAPROFESIONAL, S.A. Alcance Hemos examinado las Manifestaciones realizadas por los Administradores de la Autoridad de Certificación FIRMAPROFESIONAL, S.A. (en adelante FIRMAPROFESIONAL) en su labor certificadora, desarrollada durante el período que va desde el 1 de junio de 2003 al 2 de octubre de 2003, en el que FIRMAPROFESIONAL: Manifestó sus prácticas sobre la privacidad de la información y sobre la gestión del ciclo de vida de los certificados y claves en su Declaración de Prácticas de Certificación y Políticas de Certificación y suministró tales servicios de acuerdo con dichas prácticas manifestadas. Manifestó que mantuvo controles efectivos para suministrar una seguridad razonable de que: - La información del suscriptor fue autenticada adecuadamente para las actividades de registro realizadas por FIRMAPROFESIONAL y - La integridad de los certificados y claves que se gestionaron fue protegida a través de sus ciclos de vida. Manifestó que mantuvo controles efectivos para suministrar una seguridad razonable de que: - La información del suscriptor y de los usuarios estuvo restringida al personal autorizado y protegida de usos no especificados en las Manifestaciones de prácticas de negocio de la Autoridad de Certificación. - Se mantuvo la continuidad de las operaciones de gestión del ciclo de vida de las claves y del certificado; y - El desarrollo, mantenimiento y operaciones de los sistemas de la Autoridad de Certificación fueron autorizados y realizados adecuadamente para mantener la integridad de los mismos. todo ello de acuerdo con los requisitos establecidos en el programa Webtrust que, para Autoridades de Certificación, impone la AICPA, la CICA y el IACJCE. (Programa WebTrust para Autoridades de Certificación) La Dirección de FIRMAPROFESIONAL es responsable de sus Manifestaciones. Nuestra responsabilidad es la de expresar una opinión acerca de dichas Manifestaciones, basada en el trabajo que hemos realizado. FIRMAPROFESIONAL utiliza autoridades de registro externas para determinadas actividades de registro de suscriptores, tal y como se indica en la Declaración de Prácticas de Certificación y en las Políticas de Certificación de FIRMAPROFESIONAL. Nuestro examen no incluye los controles de las autoridades de registro externas. Ernst & Young, S.L. Domicilio Social: Plaza Pablo Ruiz Picasso, s/n. 28020 Madrid. Inscrita en el Registro Mercantil de Madrid al Tomo 12749, Libro 0, Folio 215, Sección 8ª, Hoja M-23123, Inscripción 116. C.I.F. B 78970506.

Nuestro examen se realizó de conformidad con las normas específicas de revisión de los criterios WebTrust para Autoridades de Certificación, establecidas por los organismos competentes en esta materia, que son el AICPA/CICA/IACJCE, e incluye: (1) La obtención de una adecuada comprensión sobre: - Las prácticas de privacidad de la información y de gestión del ciclo de vida de los certificados y claves y de los controles sobre la integridad del certificado y de las claves, - La autenticidad y privacidad de la información del suscriptor y de los usuarios, - La continuidad de las operaciones de gestión del ciclo de vida del certificado y de las claves, y - El desarrollo, mantenimiento y operación en la integridad de los sistemas; (2) Pruebas selectivas de transacciones ejecutadas de acuerdo con las prácticas de privacidad de la información y de gestión del ciclo de vida de los certificados y claves manifestadas. (3) Prueba y evaluación de la efectividad operativa de los controles; y (4) Realización de otros procedimientos de revisión y evaluación, que hemos considerado necesarios en las circunstancias. Estimamos que nuestra evaluación suministra una base suficiente para soportar razonablemente nuestra opinión. Exclusiones El Sello de Confianza WebTrust para Autoridades de Certificación del sitio web de FIRMAPROFESIONAL (http://www.firmaprofesional.com/) constituye una representación simbólica de los contenidos de este informe y no va dirigido a actualizar este informe, ni debe ser interpretado como tal, ni ser utilizado para otros fines. La eficacia e importancia relativa de determinados controles de FIRMAPROFESIONAL y su efecto en las evaluaciones del riesgo de control para suscriptores y usuarios dependen de su interacción con los controles y otros factores presentes en las ubicaciones de las autoridades de registro externas, de los suscriptores y de los usuarios. No hemos realizado procedimientos para evaluar la efectividad de los controles en las ubicaciones de las autoridades de registro externas, de los suscriptores y de los usuarios. Este informe no incluye ninguna opinión profesional acerca de la calidad de los productos o servicios de FIRMAPROFESIONAL ni de su idoneidad para los objetivos concretos de cualquier cliente, más allá de los criterios WebTrust cubiertos.

Limitaciones inherentes A causa de las limitaciones inherentes en los propios controles del sistema, puede que existan errores o fraudes que no sean detectados. Además, la toma de alguna conclusión en periodos posteriores al de la fecha de nuestro informe, basada en nuestras afirmaciones, está sujeta al riesgo de que se produzcan: (1) cambios en los controles o en el sistema establecido, (2) cambios en los requisitos de procesamiento, (3) cambios requeridos a causa del propio paso del tiempo, o (4) que el grado de cumplimiento de las políticas o procedimientos puedan alterar la validez de nuestras conclusiones. Opinión del Auditor En nuestra opinión, para el periodo comprendido entre el 1 de junio de 2003 al 2 de octubre de 2003, las Manifestaciones de los Administradores de FIRMAPROFESIONAL, en relación con sus Prácticas como Autoridad de Certificación, basada en los criterios del programa AICPA/CICA Webtrust para Autoridades de Certificación referidos arriba, están adecuadamente formuladas, en todos sus aspectos significativos. ERNST & YOUNG, S.L. Madrid, España. Auditores de Cuentas 6 de octubre de 2003 Daevid Anthony Lane Socio-Auditor

MANIFESTACIONES DE LOS ADMINISTRADORES SOBRE SUS PRÁCTICAS DE NEGOCIO Y SUS CONTROLES EN RELACIÓN CON SUS OPERACIONES COMO AUTORIDAD DE CERTIFICACIÓN DURANTE EL PERIODO COMPRENDIDO ENTRE EL 1 DE JUNIO DE 2003 AL 2 DE OCTUBRE DE 2003 6 de octubre de 2003 FIRMAPROFESIONAL, S.A. (Firmaprofesional) opera como una Autoridad de Certificación (AC) Raíz y Autoridades de Certificación Delegadas (AC Firmaprofesional-CA1 y Autoridad de Certificación de la Abogacía) vinculadas a dicha Autoridad de Certificación Raíz y proporciona los siguientes servicios de autoridades de certificación: - Registro del suscriptor - Emisión de Certificados - Renovación de Certificados - Distribución de Certificados (utilizando un repositorio online) - Revocación de Certificados - Suspensión de Certificados - Procesamiento de la información del estado de los Certificados (utilizando un repositorio online) - Gestión del ciclo de vida de una tarjeta de circuito integrada Para llevar a cabo la prestación del servicio de certificación, Firmaprofesional hace uso de algunos Colegios Profesionales y Consejos de Colegios Profesionales de España como Autoridades de Registro para la identificación de los Solicitantes de Certificados, conforme a las normas de la Declaración de Prácticas de Certificación (CPS) y al acuerdo suscrito con Firmaprofesional. La Dirección de Firmaprofesional es responsable de establecer y mantener los controles efectivos sobre las operaciones de las AC de Firmaprofesional, incluyendo las Manifestaciones de sus Prácticas de Negocio como AC, la integridad del servicio (incluyendo controles para gestionar el ciclo de vida de las claves y los certificados) y los controles del Entorno de la AC. Estos controles contienen mecanismos de monitorización, y se toman acciones para corregir las deficiencias encontradas. Existen limitaciones inherentes en algunos controles, incluyendo la posibilidad de errores humanos y la evasión o anulación de los controles. Como consecuencia, incluso los controles efectivos pueden proporcionar solamente una seguridad razonable en relación con las operaciones de Firmaprofesional como AC. Adicionalmente, debido a cambios en las condiciones, la efectividad de los controles puede variar cada cierto tiempo. La Dirección ha evaluado los controles sobre sus operaciones como AC. Con base en dicha evaluación, en opinión de la Dirección de Firmaprofesional, durante el periodo de 1 de junio de 2003 a 2 de octubre de 2003: Pág. 1

Hizo públicas sus Prácticas de Negocio sobre la Gestión del Ciclo de Vida de las claves y los certificados, así como su política de privacidad de la información y proporcionó sus servicios conforme a dichas afirmaciones. Mantuvo controles efectivos para proporcionar una seguridad razonable de que: La información del suscriptor es autenticada adecuadamente (para las actividades de registro realizadas por Firmaprofesional), La integridad de las claves y certificados gestionados se estableció y protegió a lo largo de todo su ciclo de vida. La información de suscriptores y usuarios está restringida a personal autorizado y protegida de usos no especificados en las prácticas de negocio publicadas de Firmaprofesional. Se mantiene la continuidad de las operaciones relativas a la gestión del ciclo de vida de las claves y los certificados. Las tareas de explotación, desarrollo y mantenimiento de los sistemas de la AC son adecuadamente autorizadas y realizadas para mantener la integridad de los mismos. todo ello de acuerdo con los Criterios AICPA/CICA WebTrust para Autoridades de Certificación, incluyendo los siguientes: Declaración de las Prácticas del Negocio AC raíz y AC Firmaprofesional-CA1 - Declaración de Prácticas de Certificación - Política de Certificación de la Jerarquía - Política de Certificados Personales de Colegiado - Política de Certificados Personales de Personal Vinculado - Política de Certificado de Servidor Seguro http://www.firmaprofesional.com/doc/index.htm Autoridad de Certificación de la Abogacía - Declaración de Prácticas de Certificación - Política de Certificado de Colegiado - Política de Certificado de Empleado http://www.acabogacia.org/doc/index.htm Integridad del Servicio Controles en la Gestión del Ciclo de Vida de las Claves Generación de las claves de la AC Almacenamiento, copias de seguridad y recuperación de las claves de la AC Distribución de la Clave pública de la AC Uso de la Clave de la AC Destrucción de la clave de la AC Archivo de claves de la AC Controles en la Gestión del Ciclo de Vida del Certificado Registro de suscriptores Renovación de certificados Emisión de certificados Pág. 2

Distribución de certificados Revocación de certificados Suspensión de certificados Gestión del ciclo de vida de la tarjeta de circuito integrado Controles de Entorno de la AC Gestión de las CPS Y CP Gestión de la seguridad Clasificación y gestión de Activos Seguridad del personal Seguridad física y medioambiental Gestión de operaciones Gestión de acceso al sistema Sistemas desarrollados y mantenidos Gestión de la continuidad de negocio Seguimiento y conformidad Registro de incidencias Jesús Alonso Presidente Albert Lluch Consejero Delegado Pág. 3