Cea-Cfd V6 (2014-03-05)

CRITERIOS ESPECIFICOS DE ACREDITACIN (CEA-10) EN CONSULTA PARA LAS ENTIDADES CERTIFICADORAS - EC.
Tabla de Contenido
INTRODUCCIN ...................................................................................................................... 2 OBJETIVO ................................................................................................................................. 2 ALCANCE .................................................................................................................................. 2 SIGLAS Y/O ABREVIACIONES ............................................................................................. 2 TRMINOS Y DEFINICIONES .............................................................................................. 3 DOCUMENTOS ........................................................................................................................ 6 Documentos Normativos ..................................................................................................... 6 Documentos Reglamentarios ............................................................................................. 6 Otros Documentos de Consulta ......................................................................................... 7 Fuentes de estndares tcnicos PKI de referencia ........................................................ 8 LINEAMIENTOS DE ACREDITACIN PARA ENTIDADES CERTIFICADORAS - EC 9 Reglas de Acreditacin. ....................................................................................................... 9 Requisitos EC. ...................................................................................................................... 9 Requisitos de Certificacin (RC). ................................................................................. 10 Polticas de certificacin. (PC). .................................................................................... 11 Declaracin de Prcticas de Certificacin. (DPC). .................................................... 11 Requisitos RA ..................................................................................................................... 13 Requisitos Tcnicos ........................................................................................................... 14 Contenido de los certificados........................................................................................ 14 Suspensin parcial o temporal del servicio ................................................................ 15 Cesacin de actividades de Entidad Certificadora - EC........................................... 15 Estndares Tcnicos Admitidos. .................................................................................. 16 Estndares Tcnicos no admisibles. ........................................................................... 19 Requisitos de Aseguramiento ....................................................................................... 20 Oferta del servicio de acreditacin: ................................................................................. 22
1. 2. 3. 4. 5. 6. 6.1. 6.2. 6.3. 6.4. 7. 7.1. 7.2.
7.2.1. 7.2.2. 7.2.3. 7.3. 7.4. 7.4.1. 7.4.2. 7.4.3. 7.4.4. 7.4.5. 7.4.6. 7.5.
1. INTRODUCCIN
De acuerdo con la designacin del Gobierno Nacional de Colombia indicada en los artculos 160 a 163 del decreto ley 0019 del 2012 y en el decreto reglamentario 333 de 2014, el Organismo Nacional de Acreditacin de Colombia ONAC desarroll los criterios especficos de acreditacin CEA-10 para las Entidades Certificadoras - EC Estos criterios no adicionan ni disminuyen los requisitos aplicables, ya sean de origen reglamentario y voluntario, para la acreditacin de una Entidad Certificadora - EC como Organismo de Certificacin, y su marco de aplicacin se debe entender dentro de la evaluacin de la competencia de una Entidad Certificadora - EC como organismo de certificacin. 2. OBJETIVO Establecer los criterios especficos de acreditacin CEA que deben ser aplicados para la evaluacin y acreditacin de las Entidades Certificadoras - EC con base en los artculos 160 a 163 del decreto ley 19 de 2012, la ley 527 de 1999 y el decreto reglamentario 333 de 2014. 3. ALCANCE La aplicacin de este documento incluye lo definido en el artculo 2 del decreto 333 de 2014 (1. Las personas jurdicas, tanto pblicas como privadas, de origen nacional o extranjero, incluidas las cmaras de comercio y las notaras, que pretendan ser acreditadas como Entidades de certificacin. 2. Las Entidades de certificacin que hubieren sido autorizadas por la Superintendencia de Industria), las Entidades Certificadoras - EC acreditadas por ONAC. Debe ser aplicado por la Coordinacin Sectorial de Entidades Certificadoras - EC de ONAC, los Evaluadores y Expertos tcnicos, el Grupo Tcnico Asesor de Entidades Certificadoras - EC, el Comit de Acreditacin, el Comit de Apelaciones y, en general, por todos los involucrados en el proceso de acreditacin de Entidades Certificadoras - EC en el desarrollo de evaluaciones de otorgamiento, vigilancia, ampliacin y renovacin junto con los requisitos establecidos en las Reglas del Servicio de Acreditacin, R-AC-01. 4. SIGLAS Y/O ABREVIACIONES SIGLA AICPA ANSI DEFINICION American Institute of CPAs American National Standards Institute
2
CA ENTIDADES CERTIFICADORA S - EC
CEN CPA CRL DPC ETSI GP HSM IEC IETF IPSEC ISO ITU LOG MINCIT NTC OEC ONAC PKI RFC RSA SHA-1 TIA-942 TSA TICs WEBTRUST
Autoridad de certificacin Ley 527 de 1999, Artculo 2, Numeral d: Es aquella persona que, autorizada conforme a la presente ley, est facultada para emitir certificados en relacin con las firmas digitales de las personas, ofrecer o facilitar los servicios de registro y estampado cronolgico de la transmisin y recepcin de mensajes de datos, as como cumplir otras funciones relativas a las comunicaciones basadas en las firmas digitales. Comit Europeo de Normalizacin Contador Pblico Autorizado Lista de Certificados Revocados Declaracin de prcticas de Certificacin European Telecommunications Standards Institute Gestin Pblica Hardware Security Module Interntional Electrotechnical Commission Internet Engineering Task Force Internet Protocol security International Standard Organization International Telecommunication Union Registro Ministerio de Comercio , Industria y Turismo de Colombia Norma Tcnica Colombiana Organismo de evaluacin de la Conformidad Organismo Nacional de Acreditacin de Colombia Infraestructura de llave pblica Request for Comments Rivest, Shamir y Adleman Secure Hash Algorithm Telecommunications Infrastructure Standard For Data Centers Time Stamp Authority Tecnologa de Informacin y Comunicaciones Sello de confianza en Internet otorgado por AICPA / CICA
5. TRMINOS Y DEFINICIONES
Para la aplicacin de este documento se deben considerar las definiciones establecidas en los documentos de referencia y las siguientes:
3
CA: Autoridad Certificadora: es la entidad proveedora del servicio de certificacin de la

emisin de certificados. La CA tiene la responsabilidad general de la prestacin del servicio de las actividades de certificacin identificado en el art. 161 del decreto ley 19 de 2012.
CA raz: Autoridad certificadora principal CA subordinada: Autoridad certificadora de segundo nivel Cdigo de tica y Buen Gobierno: es una herramienta que contiene el conjunto de polticas respecto a la gestin de la entidad con criterios de tica, Imparcialidad, Integridad, Transparencia y Eficiencia, para asegurar que los servidores de las Entidades Certificadoras - EC orienten su actuar al cumplimiento de los fines misionales y del Estado establecido en la ley 527 DE 1999 y los reglamentos que la complementan o modifican. Este documento recoge las disposiciones y orientaciones pertinentes con su naturaleza legal a manera de referenciacin como lo son la Constitucin Poltica de Colombia, el Modelo Estndar de Control Interno, y los procesos de los Sistemas de Gestin. La implementacin del Cdigo de tica y Buen Gobierno contribuye a desarrollar un clima interno de reglas de juego claras y precisas que transparentemente definen las expectativas de comportamiento de los servidores de la entidad, genera un estilo de direccin unificado de comportamientos transparentes, propicia la confianza interna entre los miembros de la Entidad, incrementa la credibilidad y la confianza en los diferentes grupos de inters y fortalece la cultura institucional. Entidad de registro (ER): Parte interna o externa de las Entidades Certificadoras - EC que valida el cumplimiento de los requisitos para el tipo de certificado solicitado presentado por el solicitante. Organismo relacionado: entidad que est relacionada con la ENTIDADES CERTIFICADORAS - EC porque comparten propietarios comunes, tiene acuerdos contractuales con la ENTIDADES CERTIFICADORAS - EC o pertenece al mismo grupo corporativo en el cual est la ENTIDADES CERTIFICADORAS EC . PKI: Infraestructura de clave pblica (Public key infraestructura): es el conjunto de polticas, procedimientos y elementos tecnolgicos que, mediante la utilizacin de un par de claves criptogrficas, una privada que solo posee el suscriptor del servicio y una pblica que se incluye en el certificado digital, logran: 1) Identificar a quien enva una comunicacin. 2) Impedir que terceras personas puedan observar los mensajes que se envan a travs de medios electrnicos. 3) Impedir que un tercero pueda alterar la informacin que es enviada a travs de medios electrnicos.
4
4) Evitar que el suscriptor del servicio de certificacin digital que envi un mensaje electrnico pueda despus negar dicho envo. Servicio: Para la acreditacin de Entidades Certificadoras - EC, se refiere a prestar servicios para realizar las actividades citadas en el artculo 161 del decreto 19 de 2012, a saber:
1. Emitir certificados en relacin con las firmas electrnicas o digitales de personas naturales o jurdicas. 2. Emitir certificados sobre la verificacin respecto de la alteracin entre el envo y recepcin del mensaje de datos y de documentos electrnicos transferibles. 3. Emitir certificados en relacin con la persona que posea un derecho u obligacin con respecto a los documentos enunciados en los literales f) y g) del artculo 26 de la Ley 527 de 1999. 4. Ofrecer o facilitar los servicios de generacin de los datos de creacin de las firmas digitales certificadas. 5. Ofrecer o facilitar los servicios de registro y estampado cronolgico en la generacin, transmisin y recepcin de mensajes de datos. 6. Ofrecer o facilitar los servicios de generacin de datos de creacin de las firmas electrnicas. 7. Ofrecer los servicios de registro, custodia y anotacin de los documentos electrnicos transferibles. 8. Ofrecer los servicios de archivo y conservacin de mensajes de datos y documentos electrnicos transferibles. 9. Cualquier otra actividad relacionada con la creacin, uso o utilizacin de firmas digitales y electrnicas.
Proveedor: El trmino proveedor, incluye a organizaciones, personas, fabricantes, distribuidores, ensambladores de tecnologa y otros que se encuentren en posicin de ejercer seguimiento respecto del cumplimiento de los requisitos. Entre los proveedores de las Entidades Certificadoras - EC estn: Entidades recprocas, empresas de tecnologa que preste servicios en sus diferentes modalidades como son: hosting, colocation, repositorio documental (electrnico o fsico), proveedor de dispositivos, proveedor de telecomunicaciones, etc. Requisitos de certificacin (RC): Es el conjunto de necesidades establecidas que la persona natural o jurdica debe presentar y demostrar para solicitar el producto respectivo. Revocacin: Proceso por el cual se cancela e inhabilita el Certificado Digital y se da por terminado su periodo de vigencia; al presentarse alguna de las causas establecidas en la Declaracin de Prcticas de Certificacin.
RA: Autoridad de Registro. Organismo independiente a la EC. Se encarga de recibir las peticiones de solicitantes, verificar la documentacin y validar la identidad de solicitud. Solicitante: persona natural o jurdica que se presenta en una Entidad Certificadora - EC con el propsito de obtener productos y/o servicios de sta. Token: Dispositivo hardware en el cual se entrega el certificado y datos privados de firma que la Entidad Certificadora - EC entrega a sus o suscriptores. 6. DOCUMENTOS
Los documentos que se citan a continuacin especifican? los requisitos para la acreditacin de Entidades Certificadoras - EC. 6.1. Documentos Normativos REQUISITO NTC- ISO/IEC 17065 DESCRIPCION Evaluacin de la conformidad. Requisitos para Organismos que certifican productos, procesos y servicios. Sistema de gestin de la calidad. Requisitos. Norma tcnica de calidad en la gestin pblica Tecnologa de la informacin. Tcnicas de seguridad. Sistemas de gestin de la seguridad de la informacin (sgsi). requisitos Directrices para la auditora de los sistemas de gestin
2 3
NTC-ISO 9001 NTC GP1000
NTC-ISO/IEC 27001
NTC-ISO 19011
6.2. Documentos Reglamentarios
DOCUMENTO Ley 527 de 1999
DESCRIPCION Ley de comercio electrnico, Entidades de certificacin y firmas digitales. Decretos, reglamentos que la modifican o
6
complementan. 2 Decreto 19 de 2012 En los artculo 160 a 163 se transfiere la autorizacin que la SIC otorgaba a la Entidades certificadoras, por la acreditacin que ONAC debe otorgar a las Entidades certificadoras. Reglamenta el artculo 160 del Decreto 19 de 2012.
Decreto 333 de 2014
Cualquier otro que lo modifique o lo complemente. 6.3. Otros Documentos de Consulta
DOCUMENTO NTC-ISO/IEC 17000
DESCRIPCION Evaluacin de la conformidad Vocabulario y principios generales. Evaluacin de la conformidad - Fundamentos de la certificacin de productos y directrices para los esquemas de certificacin de productos. Sistemas de gestin de Fundamentos y vocabulario la calidad.
ISO/IEC 17067
NTC-ISO 9000
CEN Workshop Agreement 14167-1
Security Requirements for Trustworthy Systems Managing Certificates for Electronic Signatures. CEN Workshop agreement EESSI Conformity Assessment Guidance Part 2 - Certification Authority services and processes. CEN Workshop agreement EESSI Conformity Assessment Guidance Part 3 - Trustworthy systems managing certificates for electronic signatures. European Telecommunications Standards Institute. Electronic Signature and
7
ETSI TS 101 456
Infraestructures (ESI Policy requirements for certification authorities issuing qualified certificates. 8 ETSI TS 102 042 European Telecommunications Standards Institute. Electronic Signature and Infraestructures (ESI)Policy requirements for certification authorities issuing public key certificates European Telecommunications Standards Institute.Electronic signature and infraestructures(ESI)Policy requirements for time-stamping authorities.
ETSI TS 102 023
6.4. Fuentes de estndares tcnicos PKI de referencia
La siguiente lista son referentes de estndares tcnicos en la industria de la Infraestructura de llave pblica - PKI. Referentes Tcnicos Forum PKI Link http://www.oasispki.org/resources/techstandards/#majorrfc s http://www.commoncriteriaportal.org/ http://www.iso.org/iso/home/store/catalog ue_tc/catalogue_tc_browse.htm?commid =45306 http://www.iec.ch/ http://www.ietf.org/rfc.html http://www.itu.int/en/ITUT/Pages/default.aspx http://www.nist.gov/index.html http://www.mit.edu/
2 3
Common Criteria Project Sponsoring Organization International Organization for Standardization ISO
4 5 6 7 8
International Electrotechnical Commission IEC Internet Engineering Task Force (IETF). Telecomunication Union (ITU - T). National Institute of Standards and Technologies NIST Massachusetts Institute of Technology MIT
8
Request for Comments RFC
10
European Telecommunications Standards Institute - ETSI TS Federal Information Processing Standard FIPS IEEE CWA
http://www.normesinternet.com/normes.php?rfc=rfc3647&lan g=es http://www.rfc-es.org/ http://www.etsi.org/website/homepage.as px http://www.nist.gov/itl/fips.cfm http://www.ieee.org/index.html http://www.cen.eu/cen/Sectors/Sectors/IS SS/CWAdownload/Pages/Electronic%20S ignatures.aspx http://www.webtrust.org/item64428.aspx http://www.uncitral.org/uncitral/es/index.ht ml http://www.ansi.org/ http://www.icontec.org/index.php/en/
11 12 13
14 15
AICPA: WEBTRUST Uncitral
16 17
ANSI Icontec
7. LINEAMIENTOS DE CERTIFICADORAS - EC 7.1. Reglas de Acreditacin.
ACREDITACIN
PARA
ENTIDADES
Las Entidades Certificadoras EC, deben dar cumplimiento a los requisitos establecidos en el documento de ONAC, R-AC-01, denominado Reglas del servicio de Acreditacin, documento que describe el proceso para llevar a cabo la acreditacin. Para su correcta interpretacin, debe entenderse que OEC equivale a Entidad Certificadora EC, dando alcance as al art.160 del decreto ley 19 de 2012. 7.2. Requisitos EC.
ONAC, dando cumplimiento a la obligacin que el estado le impone en el artculo 160 del decreto ley 19 de 2012 y al decreto reglamentario 333 del 19 de febrero de 2014, a la ley 527 de 1999 en sus artculos 2 numeral d, artculo 29 numeral a y artculo 30 modificado por el decreto 19 de 2012, que determinan que las EC prestan servicios, ONAC adopta en este CEA-10 los requisitos de la norma ISO/IEC 17065 con las siguientes exclusiones: Requisito de temas legales y contractuales, numeral 4.1, excepto el numeral 4.1.2.2 literales g, h. Las Entidades Certificadoras - EC deben cumplir con los requisitos legales aplicables. Tratndose de ENTIDADES CERTIFICADORAS - EC abiertas, deben demostrar que la actividad de emitir y prestar servicios de las actividades citadas en el art 161 del decreto 19 de 2012, est prevista en el objeto social de la entidad principal, dando alcance al cumplimiento de las condiciones establecidas en el artculo 29 de la ley 527. Tratndose de ENTIDADES CERTIFICADORAS - EC cerradas, debe presentar certificado de existencia y representacin legal, o copia de las normas que le otorgan la calidad de representante legal de una entidad pblica o de notario o cnsul. Requisitos del proceso, numeral 7, excepto los numerales: 7.11.2 y 7.11.5 Requisitos del sistema de gestin, numeral 8, excepto el numeral 8.1.2 y sus relacionados: 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8. Las Entidades Certificadoras EC privadas, deben tener implementados los sistemas de gestin ISO 9001 e ISO/IEC 27001. Las Entidades Certificadoras EC pblica, deben tener implementados los sistemas de gestin ISO 9001 o GP1000 e ISO/IEC 27001.
7.2.1. Requisitos de Certificacin (RC).
La Entidad Certificadora - EC debe asegurar que todos los suscriptores han cumplido los requisitos definidos para obtener el producto o servicio de certificacin solicitado a las Entidades Certificadoras - EC de acuerdo con las leyes colombianas y las disposiciones emitidas por los entes reguladores. Estos requisitos deben ser parte de la Declaracin de Prcticas de Certificacin (DPC) citando la fuente de regulacin.
10
7.2.2. Polticas de certificacin. (PC). La Entidad Certificadora - EC deber formular una Poltica de certificacin para cada uno de sus servicios y/o productos, detallando: deberes, derechos, condiciones, independencia e imparcialidad de la Entidad Certificadora - EC , lo cual debe estar plasmado en la DPC. 7.2.3. Declaracin de Prcticas de Certificacin. (DPC). De acuerdo con las leyes colombianas y las disposiciones de los entes reguladores, las Entidades Certificadoras - EC deben definir las Declaraciones de Prcticas de Certificacin (DPC), acogidas a un estndar, las cuales deben estar accesibles al pblico y a los solicitantes mediante su publicacin en la pgina web de la Entidad Certificadora - EC . Estas deben incluir como mnimo los siguientes requisitos:
1. La identificacin de la Entidad Certificadora - EC debe tener: nombre, razn o denominacin social de la entidad, nit, nmero de matrcula de cmara de comercio, estado activo en Cmara de comercio, domicilio social y de correspondencia, telfono, fax, direccin de correo electrnico y la oficina responsable dentro de la Entidad Certificadora - EC de las peticiones, consultas y reclamos de los suscriptores y usuarios. Si la Entidad Certificadora - EC tiene Entidades subordinadas o subcontratadas, deber incluir esta misma informacin respecto de cada una de ellas. 2. La poltica de manejo de los certificados, debe tener: a. Los requisitos y el procedimiento de expedicin de certificados, los procedimientos de identificacin del suscriptor y de las Entidades reconocidas, de acuerdo con lo previsto en el artculo 43 de la Ley 527 de 1999. b. Los tipos de certificados y servicios que ofrece, sus diferencias, los posibles usos de cada uno de ellos, lmites de responsabilidad y el tiempo durante el cual se garantiza la condicin de unicidad de la firma digital. c. El contenido de cada uno de los distintos tipos de certificados. d. El procedimiento para la actualizacin de la informacin contenida en los certificados. e. El procedimiento, las verificaciones, la oportunidad y las personas que podrn invocar las causales de suspensin o revocacin de los certificados. f. La vigencia de cada uno de los tipos de certificados. g. La Informacin sobre el sistema de seguridad para proteger la informacin que se recoge con el fin de expedir los certificados.
11
3. Las obligaciones de la Entidad Certificadora - EC y de los suscriptores del certificado y las precauciones que deben observar los terceros que confan en el certificado. 4. La informacin que se le va a solicitar a los suscriptores. 5. El manejo de la informacin que se obtiene de los suscriptores de acuerdo a las normas aplicables en la materia, detallando: a. El manejo de la informacin de naturaleza confidencial. b. Los eventos en que se revelar la informacin confidencial dada por el suscriptor, de acuerdo con las normas vigentes. 6. Las garantas que ofrece la entidad para el cumplimiento de las obligaciones que se deriven de sus actividades y los clausulados de los seguros que protegen a los terceros por los perjuicios que pueda causar la entidad y/o los reglamentos de los contratos de fiducia constituidos para el efecto. 7. Los lmites de responsabilidad de la entidad de certificacin en cada uno de los tipos de certificados y por cada documento firmado. 8. Las tarifas de expedicin y revocacin de certificados y los servicios que incluyen. 9. El procedimiento de seguridad para el manejo de incidentes debe cumplir con el anexo A de la ISO/IEC 27001. Entre otros eventos que debe registrar estn: a. Cuando la seguridad de la clave privada de la entidad de certificacin se ha visto comprometida. b. Cuando el sistema de seguridad de la entidad de certificacin ha sido vulnerado. c. Cuando se presenten fallas en el sistema de la entidad de certificacin que comprometan la prestacin del servicio. d. Cuando los sistemas de cifrado pierdan vigencia por no ofrecer el nivel de seguridad contratado por el suscriptor. e. Cuando se presente cualquier otro evento o incidente de seguridad de la informacin. Nota: las Entidades Certificadoras - EC debe tener implementados servicios de monitoreo de su infraestructura tecnolgica que verifique la disponibilidad y la seguridad de la informacin (NOC y SOC) y de su infraestructura fsica. 10. El plan de contingencia encaminado a garantizar la continuidad del servicio de certificacin, en caso de que ocurra algn evento que comprometa la prestacin del servicio. 11. Modelos y minutas de los contratos que utilizar. En caso de prever su existencia, texto de las clusulas compromisorias que establezcan el procedimiento jurdico para la resolucin de conflictos, especificando al menos la jurisdiccin y ley aplicable en el caso en que alguna de las partes no tenga domicilio en el territorio colombiano.
12
12. La Entidad Certificadora - EC debe asegurar que sus proveedores cumplen con los requisitos definidos por la misma como soporte de su contratacin y del cumplimiento de los requisitos solicitados tanto administrativos como tcnicos. Se consideran como proveedores, entre otros: Entidades Certificadoras - EC reciprocas, sitios de custodia de informacin y de documentacin, telecomunicaciones, datacenter, proveedores de tokens, HSM o cajas criptogrficas, terceros idneos, etc. 13. Contar con polticas y procedimientos para resolver las quejas, apelaciones y disputas recibidas de las partes relacionadas. 14. Requisitos de certificacin: Acorde a los entes reguladores, las Entidades Certificadoras - EC deben publicar los requisitos y fuente reguladora para prestar cada uno de los servicios.
Es responsabilidad de la Entidad Certificadora - EC principal informar que hace extensivo los requisitos de acreditacin a sus proveedores y a la Entidad Certificadora - EC recproca, cuando corresponda si se utiliza. La declaracin de prcticas de certificacin, deber estar accequible desde el "home page" o pgina web de la Entidad Certificadora - EC , dando cumplimiento al numeral 4.6 de la norma ISO/IEC 17065 Informacin disponible al pblico en todo momento.
7.3. Requisitos RA Para las entidades de certificacin cerrada, una RA puede ser un Departamento, Divisin o rea totalmente independiente y autnoma a la CA. Cuando se trate de un conglomerado de Empresas, la RA ser una Organizacin, persona jurdica independiente e imparcial. Una vez la RA ha verificado documentacin y tiene plena certeza que el solicitante es quien dice ser (Autenticacin Exitosa) la RA deber remitir la solicitud de inscripcin a la autoridad de certificacin designada (CA) para generar el certificado. La RA debe custodiar todas las peticiones y mantener la trazabilidad sobre su gestin, durante 20 aos. La infraestructura de llaves pblicas de las Entidades EC, deber garantizar plenamente dicha independencia entre la RA y la CA. Normalmente la RA podr estar expuesta a INTERNET, para que el Solicitante pueda interactuar con ella, sin embargo debern existir controles que garanticen la prestacin del servicio.
13
La conexin entre la RA y la CA deber estar protegida por SSL. La conexin entre la RA y la CA est protegido por SSL. La RA deber utilizar su certificado para identificarse a la entidad emisora (Su CA). Para la autorizacin, la autoridad competente (CA) comprobar si la RA pertenece a un grupo de su sistema de la RA en la CA. Roles de la RA: La RA deber soportar como mnimo los siguientes roles, los cuales no podrn ser desempeados por la misma persona dentro del rea o empresa designada: Agentes de la RA Agents Usuarios de la RA con privilegios. Son responsables por las operaciones diarias, tales como la aprobacin de peticiones. Administrador La persona responsable por instalar y configurar la RA.
7.4. Requisitos Tcnicos 7.4.1. Contenido de los certificados Los certificados debern cumplir con los requisitos exigidos en artculo 35 de la ley 527 de 1999, y deben contener los requisitos del estndar X-509 y como mnimo lo siguiente: 1. 2. 3. 4. 5. 6. 7. CA raz emisora Nombre, direccin y domicilio del suscriptor. Identificacin del suscriptor nombrado en el certificado. El nombre, la direccin y el lugar donde realiza actividades la entidad de certificacin. Clave pblica del certificado. El nmero de serie del certificado. (consecutivo nico) Fecha de emisin y expiracin del certificado.
La Entidad Certificadora - EC deber remitir a ONAC de manera anual 30 das antes de la visita programada en cd o dvd con copia: Archivo con los certificados emitidos y la informacin citada del 1 al 9 de este numeral. Archivo con totales de control (emitidos, vigentes, revocados y expirados) La informacin debe estar en medio magntico en un archivo txt, que contenga esta informacin, con ttulos de campos y separados por punto y coma (;).
14
7.4.2. Suspensin parcial o temporal del servicio Conforme con los dispuesto en el numeral d. del artculo 32 de la ley 527 de 1999, la Entidad Certificadora - EC no podr suspender el servicio de la CRL, es decir debe cumplir un uptime del 100% 7x24*365 al ao. Para el resto de la plataforma tecnolgica de PKI que requiera interrupciones por mantenimiento o actualizacin, la Entidad Certificadora - EC informar a ONAC con anticipacin de un mes adjuntando el plan de trabajo, y posteriormente entregar el resultado frente a lo esperado despus del trabajo realizado. En ningn caso la disponibilidad de la plataforma podr ser inferior al 99,9% de uptime al ao. 7.4.3. Cesacin de actividades de Entidad Certificadora - EC Conforme con lo dispuesto en el artculo 163 del decreto 19 de 2012 que modifica el artculo 34 de la ley 527 de 1999, las Entidades de certificacin acreditadas por el ONAC pueden cesar en el ejercicio de actividades, siempre y cuando garanticen la continuidad del servicio a quienes ya lo hayan contratado, directamente o a travs de terceros, sin costos adicionales a los servicios ya cancelados." En concordancia con lo anterior, la Entidad Certificadora - EC 1. 4. 5. debe tener.
Un plan de continuidad del servicio. Un plan que garantice la continuidad en alta disponibilidad de la publicacin en los repositorios (CRL) propios. La Entidad Certificadora - EC debe tener un plan de seguridad que garantice la adecuada destruccin de la clave privada de la entidad.
La Entidad Certificadora - EC deber cumplir los planes anteriores, informar y remitir la documentacin y pruebas anuales a ONAC. Vs salvaguarda del secreto industrial y confidencialidad suscrito por ONAC La Entidad Certificadora - EC deber informar a todos los suscriptores mediante dos avisos publicados en diarios o medios de amplia circulacin nacional, con un intervalo de 15 das, sobre: 1. La terminacin de su actividad o actividades y la fecha precisa de cesacin. 2. Las consecuencias jurdicas de la cesacin respecto de los certificados expedidos. 3. La Posibilidad de que un suscriptor revoque el certificado y obtenga el reembolso equivalente al valor del tiempo de vigencia restante del certificado. 4. El operador de la CRL autorizado por la SIC durante el tiempo en que expire el ltimo certificado.
15
5. La resolucin que la SIC otorga a la Entidad Certificadora - EC el servicio.
para terminar
En todo caso los suscriptores podrn solicitar la revocacin y el reembolso equivalente al valor del tiempo de vigencia restante del certificado, si lo solicitan dentro de los dos (2) meses siguientes a la segunda publicacin. La terminacin de la actividad o actividades se har en la forma y siguiendo el cronograma presentado por la Entidad Certificadora - EC al ente de vigilancia y control y que este apruebe. 7.4.4. Estndares Tcnicos Admitidos. La Entidad Certificadora - EC para cualquiera de las actividades citada en el Artculo 161 del decreto 19 de 2012, debe asegurar el debido cumplimiento de los requisitos establecidos en este documento, a travs de estndares tcnicos vigentes que pueden ser nacionales e internacionales, sin dejar de dar cumplimiento a los lineamientos del programa de acreditacin. Nota: cuando una Entidad Certificadora - EC realice la solicitud de acreditacin para un servicio o producto clasificado en la actividad 9 del art. 161 del decreto 019 de 2012, ONAC definir los lineamientos especficos a cumplir.
ACTIVIDAD 1. Ciclo de vida de los certificados 2. CA AUTORIDAD CERTIFICADORA entidad de confianza, responsable de emitir y revocar los certificados digitales o certificados, utilizados en la firma, para lo cual se emplea la criptografa de clave pblica.
ESTANDAR ITU - X.509 V3 (infraestructura de clave pblica - PKI) AUTORIDAD CERTIFICADORA Custodia de la llave privada Conservar pista de auditoria Definir y Hacer cumplir requerimientos de acceso por excepcin
16
3. BCP Plan Continuidad recuperacin
DR ISO / IEC 22301 / BS 25999-2 de Especificacin para la Gestin de la Continuidad del y Negocio DRI ETSI TI 102 042 SECCIN 748 CPS Decreto 333 de 2014 de ITU - X.509 V3 de (infraestructura de clave pblica - PKI) ETSI TS 101 456
4. DPC Declaracin prcticas certificacin
5.
6.
7.
8.
ETSI TS 102 042 ETSI TS 102 158 IETF RFC 2527 Protocolo de ITU - X.500 acceso a los (infraestructura de clave pblica - PKI) servicios TICs de LDAP PKI Certificados ITU - X.509 V3 Digitales (infraestructura de clave pblica - PKI) ETSI TS 101 456 ETSI TS 102 042 ETSI TS 102 158 Formato de Firma ETSI TS 101 733 ETSI TS 101 903 RFC 5126 ISO 32000.1 Infraestructura Caja criptografica CA HSM: FIPS PUB 140-1: Security Requirements Cryptographic Modules, (Mayo 2001) Nivel 3. O FIPS PUB 140-2: Security Requirements Cryptographic Modules (Mayo 2002) Nivel 3. a) FIPS 140-2 Level 3; b) CWA 14167-2 (referncia 1.b.); c) ISO 15408 (referncia 1.o.) no nvel EAL 4 o superior OPEN PKI Estndar abierto para PKI. for
for
17
ITU - X.509 V3 (infraestructura de clave pblica - PKI) IPSEC Protocolos de Operacin 9. Algoritmo de RSA SHA-1 V2048 BITS Cifrado de Firma ETSI TS 101 861 ISO/IEC 18014-2008 10. CRL ISO / IEC 9594-8 Lista de ITU - X.509 V3 certificados (infraestructura de clave pblica - PKI) revocados RFC 5280 firmados por la CA Certificacin de un auditor independiente del uso de protocolo OCSP segn el siguiente estndar: RFC 2560 X.509 Internet PKI Online Certificate Status Protocol OCSP. June 1999. 11. Sellado de tiempo Certificar el estndar TSA (Time Stamp Authority) / TIME STAMPING descrito en el documento RFC 3628 y el Protocolo TSP (Time-Stamp Protocol) en el RFC 3161 ANSI ASC X9.95 standard for trusted timestamps expands on the widely used RFC 3161 - ITU X.509 Especifica los requisitos mnimos de seguridad para el uso efectivo de estampado de tiempo ETSI TS 102 023 V1.2.1 (2003-01) Electronic Signatures and Infrastructures (ESI); Policy requirements for time-stamping authorities. En dicho estndar se hace exigible el uso del algoritmo de hash SHA-1 con RSA y largos de llave de al menos 2048 bits con RSA. ISO/IEC 18014-1:2002 Information technology -Security techniques -- Time-stamping services.
12. Archivo, Registro, Consevacin custodia y anotacin para los documentos electrnicos transferibles y mensajes de datos. 13. Webtrust
- ISO 17068: Information and documentation - Trusted third party repository for digital records. - ISO 16363: Space data and information transfer systems -- Audit and certification of trustworthy digital repositories.
Es el sello de confianza, calidad y seguridad que se

18
concede a la pgina Web de la empresa que, previamente ha obtenido un Informe Favorable de Auditora Independiente, por una Firma de Auditora Habilitada para la Prestacin de Servicios WebTrust al cumplir, durante un cierto periodo de tiempo, los Criterios y Principios WebTrust, establecidos por las Entidades promotoras y licenciatarias del sello. Nota: En caso de la existencia de sello equivalente, ONAC revisara su aplicabilidad.
14. Dispositivos FIPS PUB 140-2: Security Requirements for fsicos (modulo Cryptographic Modules (Mayo 2002) Nivel 3 o superior. criptogrfico) para Dual Factor el almacenamiento de certificados digitales y llave privada de los suscriptores.
7.4.5. Estndares Tcnicos no admisibles.
1. 2. 3. 4.
5. 6.
7.
8.
Criptografa de llave simtrica. DES. Estndar de criptografa. MD5 Suspensin de certificados. Se debe revocar el certificado digital a solicitud del suscriptor y emitir uno nuevo. Si bien el trmino SUSPENDER es vlido dentro de un modelo PKI, la prdida parcial de los derechos y deberes del suscriptor frente al certificado digital, es un riesgo muy alto para las entidades de certificacin y para el mismo usuario del sistema, quien estara en un momento determinado, dudando si su certificado realmente fue suspendido o al ser suspendido, fue reactivado sin el consentimiento del Titular. Compartir fsicamente o lgicamente la red de PKI con otras redes. El almacenamiento de la llave privada del suscriptor no puede ser almacenada en un medio no diseado para tal fin es decir slo se admite el almacenamiento de la clave privada en Token fsico con dual factor. La plataforma tecnolgica utilizada por la Entidad Certificadora - EC , debe ser de uso exclusivo para las actividades que conforman el alcance de acreditacin solicitado Solamente se permite HSM fsica
19
7.4.6. Requisitos de Aseguramiento
La realizacin de los temas de aseguramiento no podrn ser realizados por la misma entidad proveedora del servicio por ms de dos veces consecutivas, al igual que no podr prestar otro servicio a la misma Entidad Certificadora - EC simultneamente en el periodo de vigencia. Requisito 1. Auditora de 3a Parte Descripcin Requisito reglamentario: artculo 14 del decreto 333 de 2014 Alcance: Ley 527 de 1999, reglamentos que lo modifican y/o complementen, Criterios especficos de acreditacin (CEA) para ENTIDADES CERTIFICADORAS - EC . Directriz: NTC-ISO 19011 Requisito: Empresa de auditora legalmente constituida en Colombia en donde el objeto social est incluida: servicios de auditora de sistemas, seguridad de la informacin e infraestructura de clave pblica PKI. Reconocimiento web trust, auditores profesionales en la ingeniera de sistemas los cuales deben demostrar: 10 aos de experiencia en auditoria de sistemas, 5 aos de experiencia en ISO/IEC 27001 y 5 aos de experiencia en infraestructura de llave pblica (PKI), Competencia y experiencia certificada. Auditor con formacin en ISO/IEC 17065 e ISO/IEC 27001. Todos con tarjeta profesional vigente. Frecuencia: 1 vez x ao. Entregables: Informe de conformidad o con salvedad, no se permite la razonabilidad. Papeles de trabajo acordes con los requisitos de ISO/IEC 19011. Imparcialidad: No puede ser realizada por la misma empresa o profesionales por ms de dos veces consecutivas. En caso de que no existan en el pas al menos una entidad que cumpla los requisitos para llevar a cabo estas auditoras, las Entidades Certificadoras - EC podrn hacer uso de firmas de auditoras extranjeras, siempre y cuando cumplan los requisitos que se exigen a las empresas de auditora nacionales y se encuentre habilitadas en
20
su pas de origen para realizar este tipo de auditora. Frecuencia: Permanente.
2.
Certificacin WEBTRUST
Programa de certificacin por AICPA CICA para Entidades certificadoras. Exigible a Entidades Certificadoras Abiertas. Imparcialidad: En la vigencia del servicio de reconocimiento Web Trust, la empresa no puede prestar otros servicios a la Entidad Certificadora - EC. Debe ser realizada por empresas legalmente constitudas en Colombia y autorizadas por web trust. Se puede solicitar a empresas externa autorizadas en caso de ausencia en Colombia. Frecuencia: Permanente. Pruebas de penetracin y escaneo de vulnerabilidades en la red. Imparcialidad: No puede ser realizado por la misma empresa que realiza la Auditora Interna de 3a parte ni por la misma Entidad Certificadora - EC . Las pruebas no podrn ser realizadas por la misma entidad por ms de dos veces consecutivas. Debe ser realizada por ETHICAL HACKER certificados. Debe incluir el anlisis de riesgos de topologa de red. Frecuencia: Anual Administracin del Registro de auditoria transaccional y de seguridad utilizando el modelo PHVA Frecuencia: Permanente
3.
Ethical Hacking
4.
LOGs
5.
SOC Security Servicio de monitoreo y control de eventos de seguridad registrados en la plataforma Operatin Center computacional. utilizando el modelo PHVA Frecuencia: Permanente
21
6.
NOC Network Servicio de monitoreo y control de disponibilidad y operation center capacidad de los componentes de red utilizando el modelo PHVA Frecuencia: Permanente Infraestructura Fsica ANSI/TIA-942 Mnimo Tier 3: Estndar de Infraestructura y seguridad fsica para el Centro de Datos Certificar el estndar del RFC 4810 - Long-Term Archive Service Requirements Cumplimiento de RFC 4998 - Evidence Record Syntax (ERS) Frecuencia: Permanente Conforme con los dispuesto en el numeral c. del artculo 32 de la ley 527 de 1999, La Entidad Certificadora - EC debe tener un plan implementado que garantice la proteccin de la informacin confidencial de los suscriptores en concordancia con las leyes Habeas data, Proteccin de datos, etc. y cualquier otra que las modifiquen o complementen) Frecuencia: Permanente
7.
8.
Proteccin de Datos
Tratndose de Entidades extranjeras que obren en calidad de Entidades Certificadoras - EC reciprocas, tanto la entidad certificadora nacional como la empresa recproca debern cumplir los requisitos planteados en ste documento. Igualmente el cumplimiento se extiende a proveedores crticos de ambas empresas. 7.5. Oferta del servicio de acreditacin: Conforme con lo dispuesto en el artculo 21 del decreto 333 de 2014 del MINCIT, las Entidades Certificadoras - EC autorizadas por la SIC tendrn un plazo de 2 meses a partir del 19 de febrero de 2014 para iniciar el correspondiente proceso de acreditacin ante el ONAC mediante la presentacin de la solicitud respectiva que se encuentra disponible en la pgina de ONAC.
22

Cea-Cfd V6 (2014-03-05)

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Cea-Cfd V6 (2014-03-05)

Cargado por

Copyright:

Formatos disponibles

CRITERIOS ESPECIFICOS DE ACREDITACIN (CEA-10) EN CONSULTA PARA LAS ENTIDADES CERTIFICADORAS - EC.

1. 2. 3. 4. 5. 6. 6.1. 6.2. 6.3. 6.4. 7. 7.1. 7.2.

CA: Autoridad Certificadora: es la entidad proveedora del servicio de certificacin de la

NTC-ISO 9001 NTC GP1000

6.2. Documentos Reglamentarios

DOCUMENTO Ley 527 de 1999

Decreto 333 de 2014

Cualquier otro que lo modifique o lo complemente. 6.3. Otros Documentos de Consulta

DOCUMENTO NTC-ISO/IEC 17000

CEN Workshop Agreement 14167-1

CEN Workshop Agreement 14172-2

CEN Workshop Agreement 14172-3

ETSI TS 101 456

ETSI TS 102 023

6.4. Fuentes de estndares tcnicos PKI de referencia

Request for Comments RFC

AICPA: WEBTRUST Uncitral

7. LINEAMIENTOS DE CERTIFICADORAS - EC 7.1. Reglas de Acreditacin.

7.2.1. Requisitos de Certificacin (RC).

5. La resolucin que la SIC otorga a la Entidad Certificadora - EC el servicio.

3. BCP Plan Continuidad recuperacin

4. DPC Declaracin prcticas certificacin

Es el sello de confianza, calidad y seguridad que se

7.4.5. Estndares Tcnicos no admisibles.

7.4.6. Requisitos de Aseguramiento

su pas de origen para realizar este tipo de auditora. Frecuencia: Permanente.

También podría gustarte