Sección 5.

Términos de referencia

Servicio de Implementación de la plataforma

tecnológica
para la administración y supervisión de la
Infraestructura Oficial de Firma Electrónica a cargo
del INDECOPI
 Términos de Referencia

Antecedentes del Servicio

Mediante el artículo 57 del Reglamento de la Ley de Firmas y Certificados Digitales,

aprobado por el Decreto Supremo 052-2008-PCM, el Instituto Nacional de Defensa de
la Competencia y de la Protección de la Propiedad Intelectual, INDECOPI, ha sido
ratificado como la Autoridad Administrativa Competente (en adelante AAC), teniendo
como principal función la implantación y buen funcionamiento de la Infraestructura
Oficial de Firma Electrónica, IOFE, por lo que realiza diversas acciones para asegurar
que con el uso de la IOFE se alcance eficiencia, eficacia y transparencia en el gobierno
electrónico y para promover su uso en el comercio electrónico.

El Servicio tiene por objeto implementar una solución administrativa, jurídica y técnica,
bajo la modalidad de contrato “llave en mano” o "turn key contract", para el desarrollo
de la infraestructura tecnológica y la gestión de la IOFE que estará a cargo de la AAC,
y comprende la planificación, diseño, desarrollo, instalación, configuración y puesta en
operación de la solución.

Se entenderá por Infraestructura Oficial de la Firma Electrónica las instalaciones,

equipamiento, hardware, software, políticas, acuerdos de reconocimiento mutuo,
registro de entidades, criterios de idoneidad técnica y requisitos mínimos para la
prestación de servicios de certificación digital, así como criterios para evaluar el
cumplimiento del requisito relativo a riesgo por daños, procesos de acreditación,
procedimientos, organización, personal y demás elementos o herramientas que
permitan a INDECOPI cumplir las funciones de dirigir, reglamentar, supervisar y
auditar la IOFE.

La solución de la infraestructura tecnológica y de gestión de la IOFE deberá ser

estructurada en concordancia con la normativa peruana, los estándares reconocidos
para la acreditación por Indecopi, los estándares internacionales aplicables, la ley
27269 de Firmas y Certificados Digitales, su Reglamento aprobado por el Decreto
Supremo 052-2008-PCM y las cuatro Guías de Acreditación para los Prestadores de
Servicios de Certificación Digital y afines.

El siguiente diagrama muestra la posición de INDECOPI dentro de la IOFE

 Justificación

Con la publicación del nuevo Reglamento de la Ley 27269, aprobado por el Decreto
Supremo 052-2008-PCM, se han dado nuevas disposiciones para impulsar la prestación
de servicios de gobierno electrónico, haciendo posible el ejercicio del derecho
ciudadano de acceso a servicios públicos electrónicos seguros para la realización de
transacciones de gobierno electrónico con las entidades de la Administración Pública.

En su condición de Autoridad Administrativa Competente (AAC) responsable de la

gestión del sistema IOFE, el INDECOPI tiene la necesidad de implementar una solución
administrativa, jurídica y técnica que le provea la infraestructura y herramientas
necesarias para el cumplimiento de las funciones que se le asigna en el Título III del
Reglamento de la Ley de Firmas y Certificados Digitales.

Con la puesta en funcionamiento del sistema de gestión de la IOFE, la AAC podrá

garantizar transacciones de gobierno y comercio electrónico seguras y, de manera
general, podrá garantizar que los actos jurídicos autenticados con el uso de firmas y
certificados digitales tengan plena validez y eficacia jurídica.

Objetivo del Servicio

3.1 General

El objeto del servicio es la implementación y puesta en producción de la plataforma tecnológica

para administrar y supervisar a las Entidades de Certificación, las Entidades de Registro o
Verificación y las Prestadoras de Servicios Electrónicos de Valor Añadido a la Certificación Digital
que hayan sido acreditados por la Autoridad a cargo de la IOFE; conforme a lo indicado en el
Título III del Reglamento de la Ley de Firmas y Certificados Digitales.

3.2 Específicos

a. Desarrollo de la plataforma tecnológica de soporte a los procedimientos de acreditación de

las Entidades de Certificación, las Entidades de Registro o Verificación y las Prestadoras de
Servicios electrónicos de Valor Añadido.

b. Desarrollo de la plataforma tecnológica para la publicación de la Lista de Confianza de

Entidades Acreditadas de acuerdo a la Norma europea ETSI TS102 231 v.3.1.1 en su versión
vigente a la fecha del contrato.

Descripción del Servicio

El Servicio comprende los tres ítems siguientes:

a. Desarrollo e implementación de un sistema informático para el soporte a la gestión

documental de los procedimientos de acreditación de las Entidades de Certificación, las
Entidades de Registro o Verificación y las Prestadoras de Servicios electrónicos de Valor
Añadido, y el desarrollo e implementación de la Lista de Confianza de Entidades Acreditadas
de acuerdo a la Norma europea ETSI TS102 231 v.3.1.1 en su versión vigente a la fecha del
contrato.

b. Provisión de los equipos de cómputo y el software de base para el sistema informático.

c. Instalación e implementación de los equipos que se utilizarán para el presente servicio.

4.1 Desarrollo e Implementación de un Sistema Informático

d. El sistema informático a implementar soportará la funcionalidad de los procedimientos de

acreditación de las Entidades de Certificación, las Entidades de Registro o Verificación y las
Prestadoras de Servicios electrónicos de Valor Añadido, y del proceso de gestión y
publicación de la Lista de de Confianza (TSL) basada en la Norma europea ETSI TS102 231
v.3.1.1 en su versión vigente a la fecha del contrato. El servicio dentro de este ítem
comprende las siguientes actividades:

a) Gestión del proyecto, haciendo uso de la metodología de gestión de proyectos

presentada en la Propuesta Técnica (Véase Punto 9.1)
b) Análisis de requerimientos y diseño del sistema para el soporte a la gestión
documental del proceso de acreditación de Prestadores de Servicios de Certificación
Digital, que cumpla la metodología de desarrollo de sistemas presentada en la
Propuesta Técnica (Véase Punto 9.2) y para el soporte de los principales
Procedimientos de Acreditación (véase Punto 6). El diseño de la base de datos del
sistema debe considerar lo recomendado por la Norma Europea ETSI TS102 231
v.3.1.1 en su versión vigente a la fecha del contrato, para almacenar los datos
vigentes e históricos de las Entidades Acreditadas para prestar Servicios de
Certificación Digital y afines.
c) Construcción del sistema para el soporte a la gestión documental del procedimiento
de acreditación de Prestadores de Servicios de Certificación Digital, que cumpla la
metodología de desarrollo de sistemas presentada en la Propuesta Técnica y
construcción del Sistema para el desarrollo e implementación de la Lista de
Confianza
d) Realización de pruebas de validación de la solución en coordinación con INDECOPI,
acordes con la metodología de desarrollo de sistemas presentada en la Propuesta
Técnica
e) Puesta en producción de la solución coordinación con INDECOPI.
f) Soporte a la primera publicación del Estado de Servicio de Confianza (TSL), firmada
digitalmente por INDECOPI.
g) Capacitación funcional del personal que designe INDECOPI en el uso del sistema
informático (mínimo 6 personas).
h) Capacitación al personal técnico que designe INDECOPI: En la instalación, operación,
mantenimiento, monitoreo y control de todos los principales componentes de la
solución (mínimo 6 personas).

4.2 Proveer los equipos de cómputo y el software de base para el Sistema

Informático

Es requisito para el análisis, diseño y puesta en producción del sistema, que la Firma
Consultora provea las licencias de aplicaciones de diagramación UML, cases, diseño de base
de datos y las demás que sean necesarias para brindar el servicio.

Para la implementación del módulo de acreditación del sistema en Intranet, la Firma

Consultora deberá proveer los siguientes equipos y software:

Servidor de base de datos y servidor de aplicaciones

Licencias de base de datos
Licencia para el servidor de aplicaciones.
02 Hardware criptográfico HSM (Hardware Security Module) para el almacenamiento
de la clave privada de la AAC
10 Kits personales de firma digital, que incluyan Certificado Digital, Token y software
para la firma digital (1 por usuario). Estos certificados tendrán como mínimo un año
de validez.
 10 dispositivos para la captura de huella digital conectados a las PCs de los usuarios.
Software para el registro de las huellas digitales de los usuarios del sistema
02 Certificado Digital SSL para el servidor.

Para la lista de servicio de confianza, la Firma Consultora deberá proveer los siguientes
equipos y software:
Servidor de aplicaciones.
Licencia para el servidor de aplicaciones
01 Certificado Digital SSL para el servidor.

La seguridad del servidor Web tomará la seguridad perimetral de INDECOPI, la misma que
incluye el servicio del firewall en uso.

Resumen hardware/ software referencial:

Plazo de
Articulo No Descripción Cantidad entrega
1 Chasis Rackeable estándar 42U 1 60 días
2 Servidores dual Core 2 60 días
3 Hardware criptográfico HSM (Hardware Security Module) 2 60 días
4 Dispositivos para la captura de huella digital 10 60 días
5 Certificados digitales personales de firma digital 10 60 días
6 Hardware Certificado Digital SSL para el servidor 2 60 días
7 Licencias de Base de datos Relacional 2 60 días
8 Licencia para el Servidor de Aplicaciones 2 60 días
9 Software Software de Virtualización 2 6 días

Las características técnicas se detallan en el Anexo N° 02: Características Técnicas del

Hardware y Software.
Puesto que esta solución es llave en mano, los requerimientos de hardware y software son
referenciales y podrá ser optimizado en base al diseño más óptimo que realice el postor,
siempre y cuando garanticen la seguridad, modularidad, escalabilidad, rendimiento,
disponibilidad y las funcionalidades requeridas.
4.3 Arquitectura de Solución

El diagrama siguiente muestra la arquitectura referencial de la solución, la misma que estará

sujeta a cambios y/o modificaciones de acuerdo al resultado obtenido por los especialistas de la
firma consultora en la etapa de análisis y diseño.

Arquitectura de Solución
Sistema Informático Portal WEB Indecopi
Aplicación:
Aplicación:
• Acreditación-LC
• Acreditación XML
Servidor de • Huella Digital
Servidor de Usuario
Aplicación • Firma digital
Aplicación de la WEB
Usuario
INDECOPI
Hardware
Criptográfico

Publicación
BD
Base de Datos
• Acreditación
• Huella Digital

Descripción del referencial del producto

1. Sistema de gestión documental para el procedimiento de acreditación de Prestadores de
Servicios de Certificación Digital y afines.

El sistema debe desarrollarse utilizando lenguaje Java, sobre base de datos

proporcionada, compatibles, integradas e interoperables con los estándares de
INDECOPI.

El sistema deberá soportar las actividades de los distintos usuarios que participarán en el
flujo del proceso de acreditación, de acuerdo a los roles que se les asigne, asegurando la
debida secuencia de las actividades, incluyendo el uso de la pasarela de pago
corporativo de Indecopi en el proceso de pago en línea correspondiente. Esas actividades
se podrán agrupar de acuerdo al tipo y etapa del proceso en que se realicen.

Las actividades a considerar dentro del flujo del sistema serán las siguientes:

a) Registro de la solicitud y control de la documentación recibida

b) Admisión de la solicitud y designación del equipo evaluador
c) Aprobación del documento
 d) Registro del resultado de la evaluación (técnica, de interoperabilidad, de
seguridad y de cumplimiento de requerimientos de Usabilidad)
e) Registro de la resolución del proceso de acreditación (otorgamiento, denegación,
registro de actividades de evaluación adicionales)
f) Emisión del Certificado de Acreditación

En aquellas actividades donde se requiera de firma
del dispositivo de lectura de huella digital instalado
Los documentos electrónicos que se requieran en
PDF), se almacenarán en la base de datos como
Certificado de Acreditación.
digital, el usuario deberá hacer uso
en su PC y de su certificado digital.
el sistema (generados en formato
imágenes, siendo este caso el del

Los plazos que figuran en el procedimiento de acreditación deberán sujetarse a

parámetros, de modo que puedan variar en el tiempo.

El flujo descrito servirá para las solicitudes de acreditación definidas en las guías de
acreditación para Entidades de Certificación y entidades conexas definidas por Indecopi,
entre ellas las Entidades Certificadoras (EC):
Acreditación como EC raíz y EC de nivel subsiguiente
Acreditación como EC de nivel subsiguiente
Autorización para la realización de certificación cruzada con otras ECs.

Asimismo debe considerar las solicitudes de acreditación de los tipos:

Renovación
Acreditación por homologación.

El Sistema también debe considerar un archivo de control de auditoría (“audit control” o

“log file” para registrar los siguientes eventos:

Registro de visitas de supervisión para el mantenimiento de la acreditación.

Registro de suspensión y cancelación de la acreditación
Registro de notificación de cambios de la entidad

El sistema no considerará el Registro de Modificación de Alcance de la Acreditación, en

ese caso se deberá gestionar como una nueva solicitud de acreditación.

Se debe considerar dentro del alcance la generación de 03 (tres) reportes con

información generada del sistema.

2. El sistema se deberá integrar al sistema de seguridad de INDECOPI, por lo que la Firma

Consultora deberá cumplir con los estándares internacionales para preservar la
confidencialidad, integridad y disponibilidad de la información dentro de los procesos de
acreditación y gestión del ciclo de vida de las Listas de Confianza. La Firma Consultora
deberá evaluar y determinar el nivel de riesgo que será validado por INDECOPI.

Así mismo, deberá Implementar y documentar los procedimientos y controles de

seguridad de la solución alineados a la norma NTP-ISO/IEC 17799 (ISO 27002) para
que los procesos críticos de la solución estén dotados de un sistema de Seguridad que
cumpla con los requisitos de la norma ISO 27001, el postor deberá incluir en su
propuesta la certificación correspondiente por una entidad acreditada para ello.

3. El sistema generará la Lista de Confianza de Entidades Acreditadas, con los datos de la

entidad exigidos por la legislación y cualquier otro dato que INDECOPI considere
necesario incluir durante la fase de análisis del sistema.

El modelo lógico de la base de datos que contenga los datos de la entidad acreditada,
será el recomendado por la Norma europea ETSI TS102 231 versión 3.1.1 ó superior
 (actualizada a la última versión si fuera el caso), véase el Anexo N° 03 – Modelo Lógico
recomendado para la Base de Datos- BD. Cada uno de los campos correspondientes será
validado por INDECOPI de acuerdo a la información que proporcione el sistema de
gestión documental del antes descrito proceso de acreditación de los Prestadores de
Servicios de Certificación Digital y afines.

La base de datos del sistema será alimentada por la información de la base de datos del
sistema de gestión documental del proceso de acreditación

La Lista de Confianza, se generará usando el formato XML estándar que se haya

mantenido tecnológicamente neutral, para, de esa manera, continuar siendo compatible
con las tecnologías que puedan emerger. La misma será firmada digitalmente haciendo
uso del certificado digital que se encontrará almacenado en el hardware criptográfico.

Publicación de Lista de Confianza de Entidades Acreditadas firmada digitalmente en la

Web de INDECOPI disponible para ser descargada e impresa.

Mediante un proceso de publicación, el sistema actualizará la Lista de Confianza cada vez

que esta se modifique.

La Firma Consultora entregará al INDECOPI, para su validación, el diseño detallado con

la lista de campos a incluirse en la Lista de Confianza. Véase en el Anexo 04 – Modelo de
Lista de Confianza en el Browser, el diseño de la Norma Europea ETSI TS102 231 v.3.1.1
ó superior.

Este archivo de la Lista de Confianza, firmado digitalmente y publicado en la página Web

de INDECOPI, deberá tener la opción de ser descargado e impreso.

Adicionalmente en el sistema se incluirá un WebService que INDECOPI podrá publicar

para que los organismos puedan realizar la consulta del estado de la acreditación de una
determinada Entidad.

El acceso a la Lista de Confianza será vía el Portal Web de INDECOPI y los usuarios serán
anónimos, permitiendo como mínimo la atención concurrente de 10 usuarios.

Procedimientos de Acreditación
Tomando como norma los procedimientos del Reglamento General de Acreditación de INDECOPI
(Reglamento CNB-acr-01-R versión 06 2007-12-12) y el Reglamento Específico de Acreditación
Entidad de Certificación – EC, los procedimientos de acreditación que considerará el sistema
informático serán los siguientes:

1. Procedimiento de Acreditación
2. Procedimiento de Mantenimiento de la Acreditación
3. Procedimiento de Renovación
4. Procedimiento de Notificación de Cambios
5. Procedimientos de Suspensión y Cancelación

La descripción de estos procedimientos se encuentra en el Anexo N° 06 – Descripción de

Procedimientos de Acreditación, los mismos que podrán perfeccionar el Reglamento específico de
Acreditación de Entidades de Certificación.

Etapas del Servicio

El presente servicio comprende las siguientes etapas:

7.1 Etapa Pre-Operativa

 Se inicia a la firma del contrato y tiene una duración máxima de un (01) mes. La etapa
consiste en el acondicionamiento de los ambientes donde se realizará el desarrollo del
software y la elaboración y entrega de planes de trabajo y metodologías.
Dicha fase concluye cuando INDECOPI otorgue la conformidad al cumplimiento de las
siguientes condiciones:
- Entrega de planes de trabajo y metodologías a utilizar en el desarrollo del
servicio.
- Aprobación del plan de trabajo por parte de INDECOPI.

De no cumplirse con los requerimientos indicados, el plazo de la etapa pre-operativa, se

ampliará bajo la responsabilidad de la Firma Consultora y sin perjuicio de las penalidades
que INDECOPI pudiera ejecutar.

7.2 Etapa Operativa.

Se inicia al final de la etapa operativa, con una duración máxima de 06 meses.

La Firma Consultora deberá entregar el Hardware y Software de base de la solución al

segundo mes de iniciada la fase operativa.

Al tercer mes de iniciada la etapa operativa, INDECOPI asignará las oficinas para
realizar las pruebas del sistema. Las pruebas de uso se realizaran con los servidores
de producción definidos para el presente servicio.

La Firma Consultora terminará de implementar el Data Center al cuarto mes de

iniciada la fase Operativa.

7.3 Etapa de Transferencia y Cierre.

Se inicia un (02) meses antes de la finalización de la etapa operativa y tiene una

duración de un (02) meses. En esta etapa la Firma Consultora concluirá las actividades
del plan de trabajo y, al mismo tiempo, procederá al cierre del servicio. Asimismo,
realizará la capacitación y la transferencia a INDECOPI de los productos a entregar.

Duración por Etapa del Servicio

Duración del Servicio

Etapa Mes 1 Mes 2 Mes 3 Mes 4 Mes 5 Mes 6 Mes 7
Pre-Operativa
Operativa
Transferencia y
Cierre

Recursos a utilizar durante la ejecución del servicio

8.1 Suministrados por INDECOPI

INMUEBLE
Ambientes de oficina y mobiliario necesario para que el personal de la Firma Consultora
desarrolle las pruebas del sistema con los accesos a la red y a los sistemas con los que
deba conectarse e interactuar.
SISTEMAS
Estándares de desarrollo de sistemas, bases de datos y de seguridad que INDECOPI
deba proporcionar a la Firma Consultora.

8.2 Suministrados por la Firma Consultora

INMUEBLE
Ambientes de oficina y mobiliario donde se realizará el desarrollo del sistema.

Hardware
Las Computadoras necesarias para el personal destinado al servicio.
Los servidores de producción con la capacidad de almacenamiento de datos suficiente
para la información de los procesos descritos, considerando como mínimo, que
anualmente se registrarán 30 procesos de acreditación.

Software
Para las computadoras que utilizará el personal:
Licencias de antivirus
Licencias de los sistemas operativos y aplicativos utilizados para el desarrollo de
sistemas, diagramación UML, cases, diseño de base de datos y demás que sean necesarios.

Metodologías y Procedimientos

9.1 Metodología de Gestión de Proyectos

La Firma Consultora presentará en su propuesta técnica la metodología de gestión de proyectos

que utilizará para los servicios al cliente que se tercerizan, y que haya sido aplicada en otros
proyectos de igual envergadura.
Si bien es altamente recomendable que dicha metodología esté basada en las mejores prácticas
recomendadas por el Project Management Institute (PMI), la Firma Consultora podrá presentar
una metodología que, siendo diversa, contemple por lo menos los siguientes grupos de
procesos: inicio, planeamiento, ejecución, control y cierre; así como las siguientes áreas:
integración, alcance, tiempo, riesgos, costos, comunicación, personal, calidad y procura. La
Firma Consultora deberá presentar también las herramientas que soportan la metodología.
La Firma Consultora deberá hacer las adaptaciones adicionales al documento entregado con la
propuesta técnica, cuando INDECOPI lo considere necesario para adecuarlo a las necesidades del
servicio. La metodología incluirá las directivas, políticas, procedimientos, formatos e indicadores
que se implementarán durante el servicio. Es necesario que, en cuanto al control de la ejecución
del servicio, se contemplen por lo menos dos indicadores sobre la gestión .
La Firma Consultora presentará el documento con la metodología ajustada y luego el
representante de la Firma Consultora hará una presentación a INDECOPI . La metodología de
gestión del servicio debe ser aprobada por INDECOPI, debiendo ésta ser entregada formalmente
a los comités de gestión del servicio.

9.2 Metodología de Desarrollo de Sistemas

La Firma Consultora deberá presentar en su propuesta técnica la descripción detallada de la

metodología de desarrollo de sistemas basada en una metodología RUP, utilizando notación UML.
Esta metodología deberá ser entregada en el primer comité operativo, para ser revisada y
aprobada por INDECOPI.

La metodología deberá incluir las actividades de diseño, pruebas piloto y pruebas de validación.
 Productos a entregar

Durante la etapa pre-operativa se definirán los criterios mínimos de aceptación de cada

producto a entregar por la Firma Consultora.

10.1 Durante la Etapa Pre-Operativa

En esta etapa la Firma Consultora deberá entregar para revisión o aprobación de

INDECOPI, lo siguiente:
Plan de trabajo que incluya las actividades, responsables, comunicación, riesgos y
toda información que sea necesaria para la preparación del servicio. Este plan deberá
ser presentado en la propuesta técnica y luego será ajustado para ser entregado en
el primer comité de la etapa pre-operativa.
Matriz de productos a entregar y obligaciones del servicio
Metodología de gestión de proyectos (PMBOK)
Acta de recepción de normas y procedimientos que INDECOPI entregará para el
servicio.
Informe de productos a entregar realizados en la etapa pre-operativa

10.2 Durante la Etapa Operativa

En esta etapa la Firma Consultora deberá entregar para revisión o aprobación de

INDECOPI, lo siguiente:

Plan de trabajo actualizado.

Informe de actividades realizadas mensualmente según el plan de trabajo.
Informe de equipos instalados durante la etapa operativa (servidores, hardware
criptográfico)
Documento de análisis del sistema, que incluye los casos de uso.
Documento de diseño de la solución (Ingeniería de detalle), que incluya la
arquitectura tecnológica, de datos, de sistemas y de seguridad.
Manual de usuario
Manual de Instalación y configuración del Sistema
Matriz de productos a entregar y obligaciones actualizada mensualmente.
Actas de aceptación del documento de análisis
Actas de aceptación de pruebas
INDECOPI aceptará la entrega de la solución instalado e implementado en su
Data Center, el hardware y software a través de las siguientes actas:
Actas de entrega e instalación de los servidores de aplicaciones y Base datos.
Acta de entrega e instalación del hardware criptográfico
Actas de entrega de 10 kits personales de firma digital
Actas de instalación de licencias de Base de datos relacional.
Actas de instalación del Certificado Digital SSL en el servidor
Acta de instalación del software de administración y gestión de huellas
digitales
Acta de conformidad de implementación de la solución
Verificación de los objetivos, controles y procedimientos de seguridad
implementados para la solución.

10.3 Durante la Etapa de Transferencia y Cierre.

 En esta etapa la Firma Consultora deberá entregar como mínimo para revisión o
aprobación de INDECOPI lo siguiente:
Fuentes y ejecutable del sistema informático para el soporte a la gestión documental
del proceso de acreditación de Prestadores de Servicios de Certificación Digital y
afines.
Fuentes y ejecutable de la Lista de Confianza de Entidades Acreditadas de acuerdo a la
Norma europea ETSI TS102 231 v.3.1.1 ó superior.
Informe final del servicio conteniendo:
o Descripción de actividades
o Productos a entregar ejecutados
o Indicadores de gestión del servicio
Medio magnético con la documentación de gestión del servicio más relevante
(contrato, addenda, actas de comités y anexos de actas), digitalizada en formato PDF
Medio magnético con la documentación del sistema informático digitalizada en formato
PDF.

Gerencia, Organización y Administración del Servicio

11.1 Objetivo

Establecer la eficiente gestión del servicio, así como la coordinación con INDECOPI y el personal
de la Firma Consultora para cumplir, dentro de los plazos establecidos, con los objetivos del
servicio y con todos los requerimientos previstos en las actividades a contratar.

11.2 Gerencia del Servicio

Para permitir la correcta ejecución de los servicios materia del presente concurso, la Firma
Consultora deberá asignar a un Gerente de Proyecto, el mismo que deberá ser un profesional de
primer nivel que cumpla el perfil requerido, y con una gran vocación de servicio.
Como parte de las actividades que deberá desarrollar el Gerente de Proyecto se pueden
mencionar las siguientes:
 Liderar el Equipo del servicio para alcanzar los objetivos del Servicio
 Gestionar el cumplimiento del Plan del servicio, los planes que lo conforman, las metas,
plazos y cronogramas, establecidos para el servicio.
 Administrar el personal asignado al servicio (selección, evaluación permanente, capacitación,
incentivos, movimientos).
 Mantener actualizada la matriz de productos a entregar, descritos en el numeral
10.PRODUCTOS A ENTREGAR, y Obligaciones del Servicio, según procedimiento definido por
el INDECOPI.
 Velar por el cumplimiento del plan de productos a entregar.
 Coordinar la ejecución del servicio, de manera permanente, con el INDECOPI.
 Participar en las reuniones del Comité de Gerencia y Comité Operativo y presentar los
informes de avance que competan a cada comité.
 Velar por el cumplimiento de la metodología de gestión de proyectos, las metodologías
definidas para la ejecución del servicio.
 Velar por el cumplimiento de los procedimientos definidos por el INDECOPI para el Servicio y
por los que se establezcan durante el mismo.
 Otras que estime el INDECOPI.
 El detalle del perfil requerido para el Gerente de Proyecto se encuentra en el Anexo Nº 07 -
Perfil del personal requerido para el Servicio

11.3 Administración del Servicio

La Firma Consultora deberá indicar en su Propuesta Técnica la manera en que va a administrar y
gestionar el Servicio. Deberá considerar por lo menos los siguientes aspectos:
Plan de Trabajo, que deberá constar de:
o Plan de Gestión de Alcance y Tiempo: que incluirá el WBS (Work Breakdown
Structure conteniendo las fechas de cada producto a entregar del Servicio,
descritos en el numeral 10.PRODUCTOS A ENTREGAR, para cada una de las
fases y etapas del servicio. Dicho Plan deberá incluir también el cronograma
base con las principales actividades programadas para el servicio.
o Plan de Gestión de Riesgos: Que incluirá un Mapa de Riesgos y Matriz de
Administración de Riesgos
Metodología de Gestión de Proyectos.

La Firma Consultora que obtenga la buena pro del Servicio, de ser necesario, ajustará el Plan del
servicio propuesto en los aspectos que el INDECOPI considere que deben ser reforzados, la
versión resultante será considerada como el Plan base del servicio. Este ajuste se realizará
durante la Etapa Pre-Operativa del Servicio. El Plan base del servicio deberá ser validado y
aprobado por el INDECOPI, para lo cual la Firma Consultora deberá presentarlo en el primer
comité operativo durante la etapa Pre-Operativa.

11.4. Comité de Gerencia

Este comité velará por la correcta marcha del servicio, siendo éste la instancia máxima para la
toma de decisiones en la conducción del servicio y se reunirá mensualmente o a solicitud del
INDECOPI. Este comité estará compuesto como mínimo por los siguientes integrantes:
Por el INDECOPI
 Responsable de la Gerencia de Tecnologías de la Información o quien haga sus veces.
 Responsable de la Comisión de Normalización y de Fiscalización de Barreras
Comerciales No Arancelarias (CNB) o quien haga sus veces.
 Coordinador de Proyectos o quien haga sus veces.
 El personal que el INDECOPI estime conveniente.
Por la Firma Consultora
 Gerente de Proyecto y/o Jefe de Proyecto
 Otros que la Firma Consultora considere.

11.5 Comité Operativo

En este comité se tratan todos los temas referentes a la continuidad del servicio y los productos
a entregar, descritos en el numeral 10.PRODUCTOS A ENTREGAR. Este comité se reunirá
semanalmente o a requerimiento del INDECOPI y estará conformado como mínimo por las
siguientes personas:

Por el INDECOPI
 Coordinador por parte de la Comisión de Normalización y de Fiscalización de Barreras
Comerciales No Arancelarias o quien haga sus veces.
 Coordinador de Proyecto o quien haga sus veces.
 El personal que el INDECOPI estime conveniente.
Por la Firma Consultora
 Gerente de Proyecto y/o Jefe de Proyecto
 Ver SP.

Perfil del Personal Clave: Ver hoja de Datos de estas SP.

Duración de la Consultoría y Forma de Pago: Ver Condiciones Especiales del Contrato
indicados en estas SP.

Responsabilidades de INDECOPI

Proporcionar a la Firma Consultora las políticas, procedimientos, modelos, estándares,

lineamientos que se establecerá para el servicio y que pueden variar durante el
transcurso del mismo.
Establecer normas y controles de seguridad para garantizar que la documentación,
información y aplicativos no sufran alteraciones no autorizadas, y evitar que estén
expuestos a personas que no deban acceder a este tipo de información.
Proveer la información necesaria a la Firma Consultora para que ejecute eficientemente
el servicio requerido.
Proveer un usuario funcional experto en la Acreditación de Autoridades de Registro,
Autoridades de Certificación durante la definición de requerimientos, análisis y pruebas,
para que trabaje en conjunto con los analistas de la Firma Consultora.
Proveer un usuario que supervise el desarrollo de los aspectos tecnológicos del servicio.
Entrega en la etapa Pre Operativa a la Firma Consultora, las versiones oficiales de los
siguientes documentos sobre los cuales se realizará el análisis del sistema:

Manual de Organización y Funciones de la AAC.

Reglamento General de Acreditación
Reglamento General de Acreditación de Prestadores de Servicio de Certificación
Digital
Reglamento Específico de Acreditación Entidad de Certificación - EC
Ficha de Solicitud de Acreditación como Entidad de Registro (ER).

Revisión y Aprobación del Plan del servicio.

Cumplimiento de los plazos establecidos y aprobados en el Plan del servicio para las
actividades programadas bajo su responsabilidad o en forma conjunta.
Revisión y Aprobación de Documentos en los plazos definidos por el Plan del servicio.

Responsabilidades de la Firma Consultora

SISTEMAS
Licencias de sistemas operativos para los equipos de la Firma Consultora.
Todo software que instale la Firma Consultora debe ser licenciado.
Entregar la solución: Hardware, Software, Procesos implementados, documentados y en
producción (llave en mano) a satisfacción de INDECOPI.
Cumplir con los plazos de entrega establecidos para la solución.
Cumplir con el plan de calidad del proyecto.

RECURSOS HUMANOS
Proveer del personal idóneo para la ejecución del servicio.

Garantía de los Sistemas

La Firma Consultora ofrecerá una garantía no menor de un (01) año la cual se inicia al
terminar la Etapa Operativa, referida a los productos a entregar del servicio. Esta garantía
permitirá remediar los errores que se reporten del por la Firma Consultora y/o para
completar o corregir documentación en caso haya sido observado. Una vez notificado el
error o falencia por INDECOPI a la Firma Consultora, este tendrá un plazo máximo de un día
hábil para presentar un análisis preliminar de la solución para cualquier complejidad y/o
para actualizar la documentación, según corresponda. De ser necesario mayor tiempo, este
deberá ser solicitado formalmente por el proveedor dentro del plazo establecido y aprobado
por INDECOPI. El error o falencia será comunicado por escrito y dirigida a la oficina en Lima
de la Firma Consultora.

Anexo N°01 – Glosario de Términos y Acrónimos

Certificado Digital SSL : Son certificados para Web que permiten asegurar y autenticar
un servidor Web o de red usando el protocolo Secure Socket Layer (SSL), de manera
que el cliente pueda establecer una sesión segura con el servidor, con el respaldo de la
confianza que entrega la Entidad Certificadora.
Con esto se asegura que la información se mantenga como privada durante en el
tránsito entre su web server y browsers de sus clientes.

AAC: Autoridad Administrativa Competente (CNB del INDECOPI)

Anexo N°02 – Características Técnicas Mínimas del

Hardware y Software
Requisitos de Hardware

1. Servidores: (mínimo 02)

Nº Característica Descripción

1 Procesadores Dual-Core Intel® Xeon® Processor 2.33GHz como

mínimo
2 Memoria RAM 8GB
3 Disco 160GB
4 Puertos Ethernet 2 puertos Gigabit Ethernet
5 Formato Los servidores deberán ser Rackeable estándar o
Formato blade con características técnicas equivalentes.
6 Sistemas Operativos Windows Server 2003 (32-bit y 64-bit), Red Hat
soportados Enterprise Linux (RHEL), SuSE Linux Enterprise Server
(SLES).
7 Garantía, Mantenimiento Integral, tres (03) años on site (mano de obra y
preventivo y correctivo y repuestos), respaldado por el fabricante para todo el
Soporte equipo con atención 24x7. Con tiempo de respuesta de 4
horas.
8 Contingencia Considerar hardware y software para contingencia.
2. Chasis Rackeable (01)

Nº Característica Descripción

1 Factor de Forma Gabinete para servidores , estándar 42U (Incluir todos

los elementos necesarios de seguridad física y accesorios
para su correcta instalación y óptimo funcionamiento de
la solución)
2 Capacidad Acondicionado para albergar los Servidores tipo blade o
rackeables, y otros equipos que formen parte de la
solución ofertada

3. Hardware criptográfico HSM (Hardware Security Module) (02)

Nº Característica Descripción

1 Estándares Homologados por el Common Criteria EAL 4+, y FIPS

2 APIS criptográficas
3 Sistemas Operativos
Soportados
4 Tratamiento
Criptográfico
5 Seguridad Física
Integrada
6 Garantía, Matenieminto
preventivo y correctivo
140-2 de nivel 3.
Estándar PKCS#11 v2.01 que soporte:
• Microsoft CryptoAPI 2.0
• Java JCA/JCE
• Open SSL
• Microsoft Windows 2000
• Windows XP
• Windows Server 2003
• Linux Kernels 2.4, 2.6
Asymmetric Key Encryption and Key Exchange
Symmetric Algorithms
Hashing Algorithms
Message Authentication Codes (MAC)
Random Number Generation
Interruptores para detección de intrusión, sellos a
prueba de ataques físicos y conexiones blindadas para
disminuir la exposición a ataques físicos directos
Mínimo 1 año

4. Dispositivos para la captura de huella digital: (10)

Nº Característica Descripción

1 Lector De alta calidad preferentemente ópticos que permita

trabajar con minucias
8 bits de niveles de gris
Debe permitir trabajar con dedos secos o húmedos
Sin cambios ante rotación
Vínculo desafío-respuesta
2 Conexión USB 2.0
3 Resolución De 500 dpi
Rechazo de imagen latente
4 Compatibilidad Compatible con Windows 2000/XP/Vista/Linux
Nº Característica Descripción

5 SDK El dispositivo debe contar con librerías que permitan el

desarrollo de software en lenguaje Java para el
enrolamiento, autenticación e identificación a partir de la
huella digital y almacenando las huellas digitales en la
base de datos
6 Garantía Por defectos de fábrica 1 año
7 Soporte y Servicio Mínimo1 año
técnico de Mnatnimiento
Preventivo y correctivo
8 Cantidad 10

5. Certificados digitales personales de firma digital: (10)

Nº Característica Descripción

1 Estándar Estándar x.509 v3 para certificados digitales emitidos

por cualquier autoridad.
2 Vigencia del Certificado 1 año desde su emisión.
Digital Renovable: Para los siguientes períodos el costo lo
asume INDECOPI
3 Token 1. Capacidad criptográfica
2. Controlador de bus USB (Universal Standard Bus).
3. Memoria mínima de 32k
4 Software de Firma 1. Deberá utilizar tecnología de validación OCSP
(Online Certificate Status Protocol) y CRL (Certificate
Revocation List).
2. El proceso de verificación de los documentos
firmados debe evaluar la CONFIABILIDAD DEL
CERTIFICADO respectivo de cada firma encontrada
en el documento, de acuerdo a los siguientes
parámetros; Estado de revocación OCSP (Online
Certificate Status Protocol) y/o CRL (Certificate
Revocation List), expiración del certificado y
confiabilidad de la Autoridad Certificadora. Es decir,
se evalúa la validez de la cadena de certificados
propios de las autoridades certificadoras que
respaldan el certificado en mención y cuando sea el
caso el estado de TimeStamp.
5 Cantidad 10 Kits
 Requisitos de Software

6. Licencias de Base de datos

Nº Característica Descripción

1 Motor Base de datos relacional

Multiplataforma,,certificado Commom Criteria
EAL4,
Servicios de autenticación para PKI y,Kerberos.
Encriptacion transparente de datos,
Algoritmos de Encriptación:
AES (128, 192 and 256 bits)
3DES (2 and 3 keys; 168 bits), RC4 (256 bits)
SHA1.
Integración e interoperabilidad al 100% con el
sistema de base de datos y aplicaciones
Existentes en la Institucion.(*)
Servicios de soporte y actualización garantizados
por el fabricante.

2 Mantenimiento Debe incluir por lo menos un año de mantenimiento por

parte del fabricante

(*) El Indecopi tiene estandarizado como producto para su Base de Datos Institucional: ORACLE
Standarad Edition 10G a ser migrado en el futuro a la versión 11 G.

Por políticas de seguridad de Indecopi la información técnica detallada de las aplicaciones que la
solución requiera interoperar se proporcionará al postor ganador en la fase de planificación de la
solución.
7. Licencia para el Servidor de Aplicaciones.
Nº Característica
1 Alta Disponibilidad,
Escalabilidad y
Rendimiento
2 Arquitectura
3 Administración
Descripción
Debe ofrecer capacidades para eliminar los tiempos
de caída de las aplicaciones para operaciones de
despliegues y upgrades.
Tener capacidades de migración de todos los
servicios o servicios designados de manera
automática de una instancia de servidor de
aplicaciones a otra en caso de una falla en el
sistema.
Ofrecer capacidades de pool de conexiones para la
comunicación con clientes, bases de datos,
adaptadores de aplicaciones y fabricas de
mensajes.
Ofrecer capacidades de caching de JSP, EJB y
conexiones JDBC para mejorar el rendimiento y
escalabilidad.
Ofrecer capacidades de pool de conexiones para la
comunicación con clientes, bases de datos,
adaptadores de aplicaciones y fabricas de
mensajes.
Debe tener capacidades de balanceo de carga que
distribuya los requerimientos de los clientes entre
múltiples instancias del servidor, de manera
confiable, hacia las capas web, de componentes de
negocio, mensajería, conexiones de base de datos,
y otros componentes.
Soportar múltiples plataformas de hardware y
sistemas operativos como AIX, HP-UX, Linux,
Solaris, Windows.
Soporte a los siguientes estándares Java: EJB 3.0,
Servlet 2.5, JSP 2.1, JSF 1.2, Javamail
Ofrecer una herramienta de acceso vía línea de
comando interactivo y acceso vía script a toda la
funcionalidad del servidor de aplicaciones,
permitiendo a los desarrolladores y administradores
escribir scripts para cambiar las configuraciones del
servidor, ver información de diagnósticos, desplegar
o modificar aplicaciones, entre otros.
Debe permitir la automatización del despliegue de
aplicaciones y aprovisionamiento de recursos de
hardware virtuales.
Tener una consola de administración web con
asistentes de configuración para tareas complejas.
Debe permitir que el servidor presente opciones de
configuración para manejar situaciones cuando el
servidor no acepta requerimientos o cuando la
capacidad del sistema es alcanzada.
Permitir al administrador cambios de
configuraciones dinámicos sin requerir un reinicio
de los servicios.
Debe ofrecer la capacidad de insertar nuevo código
en las aplicaciones ya desplegadas para poder
analizar problemas durante la ejecución, de una
manera temporal.
8. Certificado Digital SSL para el servidor. (02)

Nº Característica Descripción

1 Cantidad 1 por cada servidor

2 Protocolo Secure Socket Layer (SSL)
3 Vigencia del Certificado 1 año desde su emisión.
Digital Renovable: Para los siguientes períodos el costo lo
asume INDECOPI

9. Software de Virtualización (mínimo para 02 Servidores)

Nº Característica Descripción

1 Sistemas operativos El Software de Virtualización deberá tener soporte en

2 Administración
3 Compatibilidad
4 Alta Disponibilidad
sus Máquinas Virtuales para los siguientes Sistemas
Operativos:
Windows Server 2003 Standard Edition Service
Pack 2
SuSE Linux Enterprise Server
Red Hat Enterprise Linux
El software de virtualización deberá contar con una
consola de administración centralizada
El software de virtualización deberá soportar
Administración centralizada multinodo de todos los
servidores.
El software de virtualización deberá soportar
Administración de máquinas virtuales con jerarquía
para acceso de múltiples usuarios.
El software de virtualización deberá contar con una
consola de administración centralizada con interfase
grafica GUI sobre la plataforma ofertada.
El software de virtualización deberá soportar
Administración basada en la Web.
La administración deberá proveer reportes de carga
de CPU, Memoria y Red
El Software de virtualización deberá tener compatibilidad
completa con el hardware de la solución
El Software de virtualización deberá permitir configurar
Alta Disponibilidad para las máquinas virtuales
Anexo N°03 - Modelo Lógico recomendado para la
Base de Datos
Anexo N°04 – Modelo de Lista de Confianza en el
Browser
 Anexo N°05 – Descripción de Procedimientos de
Acreditación
Se tomará como referencia el Reglamento General de Acreditacion publicado por el Servicio
Nacional de Acreditación del portal institucional del INDECOPI:

http://www.indecopi.gob.pe/ArchivosPortal/estatico/servicios/normalizacion/SNA-acr-01R.pdf

Anexo N°07 – (Anexo 8 de la Guía de Acreditación de

Entidades de Certificación Digital): Reglamento
Específico de Acreditación de Certificación - EC
CAPÍTULO I
DISPOSICIONES GENERALES
Artículo 1°.- Objeto
El presente Reglamento establece los criterios de acreditación de las Entidades de Certificación,
tanto públicas como privadas, de primer nivel -raíz- o de nivel subsiguiente, así como los
derechos y obligaciones que deben de cumplir para poder ser acreditadas por la CNB del
INDECOPI, en su condición de Autoridad Administrativa Competente (AAC) conforme a ley.
En todos los casos en que en el presente reglamento se haga mención a las EC, se entenderán
incluidas en este concepto tanto a la Entidad de Certificación Nacional para el Estado Peruano
(ECERNEP) como a las Entidades de Certificación del Estado Peruano (ECEP).
Asimismo, en todos los casos en que se haga mención al Reglamento, se entenderá referido al
presente instrumento legal. En caso en que se haga mención al Reglamento General, se
entenderá referido al Reglamento General de Acreditación de Prestadores de Servicios de
Certificación Digital.
CAPÍTULO II
DEFINICIONES
Artículo 2°.- Definiciones
Para efectos del presente Reglamento se aplican las definiciones establecidas contenidas en el
Reglamento General de Acreditación de Prestadores de Servicios de Certificación Digital.

CAPÍTULO III
ASPECTOS GENERALES DEL PROCEDIMIENTO DE ACREDITACIÓN COMO EC

Artículo 3°.- Norma aplicable

El procedimiento de acreditación se rige en particular por lo establecido en el presente
Reglamento en concordancia con la normativa contenida en el Reglamento General de
Acreditación de Prestadores de Servicios de Certificación Digital.
En caso de conflicto entre estas dos normas, primará lo establecido en el presente Reglamento.

Artículo 4°.- Tipo de acreditación que se solicita

En el formato de solicitud que se presentará para efectos de la correspondiente acreditación,
deberá especificarse el tipo de acreditación que se solicita, la misma que puede ser:
1a. Acreditación como EC raíz y EC de nivel subsiguiente
2b. Acreditación como EC de nivel subsiguiente
3c. Autorización para la realización de certificación cruzada con otras ECs
4d. Renovación de acreditación
5e. Acreditación por homologación

Artículo 5°.- Acreditación como EC raíz y EC de nivel subsiguiente

La acreditación como EC raíz y EC de nivel subsiguiente se solicita para Entidades que soliciten
funcionar:
1a. como EC raíz: emiten certificados digitales para ECs de nivel subsiguiente; y
2b. como EC de nivel subsiguiente.

Este tipo de acreditación deberá ser solicitada por la ECERNEP (y la ECEP respectiva) para
efectos de su incorporación en la IOFE.

Artículo 6°.- Acreditación como EC de nivel subsiguiente

La acreditación como EC de nivel subsiguiente se solicita para Entidades que emiten certificados
digitales para usuarios finales, personas naturales o jurídicas.
Este tipo de acreditación deberá ser solicitada por las ECEPs para efectos de su incorporación a
la IOFE.

Artículo 7°.- Autorización para la realización de certificación cruzada con otras ECs

La certificación cruzada es un procedimiento a partir del cual una EC acreditada nacional

reconoce la validez de un certificado emitido por otra, previa autorización de la CNB del
INDECOPI, y asume tal certificado como si fuera de propia emisión, bajo su responsabilidad.
La autorización deberá solicitarse para el caso de certificación cruzada entre una EC acreditada
con otra EC, sea esta nacional o extranjera.

Artículo 8°.- Niveles de seguridad

En la solicitud de acreditación como EC se deberá establecer el nivel de seguridad al que se
postula, debiéndose para tales efectos cumplir con los lineamientos y requisitos exigidos en el
documento del APEC1 y las condiciones técnicas particulares para el nivel de seguridad
establecido.

Artículo 9°.- Nivel de seguridad medio

Los certificados de nivel de seguridad medio (M) están concebidos para:
1a. Trámites con el Estado en las transacciones económicas de monto bajo o medio y para el
intercambio de documentos de riesgo bajo o medio.
2b. Información crítica y de seguridad nacional en redes cifradas.
3c. Acceso a información clasificada o información de acceso especial en redes protegidas.
4d. Aplicaciones de valor financiero medio o de comercio electrónico, tales como las planillas,
contratos, compra de vehículos, etc.

Adicionalmente, este nivel de seguridad se aplica a los Prestadores de Servicios de Certificación

Digital – PSC sin certificación; que sólo cuentan con la aprobación de las auditorías
correspondientes para la acreditación o implementación de las normas correspondientes.

Artículo 10°.- Condiciones técnicas nivel de seguridad medio

Para efectos de las especificaciones técnicas se tendrá en consideración el documento del APEC,
con las siguientes precisiones:
1a. Los dispositivos criptográficos físicos –hardware y firmware (sistema operativo)– que
almacenan las claves privadas de la entidad final –usuarios– deben de cumplir con la
certificación FIPS 140-2 Nivel de Seguridad 1 (mínimo) o Common Criteria EAL4.

1La longitud de clave privada mínima debe ser de 1024 bits y el certificado debe ser renovado
como máximo anualmente.
2c. Los certificados a nivel de entidad final –usuarios– deben ser generados de manera individual
y separados para las siguientes funciones: cifrado y firma (no repudio) o autenticación. Las
funciones de firma y autenticación son compatibles y pueden ser realizadas con un mismo
certificado.

Artículo 11°.- Nivel de seguridad medio alto

Los certificados de Nivel de Seguridad Medio Alto (M+) están concebidos para:
1a. Todas las aplicaciones apropiadas para certificados de Nivel de Seguridad Medio (M).
2b. Intercambio de documentos y transacciones monetarias de alto riesgo, y trámites con el
Estado en las transacciones económicas de alto monto y alto riesgo.
3c. Información crítica no clasificada o de seguridad nacional en una red no cifrada.
4d. Acceso a información clasificada o información de acceso especial en redes no protegidas.
5e. Aplicaciones de valor financiero de riesgo y monto medio alto o de comercio electrónico.
Adicionalmente, este nivel de seguridad se aplica a los Prestadores de Servicios de Certificación
Digital – PSC con las siguientes certificaciones:
1- ER: ISO 9001:2000
2- EC: ISO 27001
3- SVA: ISO 9001:2000 o ISO 27001, y SW con ISO 9001:2000 o CMMI nivel 2 (mínimo)

Artículo 12°.- Condiciones técnicas del nivel de seguridad medio alto

Para efectos de las especificaciones técnicas se tendrá en consideración el documento del APEC,
con las siguientes precisiones:
1a. Los dispositivos criptográficos físicos –hardware y firmware (sistema operativo)– que
almacenan las claves privadas de la entidad final –usuarios– deben de cumplir con la
certificación FIPS 140-2 Nivel de Seguridad 2 (mínimo) o Common Criteria EAL4+.
2b. La longitud de clave privada mínima debe ser de 2048 bits y el certificado debe ser renovado
como máximo cada dos (2) años.
3c. Los certificados a nivel de entidad final –usuarios– deben ser generados de manera individual
y separados para las siguientes funciones: cifrado, firma (no repudio) y autenticación.

Artículo 13°.- Renovación de acreditación

La renovación de acreditación se rige por el procedimiento establecido en el Capítulo VII del
presente Reglamento.

Artículo 14°.- Acreditación por homologación

La acreditación por homologación se rige por el procedimiento establecido en el Capítulo VII del
presente Reglamento.

Artículo 15°.- Servicios Adicionales a los de certificación digital

En caso que la EC solicitante decida realizar servicios adicionales inherentes a la certificación
digital, para efectos que los mismos gocen de amparo legal, deberán ser sometidos al
procedimiento de acreditación correspondiente en virtud a los lineamientos establecidos para
tales efectos para los PSC que brinda servicios de valor añadido (SVA) en el entorno de la IOFE.
Asimismo, en el caso que optara por brindar servicios de registro o verificación, deberá
someterse al procedimiento establecido para la obtención de acreditación como ER.
La acreditación como EC no implica de manera automática la acreditación como SVA ni ER, las
mismas que se rigen por sus propios procedimientos de acreditación.

CAPÍTULO IV
SOLICITUD DE ACREDITACIÓN Y DOCUMENTOS SUSTENTATORIOS

Artículo 16°.- Solicitud de acreditación como EC

La solicitud de acreditación será dirigida al Secretario Técnico de la CNB del INDECOPI,
especificando el tipo de acreditación que se solicita y el nivel de seguridad al que se postula.
La solicitud será realizada en base a la Ficha de Solicitud de Acreditación como Entidad de
Certificación (EC).

Artículo 17°.- Los documentos que se deben acompañar a la mencionada Ficha de

Solicitud de Acreditación, son los que se detallan a continuación:
a. Copia simple del documento de identidad del solicitante.
b. Documentos que acrediten la existencia y vigencia de la persona jurídica solicitante.
c. Documentos que acrediten los poderes en virtud a los cuales los representantes legales se
encuentran facultados para solicitar la acreditación.
d. Memoria descriptiva y organigrama estructural y funcional.
e. Documentos que acrediten domicilio en el país.
f. Declaración jurada de contar con infraestructura e instalaciones necesarias, según el nivel de
seguridad solicitado.
g. Políticas de certificación (CP) y Declaración de Prácticas de Certificación (CPS).
h. Política General de Certificación (caso ECERNEP).
i. Documentación relativa al sistema de gestión que permita el mantenimiento de las condiciones
señaladas en el artículo 9º del Reglamento de la Ley de Firmas y Certificados Digitales.
j. Declaración jurada declarando cumplir con tener operativo software, hardware y demás
componentes adecuados para las prácticas de certificación y las condiciones de seguridad
adicionales basadas en estándares internacionales o compatibles a los internacionalmente
vigentes que aseguren interoperabilidad y las condiciones exigidas por la AAC.
k. Declaración jurada de aceptación de las visitas comprobatorias.
l. Documentos que acrediten vinculación con una o más ERs.
m. Informe favorable de la entidad sectorial correspondiente.
n. Documentación que acredite la contratación de seguros o garantías bancarias.
o. Documentación que acredite contar con respaldo económico.
p. Constancia de pago de los derechos administrativos.
q. Documento donde conste el mapeo correspondiente: CP, CPS – APEC, en caso que no se
hayan elaborado siguiendo el esquema establecido en el anexo de Guía de Acreditación de
Entidad de Certificación (EC).

Los documentos que se acompañen deberán encontrarse en idioma español. Si las fuentes
originales provinieran de otro idioma, éstas deberán ser traducidas de manera oficial.
La relación de documentos antes señalada no es taxativa. En tal sentido, la CNB podrá
considerar y solicitar cualquier documentación adicional que sea necesaria a efectos de poder
tomar una decisión informada sobre la acreditación o no del solicitante.
Los documentos deberán estar conforme a lo establecido en la Guía de Acreditación de Entidad
de Certificación – EC versión 3.3 y sus anexos, según corresponda.

Artículo 18°.- Acreditación de la existencia y vigencia de la persona jurídica

La existencia y vigencia de la persona jurídica deberá acreditarse con el documento de vigencia
respectivo expedido por los Registros Públicos o mediante la especificación de la norma legal de
creación de la persona jurídica correspondiente.
En el caso de empresas constituidas en el extranjero, se acreditará su existencia y vigencia
mediante un certificado de vigencia de la sociedad u otro instrumento equivalente expedido por
autoridad competente en su país de origen.
En el caso de las instituciones del Estado, deberán acreditar la existencia de una Oficina,
Gerencia o dependencia interna a la cual se le otorgan funciones como prestador de servicios de
certificación digital.

Artículo 19°.- Acreditación de los poderes de los representantes legales

Para la verificación de las facultades de los representantes legales, se tendrán en cuenta las
reglas siguientes:
1a. En el caso de personas jurídicas constituidas en el país: en el documento que acredite la
representación, deberán constar las facultades conferidas al representante, bastando para tales
efectos la presentación de la copia del poder respectivo.
2b. En el caso de personas jurídicas constituidas en el extranjero: los correspondientes poderes
deberán ser legalizados por un funcionario consular peruano y de encontrarse redactados en
idioma extranjero, será necesario que sean traducidos, debiendo el responsable de la traducción
suscribir el correspondiente documento.
3c. En el caso de instituciones del Estado, deberá acreditarse el nombramiento de la persona
encargada de dirigir la oficina, gerencia o dependencia interna encargada de la certificación
digital. Debiéndose asimismo acreditarse las facultades de este funcionario.

Artículo 20°.- Memoria descriptiva – Organigrama Estructural y Funcional

La memoria descriptiva y el organigrama estructural y funcional deberán ser realizados conforme
al Formato denominado: Memoria Descriptiva y Organigrama Estructural y Funcional – Entidad
de Certificación (EC).

Artículo 21°.- Documentos que acrediten domicilio en el país

La condición de domiciliada de una EC solicitante, se acredita con el comprobante de inscripción
de la persona jurídica en el Registro Único de Contribuyentes (R.U.C.), donde debe constar con
la condición de “habida”.
En su defecto, se podrá acompañar cualquier otra documentación que sirva para acreditar la
condición de domiciliado en el país, la misma que será materia de evaluación por parte de la
CNB.

Artículo 22°.- Políticas de Certificación (CP)

Las Políticas de Certificación es el documento que describe de manera general las políticas y
procedimientos que aplica la Entidad de Certificación para la prestación de sus servicios.

Artículo 23°.- Declaración de Prácticas de Certificación (CPS)

La Declaración de Prácticas de Certificación es el documento en el que constan de manera
detallada las políticas y procedimientos que aplica la Entidad de Certificación para la prestación
de sus servicios.
Las CP y CPS deberán estar elaborados en estricta observancia de los Lineamientos para
Infraestructura de clave pública (PKI) del APEC, según el documento Marco de la Política de
emisión de certificados digitales, así como de la Norma Marco sobre Privacidad.
En el caso de las CP y CPS de las ECEPs deberá dejarse expresa constancia en estos
documentos, del procedimiento de información al usuario respecto a los alcances y restricciones
en el empleo de los certificados digitales que emiten; en el sentido que carecerán del respaldo
de la IOFE si se utilizan para fines distintos al ejercicio de funciones administrativas,
procedimientos administrativos o administración interna del Estado o procedimientos y
coordinaciones entre entidades públicas, de conformidad con lo establecido en inciso b) del
artículo 33° del Reglamento de la Ley de Firmas y Certificados Digitales.

Artículo 24°.- Documentación relativa al sistema de gestión

La documentación relativa a la implementación del sistema de gestión dentro de los alcances de
lo establecido en el artículo 9º del Reglamento de la Ley de Firmas y Certificados Digitales, será
contrastado a través de la información contenida en la CP y CPS de la entidad solicitante.

Artículo 25°.- Software, hardware y demás componentes adecuados para las prácticas
de certificación y las condiciones de seguridad adicionales
En caso que alguno de los elementos relativos al sistema de gestión o software, hardware y
demás componentes sean administrados por un tercero, la entidad solicitante deberá demostrar
su vinculación con aquél asegurando la viabilidad de sus servicios bajo dichas condiciones y la
disponibilidad de estos elementos para evaluación y supervisión que la AAC considere
necesarias.
La vinculación a que se alude en el punto anterior puede ser demostrada a través de un
contrato, acuerdo, convenio de outsourcing u otro tipo de documentación permitida bajo el
ordenamiento peruano.
En este caso, la AAC tiene derecho a precisar los términos bajo los cuales se rigen este tipo de
servicios de certificación digital.

Artículo 26°.- Documentos que acrediten relación con alguna ER acreditada

Esta vinculación deberá ser por un periodo no menor al de la acreditación solicitada.
Este requisito no será necesario en el caso que la EC a su vez realice funciones de ER, en cuyo
supuesto deberá solicitar la acreditación correspondiente como ER. En este caso, su acreditación
como EC quedará condicionada a la obtención de la correspondiente acreditación como ER.

Artículo 27°.- Informe favorable de la entidad sectorial correspondiente

Este requisito será necesario en el caso que la EC solicitante sea una persona jurídica
supervisada.
El informe deberá versar sobre la legalidad y seguridad de la prestación de servicios de
certificación y será emitido por la Entidad Sectorial correspondiente.

Artículo 28°.- Documentación que acredite la contratación de seguros o garantías

bancarias
Este requisito no será exigible para la ECERNEP ni ECEPs. Para el caso de EC particulares, este
requisito será exigible a partir de julio de 2008.
En su oportunidad, la CNB procederá a definir los criterios y condiciones requeridas para
acreditar la contratación de seguros o garantías bancarias.
Para efectos de la presentación de la solicitud de acreditación bastará adjuntar Declaración
Jurada en la cual se señale que en caso se obtenga la acreditación por parte del INDECOPI, se
procederá a la contratación del seguro o garantía bancaria correspondiente.

Artículo 29°.- Documentación que acredite contar con respaldo económico

Este requisito no será exigible para la ECERNEP ni ECEPs.
En el caso de EC particulares, deberán presentar estados financieros (balance general, estado de
ganancias y pérdidas y notas contables), con una antigüedad no mayor a dos meses del cierre
contable del mes anterior a la presentación de la solicitud, acreditando solvencia económica.
Estos estados financieros deberán ser individuales (no consolidados) y encontrarse auditados.
Si una empresa presentara estados financieros con pérdidas acumuladas de ejercicios
anteriores, para acreditar solvencia económica deberá capitalizar dicha pérdida o realizar nuevos
aportes en cuantía que compense el desmedro y mostrar el nuevo capital suscrito y pagado e
inscrito en Registros Públicos.

Artículo 30°.- Constancia de pago de los derechos administrativos

Los derechos administrativos que deben cancelarse para efectos del procedimiento de
acreditación como EC asciende al 100% del valor de la UIT.

Artículo 31°.- Documentación para la realización de evaluación técnica

Para efectos de la documentación que se debe acompañar para efectos de la realización de la
evaluación técnica, deberá tomarse en cuenta lo siguiente:
1a. En el caso que la EC solicitante, pertenezca a Australia, Canadá, China Hong Kong, Singapur
y Estados Unidos, que son los países que participaron en el mapeo efectuado con las provisiones
del IETF RFC 3647 contenidas en los “Lineamientos para el marco de la política de emisión de
certificados que pueden ser usados en comercio electrónico transnacional” del APEC, la
documentación que se deberá acompañar es la siguiente:
1- Documentos que acredite la condición de economía miembro del APEC.
2- Documento en el que conste el mapeo entre la CP y CPS del solicitante y el documento del
APEC.
2b. En el caso que la EC solicitante, pertenezca a un país miembro del APEC que no hubiera
participado en el mapeo a que se alude en el inciso anterior y que no hubiera homologado en su
legislación los lineamientos antes señalados o pertenezca a cualquier otro país, la
documentación a acompañar es la siguiente:
1- CP y CPS elaboradas de acuerdo a la estructura establecida, en el documento “Marco de la
Política de emisión de certificados digitales” (anexo de la Guía de Acreditación de Entidad de
Certificación – EC); o
2- Documento donde conste el mapeo entre la CP y CPS del solicitante y el documento “Marco
de la Política de emisión de certificados digitales”

1c. En el caso de países con los cuales la AAC hubiera celebrado un acuerdo de reconocimiento
mutuo, se deberá acompañar la documentación siguiente:
1- Acreditación otorgada en el país de origen de la solicitante.
2- Hacer referencia a la fecha de celebración del acuerdo de reconocimiento mutuo entre la
institución competente del país de la solicitante y la AAC.
2d. En el caso que se solicite la acreditación como EC de nivel subsiguiente, la documentación a
acompañar es la siguiente:
1- Únicamente se acompañará la Resolución de acreditación de la EC Raíz, siempre y cuando la
gestión de los certificados digitales sea realizada en la misma infraestructura montada para la EC
Raíz acreditada.
2- Deberá encontrarse especificado en la CP y CPS de la solicitante las condiciones de gestión de
certificados digitales conforme a lo establecido en el punto anterior.

Artículo 32°.- Declaraciones juradas

Las declaraciones juradas a que se alude en los incisos f), j) y k) del artículo 16º forman parte
integrante de la Ficha de Solicitud de Acreditación como Entidad de Certificación (EC), por lo que
bastará la suscripción de este documento para que se entiendan efectuadas las mencionadas
Declaraciones Juradas.
Sin perjuicio de lo regulado en el párrafo anterior, la EC solicitante podrá elaborar las
mencionadas Declaraciones Juradas en documentos independientes, los mismos que deberán ser
acompañados a la solicitud de acreditación.

CAPÍTULO V
EVALUACIÓN DOCUMENTARIA Y TÉCNICA
Artículo 33°.- Evaluación documentaria
Dentro del procedimiento de acreditación, la etapa de evaluación documentaría será llevada a
cabo en estricta observancia de lo establecido en el Reglamento General.

Artículo 34°.- Comité Evaluador

En la resolución en la que se declara la procedencia de la solicitud de acreditación se designará
al Comité Evaluador encargo de llevar a cabo la misma.
Entre los miembros del Comité Evaluador y la entidad solicitante –o su raíz- no deberá existir
ningún tipo de vinculación directa o indirecta que pueda comprometer la imparcialidad.
En caso que la EC no se encuentre conforme con la designación de alguno de los miembros del
comité evaluador, podrá efectuar las correspondientes observaciones, debiendo observar las
condiciones y requisitos establecidos para estos efectos por el Reglamento General.

Artículo 35°.- Evaluación técnica

Dentro del procedimiento de acreditación como EC, la evaluación técnica se divide en dos
etapas:
1a. Evaluación de las CP, CPS, la Política y el Plan de Privacidad, la Política de Seguridad y los
requerimientos de Usabilidad
2b. Evaluación de interoperabilidad

El procedimiento de evaluación técnica se rige por los lineamientos establecidos para tales
efectos por el Reglamento General.
En ambas etapas, el Comité evaluador deberá emitir pronunciamiento claro y debidamente
fundamentado.

Artículo 36°.- Evaluación de las CP, CPS, la Política y el Plan de Privacidad, la Política
de Seguridad y los requerimientos de Usabilidad
El objetivo de esta evaluación es examinar la adecuación de las CP y CPS, la Política y el Plan de
Privacidad, la Política de Seguridad y los requerimientos de Usabilidad de la EC solicitante con
los Lineamientos del documento del APEC, la Norma Marco sobre Privacidad y las normas ISO
17799 o ISO 27001, respectivamente.
El procedimiento de evaluación se realizará sobre la base de los documentos acompañados para
tales efectos por la EC solicitante.
De considerarlo necesario, el Comité Evaluador podrá solicitar documentación complementaria o
la realización de una evaluación o auditoría en las instalaciones de la EC.

Artículo 37°.- Evaluación de interoperabilidad

El objetivo de la evaluación de interoperabilidad es establecer el cumplimiento de las condiciones
necesarias para el establecimiento de interoperabilidad entre la EC solicitante mediante el uso de
la TSL –ETSI TS102.231–, como estándar para la creación de la lista segura de proveedores de
servicios de certificación digital.
Para el procedimiento de evaluación de interoperabilidad, se tomará contacto con el personal
designado para tales efectos por la EC solicitante, a fin de realizar las pruebas correspondientes.

Artículo 38°.- TSL de prueba

La TSL de prueba que se genere durante la etapa de evaluación de interoperabilidad deberá ser
alojada en la infraestructura tecnológica de la EC solicitante a efectos de realizar las pruebas
correspondientes,
Esta TSL únicamente tiene carácter de prueba y por ende no podrá ser utilizado por la EC
solicitante para otros fines.
CAPÍTULO VI
DE LA ACREDITACIÓN COMO EC

Artículo 39°.- Alcances de la acreditación

La acreditación como EC implica el ingreso de esta entidad a la IOFE y su inscripción en el
Registro de PSC acreditados, permitiéndole asimismo gozar de los beneficios, presunciones y
efectos legalmente establecidos. Asimismo, una vez acreditada, la EC solicitante ingresará a la
TSL que para tales efectos mantiene la CNB en su condición de AAC.
El procedimiento formal de acreditación como EC se rige por lo establecido en el Reglamento
General.

Artículo 40°.- Requisito para el Ingreso a la IOFE

En caso se obtenga la correspondiente acreditación, la EC deberá cumplir con remitir al
INDECOPI, dentro de un plazo perentorio de veinte (20) días, los documentos que acrediten la
contratación de seguros o garantías bancarias correspondientes.
Este plazo podrá ser ampliado por igual tiempo y por una sola vez, en caso medie solicitud por
escrito de la EC.

Artículo 41°.- Efectos de la acreditación

Una vez obtenida la correspondiente acreditación, la EC se encuentra obligada a prestar sus
servicios en los mismos términos a los contenidos en la CP y CPS que fueran materia de
evaluación por parte de la AAC.
Asimismo, deberá cumplir en todo momento las obligaciones a que se refiere el artículo 12° del
Reglamento de la Ley de Firmas y Certificados Digitales. En el caso de la ECERNEP y las ECEPs,
adicionalmente deberán tomar en consideración las limitaciones a la prestación de sus servicios
a que se refiere el artículo 33° del mencionado Reglamento de la Ley de Firmas y Certificados
Digitales.
CAPÍTULO VII
DEL MANTENIMIENTO, RENOVACIÓN Y HOMOLOGACIÓN DE LA ACREDITACIÓN
Artículo 42°.- Aplicación supletoria del Reglamento General
El mantenimiento, renovación y homologación de la acreditación se rige por lo establecido en el
Reglamento General de Acreditación de Prestadores de Servicios de Certificación Digital.
Anexo N°08 – Anexo 9 de la Guía de Acreditación de
Enidades de Registro: Ficha de Solicitud de
Acreditación como Entidad de Registro o Verificación
(ER)