“Condiciones de Seguridad de la

Información - Proyecto Zeus”

_____________________________________________________________________________________________________________
Banco Exterior C A Banco Universal Gerencia de Seguridad de la Información / Departamento de Cumplimiento de Proyectos.
Información Confidencial.
 1. Control de Versiones 3
2. Objetivo y alcance del documento 4
3. Basamento Legal 5
4. Definiciones y terminologías 5
5. Firma Digital 8
5.2 Proceso de Firma Digital 8
5.3 Autenticación 8
5.4 Comparación 9
6. Seguridad de la Firma Digital 10
6.1. Generación de llaves Publicas y Privadas 10
6.2. Ejemplo de generación de Llave Privada con OpenSSL 10
6.3. Protección de Llaves 11
7. Proceso de entrega de la llave pública por parte del cliente a Banco Exterior, C.A.
Banco Universal. 11
8. Proceso de entrega de Tokens de seguridad para la configuración Api Gateway 12

_____________________________________________________________________________________________________________
Banco Exterior C A Banco Universal Gerencia de Seguridad de la Información / Departamento de Cumplimiento de Proyectos.
Información Confidencial.

2
 1. Control de Versiones

N° Nombre del Nombre del N° de Fecha de Observación

Documento Colaborador Versión Modificación
Laura Mendoza
“Condiciones de Seguridad de la
1 (E64326) 1.0 22/10/2020 Versión Original
Información - Proyecto Zeus”.

Actalizacion de Punto 6.2 Laura Mendoza

2 “Ejemplo de generación de (E64326) 1.1 04/01/2021 Versión Original
Llave Privada con OpenSSL”

_____________________________________________________________________________________________________________
Banco Exterior C A Banco Universal Gerencia de Seguridad de la Información / Departamento de Cumplimiento de Proyectos.
Información Confidencial.

3
 2. OBJETIVO Y ALCANCE DEL DOCUMENTO

El presente documento tiene como finalidad establecer el debido proceso en las

Especificaciones de seguridad, privacidad y responsabilidad del cliente en el uso de
Firma Digital y API Gateway que el banco expondrá a los clientes jurídicos afilados al
servicio Interconex, para cumplir y garantizar la seguridad, privacidad y
responsabilidad del cliente.

Actualmente en Banco Exterior, C.A. Banco universal, pensando en la seguridad de

todos nuestros clientes, continuamente implementa los métodos más avanzados para
el manejo de información, garantizando que nuestra plataforma sea lo más robusta,
dinámica y estable posible, evitando así el menor riesgo de fraude, dado que las
transacciones estarán protegidas en una arquitectura de Firmas digitales basado en el
estándar abierto (RFC-7519) JSON Web Token (JWT) y API Gateway como papel
fundamental de estandarizar la seguridad en las interfaces de los servicios
garantizando la aplicación más moderna de los medios de seguridad.

_____________________________________________________________________________________________________________
Banco Exterior C A Banco Universal Gerencia de Seguridad de la Información / Departamento de Cumplimiento de Proyectos.
Información Confidencial.

4
 3. Basamento Legal

El Banco Exterior, C.A. Banco Universal, siempre en la vanguardia de la tecnológica y alineada

con el ente regulador Superintendencia de las Instituciones del Sector Bancario (SUDEBAN) y en
el cumplimiento de las normas y política de Seguridad de la información, en la responsabilidad
en el manejo de firmas digitales, sujetándonos en los siguientes artículos que detallamos a
continuación:

RESOLUCIÓN N°: 119-10 FECHA: 9 de Marzo de 2010

La Superintendencia de Bancos y Otras Instituciones Financieras

13. NO REPUDIO O IRRENUNCIABILIDAD: Es un servicio de seguridad que permite probar la

participación de las partes en una comunicación. Existirán por tanto dos posibilidades: a. No
repudio en origen: el emisor no puede negar que envió porque el destinatario tiene pruebas del
envío. b. No repudio en destino: el receptor no puede negar que recibió el mensaje porque el
emisor tiene pruebas de la recepción. La posesión de un documento y su firma digital asociada
será prueba efectiva del contenido y del autor del documento.

4. Definiciones y terminologías

A los efectos de esta norma, se establecen las siguientes definiciones y

terminologías:

Algoritmo Transformación matemática que partiendo de

untexto plano lo cambia a datos ilegibles cifrados.

Autenticidad Característica por la que se garantiza la identidad

del usuario que origina un mensaje o transacción,
es decir, conocer con certeza quién envía algo.

Autentificación Proceso utilizado para confirmar la identidad y

autenticidad de una persona o probar la integridad
de información específica.

Autentificación de mensajes Proceso de autentificación que incluye la

identificación de la fuente del mensaje.

_____________________________________________________________________________________________________________
Banco Exterior C A Banco Universal Gerencia de Seguridad de la Información / Departamento de Cumplimiento de Proyectos.
Información Confidencial.

5
 Cifrado Transformación de un mensaje en otro, utilizando
una clave para impedir que el mensaje
transformado pueda ser interpretado por aquellos
que no conocen la clave.

Clave o Llave Valor numérico que participa en un algoritmo para

cifrar información. Una clave también puede verse
como una secuencia de caracteres empleada para
cifrar y/o descifrar un mensaje.

Clave Privada Clave personal que no es conocida por el resto de

los usuarios y que es utilizada para crear firmas
digitales y para descifrar mensajes cifrados con la
correspondiente clave pública.

Clave Pública También se le conoce como cifrado asimétrico. Es

algo que se distribuye de manera pública a ambas
partes. La parte que recibe es la que cuenta con
una clave privada para poder descifrar ese archivo
o documento.

Par de Claves Combinación de las claves de cifrado privada y

pública que proporciona comprobación del origen
de los datos enviados a través de la red.

Confiabilidad Parte que asegura que la información sólo puede

ser vista y utilizada por las partes que están
autorizadas. La comunicación entre partes
confiables se establece una vez que se ha realizado
el proceso de autentificación.
_____________________________________________________________________________________________________________
Banco Exterior C A Banco Universal Gerencia de Seguridad de la Información / Departamento de Cumplimiento de Proyectos.
Información Confidencial.

6
 Criptografía Rama de las matemáticas aplicadas que se ocupa
de transformar mensajes en formas
aparentemente ininteligibles y devolverlas a su
forma original

Disponibilidad Característica técnica y administrativa que

previene contra la denegación no autorizada de
acceso a la información.

Función Hash Funciones matemáticas que realizan un resumen

del documento a firmar, transformando un texto
de longitud variable en uno de longitud fija, son
irreversibles, es decir, que a partir de un bloque
comprimido no se puede obtener el bloque sin
comprimir y son de dominio público. INTEGRIDAD
Garantía de la exactitud de la información

Repudio Negación o intento de negación de haber

participado en una comunicación.

RSA Desarrollado por (Rivest, Shamir, Adleman.

Algoritmo criptográfico de cifrado de clave
asimétrica, utiliza una clave para cifrar y otra para
descifrar.

Firma Digital con Token La Firma Digital con Token consiste en firmar un
documento a través de un dispositivo de hardware

_____________________________________________________________________________________________________________
Banco Exterior C A Banco Universal Gerencia de Seguridad de la Información / Departamento de Cumplimiento de Proyectos.
Información Confidencial.

7
 5. Firma Digital

Es el hash cifrado (resumen, suma de verificación) de un mensaje. Eso significa que

generamos un hash de un mensaje y lo ciframos con una llave privada de acuerdo con
un algoritmo elegido. El mensaje, el hash cifrado, la llave pública correspondiente y el
algoritmo se envían. Esto se clasifica como un mensaje con su firma digital, que se
atribuyen a una un cliente determinado y que cumple las siguientes características:

5.1 La firma digital, garantiza:

• Integridad: el mensaje no ha sido alterado en tránsito

• Autenticidad: el autor del mensaje es realmente quien dice ser
• No repudio: el autor del mensaje no puede negar más tarde que ellos
fueron la fuente.

5.2 Proceso de Firma Digital

El proceso de la firma digital lo podemos detallar a continuación:

• Al momento de firmar, la aplicación calcula el hash del documento.

• Luego utiliza la clave privada para cifrar ese hash (es en ese momento
cuando solicita la contraseña con la que el usuario protegió su clave
privada)
• Finalmente, el hash cifrado se incorpora, junto con otros datos (fecha y
hora de firma, datos del firmante, etc), como anexo del documento,
obteniendo así un documento firmado digitalmente.

5.3 Autenticación
Cualquiera receptor del documento que posea la clave pública puede autenticarlo.
Para ello solo debe:
• Calcular el hash del documento.
• Descifrar el hash contenido en la firma digital.
_____________________________________________________________________________________________________________
Banco Exterior C A Banco Universal Gerencia de Seguridad de la Información / Departamento de Cumplimiento de Proyectos.
Información Confidencial.

8
 5.4 Comparación
Sí los hash coinciden, el receptor puede confirmar dos cosas:
• El contenido del documento no fue alterado luego de la firma.
• La clave privada con que se firmó coincide con la clave pública.

6. Seguridad de la Firma Digital

6.1 . Generación de llaves Publicas y Privadas

• El cliente procederá a generar ambas llaves, privadas y públicas, para cifrar
como para descifrar el mensaje y debe ser implementadas bajo el estándar
JSON Web Token o JWT, bajo un algoritmo de 2048 Bit o 4096 Bit con un SHA
512.
• Se debe aplicar el estándar X.509.
• El formato de generación de las llaves deben ser ASCII o PEM codificado en
Base 64. PEM” (originalmente un acrónimo de “Privacy Enhanced Mail”) es un
formato contenedor muy común para certificados y claves digitales que es
utilizado por Apache y otras plataformas de servidor web. Un archivo PEM para
un certificado X.509 es simplemente un archivo de texto que incluye una
codificación Base64.
• Las llaves al ser generadas debe ser guardas en un archivo con la extensión .txt
y su contenido debe ser de la siguiente manera:

_____________________________________________________________________________________________________________
Banco Exterior C A Banco Universal Gerencia de Seguridad de la Información / Departamento de Cumplimiento de Proyectos.
Información Confidencial.

9
 1 -----BEGIN RSA PRIVATE KEY-----
2
3 Clave privada con los metadatos
4
5 -----END RSA PRIVATE KEY-----

• Si en vez de una clave privada lo que tenemos es una clave pública, las
cabeceras serán distintas

1 -----BEGIN PUBLIC KEY-----

2
3 Clave pública en Base64
4
5 -----END PUBLIC KEY-----

• La extensión de estos ficheros suele ser *.pem.

6.2 Ejemplo de generación de Llave Privada con OpenSSL

A continuación presentamos como ejemplo el siguiente comando para la generación

de una Llave Privada:

openssl req -x509 -nodes -sha512 -days 365 -newkey rsa:2048 -keyout prueba.pem

Al estar en formato PEM podemos ver la clave en cualquier editor de textos. El

algoritmo RSA utilizado para la generación de clave viene informado en la cabecera de
la clave, como se evidencia en el siguiente ejemplo:

_____________________________________________________________________________________________________________
Banco Exterior C A Banco Universal Gerencia de Seguridad de la Información / Departamento de Cumplimiento de Proyectos.
Información Confidencial.

10
 Ejemplo de generación de Llave Publica

Obtenemos la clave pública asociada a nuestra clave privada.

openssl rsa -in prueba.pem -pubout -out key.public.pem

Si editamos la clave pública con un editor de textos, vemos como la cabecera y pie de
la clave tiene un formato distinto. En este caso nos indica que se trata de una clave
pública.

_____________________________________________________________________________________________________________
Banco Exterior C A Banco Universal Gerencia de Seguridad de la Información / Departamento de Cumplimiento de Proyectos.
Información Confidencial.

11
 6.3. Protección de Llaves
• Llave privada, permanece secreta y es conocida únicamente por el (Cliente) a
quien se ha atribuido el par de llaves y que la va a utilizar para cifrar mensajes.
• En el caso de que la llave privada, quede en posesión de terceras personas
obtenida ilícitamente, el cliente es el único responsable.
• El tiempo de caducidad de las llaves, será establecido a discreción del cliente,
en caso de ocurrir un incidente de seguridad donde se comprometan las llaves
debe ser cambiada de inmediato o surjan nuevos requerimientos de
cumplimiento regulatorio.
• La llave pública, puede ser conocida por terceros.

7. Proceso de entrega de la llave pública por parte del cliente a Banco Exterior, C.A.
Banco Universal.

Banco Exterior, C.A. Banco Universal, como entidad financiera, con el liderazgo de la
División de Seguridad de la Información, previamente avalando y autenticando la
identidad del firmante (Cliente), debe cumplir los siguientes pasos:

• El cliente notificará el personal autorizado, para remitir la información

detallando: Nombre, Apellido, Cargo y Correo.
• Seguidamente procederá al resguardo de la llave pública en un archivo TXT.
• El archivo TXT será comprimido con el software 7zip o rar, el cual debe
encriptarse con la aplicación AES Crypt “https://www.aescrypt.com/download/”
con una clave robusta mínima de 16 caracteres.
• Se procederá al envió de un (1) correo a los buzones
seguridadlogica@bancoexterior.com y
arquitecturay.Soporte@bancoexterior.com, con el archivo encriptado con el AES
Crypt.

_____________________________________________________________________________________________________________
Banco Exterior C A Banco Universal Gerencia de Seguridad de la Información / Departamento de Cumplimiento de Proyectos.
Información Confidencial.

12
 • Seguidamente se notificara vía telefónica al personal autorizado, la contraseña
para abrir el archivo encriptado.
• Se procederá a la validación y confirmación por parte de equipo de seguridad,
vía electrónica.

8. Proceso de entrega de Tokens de seguridad para la configuración Api Gateway

La División de Seguridad de la Información, procederá previamente avalando y

autenticando la identidad del firmante (Cliente), en el cumplimiento del proceso de
entrega de Tokens, para el consumo de los servicios API REST, lo cual detallamos a
continuación:

 Se procederá la creación de tres (3) métodos de seguridad por cada cliente, lo

cual detallamos a continuación:
• API KEY
• JWT (JSON Web token)
• OAuth2.0
 En un archivo TXT, se colocara los tokes generados y será comprimido con el
software 7zip o rar. Como se detalla en el siguiente ejemplo:

 Se procederá al envió del archivo por correo al cliente.

 Se procederá a la validación y confirmación por parte de equipo de seguridad,
vía electrónica y telefónica.

_____________________________________________________________________________________________________________
Banco Exterior C A Banco Universal Gerencia de Seguridad de la Información / Departamento de Cumplimiento de Proyectos.
Información Confidencial.

13