Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ANEXO 1:
MARCO DE LA POLÍTICA DE EMISIÓN DE
CERTIFICADOS DIGITALES
- A1.1 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
SECCION DEL
PROVISIÓN DEL MODELO RFC 3647
RFC3647
1.1 Visión general Para ser acreditadas por INDECOPI, las ECs raíces e intermedias deben
establecer sus CPSs, según sea el caso, en conformidad con los
lineamientos establecidos en la presente Guía de Acreditación y sus
anexos.
- A1.2 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
Art. 9° inc. b)
Artículo 9º.- Elementos
La Infraestructura Oficial de Firma Electrónica – IOFE está constituida
por:
b) Las prácticas de certificación, basadas en estándares internacionales
o compatibles a las internacionalmente vigentes, que aseguren la
interoperabilidad y las funciones exigidas, conforme a lo establecido por
la AAC.
1.2 Nombre e Cada organización acreditada bajo el esquema de la IOFE debe emplear
identificación del en su documentación y certificados emitidos un identificador de objeto
documento de conformidad con la norma ISO sobre asignación de valores para el
componente OID.
- A1.3 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
1.3.1 Entidades de Para participar de la IOFE las ECs deben presentar toda la
certificación documentación requerida en la presente guía y sus anexos. Además,
deberá seguir los procedimientos respectivos de acuerdo a la ley
vigente y al Reglamento General de Acreditación Prestadores de
Servicios de Certificación Digital –ver anexo 7– así como el Reglamento
Específico de Acreditación Entidad de Certificación (EC).
Para que una EC pueda ser acreditada debe estar vinculada por lo
menos a una ER acreditada. La CPS de la EC debe ser compatible con la
RPS de dicha ER. Además, deberá presentar el detalle de los convenios
establecidos con la ER y los modelos de los contratos de los
suscriptores.
La IOFE permite que las ECs puedan realizar certificación cruzada; los
procedimientos de interacción entre estas entidades deberán estar
registrados en su CPS o en otro documento relevante.
- A1.4 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
Art. 41°
Artículo 41º.- Acreditación de Entidades de Certificación
Las entidades que soliciten su acreditación y registro ante la AAC,
como Entidades de Certificación, incluyendo las ECEP, deben contar con
los elementos de la IOFE señalados en los incisos b), c) y d) del artículo
9º y someterse al procedimiento de evaluación comprendido en el
artículo 45º del reglamento.
Las comunicaciones entre las ERs y las ECs deben ser llevadas a cabo a
través de mecanismos que permitan una comunicación ininterrumpida
para garantizar la atención oportuna de las solicitudes de emisión de
certificado, así como la actualización de la relación de certificados
emitidos y revocados. Las comunicaciones referidas a la aprobación o
revocación de certificados deben ser llevadas a cabo mediante un
mecanismo que garantice el no repudio.
1
Titulares, suscriptores y terceros que confían.
- A1.5 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
Asimismo, debe registrar una copia de los contratos firmados por los
suscriptores.
Art. 43°
Artículo 43º.- Acreditación de Entidades de Registro o Verificación
Las entidades que soliciten su acreditación y registro ante la AAC,
como Entidades de Registro o Verificación, incluyendo las EREP, deben
contar con procedimientos para la prestación de sus servicios, los
mismos que tendrán que asegurar la verificación presencial de la
identidad del solicitante de un nuevo certificado digital.
Art. 44°
Artículo 44º.- Presentación de la solicitud de acreditación de
Entidades de Registro o Verificación
La solicitud para la acreditación de Entidades de Registro o Verificación
debe presentarse a la AAC, observando lo dispuesto en el artículo
anterior y adjuntando la información y documentos siguientes:
a) Pago por derecho de solicitud de acreditación por un monto
equivalente al 100% de la UIT, vigente.
b) Acreditación de la existencia y vigencia de la persona jurídica
mediante los instrumentos públicos o norma legal respectiva, así como
las facultades del representante. Acreditar domicilio en el país.
c) Acreditar contar con la infraestructura e instalaciones necesarias
para la prestación del servicio y presentar declaración jurada de
aceptación de las visitas comprobatorias de la AAC.
d) Procedimientos detallados que garanticen el cumplimiento de las
funciones establecidas en el Reglamento.
e) Declaración de prácticas de registro o verificación.
f) Declaración jurada del cumplimiento de los requisitos señalados en los
artículos 16º y 17º del Reglamento.
- A1.6 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
Art. 26°
Artículo 26º.- Especificaciones adicionales para ser titular
Para ser titular de un certificado digital adicionalmente se deberá
cumplir con entregar la información solicitada por la Entidad de
Registro o Verificación, de acuerdo a lo estipulado por la Entidad de
Certificación correspondiente, asumiendo responsabilidad por la
veracidad y exactitud de la información proporcionada, sin perjuicio de la
respectiva comprobación. Para el caso de personas jurídicas, la solicitud
del certificado digital del cual ésta será titular y el registro o verificación
de su identidad deben ser realizados a través de un representante
debidamente acreditado. Conjuntamente con la solicitud debe indicarse
el representante, persona natural, al cual se le asignará la facultad de
generar y usar la clave privada, señalando para tal efecto las
atribuciones y los poderes de representación correspondientes. Dicha
persona natural será el titular de las firmas digitales. Tratándose de
certificados digitales solicitados por personas jurídicas para su
utilización a través de agentes automatizados, la titularidad del
certificado y de las firmas digitales generadas a partir de dicho certificado
corresponderá a la persona jurídica. La atribución de responsabilidad,
para tales efectos, corresponde al representante legal, que en nombre de
la persona jurídica solicita el certificado digital.
Art. 27°
Artículo 27º.- Procedimiento para ser titular
… En el caso de una persona jurídica, la solicitud deberá ser
presentada por la persona facultada para tal fin, debiendo acreditar la
existencia y vigencia de la persona jurídica mediante los instrumentos
públicos o norma legal respectiva, así como las facultades del
representante. Asimismo, deberá presentar toda la información
requerida por la declaración de prácticas de la entidad correspondiente.
- A1.7 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
1.4 Uso del certificado Se debe especificar en la CPS de la EC o en otro documento relevante
los tipos de certificados que serán emitidos y el tipo de aplicación que
se les dará, debiendo existir compatibilidad con las siguientes
clasificasiones:
Por el titular:
• Certificados de Persona Natural, caracterizados por el hecho de que
el poseedor de la clave privada es una persona física, que actúa a
nombre propio y representación (siendo en este caso el suscriptor
y titular del certificado la misma persona).
2
En este caso el suscriptor no debe tener acceso a la clave privada de firma, sino sólo la máquina quien será el
titular del certificado.
- A1.8 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
Por el uso:
• Certificados de firma, son utilizados en transacciones que requieren
la firma digital del suscriptor del certificado.
1.4.1 Uso apropiado Las ECs deben establecer en su CPS u otro documento relevante, los
del certificado tipos de certificados que emiten así como las limitaciones técnicas y
normativas en de su uso, de conformidad con la RFC 3647. En
particular, debe establecerse un uso apropiado de los mismos para las
transacciones de comercio y gobierno electrónico.
1.4.2 Uso prohibido del INDECOPI prohíbe el uso del certificado digital de cualquier modo que
certificado contravenga la legislación de la materia, la presente Guía de
Acreditación o sus anexos.
- A1.9 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
1.5 Administración de
políticas
1.5.1 Organización que Los detalles de contacto respecto a ECs acreditadas por INDECOPI
administra los deben ser registrados en la CPS de dichas entidades, de conformidad
documentos de con la RFC 3647. Se debe incluir el nombre y la dirección de envío de la
CPS o CP organización que es responsable del diseño, registro, mantenimiento, y
actualización de las CPS y CP.
1.5.3 Persona que INDECOPI publicará los detalles de contacto, como el nombre o el
determina la título, la dirección del correo electrónico (o alias), el número de
conformidad de la teléfono, el número de fax, y otra información generalizada de la
CPS con las persona, responsable de determinar la operatividad de la CPS según el
políticas esquema de la IOFE, de conformidad con el RFC 3647.
1.6 Definiciones y La CP, CPS y otra documentación de los PSCs acreditados, deben listar
acrónimos la definición de los términos y acrónimos utilizados. La sección 2 del
RFC 3647 provee varias definiciones. No obstante, de no encontrarse
incluidos en el RFC 3647, estos lineamientos sugieren añadir las
siguientes secciones a la CPS:
10 Bibliografía
11 Acrónimos y abreviaciones
12 Glosario
- A1.10 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
2. PUBLICACION Y Repositorio
RESPONSABILIDADES
DEL REPOSITORIO La EC y el Proveedor del servicio de Repositorio deberán asegurarse de
que los terceros que confían tengan conocimiento de sus
responsabilidades y de las limitaciones de las mismas con anterioridad
a la utilización del Repositorio. El servicio de Repositorio debe incluir la
Lista de Certificados Revocados de la EC completa.
Publicación
- A1.11 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
- A1.12 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
2.3 Tiempo o Las modificaciones relativas a las CPS u otra documentación de los
frecuencia de la PSCs, deben ser publicadas tan pronto como razonablemente sea
publicación posible, debiendo tener cuidado de cumplir con los requisitos que
fueren necesarios para la aprobación de dichas modificaciones.
Toda modificación relativa a la CPS de las ECs debe ser aprobada por
INDECOPI antes de su publicación.
- A1.13 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
Una CRL o una Delta-CRL debe ser publicada por lo menos una vez
dentro de un periodo de 24 horas. Esta provisión no se aplica a ECs que
sólo emiten certificados a ECs subordinados o de certificación cruzada.
2.4 Controles de El acceso a los repositorios debe de ser restringido únicamente para el
acceso a los uso de los titulares y suscriptores legítimos, así como a los terceros que
repositorios confían, teniendo en cuenta los temas de privacidad que pudieran
existir. Esta provisión puede no aplicar para aquellas ECs cuyos
certificados han sido diseñados para un uso totalmente abierto, y cuyos
titulares y suscriptores han sido advertidos respecto al hecho de que no
se aplicarán restricciones de acceso a los repositorios en los que sus
certificados se encuentran.
- A1.14 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
3.1 Nombre
3.1.1 Tipos de nombres Se requiere el uso de nombres únicos, los cuales deben ser
establecidos conforme a lo definido en la familia de estándares X.501.
- A1.15 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
3.1.2 Necesidad que Se debe establecer en la CPS u otro documento relevante de la EC, las
los nombres tengan modalidades y los significados de los diferentes tipos de nombres que
un significado serán asignados a los certificados.
3.1.5 Singularidad de Los nombres de los suscriptores deben ser únicos para cada servicio de
los nombres generación de certificados operado por una EC. Por lo tanto, no se
puede reasignar un nombre a un suscriptor que ya hubiera sido
asignado a otro diferente. Para evitar conflictos de nombres en
certificados correspondientes a personas físicas la identificación del
titular debe estar formada por su nombre y apellidos, más su
documento oficial de identidad. En certificados en que aparezcan datos
de personas jurídicas, esta identificación se debe realizar por medio de
su denominación o razón social y su RUC. Además del nombre y
apellidos del suscriptor, más su documento oficial de identidad. De otro
modo, la EC debe utilizar un mecanismo que le permita evitar el
conflicto entre nombres.
- A1.16 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
autenticación y rol incluyan nombres en las solicitudes que puedan suponer infracción de
de las marcas derechos de terceros.
registradas
En el caso de personas jurídicas, no se podrá volver a asignar un
nombre de titular que ya haya sido asignado a un titular diferente.
3.2.1 Método para La EC debe requerir del suscriptor una demostración de la posesión de
probar la posesión las claves generadas. Esto se puede realizar a través de la firma
de la clave privada electrónica de un mensaje o datos que sean verificables con dicha clave
pública. No será necesario realizar este paso en los casos en que la
- A1.17 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
clave sea provista al suscriptor por un medio seguro que permita que
únicamente dicha persona tenga acceso y conocimiento sobre la
recepción de la referida clave. Cuando el par de claves sea generado en
las instalaciones de la ER, no es el solicitante quien debe demostrar la
posesión de la clave privada, sino la ER, la cual debe hacerlo en virtud
del procedimiento fiable de emisión, de entrega y de aceptación del
dispositivo seguro, del correspondiente certificado y el par de claves
Art. 26°
Artículo 26º.- Especificaciones adicionales para ser titular
Para ser titular de un certificado digital adicionalmente se deberá
cumplir con entregar la información solicitada por la Entidad de
Registro o Verificación, de acuerdo a lo estipulado por la Entidad de
Certificación correspondiente, asumiendo responsabilidad por la
veracidad y exactitud de la información proporcionada, sin perjuicio de la
respectiva comprobación. Para el caso de personas jurídicas, la solicitud
del certificado digital del cual ésta será titular y el registro o verificación
de su identidad deben ser realizados a través de un representante
debidamente acreditado. Conjuntamente con la solicitud debe indicarse
el representante, persona natural, al cual se le asignará la facultad de
generar y usar la clave privada, señalando para tal efecto las
atribuciones y los poderes de representación correspondientes. Dicha
persona natural será el titular de las firmas digitales. Tratándose de
certificados digitales solicitados por personas jurídicas para su
utilización a través de agentes automatizados, la titularidad del
certificado y de las firmas digitales generadas a partir de dicho certificado
corresponderá a la persona jurídica. La atribución de responsabilidad,
para tales efectos, corresponde al representante legal, que en nombre de
la persona jurídica solicita el certificado digital.
Art. 27°
Artículo 27º.- Procedimiento para ser titular
… En el caso de una persona jurídica, la solicitud deberá ser
presentada por la persona facultada para tal fin, debiendo acreditar la
existencia y vigencia de la persona jurídica mediante los instrumentos
- A1.18 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
Art. 25°
Artículo 25º.- Requisitos
Para la obtención de un certificado digital, el solicitante deberá acreditar
lo siguiente:
a) Tratándose de personas naturales, tener plena capacidad de ejercicio
de sus derechos civiles.
b) Tratándose de personas jurídicas, acreditar la existencia de la misma
y su vigencia mediante los instrumentos públicos o norma legal
respectiva.
Art. 26°
Artículo 26º.- Especificaciones adicionales para ser titular
Para ser titular de un certificado digital adicionalmente se deberá
cumplir con entregar la información solicitada por la Entidad de
Registro o Verificación, de acuerdo a lo estipulado por la Entidad de
Certificación correspondiente, asumiendo responsabilidad por la
veracidad y exactitud de la información proporcionada, sin perjuicio de la
respectiva comprobación. En el caso de personas naturales, la solicitud
del certificado digital y el registro o verificación de su identidad son
estrictamente personales. La persona natural solicitante se constituirá
en titular del certificado digital y de las firmas digitales que se generen...
Art. 27°
Artículo 27º.- Procedimiento para ser titular
Para el caso de personas naturales, éstas deberán presentar una solicitud
a la Entidad de Registro o Verificación, según sea el caso; dicha solicitud
deberá estar acompañada de toda la información requerida por la
declaración de prácticas de certificación o en los procedimientos
declarados. La Entidad de Registro o Verificación deberá comprobar la
identidad del solicitante a través de su documento oficial de identidad. La
Entidad de Certificación cumplirá lo dispuesto en el presente artículo, en
el supuesto previsto en el segundo párrafo del artículo 12º de la Ley.
3.2.4 Información no
La EC debe hacer referencia en sus CPS los procedimientos descritos
verificada del
en la RPS de la ER.
suscriptor
3.2.5 Validación de la La EC debe hacer referencia en sus CPS los procedimientos descritos en
autoridad la RPS de la ER.
- A1.19 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
Art. 26°
Artículo 26º.- Especificaciones adicionales para ser titular
…Para el caso de personas jurídicas, la solicitud del certificado digital
del cual ésta será titular y el registro o verificación de su identidad
deben ser realizados a través de un representante debidamente
acreditado. Conjuntamente con la solicitud debe indicarse el
representante, persona natural, al cual se le asignará la facultad de
generar y usar la clave privada, señalando para tal efecto las
atribuciones y los poderes de representación correspondientes. Dicha
persona natural será el titular de las firmas digitales. Tratándose de
certificados digitales solicitados por personas jurídicas para su
utilización a través de agentes automatizados, la titularidad del
certificado y de las firmas digitales generadas a partir de dicho certificado
corresponderá a la persona jurídica. La atribución de responsabilidad,
para tales efectos, corresponde al representante legal, que en nombre de
la persona jurídica solicita el certificado digital.
3.2.6 Criterios para la INDECOPI reconocerá a todas aquellas infraestructuras y ECs cuya CPS
interoperabilidad esté conforme con las Guías y Reglamentos de Acreditación emitidos
por ella, para que puedan interoperar con la IOFE (reconocimiento
cruzado).
Art. 53°
Artículo 53º.- Acuerdos de reconocimiento mutuo
La AAC podrá suscribir acuerdos de reconocimiento mutuo con
entidades similares, a fin de reconocer la validez de los certificados
digitales otorgados en el extranjero y extender la interoperabilidad de la
IOFE. Los acuerdos de reconocimiento mutuo deben garantizar en
forma equivalente las funciones exigidas por la Ley y su Reglamento.
Art. 54°
Artículo 54º.- Reconocimiento
La AAC podrá reconocer los certificados digitales emitidos por Entidades
Extranjeras, de acuerdo con las prácticas y políticas que para tal efecto
apruebe, las que deben velar por el cumplimiento de las obligaciones y
responsabilidades establecidas en el Reglamento u otra norma
posterior. Asimismo, podrá autorizar la operación de aquellas
Entidades de Certificación nacionales que utilicen los servicios de
Entidades de Certificación extranjera, de verificarse tal supuesto, las
entidades nacionales asumirán las responsabilidades del caso. Para tal
efecto, la entidad extranjera deberá comunicar a la AAC el nombre de
aquellas entidades de certificación que autorizarán las solicitudes de
emisión de certificados digitales así como la gestión de los mismos. La
AAC emitirá las normas que aseguren el cumplimiento de lo establecido
en el presente artículo; así como los mecanismos adecuados de
información a los agentes del mercado.
Art. 55°
Artículo 55º.- Certificación cruzada
Las Entidades de Certificación acreditadas pueden realizar certificaciones
cruzadas con Entidades de Certificación Extranjeras a fin de reconocer
- A1.20 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
3.3 Identificación y
autenticación para
La EC debe hacer referencia en sus CPS los procedimientos descritos
solicitudes de re-
en la RPS de la ER.
emisión de
certificado3
3.3.1 Identificación y
autenticación para
La EC debe hacer referencia en sus CPS los procedimientos descritos en
solicitudes de re-
la RPS de la ER.
emisión de
certificado rutinaria
3.3.2 Identificación y
autenticación para
La EC debe hacer referencia en sus CPS los procedimientos descritos en
la re-emisión de
la RPS de la ER.
certificado luego de
la revocación
3
Antes que un certificado en vigor expire, , si es que se desea seguir utilizándolo sin interrupción alguna, es
decir, que obtenga un nuevo certificado a partir de una re-emisión de certificado, manteniendo la información
contenida en el certificado anterior, para continuar utilizándolo sin interrupción alguna.
- A1.21 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
Art. 31°
Artículo 31º.- Cancelación del certificado a solicitud de su titular
La solicitud de cancelación de un certificado digital puede ser realizada
por su titular o a través de un representante debidamente acreditado;
pudiendo realizarse mediante documento electrónico firmado
digitalmente, de acuerdo con los procedimientos definidos en cada
caso por las Entidades de Certificación.
El titular del certificado está obligado, bajo responsabilidad, a solicitar la
cancelación al tomar conocimiento de la ocurrencia de alguna de las
siguientes circunstancias:
a) Por exposición, puesta en peligro o uso indebido de la clave privada.
- A1.22 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
Art. 32°
Artículo 32º.- Cancelación por revocación
La revocación supone la cancelación de oficio de los certificados por
parte de la Entidad de Certificación, quien debe contar con
procedimientos detallados en su declaración de prácticas de
certificación.
La revocación también puede ser solicitada por un tercero que informe
fehacientemente de alguno de los supuestos de revocación contenidos
en los numerales 1) y 2) del artículo 10º de la Ley.
4. REQUISITOS Las ECs deben elaborar una descripción didáctica de los pasos
OPERACIONALES requeridos para cada uno de los procesos implicados en el ciclo de vida
DEL CICLO DE de un certificado digital, tanto para una persona natural, jurídica y sus
VIDA DE LOS variaciones (conforme a su CPS). Debe realizarse una descripción por
CERTIFICADOS cada tipo de usuario definido por la EC conforme al documento
“Requerimientos de Usabilidad” –ver anexo 12-. Los documentos que
contengan dichas descripciones deben ser referenciados en esta
sección.
Art. 29°
Artículo 29º.- Contenido y vigencia
…El período de vigencia de los certificados digitales comienza y finaliza
en las fechas indicadas en él, salvo en los supuestos de cancelación
conforme al artículo 9º de la Ley. Los certificados digitales tendrán una
validez máxima de tres (3) años.
4.1 Solicitud del La EC debe establecer en su CPS u otro documento relevante los
certificado procedimientos para solicitar certificados, los mismos que deberán
estar en estricta observancia de la legislación en la materia, así como
los lineamientos establecidos por INDECOPI en las Guías de
Acreditación y documentos anexos, haciendo referencia en los campos
de autenticación de la identidad de los solicitantes a las secciones
competentes de la RPS de la ER.
Art. 25°
Artículo 25º.- Requisitos
Para la obtención de un certificado digital, el solicitante deberá acreditar
lo siguiente:
a) Tratándose de personas naturales, tener plena capacidad de ejercicio
de sus derechos civiles.
- A1.23 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
Art. 26°
Artículo 26º.- Especificaciones adicionales para ser titular
Para ser titular de un certificado digital adicionalmente se deberá
cumplir con entregar la información solicitada por la Entidad de
Registro o Verificación, de acuerdo a lo estipulado por la Entidad de
Certificación correspondiente, asumiendo responsabilidad por la
veracidad y exactitud de la información proporcionada, sin perjuicio de la
respectiva comprobación. En el caso de personas naturales, la solicitud
del certificado digital y el registro o verificación de su identidad son
estrictamente personales. La persona natural solicitante se constituirá
en titular del certificado digital y de las firmas digitales que se generen.
Para el caso de personas jurídicas, la solicitud del certificado digital del
cual ésta será titular y el registro o verificación de su identidad deben
ser realizados a través de un representante debidamente acreditado.
Conjuntamente con la solicitud debe indicarse el representante, persona
natural, al cual se le asignará la facultad de generar y usar la clave
privada, señalando para tal efecto las atribuciones y los poderes de
representación correspondientes. Dicha persona natural será el titular
de las firmas digitales. Tratándose de certificados digitales solicitados
por personas jurídicas para su utilización a través de agentes
automatizados, la titularidad del certificado y de las firmas digitales
generadas a partir de dicho certificado corresponderá a la persona
jurídica. La atribución de responsabilidad, para tales efectos,
corresponde al representante legal, que en nombre de la persona
jurídica solicita el certificado digital.
Art. 27°
Artículo 27º.- Procedimiento para ser titular
Para el caso de personas naturales, éstas deberán presentar una solicitud
a la Entidad de Registro o Verificación, según sea el caso; dicha solicitud
deberá estar acompañada de toda la información requerida por la
declaración de prácticas de certificación o en los procedimientos
declarados. La Entidad de Registro o Verificación deberá comprobar la
identidad del solicitante a través de su documento oficial de identidad. La
Entidad de Certificación cumplirá lo dispuesto en el presente artículo, en
el supuesto previsto en el segundo párrafo del artículo 12º de la Ley.
En el caso de una persona jurídica, la solicitud deberá ser presentada
por la persona facultada para tal fin, debiendo acreditar la existencia y
vigencia de la persona jurídica mediante los instrumentos públicos o
norma legal respectiva, así como las facultades del representante.
Asimismo, deberá presentar toda la información requerida por la
declaración de prácticas de la entidad correspondiente.
4.1.1 Habilitados para La solicitud en el caso de personas naturales debe ser hecha por la
presentar la misma persona que pretende ser titular del certificado o por un
solicitud de un representante que cuente con facultades expresas para tales efectos
certificado otorgadas mediante poder. En este caso, el titular del certificado será el
poderdante y corresponderá al apoderado la condición de suscriptor. El
ámbito de utilización del certificado digital en este supuesto, se
encontrará circunscrito y limitado a las facultades expresamente
conferidas en el poder.
- A1.24 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
4.1.2 Proceso de Las ECs deben establecer en su CPS el proceso necesario para realizar
solicitud y la solicitud de los certificados y las responsabilidades asumidas por el
responsabilidades suscriptor para tales efectos. La CPS debe hacer referencia las
secciones de la RPS correspondientes a la verificación de la identidad
del solicitante.
Art. 22°
Artículo 22º.- Del titular de la firma digital
Dentro de la IOFE, la responsabilidad sobre los efectos jurídicos
generados por la utilización de una firma digital corresponde al titular
del certificado. Tratándose de personas naturales, éstas son titulares del
certificado digital y de las firmas digitales que se generen a partir de
aquél, incluyendo las firmas digitales que se generen a través de
agentes automatizados.
- A1.25 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
Art. 28°
Artículo 28º.- Obligaciones del titular
a) Actualizar permanentemente la información provista tanto a la
Entidad de Certificación como a la Entidad de Registro o Verificación,
asumiendo responsabilidad por la veracidad y exactitud de ésta.
b) Solicitar de inmediato la cancelación de su certificado digital en
caso de que la reserva sobre la clave privada se haya visto
comprometida, bajo responsabilidad.
Art. 25°
Artículo 25º.- Requisitos
Para la obtención de un certificado digital, el solicitante deberá acreditar
lo siguiente:
Art. 26°
Artículo 26º.- Especificaciones adicionales para ser titular
Para ser titular de un certificado digital adicionalmente se deberá
cumplir con entregar la información solicitada por la Entidad de
Registro o Verificación, de acuerdo a lo estipulado por la Entidad de
Certificación correspondiente, asumiendo responsabilidad por la
veracidad y exactitud de la información proporcionada, sin perjuicio de la
respectiva comprobación. En el caso de personas naturales, la solicitud
del certificado digital y el registro o verificación de su identidad son
estrictamente personales. La persona natural solicitante se constituirá
en titular del certificado digital y de las firmas digitales que se generen.
Para el caso de personas jurídicas, la solicitud del certificado digital del
cual ésta será titular y el registro o verificación de su identidad deben
ser realizados a través de un representante debidamente acreditado.
Conjuntamente con la solicitud debe indicarse el representante, persona
natural, al cual se le asignará la facultad de generar y usar la clave
privada, señalando para tal efecto las atribuciones y los poderes de
representación correspondientes. Dicha persona natural será el titular
de las firmas digitales. Tratándose de certificados digitales solicitados
por personas jurídicas para su utilización a través de agentes
automatizados, la titularidad del certificado y de las firmas digitales
generadas a partir de dicho certificado corresponderá a la persona
jurídica. La atribución de responsabilidad, para tales efectos,
corresponde al representante legal, que en nombre de la persona
jurídica solicita el certificado digital.
Art. 27°
Artículo 27º.- Procedimiento para ser titular
Para el caso de personas naturales, éstas deberán presentar una solicitud
a la Entidad de Registro o Verificación, según sea el caso; dicha solicitud
deberá estar acompañada de toda la información requerida por la
declaración de prácticas de certificación o en los procedimientos
declarados. La Entidad de Registro o Verificación deberá comprobar la
identidad del solicitante a través de su documento oficial de identidad. La
Entidad de Certificación cumplirá lo dispuesto en el presente artículo, en
- A1.26 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
4.2 Procesamiento de
la solicitud de un
certificado
4.2.2 Aprobación o La solicitud debe ser rechazada si el solicitante no está capacitado para
rechazo de la participar de la comunidad de usuarios de la IOFE, sea el caso de una
solicitud de emisión persona natural o jurídica o si el resultado de la validación realizada por
de un certificado la ER fue negativo.
En caso que una solicitud sea aprobada por la ER, dicha entidad debe
realizar lo siguiente:
- A1.27 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
4
Puede entregarse un documento adicional al contrato, que puede considerarse como parte de él.
- A1.28 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
4.2.3 Tiempo para el Una vez validada la información proporcionada por el suscriptor, si el
procesamiento de resultado de la validación es positivo, la ER debe enviar a la EC la
la solicitud de un autorización de la emisión del certificado de manera inmediata.
certificado
La EC debe establecer en su CPS u otra documentación relevante el
tiempo necesario para el procesamiento de solicitudes, este tiempo no
debe ser mayor a 5 días útiles a partir de la entrevista presencial del
solicitante en la ER, considerando el intercambio de información
necesario entre la EC y la ER.
4.3 Generación de
claves y emisión
del certificado
4.3.1 Acciones de la EC La EC emitirá un certificado digital siempre que reciba una solicitud de
durante la emisión una ER acreditada en un tiempo determinado por la EC. La solicitud
del certificado deberá estar autorizada y validada. La emisión del certificado implica la
realización de las siguientes acciones:
- A1.29 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
4.4.2 Publicación del Los certificados pueden ser almacenados en un Repositorio acreditado
certificado por por INDECOPI, con previo conocimiento de los suscriptores y titulares
parte de la EC de los certificados, habiendo sido estipulado en el contrato del
- A1.30 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
suscriptor.
- A1.31 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
Art. 55°
Artículo 55º.- Certificación cruzada
- A1.32 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
4.5.1 Uso de la clave La EC debe requerir del suscriptor y titular, como mínimo, lo siguiente:
privada y
certificado por • Emplear el certificado de acuerdo con lo establecido en la CPS
parte del suscriptor de la EC u otro documento relevante y en el contrato del
suscriptor.
- A1.33 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
Art. 22°
Artículo 22º.- Del titular de la firma digital
Dentro de la IOFE, la responsabilidad sobre los efectos jurídicos
generados por la utilización de una firma digital corresponde al titular
del certificado.
Tratándose de personas naturales, éstas son titulares del certificado
digital y de las firmas digitales que se generen a partir de aquél,
incluyendo las firmas digitales que se generen a través de agentes
automatizados.
En el caso de personas jurídicas, son éstas los titulares del certificado
digital, y sus representantes son los titulares de la firma digital, con
excepción de las firmas digitales que se generen a través de agentes
automatizados, situación en la cual las personas jurídicas son titulares
del certificado y de las firmas digitales generadas a partir de éstos.
4.5.2 Uso de la clave La IOFE permite al tercero que confía el acceso a los certificados
pública y el publicados en el Repositorio de acuerdo al consentimiento de los
certificado por el suscriptores y titulares de los mismos.
tercero que confía
La EC debe requerir del tercero que confía, como mínimo lo siguiente:
- A1.34 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
4.6 Renovación del Por medidas de seguridad, según CWA 14167-1, esto no es aplicable en
certificado el marco de la IOFE.
4.6.1 Circunstancias
para la re-
certificación de los
certificados Por medidas de seguridad, según CWA 14167-1, esto no es aplicable en
(renovación de el marco de la IOFE.
certificados con el
mismo par de
claves)
4.6.2 Personas
habilitadas para Por medidas de seguridad, según CWA 14167-1, esto no es aplicable en
solicitar la el marco de la IOFE.
renovación
4.6.3 Procesamiento de
la solicitud de Por medidas de seguridad, según CWA 14167-1, esto no es aplicable en
renovación de el marco de la IOFE.
certificado
4.6.4 Notificación al
suscriptor respecto Por medidas de seguridad, según CWA 14167-1, esto no es aplicable en
a la emisión de un el marco de la IOFE.
nuevo certificado
4.6.5 Conducta
constitutiva de
Por medidas de seguridad, según CWA 14167-1, esto no es aplicable en
aceptación de
el marco de la IOFE.
renovación de
certificado
- A1.35 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
4.6.6 Publicación de la
renovación por Por medidas de seguridad, según CWA 14167-1, esto no es aplicable en
parte de la EC de el marco de la IOFE.
un certificado
4.6.7 Notificación de la
EC a otras
Por medidas de seguridad, según CWA 14167-1, esto no es aplicable en
entidades respecto
el marco de la IOFE.
a la renovación del
certificado
4.7.1 Circunstancias La IOFE permite el proceso de re-emisión de certificados. Las ECs que
para la re-emisión deseen ejecutar este proceso deben establecer la habilitación de este
de un certificado proceso en su CPS. La re-emisión consiste en generar un nuevo par de
claves y un nuevo certificado correspondiente a una nueva clave
pública pero manteniendo la mayor parte de la información del
suscriptor contenida en el certificado a expirar, de acuerdo con lo
establecido en este documento. Este nuevo certificado deberá ser
actualizado en el Directorio de certificados emitidos del Repositorio
para ser accesible a los terceros que confían y otras infraestructuras
que reconozcan a la IOFE.
En el caso que las claves del titular hayan sido revocadas, deberá
seguirse el proceso de identificación inicial ante la ER descrito en la
sección 3.2 de la RPS.
- A1.36 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
4.7.3 Procesamiento de
las solicitudes para La EC aceptará las solicitudes de re-emisión de certificados aprobadas
re-emisión de por la ER.
certificados
4.7.6 Publicación por Los nuevos certificados deben ser almacenados en un repositorio
parte de la EC del acreditado, permitiendo a los terceros que confían acceder a la
certificado re- información sobre el estado de validez de dichos certificados. Los
emitido procedimientos para la publicación deben ser establecidos en las CPS
de la EC.
- A1.37 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
4.7.7 Notificación por La EC puede notificar a otras entidades la re- emisión de un certificado,
parte de la EC a a través de una notificación directa o una publicación del mismo en un
otras entidades repositorio accesible a la otra entidad.
respecto a la re-
emisión de Una EC acreditada puede publicar su nuevo certificado, adicionalmente
certificados a cualquier publicación o difusión que sobre el particular pudiera
realizar.
Art. 55°
Artículo 55º.- Certificación cruzada
Las Entidades de Certificación acreditadas pueden realizar certificaciones
cruzadas con Entidades de Certificación Extranjeras a fin de reconocer
los certificados digitales que éstas emitan en el extranjero,
incorporándolos como suyos dentro de la IOFE, siempre y cuando
obtengan autorización previa de la AAC.
- A1.38 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
- A1.39 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
Art. 28°
Artículo 28º.- Obligaciones del titular
a) Actualizar permanentemente la información provista tanto a la
Entidad de Certificación como a la Entidad de Registro o Verificación,
asumiendo responsabilidad por la veracidad y exactitud de ésta.
b) Solicitar de inmediato la cancelación de su certificado digital en
caso de que la reserva sobre la clave privada se haya visto
comprometida, bajo responsabilidad.
c) Observar permanentemente las condiciones establecidas por la
Entidad de Certificación para la utilización del certificado.
- A1.40 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
4.8.6 Publicación por Los nuevos certificados deben ser almacenados en un repositorio
parte de la EC del acreditado, permitiendo a los terceros que confían acceder a la
certificado información sobre el estado de validez de dichos certificados. Los
modificado procedimientos para la publicación deben ser establecidos en las CPS
de la EC.
- A1.41 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
4.8.7 Notificación por Una EC puede notificar a otras entidades la emisión de un certificado
parte de la EC a modificado, a través de una notificación directa o mediante la
otras entidades publicación del mismo en un repositorio accesible a la otra entidad.
respecto a la
emisión de En los casos en que la ER se encargue del procesamiento de las
certificados solicitudes de modificación en representación de la EC, la EC debe ser
modificados notificada respecto a la emisión y aceptación de ese certificado
modificado.
4.9 Revocación y
suspensión del
certificado
4.9.1 Circunstancias Las ERs deben especificar en su RPS, las circunstancias en las que los
para la revocación suscriptores, titulares o terceros pueden solicitar la revocación de un
certificado. Como mínimo, el titular y el suscriptor del certificado están
obligados, bajo responsabilidad, a solicitar la revocación al tomar
conocimiento de la ocurrencia de alguna de las siguientes
circunstancias
- A1.42 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
Art. 30°
Artículo 30º.- Causales de cancelación
La cancelación del certificado puede darse:
a) A solicitud del titular del certificado digital o del titular de la firma
digital sin previa justificación, siendo necesario para tal efecto la
aceptación y autorización de la Entidad de Certificación o la Entidad de
Registro o Verificación, según sea el caso, la misma que deberá ser
aceptada y autorizada como máximo dentro del plazo establecido por la
AAC. Si en el plazo indicado la entidad no se pronuncia, se entenderá
que el certificado ha sido cancelado, sin perjuicio del tercero de buena
fe.
b) Por revocación efectuada por la Entidad de Certificación, con
expresión de causa.
c) Por expiración del plazo de vigencia.
d) Por el cese de operaciones de la Entidad de Certificación que lo
emitió.
e) Por resolución administrativa o judicial que lo ordene.
f) Por interdicción civil judicialmente declarada, declaración de ausencia
o de muerte presunta, del titular del certificado.
g) Por extinción de la personería jurídica o declaración judicial de
quiebra.
h) Otras causales que establezca la AAC.
i) Por muerte, o por inhabilitación o incapacidad declarada
judicialmente de la persona natural titular del certificado.
Art. 31°
Artículo 31º.- Cancelación del certificado a solicitud de su titular
La solicitud de cancelación de un certificado digital puede ser realizada
por su titular o a través de un representante debidamente acreditado;
pudiendo realizarse mediante documento electrónico firmado
digitalmente, de acuerdo con los procedimientos definidos en cada
caso por las Entidades de Certificación.
El titular del certificado está obligado, bajo responsabilidad, a solicitar la
cancelación al tomar conocimiento de la ocurrencia de alguna de las
siguientes circunstancias:
a) Por exposición, puesta en peligro o uso indebido de la clave privada.
b) Por deterioro, alteración o cualquier otro hecho u acto que afecte la
clave privada.
Art. 32°
Artículo 32º.- Cancelación por revocación
La revocación supone la cancelación de oficio de los certificados por
parte de la Entidad de Certificación, quien debe contar con
procedimientos detallados en su declaración de prácticas de
certificación.
La revocación también puede ser solicitada por un tercero que informe
fehacientemente de alguno de los supuestos de revocación contenidos
en los numerales 1) y 2) del artículo 10º de la Ley.
La revocación debe indicar el momento desde el cual se aplica,
precisando la fecha, hora, minuto y segundo del mismo. La revocación
no puede ser aplicada retroactivamente y debe ser notificada al titular
del certificado digital. La Entidad de Certificación debe inmediatamente
- A1.43 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
Art. 50°
Artículo 50º.- Cancelación de la Acreditación
La cancelación de la acreditación de las Entidades de Certificación o de
las Entidades de Registro o Verificación procede:
4.9.2 Personas De acuerdo a lo estipulado por la Ley, el tipo de personas que pueden
habilitadas para solicitar la revocación de un certificado:
solicitar la
revocación • El titular o suscriptor del certificado.
Art. 30°
Artículo 30º.- Causales de cancelación
La cancelación del certificado puede darse:
a) A solicitud del titular del certificado digital o del titular de la firma
digital sin previa justificación, siendo necesario para tal efecto la
aceptación y autorización de la Entidad de Certificación o la Entidad de
Registro o Verificación, según sea el caso, la misma que deberá ser
aceptada y autorizada como máximo dentro del plazo establecido por la
AAC. Si en el plazo indicado la entidad no se pronuncia, se entenderá
que el certificado ha sido cancelado, sin perjuicio del tercero de buena
fe.
- A1.44 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
Art. 32°
Artículo 32º.- Cancelación por revocación
La revocación supone la cancelación de oficio de los certificados por
parte de la Entidad de Certificación, quien debe contar con
procedimientos detallados en su declaración de prácticas de
certificación.
La revocación también puede ser solicitada por un tercero que informe
fehacientemente de alguno de los supuestos de revocación contenidos
en los numerales 1) y 2) del artículo 10º de la Ley.
Art. 31°
Artículo 31º.- Cancelación del certificado a solicitud de su titular
La solicitud de cancelación de un certificado digital puede ser realizada
- A1.45 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
Art. 32°
Artículo 32º.- Cancelación por revocación
…La revocación debe indicar el momento desde el cual se aplica,
precisando la fecha, hora, minuto y segundo del mismo. La revocación
no puede ser aplicada retroactivamente y debe ser notificada al titular
del certificado digital. La Entidad de Certificación debe inmediatamente
incluir la revocación del certificado digital en la relación que corresponda.
4.9.5 Tiempo dentro La solicitud de revocación debe ser procesada dentro de las 24 horas
del cual una EC siguientes a la realización de la solicitud en la ER o en la EC, o en caso
debe procesar la de existir, a la expiración del periodo de gracia de la misma.
solicitud de
revocación NOTA: En el caso de ECs que sólo emiten certificados para ECs
subordinadas, o de reconocimiento cruzado o certificación cruzada; los
procedimientos de seguridad, la separación off-line natural y física del
repositorio, puede requerir de un periodo mayor. En dichos casos la
CRL debe ser publicada tan pronto como sea posible.
- A1.46 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
4.9.6 Requerimientos Los potenciales terceros que confían deben conocer sus obligaciones
para la verificación para establecer la validez de un certificado al momento de la
de la revocación de realización de una transacción, y de las consecuencias de eventuales
certificados por los omisiones.
terceros que
confían Las ECs deben notificar a los terceros que confían sobre la revocación
de un certificado, esta notificación puede efectuarse a través de la
publicación de un documento accesible para todos los terceros que
confían.
- A1.47 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
4.9.8 Máxima latencia La latencia máxima entre la generación de los CRLs y su publicación en
para CRLs el repositorio no debe ser mayor a una hora desde la generación de la
CRL. Pueden establecerse Delta CRL y Puntos de Distribución CRL.
Nota:
• Cuando una EC acreditada revoca su clave pública, tal situación
debe ser notificada a través de la emisión inmediata de una
CRL o la actualización de la información sobre su estado. La
notificación debe incluir a todas las demás infraestructuras que
reconocen los certificados emitidos por la IOFE. Para una EC
acreditada bajo el esquema de la IOFE, la notificación estará
firmada por INDECOPI. Luego de la revocación, se debe
generar un nuevo par de claves, el cual debe ser notificado a
INDECOPI y a los terceros que confían.
- A1.48 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
4.9.10 Requisitos para La EC debe asegurar que los potenciales terceros que confían sean
la verificación en conscientes de sus obligaciones para establecer la validez de un
línea de la certificado al momento de la realización de una transacción y las
revocación consecuencias de eventuales omisiones. La notificación puede
efectuarse a través de la publicación de un documento accesible para el
tercero que confía.
4.9.11 Otras formas Cuando la publicación de una revocación pueda reducir el daño
disponibles de potencial a los terceros que confían, INDECOPI permite que una EC o
publicar la un suscriptor afectado puedan emplear diferentes formas para realizar
revocación dicha publicación.
- A1.49 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
obligaciones:
f) Publicar permanente e ininterrumpidamente por medios telemáticos la
relación de los certificados digitales emitidos y cancelados.
4.9.12 Requisitos Las ECs deberán notificar en un lapso de 24 horas como máximo a
especiales para el INDECOPI respecto a incidencias que produzcan el compromiso de sus
caso de claves o su imposibilidad de uso.
compromiso de la
clave privada En caso que la clave privada de una EC se vea comprometida, dicha
entidad debe cancelar de inmediato los certificados emitidos de acuerdo
a la legislación vigente, comunicando dicha acción a todos los
suscriptores, titulares y terceros que confían.
4.9.14 Personas
habilitadas para Sólo los titulares de certificados emitidos a personas jurídicas pueden
solicitar la solicitar la suspensión de los certificados de sus suscriptores.
suspensión
- A1.50 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
4.10 Servicios de Las ECs acreditadas deben mantener una copia de la lista de entidades
estado de acreditadas (TSL) que le será proporcionada por INDECOPI según el
certificado procedimiento remitido al Estándar ETSI TS102 231.
4.10.1 Características INDECOPI generará la lista TSL la cual especificará las características
operacionales operacionales de los certificados de las EC acreditadas que pudieran
estar establecidas.
4.10.2 Disponibilidad En los casos en los que exista información sobre el estado del
del servicio certificado, ésta deberá estar disponible con la misma confiabilidad que
brinda una CRL o el directorio que reemplaza o con el cual opera de
manera conjunta.
4.10.3 Rasgos Se reconoce el servicio OCSP (Online Certificate Status Protocol) como
operacionales adicional al CRL y que puede ser empleado por las ECs acreditadas
previa declaración de su empleo y características operacionales.
- A1.51 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
4.12 Depósito y
recuperación de
claves
- A1.52 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
4.12.2 Políticas y Las claves de sesión son usadas sólo para el cifrado y generalmente se
prácticas para la encuentra fuera del propósito de estos lineamientos.
encapsulación de
claves de sesión Se encuentra fuera de los términos de estos lineamientos el hecho de
que un suscriptor realice una encapsulación de la clave de sesión para
las transacciones de los titulares representados por dicho suscriptor. No
obstante, sí le serán aplicables a este suscriptor, todas las obligaciones
referidas a la protección de las claves privadas que pudieran ser
utilizadas en la encapsulación.
REFERENCIAS
- A1.53 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
5.1.1 Ubicación y La ubicación y diseño del local debe prevenir el daño por desastres
construcción del naturales, como inundación, terremoto, incendios; así como desastres
local creados por el hombre, como incendios, explosiones, disturbios civiles y
otras formas de desastre.
REFERENCIAS
5.1.2 Acceso físico Se deben proteger las áreas sensibles mediante controles de acceso
apropiados para garantizar que sólo se permita el acceso al personal
autorizado.
- A1.54 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
Art. 38°
Artículo 38º.- De las Entidades de Certificación para el Estado
Peruano (ECEP)
f) Se ofrecerá un grado de seguridad adecuado en relación a los
equipos informáticos y de comunicación empleados, al personal
empleado para operar la ECEP, a los responsables de operar las
claves de la ECEP y a los procedimientos utilizados para la
autenticación de los datos a ser incluidos en los certificados
digitales.
REFERENCIAS
REFERENCIAS
5.1.4 Exposición al Las instalaciones deben estar protegidas contra exposiciones al agua.
agua
REFERENCIAS
5.1.5 Prevención y Las instalaciones deben poseer medidas adecuadas para la prevención
protección contra y protección contra el fuego.
fuego
REFERENCIAS
- A1.55 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
5.1.6 Archivo de Los archivos tanto electrónicos como de papel y el material en general,
material debe estar protegido contra accesos no autorizados y destrucción tanto
deliberada como accidental, incluyendo destrucción por fuego,
temperatura, agua, humedad y magnetismo.
Art. 9°
Artículo 9º.- Elementos
La Infraestructura Oficial de Firma Electrónica – IOFE está constituida
por:
d) Sistema de gestión que permita el mantenimiento de las
condiciones señaladas en los literales anteriores, así como la
seguridad, confidencialidad, transparencia y no discriminación en la
prestación de sus servicios.
REFERENCIAS
Anexo 4 Evaluación de riesgos.
5.1.7 Gestión de Se debe adoptar una política de gestión de residuos que permita la
residuos destrucción de cualquier tipo de material (físico o papel) que pudiera
contener información, garantizando la imposibilidad de recuperación de
esta información.
REFERENCIAS
5.1.8 Copia de Los PSCs deben disponer de copias de respaldo o de seguridad externa
seguridad externa de toda la información sensible y de aquella considerada como
necesaria para la persistencia de su actividad y la continuidad del
negocio.
REFERENCIAS
- A1.56 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
5.2 Controles
procesales
5.2.1 Roles de Se deben definir los roles de confianza en las operaciones que se
confianza realizan en el interior del esquema de las ECs.
La descripción de los roles debe incluir las labores que pueden como las
que no pueden ser realizadas en el ejercicio de tales roles, las mismas
que deben ser puestas de manifiesto a las personas que ejercen dichas
funciones. Se debe obtener constancia por escrito del conocimiento de
las mismas.
REFERENCIAS
5.2.2 Número de Se debe identificar las labores que requieren de más de una persona
personas para su realización.
requeridas por
labor La generación de la lista TSL requiere a más de una persona.
REFERENCIAS
5.2.3 Identificación y Deben emplearse controles de acceso tanto físicos como lógicos para
autenticación para verificar la identidad y autorización antes de permitir el acceso para
cada rol cada rol.
REFERENCIAS
- A1.57 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
5.2.4 Roles que Se deben definir los roles que requieren separación de funciones para
requieren funciones la operación de la IOFE y de los PSCs acreditados.
por separado
Las personas que se encargan de la implementación de una función, no
deben asimismo tener el rol de realización de la auditoría de
conformidad, o evaluación o revisión de dicha implementación.
También pueden ser identificadas otras áreas en las cuales el rol del
personal pueda presentar conflicto. La EC debe especificar en sus CPS,
la separación los roles que puedan presentar conflicto.
REFERENCIAS
REFERENCIAS
5.3.1 Cualidades y Las ECs deben establecer en su CP, CPS u otra documentación
requisitos, relevante las cualidades, experiencias y certificados que debe poseer su
experiencia y personal y contratistas.
certificados
REFERENCIAS
- A1.58 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
REFERENCIAS
5.3.3 Requisitos de Todos los empleados de la organización (y cuando sea relevante los
capacitación contratistas y terceros), deben recibir las capacitaciones apropiadas y
actualizaciones regulares de las políticas y procedimientos
organizacionales, conforme sean relevantes para su función laboral.
REFERENCIAS
5.3.4 Frecuencia y Como mínimo las re-capacitaciones deben ser llevadas a cabo cuando
requisitos de las existan cambios significativos en los elementos tratados en la
re-capacitaciones capacitación inicial y cada vez que se sustituya o rote al personal
encargado.
REFERENCIAS
REFERENCIAS
5.3.6 Sanciones por Debe existir un proceso disciplinario formal para los empleados que han
acciones no cometido una violación en la seguridad. Como mínimo, en el caso de
- A1.59 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
autorizadas una acción real o potencial no autorizada y que haya sido realizada por
una persona que desempeña un rol de confianza, dicha persona debe
ser inmediatamente suspendida de todo rol de confianza que pudiera
desempeñar.
REFERENCIAS
REFERENCIAS
REFERENCIAS
5.4 Procedimiento de
registro de
auditorías
- A1.60 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
5.4.1 Tipos de eventos Las ECs deben mantener un registro de auditoría de los eventos que
registrados puedan impactar en la seguridad de sus operaciones.
• Cambios en el personal.
5.4.2 Frecuencia del Los registros de auditoría deben ser procesados y revisados una vez al
procesamiento del mes como mínimo con el fin de buscar actividades sospechosas o no
registro habituales.
REFERENCIAS
- A1.61 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
5.4.3 Periodo de Como mínimo el registro de auditorías debe conservarse por un periodo
conservación del de diez (10) años, el cual es el periodo máximo requerido por la
registro de jurisdicción con la cual la IOFE mantiene un acuerdo de reconocimiento
auditorías cruzado.
REFERENCIAS
5.4.4 Protección del Los archivos donde se almacene la información relevante para las
registro de auditorías deben estar protegidos por listas de control de acceso que
auditoría permitan solamente a los administradores de la EC tener acceso a esa
información tanto para lectura, como para escritura.
REFERENCIAS
5.4.5 Procedimiento de Como mínimo debe realizarse de manera mensual una copia de
copia de seguridad seguridad del registro de auditorías, la cual debe archivarse fuera de
del registro de sus instalaciones.
auditorías..
Debe tomarse en consideración la posibilidad de generar copias de
seguridad automatizadas para el caso de eventos auditables
significativos.
REFERENCIAS
5.4.6 Sistema de Las auditorías internas de las ECs deben llevarse a cabo una vez cada
realización de seis (6) meses.
auditoría (Interna
vs Externa) Las auditorías externas deben llevarse a cabo una vez al año (auditoría
periódica).
REFERENCIAS
- A1.62 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
Externos.
Anexo 5 Sección 15.3 Consideraciones Sobre la Auditoría de
Sistemas.
REFERENCIAS
REFERENCIAS
5.5 Archivo de
registros
- A1.63 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
5.5.1 Tipos de eventos Se debe requerir el archivo de todo tipo de información necesaria para
registrados establecer la validez de un certificado por el periodo que los archivos
deben ser mantenidos en conformidad con la legislación de las
jurisdicciones, y con las que se pueda mantener acuerdos de
reconocimiento cruzado.
Art. 53°
Artículo 53º.- Acuerdos de reconocimiento mutuo
La AAC podrá suscribir acuerdos de reconocimiento mutuo con
entidades similares, a fin de reconocer la validez de los certificados
digitales otorgados en el extranjero y extender la interoperabilidad de la
IOFE. Los acuerdos de reconocimiento mutuo deben garantizar en
forma equivalente las funciones exigidas por la Ley y su Reglamento.
Art. 54°
Artículo 54º.- Reconocimiento
La AAC podrá reconocer los certificados digitales emitidos por Entidades
Extranjeras, de acuerdo con las prácticas y políticas que para tal efecto
apruebe, las que deben velar por el cumplimiento de las obligaciones y
responsabilidades establecidas en el Reglamento u otra norma
posterior. Asimismo, podrá autorizar la operación de aquellas Entidades
de Certificación nacionales que utilicen los servicios de Entidades de
Certificación extranjera, de verificarse tal supuesto, las entidades
nacionales asumirán las responsabilidades del caso.
Para tal efecto, la entidad extranjera deberá comunicar a la AAC el
nombre de aquellas entidades de certificación que autorizarán las
solicitudes de emisión de certificados digitales así como la gestión de los
mismos.
La AAC emitirá las normas que aseguren el cumplimiento de lo
establecido en el presente artículo; así como los mecanismos adecuados
de información a los agentes del mercado.
Art. 55°
Artículo 55º.- Certificación cruzada
- A1.64 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
REFERENCIAS
5.5.2 Periodo de Como mínimo, los archivos deben ser mantenidos por un periodo de
conservación del diez (10) años, el cual es el periodo máximo requerido por la legislación
archivo vigente.
REFERENCIAS
REFERENCIAS
- A1.65 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
REFERENCIAS
5.5.5 Requisitos para Los datos archivados deben consignar la fecha y hora, y la firma digital
los archivos de de la organización que genera dichos datos según la RFC 3161 (Time
sellado de tiempo Stamping), o pueden ser protegidos de cualquier otra forma que pueda
demostrar que los datos corresponden a la organización que los ha
generado.
REFERENCIAS
5.5.6 Sistema de Se requiere que por lo menos se mantengan dos copias de seguridad,
recolección del una de las cuales debe ser almacenada fuera de las instalaciones del
archivo mismo.
(Interna o Externa)
REFERENCIAS
- A1.66 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
5.6 Cambio de clave Sólo se permiten los cambios de clave de las ECs raíces o intermedias
(no certificados de atributos), en el caso que las claves empleadas para
firmar un certificado válidamente emitido por la EC sean retenidas
hasta la fecha de expiración de dichos certificados.
5.7 Recuperación Los PSCs deben establecer un plan de contingencias que permita el
frente al restablecimiento y mantenimiento de la continuidad del negocio y la
compromiso y recuperación frente a desastres. Este plan debe contemplar las
desastre acciones a realizar, los recursos a utilizar y el personal a emplear en el
caso de producirse un acontecimiento intencionado o accidental que
inutilice o degrade los recursos y los servicios de certificación.
Dicho plan debe asegurar que los aspectos básicos del negocio, tales
como servicios de validación o revocación, puedan ser reasumidos
dentro de un plazo máximo de 24 horas, el cual constituye el plazo
máximo para la emisión de las listas de revocación de certificados. Los
planes deben ser evaluados por lo menos una vez durante el periodo de
cada auditoría o evaluación de compatibilidad y los resultados deben
ser puestos a disposición de los auditores de compatibilidad o asesores,
conjuntamente con la información respecto a las acciones correctivas
que pudieran ser necesarias.
NOTA: Para las ECs, incluyendo la ECs que sólo emiten certificados a
ECs subordinadas, de reconocimiento cruzado o certificación cruzada,
los procedimientos de seguridad y aquellos no realizados en línea
pueden requerir periodos mayores. En estos casos los servicios de
revocación y reemisión de certificados deben ser realizados tan pronto
como sea posible.
REFERENCIAS
- A1.67 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
REFERENCIAS
REFERENCIAS
- A1.68 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
REFERENCIAS
REFERENCIAS
Anexo 4 Planificación de contingencias.
Anexo 4 Respuesta a Incidentes.
Anexo 5 Sección 14 Gestión de continuidad del Negocio.
5.8 Finalización de la Se requiere información por parte de los ECs respecto a operaciones de
EC o ER finalización (disolución) o transferencia de su titularidad. La EC debe
informar al INDECOPI, a los suscriptores, titulares y terceros que
confían sobre el cese de sus operaciones con por lo menos treinta (30)
días calendario de anticipación.
- A1.69 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
Art. 14°
Artículo 14º.- Del cese de operaciones
La Entidad de Certificación cesa sus operaciones en el marco de la IOFE,
en los siguientes casos:
a) Por decisión unilateral comunicada a la AAC, asumiendo la
responsabilidad del caso por dicha decisión.
b) Por extinción de su personería jurídica.
6. CONTROLES DE Los tipos de controles que deben implementarse deben ser compatibles
SEGURIDAD TÉCNICA con alguna de las siguientes normas:
- A1.70 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
Art. 9°
Artículo 9º.- Elementos
La Infraestructura Oficial de Firma Electrónica – IOFE está constituida
por:
b) Las prácticas de certificación, basadas en estándares internacionales
o compatibles a las internacionalmente vigentes, que aseguren la
interoperabilidad y las funciones exigidas, conforme a lo establecido por
la AAC.
Art. 10°
Artículo 10º.- Estándares aplicables
La AAC determinará los estándares compatibles aplicando el principio
de neutralidad tecnológica.
6.1 Generación e
instalación del par
de claves
6.1.1 Generación del Las ECs acreditadas deben establecer en su CP, CPS u otra
par de claves documentación relevante, los procedimientos para la generación de sus
claves, y las de los suscriptores.
La generación de claves tanto para uso de los PSCs como para uso de
los usuarios finales, debe ser realizada utilizando procedimientos de
generación de claves compatibles o equivalentes al estándar FIPS 140-
2 Sección 4.7.2 o Common Criteria EAL4+ como mínimo.
Las claves pueden ser generadas por los propios suscriptores o por las
ERs.
6.1.2 Entrega al En el caso que una EC o ER genere las claves a nombre del suscriptor,
suscriptor de la deben implementarse controles que aseguren la confidencialidad de la
clave privada clave privada asociada.
- A1.71 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
6.1.3 Entrega de la Cuando un suscriptor genera su propio par de claves o par de claves
clave pública para del titular, las claves públicas correspondientes deben ser entregadas al
el emisor de un emisor del certificado de manera tal que se asegure la autenticidad de
certificado dicho suscriptor.
6.1.4 Entrega de la Las claves públicas de ECs acreditadas serán consignadas en la lista
clave pública de la TSL.
EC al tercero que
confía DECRETO SUPREMO N° 004-2007-PCM
Artículo 38º
Artículo 38º.- De las Entidades de Certificación para el Estado
Peruano (ECEP)
a) Deberán ofrecer un servicio de directorio y permitir que las
aplicaciones accedan a los certificados digitales emitidos y a la Lista de
Certificados Digitales Revocados (LCR). Este servicio se debe encontrar
actualizado con la frecuencia indicada en las Políticas de Certificación
de cada tipo de certificado. Junto al Servicio de Directorio se puede
disponer del servicio de consulta en línea del estado de un certificado
digital.
b) Una ECEP podrá ofrecer distintos servicios y mecanismos para
recibir un requerimiento de certificado digital para otorgar el mismo a
su titular. La recepción de solicitudes de revocación y la publicación
periódica de la Lista de Certificados Digitales Revocados (LCR) son
servicios que debe ofrecer en forma obligatoria. Asimismo, deberá
garantizar el acceso permanente a dichos servicios, proponiendo una
solución para una eventual contingencia.
Todo par de claves generado para los suscriptores o titulares, debe ser
como mínimo de 2048 bits RSA o DSA.
Nota:
Las evaluaciones de vulnerabilidad actuales5, indican que el tamaño de
claves de los bits RSA y DSA 1024 o el bit de curva elíptica 160, no
deben de ser usados más allá del año 2010 y el tamaño de clave de los
bits RSA y DSA 2048 o el bit de curva elíptica no deben ser usados más
allá del año 2030.
Se permitirá el uso de la emisión de certificados empleando el
algoritmo SHA-1 sólo hasta el año 2009.
Se permitirá la emisión de certificados para usuarios finales, con claves
5
Evaluaciones de RSA disponibles en: http://www.rsasecurity.com/rsalabs/node.asp?id=2004
Evaluaciones de NIST disponibles en: http://csrc.nist.gov/CryptoToolkit/kms/guideline-1-Jan03.pdf
- A1.72 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
6.1.6 Generación de La EC debe evaluar los parámetros de las claves públicas que usa, así
parámetros de las como a quienes pueden generar dichos parámetros.
claves públicas y
verificación de la En general, los parámetros serán generados por las ECs acreditadas o a
calidad través del proceso de confianza que elija la EC.
6.1.7 Propósitos del El contenido del campo “uso de clave” del certificado debe diferenciarse
uso de las claves entre las claves de firmado, autenticación y cifrado.
(conforme a lo
establecido en el
campo de uso de Los bits CertSign y CRLSign, sólo deben ser utilizados por ECs
X.509 v3) acreditadas.
REFERENCIAS
6.2.1 Estándares y Los módulos criptográficos usados por las ECs deben cumplir los
controles para el requerimientos o ser equivalentes a FIPS 140-2, nivel de seguridad 3
módulo como mínimo.
criptográfico
Los módulos criptográficos usados por ERs o Proveedores de servicios
de repositorio acreditados deben cumplir los requerimientos o ser
equivalentes a los requerimientos de FIPS 140-2 nivel de seguridad 2
- A1.73 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
como mínimo.
6.2.2. Clave pública (n Las ECs raíces o intermedias acreditadas deben de asegurar que la
fuera de m) Control generación y acceso a sus claves privadas (no certificados de atributos)
multipersonal deben requerir por lo menos de la actuación conjunta de dos personas.
6.2.5 Archivo de la No deberán ser archivadas las claves privadas empleadas para la firma
clave privada y autenticación de los usuarios finales, ni de los archivos electrónicos
que los contengan (por ejemplo, los archivos con extensión PFX).
En los casos en que se archive una clave privada, ésta deberá ser
protegida en el mismo nivel que se emplea para la protección de la
clave activa.
6.2.6 Transferencia de La clave privada de una EC raíz o intermedia acreditada (no certificados
la clave privada de de atributos), debe ser generada y mantenida en el módulo
o hacia un módulo criptográfico o retenerse de manera cifrada en un dispositivo seguro
criptográfico para el transporte de claves.
6.2.7 Almacenamiento La clave privada de una EC raíz o intermedia acreditada (no certificados
de la clave privada de atributos) debe ser generada y mantenida en el módulo
en un módulo criptográfico.
criptográfico
Los módulos criptográficos usados por INDECOPI, por ECs o por
Autoridades de Gestión de ECs (CMAs) acreditados deben cumplir los
requerimientos establecidos o que sean equivalentes a FIPS 140-2 nivel
3.
- A1.74 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
REFERENCIAS
6.2.11 Clasificación del Los módulos criptográficos usados por las ECs o por las Autoridades de
módulo Gestión de ECs, deben cumplir los requisitos establecidos o que sean
criptográfico equivalentes a FIPS 140-2 nivel de seguridad 3 como mínimo.
Los módulos criptográficos usados por los ERs o por los Proveedores del
Servicio de Repositorio acreditados deben cumplir los requisitos
establecidos o que sean equivalentes a FIPS 140-2 nivel de seguridad 2
como mínimo.
- A1.75 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
6.3.1 Archivo de la Las claves públicas o los certificados que las contengan, deben ser
clave pública archivadas de conformidad con las políticas de archivo de registro.
6.3.2 Periodos El periodo máximo de uso de una clave privada debe estar determinado
operacionales del por el riesgo de compromiso que pudiera existir para una clave de tal
certificado y tamaño y este periodo puede necesitar ser variado dependiendo de los
periodo de uso de avances tecnológicos.
las claves
En este punto, una clave de 2048 bit debe tener el periodo máximo de
uso establecido de conformidad con el ciclo de vida del certificado o un
plazo máximo de tres (3) años, cualquiera que fuera el menor. Una
clave de suscriptor de 1024 bits debe tener un periodo máximo de uso
establecido de conformidad con el ciclo de vida del certificado o un
plazo máximo de 1 año, cualquiera fuera el menor.
Nota:
Se permitirá la emisión de certificados para usuarios finales, con claves
de 1024 bits sólo hasta el año 2009.
6.4.1 Generación e Los requisitos para los datos de activación deben estar en concordancia
instalación de con el valor de los activos protegidos por la clave privada y cualquier
datos de activación otro control de acceso a dicha clave.
6.4.2 Protección de los Los datos de activación deben ser protegidos de conformidad con los
- A1.76 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
REFERENCIAS
6.4.3 Otros aspectos El ciclo de vida de los datos de activación debe de estar de conformidad
de los datos de con el valor de los activos protegidos por la clave privada. Como
activación ejemplo, puede requerirse el cambio de PINs y contraseñas cada 30
días con limitaciones en cuanto a su formato y uso.
6.5 Controles de
seguridad
computacional
REFERENCIAS
6.5.2 Evaluación de la Las evaluaciones deben ser realizadas de manera compatible con los
seguridad siguientes estándares internacionales :
computacional
a) La norma ISO/IEC 15408 “Information technology -- Security
techniques - Evaluation criteria for IT security”.
- A1.77 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
management of IT Security”
REFERENCIAS
REFERENCIAS
REFERENCIAS
6.6.3 Evaluación de
Los controles de seguridad deben ser revisados como parte de la
seguridad del ciclo
auditoría o evaluación de compatibilidad con la IOFE.
de vida
6.7 Controles de Los usuarios sólo deben tener acceso a los servicios para los cuales han
seguridad de la red sido específicamente autorizados a usar.
- A1.78 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
REFERENCIAS
Anexo 4 Seguridad de comunicaciones y redes.
Anexo 5 Sección 11.4 Control de Acceso A la Red.
6.8 Sello de tiempo Se admiten servicios de sellado de hora y tiempo según la norma
ISO/IEC 18014-1:2000 “Information technology -- Security techniques
-- Time-stamping Services -- Part 1: Framework”. Para tales efectos
debe emplearse una fuente confiable de tiempo.
REFERENCIAS
7. PERFILES DE
CERTIFICADO
- A1.79 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
7.1.1 Número(s) de
Debe soportarse y emplearse X.509 v3.
versión(es)
7.1.3 Identificadores
Los algoritmos OIDs deben estar de conformidad con el RFC 3279 y
de Objeto de
RFC 3280.
algoritmo
Ley 27269
Art. 30°
Artículo 7º.- Contenido del certificado digital
Los certificados digitales emitidos por las entidades de certificación deben
contener al menos:
1. Datos que identifiquen indubitablemente al suscriptor.
2. Datos que identifiquen a la Entidad de Certificación.
3. La clave pública.
4. La metodología para verificar la firma digital del suscriptor impuesta a
un mensaje de datos.
5. Número de serie del certificado.
6. Vigencia del certificado.
7. Firma digital de la Entidad de Certificación.
7.1.5 Restricciones de Las restricciones de nombre deben de estar soportados tal como se
nombre establece en el RFC 3280.
7.1.6 Identificador de
objeto de la política La política de certificados de las Entidades de certificación deben
de certificados obtener un identificador de objeto (OID) que será asignado por el
INDECOPI, el cual es la Autoridad de Registro Nacional para Perú para
- A1.80 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
la asignación de OIDs.
7.1.7 Extensión de
Las restricciones de políticas deben estar establecidas conforme al RFC
restricciones de
3280.
uso de la política
7.1.8 Sintaxis y
semántica de los Los calificadores de políticas deben de ser soportados tal como se
calificadores de la encuentran definidos en el RFC 3280.
política
7.1.9 Procesamiento de Se debe ser capaz de aceptar certificados que contengan cualquiera de
semántica para la las extensiones estandarizadas definidas en el RFC 3280 sea que estas
extensión de se encuentren marcadas o no como críticas.
políticas de Se debe evitar marcar como críticas a extensiones no estandarizadas
certificados críticos en los certificados que pretendan ser usados fuera del ámbito de la
IOFE.
7.2.1 Número(s) de Como mínimo deben usarse CRLs X.509 v2. Debe de soportar
versión(es) certificados X.509 v3.
7.2.2 CRL y
Extensiones de Se debe soportar las extensiones CRL definidas en el RFC 3280.
entrada de CRL
7.3.1 Número(s) de Los certificados de OCSP respuesta utilizarán el estándar X.509 versión
versión(es) 3 (X.509 v3)
7.3.2 Extensiones Las ECs pueden soportar extensiones CRL tal como estas se encuentran
OCSP definidas en el RFC 2560.
- A1.81 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
8.1 Frecuencia y Los PSCs acreditados deben someterse una vez al año a auditorías o
circunstancias de la evaluaciones de conformidad respecto del marco de la IOFE.
evaluación
Los PSCs pueden también someterse a auditorías o evaluaciones de
conformidad en relación a lo establecido en su CPS.
REFERENCIAS
REFERENCIAS
8.4 Elementos Los elementos cubiertos por la auditoría son la implementación de las
cubiertos por la prácticas de certificación, personal, procedimientos y técnicas, descritos
evaluación en el anexo 2 de la presente Guía de Acreditación.
REFERENCIAS
- A1.82 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
9. OTRAS MATERIAS
DE NEGOCIO Y
LEGALES
9.1 Tarifas
9.1.2 Tarifas de acceso La EC debe determinar si procede o no el pago de una tarifa por este
a certificados servicio. En particular, las tarifas deben estar establecidas o
referenciadas en los contratos de suscriptores y terceros que confían.
9.1.3 Tarifas para La EC debe determinar si procede o no el pago de una tarifa por este
información sobre servicio. En particular, las tarifas deben estar establecidas o
revocación o referenciadas en los contratos de suscriptores y terceros que confían.
estado
Debe tenerse en consideración que establecer tarifas respecto a
información sobre estado o revocación puede desalentar a las terceros
que confían de validar los certificados y por ende debe evitarse en la
- A1.83 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
9.1.4 Tarifas para otros La EC debe determinar si procede o no el pago de una tarifa por este
servicios servicio. En particular, las tarifas deben estar establecidas o
referenciadas en los contratos de suscriptores y terceros que confían.
9.2 Responsabilidad
financiera
9.2.1 Cobertura de Las ECs deberán presentar para su acreditación, documentación que
seguro respalde la contratación de seguros o garantías bancarias para
salvaguardar las actividades de certificación6.
9.2.2 Otros activos La ECs deben sustentar que tienen recursos suficientes por lo que
deben presentar para su acreditación, toda documentación que acredite
contar con respaldo económico. Para tales efectos la EC solicitante
deberá presentar estados financieros (balance general, estado de
ganancias y pérdidas y notas contables), con una antigüedad no mayor
a dos meses del cierre contable del mes anterior a la presentación de la
solicitud, acreditando solvencia económica.
6
El artículo 42º del Reglamento de la Ley señala que debe acompañarse a la solicitud de acreditación
documentación que acredite el cumplimiento de las obligaciones a que se refiere el artículo 12º del mismo
dispositivo legal. No obstante, fuera de lo referente a los seguros y garantías bancarias, la documentación
referente al resto de obligaciones se encuentra documentada en las CP y CPS que deben acompañarse a la
solicitud de acreditación.
Este requisito no será exigible hasta julio del 2008, según lo establecido en una de las recomendaciones del
Estudio para la implementación de la Infraestructura Oficial de Firma Digital, que fuera aprobado por la CRT del
INDECOPI.
- A1.84 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
9.2.3 Cobertura de En el caso que exista cobertura de seguro o garantía disponibles para
seguro o garantía los suscriptores, la EC debe establecer en su CPS los tipos
para entidades correspondientes, lo cual deberá también ser referenciado en el
finales contrato de suscriptor, incluyendo los términos y condiciones de dicha
cobertura.
9.3 Confidencialidad de
la información del
negocio
- A1.85 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
REFERENCIAS
Anexo 4 Organización.
Anexo 5 Sección 6.1.5 Acuerdos de confidencialidad.
Anexo 5 Sección 8.1.3 Acuerdos de confidencialidad.
Anexo 6 Norma Marco sobre Privacidad.
- A1.86 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
REFERENCIAS
Anexo 4 Organización.
Anexo 5 Sección 5 Política de Seguridad.
Anexo 6 Norma Marco sobre Privacidad.
9.3.3 Responsabilidad Los PSCs acreditados deben cumplir tanto sus requisitos de
de protección de la confidencialidad como las leyes sobre protección de datos,
información confidencialidad de la información y propiedad intelectual que les
confidencial fueren aplicables, tal y como está establecido en el Norma Marco sobre
Privacidad.
REFERENCIAS
Anexo 4 Organización.
Anexo 5 Sección 5 Política de Seguridad.
Anexo 5 Sección 15.1.4 Protección de los Datos y de la Privacidad
de la Información Personal.
9.4 Privacidad de la Los PSCs acreditados deben cumplir con la legislación sobre protección
información de datos de conformidad con la Norma Marco sobre Privacidad que se
personal encuentra en el anexo 6.
- A1.87 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
Art. 55°
Artículo 55º.- Certificación cruzada
Las Entidades de Certificación acreditadas pueden realizar certificaciones
cruzadas con Entidades de Certificación Extranjeras a fin de reconocer
los certificados digitales que éstas emitan en el extranjero,
incorporándolos como suyos dentro de la IOFE, siempre y cuando
obtengan autorización previa de la AAC.
Las entidades que presten servicios de acuerdo a lo establecido en el
párrafo precedente, asumirán responsabilidad de daños y perjuicios por
la gestión de tales certificados.
REFERENCIAS
Anexo 4 Organización.
Anexo 5 Sección 5 Política de Seguridad.
Anexo 5 Sección 15.1.4 Protección de los Datos y de la
Privacidad de la Información Personal.
Anexo 6 Norma Marco sobre Privacidad.
REFERENCIAS
Anexo 4 Organización.
Anexo 5 Sección 5 Política de Seguridad.
Anexo 6 Norma Marco sobre Privacidad.
- A1.88 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
REFERENCIAS
Anexo 4 Organización.
Anexo 5 Sección 5 Política de Seguridad.
Anexo 6 Norma Marco sobre Privacidad.
REFERENCIAS
Anexo 4 Organización.
Anexo 5 Sección 5 Política de Seguridad.
Anexo 6 Norma Marco sobre Privacidad.
9.4.4 Responsabilidad Los PSCs acreditados deben cumplir con sus requerimientos de
de protección de la confidencialidad y con las leyes sobre protección de datos y
información confidencialidad en conformidad con su Plan de Privacidad y la Norma
privada Marco sobre Privacidad.
- A1.89 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
REFERENCIAS
Anexo 4 Organización.
Anexo 5 Sección 5 Política de Seguridad.
Anexo 5 Sección 15.1.4 Protección de los Datos y de la Privacidad
de la Información Personal.
Anexo 6 Norma Marco sobre Privacidad.
9.4.5 Notificación y En los acuerdos que serán firmados por los suscriptores se debe
consentimiento establecer el tipo de datos personales que pueden ser recolectados,
para el uso de cómo serán utilizados, protegidos y cómo estos pueden ser
información revisados/corregidos, las circunstancias bajo las cuales serán
divulgados, la manera de desagravios y sanciones para las fallas en el
cumplimiento del acuerdo con la parte o partes que utilizan o
recolectan dichos datos. Asimismo, debe incorporarse en el acuerdo el
necesario consentimiento para la divulgación de datos específicos.
REFERENCIAS
Anexo 4 Organización.
Anexo 5 Sección 5 Política de Seguridad.
Anexo 5 Sección 15.1.4 Protección de los Datos y de la Privacidad
de la Información Personal.
Anexo 6 Norma Marco sobre Privacidad.
REFERENCIAS
Anexo 4 Organización.
Anexo 5 Sección 5 Política de Seguridad.
Anexo 6 Norma Marco sobre Privacidad.
- A1.90 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
9.4.7 Otras Se debe permitir a los suscriptores, titulares y terceros que confían
circunstancias para solicitar la divulgación de la información que han provisto a terceros.
divulgación de
información Se debe requerir que la divulgación de la información bajo otras
circunstancias se realice solamente de conformidad con la CPS u otra
documentación relevante y que esto se encuentra de conformidad con
la ley aplicable y con el Norma Marco sobre Privacidad.
REFERENCIAS
Anexo 4 Organización.
Anexo 5 Sección 5 Política de Seguridad.
Anexo 6 Norma Marco sobre Privacidad.
REFERENCIAS
Anexo 4 Organización.
Anexo 5 Sección 15.1.2 Derechos de Propiedad Intelectual.
9.6 Representaciones y
garantías
REFERENCIAS
Anexo 4 Organización.
Anexo 5 Sección 5 Política de Seguridad.
- A1.91 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
9.6.2 Representaciones
y garantías de la No compete a las ECs.
ER
9.6.3 Representaciones Un suscriptor o titular debe estar obligado a cumplir las obligaciones de
y garantías de los suscriptor establecidas en la CPS de la EC.
suscriptores
Se debe requerir al suscriptor la firma de un acuerdo de cumplimiento
de sus obligaciones, incluyendo las concernientes a los titulares
inscritos por él. El acuerdo debe incluir las consecuencias de eventuales
incumplimientos.
REFERENCIAS
Anexo 4 Organización.
Anexo 5 Sección 5 Política de Seguridad.
9.6.4 Representaciones Un tercero que confía puede ser requerido a cumplir con las
y garantías de los obligaciones de el tercero que confía establecidas en la CPS de la EC.
terceros que
confían Se le debe notificar al tercero que confía dichas obligaciones por
intermedio de la publicación de un documento accesible para el tercero
que confía. La declaración o documento, debe incluir las consecuencias
derivadas del incumplimiento del acuerdo.
REFERENCIAS
Anexo 4 Organización.
Anexo 5 Sección 5 Política de Seguridad.
- A1.92 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
REFERENCIAS
Anexo 4 Organización.
Anexo 5 Sección 5 Política de Seguridad.
9.7 Exención de Las ECs deben establecer en sus CP, CPS y otra documentación
garantías relevante, cualquier exención de responsabilidad que pudiera
aplicárseles. Asimismo deben asegurar que estas provisiones sean
incluidas en cualquier contrato de suscriptor o tercero que confía.
REFERENCIAS
Anexo 4 Organización.
Anexo 5 Sección 5 Política de Seguridad.
9.8 Limitaciones a la Los PSCs deben establecer en sus CP, CPS u otra documentación
responsabilidad relevante, cualquier limitación de responsabilidad que pudiera
aplicárseles, considerando las responsabilidades de privacidad,
seguridad y diligencia en los procesos de certificación que la AAC
establece en este documento. Asimismo, deben asegurar que estas
provisiones sean incluidas en cualquier contrato de suscriptor o tercero
que confía.
REFERENCIAS
Anexo 4 Organización.
Anexo 5 Sección 5 Política de Seguridad.
Anexo 6 Norma Marco sobre Privacidad.
- A1.93 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
9.9 Indemnizaciones Las ECs deben establecer en sus RPS y otra documentación relevante lo
relativo a las indemnizaciones a las que pudieran estar sujetos.
Asimismo, debe asegurar que estas provisiones sean incluidas en
cualquier contrato de suscriptor o tercero que confía o documentación.
REFERENCIAS
Anexo 4 Organización.
Anexo 5 Sección 5 Política de Seguridad.
9.10 Término y
terminación
REFERENCIAS
Anexo 4 Organización.
Anexo 5 Sección 5 Política de Seguridad.
- A1.94 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
REFERENCIAS
Anexo 4 Organización.
Anexo 5 Sección 5 Política de Seguridad.
9.10.3 Efecto de Las ECs deben establecer en su CPS u otra documentación relevante las
terminación y provisiones de divisibilidad, supervivencia y fusión, incluyendo las
supervivencia mismas en los contratos de suscriptor y tercero que confía.
REFERENCIAS
Anexo 4 Organización.
Anexo 5 Sección 5 Política de Seguridad.
9.11 Notificaciones y Las ECs y ERs deben establecer, en sus contratos de suscriptor y
comunicaciones terceros que confían, cláusulas de notificación que regulen los
individuales con los procedimientos por los que las partes se notifiquen hechos
participantes mutuamente.
9.12 Enmendaduras
9.12.1 Procedimiento Los participantes de la IOFE, incluyendo las otras infraestructuras que
para lo reconocen, serán consultados antes de efectuar cualquier tipo de
enmendaduras cambio en los documentos de la infraestructura. Esta provisión no se
aplica a cambios de las políticas y prácticas de los PSCs acreditados,
- A1.95 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
9.12.2 Mecanismos y Los cambios en las políticas y prácticas de los PSCs acreditados deben
periodo de ser notificados a los suscriptores, terceros que confían y otras partes
notificación tales como otras infraestructuras que reconocen al mismo o ECs con las
que existen acuerdos de certificación cruzada, cuando dichos cambios
puedan afectarles.
9.12.3 Circunstancias Para mantener la acreditación de la PSC será necesario que cualquier
bajo las cuales cambio en el OID de cualquiera de los certificados y políticas sea
debe ser cambiado aprobado previamente por INDECOPI.
el OID
Los controles de la versión deben ser utilizados para asegurar que las
políticas y prácticas vigentes al momento de archivar una transacción,
puedan ser establecidos.
9.13 Provisiones sobre Se debe asegurar que los PSCs, ECs o ERs acreditadas tengan
resolución de establecido un procedimiento de resolución de disputas. Un prestador
disputas de servicios de certificación acreditado debe establecer procedimientos
de resolución de disputas en su CPS u otra documentación relevante.
Se pueden establecer diferentes leyes aplicables para diferentes tipos
de procesos de resolución de disputas.
- A1.96 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
9.16.1 Acuerdo íntegro Se debe hacer referencia en cada acuerdo de acreditación para los
PSCs acreditados de cualquier otra documentación que pueda ser
incorporada en el acuerdo.
9.16.2 Subrogación Los derechos y los deberes asociados a la condición de EC, ER o SVA no
podrán ser objeto de cesión a terceros de ningún tipo, ni ninguna
tercera entidad podrá subrogarse en la posición jurídica de dichas
entidades.
7
En el Perú la legislación es la misma en cada Región del País.
- A1.97 -
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
9.16.4 Ejecución
El PSC acreditado debe establecer en su CPS y otra documentación
(tarifas de
relevante toda cláusula de ejecución que se aplique a las operaciones
abogados y
que realiza. Estas cláusulas deben estar establecidas o referenciadas en
cláusulas de
los contratos de suscriptor y tercero que confía.
derechos
9.16.5 Fuerza mayor Las ECs deben asegurar que las clásulas de “fuerza mayor” sean
establecidas explícitamente en los contratos de suscriptor y tercero que
confía.
9.17 Otras cláusulas El PSC acreditado debe incluir en su CPS y otra documentación
relevante cualquier otra cláusula que se aplique a las operaciones que
realiza bajo la IOFE. Cuando fuere apropiado, estas cláusulas deben
estar establecidas o referenciadas en los contratos de los suscriptores o
terceros que confían.
10. BIBLIOGRAFÍA La CP, CPS y otra documentación relevante debe establecer las
referencias a los documentos utilizados en el desarrollo de dicha
documentación. Particularmente, aquellos documentos referenciados en
la documentación o que hacen mención a algún tipo de norma o
regulación en particular.
11. ACRÓNIMOS & La CP, CPS y otra documentación relevante debe proveer una lista de
ABREVIATURAS acrónimos y abreviaturas utilizadas dentro del texto de dicha
documentación.
12. GLOSARIO La CP, CPS y otra documentación relevante debe proveer una lista de
términos para los cuales pueda ser requerida una definición.
- A1.98 -