1.-Anexo 1-Marco de La Política de Emisión de Certificados Digitales

Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrónica IOFE PERU Aprobado:
ANEXO 1:
MARCO DE LA POLÍTICA DE EMISIÓN DE
CERTIFICADOS DIGITALES
- A1.1 -
MARCO DE LA POLÍTICA DE EMISIÓN DE

CERTIFICADOS DIGITALES
Los lineamientos establecidos en el presente documento se basan en la RFC

3647 con referencias correspondientes al Decreto Supremo N° 004-2007-PCM,
Reglamento de la Ley de Firmas y Certificados Digitales del Perú. Está dirigido a
las Entidades de Certificación (EC), conforme al marco legal de la Infraestructura
Oficial de Firma Electrónica (IOFE) de la República del Perú.
SECCION DEL
PROVISIÓN DEL MODELO RFC 3647
RFC3647
1. INTRODUCCIÓN INDECOPI publicará la acreditación y estado de una EC a través de un

directorio en su página WEB, estableciendo un Repositorio de
certificados o claves públicas de las entidades acreditadas para la
emisión de certificados, incluyendo los certificados cruzados o la
emisión de certificados para certificación cruzada.
Los certificados emitidos por ECs acreditadas bajo el esquema de la

IOFE confieren un estatus o presunciones legales particulares para las
transacciones en que dichos certificados son usados.
La información respecto a la acreditación de un PSC y la información

confiable sobre su estado, será publicada tan pronto se produzca un
cambio. Los procedimientos para el acceso a versiones anteriores de
estos documentos, también serán ser publicados.
1.1 Visión general Para ser acreditadas por INDECOPI, las ECs raíces e intermedias deben
establecer sus CPSs, según sea el caso, en conformidad con los
lineamientos establecidos en la presente Guía de Acreditación y sus
anexos.
En el caso que una entidad desee realizar las funciones de certificación

y de registro o verificación deberá acreditarse como ER y EC,
considerando las respectivas Guías de Acreditación y los Reglamentos
correspondientes.
Cualquier EC intermedia que pretenda acreditarse tendrá que

vincularse a una ER acreditada y presentar su CPS, además de los
modelos de los contratos de los suscriptores y el detalle de los
convenios establecidos entre dicha EC y la ER.
Si una EC intermedia acreditada desea vincularse a otras ERs

acreditadas, deberá actualizar su respectiva CPS que la EC presente un
documento donde se detallen los convenios establecidos con la ER,
además de los modelos de los contratos de los suscriptores. Cuando
INDECOPI apruebe estos convenios, la ER podrá emitir los certificados
de esta EC.
La CP de cada EC o un resumen de las mismas deben estar publicados
- A1.2 -
electrónicamente de manera accesible para los titulares de los

certificados digitales, los suscriptores y los terceros que confían.
DECRETO SUPREMO N° 004-2007-PCM
Art. 9° inc. b)
Artículo 9º.- Elementos
La Infraestructura Oficial de Firma Electrónica – IOFE está constituida
por:
b) Las prácticas de certificación, basadas en estándares internacionales
o compatibles a las internacionalmente vigentes, que aseguren la
interoperabilidad y las funciones exigidas, conforme a lo establecido por
la AAC.
Art. 42° inc. e)

Artículo 42º.- Presentación de la solicitud de acreditación de la
entidad de certificación
La solicitud de acreditación de Entidades de Certificación debe
presentarse a la AAC, observando lo dispuesto en el artículo anterior y
adjuntando lo siguiente:
e) Declaración de prácticas de certificación y documentación que
comprende el sistema de gestión implementado conforme al inciso b) del
artículo 9º del Reglamento.
1.2 Nombre e Cada organización acreditada bajo el esquema de la IOFE debe emplear
identificación del en su documentación y certificados emitidos un identificador de objeto
documento de conformidad con la norma ISO sobre asignación de valores para el
componente OID.
1.3 Participantes La comunidad de usuarios se compone por aquellas personas naturales

y jurídicas que obtienen y utilizan un certificado emitido por una EC
acreditada con la intervención de una ER acreditada, dichas personas
cumplen los requerimientos especificados en las siguientes secciones
de este documento.
Cada EC que solicite los servicios de una ER puede limitar de manera

más restringida la comunidad de usuarios para sus certificados
digitales. Los requerimientos para participar de esta comunidad deben
estar establecidos en su respectiva CPS o en otro documento relevante.
La comunidad y la aplicabilidad de los certificados pueden ser de índole

pública, gubernamental, sectorial o una organización expresamente
especificada en el RFC 3647.
La IOFE reconocerá a aquellas estructuras foráneas cuyas CP, CPS,

Política de seguridad y otros documentos relevantes requeridos para la
acreditación sean compatibles con la normativa legal, los
correspondientes Reglamentos y Guías de Acreditación establecidos
por INDECOPI.
Art. 9° inc. e).

por:
e) La AAC, así como Entidades de Certificación, Entidades de Registro o
Verificación, Entidad de Certificación Nacional para el Estado Peruano
(ECERNEP), Entidades de Certificación para el Estado Peruano (ECEP) y
Entidades de Registro o Verificación para el Estado Peruano (EREP),
debidamente acreditadas o reconocidas.
- A1.3 -
1.3.1 Entidades de Para participar de la IOFE las ECs deben presentar toda la
certificación documentación requerida en la presente guía y sus anexos. Además,
deberá seguir los procedimientos respectivos de acuerdo a la ley
vigente y al Reglamento General de Acreditación Prestadores de
Servicios de Certificación Digital –ver anexo 7– así como el Reglamento
Específico de Acreditación Entidad de Certificación (EC).
Para que una EC pueda ser acreditada debe estar vinculada por lo
menos a una ER acreditada. La CPS de la EC debe ser compatible con la
RPS de dicha ER. Además, deberá presentar el detalle de los convenios
establecidos con la ER y los modelos de los contratos de los
suscriptores.
La IOFE permite que las ECs puedan realizar certificación cruzada; los
procedimientos de interacción entre estas entidades deberán estar
registrados en su CPS o en otro documento relevante.
En el caso en que una EC opere como una EC Raíz y certifique ECs

subordinadas, deberá registrarse en su CPS o en otro documento
relevante, los procedimientos de interacción entre estas entidades. Tal
es el caso de la ECERNEP y ECEP.
Cuando parte de las operaciones de la EC, tales como el registro o

servicios de repositorio son realizadas por una entidad separada, se
deben registrar los detalles de estos convenios en su CPS u otra
documentación relevante, debiéndose asimismo demostrar su
vinculación, asegurando la viabilidad de sus servicios y la disponibilidad
para la evaluación y supervisión que la AAC considere necesarias. Los
requerimientos correspondientes a las operaciones de registro o
servicio de repositorio deben estar conformes con lo establecido en el
presente documento.
Art. 33° inc. a), b).

Artículo 33º.- Entidades de Certificación y de Registro o
Verificación
En el ámbito del Sector Público, las entidades que presten servicios de
certificación digital en el marco de la IOFE, son las siguientes:
a) Entidad de Certificación Nacional para el Estado Peruano (ECERNEP),
la cual será la encargada de emitir los certificados raíz para las
Entidades de Certificación para el Estado Peruano que lo soliciten,
además de proponer las políticas y estándares de las ECEP y EREP
según lo establecido por el presente reglamento.
b) Entidades de Certificación para el Estado Peruano (ECEP)
acreditadas o reconocidas por la AAC, las cuales serán las encargadas
de proporcionar, emitir o cancelar los certificados digitales: i) a los
administrados, personas naturales y jurídicas, los cuales serán
utilizados únicamente en los trámites, procedimientos administrativos y
similares; ii) a los funcionarios, empleados y servidores públicos para el
ejercicio de sus funciones y la realización de actos de administración
interna e interinstitucional, y a las personas expresamente
autorizadas por la entidad pública correspondiente. Cualquier otro uso
que no forme parte del ejercicio de las funciones, de los procedimientos
administrativos o de administración interna del Estado o de los
procedimientos y coordinaciones entre entidades públicas carecerá del
respaldo legal de la IOFE.
Art. 12° inc. a), b) y c)

Artículo 12º.- Obligaciones
Las Entidades de Certificación registradas tienen las siguientes
obligaciones:
- A1.4 -
a) Cumplir con su Declaración de Prácticas de Certificación.

b) Cumplir sus funciones dentro de los plazos señalados en su
Declaración de Prácticas de Certificación.
c) Informar a los usuarios1 de todas las condiciones de emisión y de uso
de sus certificados digitales, incluyendo las referidas a la cancelación de
éstos.
Art. 41°
Artículo 41º.- Acreditación de Entidades de Certificación
Las entidades que soliciten su acreditación y registro ante la AAC,
como Entidades de Certificación, incluyendo las ECEP, deben contar con
los elementos de la IOFE señalados en los incisos b), c) y d) del artículo
9º y someterse al procedimiento de evaluación comprendido en el
artículo 45º del reglamento.
Cuando alguno de los elementos señalados en el párrafo precedente sea

administrado por un tercero, la entidad solicitante deberá demostrar su
vinculación con aquél, asegurando la viabilidad de sus servicios bajo
dichas condiciones, y la disponibilidad de estos elementos para la
evaluación y supervisión que la AAC considere necesarias. La AAC, de
ser el caso, precisará los términos bajo los cuales se rigen estos
supuestos del servicio de certificación…
1.3.2 Entidades de La EC debe publicar en su página WEB, la RPS y el detalle de los

Registro convenios establecidos con cada ER con la que se encuentra vinculada.
En esta sección, la EC debe especificar la dirección electrónica donde
los suscriptores, titulares y terceros que confían puedan acceder a
estos documentos.
Para participar de la IOFE las ERs deben presentar toda la

documentación requerida en la Guía de Acreditación de Entidades de
Registro ER y sus anexos. Además, deberá seguir los procedimientos
respectivos de acuerdo a la ley vigente y al Reglamento General de
Acreditación Prestadores de Servicios de Certificación Digital –ver
anexo 7– así como el Reglamento Específico de Acreditación Entidad de
Registro (ER) .
Las ERs deben establecer su Declaración de Prácticas de Registro (RPS)

de conformidad con la Guía de Acreditación de Entidades de Registro
ER y sus anexos.
En el caso de la IOFE, las ERs pueden existir de manera independiente

de las ECs, siendo también posible que una única entidad asuma ambos
roles en forma simultánea.
La CPS de cada EC acreditada bajo el marco de la IOFE deben detallar

los acuerdos que determinan los procedimientos para el intercambio de
información entre entidades, en caso sean aplicables.
Las comunicaciones entre las ERs y las ECs deben ser llevadas a cabo a
través de mecanismos que permitan una comunicación ininterrumpida
para garantizar la atención oportuna de las solicitudes de emisión de
certificado, así como la actualización de la relación de certificados
emitidos y revocados. Las comunicaciones referidas a la aprobación o
revocación de certificados deben ser llevadas a cabo mediante un
mecanismo que garantice el no repudio.
Las ERs deben registrar toda información de los solicitantes de

certificados, que es enviada a la EC para la emisión de los certificados.
1
Titulares, suscriptores y terceros que confían.
- A1.5 -
Asimismo, debe registrar una copia de los contratos firmados por los
suscriptores.
Art. 43°
Artículo 43º.- Acreditación de Entidades de Registro o Verificación
Las entidades que soliciten su acreditación y registro ante la AAC,
como Entidades de Registro o Verificación, incluyendo las EREP, deben
contar con procedimientos para la prestación de sus servicios, los
mismos que tendrán que asegurar la verificación presencial de la
identidad del solicitante de un nuevo certificado digital.
Art. 44°
Artículo 44º.- Presentación de la solicitud de acreditación de
Entidades de Registro o Verificación
La solicitud para la acreditación de Entidades de Registro o Verificación
debe presentarse a la AAC, observando lo dispuesto en el artículo
anterior y adjuntando la información y documentos siguientes:
a) Pago por derecho de solicitud de acreditación por un monto
equivalente al 100% de la UIT, vigente.
b) Acreditación de la existencia y vigencia de la persona jurídica
mediante los instrumentos públicos o norma legal respectiva, así como
las facultades del representante. Acreditar domicilio en el país.
c) Acreditar contar con la infraestructura e instalaciones necesarias
para la prestación del servicio y presentar declaración jurada de
aceptación de las visitas comprobatorias de la AAC.
d) Procedimientos detallados que garanticen el cumplimiento de las
funciones establecidas en el Reglamento.
e) Declaración de prácticas de registro o verificación.
f) Declaración jurada del cumplimiento de los requisitos señalados en los
artículos 16º y 17º del Reglamento.
1.3.3 Titulares de En esta sección, la EC debe establecer en su CPS, la comunidad de

certificados usuarios definidos como titulares de los certificados digitales que
emitirá.
La IOFE establece a las siguientes personas, como capacitadas para

solicitar un certificado digital:
• Personas naturales: Aquellas que tienen plena capacidad de

ejercicio de sus derechos civiles. Las personas naturales
asumirán la responsabilidad de titulares y suscriptores de los
certificados que adquieren.
• Personas jurídicas: Aquellas que puedan sustentar su existencia

y se encuentren registradas en los Registros Públicos. Las
personas jurídicas asumen la responsabilidad de titulares de los
certificados que adquieren. En este caso existen dos tipos de
suscriptores: el representante legal y los funcionarios o
empleados que por el cargo que ocupan deben adquirir un
certificado digital. En el certificado del representante legal
quedarán registrados sus atributos, los cuales le permitirán
utilizar el certificado para realizar transacciones en nombre de
la persona jurídica. Por otro lado, los certificados de los
funcionarios o empleados tienen atributos limitados al
desenvolvimiento de sus funciones dentro de la persona
jurídica.
Tratándose de certificados digitales solicitados por personas

jurídicas para su utilización a través de agentes automatizados,
- A1.6 -
la titularidad de certificados y de las firmas digitales generadas

a partir de dicho certificado corresponderá a la persona jurídica.
La atribución de responsabilidad, para tales efectos,
corresponde al representante legal, que en nombre de la
persona jurídica solicita el certificado digital.
• PSC: Las ECs, ERs y SVAs pueden ser titulares de certificados

digitales, y deben ser tratados como personas jurídicas.
Art. 26°
Artículo 26º.- Especificaciones adicionales para ser titular
Para ser titular de un certificado digital adicionalmente se deberá
cumplir con entregar la información solicitada por la Entidad de
Registro o Verificación, de acuerdo a lo estipulado por la Entidad de
Certificación correspondiente, asumiendo responsabilidad por la
veracidad y exactitud de la información proporcionada, sin perjuicio de la
respectiva comprobación. Para el caso de personas jurídicas, la solicitud
del certificado digital del cual ésta será titular y el registro o verificación
de su identidad deben ser realizados a través de un representante
debidamente acreditado. Conjuntamente con la solicitud debe indicarse
el representante, persona natural, al cual se le asignará la facultad de
generar y usar la clave privada, señalando para tal efecto las
atribuciones y los poderes de representación correspondientes. Dicha
persona natural será el titular de las firmas digitales. Tratándose de
certificados digitales solicitados por personas jurídicas para su
utilización a través de agentes automatizados, la titularidad del
certificado y de las firmas digitales generadas a partir de dicho certificado
corresponderá a la persona jurídica. La atribución de responsabilidad,
para tales efectos, corresponde al representante legal, que en nombre de
la persona jurídica solicita el certificado digital.
Art. 27°
Artículo 27º.- Procedimiento para ser titular
… En el caso de una persona jurídica, la solicitud deberá ser
presentada por la persona facultada para tal fin, debiendo acreditar la
existencia y vigencia de la persona jurídica mediante los instrumentos
públicos o norma legal respectiva, así como las facultades del
representante. Asimismo, deberá presentar toda la información
requerida por la declaración de prácticas de la entidad correspondiente.
Art. 39° inc. a)

Artículo 39º.- Disposiciones generales para el Sector Público
a) Los trámites y procedimientos administrativos ante las
entidades de la Administración Pública, la constancia documental
de la transmisión a distancia por medios electrónicos entre
autoridades administrativas o con sus administrados, o cualquier
tramite, procedimiento o proceso por parte de los administrados o
ciudadanos ante las Entidades Publicas o entre estas entidades,
no excluyendo a las representaciones del Estado Peruano en el
exterior, podrán efectuarse utilizando las diversas tecnologías de
certificados digitales y firmas electrónicas reconocidas por la AAC,
conforme a Ley.
1.3.4 Tercero que En esta sección, la EC debe establecer en su CPS, la comunidad de

confía (tercer usuario) usuarios definidos como titulares de los certificados digitales que
emitirá.
Los terceros que confían son entidades o individuos que confían en el

contenido y la aplicación de un certificado digital. En este sentido, los
- A1.7 -
terceros que confían pueden ser todas aquellas personas naturales y

jurídicas que requieren evaluar la validez de un certificado para
proceder con sus respectivas transacciones electrónicas, incluyendo
entidades de otras infraestructuras además de la IOFE.
La comunidad de los terceros que confían de una EC puede ser más

restringida que aquella establecida bajo el marco de la IOFE. La CPS de
la EC debe detallar los requerimientos que se deben cumplir para se
considerados como terceros que confían dentro del ámbito de dicha EC,
así como los correspondientes derechos y obligaciones que son
asignadas a estos terceros por parte de la EC.
1.3.5 Otros En caso se requiera la tercerización de los servicios de directorio o

participantes repositorio y/o servicios de producción de certificados; entre otros, esto
deberá estar claramente establecido en la CPS u otra documentación
relevante y debe ser comunicado a INDECOPI para su evaluación
dentro del proceso de acreditación.
La CPS de las ECs acreditadas en la IOFE, debe detallar los convenios

tanto para servicios de repositorio y registro, así como para producción
de certificados, en caso fuere aplicable.
Los requerimientos correspondientes a las operaciones de registro o

servicio de repositorio deben estar conformes con lo establecido en el
presente documento.
1.3.5.1 SVAs No compete a las ECs.
1.4 Uso del certificado Se debe especificar en la CPS de la EC o en otro documento relevante
los tipos de certificados que serán emitidos y el tipo de aplicación que
se les dará, debiendo existir compatibilidad con las siguientes
clasificasiones:
Por el titular:
• Certificados de Persona Natural, caracterizados por el hecho de que
el poseedor de la clave privada es una persona física, que actúa a
nombre propio y representación (siendo en este caso el suscriptor
y titular del certificado la misma persona).
• Certificados de Persona Jurídica, la cual puede ser:

a) Certificado de Atributos, caracterizados por el hecho que el
titular del certificado es una persona jurídica, que faculta a una
persona natural de atributos que le permiten actuar en nombre
de la persona jurídica. Dichos atributos pueden ser limitados
como el caso de certificados de funcionarios o empleados, o
plenos como es el caso del representante legal de la persona
jurídica.
b) Certificados de dispositivo, para el cual existen dos casos:
Cuando el poseedor de la clave privada es un dispositivo
informático perteneciente a una persona jurídica que
realiza las operaciones de firma y descifrado de forma
automática, y cuyas acciones se encuentran bajo la
responsabilidad de una persona física que es el suscriptor
del certificado.2 (Puede ser el caso de una sistema SIE, O
PSC, Time Stamping, etc.)
2
En este caso el suscriptor no debe tener acceso a la clave privada de firma, sino sólo la máquina quien será el
titular del certificado.
- A1.8 -
Cuando el certificado es utilizado para una conexión SSL.
Por el uso:
• Certificados de firma, son utilizados en transacciones que requieren
la firma digital del suscriptor del certificado.
• Certificados de cifrado, son utilizados para procesos de cifrado de

información.
• Certificados de autenticación, son utilizados en procesos de control

de acceso y permisos donde se requiera autenticar a una persona.
Nota: No existe compatibilidad entre un certificado de cifrado y uno de

firma, debiendose emitir un certificado diferente para cada situación.
En cambio, los certificados de autenticación y los de firma sí son
compatibles, en el sentido que ambas funciones pueden ser cumplidas
por un mismo certificado.
El propósito de este modelo es el establecimiento de certificados que

sean capaces de ser usados en el comercio electrónico tanto a nivel
nacional como internacional.
En el caso que los certificados emitidos por Entidades que se

encuentran dentro de la IOFE sean requeridos a efectos de conferir
determinado efecto o presunción legal, tanto este aspecto, como las
referencias a la legislación aplicable deberán ser claramente
establecidos en la CPS de la la EC así como en los contratos de los
suscriptores.
1.4.1 Uso apropiado Las ECs deben establecer en su CPS u otro documento relevante, los
del certificado tipos de certificados que emiten así como las limitaciones técnicas y
normativas en de su uso, de conformidad con la RFC 3647. En
particular, debe establecerse un uso apropiado de los mismos para las
transacciones de comercio y gobierno electrónico.
Un certificado digital es utilizado apropiadamente si ha sido emitido a

una persona adecuada –conforme a la sección 1.4– y si esta persona
utiliza el certificado para realizar cualquiera de las acciones
mencionadas en esta Guía en la sección 1.4.
En algunos casos, el uso apropiado de certificados de las ECs

acreditadas por el marco de la IOFE puede ser más restringido que el
establecido bajo el mismo marco. La CPS de la EC debe detallar, en
conformidad con la RFC 3647, el uso apropiado de estos certificados.
Las ECs deben elaborar una explicación didáctica sobre el uso

apropiado de los certificados, diferente a cada tipo de usuario definido
por la entidad conforme al documento “Requerimientos de Usabilidad”
–ver anexo 12-. Los documentos que contengan dichas explicaciones
deben ser referenciados en esta sección.
1.4.2 Uso prohibido del INDECOPI prohíbe el uso del certificado digital de cualquier modo que
certificado contravenga la legislación de la materia, la presente Guía de
Acreditación o sus anexos.
En algunos casos, el uso prohibido del certificado de una EC y ER

acreditadas bajo el marco de la IOFE puede ser más restringido que
aquél establecido para el esquema en sí mismo. La CPS de la EC y la
debe detallar de conformidad la RFC 3647, el uso prohibido de
certificados.
- A1.9 -
En algunos casos, si bien el uso no se encuentra consignado como

prohibición, determinado uso del certificado puede no estar
expresamente establecido. En tal sentido, conjuntamente con las
prohibiciones establecidas para el uso del certificado, deben
consignarse las limitaciones establecidas para el mismo.
Las ECs deben elaborar una explicación didáctica sobre el uso

inapropiado de los certificados, diferente para cada tipo de usuario
definido por la entidad conforme al documento “Requerimientos de
Usabilidad” –ver anexo 12-. Los documentos que contengan dichas
explicaciones deben ser referenciados en esta sección.
1.5 Administración de
políticas
1.5.1 Organización que Los detalles de contacto respecto a ECs acreditadas por INDECOPI
administra los deben ser registrados en la CPS de dichas entidades, de conformidad
documentos de con la RFC 3647. Se debe incluir el nombre y la dirección de envío de la
CPS o CP organización que es responsable del diseño, registro, mantenimiento, y
actualización de las CPS y CP.
1.5.2 Persona de Los detalles de una persona de contacto perteneciente a cada EC

contacto acreditada, la cual es responsable de la administración de los servicios
de los PSC, deben ser registrados en la CPS de dicha EC de
conformidad con la RFC 3647. Se debe incluir el nombre, la dirección
del correo electrónico, el número de teléfono, y el número de fax de
esta persona.
1.5.3 Persona que INDECOPI publicará los detalles de contacto, como el nombre o el
determina la título, la dirección del correo electrónico (o alias), el número de
conformidad de la teléfono, el número de fax, y otra información generalizada de la
CPS con las persona, responsable de determinar la operatividad de la CPS según el
políticas esquema de la IOFE, de conformidad con el RFC 3647.
1.5.4 Procedimiento de INDECOPI aprobará la CPS de un PSC mediante los procedimientos

aprobación de CPS establecidos en la presente guía y en sus correspondientes anexos.
Asimismo, se reserva el derecho de revisar cualquier otra
documentación que fuera relevante. En el caso que dicha
documentación incluyera algún tipo de información comercial
confidencial, o de seguridad, sólo se deberá proveer aquella
información que sea requerida para demostrar la compatibilidad con los
requerimientos que deben ser cumplidos para ingresar a la IOFE. Sin
embargo, será necesario el informe auditor correspondiente conforme
al procedimiento establecido en esta guía.
En caso que exista una certificación de seguridad ISO 27001 o BS

7799-II que cumpla con los controles mínimos exigidos en el anexo 5
del presente documento, no será necesario un informe auditor para la
verificación del cumplimiento de las políticas de seguridad.
1.6 Definiciones y La CP, CPS y otra documentación de los PSCs acreditados, deben listar
acrónimos la definición de los términos y acrónimos utilizados. La sección 2 del
RFC 3647 provee varias definiciones. No obstante, de no encontrarse
incluidos en el RFC 3647, estos lineamientos sugieren añadir las
siguientes secciones a la CPS:
10 Bibliografía
11 Acrónimos y abreviaciones
12 Glosario
- A1.10 -
2. PUBLICACION Y Repositorio
RESPONSABILIDADES
DEL REPOSITORIO La EC y el Proveedor del servicio de Repositorio deberán asegurarse de
que los terceros que confían tengan conocimiento de sus
responsabilidades y de las limitaciones de las mismas con anterioridad
a la utilización del Repositorio. El servicio de Repositorio debe incluir la
Lista de Certificados Revocados de la EC completa.
Adicionalmente a las responsabilidades dentro del marco de la IOFE, la

EC y el Proveedor del servicio de Repositorio están sujetos a las
obligaciones y responsabilidades legalmente establecidas, tanto en la
jurisdicción en la que la EC o el Repositorio se encuentran localizados
como en la jurisdicción en que se realiza una transacción que emplea
un certificado emitido bajo la IOFE. Estas obligaciones pueden incluir lo
establecido en la legislación para efectos de las transacciones
electrónicas y la privacidad.
La EC y el Proveedor del servicio de Repositorio deben asegurar que los

datos relativos a los titulares del certificado, suscriptores, terceros que
confían o transacciones, que fueren obtenidos al momento del empleo
del servicio, hayan sido recolectados y se encuentren protegidos de
conformidad con los requerimientos del esquema de la IOFE, la CP, CPS
y la legislación sobre privacidad que rige en la jurisdicción o
jurisdicciones en las que operan la EC y el Proveedor del servicio de
Repositorio. Asimismo, deben respetar los principios de privacidad
establecidos en el Norma Marco sobre Privacidad. La recolección de
datos debe ser hecha con el previo consentimiento de las partes,
debiendo ser empleados únicamente para las necesidades propias del
servicio de certificación.
La EC y el Proveedor del servicio de Repositorio deben asegurar que

este Repositorio se encuentre disponible la mayor parte del tiempo en
que los terceros que confían requieran acceder al mismo. Es
conveniente una disponibilidad mínima de 99% anual, con un tiempo
programado de inactividad máximo de 0.5% anual.
Asimismo, deben asegurar que el Repositorio sea accesible a los

potenciales terceros que confían, utilizando para tales efectos
protocolos de acceso y tecnologías telemáticas comúnmente
empleadas.
Publicación
INDECOPI publicará la acreditación y estado de un PSC a través de un

directorio en su página WEB, estableciendo un Repositorio de
certificados o claves públicas de las entidades acreditadas para la
emisión de certificados, incluyendo los certificados cruzados o la
emisión de certificados para certificación cruzada.
Para efectos de estandarizar el formato de información confiable sobre

el estado de acreditación del PSC (EC, ER o SVA), INDECOPI
implementará la TSL basada en el estándar ETSI TS 102 231
“Electronic Signatures and Infrastructures (ESI); Provision of
harmonized Trust-service status information”.
La EC deberá publicar en su página WEB su CPS y todo documento

relevante además de las RPS de las ERs con las que tiene vinculación.
Las ECs acreditadas bajo el esquema de la IOFE deben publicar en su

página WEB el estatus o presunciones legales particulares para las
transacciones en que sus certificados puedan ser utilizados.
- A1.11 -
Para minimizar la posibilidad de manipulación del Repositorio, el

contenido de los documentos publicados por la EC o por el Proveedor
del servicio de Repositorio deerán estar firmados digitalmente por esta
entidad con un certificado acreditado por INDECOPI.
Art. 12° inc. c), e), f), h) y j)

obligaciones:
c) Informar a los usuarios de todas las condiciones de emisión y de uso
éstos.
e) Mantener depósito de los certificados digitales emitidos y cancelados,
consignando su fecha de emisión y vigencia.
f) Publicar permanente e ininterrumpidamente por medios telemáticos la
relación de los certificados digitales emitidos y cancelados.
h) Mantener la confidencialidad de la información relativa a los
solicitantes y titulares de certificados digitales limitando su empleo a las
necesidades propias del servicio de certificación, salvo orden judicial o
pedido expreso del titular del certificado digital.
j) Mantener la información relativa a los certificados digitales que
hubieren sido cancelados, por un período mínimo de diez (10) años a
partir de su cancelación.
Art. 38° inc. a), b) y g)

Artículo 38º.- De las Entidades de Certificación para el Estado
Peruano (ECEP)
a) Deberán ofrecer un servicio de directorio y permitir que las
aplicaciones accedan a los certificados digitales emitidos y a la Lista de
Certificados Digitales Revocados (LCR). Este servicio se debe encontrar
actualizado con la frecuencia indicada en las Políticas de Certificación
de cada tipo de certificado. Junto al Servicio de Directorio se puede
disponer del servicio de consulta en línea del estado de un certificado
digital.
b) Una ECEP podrá ofrecer distintos servicios y mecanismos para
recibir un requerimiento de certificado digital para otorgar el mismo a
su titular. La recepción de solicitudes de revocación y la publicación
periódica de la Lista de Certificados Digitales Revocados (LCR) son
servicios que debe ofrecer en forma obligatoria. Asimismo, deberá
garantizar el acceso permanente a dichos servicios, proponiendo una
solución para una eventual contingencia.
g) La integridad del directorio de certificados digitales y la lista de
certificados digitales revocados debe estar permanentemente asegurada.
Es responsabilidad de la ECEP garantizar la disponibilidad de este
servicio y la calidad de los datos suministrados por éste.
2.1 Repositorios Las ECs o Proveedores de servicios de repositorio acreditados, deben

establecer repositorios que permitan a los titulares de certificados,
suscriptores y terceros que confían, tener certeza respecto del estado
de un certificado emitido por una EC dentro del marco de la IOFE.
Todo procedimiento de interacción entre una EC y un Proveedor del

servicio de repositorio debe ser especificado en la CPS o en otro
documento relevante de estas entidades.
Los repositorios deben ser capaces de interoperar con otros repositorios

establecidos bajo la IOFE así como con otros repositorios de
infraestructuras que hubieren sido reconocidos por INDECOPI y bajo la
- A1.12 -
cual éstas operan.
Los repositorios deben ser accesibles empleando los protocolos y

tecnologías comúnmente disponibles: CRLs y OCSP.
2.2 Publicación de la La EC debe publicar en su página WEB toda la documentación

información sobre pertinente como su CP, CPS y otra documentación relevante que se
certificación encuentre vigente. Asimismo, debe establecer procedimientos para
acceder a las versiones anteriores de estos documentos.
Como mínimo, la EC debe publicar lo siguiente:
• Un directorio actualizado de certificados en el que se indicarán

los certificados expedidos, su vigencia o expiración, siempre
que el titular del certificado haya autorizado dicha publicación.
• Las listas de certificados revocados (CRL) y otras informaciones

de estado de revocación de los certificados.
• La CP, la CPS o un resumen de las mismas.
• Los instrumentos legales vinculantes con suscriptores, titulares,

terceros que confían y cualquier otro PSC.
Cuando la publicación de cierta información contenida en la

documentación pueda ser perjudicial para la seguridad u operaciones
de la EC, esta información puede ser omitida, pero deberá dejarse
constancia de la existencia de la misma.
Una EC acreditada puede publicar su clave pública adicionalmente a

cualquier otra publicación o difusión que sobre la misma efectúe la
IOFE.
Una EC puede publicar cualquier documento relativo a su acreditación o

cualquier otro certificado cruzado que pudiera tener con otra EC, bajo
los términos que para tales efectos hayan sido establecidos por
INDECOPI.
2.3 Tiempo o Las modificaciones relativas a las CPS u otra documentación de los
frecuencia de la PSCs, deben ser publicadas tan pronto como razonablemente sea
publicación posible, debiendo tener cuidado de cumplir con los requisitos que
fueren necesarios para la aprobación de dichas modificaciones.
Toda modificación relativa a la CPS de las ECs debe ser aprobada por
INDECOPI antes de su publicación.
La información respecto a la acreditación de un PSC y la información

confiable sobre su estado, será publicada tan pronto se produzca un
cambio. Los procedimientos para el acceso a versiones anteriores de
estos documentos, también deben ser publicados.
La información de la EC se debe publicar cuando se encuentre

disponible y en especial, de forma inmediata cuando se trate de
menciones relativas a la vigencia, expiración o revocación de los
certificados. Los certificados deben de ser publicados tan pronto se
produzca su generación y emisión, debiendo tomar en consideración
para tales efectos la legislación existente en materia de privacidad. En
los casos en los que un repositorio incluya también información
respecto al estado, este repositorio debe ser publicado con la misma
frecuencia como se publica una CRL.
- A1.13 -
Una CRL o una Delta-CRL debe ser publicada por lo menos una vez
dentro de un periodo de 24 horas. Esta provisión no se aplica a ECs que
sólo emiten certificados a ECs subordinados o de certificación cruzada.
La TSL será actualizada por INDECOPI por un periodo máximo de dos

meses o cada vez que un nuevo PSC sea acreditado.
Art. 12° inc. f) y j)

obligaciones:
2.4 Controles de El acceso a los repositorios debe de ser restringido únicamente para el
acceso a los uso de los titulares y suscriptores legítimos, así como a los terceros que
repositorios confían, teniendo en cuenta los temas de privacidad que pudieran
existir. Esta provisión puede no aplicar para aquellas ECs cuyos
certificados han sido diseñados para un uso totalmente abierto, y cuyos
titulares y suscriptores han sido advertidos respecto al hecho de que no
se aplicarán restricciones de acceso a los repositorios en los que sus
certificados se encuentran.
Dentro de su comunidad, la EC no debe limitar el acceso de lectura a

las informaciones establecidas en su CPS, pero debe establecer
controles para impedir que personas no autorizadas puedan añadir,
modificar o borrar registros del Repositorio, con el fin de proteger la
integridad y autenticidad de la información de estado de revocación.
La EC debe emplear sistemas fiables para el Repositorio, de modo tal

que:
• Únicamente las personas autorizadas puedan hacer anotaciones

y modificaciones.
• Pueda comprobarse la autenticidad de la información y la

autenticidad de los certificados.
• Pueda detectarse cualquier cambio técnico que afecte a los

requisitos de seguridad. Las responsabilidades correspondientes
al repositorio deben ser registradas en la CPS de la EC. Si el
Repositorio es operado por una entidad separada de la EC, sus
responsabilidades también deberán ser registradas en la
documentación del repositorio.
Para minimizar la posibilidad de manipulación del Repositorio, el

contenido de estos documentos debe ser firmado digitalmente por la
EC.
El acceso y otros controles deben asegurar que se requieran

autorizaciones específicas a efectos de implementar búsquedas en el
directorio que no se refieran a la validación de un certificado en
particular.
- A1.14 -
NOTA: Ciertas búsquedas no controladas del directorio podrían generar
inconvenientes tales como el establecimiento de relaciones entre

información antigua y nueva cuando los certificados han sido
modificados (un tema de privacidad), así como ataques de denegación
de servicio.
Art. 12° inc. h) y j)

obligaciones:
Art. 38° inc. g)

Peruano (ECEP)
3. IDENTIFICACIÓN Y La CPS de la EC debe hacer referencia las secciones de la RPS de la ER

AUTENTICACIÓN vinculada, correspondientes a los procedimientos de identificación y
autenticación.
Por otro lado, la EC correspondiente debe establecer el procedimiento

para la prueba de posesión de que la clave privada y su
almacenamiento en módulos acreditados según el Common Criteria,
FIPS 140-2 o equivalente, con la declaración del número de serie del
módulo, factura o auditoría respectiva, por ejemplo.
3.1 Nombre
3.1.1 Tipos de nombres Se requiere el uso de nombres únicos, los cuales deben ser
establecidos conforme a lo definido en la familia de estándares X.501.
En el caso de certificados de personas jurídicas destinados al uso de

agentes automatizados puede permitirse el empleo de seudónimos, en
cuyo caso éstos deberán también ser nombres únicos.
Los certificados de personas jurídicas deben incluir, como mínimo, la

razón social de dicha persona jurídica y su número de RUC, así como el
nombre completo y número de documento oficial de identidad del
suscriptor de dicho certificado, indicando el tipo de documento.
Los certificados de personas naturales deben incluir como mínimo, su

nombre completo y su número de documento oficial de indentidad,
indicando el tipo de documento.
Asimismo, en los campos correspondientes a los datos de los

suscriptores deben considerarse los campos de correo electrónico y
domicilio electrónico oficial para el Estado Peruano; este último será
- A1.15 -
utilizado cuando se implemente dicho servicio.
3.1.2 Necesidad que Se debe establecer en la CPS u otro documento relevante de la EC, las
los nombres tengan modalidades y los significados de los diferentes tipos de nombres que
un significado serán asignados a los certificados.
Se puede permitir, en algunas circunstancias, como en el caso del

empleo de identificadores de máquinas (autómatas), el uso de nombres
que pueden tener significado únicamente entre los terceros que confían
que emplean estos certificados.
3.1.3 Anonimato o La IOFE permite, en algunas circunstancias, como en el caso del

seudónimo de los empleo de identificadores de máquinas (autómatas), el uso de nombres
suscriptores
que pueden tener significado únicamente entre los terceros que confían
que emplean estos certificados.
La EC debe establecer en su CPS o en cualquier otro documento

relevante, si considerará el uso de seudónimos y las pautas para su uso
adecuado.
3.1.4 Reglas para

Las reglas necesarias para la interpretación de las diferentes
interpretar las
modalidades de nombres deben estar especificadas en la CPS o en otro
diferentes
documento relevante de la EC, de modo que estén disponibles para los
modalidades de
terceros que confían.
nombres
3.1.5 Singularidad de Los nombres de los suscriptores deben ser únicos para cada servicio de
los nombres generación de certificados operado por una EC. Por lo tanto, no se
puede reasignar un nombre a un suscriptor que ya hubiera sido
asignado a otro diferente. Para evitar conflictos de nombres en
certificados correspondientes a personas físicas la identificación del
titular debe estar formada por su nombre y apellidos, más su
documento oficial de identidad. En certificados en que aparezcan datos
de personas jurídicas, esta identificación se debe realizar por medio de
su denominación o razón social y su RUC. Además del nombre y
apellidos del suscriptor, más su documento oficial de identidad. De otro
modo, la EC debe utilizar un mecanismo que le permita evitar el
conflicto entre nombres.
Art. 38° inc. h).

Peruano (ECEP)
h) Cada titular del certificado deberá ser distinguido unívocamente. Para el
caso de los funcionarios, empleados o servidores públicos y de las
personas expresamente autorizadas por la entidad pública
correspondiente, deberá incluirse en los certificados, el organismo donde
desempeñan sus funciones o el organismo por el cual ha sido autorizado.
Para los administrados, ciudadanos o empresas deberá incluirse el
organismo emisor del certificado.
3.1.6 Reconocimiento, Se prohíbe a los solicitantes de certificados de personas jurídicas que
- A1.16 -
autenticación y rol incluyan nombres en las solicitudes que puedan suponer infracción de
de las marcas derechos de terceros.
registradas
En el caso de personas jurídicas, no se podrá volver a asignar un
nombre de titular que ya haya sido asignado a un titular diferente.
No le corresponde a la ER determinar si un solicitante de certificados le
asiste algún tipo de derecho sobre el nombre que aparece en una

solicitud de certificado. Asimismo, no le corresponde resolver ninguna
disputa concerniente a la propiedad de nombres de personas naturales
o jurídicas, nombres de dominio, marcas o nombres comerciales. Sin
embargo, la ER debe cerciorarse mediante la validación de la
documentación e información requerida del solicitante del certificado
que tanto el nombre del titular como del suscriptor correspondan a los
solicitantes.
La ER tiene el derecho de rechazar una solicitud de certificado a causa

de conflicto de nombres.
3.2 Validación inicial de El proceso de comprobación de la identidad de la persona natural o

la identidad jurídica cuyos datos se incluyen en un certificado tiene como objetivo
garantizar que el suscriptor y el titular sean las mismas personas
identificadas en la solicitud de certificado, y que la información que se
incluya en el certificado sea verdadera y exacta.
La EC debe hacer referencia en su CPS los procedimientos de

identificación inicial descritos en la RPS de la ER.
Art. 15° inc. a) c)

Artículo 15º.- Funciones
Las Entidades de Registro o Verificación tienen las siguientes funciones:
a) Identificar al solicitante del certificado digital mediante el
levantamiento de datos y la comprobación de la información brindada
por aquel.
c) Aceptar y/o autorizar, según sea el caso, la conformidad de las
solicitudes de emisión, modificación o cancelación de certificados
digitales, comunicándolo a la Entidad de Certificación.
Art. 16° inc. b) y d)

Las Entidades de Registro o Verificación registradas tienen las
siguientes obligaciones:
b) Determinar objetivamente y en forma directa la veracidad de la
información proporcionada por el solicitante del certificado digital, bajo
responsabilidad.
d) Recoger únicamente información o datos personales de relevancia
para la emisión de los certificados.
Art. 39° inc. e)

e) Cuando por primera vez un solicitante requiera ante una EREP que
se le emita un certificado digital, deberá acreditarse personalmente
para dicho propósito.
3.2.1 Método para La EC debe requerir del suscriptor una demostración de la posesión de
probar la posesión las claves generadas. Esto se puede realizar a través de la firma
de la clave privada electrónica de un mensaje o datos que sean verificables con dicha clave
pública. No será necesario realizar este paso en los casos en que la
- A1.17 -
clave sea provista al suscriptor por un medio seguro que permita que
únicamente dicha persona tenga acceso y conocimiento sobre la
recepción de la referida clave. Cuando el par de claves sea generado en
las instalaciones de la ER, no es el solicitante quien debe demostrar la
posesión de la clave privada, sino la ER, la cual debe hacerlo en virtud
del procedimiento fiable de emisión, de entrega y de aceptación del
dispositivo seguro, del correspondiente certificado y el par de claves
almacenados en su interior. La EC debe establecer en su CPS el

procedimiento para probar la posesión de la clave privada, el cual
puede ser hecho por el suscriptor o por la ER.
En el caso de una persona jurídica (certificados de atributos), la EC

debe asegurarse de que únicamente el suscriptor de certificados es
poseedor de la clave privada.
3.2.2 Autenticación de La EC debe hacer referencia en su CPS sobre los procedimientos de

la identidad de una autenticación de la identidad de una persona jurídica descritos en la
persona jurídica RPS de la ER.
Cuando la persona jurídica que solicita el certificado (no de atributos)

es una EC acreditada por INDECOPI, esta información debe ser incluida
en la CPS u otro documento relevante de dicha EC.
Art. 25° inc. b)

Artículo 25º.- Requisitos
Para la obtención de un certificado digital, el solicitante deberá acreditar
lo siguiente:
b) Tratándose de personas jurídicas, acreditar la existencia de la misma
y su vigencia mediante los instrumentos públicos o norma legal
respectiva.
Art. 26°
respectiva comprobación. Para el caso de personas jurídicas, la solicitud
del certificado digital del cual ésta será titular y el registro o verificación
de su identidad deben ser realizados a través de un representante
debidamente acreditado. Conjuntamente con la solicitud debe indicarse
el representante, persona natural, al cual se le asignará la facultad de
Art. 27°
… En el caso de una persona jurídica, la solicitud deberá ser
presentada por la persona facultada para tal fin, debiendo acreditar la
existencia y vigencia de la persona jurídica mediante los instrumentos
- A1.18 -
públicos o norma legal respectiva, así como las facultades del

representante. Asimismo, deberá presentar toda la información
requerida por la declaración de prácticas de la entidad correspondiente.
Art. 39° inc. a)

a) Los trámites y procedimientos administrativos ante las entidades
de la Administración Pública, la constancia documental de la
transmisión a distancia por medios electrónicos entre autoridades
administrativas o con sus administrados, o cualquier tramite,
procedimiento o proceso por parte de los administrados o ciudadanos
ante las Entidades Publicas o entre estas entidades, no excluyendo
a las representaciones del Estado Peruano en el exterior, podrán
efectuarse utilizando las diversas tecnologías de certificados digitales
y firmas electrónicas reconocidas por la AAC, conforme a Ley.
3.2.3 Autenticación de La EC debe hacer referencia en su CPS sobre los procedimientos de

identidad individual autenticación de la identidad de una persona individual descritos en la
RPS de la ER.
Art. 25°
lo siguiente:
a) Tratándose de personas naturales, tener plena capacidad de ejercicio
de sus derechos civiles.
respectiva.
Art. 26°
respectiva comprobación. En el caso de personas naturales, la solicitud
del certificado digital y el registro o verificación de su identidad son
estrictamente personales. La persona natural solicitante se constituirá
en titular del certificado digital y de las firmas digitales que se generen...
Art. 27°
Para el caso de personas naturales, éstas deberán presentar una solicitud
a la Entidad de Registro o Verificación, según sea el caso; dicha solicitud
deberá estar acompañada de toda la información requerida por la
declaración de prácticas de certificación o en los procedimientos
declarados. La Entidad de Registro o Verificación deberá comprobar la
identidad del solicitante a través de su documento oficial de identidad. La
Entidad de Certificación cumplirá lo dispuesto en el presente artículo, en
el supuesto previsto en el segundo párrafo del artículo 12º de la Ley.
3.2.4 Información no
La EC debe hacer referencia en sus CPS los procedimientos descritos
verificada del
en la RPS de la ER.
suscriptor
3.2.5 Validación de la La EC debe hacer referencia en sus CPS los procedimientos descritos en
autoridad la RPS de la ER.
- A1.19 -
Art. 26°
…Para el caso de personas jurídicas, la solicitud del certificado digital
del cual ésta será titular y el registro o verificación de su identidad
deben ser realizados a través de un representante debidamente
acreditado. Conjuntamente con la solicitud debe indicarse el
representante, persona natural, al cual se le asignará la facultad de
3.2.6 Criterios para la INDECOPI reconocerá a todas aquellas infraestructuras y ECs cuya CPS
interoperabilidad esté conforme con las Guías y Reglamentos de Acreditación emitidos
por ella, para que puedan interoperar con la IOFE (reconocimiento
cruzado).
Art. 12° inc. l)

obligaciones:
l) Informar y solicitar autorización a la AAC para realizar acuerdos de
certificación cruzada que proyecte celebrar, así como los términos bajo
los cuales dichos acuerdos se suscribirían.
Art. 53°
Artículo 53º.- Acuerdos de reconocimiento mutuo
La AAC podrá suscribir acuerdos de reconocimiento mutuo con
entidades similares, a fin de reconocer la validez de los certificados
digitales otorgados en el extranjero y extender la interoperabilidad de la
IOFE. Los acuerdos de reconocimiento mutuo deben garantizar en
forma equivalente las funciones exigidas por la Ley y su Reglamento.
Art. 54°
Artículo 54º.- Reconocimiento
La AAC podrá reconocer los certificados digitales emitidos por Entidades
Extranjeras, de acuerdo con las prácticas y políticas que para tal efecto
apruebe, las que deben velar por el cumplimiento de las obligaciones y
responsabilidades establecidas en el Reglamento u otra norma
posterior. Asimismo, podrá autorizar la operación de aquellas
Entidades de Certificación nacionales que utilicen los servicios de
Entidades de Certificación extranjera, de verificarse tal supuesto, las
entidades nacionales asumirán las responsabilidades del caso. Para tal
efecto, la entidad extranjera deberá comunicar a la AAC el nombre de
aquellas entidades de certificación que autorizarán las solicitudes de
emisión de certificados digitales así como la gestión de los mismos. La
AAC emitirá las normas que aseguren el cumplimiento de lo establecido
en el presente artículo; así como los mecanismos adecuados de
información a los agentes del mercado.
Art. 55°
Artículo 55º.- Certificación cruzada
Las Entidades de Certificación acreditadas pueden realizar certificaciones
cruzadas con Entidades de Certificación Extranjeras a fin de reconocer
- A1.20 -
los certificados digitales que éstas emitan en el extranjero,

incorporándolos como suyos dentro de la IOFE, siempre y cuando
obtengan autorización previa de la AAC.
Las entidades que presten servicios de acuerdo a lo establecido en el

párrafo precedente, asumirán responsabilidad de daños y perjuicios por
la gestión de tales certificados.
Las Entidades de Certificación acreditadas que realicen certificaciones
cruzadas conforme al primer párrafo del presente artículo, garantizarán
ante la AAC que las firmas electrónicas y/o certificados digitales
reconocidos han sido emitidos bajo requisitos equivalentes a los
exigidos en la IOFE, y que cumplen las funciones señaladas en el
artículo 2º de la Ley.
3.3 Identificación y
autenticación para
La EC debe hacer referencia en sus CPS los procedimientos descritos
solicitudes de re-
en la RPS de la ER.
emisión de
certificado3
3.3.1 Identificación y
autenticación para
La EC debe hacer referencia en sus CPS los procedimientos descritos en
solicitudes de re-
la RPS de la ER.
emisión de
certificado rutinaria
3.3.2 Identificación y
autenticación para
La EC debe hacer referencia en sus CPS los procedimientos descritos en
la re-emisión de
la RPS de la ER.
certificado luego de
la revocación
3.4 Identificación y El suscriptor y el titular pueden solicitar a la EC o ER la revocación de

autenticación de la su certificado a través de medios telemáticos utilizando un medio que
solicitud de garantice el no repudio, como un mensaje firmado con un certificado
revocación válido, la autenticación a través de una frase secreta conocida sólo por
el suscriptor del certificado, etc.
Con respecto a las demás circunstacias en las que se puede solitar la

revocación de un certificado, la EC debe hacer referencia en su CPS los
procedimientos descritos en la RPS de la ER.
Art. 11° inc. b)

Las Entidades de Certificación tendrán las siguientes funciones:
b) Cancelar certificados digitales.
Art. 12° inc. g) y j)

obligaciones:
g) Cancelar el certificado digital a solicitud de su titular o, de ser el
caso, a solicitud del titular de la firma digital; o cuando advierta que
3
Antes que un certificado en vigor expire, , si es que se desea seguir utilizándolo sin interrupción alguna, es
decir, que obtenga un nuevo certificado a partir de una re-emisión de certificado, manteniendo la información
contenida en el certificado anterior, para continuar utilizándolo sin interrupción alguna.
- A1.21 -
la información contenida en el certificado digital fuera inexacta o

hubiera sido modificada, o que el titular incurriera en alguna de las
causales previstas en el artículo 30º del Reglamento.
Art. 15° inc. c)

Art. 23° inc. e)

Artículo 23º.- Obligaciones del titular
Las obligaciones del titular de la firma digital son:
e) En caso de que la clave privada quede comprometida en su seguridad,

el titular debe notificarlo de inmediato a la Entidad de Certificación para
que cancele el certificado digital. La Entidad de Certificación será
responsable de los daños que pueda ocasionar la demora en dicha
cancelación.
Art. 24° inc. b)

Artículo 24º.- Invalidez
Una firma digital generada bajo la IOFE pierde validez si es utilizada:
b) Cuando el certificado haya sido cancelado o revocado conforme a lo
establecido en el Capítulo V del presente Título.
Artículo 30º.- Causales de cancelación

La cancelación del certificado puede darse:
a) A solicitud del titular del certificado digital o del titular de la firma
digital sin previa justificación, siendo necesario para tal efecto la
aceptación y autorización de la Entidad de Certificación o la Entidad de
Registro o Verificación, según sea el caso, la misma que deberá ser
aceptada y autorizada como máximo dentro del plazo establecido por la
AAC. Si en el plazo indicado la entidad no se pronuncia, se entenderá
que el certificado ha sido cancelado, sin perjuicio del tercero de buena fe.
b) Por revocación efectuada por la Entidad de Certificación, con

expresión de causa.
c) Por expiración del plazo de vigencia.
d) Por el cese de operaciones de la Entidad de Certificación que lo emitió.
e) Por resolución administrativa o judicial que lo ordene.
f) Por interdicción civil judicialmente declarada, declaración de ausencia
o de muerte presunta, del titular del certificado.
g) Por extinción de la personería jurídica o declaración judicial de
quiebra.
h) Otras causales que establezca la AAC.
i) Por muerte, o por inhabilitación o incapacidad declarada
judicialmente de la persona natural titular del certificado.
Art. 31°
Artículo 31º.- Cancelación del certificado a solicitud de su titular
La solicitud de cancelación de un certificado digital puede ser realizada
por su titular o a través de un representante debidamente acreditado;
pudiendo realizarse mediante documento electrónico firmado
digitalmente, de acuerdo con los procedimientos definidos en cada
caso por las Entidades de Certificación.
El titular del certificado está obligado, bajo responsabilidad, a solicitar la
cancelación al tomar conocimiento de la ocurrencia de alguna de las
siguientes circunstancias:
a) Por exposición, puesta en peligro o uso indebido de la clave privada.
- A1.22 -
b) Por deterioro, alteración o cualquier otro hecho u acto que afecte la

clave privada.
Art. 32°
Artículo 32º.- Cancelación por revocación
La revocación supone la cancelación de oficio de los certificados por
parte de la Entidad de Certificación, quien debe contar con
procedimientos detallados en su declaración de prácticas de
certificación.
La revocación también puede ser solicitada por un tercero que informe
fehacientemente de alguno de los supuestos de revocación contenidos
en los numerales 1) y 2) del artículo 10º de la Ley.
La revocación debe indicar el momento desde el cual se aplica,

precisando la fecha, hora, minuto y segundo del mismo. La revocación no
puede ser aplicada retroactivamente y debe ser notificada al titular del
certificado digital. La Entidad de Certificación debe inmediatamente
incluir la revocación del certificado digital en la relación que
corresponda.
4. REQUISITOS Las ECs deben elaborar una descripción didáctica de los pasos
OPERACIONALES requeridos para cada uno de los procesos implicados en el ciclo de vida
DEL CICLO DE de un certificado digital, tanto para una persona natural, jurídica y sus
VIDA DE LOS variaciones (conforme a su CPS). Debe realizarse una descripción por
CERTIFICADOS cada tipo de usuario definido por la EC conforme al documento
“Requerimientos de Usabilidad” –ver anexo 12-. Los documentos que
contengan dichas descripciones deben ser referenciados en esta
sección.
Art. 29°
Artículo 29º.- Contenido y vigencia
…El período de vigencia de los certificados digitales comienza y finaliza
en las fechas indicadas en él, salvo en los supuestos de cancelación
conforme al artículo 9º de la Ley. Los certificados digitales tendrán una
validez máxima de tres (3) años.
4.1 Solicitud del La EC debe establecer en su CPS u otro documento relevante los
certificado procedimientos para solicitar certificados, los mismos que deberán
estar en estricta observancia de la legislación en la materia, así como
los lineamientos establecidos por INDECOPI en las Guías de
Acreditación y documentos anexos, haciendo referencia en los campos
de autenticación de la identidad de los solicitantes a las secciones
competentes de la RPS de la ER.
Art. 12° inc. c)

obligaciones:
éstos.
Art. 25°
lo siguiente:
- A1.23 -

respectiva.
Art. 26°
en titular del certificado digital y de las firmas digitales que se generen.
Para el caso de personas jurídicas, la solicitud del certificado digital del
cual ésta será titular y el registro o verificación de su identidad deben
ser realizados a través de un representante debidamente acreditado.
Conjuntamente con la solicitud debe indicarse el representante, persona
natural, al cual se le asignará la facultad de generar y usar la clave
privada, señalando para tal efecto las atribuciones y los poderes de
representación correspondientes. Dicha persona natural será el titular
de las firmas digitales. Tratándose de certificados digitales solicitados
por personas jurídicas para su utilización a través de agentes
automatizados, la titularidad del certificado y de las firmas digitales
generadas a partir de dicho certificado corresponderá a la persona
jurídica. La atribución de responsabilidad, para tales efectos,
corresponde al representante legal, que en nombre de la persona
jurídica solicita el certificado digital.
Art. 27°
el supuesto previsto en el segundo párrafo del artículo 12º de la Ley.
En el caso de una persona jurídica, la solicitud deberá ser presentada
por la persona facultada para tal fin, debiendo acreditar la existencia y
vigencia de la persona jurídica mediante los instrumentos públicos o
norma legal respectiva, así como las facultades del representante.
Asimismo, deberá presentar toda la información requerida por la
declaración de prácticas de la entidad correspondiente.
4.1.1 Habilitados para La solicitud en el caso de personas naturales debe ser hecha por la
presentar la misma persona que pretende ser titular del certificado o por un
solicitud de un representante que cuente con facultades expresas para tales efectos
certificado otorgadas mediante poder. En este caso, el titular del certificado será el
poderdante y corresponderá al apoderado la condición de suscriptor. El
ámbito de utilización del certificado digital en este supuesto, se
encontrará circunscrito y limitado a las facultades expresamente
conferidas en el poder.
En el caso de personas jurídicas, se pueden solicitar certificados de

atributo para ser usados por funcionarios y personal específico, incluso
por el Representante legal. En este caso, se considera como aspirante a
titular del certificado a la persona jurídica y dichas personas naturales
vienen a ser los aspirantes a ser suscriptores.
- A1.24 -
En el caso que el certificado esté destinado para ser usado por un

agente automatizado, la solicitud debe ser hecha por un representante
designado por la persona jurídica dueña del dispositivo. En este caso, la
titularidad del certificado y de las firmas digitales generadas a partir de
dicho certificado corresponderá a la persona jurídica. La atribución de
responsabilidad, para tales efectos corresponde al representante legal,
que en nombre de la persona jurídica solicita el certificado digital.
Una ER acreditada puede aceptar la solicitud de certificados a nombre

de una EC también acreditada.
Se debe permitir que un suscriptor pueda efectuar solicitudes

referentes a múltiples titulares, siempre y cuando exista entre las
partes una relación de por medio que faculte al suscriptor para
proceder de esa manera.
Cada EC puede establecer limitaciones para la adquisición de sus

certificados digitales, de acuerdo a la comunidad de usuarios que haya
especificado en la sección 1.3.3 de su CPS.
4.1.2 Proceso de Las ECs deben establecer en su CPS el proceso necesario para realizar
solicitud y la solicitud de los certificados y las responsabilidades asumidas por el
responsabilidades suscriptor para tales efectos. La CPS debe hacer referencia las
secciones de la RPS correspondientes a la verificación de la identidad
del solicitante.
En el caso de una persona jurídica, el solicitante deberá especificar en

su solicitud el tipo de atributo al que corresponderá el certificado. Se
debe diferenciar entre el representante legal de la persona jurídica, de
los trabajadores que como parte de su cargo requieren de un
certificado digital. La EC, INDECOPI y los potenciales usuarios de dichos
certificados, deben ser advertidos del procedimiento necesario para
confirmar la titularidad de tal atributo y cualquier limitación que
pudiera existir en el uso del mismo.
La EC debe informar a los suscriptores y titulares sobre los téminos y

limitaciones aplicables al certificado y las obligaciones que deben
cumplir de conformidad con la legislación de la materia para garantizar
el efecto legal de las transacciones realizadas empleando un certificado
emitido por dicha EC. Dicha información puede ser entregada por la ER
a los suscriptores y titulares como parte de su convenio con la EC.
Art. 12° inc. c)

obligaciones:
éstos.
Art. 22°
Artículo 22º.- Del titular de la firma digital
Dentro de la IOFE, la responsabilidad sobre los efectos jurídicos
generados por la utilización de una firma digital corresponde al titular
del certificado. Tratándose de personas naturales, éstas son titulares del
certificado digital y de las firmas digitales que se generen a partir de
aquél, incluyendo las firmas digitales que se generen a través de
agentes automatizados.
- A1.25 -
En el caso de personas jurídicas, son éstas los titulares del certificado

digital, y sus representantes son los titulares de la firma digital, con
excepción de las firmas digitales que se generen a través de agentes
automatizados, situación en la cual las personas jurídicas son titulares
del certificado y de las firmas digitales generadas a partir de éstos.
Art. 28°
a) Actualizar permanentemente la información provista tanto a la
Entidad de Certificación como a la Entidad de Registro o Verificación,
asumiendo responsabilidad por la veracidad y exactitud de ésta.
b) Solicitar de inmediato la cancelación de su certificado digital en
caso de que la reserva sobre la clave privada se haya visto
comprometida, bajo responsabilidad.
c) Observar permanentemente las condiciones establecidas por la

Entidad de Certificación para la utilización del certificado.
Art. 25°
lo siguiente:

respectiva.
Art. 26°
en titular del certificado digital y de las firmas digitales que se generen.
Para el caso de personas jurídicas, la solicitud del certificado digital del
cual ésta será titular y el registro o verificación de su identidad deben
ser realizados a través de un representante debidamente acreditado.
Conjuntamente con la solicitud debe indicarse el representante, persona
natural, al cual se le asignará la facultad de generar y usar la clave
privada, señalando para tal efecto las atribuciones y los poderes de
representación correspondientes. Dicha persona natural será el titular
de las firmas digitales. Tratándose de certificados digitales solicitados
por personas jurídicas para su utilización a través de agentes
automatizados, la titularidad del certificado y de las firmas digitales
generadas a partir de dicho certificado corresponderá a la persona
jurídica. La atribución de responsabilidad, para tales efectos,
corresponde al representante legal, que en nombre de la persona
jurídica solicita el certificado digital.
Art. 27°
- A1.26 -
el supuesto previsto en el segundo párrafo del artículo 12º de la Ley. En el

caso de una persona jurídica, la solicitud deberá ser presentada por la
persona facultada para tal fin, debiendo acreditar la existencia y
vigencia de la persona jurídica mediante los instrumentos públicos o
norma legal respectiva, así como las facultades del representante.
Asimismo, deberá presentar toda la información requerida por la
declaración de prácticas de la entidad correspondiente.
4.2 Procesamiento de
la solicitud de un
certificado
4.2.1 Realización de las

funciones de La EC debe hacer referencia en sus CPS los procedimientos descritos en
identificación y la RPS de la ER.
autenticación
4.2.2 Aprobación o La solicitud debe ser rechazada si el solicitante no está capacitado para
rechazo de la participar de la comunidad de usuarios de la IOFE, sea el caso de una
solicitud de emisión persona natural o jurídica o si el resultado de la validación realizada por
de un certificado la ER fue negativo.
Una EC puede decidir establecer en su CPS u otra documentación

relevante, circunstancias adicionales para el rechazo de la solicitud.
En caso que una solicitud sea aprobada por la ER, dicha entidad debe
realizar lo siguiente:
• Comunicar a la EC su aprobación para la emisión del

certificado. Para ello se deben implementar los mecanismos de
seguridad necesarios para establecer una comunicación segura
entre la EC y la ER durante el proceso de emisión del certificado
y generación del par de claves.
• La ER debe requerir del suscriptor la firma de un contrato de

conformidad personal de dichas responsabilidades, así como de
conformidad por parte de los titulares en cuyo nombre actúa el
suscriptor.
El contrato antes aludido, deberá contener las obligaciones que deben

cumplir los suscriptores y titulares de conformidad con la legislación de
la materia, para garantizar el efecto legal de las transacciones
realizadas empleando un certificado emitido por dicha EC, así como las
consecuencias de no cumplir con el acuerdo.
Las ECs deben establecer el contenido del contrato del suscriptor en

coordinación con la ER, reflejando tanto las responsabilidades de la EC,
la ER y la de los suscriptores y titulares; y los procedimientos a seguir
para realizar la firma del mismo. Como mínimo se debe requerir al
suscriptor y al titular lo siguiente:
• Facilitar a la ER la información completa y adecuada, conforme

a los requisitos especificados en su respectiva RPS u otra
documentación relevante.
• Manifestar su consentimiento previo a la emisión de un

certificado.
• Cumplir las obligaciones que se establecen para el suscriptor y

el titular en la CPS de la EC u otro documento relevante y en el
- A1.27 -
contrato del suscriptor.
• Emplear el certificado de acuerdo con lo establecido en la CPS

(específica o general) u otro documento relevante de la EC y
en el contrato del suscriptor.
• Ser razonablemente diligente en la custodia de su clave
privada, con el fin de evitar usos no autorizados, de acuerdo

con lo establecido en la CPS de la EC u otro documento
relevante y en el contrato del suscriptor.
• Notificar al personal de una ER, sin retrasos injustificables:
1. La pérdida, robo o extravío del dispositivo electrónico de

seguridad que almacena su clave privada (computador, token
criptográfico o tarjeta inteligente).
2. El compromiso potencial de su clave privada.
3. La pérdida de control sobre su clave privada, debido al

compromiso de los datos de activación o por cualquier otra
causa.
4. Las inexactitudes o cambios en el contenido del certificado

que conozca o pudiera conocer el suscriptor.
• Dejar de utilizar la clave privada, transcurrido el plazo de

vigencia del certificado.
• No monitorizar, manipular o realizar actos de ingeniería

reversa sobre la implantación técnica de la IOFE, sin permiso
previo por escrito de INDECOPI.
• No comprometer intencionadamente la seguridad de la

Jerarquía de la IOFE.
Además, la EC en convenio con la ER, debe proporcionar la siguiente

información a los suscriptores y titulares como parte del contrato4:
• Política de aplicación del certificado, limitaciones y prohibiciones

de uso.
• Las responsabilidades del suscriptor, del titular frente a: la

actualización verídica de datos, revocación de certificados en
caso de que la clave privada se vea comprometida, re- emisión
de certificado antes de la expiración del certificado.
• Información sobre cómo validar el certificado, incluyendo el

requisito de comprobar el estado del mismo y las condiciones
en las cuales se puede confiar razonablemente en el certificado,
lo cual resulta aplicable cuando el suscriptor actúa como tercero
que confía.
• Limitaciones de responsabilidad aplicables, incluyendo los usos

por los cuales la EC acepta o excluye su responsabilidad.
• Ley aplicable y jurisdicción competente.
4
Puede entregarse un documento adicional al contrato, que puede considerarse como parte de él.
- A1.28 -
• Declaración de la acreditación de la EC y la ER por la IOFE.
La firma del contrato del suscriptor puede realizarse de manera

electrónica, utilizando la clave privada generada en dicho proceso, al
momento de solicitar electrónicamente el certificado digital.
Nota: En el caso de certificados de atributos, los contratos de los

suscriptores son diferentes de los contratos de los suscriptores. Las
condiciones e información aplicable a los certificados mencionadas en
este documento deben ser incluidas en el contrato del titular. El
momento de la celebración de este contrato debe ser previo a la
emisión de los certificados de los suscriptores.
4.2.3 Tiempo para el Una vez validada la información proporcionada por el suscriptor, si el
procesamiento de resultado de la validación es positivo, la ER debe enviar a la EC la
la solicitud de un autorización de la emisión del certificado de manera inmediata.
certificado
La EC debe establecer en su CPS u otra documentación relevante el
tiempo necesario para el procesamiento de solicitudes, este tiempo no
debe ser mayor a 5 días útiles a partir de la entrevista presencial del
solicitante en la ER, considerando el intercambio de información
necesario entre la EC y la ER.
4.3 Generación de
claves y emisión
del certificado
4.3.1 Acciones de la EC La EC emitirá un certificado digital siempre que reciba una solicitud de
durante la emisión una ER acreditada en un tiempo determinado por la EC. La solicitud
del certificado deberá estar autorizada y validada. La emisión del certificado implica la
realización de las siguientes acciones:
• Generación de un par de claves y de un certificado de manera

segura.
• Asociación del par de claves que corresponde al certificado con

un suscriptor.
• Emisión del certificado y de la clave pública asociada para su

uso operativo, de acuerdo con el “Nombre Diferenciado”
asociado con el suscriptor y la Guía de Acreditación de EC.
Antes de emitir un certificado la EC debe asegurarse que el suscriptor o

la ER que haya generado el par de claves, lo haya hecho de manera
correcta y que la clave publica guarde relación con la clave privada –
ver sección 3.2.1.
El certificado debe ser emitido de manera segura, el par de claves debe

ser generado de tal modo que sólo el suscriptor sea responsable de su
posesión. No se permite el almacenamiento de originales, copias o
back-ups de la clave privada en la ER ni en la EC, a excepción de las
claves de los certificados de cifrado, siempre y cuando dicho
almacenamiento se encuentre especificado en las cláusulas de los
contratos que los suscriptores hayan firmado para al momento de
adquirir el certificado.
La EC debe asegurarse que el certificado emitido pueda ser instalado

por el suscriptor que posee el par de claves respectivo. Un mecanismo
para asegurar esto pude ser que el certificado sea instalado en
presencia del personal asignado por la ER.
- A1.29 -
El certificado emitido debe haber sido firmado previamente por la EC

que lo emitió.
4.3.2 Notificación al Luego de emitido el certificado, la EC debe notificar al suscriptor acerca

suscriptor por parte de esta emisión. Esta notificación puede realizarse mediante medios
de la EC respecto telemáticos, a través del envío del certificado al suscriptor,
de la emisión de un acompañado para tales efectos de una declaración de la emisión o una
certificado notificación de la emisión del certificado y además de los
procedimientos necesarios para la obtención o instalación del mismo.
La EC debe establecer en su CPS o en otro documento relevante los

procedimientos necesarios para notificar a un suscriptor sobre la
emisión de un certificado, y para la verificación de la recepción del
mismo por el suscriptor.
Esta notificación no será requerida en caso que el certificado sea

emitido en la ER, en presencia del suscriptor en un dispositivo de
seguridad. De modo que el certificado y las claves se encuentren en
posesión del suscriptor desde su instalacion o generación.
4.4 Aceptación del

certificado
4.4.1 Conducta La EC debe establecer en su CPS los procedimientos mínimos para la

constitutiva de la aceptación de un certificado. En el caso que el certificado sea remitido
aceptación de un por medios electrónicos, la EC puede requerir al receptor que firme
certificado digitalmente un mensaje de aceptación utilizando las claves del
certificado remitido.
El mensaje de aceptación del certificado no será requerido en caso que

el suscriptor realice la instalación en presencia de personal autorizado
de la ER.
Una vez que un certificado es aceptado, se debe requerir al suscriptor o

al titular cumplir con las responsabilidades de suscriptor o titular
establecidos en la CPS de la EC, el contrato del suscriptor y toda la
legislación relevante.
En el caso que un certificado no fuere aceptado dentro de un periodo

de tiempo especificado en la CPS de la EC, o que éste fuera rechazado
por el titular o suscriptor, dicho certificado deberá ser revocado de
manera inmediata.
La aceptación de un certificado puede ser evidenciada a través de una

aceptación formal o de manera tácita mediante el empleo del
certificado.
Art. 23° inc. b)

b) Generar la clave privada y firmar digitalmente mediante los
procedimientos señalados por la Entidad de Certificación.
4.4.2 Publicación del Los certificados pueden ser almacenados en un Repositorio acreditado
certificado por por INDECOPI, con previo conocimiento de los suscriptores y titulares
parte de la EC de los certificados, habiendo sido estipulado en el contrato del
- A1.30 -
suscriptor.
La política general de almacenamiento en el Repositorio debe ser

adjuntada a la CPS de la EC. Si el Repositorio funciona como una
entidad separada, sus responsabilidades deben también ser
establecidas dentro de las políticas del Repositorio. La EC debe
establecer sus responsabilidades en relación a las operaciones
realizadas por el proveedor del servicio de Repositorio.
La EC y el Proveedor del servicio Repositorio se encuentran sujetos a

obligaciones legales tanto en la jurisdicción en la cual la IOFE, la EC o
el mismo Repositorio se encuentren, como cuando tiene lugar una
transacción que utiliza un certificado emitido bajo el esquema de la
IOFE. Estas obligaciones incluiyen aspectos legales relativos a las
transacciones electrónicas y a la privacidad.
La EC y el Repositorio deben asegurar que los datos relativos al titular

y suscriptor, tercero que confía o transacción que fueren obtenidos al
momento del uso del servicio, sean recogidos y protegidos mediante
controles de acceso, asimismo deben considerarse los principios
establecidos en la Norma Marco sobre Privacidad –ver anexo 6-.
La EC debe asegurar que el servicio de consulta al Repositorio para

determinar la validés de los certificados se encuentre disponible la
mayor parte del tiempo en el que el tercero que confía pueda necesitar
acceder al mismo. Asimismo, se debe asegurar que los terceros que
confían puedan acceder a este servicio empleando protocolos de acceso
y tecnologías comúnmente usados.
Art. 9° inc. e), f), h) y j)

obligaciones:

Peruano (ECEP)
digital.
- A1.31 -


4.4.3 Notificación de la Una EC puede notificar a otras entidades acerca de la emisión de un

EC a otras certificado, mediante una notificación directa o a través de la
entidades respecto publicación de la clave pública y datos que no comprometan la
a la emisión de un privacidad de los suscriptores y titulares en un repositorio al cual
certificado tengan acceso estas otras entidades.
En los casos en que una ER procese las solicitudes de emisión de

certificados en representación de una EC, debe notificarse a dicha EC la
emisión y aceptación de ese certificado.
Una EC acreditada puede publicar su clave pública y certificado

adicionalmente a cualquier publicación o difusión que sobre el particular
pueda realizar INDECOPI.
Una EC puede publicar cualquier certificado relativo a su acreditación o

certificados cruzados que pueda mantener con otras ECs, siempre y
cuando no comprometa la seguridad de la Jerarquía de la IOFE.
Art. 15° inc. c)

Art. 12° inc. l)

obligaciones:
Art. 38° inc. a)

Peruano (ECEP)
digital.
Art. 40° inc. n)

La Autoridad Administrativa Competente (AAC) tiene las siguientes
funciones:
n) Autorizar la realización de certificaciones cruzadas con entidades de
certificación extranjeras.
Art. 55°
- A1.32 -



4.5 Par de claves y uso

del certificado
4.5.1 Uso de la clave La EC debe requerir del suscriptor y titular, como mínimo, lo siguiente:
privada y
certificado por • Emplear el certificado de acuerdo con lo establecido en la CPS
parte del suscriptor de la EC u otro documento relevante y en el contrato del
suscriptor.
• Ser razonablemente diligente en la custodia de su clave

privada, con el fin de evitar usos no autorizados, de acuerdo
con lo establecido en la CPS de la EC u otro documento
relevante y en el contrato del suscriptor.
• Notificar a la EC o al personal de una ER, sin retrasos

injustificables:
1. La pérdida, robo o extravío del dispositivo electrónico de

seguridad que almacena su clave privada (computador, token
criptográfico o tarjeta inteligente).
2. El compromiso potencial de su clave privada.
3. La pérdida de control sobre su clave privada, debido al

compromiso de los datos de activación o por cualquier otra
causa.
4. Las inexactitudes o cambios en el contenido del certificado

que conozca o pudiera conocer el suscriptor.
• Dejar de utilizar la clave privada, transcurrido el plazo de

vigencia del certificado.
Las responsabilidades del suscriptor o titular deben ser establecidas en

la CPS de la EC u otro documento relevante, de conformidad con la RFC
3647 y en el contrato del suscriptor y del titular.
En los casos en que la legislación establezca determinadas obligaciones

para los suscriptores o titulares a efectos de asegurar las consecuencias
legales de las transacciones realizadas utilizando certificados emitidos
por la EC, el contrato del suscriptor debe recoger expresamente tales
obligaciones.
Cuando un suscriptor tiene un acuerdo en virtud al cual éste ejerce la
- A1.33 -
representación de determinado número de titulares, deberá
establecerse sus responsabilidades en la CPS y/o en el contrato del

suscriptor, en lo que atañe a las acciones que pudieran realizar dichos
titulares.
Art. 22°
Artículo 22º.- Del titular de la firma digital
Dentro de la IOFE, la responsabilidad sobre los efectos jurídicos
generados por la utilización de una firma digital corresponde al titular
del certificado.
Tratándose de personas naturales, éstas son titulares del certificado
digital y de las firmas digitales que se generen a partir de aquél,
incluyendo las firmas digitales que se generen a través de agentes
automatizados.
En el caso de personas jurídicas, son éstas los titulares del certificado
digital, y sus representantes son los titulares de la firma digital, con
excepción de las firmas digitales que se generen a través de agentes
automatizados, situación en la cual las personas jurídicas son titulares
del certificado y de las firmas digitales generadas a partir de éstos.
Art. 23° inc. d)

d) Observar las condiciones establecidas por la Entidad de Certificación
para la utilización del certificado digital y la generación de firmas
digitales.
Art. 28° inc. c)

4.5.2 Uso de la clave La IOFE permite al tercero que confía el acceso a los certificados
pública y el publicados en el Repositorio de acuerdo al consentimiento de los
certificado por el suscriptores y titulares de los mismos.
tercero que confía
La EC debe requerir del tercero que confía, como mínimo lo siguiente:
• No monitorizar, manipular o realizar actos de ingeniería

reversa sobre la implantación técnica de la IOFE, sin permiso
previo por escrito de la .
• No comprometer intencionadamente la seguridad de la

Jerarquía de la IOFE.
• Aplicar los criterios de verificación adecuados para la validación

de un certificado durante su uso en las transacciones
electrónicas.
• Denunciar cualquier situación en la que la EC deba revocar el

certificado de un titular, siempre y cuando se tengan pruebas
fehacientes del compromiso de la clave privada o de un uso
ilegal del manejo de la misma. Por ejemplo, debe denunciar la
pérdida, robo o extravío del dispositivo electrónico de
seguridad que almacena una clave privada que no le pertenece
(computador, token criptográfico o tarjeta inteligente).
La EC debe brindar, como mínimo, la siguiente información:
- A1.34 -
• Política de aplicación del certificado, limitaciones y prohibiciones

de uso.
• Las responsabilidades de el tercero que confía.
• Información sobre cómo validar el certificado, incluyendo el

requisito de comprobar el estado del certificado y las
condiciones en las cuales se puede confiar razonablemente en
el certificado, lo cual resulta aplicable cuando el suscriptor
actúa como tercero que confía.
• Limitaciones de responsabilidad aplicables, incluyendo los usos

por los cuales la EC acepta o excluye su responsabilidad.
• Ley aplicable y jurisdicción competente.
• Declaración de la acreditación de la EC y la ER por la IOFE.
Los terceros que confían deben cumplir con sus respectivas

responsabilidades, las cuales deben estar establecidas en la CPS de la
EC emisora de los certificados utilizados.
La EC debe notificar al tercero que confía acerca de sus

responsabilidades a través de la publicación de un documento accesible
para el tercero que confía. El documento debe consignar las
consecuencias derivadas del incumplimiento de los términos del mismo.
4.6 Renovación del Por medidas de seguridad, según CWA 14167-1, esto no es aplicable en
certificado el marco de la IOFE.
4.6.1 Circunstancias
para la re-
certificación de los
certificados Por medidas de seguridad, según CWA 14167-1, esto no es aplicable en
(renovación de el marco de la IOFE.
certificados con el
mismo par de
claves)
4.6.2 Personas
habilitadas para Por medidas de seguridad, según CWA 14167-1, esto no es aplicable en
solicitar la el marco de la IOFE.
renovación
4.6.3 Procesamiento de
la solicitud de Por medidas de seguridad, según CWA 14167-1, esto no es aplicable en
renovación de el marco de la IOFE.
certificado
4.6.4 Notificación al
suscriptor respecto Por medidas de seguridad, según CWA 14167-1, esto no es aplicable en
a la emisión de un el marco de la IOFE.
nuevo certificado
4.6.5 Conducta
constitutiva de
Por medidas de seguridad, según CWA 14167-1, esto no es aplicable en
aceptación de
el marco de la IOFE.
renovación de
certificado
- A1.35 -
4.6.6 Publicación de la
renovación por Por medidas de seguridad, según CWA 14167-1, esto no es aplicable en
parte de la EC de el marco de la IOFE.
un certificado
4.6.7 Notificación de la
EC a otras
Por medidas de seguridad, según CWA 14167-1, esto no es aplicable en
entidades respecto
el marco de la IOFE.
a la renovación del
certificado
4.7 Re-emisión de La EC puede, de manera opcional, brindar el servicio de re-emisión de

certificado. certificados.
Sólo se aplica a
seguridad media La EC que desee implementar este proceso, debe indicar en su CPS que
alta. los procedimientos de validación se encuentran especificados en la RPS
(opcional) de la ER.
En ningún caso la EC generará un nuevo certificado utilizando el mismo

par de claves que ya estuviera utilizando el suscriptor con el certificado
cuyo plazo de validez esté próximo a expirar.
4.7.1 Circunstancias La IOFE permite el proceso de re-emisión de certificados. Las ECs que
para la re-emisión deseen ejecutar este proceso deben establecer la habilitación de este
de un certificado proceso en su CPS. La re-emisión consiste en generar un nuevo par de
claves y un nuevo certificado correspondiente a una nueva clave
pública pero manteniendo la mayor parte de la información del
suscriptor contenida en el certificado a expirar, de acuerdo con lo
establecido en este documento. Este nuevo certificado deberá ser
actualizado en el Directorio de certificados emitidos del Repositorio
para ser accesible a los terceros que confían y otras infraestructuras
que reconozcan a la IOFE.
La re-emisión de claves rutinaria es un proceso programado cada vez

que un nuevo par de claves debe ser emitido debido a su expiración y
con anticipación a esta. La ER debe permitir a los titulares solicitar una
re-emisión de certificado rutinaria antes de que ocurra la expiración de
su certificado, siempre y cuando el periodo de vigencia de su certificado
no sea mayor al plazo máximo de un año. Sólo se puede realizar una
única re-emisión del certificado por un año adicional como máximo.
La EC debe comunicar al suscriptor, con una anticipación de al menos

30 días antes de la expiración del certificado, para que pueda renovar a
tiempo dicho certificado. Si el suscriptor no solicita la re-emisión de
certificado, el certificado expirará. Luego de ello, el suscriptor deberá
realizar el proceso de validación de identidad desde la etapa inicial.
En el caso que las claves del titular hayan sido revocadas, deberá
seguirse el proceso de identificación inicial ante la ER descrito en la
sección 3.2 de la RPS.
Importante: Tal y como se refleja en el contrato del suscriptor, a partir

de la fecha en que el certificado expira, el suscriptor no podrá utilizar
válidamente ni el certificado ya expirado, ni su clave privada.
- A1.36 -
4.7.2 Personas Sólo el titular de un certificado o un representante legalmente

habilitadas para acreditado, puede solicitar a la ER respectiva la re-emisión de su
solicitar la re- certificado, salvo que el certificado asociado a dicho par de claves
emisión de estuviera revocado o hubiera superado el plazo de máximo de vigencia
certificado de un año. Cuando el periodo de vigencia del certificado haya superado
el plazo máximo de un año, deberá seguirse el proceso inicial de
identificación descrito en la sección 3.2 de la RPS.
Nota: Una ER únicamente aceptará solicitudes de re-emisión de

certificados en representación de las ECs acreditadas, con las cuales
mantiene un convenio para la prestación de servicios de certificación
digital.
4.7.3 Procesamiento de
las solicitudes para La EC aceptará las solicitudes de re-emisión de certificados aprobadas
re-emisión de por la ER.
certificados
4.7.4 Notificación al Luego de re- emitido el certificado, la EC debe notificar al suscriptor y

suscriptor sobre la titular acerca de esta re-emisión. Esta notificación puede realizarse
re-emisión de un mediante medios telemáticos, a través del envío del certificado al
certificado suscriptor, acompañado para tales efectos de una declaración de la
emisión o una notificación de la emisión del certificado y además de los
La EC debe establecer en su CPS, los procedimientos necesarios para

notificar a un suscriptor sobre la emisión de un certificado, y para la
verificación de la recepción del mismo por el suscriptor.
4.7.5 Conducta La aceptación de un certificado puede ser evidenciada a través de una

constitutiva de la aceptación formal o de manera tácita mediante el empleo del
aceptación de una certificado de conformidad con los términos establecidos por INDECOPI.
re-emisión de
certificado En el caso que un certificado no fuere aceptado dentro de un periodo
de tiempo especificado en la CPS de la EC, o que éste fuera rechazado
por el titular o suscriptor, dicho certificado deberá ser revocado de
manera inmediata.
4.7.6 Publicación por Los nuevos certificados deben ser almacenados en un repositorio
parte de la EC del acreditado, permitiendo a los terceros que confían acceder a la
certificado re- información sobre el estado de validez de dichos certificados. Los
emitido procedimientos para la publicación deben ser establecidos en las CPS
de la EC.
Si el Proveedor del servicio de Repositorio opera como una entidad

independiente, sus responsabilidades también deberán ser establecidas
en la documentación que éste mantenga. La EC debe establecer sus
responsabilidades en relación a las operaciones del Repositorio.
Art. 12° inc. a), b), c), e), f) y j)

obligaciones:
- A1.37 -

Peruano (ECEP)
digital.
4.7.7 Notificación por La EC puede notificar a otras entidades la re- emisión de un certificado,
parte de la EC a a través de una notificación directa o una publicación del mismo en un
otras entidades repositorio accesible a la otra entidad.
respecto a la re-
emisión de Una EC acreditada puede publicar su nuevo certificado, adicionalmente
certificados a cualquier publicación o difusión que sobre el particular pudiera
realizar.
Una EC puede publicar cualquier nuevo certificado referido a su

acreditación o certificados cruzados con otras ECs de conformidad con
los términos establecidos para tales efectos por INDECOPI.
Art. 12° inc. l)

Art. 15° inc. c)

Art. 55°

- A1.38 -

4.8 Modificación del La EC puede, de manera opcional, brindar el servicio de modificación de

certificado la información contenida en un certificado sin la re-emisión de las
(opcional) claves del mismo.
Art. 15° inc. a) y c)


a) Identificar al solicitante del certificado digital mediante el
levantamiento de datos y la comprobación de la información brindada
por aquel.
Art. 16° inc, b), c) y d)

Las Entidades de Registro o Verificación registradas tienen las
siguientes obligaciones:
b) Determinar objetivamente y en forma directa la veracidad de la
información proporcionada por el solicitante del certificado digital, bajo
responsabilidad.
c) Mantener la confidencialidad de la información relativa a los
solicitantes y titulares de certificados digitales, limitando su empleo a las
necesidades propias del servicio de registro o verificación, salvo orden
judicial o pedido expreso del titular del certificado digital.
d) Recoger únicamente información o datos personales de relevancia

para la emisión de los certificados.
Art. 23° inc. a)

a) Entregar información veraz bajo su responsabilidad.
Art. 28° inc. a)

4.8.1 Circunstancias Cuando un suscriptor o titular desea modificar el contenido de su

para la certificado, la ER debe comprobar la veracidad de la nueva información
modificación de un proporcionada por el suscriptor.
certificado
Se debe especificar en la CPS de la EC u otra documentación relevante
el tipo de información contenida en un certificado que puede ser
modificada, así como las circunstancias en que dicha modificación
puede ocurrir y el proceso de verificación de la misma. Por ejemplo, se
puede verificar algún cambio en el nombre del suscriptor o titular a
través de la comprobación del cambio del nombre en el documento de
identidad, sin necesidad de seguir todo el proceso inicial de
identificación ante la ER.
- A1.39 -
La modificación de un certificado se evidencia a través de la emisión de

un nuevo certificado y la revocación del existente.
Art. 28°
b) Solicitar de inmediato la cancelación de su certificado digital en
caso de que la reserva sobre la clave privada se haya visto
comprometida, bajo responsabilidad.
4.8.2 Personas Solamente los titulares y suscriptores pueden solicitar la modificación

habilitadas para de un certificado. La EC puede establecer requerimientos más
solicitar la restringidos para determinar el tipo de personas que pueden solicitar la
modificación de un modificación de un certificado.
certificado
Una ER acreditada debe aceptar solicitudes de modificación de
certificados en representación de una EC acreditada, siempre y cuando
se encuentre vinculada con dicha entidad.
Se debe permitir que un suscriptor pueda efectuar solicitudes de

modificación en relación a múltiples titulares en los casos que la
relación entre el suscriptor y el titular lo faculte para ello.
4.8.3 Procesamiento de Las solicitudes de modificación de certificados deben ser entregadas a

las solicitudes de las ERs, junto con la documentación pertinente que respalde los
modificación de cambios solicitados.
certificados
La EC debe establecer en su CPS el tipo de información contenida en un
certificado que puede ser modificada, circunstancias en las cuales se
puede hacer una modificación y el proceso de verificación.
Si el certificado ha expirado, deberá solicitar un nuevo certificado

comenzando con el proceso inicial de validación de identidad descrito
en la sección 3.2 de la RPS.
No se permite la modificación de los certificados de las ECs.
No son admisibles las solicitudes de modificación realizadas después de

la expiración del certificado. En este caso, será necesario seguir el
proceso de identificación inicial ante la ER. De igual modo se procederá
con aquellas solicitudes que no hayan sido aprobadas en el proceso de
comprobación de la veracidad de la información proporcionada por el
suscriptor.
Una EC puede decidir establecer en su CPS u otra documentación

relevante, circunstancias adicionales para el rechazo de la solicitud.
Nota: En este proceso INDECOPI no exige la presencia personal del

solicitante en la ER.
4.8.4 Notificación al Luego de emitido el certificado, la EC debe notificar al suscriptor acerca

suscriptor sobre la de esta emisión. Esta notificación puede realizarse mediante medios
emisión de un telemáticos, a través del envío del certificado al suscriptor,
nuevo certificado
- A1.40 -
acompañado para tales efectos de una declaración de la emisión o una

notificación de la emisión del certificado y además de los
La EC debe establecer en su CPS o en otro documento relevante los

procedimientos necesarios para notificar a un suscriptor sobre la
emisión de un certificado, y para la verificación de la recepción del
mismo por el suscriptor.
4.8.5 Conducta La aceptación de un nuevo certificado puede ser evidenciada a través

constitutiva de la de una aceptación formal o mediante el uso del nuevo certificado de
aceptación de un acuerdo a lo establecido en el presente documento.
certificado
modificado En caso que un nuevo certificado no sea aceptado dentro del periodo
especificado en la CPS de la EC o fuera rechazado por el suscriptor o
titular, éste deberá ser inmediatamente revocado.
4.8.6 Publicación por Los nuevos certificados deben ser almacenados en un repositorio
parte de la EC del acreditado, permitiendo a los terceros que confían acceder a la
certificado información sobre el estado de validez de dichos certificados. Los
modificado procedimientos para la publicación deben ser establecidos en las CPS
de la EC.
Si el Proveedor del servicio de Repositorio opera como una entidad

independiente, sus responsabilidades también deberán ser establecidas
en la documentación que éste mantenga. La EC debe establecer sus
responsabilidades en relación a las operaciones del Repositorio.
Art. 12° inc. e) y f)

obligaciones:

Peruano (ECEP)
digital.
- A1.41 -
4.8.7 Notificación por Una EC puede notificar a otras entidades la emisión de un certificado
parte de la EC a modificado, a través de una notificación directa o mediante la
otras entidades publicación del mismo en un repositorio accesible a la otra entidad.
respecto a la
emisión de En los casos en que la ER se encargue del procesamiento de las
certificados solicitudes de modificación en representación de la EC, la EC debe ser
modificados notificada respecto a la emisión y aceptación de ese certificado
modificado.
4.9 Revocación y
suspensión del
certificado
4.9.1 Circunstancias Las ERs deben especificar en su RPS, las circunstancias en las que los
para la revocación suscriptores, titulares o terceros pueden solicitar la revocación de un
certificado. Como mínimo, el titular y el suscriptor del certificado están
obligados, bajo responsabilidad, a solicitar la revocación al tomar
conocimiento de la ocurrencia de alguna de las siguientes
circunstancias
• Por exposición, puesta en peligro o uso indebido de la clave

privada.
• Por deterioro, alteración o cualquier otro hecho u acto que

afecte la clave privada.
• Revocación de las facultades de representación y/o poderes de

sus representantes legales o apoderados.
• Cuando la información contenida en el certificado ya no resulte

correcta.
• Cuando el suscriptor deja de ser miembro de la comunidad de

interés o se sustrae de aquellos intereses relativos a la EC.
• Cuando el suscriptor o titular incumple las obligaciones a las

que se encuentra comprometido dentro de la IOFE a través de
lo estipulado en el contrato del suscriptor y/o titular.
• Cuando la información contenida en el certificado ya no resulte

correcta.
• Por decisión de la legislación respectiva.
• NOTA: En caso de cambios menores respecto a la información

del titular que no tengan mayor impacto en los terceros que
confían, puede no ser necesaria la revocación del certificado
existente ni la emisión de uno nuevo.
El certificado de un titular debe ser revocado por la EC cuando:
• Se produce la renovación del certificado.
• Se produce la re-emisión del certificado.
La cancelación supone la revocación de oficio de los certificados por

parte de la EC. Las circuntancias bajo las cuales una EC puede cancelar
los certificados de sus usuarios, deben ser claramente especificadas en
los contratos de los suscriptores y titulares.
- A1.42 -
NOTA: Deben tomarse en consideración los potenciales requisitos para

el periodo de “key roll-over” cuando se revocan los certificados luego
de su re-emisión.
Cuando se revoca el certificado de una EC, se deben establecer los

procedimientos necesarios para la re-emisión de los certificados de los
usuarios que hubieren sido emitidos por dicha EC.
Art. 30°
que el certificado ha sido cancelado, sin perjuicio del tercero de buena
fe.
d) Por el cese de operaciones de la Entidad de Certificación que lo
emitió.
quiebra.
Art. 31°
clave privada.
Art. 32°
certificación.
La revocación debe indicar el momento desde el cual se aplica,
precisando la fecha, hora, minuto y segundo del mismo. La revocación
no puede ser aplicada retroactivamente y debe ser notificada al titular
del certificado digital. La Entidad de Certificación debe inmediatamente
- A1.43 -
incluir la revocación del certificado digital en la relación que

corresponda.
Art. 40° inc. f)

funciones:
f) Cancelar las acreditaciones otorgadas a las Entidades de Certificación
y a las Entidades de Registro o Verificación conforme a lo dispuesto en el
Reglamento.
Art. 50°
Artículo 50º.- Cancelación de la Acreditación
La cancelación de la acreditación de las Entidades de Certificación o de
las Entidades de Registro o Verificación procede:
a) Por decisión unilateral comunicada a la AAC.

b) Por extinción de su personería jurídica.
c) Por revocación de su registro.
d) Por sentencia judicial.
e) Por liquidación, decidida por la junta de acreedores en el marco de la
legislación concursal o resolución judicial de quiebra.
Otros: Art. 24°, Art. 38° inc. a), b) y g).
4.9.2 Personas De acuerdo a lo estipulado por la Ley, el tipo de personas que pueden
habilitadas para solicitar la revocación de un certificado:
solicitar la
revocación • El titular o suscriptor del certificado.
• La EC que emitió el certificado.
• Un juez que de acuerdo a la Ley decida revocar el certificado.
• Un tercero que tenga pruebas fehacientes del uso indebido del

certificado, el compromiso de clave u otro motivo de revocación
mencionado en la Ley, los reglamentos de acreditación y el
presente documento.
Art. 30°
que el certificado ha sido cancelado, sin perjuicio del tercero de buena
fe.

d) Por el cese de operaciones de la Entidad de Certificación que lo emitió.
quiebra.
- A1.44 -

Art. 32°
certificación.
4.9.3 Procedimiento El suscriptor y el titular pueden solicitar a la EC o ER la revocación de

para la solicitud de su certificado a través de medios telemáticos utilizando un medio que
revocación garantice el no repudio, como un mensaje firmado con un certificado
válido, la autenticación a través de una frase secreta conocida sólo por
el suscriptor del certificado, etc. La EC debe establecer en su CPS, el
procedimiento para realizar las solicitudes de revocación de los
certificados de los suscriptores, emitidos por ECs acreditadas. El
suscriptor también puede realizar la solicitud a la ER mediante una
petición presencial.
Los terceros (incluyendo órdenes judiciales) deben presentarse

personalmente o mediante un representante legalmente autorizado en
las instalaciones de la ER para realizar la solicitud de revocación, con la
documentación requerida. Dicha documentación y el proceso de
validación de identidad del solicitante se encuentra especificado en la
RPS de cada ER.
La CPS de la EC debe hacer referencia a las secciones competentes de

la RPS de la ER, en lo correspondiente a la verificación de la identidad
del solicitante de la revocación y su procesamiento, en los casos que la
solicitud sea realizada en la ER. Además, debe establecer el
procedimiento y el plazo máximo necesario para que la ER pueda
comunicar a la EC la aprobación de la solicitud de revocación de un
certificado.
Una EC puede revocar los certificados que ha emitido, siempre y

cuando los motivos de revocación estén claramente especificados en su
CPS y se encuentren de acuerdo con la legislación vigente.
Cuando una EC o ER recibe una solicitud para la revocación de un

certificado, debe dejar constancia de la persona que efectúa la
solicitud, la relación que tiene ésta con el titular, las razones de la
solicitud, las acciones tomadas para la verificación de la veracidad de la
solicitud, fecha y hora de la revocación y de la notificación de la misma
a la EC, sus suscriptores y los terceros que confían. Las solicitudes
deben ser firmadas de manera manuscrita o digital por los solicitantes.
En caso que no se acepte la revocación, deberá dejarse constancias de

los hechos que motivaron dicha denegatoria.
Las responsabilidades del suscriptor que solicita una revocación de su

certificado, deben estar claramente establecidas en el contrato del
suscriptor.
Art. 31°
- A1.45 -

clave privada.
4.9.4 Periodo de gracia La EC puede establecer en su CPS u en cualquier otro documento

de la solicitud de relevante el periodo de gracia existente luego de una solicitud de
revocación revocación, periodo dentro del cual el solicitante debe confirmar su
solicitud de revocación.
Como regla general, cualquier periodo de gracia que se confiera, no

debe exceder el correspondiente a la frecuencia en que se produce la
publicación de CRLs.
Art. 32°
…La revocación debe indicar el momento desde el cual se aplica,
precisando la fecha, hora, minuto y segundo del mismo. La revocación
no puede ser aplicada retroactivamente y debe ser notificada al titular
del certificado digital. La Entidad de Certificación debe inmediatamente
incluir la revocación del certificado digital en la relación que corresponda.
4.9.5 Tiempo dentro La solicitud de revocación debe ser procesada dentro de las 24 horas
del cual una EC siguientes a la realización de la solicitud en la ER o en la EC, o en caso
debe procesar la de existir, a la expiración del periodo de gracia de la misma.
solicitud de
revocación NOTA: En el caso de ECs que sólo emiten certificados para ECs
subordinadas, o de reconocimiento cruzado o certificación cruzada; los
procedimientos de seguridad, la separación off-line natural y física del
repositorio, puede requerir de un periodo mayor. En dichos casos la
CRL debe ser publicada tan pronto como sea posible.

Peruano (ECEP)
digital.
- A1.46 -
4.9.6 Requerimientos Los potenciales terceros que confían deben conocer sus obligaciones
para la verificación para establecer la validez de un certificado al momento de la
de la revocación de realización de una transacción, y de las consecuencias de eventuales
certificados por los omisiones.
terceros que
confían Las ECs deben notificar a los terceros que confían sobre la revocación
de un certificado, esta notificación puede efectuarse a través de la
publicación de un documento accesible para todos los terceros que
confían.
Cuando se publica la información de revocación a través de medios de

publicidad, debe advertirse a las potenciales terceros que confían
respecto a la forma de dicha publicación y las implicancias de la misma.
Art. 12° inc. c), f) y j)

obligaciones:
éstos.

Peruano (ECEP)
digital.
4.9.7 Frecuencia de Cuando INDECOPI revoque la acreditación de una EC o ER, o varíe el

emisión de CRL estado de una EC acreditada, de reconocimiento cruzado o de
certificación cruzada, dicha modificación debe ser notificada de manera
inmediata por la EC o ER a sus suscriptores. Esta notificación debe
incluir a cualquier otra jurisdicción o infraestructura de firma digital que
reconozca a la IOFE.
Se debe establecer la frecuencia de emisión de la CRL o actualización

del estado de los certificados. Como mínimo esto debe efectuarse por lo
menos una vez cada 24 horas.
- A1.47 -
Conforme a la sección 2 del presente documento, se debe garantizar la

disponibilidad de la CRL con un mínimo de 99% anual y un tiempo
programado de inactividad máximo de 0.5% anual.
Las CRLs deben cumplir las provisiones establecidas en X.509. Pueden

también establecerse Delta-CRLs o Puntos de Distribución CRL.
Nota: Cuando una EC acreditada revoca su propio certificado, tal

situación debe ser notificada a INDECOPI de manera individual y a los
suscriptores en general mediante la emisión inmediata de una CRL o a
través de la actualización de la información sobre el estado. La
notificación debe incluir a todas las demás infraestructuras que
reconozcan los certificados emitidos bajo el esquema de la IOFE. Para

una EC acreditada bajo el esquema de la IOFE, la notificación estará
firmada por INDECOPI.
Luego de la revocación, un nuevo par de claves debe ser generado y

notificado a INDECOPI y a los terceros que confían.
4.9.8 Máxima latencia La latencia máxima entre la generación de los CRLs y su publicación en
para CRLs el repositorio no debe ser mayor a una hora desde la generación de la
CRL. Pueden establecerse Delta CRL y Puntos de Distribución CRL.
NOTA: En el caso de ECs que incluyen esquemas de ECs que sólo

emiten certificados para ECs subordinadas, de reconocimiento cruzado
o de certificación cruzada, los procedimientos de seguridad, la
separación off-line natural y física del repositorio, puede requerir de un
periodo mayor. En dichos casos la CRL debe ser publicada tan pronto
como sea posible.
4.9.9 Disponibilidad de Si está soportada la verificación en línea de la revocación o de su

la verificación en estado, ésta deberá estar disponible con la misma confiabilidad que la
línea de la CRL o directorio que pudiera estar reemplazando o con el cual opera de
revocación/estado manera conjunta.
Nota:
• Cuando una EC acreditada revoca su clave pública, tal situación
debe ser notificada a través de la emisión inmediata de una
CRL o la actualización de la información sobre su estado. La
notificación debe incluir a todas las demás infraestructuras que
reconocen los certificados emitidos por la IOFE. Para una EC
acreditada bajo el esquema de la IOFE, la notificación estará
firmada por INDECOPI. Luego de la revocación, se debe
generar un nuevo par de claves, el cual debe ser notificado a
INDECOPI y a los terceros que confían.
• Cuando la clave pública de INDECOPI sea revocada, cualquier

notificación de revocación deberá brindar un mecanismo para la
confirmación de la revocación mediante un canal separado del
de la notificación.
Art. 12° inc. d), e), f), g) y j)

obligaciones:
d) Mantener el control y la reserva de la clave privada que emplea para
firmar los certificados digitales que emite. En caso que la clave privada
- A1.48 -
de la entidad de certificación se vea comprometida, de inmediato la

entidad de certificación cancelará públicamente todos los certificados
que haya emitido, u otra medida que haya sido determinada por la AAC.
g) Cancelar el certificado digital a solicitud de su titular o, de ser el
caso, a solicitud del titular de la firma digital; o cuando advierta que
la información contenida en el certificado digital fuera inexacta o
hubiera sido modificada, o que el titular incurriera en alguna de las
causales previstas en el artículo 30º del Reglamento.


Peruano (ECEP)
digital.
4.9.10 Requisitos para La EC debe asegurar que los potenciales terceros que confían sean
la verificación en conscientes de sus obligaciones para establecer la validez de un
línea de la certificado al momento de la realización de una transacción y las
revocación consecuencias de eventuales omisiones. La notificación puede
efectuarse a través de la publicación de un documento accesible para el
tercero que confía.
4.9.11 Otras formas Cuando la publicación de una revocación pueda reducir el daño
disponibles de potencial a los terceros que confían, INDECOPI permite que una EC o
publicar la un suscriptor afectado puedan emplear diferentes formas para realizar
revocación dicha publicación.
Nota: Cuando una EC acreditada revoque su clave pública, tal situación

debe ser notificada a través de la emisión inmediata de una CRL o una
actualización de la información sobre su estado. Esta notificación debe
incluir a todas las otras infraestructuras que hubieran reconocido
certificados emitidos bajo el esquema de la IOFE.
Art. 12° inc. f)

- A1.49 -
obligaciones:
Art. 40° inc. g)

funciones:
g) Publicar, por medios telemáticos, la relación de entidades
acreditadas.
4.9.12 Requisitos Las ECs deberán notificar en un lapso de 24 horas como máximo a
especiales para el INDECOPI respecto a incidencias que produzcan el compromiso de sus
caso de claves o su imposibilidad de uso.
compromiso de la
clave privada En caso que la clave privada de una EC se vea comprometida, dicha
entidad debe cancelar de inmediato los certificados emitidos de acuerdo
a la legislación vigente, comunicando dicha acción a todos los
suscriptores, titulares y terceros que confían.
Art. 12° inc. d)

obligaciones:
4.9.13 Circunstancias INDECOPI permite implementar el proceso de suspensión de

para la suspensión certificados. Aquellas ECs que deseen implementar este proceso
deberán establecer el procedimiento en su respectiva CPS,
referenciando las secciones competentes de la RPS de la ER a la que se
encuentran vinculadas.
Las ERs deben especificar en sus RPSs, los procediemientos necesarios

para la solicitud, procesamiento y consiguiente autorización o negación
de una suspensión. Se debe indicar en la RPS que la ejecución de este
proceso dependerá de si se encuentra establecido en la CPS de cada
EC.
Sólo se puede solicitar la suspensión para el caso de personas jurídicas,

cuando el suscriptor se ve impedido temporalmente de cumplir con sus
funciones.
4.9.14 Personas
habilitadas para Sólo los titulares de certificados emitidos a personas jurídicas pueden
solicitar la solicitar la suspensión de los certificados de sus suscriptores.
suspensión
- A1.50 -
4.9.15 Procedimiento Los titulares de certificados emitidos a personas jurídicas, pueden

para la solicitud de solicitar la suspensión de su certificado a la ER, a través de un
la suspensión representante legalmente autorizado.
El solicitante debe especificar las fechas de inicio y fin del periodo de

suspensión.
El responsable de la ER debe requerir del solicitante, la firma

manuscrita en la solicitud de suspensión, la cual debe quedar
registrada en la ER. El certificado suspendido recobrará
automáticamente su validez al término del periodo de suspensión
solicitado por el titular.
La ER debe especificar en su RPS, los procediemientos necesarios para

la solicitud, procesamiento y consiguiente autorización o negación de
una suspensión.
4.9.16 Límite del

El tiempo máximo en el que un certificado puede ser suspendido está
periodo de
limitado por su periodo de expiración.
suspensión
4.10 Servicios de Las ECs acreditadas deben mantener una copia de la lista de entidades
estado de acreditadas (TSL) que le será proporcionada por INDECOPI según el
certificado procedimiento remitido al Estándar ETSI TS102 231.
Asimismo, se debe de establecer en la CPS de las ECs u otra

documentación relevante, la consideración de servicios sobre el estado
de certificados, incluyendo CRL, OCSP (opcionalmente), autoridades de
validación, listas de confianza de certificados o información del estado
de confianza, que puedan ser soportados por la OIFE.
4.10.1 Características INDECOPI generará la lista TSL la cual especificará las características
operacionales operacionales de los certificados de las EC acreditadas que pudieran
estar establecidas.
Cualquier información publicada por una EC respecto al estado de uno

de sus certificados debe ser firmada digitalmente por la EC emisora. La
hora y fecha deben ser consignadas por la entidad que genera esta
información.
Art. 40° inc. d) y g)

funciones:
d) Registrar a las entidades acreditadas señaladas en los incisos b) y c)
del presente artículo, en el Registro de Entidades de Certificación y
Entidades de Registro o Verificación previsto en el artículo 15º de la Ley.
g) Publicar, por medios telemáticos, la relación de entidades acreditadas.
4.10.2 Disponibilidad En los casos en los que exista información sobre el estado del
del servicio certificado, ésta deberá estar disponible con la misma confiabilidad que
brinda una CRL o el directorio que reemplaza o con el cual opera de
manera conjunta.
4.10.3 Rasgos Se reconoce el servicio OCSP (Online Certificate Status Protocol) como
operacionales adicional al CRL y que puede ser empleado por las ECs acreditadas
previa declaración de su empleo y características operacionales.
- A1.51 -
Art. 12° inc. f)

obligaciones:
Art. 38° inc. a)

Peruano (ECEP)

digital.
4.11 Finalización de la En los casos en que la legislación establezca determinadas obligaciones

suscripción para los suscriptores o titulares a fin de asegurar los efectos legales de
las transacciones realizadas utilizando certificados emitidos por la EC, el
contrato de suscriptor debe recoger claramente tales obligaciones.
La finalización de la suscripción puede darse cuando un suscriptor elija

finalizar su suscripción como parte de la IOFE o la EC termine su
suscripción al mismo, por fallecimiento del suscriptor o extinción de la
persona jurídica que es titular del certificado.
En el caso de revocación del certificado por cualquiera de las causas

previstas en este documento.
4.12 Depósito y
recuperación de
claves
4.12.1 Políticas y No está permitido para la EC/ER emisora el almacenamiento del

prácticas de original, copia o backup alguna de las claves privadas de certificados
recuperación de digitales de los suscriptores que generan firmas digitales y/o que sirven
Depósito de claves para autenticación, a excepción de los certificados de cifrado.
El almacenamiento o copia de claves privadas de cifrado, sólo está

permitido en caso medie el consentimiento del suscriptor y titular del
certificado.
NOTA: Según los lineamientos OECD Guidelines for Cryptography

Policy, y lo establecido por INDECOPI es conveniente el uso de claves
separadas para el cifrado y la firma a efectos de permitir el control
legal de las claves de cifrado, sin comprometer en dicho caso a las
claves empleadas para la firma.
En caso que la EC brinde el servicio de almacenamiento de claves de

cifrado, dicha entidad debe establecer en su CPS u otra documentación
relevante sus políticas y prácticas relacionadas al depósito y
recuperación de las claves privadas de cifrado. Esto deberá incluir
acuerdos para la seguridad de las claves, personas a las cuales se les
permite el acceso a dichas claves y el proceso para el acceso y la
- A1.52 -
notificación del mismo.

El contrato de suscriptor deberá contemplar el consentimiento del
depósito/ almacenamiento de las claves privadas de cifrado.
En los casos en que la EC establezca determinadas obligaciones para
los suscriptores o titulares en relación al acceso a las claves privadas
de cifrado, el acuerdo del suscriptor debe recoger claramente tales
obligaciones.
4.12.2 Políticas y Las claves de sesión son usadas sólo para el cifrado y generalmente se
prácticas para la encuentra fuera del propósito de estos lineamientos.
encapsulación de
claves de sesión Se encuentra fuera de los términos de estos lineamientos el hecho de
que un suscriptor realice una encapsulación de la clave de sesión para
las transacciones de los titulares representados por dicho suscriptor. No
obstante, sí le serán aplicables a este suscriptor, todas las obligaciones
referidas a la protección de las claves privadas que pudieran ser
utilizadas en la encapsulación.
5. CONTROLES DE LAS La normas ISO/IEC 17799 “Information technology – Code of practice

INSTALACIONES, for information security management”, ISO/IEC 27001:2005
DE LA GESTION Y “Information technology - Security techniques - Information security
CONTROLES management systems - Requirements” e ISO/IEC TR13335
OPERACIONALES “Information technology – Guidelines for the management of IT
Security” proveen directrices respecto a los tipos de controles que
deben ser implementados por los PSCs acreditados.
Se recomienda el uso del estándar TIA-942 para la distribución

adecuada del espacio, el cableado y los controles de seguridad física.
En los casos en que la legislación establezca para los suscriptores o

titulares, ciertas responsabilidades respecto a la seguridad no técnica,
estos deben de estar establecidos o referenciados en el correspondiente
contrato de suscriptor.
Art. 38° inc. f)

Peruano (ECEP)
f) Se ofrecerá un grado de seguridad adecuado en relación a los

equipos informáticos y de comunicación empleados, al personal
empleado para operar la ECEP, a los responsables de operar las
claves de la ECEP y a los procedimientos utilizados para la
autenticación de los datos a ser incluidos en los certificados
digitales.
Otros: Art. 9°, Art. 10°
REFERENCIAS
Anexo 4 Mantenimiento de equipos y su desecho.

Anexo 4 Control de acceso.
Anexo 4 Evaluación de riesgos.
Anexo 4 Seguridad física.
Anexo 4 Seguridad de comunicaciones y redes.
Anexo 4 Planificación de contingencias.
Anexo 4 Respuesta a incidentes.
Anexo 4 Auditorias y detección de intrusiones.
Anexo 5 Sección 6 Aspectos Organizativos Para La Seguridad.
Anexo 5 Sección 7 Clasificación y Control De Activos.
Anexo 5 Sección 8 Seguridad en Recursos Humanos.
Anexo 5 Sección 9 Seguridad Física y del Entorno.
- A1.53 -
Anexo 5 Sección 10 Gestión De Comunicaciones y Operaciones.

Anexo 5 Sección 11 Control de Accesos.
Anexo 5 Sección 12 Adquisición, desarrollo y Mantenimiento de
Sistemas.
Anexo 5 Sección 13 Gestión de Incidentes en la Seguridad de
Información.
Anexo 5 Sección 14 Gestión De Continuidad Del Negocio.
Anexo 5 Sección 15 Cumplimiento.
5.1 Controles Físicos
5.1.1 Ubicación y La ubicación y diseño del local debe prevenir el daño por desastres
construcción del naturales, como inundación, terremoto, incendios; así como desastres
local creados por el hombre, como incendios, explosiones, disturbios civiles y
otras formas de desastre.
Se debe diseñar e implementar protección física en las oficinas y

habitaciones, medios que garanticen la seguridad física de los equipos y
del personal.
Se deben utilizar perímetros de seguridad (barreras tales como paredes

y puertas de ingreso controlado o recepcionistas) para proteger las
áreas que contienen información y medios de procesamiento de
información. El acceso a las oficinas de registro público debe estar
separado de las áreas que albergan los archivos y equipos que los PSCs
utilizan para el procesamiento de la información sensible, de tal forma
que únicamente el personal autorizado pueda acceder a ellos.
No debe haber ambientes compartidos que permitan la visibilidad de

las operaciones críticas del sistema de certificación. Estas operaciones
deberán ser realizadas en compartimientos cerrados, que no permitan
la visibilidad desde el exterior y que se encuentren físicamente
protegidos.
REFERENCIAS

Anexo 5 Sección 6.2 Seguridad en los accesos de terceras partes.
Anexo 5 Sección 9 Seguridad Física y del Entorno.
5.1.2 Acceso físico Se deben proteger las áreas sensibles mediante controles de acceso
apropiados para garantizar que sólo se permita el acceso al personal
autorizado.
El acceso físico a los ambientes donde se encuentran los equipos de la

EC, así como a sus módulos criptográficos (que protegen los
certificados de la EC y los de OCSP), deben ser protegidos mediante un
control de acceso físico que exija la autenticación de dos personas para
el ingreso a dichos ambientes.
Se deben controlar los puntos de acceso como las áreas de entrega,

descarga y las áreas donde pueden ingresar personas no autorizadas.
Adicionalmente, debe llevarse un registro del acceso a áreas no
- A1.54 -
públicas. Antes de otorgar acceso a áreas no públicas, se debe verificar

la identidad de los visitantes, incluyendo a contratistas y personal de
limpieza.
Se debe tomar en consideración el verificar los antecedentes de los

visitantes, cuando sea factible realizar tal verificación.
Se debe identificar a los visitantes, como tales y de ser el caso,

deberán de ser escoltados.
Art. 38°
Peruano (ECEP)
f) Se ofrecerá un grado de seguridad adecuado en relación a los
equipos informáticos y de comunicación empleados, al personal
empleado para operar la ECEP, a los responsables de operar las
claves de la ECEP y a los procedimientos utilizados para la
autenticación de los datos a ser incluidos en los certificados
digitales.
REFERENCIAS

Anexo 5 Sección 7.1 Áreas seguras.
5.1.3 Energía y aire El equipo de energía y aire acondicionado, incluyendo el equipo de

acondicionado seguridad de los mismos, deben estar protegidos y en constante
mantenimiento a efectos de asegurar su correcto funcionamiento.
REFERENCIAS

Anexo 5 Sección 9.2 Seguridad de los Equipos.
5.1.4 Exposición al Las instalaciones deben estar protegidas contra exposiciones al agua.
agua
REFERENCIAS

5.1.5 Prevención y Las instalaciones deben poseer medidas adecuadas para la prevención
protección contra y protección contra el fuego.
fuego
REFERENCIAS

- A1.55 -
5.1.6 Archivo de Los archivos tanto electrónicos como de papel y el material en general,
material debe estar protegido contra accesos no autorizados y destrucción tanto
deliberada como accidental, incluyendo destrucción por fuego,
temperatura, agua, humedad y magnetismo.
Los soportes de información sensible se deben almacenar de forma

segura en armarios contra fuegos y cajas fuertes, según el tipo de
soporte y la clasificación de la información en ellos contenida. Estos
armarios deben situarse en diversas dependencias para eliminar
riesgos asociados a una única ubicación.
El acceso a estos soportes debe estar restringido a personal autorizado.
Art. 9°
por:
d) Sistema de gestión que permita el mantenimiento de las
condiciones señaladas en los literales anteriores, así como la
seguridad, confidencialidad, transparencia y no discriminación en la
prestación de sus servicios.
REFERENCIAS

Anexo 4 Mantenimiento de equipos y su desecho.
Anexo 4 Medios de almacenamiento.
Anexo 5 Sección 7 Clasificación y control de Activos.
5.1.7 Gestión de Se debe adoptar una política de gestión de residuos que permita la
residuos destrucción de cualquier tipo de material (físico o papel) que pudiera
contener información, garantizando la imposibilidad de recuperación de
esta información.
REFERENCIAS
Anexo 4 Mantenimiento de equipo y su desecho
Anexo 4 Medios de almacenamiento

Anexo 5 Sección 9.6.2 Seguridad en el Rehúso o eliminación de
Equipos.
5.1.8 Copia de Los PSCs deben disponer de copias de respaldo o de seguridad externa
seguridad externa de toda la información sensible y de aquella considerada como
necesaria para la persistencia de su actividad y la continuidad del
negocio.
Las copias de seguridad externa deben ser establecidas y mantenidas

de conformidad con las políticas de archivo y continuidad del negocio y
el plan de recuperación frente a desastres de manera compatible a los
estándares ISO mencionados en las referencias de esta sección.
REFERENCIAS
Anexo 4 Seguridad comunicaciones y redes.
- A1.56 -

Anexo 5 Sección 10.5 Gestión de Respaldo y Recuperación.
Anexo 5 Sección 9.2.5 Seguridad de Equipos Fuera de los Locales
de la Organización
5.2 Controles
procesales
5.2.1 Roles de Se deben definir los roles de confianza en las operaciones que se
confianza realizan en el interior del esquema de las ECs.
La descripción de los roles debe incluir las labores que pueden como las
que no pueden ser realizadas en el ejercicio de tales roles, las mismas
que deben ser puestas de manifiesto a las personas que ejercen dichas
funciones. Se debe obtener constancia por escrito del conocimiento de
las mismas.
REFERENCIAS
Anexo 4 Seguridad de personal.

5.2.2 Número de Se debe identificar las labores que requieren de más de una persona
personas para su realización.
requeridas por
labor La generación de la lista TSL requiere a más de una persona.
REFERENCIAS

5.2.3 Identificación y Deben emplearse controles de acceso tanto físicos como lógicos para
autenticación para verificar la identidad y autorización antes de permitir el acceso para
cada rol cada rol.
Cómo mínimo debe existir un control de acceso biométrico para los

roles que impliquen el ingreso al centro de cómputo, en especial a la
sala donde se encuentran los equipos de certificación digital.
El acceso al software e información que permite el control,

administración y operación sobre los equipos de certificación digital y
de control ambiental de los mismos debe tener control biométrico o
tarjeta inteligente.
El acceso a las operaciones que dirigen el ciclo de vida de los

certificados debe ser controlado por biometría o tarjeta inteligente.
REFERENCIAS

- A1.57 -
5.2.4 Roles que Se deben definir los roles que requieren separación de funciones para
requieren funciones la operación de la IOFE y de los PSCs acreditados.
por separado
Las personas que se encargan de la implementación de una función, no
deben asimismo tener el rol de realización de la auditoría de
conformidad, o evaluación o revisión de dicha implementación.
También pueden ser identificadas otras áreas en las cuales el rol del
personal pueda presentar conflicto. La EC debe especificar en sus CPS,
la separación los roles que puedan presentar conflicto.
REFERENCIAS

5.3 Controles de Las ECs deben de establecer en su RPS u otra documentación

personal relevante, los términos de confidencialidad y provisiones de no
revelación que gobierna al mismo, así como la legislación que rige a las
transacciones que se realizan bajo el marco de la IOFE, la legislación
relativa al régimen de los trabajadores y cualquier otra legislación
relevante, de conformidad con la Norma Marco sobre Privacidad
presentada en el anexo 6 de la Guía de Acreditación de EC. Esta
información debe ser entregada por escrito a sus empleados y
contratistas, debiéndose obtener declaración por escrito por parte de
estas personas respecto al de conocimiento de toda esta información.
Esta información debe ser incorporada en todos los contratos de

trabajo o servicio.
REFERENCIAS

Anexo 5 Sección 5 Política de Seguridad.
Anexo 5 Sección 6.5 Acuerdos de confidencialidad.

5.3.1 Cualidades y Las ECs deben establecer en su CP, CPS u otra documentación
requisitos, relevante las cualidades, experiencias y certificados que debe poseer su
experiencia y personal y contratistas.
certificados
REFERENCIAS

5.3.2 Procedimiento Se deben verificar los antecedentes de todos los candidatos a

para verificación de empleados, contratistas y terceros en concordancia con las leyes
antecedentes vigentes y normatividad pertinente. La precisión de la verificación debe
ser proporcional a los requerimientos comerciales, la clasificación de la
información a la cual dicho personal tiene acceso y a los riesgos
implicados.
Las personas que desempeñan roles de confianza deben de tener en

claro el nivel de sensibilidad y valor de los bienes y transacciones
protegidos por la actividad de la cual ellas son responsables.
- A1.58 -
Generalmente, esto involucra la verificación de la identidad de estas

personas, cualidades y referencias, verificación de antecedentes
criminales, verificación de antecedentes financieros, de crédito o
similares, dentro de los límites legalmente establecidos en materia de
privacidad.
REFERENCIAS

5.3.3 Requisitos de Todos los empleados de la organización (y cuando sea relevante los
capacitación contratistas y terceros), deben recibir las capacitaciones apropiadas y
actualizaciones regulares de las políticas y procedimientos
organizacionales, conforme sean relevantes para su función laboral.
Las ECs deben de establecer en su CP, CPS u otra documentación

relevante los requisitos de capacitación para su personal y contratistas.
Como mínimo, se debe incluir:
• El equipo y software requerido para operar.
• Los aspectos de la CP, CPS, Política de Seguridad, Plan de

privacidad y otra documentación relevante que afecte sus
funciones.
• Requisitos legislativos en relación a sus funciones.
• Sus roles en relación al plan de continuidad y recuperación de

desastres.
REFERENCIAS

5.3.4 Frecuencia y Como mínimo las re-capacitaciones deben ser llevadas a cabo cuando
requisitos de las existan cambios significativos en los elementos tratados en la
re-capacitaciones capacitación inicial y cada vez que se sustituya o rote al personal
encargado.
REFERENCIAS

5.3.5 Frecuencia y La EC debe establecer en su CPS u otra documentación relevante si

secuencia de la implementará políticas de rotación en el trabajo, en ese caso se debe
rotación en el establecer documentalmente los procedimientos necesarios, incluyendo
trabajo los periodos mínimos para realizar la rotación.
REFERENCIAS

5.3.6 Sanciones por Debe existir un proceso disciplinario formal para los empleados que han
acciones no cometido una violación en la seguridad. Como mínimo, en el caso de
- A1.59 -
autorizadas una acción real o potencial no autorizada y que haya sido realizada por
una persona que desempeña un rol de confianza, dicha persona debe
ser inmediatamente suspendida de todo rol de confianza que pudiera
desempeñar.
Dichas sanciones deben estar establecidas en los contratos de cada

empleado y/o contratista.
REFERENCIAS

5.3.7 Requerimientos Las EC debe establecer en su CPS u otra documentación relevante, si

de los contratistas es que se permite el empleo de contratistas.
Se debe de requerir a los contratistas y a su personal los mismos

controles exigidos para la contratación de su propio personal. Esto debe
quedar plasmado en los contratos que se celebren.
Los contratistas y su personal deben quedar obligados por los términos

de la CP, CPS y otra documentación relevante de la IOFE con el cual
contratan.
Los contratos deben especificar sanciones y reparaciones para las

acciones llevadas a cabo por los contratistas y sus empleados.
REFERENCIAS

5.3.8 Documentación Se debe entregar al personal la documentación necesaria para el

suministrada al desempeño de sus funciones
personal Como mínimo, esto debe incluir:
• Una declaración de funciones y autorizaciones.

• Manuales para los equipos de software que deben de operar.
• Aspectos de la CP, CPS, Política de Seguridad, Plan de
Privacidad y otra documentación relevante en relación a sus
funciones.
• Legislación aplicable a sus funciones.
• Documentación respecto a sus roles frente a planes de
continuidad del negocio y recuperación frente a desastres.
REFERENCIAS

5.4 Procedimiento de
registro de
auditorías
- A1.60 -
5.4.1 Tipos de eventos Las ECs deben mantener un registro de auditoría de los eventos que
registrados puedan impactar en la seguridad de sus operaciones.
Como mínimo, estos deben incluir lo siguiente:
• Encendido y apagado de os sistemas.
• Intentos de crear, borrar, cambiar contraseñas o permisos de

los usuarios dentro del sistema de certificación.
• Intentos de entrada y salida del sistema de certificación.
• Intentos no autorizados de acceso a los registros o bases de

datos del sistema de certificación.
• Cambios en las políticas de emisión de certificados.
• Intentos no autorizados de entrada a la red de la EC.
• Generación de claves de la EC.
• Intentos nulos de lectura y escritura en un certificado y en el

repositorio.
• Eventos relacionados con el ciclo de vida del certificado:

emisión, revocación, re-emisión, suspensión y modificación
(estos tres últimos son opconales).
El registro de auditoría de eventos debe registrar la hora, fecha e

identificadores software/hardware.
Las ECs deben registrar de manera manual o electrónica, como

mínimo, la siguiente información:
• Mantenimientos y cambios de configuración del sistema.
• Acceso físico a las áreas sensibles.
• Cambios en el personal.
• Informes completos de los intentos de intrusión física en las

infraestructuras que dan soporte al sistema de certificación.
5.4.2 Frecuencia del Los registros de auditoría deben ser procesados y revisados una vez al
procesamiento del mes como mínimo con el fin de buscar actividades sospechosas o no
registro habituales.
Los eventos auditables significativos deben generar alarmas

automáticas para realizar una auditoría.
El procesamiento de los registros de auditoría debe incluir la

verificación de que dichos registros no hayan sido manipulados.
REFERENCIAS
Anexo 3 Política de Seguridad de la información.

Anexo 3 Auditorías y detección de intrusiones.
Anexo 4 Sección 10.10 Monitoreo.
- A1.61 -
5.4.3 Periodo de Como mínimo el registro de auditorías debe conservarse por un periodo
conservación del de diez (10) años, el cual es el periodo máximo requerido por la
registro de jurisdicción con la cual la IOFE mantiene un acuerdo de reconocimiento
auditorías cruzado.
REFERENCIAS
Anexo 4 Política se Seguridad de la información.

5.4.4 Protección del Los archivos donde se almacene la información relevante para las
registro de auditorías deben estar protegidos por listas de control de acceso que
auditoría permitan solamente a los administradores de la EC tener acceso a esa
información tanto para lectura, como para escritura.
La destrucción de un archivo de auditoría solo se podrá llevar a cabo

con la autorización de INDECOPI, siempre y cuando haya transcurrido
un periodo mínimo de 10 años.
REFERENCIAS

5.4.5 Procedimiento de Como mínimo debe realizarse de manera mensual una copia de
copia de seguridad seguridad del registro de auditorías, la cual debe archivarse fuera de
del registro de sus instalaciones.
auditorías..
Debe tomarse en consideración la posibilidad de generar copias de
seguridad automatizadas para el caso de eventos auditables
significativos.
REFERENCIAS
Anexo 4 Política se Seguridad de la información

Anexo 4 Auditorias y detección de intrusiones
5.4.6 Sistema de Las auditorías internas de las ECs deben llevarse a cabo una vez cada
realización de seis (6) meses.
auditoría (Interna
vs Externa) Las auditorías externas deben llevarse a cabo una vez al año (auditoría
periódica).
Las auditorías externas pueden también ser llevadas a cabo siempre

que INDECOPI lo requiera (auditoría extraordinaria).
En el ámbito del Sector Público (ECERNEP, ECEPs, EREPs), las

auditorías internas deben llevarse a cabo cada tres (3) meses.
REFERENCIAS
Anexo 4 Política de Seguridad de la información.

Anexo 5 Sección 10.2.2 Monitoreo y Revisión de los Servicios
- A1.62 -
Externos.
Anexo 5 Sección 15.3 Consideraciones Sobre la Auditoría de
Sistemas.
5.4.7 Notificación al Se debe establecer en la CP, CPS de la EC u otra documentación

titular que causa relevante si es que resulta factible realizar notificaciones a los titulares
un evento que causan los eventos.
Debe tomarse en consideración la posibilidad de permitir la notificación

a un titular en los casos en que se establezca que el evento es de
índole accidental y resulta probable que pueda volver a ocurrir.
REFERENCIAS

5.4.8 Valoración de La EC debe obtener información oportuna sobre las vulnerabilidades

vulnerabilidad técnicas de los sistemas de información en uso. Además, se debe
evaluar el riesgo al que se expone la organización ante esas
vulnerabilidades y se deben tomar medidas para reducir el impacto.
REFERENCIAS

Anexo 5 Sección 6.2 Seguridad en los Accesos de Terceras Partes.
Anexo 5 Sección 8.1 Seguridad Antes del Empleo.
Anexo 5 Sección 8.2 Durante el Empleo.
Anexo 5 Sección 9.2.1 Instalación y Protección de Equipos.
5.5 Archivo de
registros
- A1.63 -
5.5.1 Tipos de eventos Se debe requerir el archivo de todo tipo de información necesaria para
registrados establecer la validez de un certificado por el periodo que los archivos
deben ser mantenidos en conformidad con la legislación de las
jurisdicciones, y con las que se pueda mantener acuerdos de
reconocimiento cruzado.
Como mínimo debe mantenerse: la información del suscriptor, bases de

datos de los certificados, información de la revocación o estado, estado
de acreditación, claves públicas de la EC y el registro de auditorías.
Las aplicaciones requeridas para tener acceso a un archivo deben

también ser archivadas.
Art. 11° inc. c)

Las Entidades de Certificación tendrán las siguientes funciones:
c) Reconocer certificados digitales emitidos en el extranjero y responder
por ellos.
Art. 12° inc. j, l) y m)

obligaciones:
m) Informar y solicitar autorización a la AAC para efectos del
reconocimiento de certificados emitidos por entidades extranjeras.
Art. 53°
Artículo 53º.- Acuerdos de reconocimiento mutuo
La AAC podrá suscribir acuerdos de reconocimiento mutuo con
entidades similares, a fin de reconocer la validez de los certificados
digitales otorgados en el extranjero y extender la interoperabilidad de la
IOFE. Los acuerdos de reconocimiento mutuo deben garantizar en
forma equivalente las funciones exigidas por la Ley y su Reglamento.
Art. 54°
Artículo 54º.- Reconocimiento
La AAC podrá reconocer los certificados digitales emitidos por Entidades
Extranjeras, de acuerdo con las prácticas y políticas que para tal efecto
apruebe, las que deben velar por el cumplimiento de las obligaciones y
responsabilidades establecidas en el Reglamento u otra norma
posterior. Asimismo, podrá autorizar la operación de aquellas Entidades
de Certificación nacionales que utilicen los servicios de Entidades de
Certificación extranjera, de verificarse tal supuesto, las entidades
nacionales asumirán las responsabilidades del caso.
Para tal efecto, la entidad extranjera deberá comunicar a la AAC el
nombre de aquellas entidades de certificación que autorizarán las
solicitudes de emisión de certificados digitales así como la gestión de los
mismos.
La AAC emitirá las normas que aseguren el cumplimiento de lo
establecido en el presente artículo; así como los mecanismos adecuados
de información a los agentes del mercado.
Art. 55°
- A1.64 -
Las Entidades de Certificación acreditadas pueden realizar

certificaciones cruzadas con Entidades de Certificación Extranjeras a fin
de reconocer los certificados digitales que éstas emitan en el extranjero,
REFERENCIAS

Anexo 5 Sección 7.2 Clasificación de la Información.
Anexo 5 Sección 10.10 Registro de la Auditoria.
Anexo 5 Sección 11.2 Gestión de Acceso de Usuarios.
Anexo 5 Sección 12.6.1 Control de las Vulnerabilidades Técnicas
Anexo 5 Sección 13.2.3 Recolección de Evidencia.
Anexo 5 Sección 13.1 Reportando Eventos y debilidades de la
Seguridad de Información.
5.5.2 Periodo de Como mínimo, los archivos deben ser mantenidos por un periodo de
conservación del diez (10) años, el cual es el periodo máximo requerido por la legislación
archivo vigente.
REFERENCIAS
Anexo 4 Mantenimiento de equipos y desecho

Anexo 5 Sección 10.10.1 Registro de la auditoria.
Anexo 5 Sección 15.3 Protección de las Herramientas de Auditoria
de Sistemas.
5.5.3 Protección del Se debe establecer en la Política de Seguridad de la EC u otra

archivo documentación relevante las medidas de protección de la información
archivada. Como mínimo las medidas deben prevenir cualquier
modificación o eliminación de los datos contenidos en el archivo, e
impedir el acceso a personas no autorizadas. Asimismo, debe
garantizarse la confidencialidad de los datos proporcionados por los
suscriptores y los titulares. Las medidas de seguridad que se adopten
deben ser proporcionales a la sensibilidad e importancia de la
información contenida en el archivo.
Los archivos de mayor relevancia, así como los certificados digitales

deben estar firmados digitalmente.
Debe tomarse en consideración la posibilidad de re-firmado de los

archivos cuando los avances en las tecnologías generen potencialmente
una posibilidad de afectación a los mismos o la generación de
microformas según Decreto Legislativo 681.
REFERENCIAS
- A1.65 -

Anexo 5 Sección 6.1.3 Asignación de Responsabilidades Sobre
Seguridad de la Información.
Anexo 5 Sección 7.2 Clasificación de la Información.
Anexo 5 Sección 10.7 Utilización de los Medios de Información.
Anexo 5 Sección 15.3 Protección de las Herramientas de Auditoria
de Sistemas.
5.5.4 Procedimientos Con el fin de mantener la integridad y disponibilidad de los servicios de

para copia de procesamiento de información y comunicaciones, se deben realizar
seguridad del copias de respaldo de la información y software esencial. Dichas copias
archivo deben ser probadas con regularidad. Los procedimientos deben ser
compatibles con los estándares ISO mencionados en las referencias de
esta sección o la generación de microformas de acuerdo al Decreto
Legislativo 681.
REFERENCIAS

Anexo 5 Sección 7.2.2 Marcado y tratamiento de la Información.
5.5.5 Requisitos para Los datos archivados deben consignar la fecha y hora, y la firma digital
los archivos de de la organización que genera dichos datos según la RFC 3161 (Time
sellado de tiempo Stamping), o pueden ser protegidos de cualquier otra forma que pueda
demostrar que los datos corresponden a la organización que los ha
generado.
REFERENCIAS

Anexo 5 Sección 10.10.6 Sincronización del Reloj.
5.5.6 Sistema de Se requiere que por lo menos se mantengan dos copias de seguridad,
recolección del una de las cuales debe ser almacenada fuera de las instalaciones del
archivo mismo.
(Interna o Externa)
REFERENCIAS
Anexo 4 Mantenimiento de equipos y desecho.

Anexo 5 Sección 10.2.2 Monitoreo y Revisión de los Servicios
Externos.
5.5.7 Procedimiento Los procedimientos para la obtención y verificación de la información

para obtener y del archivo deben encontrarse de conformidad con los requisitos de
verificar la confidencialidad y privacidad detallados en los puntos 9.3 y 9.4.
información del
archivo REFERENCIAS
Anexo 4 Mantenimiento de equipos y desecho.

- A1.66 -
5.6 Cambio de clave Sólo se permiten los cambios de clave de las ECs raíces o intermedias
(no certificados de atributos), en el caso que las claves empleadas para
firmar un certificado válidamente emitido por la EC sean retenidas
hasta la fecha de expiración de dichos certificados.
5.7 Recuperación Los PSCs deben establecer un plan de contingencias que permita el
frente al restablecimiento y mantenimiento de la continuidad del negocio y la
compromiso y recuperación frente a desastres. Este plan debe contemplar las
desastre acciones a realizar, los recursos a utilizar y el personal a emplear en el
caso de producirse un acontecimiento intencionado o accidental que
inutilice o degrade los recursos y los servicios de certificación.
Dicho plan debe asegurar que los aspectos básicos del negocio, tales
como servicios de validación o revocación, puedan ser reasumidos
dentro de un plazo máximo de 24 horas, el cual constituye el plazo
máximo para la emisión de las listas de revocación de certificados. Los
planes deben ser evaluados por lo menos una vez durante el periodo de
cada auditoría o evaluación de compatibilidad y los resultados deben
ser puestos a disposición de los auditores de compatibilidad o asesores,
conjuntamente con la información respecto a las acciones correctivas
que pudieran ser necesarias.
NOTA: Para las ECs, incluyendo la ECs que sólo emiten certificados a
ECs subordinadas, de reconocimiento cruzado o certificación cruzada,
los procedimientos de seguridad y aquellos no realizados en línea
pueden requerir periodos mayores. En estos casos los servicios de
revocación y reemisión de certificados deben ser realizados tan pronto
como sea posible.
REFERENCIAS

Anexo 4 Respuesta a Incidentes.
Anexo 5 Sección 14 Gestión de continuidad del Negocio.
5.7.1 Procedimiento de Los planes de recuperación y continuidad en el negocio deben

manejo de establecer de manera específica los procedimientos que deben seguirse
incidentes y en el caso de un evento o compromiso real o potencial de la integridad
compromisos de las operaciones de las ECs y deben ser compatibles con los
estándares ISO de los anexos indicados en las referencias de esta
sección.
Los eventos e incidentes que afecten la seguridad de la información

deben reportarse al Oficial de Seguridad lo más rápidamente posible.
Todos los empleados, contratistas y terceros que confían de los

sistemas y servicios de información deben tomar nota y reportar al
Oficial de Seguridad cualquier debilidad observada o sospechosa sobre
la seguridad de dichos sistemas y servicios de información, con el fin de
identificar dichos eventos y reducir el impacto de los mismos.
Deben existir mecanismos para permitir cuantificar y monitorear los

tipos, cantidad y costos de los incidentes en la seguridad de la
información.
Cuando la acción de seguimiento contra una persona u organización

después de un incidente en la seguridad de la información involucra un
acción legal (civil o criminal), se debe recolectar, mantener presentar
evidencia a fin de cumplir con la legislación vigente.
- A1.67 -
REFERENCIAS

Información.
5.7.2 Adulteración de El plan debe identificar fuentes alternativas de recursos

los recursos computacionales, software y datos, las cuales deben ser empleadas en
computacionales, los casos de adulteraciones o fallas en los mismos.
software y/o datos
En el caso que la adulteración se refiera al compromiso real o potencial
de las claves privadas que pudiera generar su inoperatividad, debe
tomarse en consideración la posibilidad de realizar un proceso de re-
emisión.
REFERENCIAS

Anexo 4 Control de cambios y configuración.
Sistemas.
Información.
5.7.3 Procedimientos En caso que la clave de la EC raiz o intermedia acreditada (no

en caso de certificados de atributos) fuera comprometida de manera real o
compromiso de la potencial, ésta deberá ser inmediatamente revocada y se deberán
clave privada de la seguir los procedimientos de notificación detallados anteriormente.
entidad
Se notificará a todas las Entidades afectadas que los certificados y la
información sobre su revocación, suministrada con la clave
comprometida del PSC, ha dejado de ser válida desde el momento de la
notificación.
Los certificados firmados por Entidades dependientes de una EC raíz o

intermedia afectada, en el periodo comprendido entre el compromiso
de la clave y la revocación del certificado correspondiente, dejarán de
ser validos por lo que sus titulares deberán solicitar la re-emisión de
nuevos certificados.
Art. 12° inc. d)

obligaciones:
- A1.68 -
REFERENCIAS

Anexo 4 Control de cambios y configuración.
Sistemas.
Información.
5.7.4 Capacidad de La EC debe garantizar lo siguiente:

continuidad de
negocio luego de • La continuidad de las operaciones en caso de compromiso de su
un desastre clave privada.
• Minimización de riesgos que podrían ocasionar la interrupción

del servicio.
Como mínimo, se debe garantizar la continuidad de las siguientes

actividades de certificación:
• La recepción de solicitudes de revocación.

• La revocación de certificados digitales.
• La emisión de la lista de certificados revocados.
• La publicación de la lista de certificados revocados.
Las operaciones de una instalación cuando los desastres naturales o de

otro tipo han afectado su seguridad pueden ser realizados por otra
entidad acreditada por INDECOPI de modo que se pueda operar desde
otra instalación alternativa segura o también se puede emplear una
copia de seguridad segura del software y datos, hasta que las
operaciones normales de la instalación inicial, puedan realizarse de
manera segura.
La EC debe establecer un procedimiento para probar el Plan de

Continuidad de Negocio y Recuperación de Desastres con periodicidad
no menor de 1 vez por año y no mayor que 2 veces por año.
El personal afectado por el Plan de Continuidad de Negocio y

Recuperación de Desastres debe conocer dicho plan y los
procedimientos con él relacionados y será responsable de su
cumplimiento de acuerdo a los roles asignados. La EC debe establecer
las capacitaciones y documentación necesarias.
REFERENCIAS
Anexo 4 Respuesta a Incidentes.
5.8 Finalización de la Se requiere información por parte de los ECs respecto a operaciones de
EC o ER finalización (disolución) o transferencia de su titularidad. La EC debe
informar al INDECOPI, a los suscriptores, titulares y terceros que
confían sobre el cese de sus operaciones con por lo menos treinta (30)
días calendario de anticipación.
- A1.69 -
Cuando un PSC finaliza sus operaciones, se debe asegurar que todos

los datos necesarios para la continuación de las operaciones bajo el
marco de la IOFE son transferidas al propio INDECOPI o a otro PSC
designado por éste.
Cuando se trata de una operación de transferencia de titularidad, se

debe asegurar que los nuevos dueños u operadores cumplan con los
requisitos de acreditación.
Se debe advertir a todos los suscriptores o terceros que confían,

respecto de los cambios y todo tipo de condición asociada a la
continuidad del uso de los certificados emitidos por una EC que finaliza
o transfiere sus operaciones.
Art. 14°
Artículo 14º.- Del cese de operaciones
La Entidad de Certificación cesa sus operaciones en el marco de la IOFE,
en los siguientes casos:
a) Por decisión unilateral comunicada a la AAC, asumiendo la
responsabilidad del caso por dicha decisión.

legislación concursal, o resolución judicial de quiebra.
Para los supuestos contemplados en los incisos a) y b) la AAC
establecerá el plazo en el cual las Entidades de Certificación notificarán
tanto a aquélla como a los titulares de certificados digitales el cese de sus
actividades. La AAC deberá adoptar las medidas necesarias para
preservar las obligaciones contenidas en los incisos d), g) e i) del
artículo 12º del Reglamento.
La AAC reglamentará los procedimientos para hacer público el cese de
operaciones de las entidades de certificación.
Los certificados digitales emitidos por una Entidad de Certificación
cuyas operaciones han cesado deben ser cancelados a partir del día,
hora, minuto y segundo en que se aplica el cese. El uso de
certificados digitales con posterioridad a su cancelación conlleva la
inaplicabilidad de los artículos 5º y 6º del presente Reglamento.
6. CONTROLES DE Los tipos de controles que deben implementarse deben ser compatibles
SEGURIDAD TÉCNICA con alguna de las siguientes normas:
• ISO/IEC 17799 “Information technology – Code of practice for

information security management” y la norma ISO/IEC TR13335
“Information technology – Guidelines for the management of IT
Security y su version certificada ISO 27001 o BS 7799 – II.
• La norma ISO/IEC 27001:2005 “Information technology - Security

techniques - Information security management systems -
Requirements”.
En los casos que la legislación establezca para los suscriptores, titulares

o terceros que confían, ciertas responsabilidades en relación a la
seguridad técnica, éstas deberán estar establecidas o referenciadas en
los acuerdos con el suscriptor o con el tercero que confía.
- A1.70 -
Art. 9°
por:
b) Las prácticas de certificación, basadas en estándares internacionales
o compatibles a las internacionalmente vigentes, que aseguren la
interoperabilidad y las funciones exigidas, conforme a lo establecido por
la AAC.
Art. 10°
Artículo 10º.- Estándares aplicables
La AAC determinará los estándares compatibles aplicando el principio
de neutralidad tecnológica.
6.1 Generación e
instalación del par
de claves
6.1.1 Generación del Las ECs acreditadas deben establecer en su CP, CPS u otra
par de claves documentación relevante, los procedimientos para la generación de sus
claves, y las de los suscriptores.
La generación de claves tanto para uso de los PSCs como para uso de
los usuarios finales, debe ser realizada utilizando procedimientos de
generación de claves compatibles o equivalentes al estándar FIPS 140-
2 Sección 4.7.2 o Common Criteria EAL4+ como mínimo.
Las claves pueden ser generadas por los propios suscriptores o por las
ERs.
Las claves deben ser verificadas antes de la emisión de un certificado.
NOTA: El ISO/IEC 15408 está basado en la protección de perfiles para

dispositivos criptográficos con certificación EAL4+, se encuentran
definidos en: CWA 14169 (dispositivos de los titulares), CWA 14167-2 y
-4 para ECs, Autoridades de Sellado de Tiempo, etc. CWA 14167-3 para
la generación de la clave fuera de dispositivos de firma.
Los CEN Workshop Agreements (CWAs) 14169, 14167-2, 14167-3,

14167-4, son compatibles con el ISO 15408 – Common Criteria para
dispositivos de firma desarrollados por el Comité Europeo de
Normalización (CEN – www.cenorm.be) dentro del trabajo realizado por
la European Electronic Signature Specification Initiative. Se puede
acceder a estos documentos a través de la
URL:www.cenorm.be/cenorm/businessdomains/isss/cwa/electronic+sig
natures.asp
TSA: Autoridad de sellado de tiempo: autoridad que emite tokens para
sellado de tiempo (RFC 3628)
6.1.2 Entrega al En el caso que una EC o ER genere las claves a nombre del suscriptor,
suscriptor de la deben implementarse controles que aseguren la confidencialidad de la
clave privada clave privada asociada.
En los casos en que las claves no son emitidas en presencia del

suscriptor o titular, se debe permitir la emisión electrónica de claves,
proveyendo canales seguros por separado para la emisión de la clave y
para el código (o códigos) de activación de la misma.
- A1.71 -
6.1.3 Entrega de la Cuando un suscriptor genera su propio par de claves o par de claves
clave pública para del titular, las claves públicas correspondientes deben ser entregadas al
el emisor de un emisor del certificado de manera tal que se asegure la autenticidad de
certificado dicho suscriptor.
En los casos en que las ERs acepten las claves públicas en

representación de los emisores de los certificados, éstas deberán ser
entregadas a dicho emisor de manera tal que se asegure el
mantenimiento de la asociación que debe existir entre el titular y la
clave.
6.1.4 Entrega de la Las claves públicas de ECs acreditadas serán consignadas en la lista
clave pública de la TSL.
EC al tercero que
confía DECRETO SUPREMO N° 004-2007-PCM
Artículo 38º
Peruano (ECEP)
digital.
6.1.5 Tamaño de las Se debe establecer en la CPS de la EC u otra documentación relevante

claves los algoritmos y el tamaño de las claves que emplea.
Como mínimo, debe soportar el empleo de RSA, DSA, SHA-256.

Adicionalmente también puede soportar el uso de ECDSA.
Todo par de claves generado para la operación la EC raiz o intermedia

acreditada (no certificados de atributos), deben ser como mínimo de
2048 bits RSA o DSA.
Todo par de claves generado para los suscriptores o titulares, debe ser
como mínimo de 2048 bits RSA o DSA.
Nota:
Las evaluaciones de vulnerabilidad actuales5, indican que el tamaño de
claves de los bits RSA y DSA 1024 o el bit de curva elíptica 160, no
deben de ser usados más allá del año 2010 y el tamaño de clave de los
bits RSA y DSA 2048 o el bit de curva elíptica no deben ser usados más
allá del año 2030.
Se permitirá el uso de la emisión de certificados empleando el
algoritmo SHA-1 sólo hasta el año 2009.
Se permitirá la emisión de certificados para usuarios finales, con claves
5
Evaluaciones de RSA disponibles en: http://www.rsasecurity.com/rsalabs/node.asp?id=2004
Evaluaciones de NIST disponibles en: http://csrc.nist.gov/CryptoToolkit/kms/guideline-1-Jan03.pdf
- A1.72 -
de 1024 bits sólo hasta el año 2009.
6.1.6 Generación de La EC debe evaluar los parámetros de las claves públicas que usa, así
parámetros de las como a quienes pueden generar dichos parámetros.
claves públicas y
verificación de la En general, los parámetros serán generados por las ECs acreditadas o a
calidad través del proceso de confianza que elija la EC.
Las auditorías de conformidad o los procesos de evaluación verifiquen

la calidad de todos los parámetros generados por las ECs acreditadas.
6.1.7 Propósitos del El contenido del campo “uso de clave” del certificado debe diferenciarse
uso de las claves entre las claves de firmado, autenticación y cifrado.
(conforme a lo
establecido en el
campo de uso de Los bits CertSign y CRLSign, sólo deben ser utilizados por ECs
X.509 v3) acreditadas.
6.2 Controles de Se debe establecer en la CPS de la EC u otra documentación relevante

ingeniería para los procedimientos para la protección de la clave privada.
protección de la
clave privada y Cualquiera de los siguientes estándares: ISO/IEC 19790, ISO/IEC
módulo 15408 o FIPS 140-2, Common Criteria EAL4 pueden ser usados para
criptográfico atender el tema de los controles de ingeniería del módulo criptográfico.
NOTA: El ISO/IEC 15408 está basado en la protección de perfiles para

dispositivos criptográficos con certificación EAL4+, se encuentran

acceder a estos documentos a través de la
URL:www.cenorm.be/cenorm/businessdomains/isss/cwa/electronic+sig
natures.asp
sellado de tiempo (RFC 3628)
REFERENCIAS
Anexo 4 Mantenimiento de equipos y su desecho

Anexo 5 Sección 12.3.2 Gestión de Claves.
6.2.1 Estándares y Los módulos criptográficos usados por las ECs deben cumplir los
controles para el requerimientos o ser equivalentes a FIPS 140-2, nivel de seguridad 3
módulo como mínimo.
criptográfico
Los módulos criptográficos usados por ERs o Proveedores de servicios
de repositorio acreditados deben cumplir los requerimientos o ser
equivalentes a los requerimientos de FIPS 140-2 nivel de seguridad 2
- A1.73 -
como mínimo.
Los módulos criptográficos usados por los titulares o suscriptores bajo

el marco de la IOFE deben cumplir los requerimientos o ser
equivalentes a los requerimientos de FIPS 140-2 nivel 1 como mínimo.
NOTA: Los requerimientos exigidos en esta sección se aplican tanto al

hardware como al firmware (“sistema operativo”) de los módulos
criptográficos.
6.2.2. Clave pública (n Las ECs raíces o intermedias acreditadas deben de asegurar que la
fuera de m) Control generación y acceso a sus claves privadas (no certificados de atributos)
multipersonal deben requerir por lo menos de la actuación conjunta de dos personas.
6.2.3 Depósito de clave No se admite el depósito, almacenamiento o copia de claves privadas

privada de firma y autenticación de los usuarios finales, ni de los módulos
hardware que los contienen.
Sólo se permite el depósito de claves privadas de cifrado (copia de back

up), sólo si media consentimiento del suscriptor.
6.2.4 Copia de La copia de seguridad de la clave privada de las ECs raíces o

seguridad de la intermedias acreditadas (no certificados de atributos), deberá
clave privada de permitirse, si la protección dada a dicha copia de seguridad no es
los PSCs menor a la establecida para la copia maestra.
6.2.5 Archivo de la No deberán ser archivadas las claves privadas empleadas para la firma
clave privada y autenticación de los usuarios finales, ni de los archivos electrónicos
que los contengan (por ejemplo, los archivos con extensión PFX).
Otras claves privadas pueden ser archivadas a efectos de permitir la

restauración del material correspondiente.
En los casos en que se archive una clave privada, ésta deberá ser
protegida en el mismo nivel que se emplea para la protección de la
clave activa.
6.2.6 Transferencia de La clave privada de una EC raíz o intermedia acreditada (no certificados
la clave privada de de atributos), debe ser generada y mantenida en el módulo
o hacia un módulo criptográfico o retenerse de manera cifrada en un dispositivo seguro
criptográfico para el transporte de claves.
Cuando la copia de seguridad o restauración, requiera la transferencia

de la clave privada de o hacia el módulo criptográfico, este debe estar
sujeto a los mismos controles empleados para la generación de la clave
original.
6.2.7 Almacenamiento La clave privada de una EC raíz o intermedia acreditada (no certificados
de la clave privada de atributos) debe ser generada y mantenida en el módulo
en un módulo criptográfico.
criptográfico
Los módulos criptográficos usados por INDECOPI, por ECs o por
Autoridades de Gestión de ECs (CMAs) acreditados deben cumplir los
requerimientos establecidos o que sean equivalentes a FIPS 140-2 nivel
3.
- A1.74 -
Los módulos criptográficos usados por ERs o Proveedores de servicios

de repositorio deben cumplir los requerimientos o ser equivalentes a
FIPS 140-2 nivel 2.
6.2.8 Método de La activación de la clave privada de una EC raíz o intermedia acreditada

activación de la (no certificados de atributos), debe estar sujeta a un método aprobado
clave privada de control de acceso.
La activación inicial de la clave privada generada por un titular requiere

el uso de los datos de activación provistos al mismo por un canal
diferente al empleado para la provisión de la clave.
Se debe requerir a los suscriptores el uso de los datos de activación

cuando empleen la clave privada para firmar. Debe tomarse en
consideración la manera de proveer las claves a efectos de lograr que
éstas requieran de dicha activación para poder operar.
6.2.9 Método de Las claves privadas deben ser desactivadas automáticamente al

desactivación de la momento del apagado de la computadora o luego de un periodo
clave privada establecido de inactividad.
Tal procedimiento debe asegurar que no se permita la recuperación de

copias ni en la aplicación, ni en la memoria o en el disco de la máquina
(ordenador o computador).
6.2.10 Método de Cuando legalmente se permita la destrucción de la clave privada usada

destrucción de la sólo para la firma, deben destruirse tanto esta clave como las copias de
clave privada seguridad que pudieran existir. Los procedimientos deben asegurar que
las copias recuperables no se mantengan en la memoria, módulo o
disco, incluyendo cualquier copia de seguridad.
En términos generales la destrucción siempre debe ser precedida por

una revocación del certificado asociado a la clave, si éste estuviese
todavía vigente.
REFERENCIAS
Anexo 4 Manutención de equipos y su desecho

Anexo 5 Sección 8.1.1 Inclusión de la Seguridad en las
Responsabilidades y Funciones laborales.
6.2.11 Clasificación del Los módulos criptográficos usados por las ECs o por las Autoridades de
módulo Gestión de ECs, deben cumplir los requisitos establecidos o que sean
criptográfico equivalentes a FIPS 140-2 nivel de seguridad 3 como mínimo.
Los módulos criptográficos usados por los ERs o por los Proveedores del
Servicio de Repositorio acreditados deben cumplir los requisitos
establecidos o que sean equivalentes a FIPS 140-2 nivel de seguridad 2
como mínimo.
Los módulos criptográficos usados por los suscriptores de certificados

acreditados por la IOFE deben cumplir los requisitos establecidos o que
sean equivales a FIPS 140-2 nivel de seguridad 1 como mínimo y según
el Nivel de Seguridad Medio y Medio Alto.
NOTA: El estándar ISO/IEC 15408 basado en la protección de perfiles

para dispositivos criptográficos certificado EAL4+, se encuentran
- A1.75 -


acceder a estos documentos a través de la URL
www.cenorm.be/cenorm/businessdomains/isss/cwa/electronic+signatur
es.asp

sellado de tiempo (RFC 3628).
Los requerimientos exigidos en esta sección se aplican tanto al

hardware como al firmware (“sistema operativo”) de los módulos
criptográficos.
6.3 Otros aspectos de

la gestión del par
de claves
6.3.1 Archivo de la Las claves públicas o los certificados que las contengan, deben ser
clave pública archivadas de conformidad con las políticas de archivo de registro.
6.3.2 Periodos El periodo máximo de uso de una clave privada debe estar determinado
operacionales del por el riesgo de compromiso que pudiera existir para una clave de tal
certificado y tamaño y este periodo puede necesitar ser variado dependiendo de los
periodo de uso de avances tecnológicos.
las claves
En este punto, una clave de 2048 bit debe tener el periodo máximo de
uso establecido de conformidad con el ciclo de vida del certificado o un
plazo máximo de tres (3) años, cualquiera que fuera el menor. Una
clave de suscriptor de 1024 bits debe tener un periodo máximo de uso
establecido de conformidad con el ciclo de vida del certificado o un
plazo máximo de 1 año, cualquiera fuera el menor.
Nota:
Se permitirá la emisión de certificados para usuarios finales, con claves
de 1024 bits sólo hasta el año 2009.
Los periodos operacionales de los certificados no deben exceder el

periodo apropiado de uso de claves o el periodo de revalidación de
datos de identidad.
6.4 Datos de activación
6.4.1 Generación e Los requisitos para los datos de activación deben estar en concordancia
instalación de con el valor de los activos protegidos por la clave privada y cualquier
datos de activación otro control de acceso a dicha clave.
La forma de generación de datos de activación puede ser elegida por

los usuarios.
6.4.2 Protección de los Los datos de activación deben ser protegidos de conformidad con los
- A1.76 -
datos de activación valores de los activos protegidos por la clave privada.
Debe establecerse la suspensión luego de determinado número de

intentos.
REFERENCIAS

Anexo 5 Sección 11.2.3 Gestión de contraseñas de Usuario.
Anexo 5 Sección 11.6 Control de Acceso a las Aplicaciones y la
Información.
6.4.3 Otros aspectos El ciclo de vida de los datos de activación debe de estar de conformidad
de los datos de con el valor de los activos protegidos por la clave privada. Como
activación ejemplo, puede requerirse el cambio de PINs y contraseñas cada 30
días con limitaciones en cuanto a su formato y uso.
6.5 Controles de
seguridad
computacional
6.5.1 Requisitos La EC debe establecer en su CPS los controles de seguridad

técnicos específicos computacional, incluyendo métodos necesarios para la evaluación de
para seguridad dichos controles.
computacional
Las siguientes normas proveen directrices respecto a los tipos de
controles que deben implementarse:
La norma ISO/IEC 17799 “Information technology – Code of

practice for information security management” y la norma
ISO/IEC TR13335 “Information technology - Guidelines for the
management of IT Security”.
La norma ISO/IEC 27001:2005 “Information technology -

Security techniques - Information security management
systems - Requirements”.
La norma ISO/IEC 15408 “Information technology - Security

techniques - Evaluation criteria for IT security”.
REFERENCIAS

Anexo 4 Seguridad de Comunicaciones y Redes.
Sistemas.
6.5.2 Evaluación de la Las evaluaciones deben ser realizadas de manera compatible con los
seguridad siguientes estándares internacionales :
computacional
a) La norma ISO/IEC 15408 “Information technology -- Security
techniques - Evaluation criteria for IT security”.
b) La norma ISO/IEC 17799 “Information technology – Code of

practice for information security management” y la norma
ISO/IEC TR13335 “Information technology - Guidelines for the
- A1.77 -
management of IT Security”
c) La norma ISO/IEC 27001:2005 “Information technology -

Security techniques - Information security management
systems - Requirements”.
REFERENCIAS

Anexo 4 Seguridad de Comunicaciones y Redes.
Anexo 5 Sección 10 Desarrollo y Mantenimiento de sistemas.
Anexo 5 Sección 12.6.1 Gestión de la Vulnerabilidad Técnica.
6.6 Controles técnicos

del ciclo de vida
6.6.1 Controles de Se debe establecer en la CPS de la EC u otra documentación relevante,

desarrollo del los controles de desarrollo del sistema.
sistema
El software y el hardware deben estar sujetos a controles de seguridad
de calidad en su desenvolvimiento bajo el marco de la IOFE o a nivel
comercial.
El software, hardware y las configuraciones deben ser verificados en un

ambiente de prueba antes de empezar a realizar operaciones.
REFERENCIAS

Sistemas.
6.6.2 Controles de Deben establecerse controles para prevenir o detectar la modificación

gestión de no autorizada del software o cambios en el sistema de configuración.
seguridad
La validación de la integridad del sistema debe llevarse a cabo una vez
por semana.
REFERENCIAS
Anexo 4 Seguridad de comunicaciones y redes

Anexo 4 Control de cambios y configuración
Sistemas.
6.6.3 Evaluación de
Los controles de seguridad deben ser revisados como parte de la
seguridad del ciclo
auditoría o evaluación de compatibilidad con la IOFE.
de vida
6.7 Controles de Los usuarios sólo deben tener acceso a los servicios para los cuales han
seguridad de la red sido específicamente autorizados a usar.
Se debe utilizar métodos de autenticación para controlar el acceso de

usuarios remotos.
Se debe considerar la identificación automática del equipo como un

medio para autenticar las conexiones desde equipos y ubicaciones
específicas.
- A1.78 -
Se debe controlar el acceso físico y lógico a los puertos de diagnóstico y

configuración.
Se debe restringir la capacidad de conexión de los usuarios en las redes

compartidas, especialmente aquellas que se extienden a través de los
límites organizacionales.
Los módulos criptográficos que contienen las claves privadas usadas de

las EC raíces (no certificados de atributos) para firmar a los certificados
de las ECs intermedias (no certificados de atributos) , no deben estar
conectados a ninguna red abierta.
En los casos en que los repositorios de certificados, claves públicas,

certificados cruzados o de información de estado se encuentren
conectados a redes abiertas, éstos deberán estar sujetos a controles de
seguridad en redes, incluyendo firewalls. Además deben estar
configurados para permitir sólo las operaciones necesarias para el
funcionamiento bajo el marco de la IOFE.
La norma ISO/IEC 17799 “Information technology – Code of practice

for information security management”, la norma ISO/IEC TR13335
“Information technology – Guidelines for the management of IT
Security” y la norma ISO/IEC 27001:2005 “Information technology -
Security techniques - Information security management systems -
Requirements”, proveen directrices respecto a los tipos de controles
que deben implementarse.
REFERENCIAS
Anexo 5 Sección 11.4 Control de Acceso A la Red.
6.8 Sello de tiempo Se admiten servicios de sellado de hora y tiempo según la norma
ISO/IEC 18014-1:2000 “Information technology -- Security techniques
-- Time-stamping Services -- Part 1: Framework”. Para tales efectos
debe emplearse una fuente confiable de tiempo.
La información del repositorio, tal como directorios, CRLs e información

de estado, incluyendo copias archivadas, deben indicar la hora y fecha
de su generación o emisión.
La “RFC 3126 “Electronic Signatura Formats for long term Electronic

signatures” también puede ser considerado.
Nota: Se pueden considerar también los estándares reconocidos por

INDECOPI para efectos de la acreditación -ver anexo 11-.
REFERENCIAS

Anexo 5 Sección 11.4 Control de Acceso A la Red.
Anexo 5 Sección 10.10.6 Sincronización del Reloj.
7. PERFILES DE
CERTIFICADO
7.1 Perfil de certificado
- A1.79 -
7.1.1 Número(s) de
Debe soportarse y emplearse X.509 v3.
versión(es)
7.1.2 Extensiones del

Se debe soportar y usar las extensiones de certificado X.509 v3.
certificado
7.1.3 Identificadores
Los algoritmos OIDs deben estar de conformidad con el RFC 3279 y
de Objeto de
RFC 3280.
algoritmo
7.1.4 Forma de La forma de nombres debe de estar en el formato de nombres

nombres distinguidos X.501 tal como se implementa en el RFC 3739.
Los certificados digitales deberán contener como mínimo, además de lo

establecido en el artículo 7º de la Ley de Firmas y Certificados Digitales –
Ley 27269, lo siguiente:
a) Para personas naturales:

z Nombre completo
z Número de documento oficial de identidad
z Tipo de documento
z Dirección oficial de correo electrónico
b) Para personas jurídicas:
z Razón social
z Número de RUC
z Nombre completo del suscriptor
z Número de documento oficial de identidad del suscriptor
z Tipo de documento del suscriptor
z Atributos del suscriptor
z Correo electrónico del suscriptor
z Dirección oficial de correo electrónico del suscriptor
z Dirección oficial de correo electrónico de la persona jurídica
La Entidad de Certificación podrá incluir, a pedido del solicitante del

certificado información adicional siempre y cuando la Entidad de Registro o
Verificación compruebe de manera fehaciente la veracidad de ésta.
Ley 27269
Art. 30°
Artículo 7º.- Contenido del certificado digital
Los certificados digitales emitidos por las entidades de certificación deben
contener al menos:
1. Datos que identifiquen indubitablemente al suscriptor.
2. Datos que identifiquen a la Entidad de Certificación.
3. La clave pública.
4. La metodología para verificar la firma digital del suscriptor impuesta a
un mensaje de datos.
5. Número de serie del certificado.
6. Vigencia del certificado.
7. Firma digital de la Entidad de Certificación.
7.1.5 Restricciones de Las restricciones de nombre deben de estar soportados tal como se
nombre establece en el RFC 3280.
7.1.6 Identificador de
objeto de la política La política de certificados de las Entidades de certificación deben
de certificados obtener un identificador de objeto (OID) que será asignado por el
INDECOPI, el cual es la Autoridad de Registro Nacional para Perú para
- A1.80 -
la asignación de OIDs.
Los lineamientos de certificados calificados deben de ser establecidos

conforme al RFC 3739.
7.1.7 Extensión de
Las restricciones de políticas deben estar establecidas conforme al RFC
restricciones de
3280.
uso de la política
7.1.8 Sintaxis y
semántica de los Los calificadores de políticas deben de ser soportados tal como se
calificadores de la encuentran definidos en el RFC 3280.
política
7.1.9 Procesamiento de Se debe ser capaz de aceptar certificados que contengan cualquiera de
semántica para la las extensiones estandarizadas definidas en el RFC 3280 sea que estas
extensión de se encuentren marcadas o no como críticas.
políticas de Se debe evitar marcar como críticas a extensiones no estandarizadas
certificados críticos en los certificados que pretendan ser usados fuera del ámbito de la
IOFE.
7.2 Perfil CRL
7.2.1 Número(s) de Como mínimo deben usarse CRLs X.509 v2. Debe de soportar
versión(es) certificados X.509 v3.
7.2.2 CRL y
Extensiones de Se debe soportar las extensiones CRL definidas en el RFC 3280.
entrada de CRL
7.3 Perfil OCSP La IOFE permite la aplicación del protocolo OCSP.
Los certificados de OCSP respuesta deberán ser compatibles con

los siguientes estándares:
a) RFC 3280: Internet X.509 Public Key Infrastructure -

Certificate and CRL Profile, April 2002
b) ITU-T Recommendation X.509 (2005): Information
Technology Open Systems Interconnection - The Directory:
Authentication Framework
c) El IETF RFC 2560 “X.509 Internet Public Key Infrastructure Online
Certificate Status Protocol – OCSP” provee ayuda respecto al
intercambio de datos cuando se emplea OCSP.
7.3.1 Número(s) de Los certificados de OCSP respuesta utilizarán el estándar X.509 versión
versión(es) 3 (X.509 v3)
7.3.2 Extensiones Las ECs pueden soportar extensiones CRL tal como estas se encuentran
OCSP definidas en el RFC 2560.
8. AUDITORIAS DE La EC debe estar sometida a auditoría de compatibilidad independiente

CONFORMIDAD Y en relación a las operaciones que realiza. La frecuencia de tales
OTRAS auditorías externas o evaluaciones de conformidad y el proceso de
EVALUACIONES publicación de los resultados debe ser de una vez al año.
- A1.81 -
La auditoría de conformidad o los procesos de evaluación requeridos

para obtener y mantener la acreditación deben asimismo estar
establecidos en el CPS u otra documentación relevante.
REFERENCIAS
Anexo 4 Auditorias y Detección de Intrusiones.

Anexo 5 Sección 15.3 Consideraciones Sobre la Auditoria de
Sistemas.
8.1 Frecuencia y Los PSCs acreditados deben someterse una vez al año a auditorías o
circunstancias de la evaluaciones de conformidad respecto del marco de la IOFE.
evaluación
Los PSCs pueden también someterse a auditorías o evaluaciones de
conformidad en relación a lo establecido en su CPS.
Se debe de publicar el resultado de estas auditorías o evaluaciones de

conformidad.
REFERENCIAS

Sistemas.
8.2 Identidad/ Un equipo de auditoría o evaluación de conformidad debe incluir a

Calificaciones personas con experiencia significativa en tecnologías de la información,
de asesores seguridad y tecnologías de PKI y criptográficas.
INDECOPI exige que las personas que realizan las auditorías o

evaluaciones de conformidad bajo el marco de la IOFE, sean
previamente aprobadas por éste.
REFERENCIAS
Anexo 4 Seguridad de Personal.

8.3 Relación del auditor

Los auditores o asesores deben ser independientes de la organización
con la entidad
que auditan o evalúan.
auditada
8.4 Elementos Los elementos cubiertos por la auditoría son la implementación de las
cubiertos por la prácticas de certificación, personal, procedimientos y técnicas, descritos
evaluación en el anexo 2 de la presente Guía de Acreditación.
REFERENCIAS

Sistemas.
8.5 Acciones a ser Al detectarse una irregularidad (no conformidad), y dependiendo de la

tomadas frente a gravedad de la misma, podrán tomarse entre otras las siguientes
resultados acciones:
deficientes
- A1.82 -
a) Indicar las irregularidades (no conformidad), pero permitir al

PSC que continúe sus operaciones hasta la próxima auditoría
programada.
b) Permitir al PSC que continúe sus operaciones por un máximo de

treinta (30) días naturales pendientes a la corrección de los
problemas antes de suspenderlo.
c) Suspender la operación del PSC.
El auditor entregará a la AAC un informe técnico sustentando las

acciones a realizar y la AAC determinará cual de estas acciones deberá
ser tomada. Esta decisión estará basada en la severidad de las
irregularidades, los posibles riesgos y las consecuencias para los
suscriptores y titulares.
Si se toma la tercera acción, todos los certificados emitidos por la EC

serán revocados antes de la suspensión del servicio.
INDECOPI en su calidad de AAC, se reserva el derecho de revocar o

suspender la acreditación de un PSC cuando luego de su auditoría o
evaluación de conformidad se comprueba la existencia de deficiencias
significativas con relación al marco establecido de la IOFE.
8.6 Publicación de Los resultados de las auditorías o evaluaciones de conformidad bajo el

Resultados marco de la IOFE de los PSCs acreditados deben ser publicados como
parte de la información de estado de aquellas entidades, la cual es
publicada por INDECOPI.
Cuando INDECOPI reconozca certificados emitidos por otras

infraestructuras paralelas a la IOFE, los resultados de las auditorías o
evaluaciones de conformidad de los PSCs acreditados, serán publicados
por INDECOPI como parte de la información concerniente.
9. OTRAS MATERIAS
DE NEGOCIO Y
LEGALES
9.1 Tarifas
9.1.1 Tarifas para la

La EC debe determinar si procede o no el pago de una tarifa por este
emisión o
servicio. En particular, las tarifas deben estar establecidas o
renovación de
referenciadas en los contratos de suscriptores y terceros que confían.
certificados
9.1.2 Tarifas de acceso La EC debe determinar si procede o no el pago de una tarifa por este
a certificados servicio. En particular, las tarifas deben estar establecidas o
9.1.3 Tarifas para La EC debe determinar si procede o no el pago de una tarifa por este
información sobre servicio. En particular, las tarifas deben estar establecidas o
revocación o referenciadas en los contratos de suscriptores y terceros que confían.
estado
Debe tenerse en consideración que establecer tarifas respecto a
información sobre estado o revocación puede desalentar a las terceros
que confían de validar los certificados y por ende debe evitarse en la
- A1.83 -
medida de lo posible el establecimiento de este tipo de tarifas.
9.1.4 Tarifas para otros La EC debe determinar si procede o no el pago de una tarifa por este
servicios servicio. En particular, las tarifas deben estar establecidas o
9.1.5 Políticas de La EC debe establecer en su CP, CPS u otra documentación relevante,

reembolso sus políticas de reembolso. En particular, las políticas deben estar
establecidas o referencias en los contratos de suscriptores y terceros
que confían.
9.2 Responsabilidad
financiera
9.2.1 Cobertura de Las ECs deberán presentar para su acreditación, documentación que
seguro respalde la contratación de seguros o garantías bancarias para
salvaguardar las actividades de certificación6.
El monto mínimo de la póliza es de $ 50 000.00 dólares americanos.

Este requisito no será exigible para la ECERNEP ni ECEPs.
Art. 42° inc. g)

g) Documentación que acredite el cumplimiento de lo dispuesto en los
artículos 12º y 13º del Reglamento y demás que la AAC señale.
9.2.2 Otros activos La ECs deben sustentar que tienen recursos suficientes por lo que
deben presentar para su acreditación, toda documentación que acredite
contar con respaldo económico. Para tales efectos la EC solicitante
deberá presentar estados financieros (balance general, estado de
ganancias y pérdidas y notas contables), con una antigüedad no mayor
a dos meses del cierre contable del mes anterior a la presentación de la
solicitud, acreditando solvencia económica.
Los estados financieros antes señalados deberán ser individuales (no

consolidados) y encontrarse auditados.
Si una empresa presentara estados financieros con pérdidas

acumuladas de ejercicios anteriores, para acreditar solvencia
económica deberá capitalizar dicha pérdida o realizar nuevos aportes
en cuantía que compense el desmedro y mostrar el nuevo capital
suscrito y pagado e inscrito en Registros Públicos.
Este requisito no será exigible para la ECERNEP ni ECEPs.
6
El artículo 42º del Reglamento de la Ley señala que debe acompañarse a la solicitud de acreditación
documentación que acredite el cumplimiento de las obligaciones a que se refiere el artículo 12º del mismo
dispositivo legal. No obstante, fuera de lo referente a los seguros y garantías bancarias, la documentación
referente al resto de obligaciones se encuentra documentada en las CP y CPS que deben acompañarse a la
solicitud de acreditación.
Este requisito no será exigible hasta julio del 2008, según lo establecido en una de las recomendaciones del
Estudio para la implementación de la Infraestructura Oficial de Firma Digital, que fuera aprobado por la CRT del
INDECOPI.
- A1.84 -
Cuando una EC terceriza parte de sus operaciones, la EC asumirá la

responsabilidad financiera de dichas operaciones.
Artículo 37º.- De la Entidad de Certificación Nacional para el

Estado Peruano (ECERNEP)
f) Para la acreditación de la ECERNEP ante la AAC, no resultará
exigible el requisito de respaldo financiero. Tampoco lo será lo señalado
en el inciso n) del artículo 12º.
Art. 38° inc. j)

Peruano (ECEP)
j) Para la acreditación de las ECEP ante la AAC, no resultará exigible
el requisito de respaldo financiero. Tampoco lo será lo señalado en el
inciso n) del artículo 12º.
Art. 42° inc. g)

g) Documentación que acredite el cumplimiento de lo dispuesto en los
artículos 12º y 13º del Reglamento y demás que la AAC señale.
9.2.3 Cobertura de En el caso que exista cobertura de seguro o garantía disponibles para
seguro o garantía los suscriptores, la EC debe establecer en su CPS los tipos
para entidades correspondientes, lo cual deberá también ser referenciado en el
finales contrato de suscriptor, incluyendo los términos y condiciones de dicha
cobertura.
En el caso que exista cobertura de seguro o garantía disponibles para

las terceros que confían, esto deberá encontrarse referenciado en la
CPS, en donde deben incluirse los términos y condiciones de la
cobertura para el tercero que confía.
9.3 Confidencialidad de
la información del
negocio
- A1.85 -
9.3.1 Alcances de la Los PSCs acreditados deben mantener de manera confidencial la

información siguiente información:
confidencial
• Material comercialmente reservado de los PSCs, de los
suscriptores, titulares y de los terceros que confían, incluyendo
términos contractuales, planes de negocio y propiedad
intelectual;
• Información que puede permitir a partes no autorizadas

establecer la existencia o naturaleza de las relaciones entre los
suscriptores, titulares y los terceros que confían;
• Información que pueda permitir a partes no autorizadas la

construcción de un perfil de las actividades de los suscriptores,
titulares o terceros que confían;
• Se debe asegurar la reserva de toda información que mantiene,

la cual pudiera perjudicar la normal realización de sus
operaciones.
Se permite la publicación de información respecto a la revocación o

suspensión de un certificado, sin revelar la causal que motivó dicha
revocación o suspensión.
La publicación puede estar limitada a suscriptores legítimos, titulares o

Art. 12° inc. h)

REFERENCIAS
Anexo 4 Organización.
Anexo 5 Sección 6.1.5 Acuerdos de confidencialidad.
Anexo 5 Sección 8.1.3 Acuerdos de confidencialidad.
Anexo 6 Norma Marco sobre Privacidad.
9.3.2 Información no Se permite la publicación de certificados (siempre que el suscriptor lo

contenida dentro autorice en el contrato del suscriptor) e información de estado de
del rubro de certificados, así como de información en relación a la revocación de un
información certificado sin revelar la razón de dicha revocación.
confidencial
Art. 12° inc. h)

Art. 38° inc. a) y b)
- A1.86 -

Peruano (ECEP)
digital.
REFERENCIAS
9.3.3 Responsabilidad Los PSCs acreditados deben cumplir tanto sus requisitos de
de protección de la confidencialidad como las leyes sobre protección de datos,
información confidencialidad de la información y propiedad intelectual que les
confidencial fueren aplicables, tal y como está establecido en el Norma Marco sobre
Privacidad.
Art. 12° inc. h)

REFERENCIAS
Anexo 5 Sección 15.1.4 Protección de los Datos y de la Privacidad
de la Información Personal.
9.4 Privacidad de la Los PSCs acreditados deben cumplir con la legislación sobre protección
información de datos de conformidad con la Norma Marco sobre Privacidad que se
personal encuentra en el anexo 6.
También debe tomarse en consideración la legislación sobre protección

de datos de las jurisdicciones con las que mantengan acuerdos de
reconocimiento cruzado y las políticas de protección de datos
personales existentes en dichas infraestructuras.
Debe tomarse particular atención a las provisiones relativas a la

transferencia internacional de información personal.
Los PSCs deben realizar evaluaciones de impacto a la privacidad de sus

operaciones, como parte del proceso necesario para su correspondiente
acreditación.
- A1.87 -
Art. 12° inc. h), l) y m)

obligaciones:
m) Informar y solicitar autorización a la AAC para efectos del
reconocimiento de certificados emitidos por entidades extranjeras.
Art. 55°
REFERENCIAS
Anexo 5 Sección 15.1.4 Protección de los Datos y de la
Privacidad de la Información Personal.
9.4.1 Plan de Se requiere de los PSCs la preparación de un Plan de Privacidad de

privacidad conformidad con la Norma Marco sobre Privacidad presentada en el
anexo 6, como parte de la documentación a ser presentada y evaluada
para su acreditación.
El plan debe establecer el tipo de datos personales que pueden ser

recolectados y cómo serán utilizados, protegidos,
recuperados/corregidos, las circunstancias en que estos serán
revelados y las sanciones en caso de incumplimiento del plan.
NOTA: El contenido del plan, incluyendo las sanciones, puede impactar

en la posibilidad de llevar a cabo transferencias internacionales de
datos personales entre infraestructuras.
REFERENCIAS
9.4.2 Información Los PSCs deben mantener de manera confidencial la siguiente

tratada como información:
privada
• Información personal provista por los suscriptores, titulares y
terceros que confían que no sea la autorizada para estar
- A1.88 -
contenida en certificados y repositorios;

• Información que pueda permitir a partes no autorizadas
establecer la existencia o naturaleza de las relaciones entre
suscriptores, titulares y terceros que confían; e
• Información que pueda permitir a partes no autorizadas la
construcción de un perfil de las actividades de los suscriptores,
titulares o terceros que confían.
• Se debe permitir la publicación de información respecto a la
revocación o suspensión de un certificado, sin revelar la causal
que motivó dicha suspensión o revocación.

terceros que confían del dominio EC.
Art. 12° inc. h)

REFERENCIAS
9.4.3 Información no Se permite la divulgación de información personal sólo en los casos en

considerada que exista consentimiento expreso del individuo cuya información
privada corresponde.
Se permite la publicación de certificados e información de estado de

certificado y la publicación de información en relación a si un certificado
ha sido suspendido o revocado, sin revelar la causal que motivó dicha
suspensión o revocación.

terceros que confían del dominio de la EC, la IOFE u otros reconocidos.
Art. 12° inc. h)

REFERENCIAS
9.4.4 Responsabilidad Los PSCs acreditados deben cumplir con sus requerimientos de
de protección de la confidencialidad y con las leyes sobre protección de datos y
información confidencialidad en conformidad con su Plan de Privacidad y la Norma
privada Marco sobre Privacidad.
- A1.89 -
REFERENCIAS
9.4.5 Notificación y En los acuerdos que serán firmados por los suscriptores se debe
consentimiento establecer el tipo de datos personales que pueden ser recolectados,
para el uso de cómo serán utilizados, protegidos y cómo estos pueden ser
información revisados/corregidos, las circunstancias bajo las cuales serán
divulgados, la manera de desagravios y sanciones para las fallas en el
cumplimiento del acuerdo con la parte o partes que utilizan o
recolectan dichos datos. Asimismo, debe incorporarse en el acuerdo el
necesario consentimiento para la divulgación de datos específicos.
Las notificaciones relevantes efectuadas a los terceros que confían

deben establecer de manera específica los datos personales que
pueden ser recolectados, cómo serán usados, protegidos y cómo
pueden ser revisados/corregidos, las circunstancias bajo las cuales
serán divulgados, la manera de desagravios y sanciones para las fallas
en el cumplimiento del plan. De ser posible, deberá obtenerse
consentimiento explícito para la revelación de datos específicos.
Cuando esto no sea posible, el tercero que confía debe ser informado
que el acceso al material implicará la dación de un consentimiento
implícito con los términos antes señalados.
NOTA: El contenido del plan, incluyendo las sanciones, puede impactar

en la posibilidad de llevar a cabo transferencias internacionales de
datos personales entre infraestructuras.
REFERENCIAS
9.4.6 Divulgación Se debe permitir la revelación de información personal a oficiales

realizada con encargados del cumplimiento de leyes o como parte de un
motivo de un descubrimiento civil, donde se hace una solicitud de conformidad con la
proceso judicial o ley aplicable en la jurisdicción en donde el PSC se encuentra localizado.
administrativo
Cuando la solicitud de divulgación de información proviene de otra
jurisdicción, debe permitirse la aplicación de leyes de asistencia mutua.
Art. 12° inc. h)

REFERENCIAS
- A1.90 -
9.4.7 Otras Se debe permitir a los suscriptores, titulares y terceros que confían
circunstancias para solicitar la divulgación de la información que han provisto a terceros.
divulgación de
información Se debe requerir que la divulgación de la información bajo otras
circunstancias se realice solamente de conformidad con la CPS u otra
documentación relevante y que esto se encuentra de conformidad con
la ley aplicable y con el Norma Marco sobre Privacidad.
REFERENCIAS
9.5 Derechos de Se debe asegurar que el acceso necesario a información de registro,

propiedad nombres, claves, información de certificados y repositorio, incluyendo
intelectual copias de archivo, se encuentra disponible a efectos de continuar las
operaciones del mismo en el caso de eliminación o falla de los PSCs
acreditados. Esto puede involucrar temas de propiedad intelectual.
Se permite a los PSCs acreditados, el mantenimiento de los derechos

de propiedad intelectual respecto de sus propias tecnologías y
procesos.
Los PSCs acreditados deben mantener los derechos de propiedad
intelectual necesarios para el material y procesos que utilizan para las
operaciones dentro del marco de la IOFE.
REFERENCIAS
Anexo 5 Sección 15.1.2 Derechos de Propiedad Intelectual.
9.6 Representaciones y
garantías
9.6.1 Representaciones La EC debe establecer en su CPS cláusulas de garantía y

y garantías de la responsabilidad, incluyendo limitaciones y exenciones. Debe asimismo
EC asegurar que dichas cláusulas se encuentren establecidas en los
contratos de suscriptor y tercero que confía.
Cuando una EC terceriza las funciones repositorio, deben ser

establecidas la responsabilidad de la EC y de aquellas organizaciones
que realizan las actividades tercerizadas. La EC debe asegurar que las
organizaciones realizando las actividades tercerizadas, realizan dichas
funciones de conformidad con la CP, CPS y otra documentación de la
EC, estableciendo provisiones de responsabilidad respecto a los
eventuales errores y omisiones que pudieran generarse.
En particular, la EC debe establecer responsabilidad en relación a

errores u omisiones en la producción y distribución de certificados,
directorios y listas de revocación de certificados, incluyendo la
disponibilidad de dichos directorios y CRLs.
REFERENCIAS
- A1.91 -
9.6.2 Representaciones
y garantías de la No compete a las ECs.
ER
9.6.3 Representaciones Un suscriptor o titular debe estar obligado a cumplir las obligaciones de
y garantías de los suscriptor establecidas en la CPS de la EC.
suscriptores
Se debe requerir al suscriptor la firma de un acuerdo de cumplimiento
de sus obligaciones, incluyendo las concernientes a los titulares
inscritos por él. El acuerdo debe incluir las consecuencias de eventuales
incumplimientos.
El acuerdo del suscriptor debe contemplar las obligaciones cuando la

legislación las establezca a los suscriptores o titulares a fin de asegurar
los efectos legales de las transacciones realizadas utilizando certificados
emitidos por la EC.
Cuando una jurisdicción establece obligaciones a los suscriptores o

titulares que se encuentran fuera de dicha jurisdicción, estas
obligaciones deben de estar disponibles para los suscriptores o
titulares.
Las obligaciones del suscriptor o titular pueden incluir una garantía de

la exactitud de la información provista en las aplicaciones del
certificado, acordando la protección de claves y certificados frente a
malos usos y el acuerdo de no empleo de las claves y certificados fuera
de los alcances de la IOFE.
Cuando un suscriptor celebra un acuerdo en representación de un

número de titulares, sus responsabilidades en relación a las acciones de
dichos titulares, también deben estar claramente establecidas.
REFERENCIAS
9.6.4 Representaciones Un tercero que confía puede ser requerido a cumplir con las
y garantías de los obligaciones de el tercero que confía establecidas en la CPS de la EC.
terceros que
confían Se le debe notificar al tercero que confía dichas obligaciones por
intermedio de la publicación de un documento accesible para el tercero
que confía. La declaración o documento, debe incluir las consecuencias
derivadas del incumplimiento del acuerdo.
Cuando la legislación establezca determinadas obligaciones al tercero

que confía para asegurar efecto legal a las transacciones realizadas
utilizando certificados en los cuales esta parte confía, la documentación
debe de establecer dichas obligaciones.
Las obligaciones de el tercero que confía pueden incluir la necesidad de

verificación del estado de los certificados y el acuerdo de no usar los
certificados fuera de los términos establecidos en el marco de la IOFE.
REFERENCIAS
- A1.92 -
9.6.5 Representaciones El repositorio y otros participantes no específicamente mencionados

y garantías de anteriormente, deben establecer en su respectiva declaración de
otros participantes prácticas u otra documentación, provisiones sobre garantías y
responsabilidades, incluyendo limitaciones y exclusiones de las mismas.
Asimismo, deben asegurar que dichas provisiones se incluyan en todo
contrato de suscriptor o tercero que confía. La EC debe establecer en
su CPS su responsabilidad en relación a las operaciones que realiza el
repositorio y cualquier otro participante no mencionado anteriormente.
En particular, la EC y el repositorio deben establecer responsabilidad en

relación a errores u omisiones en el procesamiento y mantenimiento de
directorios y CRLs y en la disponibilidad de dichos repositorios.
REFERENCIAS
9.7 Exención de Las ECs deben establecer en sus CP, CPS y otra documentación
garantías relevante, cualquier exención de responsabilidad que pudiera
aplicárseles. Asimismo deben asegurar que estas provisiones sean
incluidas en cualquier contrato de suscriptor o tercero que confía.
No cabe exención de responsabilidad para aquellas garantías

establecidas por la legislación vigente (Reglamento de la Ley de Firmas
y Certificados Digitales, aprobado por el D.S. Nº004–2007–PCM).
Art. 12° inc. n)

n) Mantener vigente la contratación de seguros o garantías bancarias
que permitan indemnizar al titular por los daños que puedan ocasionar
como resultado de las actividades de certificación.
Artículo 13º.- Respaldo financiero

Las Entidades de Certificación acreditadas o reconocidas deberán
contar con el respaldo económico suficiente para operar bajo la IOFE,
así como para afrontar el riesgo de responsabilidad por daños. La AAC
determinará los requisitos y cuantía de las pólizas de seguros o
garantías bancarias a exigir y los criterios para evaluar el cumplimiento
de este requisito.
REFERENCIAS
9.8 Limitaciones a la Los PSCs deben establecer en sus CP, CPS u otra documentación
responsabilidad relevante, cualquier limitación de responsabilidad que pudiera
aplicárseles, considerando las responsabilidades de privacidad,
seguridad y diligencia en los procesos de certificación que la AAC
establece en este documento. Asimismo, deben asegurar que estas
provisiones sean incluidas en cualquier contrato de suscriptor o tercero
que confía.
REFERENCIAS
- A1.93 -
9.9 Indemnizaciones Las ECs deben establecer en sus RPS y otra documentación relevante lo
relativo a las indemnizaciones a las que pudieran estar sujetos.
Asimismo, debe asegurar que estas provisiones sean incluidas en
cualquier contrato de suscriptor o tercero que confía o documentación.
REFERENCIAS
9.10 Término y
terminación
9.10.1 Término El periodo de validez máximo de la documentación relativa a los PSCs

acreditados es de tres (3) años, de acuerdo a la legislación vigente.
Cuando caduca la acreditación de un PSC, su documentación también

debe de caducar. Cuando un PSC opera tanto dentro como fuera del
marco de la IOFE, el término y la terminación sólo debe referirse a la
documentación relativa a la IOFE.
El término de validez de la documentación de los PSCs debe estar

sujeto a la continuidad de la acreditación. En el caso que un PSC opere
tanto dentro como fuera de la IOFE, el término y la terminación debe
referirse sólo a documentación relativa a la IOFE.
Se permite que los contratos de suscriptor y tercero que confía sean

culminados cuando las partes del acuerdo incumplen sus obligaciones
dentro del marco de la IOFE.
Las PSCs deberán modificar dicha documentación cada vez que

INDECOPI y/o la misma entidad lo determine.
INDECOPI exige que determinadas provisiones sobre término y

terminación sean incluidas en los contratos de suscriptor y tercero que
confía. Además, las modificaciones realizadas deben ser comunicadas a
los suscriptores, titulares y terceros que confían.
Artículo 49º.- Otorgamiento y vigencia de la acreditación

La acreditación se otorga por un período de tres (3) años, renovable por
períodos similares. La Entidad beneficiaria estará sujeta a evaluaciones
técnicas anuales para mantener la vigencia de la referida acreditación.
REFERENCIAS
9.10.2 Terminación La EC debe informar al INDECOPI, a los suscriptores, titulares y

terceros que confían sobre el cese de sus operaciones con por lo menos
treinta (30) días calendario de anticipación.
Los procedimientos necesarios para el cese de las operaciones de una

EC, serán establecidos por la Comisión de Reglamentos Técnicos y
Comerciales del INDECOPI, en conformidad a la legislación vigente.
- A1.94 -
Artículo 14º.- Cese de Operaciones

La Entidad de Certificación cesa de operar en el marco de la IOFE en los
siguientes casos:
a) Por decisión unilateral comunicada a la AAC, asumiendo la
responsabilidad del caso por dicha decisión.

legislación concursal o resolución judicial de quiebra.
Para los supuestos contenidos en los incisos a) y b) la AAC establecerá el

plazo en el cual las Entidades de Certificación notificarán tanto a aquella
como a los titulares de certificados digitales el cese de sus actividades. La
AAC deberá adoptar las medidas necesarias para preservar las
obligaciones contenidas en los incisos d), g) e i) del artículo 12º del
reglamento.
La AAC reglamentará los procedimientos para hacer público el cese de

operaciones de las entidades de certificación.
Los cerificados digitales emitidos por una Entidad de Certificación cuyas

operaciones han cesado deben ser cancelados a partir del día, hora,
minuto y segundo en que se aplica el cese. El uso de certificados digitales
con posterioridad a su cancelación conlleva a la inaplicabilidad de los
artículos 5º y 6º del presente Reglamento.
REFERENCIAS
9.10.3 Efecto de Las ECs deben establecer en su CPS u otra documentación relevante las
terminación y provisiones de divisibilidad, supervivencia y fusión, incluyendo las
supervivencia mismas en los contratos de suscriptor y tercero que confía.
Las ECs deberán establecer, en coordinación con la ER, en sus modelos

de contratos de suscriptor y terceros que confían, cláusulas de
supervivencia, de modo que ciertas reglas continúen vigentes después
del término de validez de la CPS, RPS y de los contratos de los
suscriptores y terceros que confían.
REFERENCIAS
9.11 Notificaciones y Las ECs y ERs deben establecer, en sus contratos de suscriptor y
comunicaciones terceros que confían, cláusulas de notificación que regulen los
individuales con los procedimientos por los que las partes se notifiquen hechos
participantes mutuamente.
9.12 Enmendaduras
9.12.1 Procedimiento Los participantes de la IOFE, incluyendo las otras infraestructuras que
para lo reconocen, serán consultados antes de efectuar cualquier tipo de
enmendaduras cambio en los documentos de la infraestructura. Esta provisión no se
aplica a cambios de las políticas y prácticas de los PSCs acreditados,
- A1.95 -
cuando dichos cambios son consistentes con las operaciones

documentadas de la propia IOFE.
Los cambios efectuados a las políticas y prácticas documentadas por los

PSCs acreditados deben ser revisados por INDECOPI, antes que estos
puedan implementarse. La documentación puede requerir una revisión.
9.12.2 Mecanismos y Los cambios en las políticas y prácticas de los PSCs acreditados deben
periodo de ser notificados a los suscriptores, terceros que confían y otras partes
notificación tales como otras infraestructuras que reconocen al mismo o ECs con las
que existen acuerdos de certificación cruzada, cuando dichos cambios
puedan afectarles.
Cualquier cambio en los términos y condiciones básicas (identificadores

de políticas, limitaciones de uso, obligaciones de suscriptor, forma de
validación de un certificado, limitaciones a responsabilidad,
procedimiento de resolución de disputas, periodo dentro del cual los
registros de auditoría serán conservados, sistema legal aplicable y
conformidad según el marco de la IOFE) deberá ser notificado a los
suscriptores y terceros que confían.
Los PSCs acreditados, deben advertir a los suscriptores y potenciales

terceros que confían la forma de notificación de esta información y las
implicaciones de dicha notificación.
9.12.3 Circunstancias Para mantener la acreditación de la PSC será necesario que cualquier
bajo las cuales cambio en el OID de cualquiera de los certificados y políticas sea
debe ser cambiado aprobado previamente por INDECOPI.
el OID
Los controles de la versión deben ser utilizados para asegurar que las
políticas y prácticas vigentes al momento de archivar una transacción,
puedan ser establecidos.
9.13 Provisiones sobre Se debe asegurar que los PSCs, ECs o ERs acreditadas tengan
resolución de establecido un procedimiento de resolución de disputas. Un prestador
disputas de servicios de certificación acreditado debe establecer procedimientos
de resolución de disputas en su CPS u otra documentación relevante.
Se pueden establecer diferentes leyes aplicables para diferentes tipos
de procesos de resolución de disputas.
De ser posible y permitido por las leyes correspondientes, debe

considerarse el empleo de resolución de disputas en línea.
Art. 40° inc. k)

funciones:
k) Impulsar la solución de conflictos por medio de la conciliación y el
arbitraje.
Segunda Disposición Final
Segunda.- Procedimiento administrativo contra decisiones de las

Entidades de Certificación
Las Entidades de Certificación deben establecer procedimientos ágiles y
sencillos para que sus usuarios puedan presentar directamente
- A1.96 -
reclamaciones por la prestación de sus servicios, las mismas que

deberán ser atendidas en el más breve plazo. La AAC aprueba o
reforma estos procedimientos y regula todo lo relativo a las
reclamaciones. Agotada la vía previa de la reclamación ante la entidad de
certificación, procede recurrir en vía administrativa ante la AAC, con
sujeción a la Ley Nº 27444 - Ley del Procedimiento Administrativo
General. La AAC determinará todos aquellos procedimientos y políticas
necesarios para la aplicación del Reglamento. En los casos que proceda
la reclamación, adoptará las medidas correctivas pertinentes.
9.14 Ley aplicable7 La EC debe identificar, en su CPS y otra documentación relevante, la

ley aplicable a sus operaciones de acuerdo a la Ley N° 27269 y el
Reglamento de Ley de Firmas y Certificados Digitales, aprobado por el
D.S. 004-2007-PCM.
Los requerimientos legalmente significativos deben de estar

establecidos o referenciados en los contratos de suscriptores y terceros
que confían.
9.15 Conformidad con La EC debe identificar, en su CPS y otra documentación relevante, la

la ley aplicable ley aplicable a sus operaciones de acuerdo a la Ley N° 27269 y el
Reglamento de Ley de Firmas y Certificados Digitales, aprobado por el
D.S. 004-2007-PCM.
Los requerimientos legalmente significativos deben de estar

establecidos o referenciados en los contratos de suscriptores y terceros
que confías.
9.16 Cláusulas La EC debe incluir en su CPS y otra documentación toda cláusula

misceláneas miscelánea que se aplique a las operaciones que realiza bajo la IOFE.
De ser apropiado, estas provisiones deben ser establecidas o
referenciadas en los contratos de suscriptores o terceros que confían.
9.16.1 Acuerdo íntegro Se debe hacer referencia en cada acuerdo de acreditación para los
PSCs acreditados de cualquier otra documentación que pueda ser
incorporada en el acuerdo.
El PSC debe establecer en sus contratos de suscriptor y tercero que

confía cualquier otra documentación que pueda ser incorporada al
mismo.
La EC debe establecer en sus contratos de suscriptor y terceros que

confían, cláusulas de acuerdo íntegro. En virtud de la cual se entenderá
que el instrumento jurídico regulador del servicio contiene la voluntad
completa y todos los acuerdos entre las partes.
9.16.2 Subrogación Los derechos y los deberes asociados a la condición de EC, ER o SVA no
podrán ser objeto de cesión a terceros de ningún tipo, ni ninguna
tercera entidad podrá subrogarse en la posición jurídica de dichas
entidades.
Los PSCs acreditados deben establecer en su documentación cualquier

limitación en la subrogación de derechos o delegación de obligaciones.
Cuando un contrato de suscriptor cubre a múltiples titulares, toda

limitación en la subrogación de derechos o delegación de obligaciones a
dichos titulares, debe de estar establecida en el acuerdo.
7
En el Perú la legislación es la misma en cada Región del País.
- A1.97 -
9.16.3 Divisibilidad La EC en convenio con la ER, deberá establecer en sus contratos de

suscriptor y terceros que confían, cláusulas de divisibilidad, por las
cuales la invalidez de una cláusula no afectará al resto del contrato.
9.16.4 Ejecución
El PSC acreditado debe establecer en su CPS y otra documentación
(tarifas de
relevante toda cláusula de ejecución que se aplique a las operaciones
abogados y
que realiza. Estas cláusulas deben estar establecidas o referenciadas en
cláusulas de
los contratos de suscriptor y tercero que confía.
derechos
9.16.5 Fuerza mayor Las ECs deben asegurar que las clásulas de “fuerza mayor” sean
establecidas explícitamente en los contratos de suscriptor y tercero que
confía.
9.17 Otras cláusulas El PSC acreditado debe incluir en su CPS y otra documentación
relevante cualquier otra cláusula que se aplique a las operaciones que
realiza bajo la IOFE. Cuando fuere apropiado, estas cláusulas deben
estar establecidas o referenciadas en los contratos de los suscriptores o
10. BIBLIOGRAFÍA La CP, CPS y otra documentación relevante debe establecer las
referencias a los documentos utilizados en el desarrollo de dicha
documentación. Particularmente, aquellos documentos referenciados en
la documentación o que hacen mención a algún tipo de norma o
regulación en particular.
11. ACRÓNIMOS & La CP, CPS y otra documentación relevante debe proveer una lista de
ABREVIATURAS acrónimos y abreviaturas utilizadas dentro del texto de dicha
documentación.
12. GLOSARIO La CP, CPS y otra documentación relevante debe proveer una lista de
términos para los cuales pueda ser requerida una definición.
- A1.98 -

1.-Anexo 1-Marco de La Política de Emisión de Certificados Digitales

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

1.-Anexo 1-Marco de La Política de Emisión de Certificados Digitales

Cargado por

Copyright:

Formatos disponibles

Infraestructura Oficial de Firma Rev: 03/23-02-2007

Electrónica IOFE PERU Aprobado:

MARCO DE LA POLÍTICA DE EMISIÓN DE

Los lineamientos establecidos en el presente documento se basan en la RFC

1. INTRODUCCIÓN INDECOPI publicará la acreditación y estado de una EC a través de un

Los certificados emitidos por ECs acreditadas bajo el esquema de la

La información respecto a la acreditación de un PSC y la información

En el caso que una entidad desee realizar las funciones de certificación

Cualquier EC intermedia que pretenda acreditarse tendrá que

Si una EC intermedia acreditada desea vincularse a otras ERs

La CP de cada EC o un resumen de las mismas deben estar publicados

electrónicamente de manera accesible para los titulares de los

DECRETO SUPREMO N° 004-2007-PCM

Art. 42° inc. e)

1.3 Participantes La comunidad de usuarios se compone por aquellas personas naturales

Cada EC que solicite los servicios de una ER puede limitar de manera

La comunidad y la aplicabilidad de los certificados pueden ser de índole

La IOFE reconocerá a aquellas estructuras foráneas cuyas CP, CPS,

DECRETO SUPREMO N° 004-2007-PCM

Art. 9° inc. e).

En el caso en que una EC opere como una EC Raíz y certifique ECs

Cuando parte de las operaciones de la EC, tales como el registro o

DECRETO SUPREMO N° 004-2007-PCM

Art. 33° inc. a), b).

Art. 12° inc. a), b) y c)

a) Cumplir con su Declaración de Prácticas de Certificación.

Cuando alguno de los elementos señalados en el párrafo precedente sea

1.3.2 Entidades de La EC debe publicar en su página WEB, la RPS y el detalle de los

Para participar de la IOFE las ERs deben presentar toda la

Las ERs deben establecer su Declaración de Prácticas de Registro (RPS)

En el caso de la IOFE, las ERs pueden existir de manera independiente

La CPS de cada EC acreditada bajo el marco de la IOFE deben detallar

Las ERs deben registrar toda información de los solicitantes de

DECRETO SUPREMO N° 004-2007-PCM

1.3.3 Titulares de En esta sección, la EC debe establecer en su CPS, la comunidad de

La IOFE establece a las siguientes personas, como capacitadas para

• Personas naturales: Aquellas que tienen plena capacidad de

• Personas jurídicas: Aquellas que puedan sustentar su existencia

Tratándose de certificados digitales solicitados por personas

la titularidad de certificados y de las firmas digitales generadas

• PSC: Las ECs, ERs y SVAs pueden ser titulares de certificados

DECRETO SUPREMO N° 004-2007-PCM

Art. 39° inc. a)

1.3.4 Tercero que En esta sección, la EC debe establecer en su CPS, la comunidad de

Los terceros que confían son entidades o individuos que confían en el

terceros que confían pueden ser todas aquellas personas naturales y

La comunidad de los terceros que confían de una EC puede ser más

1.3.5 Otros En caso se requiera la tercerización de los servicios de directorio o

La CPS de las ECs acreditadas en la IOFE, debe detallar los convenios

Los requerimientos correspondientes a las operaciones de registro o

1.3.5.1 SVAs No compete a las ECs.

• Certificados de Persona Jurídica, la cual puede ser:

 Cuando el certificado es utilizado para una conexión SSL.

• Certificados de cifrado, son utilizados para procesos de cifrado de

• Certificados de autenticación, son utilizados en procesos de control

Nota: No existe compatibilidad entre un certificado de cifrado y uno de

El propósito de este modelo es el establecimiento de certificados que

En el caso que los certificados emitidos por Entidades que se

Un certificado digital es utilizado apropiadamente si ha sido emitido a

En algunos casos, el uso apropiado de certificados de las ECs

Las ECs deben elaborar una explicación didáctica sobre el uso

En algunos casos, el uso prohibido del certificado de una EC y ER

Cuando el certificado es utilizado para una conexión SSL.