Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

Modulo 2 firm al e

Documento del Módulo 2

  • Identifiez-vous pour voir les commentaires

  • Soyez le premier à aimer ceci

Modulo 2 firm al e

  1. 1. Instituto Nacional de Administración Pública AVANZADA NORMATIVAS Y MARCO LEGAL
  2. 2. Instituto Nacional de Administración Pública INDICE A. Ley modelo de CNUDMI sobre comercio electronico 1996 ..................................................... 1 B. Ley modelo de CNUDMI sobre firmas electronicas 2001......................................................... 3 C. La ley para el reconocimiento de las comunicaciones y firmas electrónicas 2008 .................... 5 CAPITULO II ............................................................................................................................ 12 USO DE LAS FIRMAS ELECTRÓNICAS POR LOS ORGANISMOS DEL ESTADO ................................ 12 A. Certificado Digital............................................................................................................... 14 B. Estándar de Certificados X.509............................................................................................ 14 C. Sistema de Gestión de Seguridad de la Información SGSI – ISO/IEC 27001:2005.................... 19 PROCEDIMIENTO PARA LA CERTIFICACION ISO 27001.............................................................. 21 Estándares Autoridad emisora de certificados de firma electrónica avanzada (AC= Autoridad Certificadora) y de estampado cronológico.............................................................................. 22 Comprobación de la identidad del firmante y de sus datos certificados (Autoridad de Registro) .............................................................................................................................................. 22 Almacenamiento de los datos de creación de firma del titular (dispositivos Criptográficos, Token. Smart Card entre otros) .......................................................................................................... 23 ISO 9001 Quality management systems – Requirements.......................................................... 27 ISO/IEC 18014-1:2002 Information technology -- Security techniques -- Time-stamping services. .............................................................................................................................................. 28 RFC 2560 X.509 Internet PKI Online Certificate Status Protocol - OCSP. June 1999. ................... 29 RFC 5280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile ........................................................................................................................... 29 TIA-942 Telecommunications Infrastructure Standard for Data Centers (Abril 2005)................. 30 WebTrust for Certification Authorities. ................................................................................... 31 Common Criteria EAL 5+ ......................................................................................................... 32 Requisitos Evaluados por parte del RPSC................................................................................. 33 ACTIVIDADES DE LA SEMANA.................................................................................................. 34 BIBLIOGRAFIA......................................................................................................................... 35
  3. 3. Instituto Nacional de Administración Pública A.Ley modelo de CNUDMI sobre comercio electrónico 1996 Se emite con la finalidad de ofrecer al legislador nacional un conjunto de reglas aceptables en el ámbito internacional que le permitan eliminar algunos de esos obstáculos jurídicos con miras a crear un marco jurídico que permita un desarrollo más seguro de las vías electrónicas de negociación designadas por el nombre de “comercio electrónico”. Los principios plasmados en el régimen de la Ley Modelo ayudan a los usuarios del comercio electrónico a encontrar las soluciones contractuales requeridas para superar ciertos obstáculos jurídicos que dificulten ese empleo cada vez mayor del comercio electrónico. La decisión de la CNUDMI de formular un régimen legal modelo para el comercio electrónico se debe a que el régimen aplicable en ciertos países a la comunicación y archivo de información era inadecuado o se había quedado anticuado, al no haberse previsto en ese régimen las modalidades propias del comercio electrónico. En algunos casos, la legislación vigente impone o supone restricciones al empleo de los modernos medios de comunicación, por ejemplo, por haberse prescrito el empleo de documentos “originales”, “manuscritos” o “firmados”. Si bien unos cuantos países han adoptado reglas especiales para regular determinados aspectos del comercio electrónico, se hace sentir en todas partes la ausencia de un régimen general del comercio electrónico. De ello puede resultar incertidumbre acerca de la naturaleza jurídica y la validez de la información presentada en otra forma que no sea la de un documento tradicional sobre papel. La necesidad de un marco legal seguro y de prácticas eficientes se hace sentir no sólo en aquellos países en los que se está difundiendo el empleo del EDI y del correo electrónico sino también en otros muchos países en los que se ha difundido el empleo del fax, el télex y otras técnicas de comunicación parecidas. La Ley Modelo puede ayudar a remediar los inconvenientes que dimanan del hecho de que un régimen legal interno inadecuado puede obstaculizar el comercio internacional, al depender una parte importante de ese comercio de la utilización de las modernas técnicas de comunicación.
  4. 4. Instituto Nacional de Administración Pública La diversidad de los regímenes internos aplicables a esas técnicas de comunicación y la incertidumbre a que dará lugar esa disparidad pueden contribuir a limitar el acceso de las empresas a los mercados internacionales. La Ley Modelo puede resultar un valioso instrumento, en el ámbito internacional, para interpretar ciertos convenios y otros instrumentos internacionales existentes que impongan de hecho algunos obstáculos al empleo del comercio electrónico, al prescribir, por ejemplo, que se han de consignar por escrito ciertos documentos o cláusulas contractuales. Caso de adoptarse la Ley Modelo como regla de interpretación al respecto, los Estados partes en esos instrumentos internacionales dispondrían de un medio para reconocer la validez del comercio electrónico sin necesidad de tener que negociar un protocolo para cada uno de esos instrumentos internacionales en particular. Los objetivos de la Ley Modelo, entre los que figuran el de permitir o facilitar el empleo del comercio electrónico y el de conceder igualdad de trato a los usuarios de mensajes consignados sobre un soporte informático que a los usuarios de la documentación consignada sobre papel, son esenciales para promover la economía y la eficiencia del comercio internacional. Al incorporar a su derecho interno los procedimientos prescritos por la Ley Modelo para todo supuesto en el que las partes opten por emplear medios electrónicos de comunicación, un Estado estará creando un entorno legal neutro para todo medio técnicamente viable de comunicación comercial. La Ley Modelo está dividida en dos partes, la primera regula el comercio electrónico en general y la segunda regula el empleo de ese comercio en determinadas ramas de actividad comercial. Cabe señalar que la segunda parte de la Ley Modelo, que se ocupa del comercio electrónico en determinadas esferas consta únicamente del capítulo I, dedicado a la utilización del comercio electrónico en el transporte de mercancías. En el futuro tal vez sea preciso regular otras ramas particulares del comercio electrónico, por lo que se ha de considerar a la Ley Modelo como un instrumento abierto destinado a ser complementado por futuras adiciones. Se recomienda que todo Estado que decida reglamentar más en detalle el empleo de estas técnicas procure no perder de vista la necesidad de mantener la encomiable flexibilidad del régimen de la Ley Modelo.
  5. 5. Instituto Nacional de Administración Pública B.Ley modelo de CNUDMI sobre firmas electrónicas 2001 La Ley Modelo surge del creciente empleo de técnicas de autenticación electrónica en sustitución de las firmas manuscritas y de otros procedimientos tradicionales de autenticación ha planteado la necesidad de crear un marco jurídico específico para reducir la incertidumbre con respecto a las consecuencias jurídicas que pueden derivarse del empleo de dichas técnicas modernas “firmas electrónicas”. El riesgo de que distintos países adopten criterios legislativos diferentes en relación con las firmas electrónicas exige disposiciones legislativas uniformes que establezcan las normas básicas de lo que constituye en esencia un fenómeno internacional, en el que es fundamental la armonía jurídica y la interoperabilidad técnica. La Ley Modelo ayuda a los Estados a establecer un marco legislativo moderno, armonizado y equitativo para abordar de manera más eficaz las cuestiones relativas a las firmas electrónicas. Como complemento modesto pero importante de la Ley Modelo de la CNUDMI sobre Comercio Electrónico, la nueva Ley Modelo ofrece normas prácticas para comprobar la fiabilidad técnica de las firmas electrónicas. Ofrece un vínculo entre dicha fiabilidad técnica y la eficacia jurídica que cabe esperar de una determinada firma electrónica. La Ley Modelo supone una contribución importante a la Ley Modelo de la CNUDMI sobre Comercio Electrónico al adoptar un criterio conforme al cual puede determinarse previamente la eficacia jurídica de una determinada técnica de creación de una firma electrónica. La Ley Modelo tiene como finalidad mejorar el entendimiento de las firmas electrónicas y la seguridad de que puede confiarse en determinadas técnicas de creación de firma electrónica en operaciones de importancia jurídica. Establecer con la flexibilidad conveniente una serie de normas básicas de conducta para las diversas partes que puedan participar en el empleo de firmas electrónicas (es decir, firmantes, terceros que actúen confiando en el certificado y terceros prestadores de servicios), la Ley Modelo puede ayudar a configurar prácticas comerciales más armoniosas en el ciberespacio.
  6. 6. Instituto Nacional de Administración Pública Los objetivos de la Ley Modelo, entre los que figuran el de permitir o facilitar el empleo de firmas electrónicas y el de conceder igualdad de trato a los usuarios de documentación consignada sobre papel y a los de información consignada en soporte informático, son fundamentales para promover la economía y la eficiencia del comercio internacional. Al incorporar a su derecho interno los procedimientos que se recogen en la Ley Modelo (y la Ley Modelo de la CNUDMI sobre Comercio Electrónico) para todo supuesto en que las partes opten por emplear medios electrónicos de comunicación, el Estado promulgante creará un entorno jurídico neutro para todo medio técnicamente viable de comunicación comercial. Este enfoque neutral con los medios técnicos, utilizado también en la Ley Modelo de la CNUDMI sobre Comercio Electrónico, tiene la finalidad de abarcar, en principio, todas las situaciones de hecho en que se genera, archiva o comunica información, con independencia de cuál sea el soporte en el que se consigne la información. Las palabras “entorno jurídico neutro”, utilizadas en la Ley Modelo de la CNUDMI sobre Comercio Electrónico, reflejan el principio de la no discriminación entre la información consignada sobre papel y la información comunicada o archivada electrónicamente. La nueva Ley Modelo refleja el principio de que no debe discriminarse ninguna de las diversas técnicas que pueden utilizarse para comunicar o archivar electrónicamente información, un principio a veces denominado “de neutralidad tecnológica”.
  7. 7. Instituto Nacional de Administración Pública C.La ley para el reconocimiento de las comunicaciones y firmas electrónicas 2008 CONTENIDO DE LA LEY Título I • Comercio Electrónico en General • Disposiciones Generales • Aplicación de los requisitos jurídicos a las Comunicaciones Electrónicas • Comunicaciones Electrónicas y Formación de Contratos a través de Medios Electrónicos Título II • Comercio Electrónico en Materias Especificas Transporte de Mercancías Título III • Disposiciones complementarias al comercio electrónico • Firma Electrónica Avanzada y Prestadores de Servicios de Certificación • Registro de Prestadores de Servicios de Certificación • Disposiciones Varias A. OBJETO DE LA LEY Promoción del comercio electrónico, validación y estimulo de las operaciones efectuadas por medio del fomento de las nuevas tecnologías de la información y otorgamiento de seguridad jurídica y técnica a las contrataciones, comunicaciones y firmas electrónicas. B. ÁMBITO DE APLICACIÓN DE LA LEY Todo tipo de comunicación electrónica, transacción o acto jurídico, público o privado, nacional o internacional. El Estado y sus instituciones quedan expresamente facultados para la utilización de las comunicaciones y firmas electrónicas. (Gobierno Electrónico) Se excluye del ámbito de aplicación de la Ley. a) Obligaciones contraídas por el Estado en Convenios y Tratados Internacionales b) Advertencias escritas por disposición legal c) Disposiciones por causa de muerte d) Actos jurídicos del Derecho de Familia e) Ley exige una solemnidad f) Ley requiera concurrencia personal
  8. 8. Instituto Nacional de Administración Pública C. INTERPRETACIÓN DE LA LEY Habrá de tenerse en cuenta su origen internacional, la necesidad de promover la uniformidad de su aplicación y de velar por la observancia de la buena fe, tanto en el comercio nacional como internacional. D. COMERCIO ELECTRÓNICO Toda relación de índole comercial, sea o no contractual, estructurada a partir de la utilización de una o más comunicaciones electrónicas o de cualquier medio similar. Suministro o intercambio de bienes o servicios, Acuerdo de distribución, Representación o mandato Comercial, Operaciones financieras, Concesión o explotación de un servicio público, entre otros… E. INTERCAMBIO ELECTRONICO DE DATOS Transmisión electrónica de información de una computadora a otra, estando estructurada la información conforme a alguna norma técnica convenida para el efecto. F. MENSAJE DE DATOS El documento o información generada, enviada, recibida o archivada por medios electrónicos, magnéticos, ópticos o similares. G. COMUNICACIÓN ELECTRÓNICA Toda comunicación que las partes se hagan por medio de mensajes de datos. H. DATOS DE CREACIÓN DE FIRMA Los datos únicos, tales como códigos o claves criptográficas privadas, que el firmante utiliza para crear la firma electrónica. I. RECONOCIMIENTO JURIDICO DE UNA COMUNICACIÓN ELECTRÓNICA No se negarán efectos jurídicos, validez o fuerza obligatoria a una comunicación o un contrato por la sola razón de que estén en forma de comunicación electrónica. Serán admisibles como medios de prueba y gozarán de la debida fuerza probatoria de conformidad con los criterios reconocidos por la legislación para la apreciación de la prueba. J. CERTIFICADO DIGITAL Es todo mensaje de datos u otro registro que confirme el vínculo entre un firmante y los datos de creación de la firma, usualmente emitido por un tercero diferente del originador y el destinatario.
  9. 9. Instituto Nacional de Administración Pública K. CONTENIDO DE UN CERTIFICADO DIGITAL • Nombre, dirección y domicilio del firmante • Identificación del firmante nombrado en el certificado • El nombre, la dirección y el lugar donde realiza actividades el prestador de servicios de certificación • La clave pública del usuario en los casos de la tecnología de criptografía asimétrica • La metodología para verificar la firma electrónica del firmante impuesta en la comunicación electrónica • El número de serie del certificado • Fecha de emisión y expiración del certificado L. REVOCACIÓN DE UN CERTIFICADO DIGITAL 1. Por pérdida 2. Clave ha sido expuesta o corre peligro 3. A petición del firmante un tercero en su nombre y representación 4. Por muerte del firmante 5. Por liquidación en caso de personas jurídicas 6. Clave privada o sistema de seguridad del PSC ha sido comprometido 7. Por cese de actividades del PSC 8. Por orden judicial o de entidad administrativa competente M. RECONOCIMIENTO DE CERTIFICADOS EXTRANJEROS Y DE FIRMAS ELECTRÓNICAS Todo certificado expedido en el extranjero producirá los mismos efectos jurídicos que el expedido dentro del territorio de la República, si se presenta un grado de fiabilidad sustancialmente equivalente. Toda firma electrónica creada o utilizada en el extranjero producirá los mismos efectos jurídicos. Los PSC autorizados en el país, podrán homologar Certificados de firma electrónica emitidos por entidades no establecidas en Guatemala, bajo su responsabilidad y cumpliendo los requisitos fijados en la ley y el reglamento o en virtud de convenio internacional ratificado por Guatemala. N. ¿QUÉ ES LA FIRMA ELECTRÓNICA? Son datos consignados en una comunicación electrónica, adjuntados o lógicamente asociados, que pueden ser utilizados para identificar al firmante con relación a la comunicación electrónica e indicar que el firmante aprueba la información recogida en la comunicación electrónica.
  10. 10. Instituto Nacional de Administración Pública O. REQUISITOS QUE DEBE CUMPLIR UNA FIRMA ELECTRÓNICA AVANZADA a) Estar vinculada al firmante de manera única b) Permitir la identificación del firmante c) Haber sido creada utilizando los medios que el firmante puede mantener bajo su exclusivo control d) Estar vinculada a los datos a que se refiere, de modo que cualquier cambio ulterior de los mismos sea detectable La firma electrónica avanzada, podrá estar certificada por un Prestador de Servicios de Certificación, tendrá el mismo valor jurídico que una firma manuscrita y será admisible como prueba en juicio, valorándose ésta, según los criterios de apreciación establecidos en las normas procesales. (Art. 33) P. PRESTADORES DE SERVICIOS DE CERTIFICACIÓN - PSC - Son las personas nacionales o extranjeras, públicas o privadas, domiciliadas en la República de Guatemala, que expiden certificados y pueden prestar otros servicios relacionados con la firma electrónica, que previa solicitud sean autorizados por el Registro de Prestadores de Servicios de Certificación. Q. CARACTERISTICAS Y REQUERIMIENTOS DE LOS –PSC- a) Capacidad Económica y Financiera b) Capacidad Técnica - generar firmas electrónicas avanzadas, - emitir certificados sobre la autenticidad de las mismas - conservación de mensajes de datos c) Representantes Legales y administradores (con ética y no haber sido condenados penalmente) d) Acreditaciones necesarias por los órganos o entidades correspondientes según la normativa vigente R. REQUISITOS QUE DEBE CUMPLIR UN –PSC- a. GUIAS: • Chequeo de Antecedentes y Requisitos • Evaluación • Inspección Periódica b. MANUALES INTERNOS: • Guía de Identificación de Normas Técnicas • Manual de Operaciones
  11. 11. Instituto Nacional de Administración Pública c. SEGURO DE RESPONSABILIDAD CIVIL $200,000.00 Según el arancel del Registro d. Documentación que debe presentar el PSC: • Constancia de RTU • Documentación Legal Entidad y Representantes Legales • Antecedentes Comerciales, Penales y Policiacos • Dirección de dominio y correo electrónico • Contratos de Servicios • Políticas de Privacidad • Manual Técnico de Dispositivos Seguros • Declaración de Practicas de Certificación • Políticas de Certificados • Currículos-Colegiados Activos (personal que ocupan cargos, funciones y manejan datos sensibles) • Oficial de Seguridad e. ACTIVIDADES DE LOS –PSC- • Emitir certificados de firmas electrónicas avanzadas, verificación respecto de la alteración entre el envío y recepción de una comunicación electrónica; • Ofrecer servicios de creación de firmas electrónicas avanzadas certificadas, registro y estampado cronológico en la generación, transmisión y recepción de comunicaciones electrónicas, archivo y conservación; • Certificar en los certificados que expidan, las condiciones profesionales del titular de la firma para efectos de constituir prueba frente a cualquier entidad pública o privada. - OBLIGACIONES DE LOS –PSC- • Emitir certificados • Implementar los Sistemas de Seguridad • Garantizar la protección, confidencialidad y debido uso de la información y prestación permanente del servicio • Atender las solicitudes y reclamaciones hechas por el firmante • Suministrar la información que le requieran las entidades administrativas o judiciales • Permitir y facilitar la realización de auditorias por parte del RPSC • Elaborar los reglamentos que definen las relaciones con el firmante • Llevar un registro de certificados
  12. 12. Instituto Nacional de Administración Pública - TERMINO DE CONSERVACIÓN DE LOS REGISTROS El Prestador de Servicios de Certificación debe conservar la información y registros de certificados expedidos por el término exigido en la ley que regule el acto o negocio jurídico en particular, o por 10 años en caso de no existir dicho término. La remuneración por los servicios de los prestadores de servicios de certificación será establecida libremente. - El REGISTRO DE PRESTADORES DE SERVICIOS DE CERTIFICACIÓN Adscrito al Ministerio de Economía ejerce las facultades que legalmente le han sido asignadas y tiene entre sus funciones autorizar, registrar e inscribir a los prestadores de servicios de certificación para promover y facilitar el comercio electrónico a nivel global, regional y nacional, adoptando instrumentos técnicos y legales para brindar certeza y seguridad jurídica. El Registro es el órgano competente del Estado para atribuir competencia a una persona, órgano o entidad pública o privada, para determinar que firmas electrónicas cumplen con lo dispuesto en el Art. 33 de la Ley, dicha determinación deberá ser compatible con las normas y criterios internacionales reconocidos. - FUNCIONES -RPSC- a) Autorizar la actividad de la entidades prestadoras de servicios de certificación y velar por su funcionamiento b) Realizar visitas de auditoria, revocar o suspender la autorización para operar como prestador de servicios de certificación y solicitar información pertinente c) Imponer Sanciones a las PSC y Ordenar la revocación de certificados (Amonestaciones, Multas, Suspender, Prohibir y Revocar) d) Velar por la observancia de las disposiciones constitucionales y legales Emitir las regulaciones basadas en principios internacionales reconocidos - SANCIONES QUE PODRÁ IMPONER –RPSC- Son aquellas impuestas a los Prestadores de Servicios de Certificación, como consecuencia del incumplimiento de las obligaciones que les impone la ley, el reglamento o cualquier otra regulación pertinente, la cual podrá ser de carácter pecuniario y/o administrativo. El RPSC deberá llevar un archivo de sanciones impuestas a los PSC que sea de acceso público por cualquier medio escrito o electrónico.
  13. 13. Instituto Nacional de Administración Pública - SANCIONES QUE PODRÁ IMPONER –RPSC- • AMONESTACION • MULTAS  INSTITUCIONALES hasta 2500.  PERSONALES hasta 500 salarios mínimos no agrícolas. • SUSPENDER todas o algunas actividades del PSC. • PROHIBIR prestar servicios de certificación. • REVOCAR definitivamente la autorización para operar como PSC. • AMONESTACION: por incumplimiento de obligaciones de carácter administrativo. • MULTAS • SUSPENDER: 1 hasta 3 meses - casos de procedencia Art. 38 del Reglamento de la LRCYFE. • PROHIBIR: 1 hasta 5 años – casos de procedencia Art. 39 del Reglamento de la LRCYFE. • REVOCAR: casos de procedencia Art. 40 del Reglamento de la LRCYFE. - TRÁMITE DE LAS SANCIONES RPSC determina que PSC ha incumplido sus obligaciones y amerita una sanción, notificará al PSC de la sanción a imponer corriéndole audiencia por 5 días. RPSC con la contestación o sin ella del PSC, deberá emitir resolución en la que determine la sanción a imponer y enviará el expediente al Ministro para que imponga la sanción. Ministro emite resolución 8 días siguientes de recibir la petición del RPSC y fija plazo al PSC para que haga efectivo el monto de la sanción si esta fuere de carácter pecuniario no podrá exceder de 20 días (duplicarse). Ministro notifica resolución al PSC y devuelve expediente al RPSC. - REGLAMENTO DE LA LEY Desarrolla los preceptos normativos contenidos en la Ley y las funciones del Registro de Prestadores de Servicios de Certificación como autoridad responsable del registro y autorización para operar de los prestadores de servicios de certificación.
  14. 14. Instituto Nacional de Administración Pública - CONTENIDO REGLAMENTO Capitulo I Disposiciones General Capitulo II Uso de las firmas electrónicas por los organismos del Estado Capitulo III De los Prestadores de Servicios de Certificación Capitulo IV De los Certificados de Firma Electrónica Capitulo V De la autorización e inspección de los prestadores de servicios de certificación Capitulo VI Derechos y Obligaciones de los Usuarios de Firmas Electrónicas Capitulo VII Del Registro de Prestadores de Servicios de Certificación Capitulo VIII Procedimiento para la imposición de Sanciones Capitulo IX Disposiciones Finales CAPITULO II USO DE LAS FIRMAS ELECTRÓNICAS POR LOS ORGANISMOS DEL ESTADO ACTOS Y CONTRATOS POR PARTE DEL ESTADO Los órganos del Estado podrán suscribirlos por medio de firma electrónica y serán validos de la misma manera y producirán los mismos efectos que los expedidos por escrito y en soporte papel. Decretos o Resoluciones, Acuerdos de órganos colegiados, Contratos, Emisión de cualquier otro documento que exprese la voluntad de un órgano o servicio público de la administración del Estado, todo documento que revista la naturaleza de instrumento público o aquellos que deban producir los efectos jurídicos de éstos, deberán suscribirse mediante FIRMA ELECTRÓNICA AVANZADA.
  15. 15. Instituto Nacional de Administración Pública 1. Relación con los organismos del Estado: Cuando sea necesaria la comprobación de identidad, será necesario el empleo de la Firma Electrónica Avanzada, podrán relacionarse por medios electrónicos con los particulares, cuando estos hayan consentido expresamente en esta forma de comunicación. 2. Contratación del Estado: Podrán contratar servicios de certificación de firmas con Prestadores de Servicios de Certificación autorizados por el Registro de Prestadores de Servicios de Certificación. 3. Documentos Electrónicos utilizados por el Estado: Repositorio o Archivo Electrónico que garantice la seguridad, integridad y disponibilidad de la información, bajo la responsabilidad del funcionario a cargo del mismo. Art. 8 Reglamento de la LRCYFE 4. Regulación: Cada organismo del Estado podrá regular la forma cómo se garantizará la publicidad, seguridad, integridad y eficacia en el uso de las firmas electrónicas y las demás necesarias para la aplicación de las normas establecidas en la ley o el reglamento. Art. 9 Reglamento de la LRCYFE 5. Arancel del registro de prestadores de servicios de Certificación a) Análisis del expediente de solicitud (no se restituye) Q. 20,500.00. b) Autorización e inscripción inicial Q.130, 000.00. c) Autorización para prestar servicios/actividades Q.75, 000.00 c/u. d) Membresía Anual por supervisión Q. 25,000.00. e) Certificaciones Q.150.00 hasta 10 hojas (5.00 por hoja adicional).
  16. 16. Instituto Nacional de Administración Pública A. Certificado Digital 1. ¿Cómo es un Certificado Digital? Un Certificado Digital con las características de Seguridad necesarias, debe utilizar las mas modernas y estables metodologías que la Criptografía pueda ofrecer. Es por ello que internacionalmente se acepta a la Criptografía Asimétrica como la metodología mas adecuada para la generación de un Certificado Digital. Pues bien cuando la Autoridad de Certificación recibe y firma la Clave Pública del Usuario utilizando su propia Clave Privada (también llamada Clave Privada Raíz) convierte al Par de Claves en un Certificado Digital. 2. Clases de Certificado Digital Los certificados pueden ser clasificados según qué medios hayan sido utilizados para verificar la veracidad de los datos. Clase 0 : Se utilizan para probar el procedimiento de Firma electrónica simple. Son gratuitos y pueden bajarse Ejemplo en: www.certificadodigital.com.ar . Clase 1 : Certifican que la persona que posee el Certificado es quien dice ser, y que la dirección de correo electrónico está bajo su control. Para cerciorarse de la identidad de la persona la Autoridad de Registro solicita un documento que lo acredite. Firma Electrónica Avanzada. Periodo de Validez de un Certificado Digital: de 1 a 3 años. B. Estándar de Certificados X.509 • La primera versión apareció en 1988 y fue publicada como el formato X.509v1, siendo la propuesta más antigua para una infraestructura de clave pública (PKI) a nivel mundial. Esto junto con su origen ISO/ITU han hecho de X.509 el PKI más ampliamente utilizado. Más tarde fue ampliada en 1993 por la versión 2 únicamente en dos campos, identificando de forma única el emisor y usuario del certificado. La versión 3 de X.509 amplia la funcionalidad del estándar X.509 1. X.509. Campos o Estructura • V: Versión del certificado. • SN: Número de serie. (para los CRL) • AI: identificador del algoritmo de firma que sirve única y exclusivamente para identificar el algoritmo usado para firmar el paquete X.509.
  17. 17. Instituto Nacional de Administración Pública • CA: Autoridad certificadora (nombre en formato X.500). • TA: Periodo de validez. • A: Propietario de la clave pública que se está firmando. • P: Clave pública más identificador de algoritmo utilizado y más parámetros si son necesarios. • Y{I}:Firma digital de Y por I (con clave privada de una unidad certificadora). CA<<A>> = CA { V, SN, AI, CA, TA, A, AP } Donde Y<<X>> es el certificado del usuario X expedido por Y, siendo Y la autoridad certificadora. De esta forma se puede obtener cualquier X certificado por cualquier Y.
  18. 18. Instituto Nacional de Administración Pública 2. X.509, Versión 3 • El estándar, internacionalmente aceptado, para Certificados Digitales, es el denominado X.509, en su versión 3. • Contiene datos del sujeto, como su nombre, dirección, correo electrónico, etc.. • Con la versión 3 de X.509, sucesora de la versión 2, no hace falta aplicar restricciones sobre la estructura de las CAs gracias a la definición de las extensiones de certificados. Se permite que una organización pueda definir sus propias extensiones para contener información específica dentro de su entorno de operación. Este tipo de certificados es el que usa el protocolo de comercio electrónico SET. • X.509 y X.500 fueron originalmente diseñados a mediados de los años 80, antes del enorme crecimiento de usuarios en Internet. Es por esto por lo que se diseñaron para operar en un ambiente donde sólo los computadores se interconectaban intermitentemente entre ellos. Por eso en las versiones 1 y 2 de X.509 se utilizan CRLs muy simples que no solucionan el problema de la granularidad de tiempo. • La versión 3 introduce cambios significativos en el estándar. El cambio fundamental es el hacer el formato de los certificados y los CRLs extensible. Ahora los que implementen X.509 pueden definir el contenido de los certificados como crean conveniente. Además se han definido extensiones estándares para proveer una funcionalidad mejorada.
  19. 19. Instituto Nacional de Administración Pública CAMPOS DEL X.509v3
  20. 20. Instituto Nacional de Administración Pública a. Importancia de la seguridad de la Información 1. La Información es un activo invaluable 2. El objetivo principal de los Ciberpiratas son las cuentas y los datos bancarios (Cuesta Dinero) 3. Genera desprestigio y problemas legales 4. Garantizar la continuidad del negocio y responsabilidad social b. Principales tipos de amenazas: • Acceso no autorizado • Usuarios desleales • Espionaje industrial • "Hackers" de computador • Fraude • Fuego • Persecución y observación de empleados clave • Robo de notebooks
  21. 21. Instituto Nacional de Administración Pública C.Sistema de Gestión de Seguridad de la Información SGSI – ISO/IEC 27001:2005 Historia y evolución de la norma ISO/IEC 27001 • Febrero de 1998: Primera publicación de la BS 7799-2 • Mayo de 1999: Publicación simultánea de las normas BS 7799-1 y BS 7799-2 • Septiembre de 2002: La BS 7799-2 es publicada por BSI • Abril de 2005: Aprobado en la reunión de Viena la serie ISO/IEC 27000 • Octubre de 2005: Publicación de la ISO/IEC 27001 En 2008 la ISO/IEC 27001 inicia el proceso Esta norma internacional, derivada de la norma británica BS 7799-1, ha sido el fruto de un consenso entre los países miembros de la ISO (exceptuando Canadá, Estados Unidos de Norteamérica y Japón quienes no aceptaban inicialmente adoptar internacionalmente una norma británica en la materia), que sirve como guía para la implementación de un Sistema de Gestión de Seguridad de la Información para Organizaciones públicas, privadas o mixtas, con la finalidad de preservar la confidencialidad, integridad y disponibilidad de la información importante que estas posean y que muchas veces es invaluable (información tal que marque la diferencia entre una organización y su competencia). Hay que tomar en cuenta que la seguridad de la información no es solo para Tecnologías de la Información y Comunicación - TICs, se trata de Gestión en general, involucra Recursos Humanos, Jurídicos, seguridad física entre otros. Por ser norma ISO garantiza la mejora continua del SGSI.
  22. 22. Instituto Nacional de Administración Pública Planificar PLAN (establecer el SGSI): Establecer la política, los objetivos, procesos y procedimientos de seguridad pertinentes para gestionar el riesgo y mejorar la seguridad de la información, con el fin de entregar resultados acordes con las políticas y objetivos globales de una organización. Hacer DO (implementar y operar el SGSI): Implementar y operar la política, controles, procesos y procedimientos del SGSI. Verificar CHECK (hacer seguimiento y revisar el SGSI): Evaluar y, en donde sea aplicable, medir el desempeño del proceso con respecto a la política y los objetivos de seguridad y la experiencia práctica, reportando los resultados a la dirección, para su revisión. Actuar ACT (mantener y mejorar el SGSI): Emprender acciones correctivas y preventivas basadas en los resultados de la auditoría interna del SGSI y la revisión por la dirección, para lograr la mejora continua del SGSI. Dominios de control. • Política de Seguridad. • Organización de la Seguridad de la Información. • Gestión de Activos. • Seguridad Ligada a los Recursos Humanos. • Seguridad Física y del Ambiente. • Gestión de Comunicaciones y Operaciones. • Control de Acceso. • Adquisición, Desarrollo y Mantenimiento de Sistemas de Información. • Gestión de Incidentes de Seguridad de la Información. • Gestión de Continuidad del Negocio. • Cumplimiento. DOCUMENTOS EXIGIDOS POR EL SGSI. • Declaraciones documentadas de la Política de Seguridad de la Información. • Alcance del SGSI. • Reporte de evaluación de riesgos. • Plan de tratamiento de riesgos. • Procedimientos documentados para asegurar la operación y el control de los procesos en Seguridad de la Información. • Registros exigidos por la Norma. • Declaración de aplicabilidad.
  23. 23. Instituto Nacional de Administración Pública PROCEDIMIENTO PARA LA CERTIFICACION ISO 27001 ACTIVIDADES PLAZO DEFINICIÓN DEL ALCANCE DEL SGSI MES 1 EVALUACIÓN DE RIESGOS EN LAS ÁREAS Y PROCESOS DEL SGSI MES 2 A 4 DIAGNÓSTICO DEL SGSI MES 1 A 2 DECLARACIÓN DE APLICABILIDAD MES 6 IMPLEMENTACIÓN DE LOS CONTROLES DEFINIDOS EN LA EVALUACIÓN Y TRATAMIENTO DE LOS RIESGOS MES 3 A 11 SEMINARIO SOBRE CONCIENTIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN MES 3 A 7 CURSO SOBRE LAS NORMAS ISO/IEC 27001 Y 27002 MES 2 A 4 DOCUMENTACIÓN DEL SGSI MES 2 A 11 FORMACIÓN DE LAS PERSONAS INVOLUCRADAS EN LA DOCUMENTACIÓN DEL SGSI. MES 2 A 8 AUDITORÍA INTERNA DEL SGSI MES 10 IMPLEMENTACIÓN DE ACCIONES PREVENTIVAS Y CORRECTIVAS MES 10 A 11 REVISIÓN DEL SGSI POR LA DIRECCIÓN MES 11 EVALUACION DETALLADA DEL SGSI MES 11
  24. 24. Instituto Nacional de Administración Pública Estándares Autoridad emisora de certificados de firma electrónica avanzada (AC= Autoridad Certificadora) y de estampado cronológico Para ofrecer un grado de seguridad reconocido y comparable a nivel internacional, se recomienda que los PSC, o las entidades en su nombre delegadas para ofrecer el servicio de Autoridad Certificadora, cumplan como mínimo en su operación con uno de los siguientes estándares: ISO/IEC 27001, o WebTrust for Certification Authorities. La norma ISO/IEC 27001 está diseñada para garantizar la adecuada selección de los controles de seguridad proporcionados para proteger los activos de información, y dar confianza a las partes interesadas. El programa WebTrust ayuda a garantizar que los procedimientos se siguen en actividades relacionadas con las transacciones de comercio electrónico, infraestructura de clave pública (PKI), y la criptografía. Además en estas empresas el hardware criptográfico es vital. Por ello, para la raíz de la Autoridad Certificadora, y para la Autoridad de Estampado Cronológico se recomienda el cumplimiento de uno de los dos estándares internacionales siguientes: FIPS PUB 140-1 o FIPS PUB 140-2; Ambos estándares especifican los requerimientos de seguridad que deben ser satisfechos por un módulo criptográfico usado en un sistema de seguridad que protege información en sistemas computacionales y de telecomunicaciones. Las normas proveen 4 niveles cualitativos y crecientes de seguridad para cumplir un amplio rango de aplicaciones posibles en diferentes ambientes potenciales en los cuales los módulos criptográficos se pueden usar. Y para la prestación del servicio en Guatemala se recomienda exigir el cumplimiento como mínimo del Nivel 3 a nivel del hardware criptográfico. Comprobación de la identidad del firmante y de sus datos certificados (Autoridad de Registro) Provisoriamente, para ofrecer un grado de seguridad reconocido y comparable a nivel internacional, se recomienda que los PSC o las entidades en su nombre delegadas para ofrecer el servicio de Autoridad de Registro, estén certificadas en su operación como mínimo con el estándar ISO 9001. Dada la amplia gama de usos posibles de dicho estándar, se hace recomendable que la Autoridad de Registro implemente de manera complementaria y verificable (no necesariamente certificada), el apego a la norma ISO/IEC 27001.
  25. 25. Instituto Nacional de Administración Pública Esta provisionalidad permite a las empresas alcanzar un nivel de madurez necesario para garantizar la seguridad del sistema. la certificación ISO 9001 y la certificación ISO/IEC 27001 serán las que permitan que continúen con su autorización. Almacenamiento de los datos de creación de firma del titular (dispositivos Criptográficos, Token. Smart Card entre otros) Un tercer pilar en la seguridad del sistema está constituido por el mecanismo escogido para entregar los datos de creación de firma a un titular. Para el dispositivo en el cual se entregarán los certificados y datos privados de firma electrónica ofrecidos por el PSC a sus clientes, o las entidades en su nombre delegadas para ofrecer el servicio, se recomienda exigir la certificación de cumplimiento de uno de los dos estándares internacionales siguientes: FIPS PUB 140-1, Nivel 2 ó 3; o su versión más reciente: FIPS PUB 140-2: Nivel 2 ó 3. Verificación del registro público de certificados en línea: Para cumplir con el requisito de ofrecer medios razonablemente accesibles para determinar el estado de un certificado, se recomienda que los PSC, o las entidades en su nombre delegadas para ofrecer información en línea de sus servicios, tengan implementado el estándar internacional RFC 2560 X.509. Dicho estándar define el Online Certificate Status Protocol (OCSP) que permite implementar o usar aplicaciones que determinen el estado de un certificado en línea, proporcionando información más oportuna que la opción de listas de revocación, actualizadas con frecuencias típicas de 24 horas. Servicios asociados al estampado cronológico Para ofrecer un grado de seguridad reconocido y comparable a nivel internacional, se recomienda que los PSC, o las entidades en su nombre delegadas para ofrecer servicios de estampado cronológico, cumplan como mínimo en su operación con el tener la certificación ISO/IEC 27001. Dada la amplia gama de usos posibles de dicho estándar, se hace recomendable que la entidad que ofrezca servicios de estampado implemente de manera complementaria a ISO/IEC 27001, y verificable por un auditor externo competente (no necesariamente certificada), el apego a las normas ETSI TS 102 023, e ISO/IEC 18014; o las respectivas normas guatemaltecas que las homologuen, respectivamente.
  26. 26. Instituto Nacional de Administración Pública En ETSI TS 102 023 se definen los requisitos de la política en las prácticas de operación y de administración de las autoridades de estampado cronológico (TSA) tales que los suscriptores y otras partes puedan tener confianza en la operación de los servicios de estampado cronológico. En particular, se recomienda exigir el uso del algoritmo de hash SHA-1 con RSA y largos de llave de al menos 2048 bits con RSA. En el segundo, ISO/IEC 18014 se describe el modelo general en el cual se basan los servicios de estampado cronológico, define los servicios, define los protocolos básicos, y especifica los protocolos entre las entidades involucradas. Conservación de las comunicaciones electrónicas La Ley contempla la necesidad de contar con servicios de almacenamiento de comunicaciones electrónicas, lo que posibilita a los PSC autorizados a ofrecer dicho servicio. Para ofrecer un grado de seguridad reconocido y comparable a nivel internacional, se recomienda que los PSC, o las entidades en su nombre delegadas para ofrecer dicho servicio, cumplan como mínimo con el estándar ISO/IEC 27001, o su equivalente en norma nacional. Como esta norma está diseñada para ser apta en diferentes tipos de uso, debe ser complementada con el estándar TIA-942, o su equivalente en norma nacional. En él se cubren recomendaciones sobre el espacio físico y su distribución, el cableado, la disponibilidad, y el entorno. Además en el estándar TIA-942 se definen cuatro niveles de disponibilidad, o Tier, y se recomienda que el Data Center opere con nivel Tier 3, e incluso Tier 4 cuando la información así lo requiera. Breve descripción de las normas Solicitadas por el RPSC: • ETSI TS 102 023 V1.2.2 (2008-10) Electronic Signatures and Infrastructures (ESI); Policy requirements for time-stamping authorities. El sistema de estampado cronológico es un proceso seguro que permite establecer el tiempo de la creación y modificación de un documento, asociando una fecha y una hora a un documento digital de una manera criptográficamente fuerte. “Seguro” significa que nadie, ni siquiera el dueño del documento puede modificarlo una vez que ha sido guardado, siempre y cuando la integridad del proveedor del servicio de estampado
  27. 27. Instituto Nacional de Administración Pública cronológico no haya sido comprometida. Para lograrlo se requiere disponer de una infraestructura confiable de estampado cronológico. El estampado cronológico confiable es otorgado por una tercera parte de confianza (Trusted Third Party - TTP) que actúa como una autoridad de estampado cronológico (Timestamping Authority – TSA), y es el único sistema, reconocido internacionalmente, que permite determinar si una firma electrónica fue generada con anterioridad al momento de revocación de un certificado. El estándar define los requisitos de la política en las prácticas de operación y de administración de las autoridades de estampado cronológico (TSA) tales que los suscriptores y otras partes puedan tener confianza en la operación de los servicios de estampado cronológico. Estos requisitos están pensados para los servicios de estampado cronológico usados en las firmas electrónicas pero se pueden aplicar a cualquier caso que requiera probar que un dato existía antes de un instante particular en el tiempo, y están basadas en la criptografía de clave pública, certificados de clave pública y fuentes de tiempo confiables. En particular, el documento trata los requisitos para una TSA que publica sellos de tiempo que se sincronizan con la Escala de Tiempo Universal (Coordinated Universal Time - UTC) y son firmados digitalmente por una unidad de estampado cronológico (Time Stamping Unit – TSU[1]). Entre los ámbitos incluidos están las políticas de la TSA respecto del estampado cronológico, las obligaciones y responsabilidades de las partes involucradas, las declaraciones de prácticas incluyendo temas como la gestión del ciclo de vida de las llaves usadas, operación de una TSA, etc., respecto de las cuales tanto los suscriptores como las partes que confían deberían informarse adecuadamente. Fuente del estándar: http://pda.etsi.org/pda/queryform.asp FIPS PUB 140-1: Security Requirements for Cryptographic Modules, (Mayo 2001) y FIPS PUB 140-2: Security Requirements for Cryptographic Modules (Mayo 2002) Ambos estándares especifican los requerimientos de seguridad que deben ser satisfechos por un módulo criptográfico usado en un sistema de seguridad que protege información en sistemas computacionales y de telecomunicaciones (incluyendo sistemas de voz). Las normas proveen 4 niveles cualitativos y crecientes de seguridad para cumplir un amplio rango de aplicaciones posibles en diferentes ambientes potenciales en los cuales los módulos criptográficos se pueden usar. Los requisitos de seguridad cubren áreas relacionadas con el diseño básico y la documentación, interfaces del módulo, roles y servicios autorizados,
  28. 28. Instituto Nacional de Administración Pública seguridad física, seguridad de software, seguridad del sistema operativo, gestión de llave, algoritmos criptográficos, interferencia electromagnética, y auto pruebas. El nivel de seguridad de un módulo criptográfico será elegido para proveer un nivel de seguridad adecuado a los requisitos de la aplicación y al ambiente en los cuales el módulo va a ser utilizado y a los servicios de seguridad que el módulo se supone debe proveer. Niveles de Seguridad: Nivel de seguridad 1. Provee el nivel más bajo de seguridad. No se requieren mecanismos de seguridad física más allá de los requisitos del equipo de producción estándar. El Nivel 1 permite que las funciones criptográficas de software sean ejecutadas en un computador personal de propósito general. Nivel de seguridad 2. Mejora la seguridad física de un módulo criptográfico de seguridad de Nivel 1 agregando el requisito de recubrimientos o sellos que hagan evidente la intromisión, o el de serraduras resistentes a ser violentadas, obligando a romperlas para obtener acceso físico a las llaves criptográficas de texto plano y a otros parámetros críticos de seguridad del módulo. El Nivel 2 provee autenticación basada en roles, en el cual el módulo debe autenticar que un operador esté autorizado para asumir un rol específico y ejecutar un conjunto de servicios correspondientes. Nivel de seguridad 3. Mejora la seguridad física de los anteriores. El Nivel 3 intenta prevenir que un intruso pueda obtener acceso a parámetros críticos de seguridad mantenidos dentro del módulo. Por ejemplo, si una cubierta o sello se retira o una puerta se abre, los parámetros críticos de seguridad son reducidos a cero. Este nivel provee autenticación por identidad, donde el modulo debe de identificar la identidad de un operador y verificar que dicho operador esté autorizado para asumir cierto rol específico y ejecutar un conjunto de servicios correspondientes. Además los puertos de datos usados para parámetros críticos de seguridad deben estar físicamente separados de otros puertos de datos. Nivel de seguridad 4. Provee el grado más alto de seguridad. La mayoría de los productos existentes no cumple este nivel por completo, pero sí algunas características. El Nivel 4 provee un sobre de protección alrededor del módulo criptográfico. Su propósito es detectar una penetración en el dispositivo en cualquier dirección. El Nivel 4 también protege a un módulo criptográfico contra el compromiso de su seguridad debido a condiciones ambientales o fluctuaciones fuera de los rangos operativos normales del módulo por tensión eléctrica y la temperatura.
  29. 29. Instituto Nacional de Administración Pública FIPS 140-2 incorpora cambios en la aplicación de estándares y tecnología desde el desarrollo de FIPS 140-1 así como cambios basados en comentarios recibidos de vendedores, laboratorios, y la comunidad de usuarios. NIST estableció un período de transición entre ambos estándares, sin embargo, indica que todas las validaciones contra el estándar FIPS 140-1 seguirán siendo reconocidas. Fuente del estándar: http://csrc.nist.gov/publications/fips/fips140- 2/fips1402.pdf ISO 9001 Quality management systems –Requirements ISO 9001 especifica requerimientos para un sistema de gestión de la calidad donde una organización necesita demostrar su habilidad para proveer consistentemente productos que cumplen los requisitos del cliente y de las normativas y regulaciones aplicables, y tiene por objeto mejorar la satisfacción del cliente a través de la aplicación efectiva del sistema, incluidos los procesos de mejora continua del sistema y la garantía de conformidad con el cliente y normativas legales y los requisitos reglamentarios. Todos los requisitos de la norma ISO 9001 son genéricos y están destinadas a ser aplicables a todas las organizaciones, independientemente del tipo, tamaño y producto. Cuando algún requisito de la norma ISO 9001 no se puede aplicar debido a la naturaleza de una organización y su producto, esto puede ser considerado para la exclusión. Cuando se hacen exclusiones, las reclamaciones de conformidad con la norma ISO 9001 no son aceptables a menos que estas exclusiones se limiten a los requisitos de la cláusula 7, y tales exclusiones no afecten a la capacidad de la organización, o la responsabilidad, para ofrecer productos que satisfagan a sus clientes y que respondan a las normativas legales y los requisitos reglamentarios. Fuente del estándar: http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.ht m?csnumber=46486
  30. 30. Instituto Nacional de Administración Pública ISO/IEC 18014-1:2002 Information technology -- Security techniques -- Time-stamping services. Es un estándar compuesto por tres partes. Parte 1: Framework Identifica el objetivo de una autoridad de estampado cronológico, describe el modelo general en el cual se basan los servicios de estampado cronológico, define los servicios de estampado cronológico, define los protocolos básicos de estampado cronológico, y especifica los protocolos entre las entidades involucradas. Parte 2: Mechanisms producing independent tokens Describe los servicios de estampado cronológico produciendo tokens independientes, un modelo general para los servicios de estampado cronológico de este tipo y los componentes básicos usados para construir el servicio, definiendo las estructuras de datos y los protocolos usados para interactuar con él. Actualmente se cubren tres mecanismos independientes: (1) estampado cronológico usando firma digital, (2) estampado cronológico usando códigos de autenticación de mensajes, y (3) estampado cronológico usando archivos. Parte 3: Mechanisms producing linked tokens Describe el servicio de estampado cronológico produciendo tokens ligados, es decir, tokens que están criptográficamente limitados a otros tokens producidos por estos servicios de estampado cronológico. Describe un modelo general para los servicios de estampado cronológico de este tipo y los componentes básicos usados para construir el servicio, define las estructuras de datos y los protocolos usados para Interactuar con el servicio de estampado cronológico, así como casos específicos de tales servicios. Fuente del estándar: http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.ht m?csnumber=50678
  31. 31. Instituto Nacional de Administración Pública RFC 2560 X.509 Internet PKI Online Certificate Status Protocol - OCSP. June 1999. En lugar de o como complemento a la comprobación de una lista de certificados revocados (CRL), puede ser necesario obtener información oportuna acerca del estado de revocación de un certificado. Algunos ejemplos son la transferencia de fondos de alto valor o de grandes existencias. El Online Certificate Status Protocol (OCSP) permite a las aplicaciones determinar el estado de un certificado. OCSP se puede utilizar para satisfacer algunas de las necesidades operacionales de proporcionar información más oportuna sobre la revocación de la que es posible con las CRL y puede ser utilizado también para obtener más información sobre el estado del certificado. Un cliente OCSP emite una solicitud de estado a un OCSP servidor, y suspende la aceptación del certificado en cuestión hasta obtener la respuesta. Este protocolo especifica los datos que deben intercambiarse entre una solicitud de comprobación del estado de un certificado y el servidor que provee el estado del certificado. Fuente del estándar: http://www.ietf.org/rfc/rfc2560.txt RFC 5280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile Este estándar es parte de una familia de normas para la Infraestructura de Clave Pública (PKI) X.509 para Internet. Esta especificación describe los perfiles y la semántica de los certificados y listas de certificados revocación (CRL). Se describen los procedimientos para el procesamiento de los caminos de certificación en Internet. Por último, como anexo se presentan módulos en formato ASN.1 para todas las estructuras de datos definidas o referenciadas. Fuente del estándar: http://www.ietf.org/rfc/rfc5280.txt
  32. 32. Instituto Nacional de Administración Pública TIA-942 Telecommunications Infrastructure Standard for Data Centers (Abril 2005) Este estándar especifica los requerimientos mínimos para la infraestructura de telecomunicaciones de un repositorio de datos (data center) y para salas de computadores, incluyendo los de empresas individuales y el hospedaje de múltiples empresas en un mismo repositorio de datos. La topología propuesta en el documento es aplicable a cualquier tamaño de data center. El estándar cubre el espacio del sitio y su distribución; la infraestructura de cableado; niveles de fiabilidad; y consideraciones del entorno (ambiente). Respecto de la fiabilidad, el estándar define 4 niveles: Tier I – Básico. Ofrece 99.671% de disponibilidad, es decir, durante un año puede quedar indisponible por 28.8 horas. Es susceptible de sufrir interrupciones en su operación, tanto programadas como imprevistas, y para realizar mantenciones debe ser apagado por completo. Tier II – Componentes redundantes. Ofrece 99.741% de disponibilidad, es decir, durante un año puede quedar indisponible por 22.0 horas. Es menos susceptible a sufrir interrupciones del servicio, tanto planeadas como imprevistas. Algunas mantenciones también requieren del apagado completo del data center. Tier III – Mantención concurrente. Ofrece 99.982% de disponibilidad, es decir, durante un año puede quedar indisponible por 1.6 horas. Permite actividades planificadas sin interrumpir el funcionamiento de las máquinas, pero situaciones imprevistas todavía pueden afectar la operación. Tier IV– Tolerante a fallas. Ofrece 99.995% de disponibilidad, es decir, durante un año puede quedar indisponible por 0.4 horas. Las actividades planificas no interrumpen las cargas críticas y el almacenamiento de datos puede soportar al menos un evento no planificado sin impactos críticos. Fuente del estándar: http://www.tiaonline.org/standards/
  33. 33. Instituto Nacional de Administración Pública WebTrust for Certification Authorities Las principales Autoridades Certificadoras (CA) están obligadas a someterse a una auditoría amplia denominada AICPA/CICA WebTrust Program for Certification Authorities. Esta auditoría se lleva a cabo por empresas auditoras públicas y profesionales que están específicamente autorizados por el Instituto Americano de Contadores Públicos Certificados (AICPA) y el Canadian Institute of Chartered Accountants (CICA). El programa WebTrust de CA ayuda a garantizar que los procedimientos se siguen en actividades relacionadas con las transacciones de comercio electrónico, infraestructura de clave pública (PKI), y la criptografía. Para alcanzar confianza en las transacciones en línea y en el comercio electrónico, la confidencialidad, autenticación, integridad y no repudiación son de vital importancia. Estas necesidades se satisfacen mediante el uso de PKI y certificados SSL. Una autoridad de certificación verifica la identidad de una organización o entidad y expide un certificado que la organización puede utilizar para probar su identidad. El programa WebTrust para Autoridades de Certificación ayuda a asegurar que la CA sigue adecuadamente su declaración de prácticas de certificación (CPS), verificando apropiadamente las organizaciones, y protegiendo adecuadamente sus llaves de certificado. Fuente del estándar: http://www.webtrust.org/
  34. 34. Instituto Nacional de Administración Pública Common Criteria EAL 5+ Estándar Europeo que se utiliza con el fin de poder certificar un producto según los Criterios Comunes se deben comprobar, por parte de uno de los laboratorios independientes aprobados, numerosos parámetros de seguridad que han sido consensuados y aceptados por 22 países de todo el mundo. El proceso de evaluación incluye la certificación de que un producto software específico verifica los siguientes aspectos: Los requisitos del producto están definidos correctamente. Los requisitos están implementados correctamente. El proceso de desarrollo y documentación del producto cumple con ciertos requisitos previamente establecidos. Los Criterios Comunes establecen entonces un conjunto de requisitos para definir las funciones de seguridad de los productos y sistemas de Tecnologías de la Información y de los criterios para evaluar su seguridad. El proceso de evaluación, realizado según lo prescrito en los Criterios Comunes, garantiza que las funciones de seguridad de tales productos y sistemas reúnen los requisitos declarados. Así, los clientes pueden especificar la funcionalidad de seguridad de un producto en términos de perfiles de protección estándares y de forma independiente seleccionar el nivel de confianza en la evaluación de un conjunto definido desde el EAL1 al EAL7. EAL 5+ o 5 Plus (diseño verificado y probado semiformalmente): Permite a los desarrolladores alcanzar una alta garantía en la aplicación de técnicas de ingeniería de seguridad para un entorno de desarrollo riguroso y donde el objeto de evaluación es considerado de gran valor para la protección del alto costo o estimación de esos bienes contra riesgos significativos. Además, es aplicable para el desarrollo de objetos de evaluación, destinados a salvaguardar la seguridad informática en situaciones de alto riesgo donde el valor de los bienes protegidos justifica los costos adicionales. El análisis en este nivel se apoya en un diseño modular y en una presentación estructurada de la implementación del producto. La búsqueda de vulnerabilidades debe mostrar una alta resistencia a los ataques de penetración. Permite a un desarrollador alcanzar máxima garantía de ingeniería de seguridad positiva mediante la aplicación moderada de técnicas de ingeniería de seguridad. La confianza se apoya, en este caso, en un modelo formal y una presentación semiformal de la especificación funcional y el diseño de alto nivel. En Europa para los chips de firma electrónica utilizados en los pasaportes es obligatorio tenerlo para poder ofrecer este servicio, también para aplicaciones de pagos en línea.
  35. 35. Instituto Nacional de Administración Pública Requisitos Evaluados por parte del RPSC R1: La admisibilidad R2: Aspectos Legales y Comerciales R3: Servicios Ofrecidos R4: Estándares R5: Políticas y Practicas de Certificación R6: Administración del PSC Pasos: Fuente: Guia de Evaluación y de Requisitos www.rpsc.gob.gt Paso 1: Pago del Costo de la Evaluación. Paso 2: Presentar la Solicitud con la documentación y los requisitos evaluados anteriormente. Paso 3: Verificación de la admisibilidad Paso 4: Evaluación de la Autorización. Para esta evaluación el RPSC cuenta con 90 días Hábiles según ley para otorgar la autorización inscripción y registro para ser PSC.
  36. 36. Instituto Nacional de Administración Pública ACTIVIDADES DE LA SEMANA ACTIVIDAD DURACION FECHA PUNTEO Foro Temático Módulo II 30 Minutos Martes - Jueves 5 puntos Elaborar un ensayo indicando “Considera que se ha dado a conocer lo suficiente el Decreto 47-2008, que haría para acelerar la implementación de la herramienta en Guatemala” 2 Horas Jueves 5 puntos Cuestionario 30 Minutos Viernes 5 Puntos Proyecto Final Llenar la parte 2 del proyecto Final (documento a descargar) 30 Minutos Viernes 5 puntos
  37. 37. Instituto Nacional de Administración Pública BIBLIOGRAFIA “LA LEY PARA EL RECONOCIMIENTO DE LAS COMUNICACIONES Y FIRMAS ELECTRÓNICAS” Decreto No. 47-2008 del Congreso de la República REGLAMENTO DE LA LEY Acuerdo Gubernativo No. 135-2009 y su reforma en Acuerdo Gubernativo No. 262-2009 ARANCEL DEL REGISTRO Acuerdo Gubernativo No. 109-2010 y su reforma en Acuerdo Gubernativo No. 460-2011
  38. 38. Instituto Nacional de Administración Pública INSTITUTO NACIONAL DE ADMINSITRACIÓN PÚBLICA Boulevard Los Próceres 16-40, zona 10 Ciudad de Guatemala PBX: (502) 2419-8181 www.inap.gob.gt

×