Anda di halaman 1dari 81

Poltica de Certificados para la jerarqua nacional de certificadores registrados

DireccindeCertificadoresdeFirmaDigital MinisteriodeCienciayTecnologa

OID2.16.188.1.1.1.1 Versin:1.00 04desetiembre,2008

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

Controldeversiones
Fecha
261007

Versin Consulta pblica

Autor(es) ComitdePolticas ComitTcnico

Aprobado Lic.OscarSols DirectorDCFD

Descripcin Se presenta la versin para discusin final del comit de polticas y aprobacin del Director delaDCFD. Se incorporan las observaciones de la consulta pblica, de acuerdo al edicto publicado el da lunes 19 de noviembre del 2007 en el diario oficialLaGaceta,nmeroN222 Oficializacin y entrada en vigencia delaspolticas.

031207

Borrador

ComitdePolticas

Lic.OscarSols DirectorDCFD

040908

1.00

ComitdePolticas

Lic.OscarSols DirectorDCFD

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

ndice

1. 1.1 1.2 1.3 1.4 1.5 1.6 2. 2.1 2.2 2.3 2.4 3. 3.1 3.2 3.3 3.4 4. 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 4.11 4.12 5. 5.1 5.2 5.3 5.4 5.5 5.6 Introduccin.............................................................................................................1 Resumen ...................................................................................................................1 Nombreeidentificacindeldocumento...................................................................2 ParticipantesenlaPKI..............................................................................................3 Usodelcertificado....................................................................................................4 AdministracindelaPoltica.....................................................................................5 Definicionesyacrnimos..........................................................................................5 Responsabilidadesdepublicacinydelrepositorio..................................................6 Repositorios..............................................................................................................6 Publicacindeinformacindecertificacin..............................................................6 Tiempoofrecuenciadepublicacin..........................................................................7 Controlesdeaccesoalosrepositorios.......................................................................7 Identificacinyautenticacin...................................................................................7 Nombres...................................................................................................................7 Validacininicialdeidentidad................................................................................12 Identificacinyautenticacinparasolicitudesdereemisindellaves...................13 Identificacinyautenticacinparasolicitudesderevocacin.................................13 Requerimientosoperacionalesdelciclodevidadelcertificado...............................14 Solicituddecertificado...........................................................................................14 Procesamientodelasolicituddecertificado...........................................................16 Emisindecertificado.............................................................................................17 Aceptacindecertificado.......................................................................................18 Usodelpardellavesydelcertificado.....................................................................18 Renovacindecertificado.......................................................................................20 Reemisindellavesdecertificado.........................................................................21 Modificacindecertificados...................................................................................21 Revocacinysuspensindecertificado..................................................................22 Serviciosdeestadodecertificado...........................................................................29 Finalizacindelasuscripcin..................................................................................29 Custodiayrecuperacindellave .............................................................................30 Controlesoperacionales,degestinydeinstalaciones...........................................31 Controlesfsicos......................................................................................................31 Controlesprocedimentales.....................................................................................33 Controlesdepersonal.............................................................................................34 Procedimientosdebitcoradeauditora................................................................36 Archivadoderegistros............................................................................................38 Cambiodellave......................................................................................................39

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

5.7 5.8 6. 6.1 6.2 6.3 6.4 6.5 6.6 6.7 6.8 7. 7.1 7.2 7.3 8. 8.1 8.2 8.3 8.4 8.5 8.6 9. 9.1 9.2 9.3 9.4 9.5 9.6 9.7 9.8 9.9 9.10 9.11 9.12 9.13 9.14 9.15 9.16

Recuperacindedesastreycompromiso................................................................40 TerminacindeunaCAoRA...................................................................................41 Controlestcnicosdeseguridad ..............................................................................42 Generacineinstalacindelpardellaves ...............................................................42 Controlesdeingenieradelmdulocriptogrficoyproteccindelallaveprivada..45 Otrosaspectosdegestindelpardellaves.............................................................50 Datosdeactivacin.................................................................................................51 Controlesdeseguridaddelcomputador .................................................................52 Controlestcnicosdelciclodevida.........................................................................52 Controlesdeseguridaddered................................................................................53 Selladodetiempo(TimeStamping).....................................................................54 PerfilesdeCertificados,CRLyOCSP........................................................................54 PerfildelCertificado...............................................................................................54 PerfildelaCRL........................................................................................................58 PerfildeOCSP.........................................................................................................58 Auditoradecumplimientoyotrasevaluaciones.....................................................59 Frecuenciaocircunstanciasdeevaluacin..............................................................60 Identidad/calidadesdelevaluador..........................................................................60 Relacindelevaluadorconlaentidadevaluada......................................................60 Aspectoscubiertosporlaevaluacin......................................................................60 Accionestomadascomoresultadodeunadeficiencia.............................................61 Comunicacinderesultados...................................................................................61 Otrosasuntoslegalesycomerciales........................................................................62 Tarifas .....................................................................................................................62 Responsabilidadfinanciera.....................................................................................62 Confidencialidaddelainformacincomercial.........................................................63 Privacidaddeinformacinpersonal........................................................................63 Derechosdepropiedadintelectual.........................................................................64 Representacionesygarantas .................................................................................64 Renunciadegarantas.............................................................................................65 Limitacionesderesponsabilidadlegal.....................................................................65 Indemnizaciones.....................................................................................................65 PlazoyFinalizacin................................................................................................66 Notificacinindividualycomunicacionesconparticipantes....................................66 Enmiendas..............................................................................................................66 Disposicionespararesolucindedisputas..............................................................67 Leygobernante.......................................................................................................67 Cumplimientoconlaleyaplicable...........................................................................67 Disposicionesvarias................................................................................................67

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

9.17 10. 10.1 10.2 11.

Otrasdisposiciones.................................................................................................67 AnexoA:Definicionesyacrnimos.........................................................................68 Definiciones............................................................................................................68 Abreviaturas:..........................................................................................................73 AnexoB:Documentosdereferencia.......................................................................74

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

1.

Introduccin

Este documento define las Polticas de Certificado (en adelante CP) dictadas por la Direccin de Certificadores de Firma Digital (en adelante DCFD) para el Sistema NacionaldeCertificacinDigital. La autoridad certificadora registrada debe implementar las polticas en los servicios de certificacin que incluyen: la emisin, gestin, suspensin y revocacin de los certificados. Las siguientes secciones describen las polticas de acatamiento obligatorio que deben ser implementadas por la Autoridad Certificadora Raz (en adelante CA Raz) y por cualquier otra Autoridad Certificadora Registrada (en adelante CA) en los niveles inferiores de la jerarqua nacional de certificadores registrados. Sin embargo, este documento no pretende ser una gua exhaustiva para la evaluacin del cumplimiento de los requisitos necesarios para un proceso de acreditacin. La gua detallada para la evaluacin de una autoridad certificadora que desea incorporarse al sistema de certificacin nacional, debe solicitarse a la DCFD, y la misma se adhiere a los lineamientos establecidos en: la norma INTEISO21188:2007 Infraestructura de llave pblicaparaserviciosfinancierosEstructuradeprcticasypolticas. Este CP se ha desarrollado conforme a lo estipulado en el RFC 3647 Internet X.509 PublicKeyInfrastructure.CertificatePolicyandCertificationPracticesFramework. 1.1 Resumen

EstasPolticasdeCertificacin(CP)sonespecficamenteaplicablesa: AutoridadCertificadoraRaz(CARaz). Autoridades Certificadoras de Polticas (CA de Polticas) dentro de la jerarqua nacionaldecertificadoresregistrados. Autoridades Certificadoras emisoras (CA emisoras) que se registren ante la DCFD,yqueemitanloscertificadosalasentidadesfinales. Suscriptoresypartesqueconfan.

Las polticas nacionales contemplan los siguientes tipos de certificados, definidos en estedocumentocomo: CertificadosparaCAemisoras. Certificadosdeautenticacindepersonafsica. Certificadosdefirmadigitaldepersonafsica. Certificadosdeautenticacinyfirmadigitaldeagenteelectrnico. Certificadosdeautoridadesdeselladodetiempo(TSA).

Pgina1de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

Los diferentes tipos de certificados estn definidos en la poltica y se implementan a travs de una jerarqua de tres niveles: el primero corresponde a la raz nacional, el segundo nivel corresponde a las autoridades certificadoras de polticas y el tercer nivel alasCAemisorasdecertificados. El siguiente diagrama detalla la estructura de la jerarqua nacional de certificadores registrados:

CARAIZ NACIONAL COSTARICA Primer nivel

Segundo nivel CAPOLTICAS PERSONAFSICA COSTARICA CAPOLTICAS AGENTEELECTRNICO COSTARICA CAPOLTICAS SELLADODETIEMPO COSTARICA Tercer nivel

Autoridad Certificadora PersonaFsica

Autoridad Certificadora AgenteElectrnico

Autoridadde Selladode Tiempo

Diagramadelajerarquanacionaldecertificadoresregistrados 1.2 Nombreeidentificacindeldocumento

Este documento es la Poltica de Certificados para la jerarqua nacional de certificadores registrados y se referencia mediante el identificador de objeto (OID): 2.16.188.1.1.1.1

Seccin 2 16 188 1 1 1 1

Descripcin jointisoitut Country CostaRica Organizacin DireccindeCertificadoresdeFirmaDigital Polticas Poltica de Certificados para la jerarqua nacional de certificadores registrados

Pgina2de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

Laspolticasderivadasparalajerarquanacionaldecertificadoresregistradosson:

Polticaparacertificadosgeneradosporlajerarquanacionalde certificadoresregistrados CertificadosdeCAemisora CertificadosdepersonaFsica Firmadigital Autenticacin Certificadosdefirmadigitalyautenticacindeagenteelectrnico Poltica de sellado de tiempo del sistema nacional de certificacin digital

OID

2.16.188.1.1.1.1.1 2.16.188.1.1.1.1.2 2.16.188.1.1.1.1.3 2.16.188.1.1.1.1.4 2.16.188.1.1.1.1.5

1.3 1.3.1 ParticipantesenlaPKI Autoridadescertificadoras

Las autoridades certificadoras (CA) son todas las entidades autorizadas a emitir certificados de llave pblica dentro de la jerarqua nacional de certificadores registrados.Estoincluye: CARaz. CAdePolticas. CAemisoras.

La CA Raz y las CAs de Polticas son parte de la jerarqua nacional administrada por el MinisteriodeCienciayTecnologa(MICIT).AmbasseregulanatravsdelaDireccinde Certificadores de Firma Digital (DCFD) y del Comit Asesor de Polticas (CAP). Las CAs emisoras deben implementar esta poltica, para formar parte de la jerarqua nacional decertificadoresregistrados. 1.3.2 AutoridadesdeRegistro

Una Autoridad de Registro (RA) es una entidad que ejecuta labores de identificacin y autenticacin de los solicitantes que aplican por un certificado. La RA debe validar los requisitos de identificacin del solicitante, dependiendo del tipo de certificado y de la especificacin de la poltica pertinente. Adems, tramita las solicitudes de revocacin para loscertificados y validala informacincontenida en las solicitudesde certificados. Las Autoridades de Registro se regulan en el documento de Directrices para las Autoridades de Registro. Caractersticas de cumplimiento de Autoridades de Registro (RA) de la jerarqua nacional de certificadores registrados de Costa Rica emitido por la DCFDparaestepropsito.

Pgina3de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

1.3.3

Suscriptores

Se define como suscriptor a todos los usuarios finales a quienes se les ha emitido un certificado por una CA, dentro de la jerarqua nacional de certificadores registrados. El suscriptor puede ser un individuo o una organizacin representada por el agente electrnico. 1.3.4

Partesqueconfan

Una parte que confa es un individuo o entidad que acta confiando en un certificado y/o firmas digitales emitidas bajo la jerarqua nacional de certificadores registrados. Unapartequeconfapuedeonosertambinunsuscriptor. 1.3.5 Otrosparticipantes

Sinestipulaciones 1.4 1.4.1 Usodelcertificado Usosapropiadosdelcertificado


Tipo CertificadosdeCAemisora Certificados de firma digital de personafsica Certificados de autenticacin de personafsica Certificados de firma digital y autenticacin de agente electrnico Certificados de Autoridad de SelladodeTiempo(TSA) Descripcindeusoapropiado Operar la infraestructura PKI (por ejemplo: Firma delistasderevocacin) Emitir certificados a suscriptores dentro de la cadenadeconfianza. Firmadigitalynorepudio. Autenticacin. Firma digital de documentos electrnicos actuandoennombredelaempresaoinstitucin. Autenticacin. SelladodeTiempo.

1.4.2 Usosprohibidosdelcertificado

Los certificados emitidos deben ser utilizados dentro del marco de la ley 8454 Ley de certificados, firmas digitales y documentos electrnicos y su reglamento. Cualquier otro uso del certificado no especificado en esta CP est fuera del alcance y responsabilidaddeestaspolticas.

Pgina4de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

1.5 1.5.1

AdministracindelaPoltica Organizacinqueadministraeldocumento

DireccindeCertificadoresdeFirmaDigital Ministerio de Ciencia y Tecnologa, direccin: San Jos, 50 metros Este del Museo Nacional. Apartado Postal: 55891000 San Jos, Costa Rica. Correo Electrnico: informacion@firmadigital.go.cr 1.5.2 Personadecontacto

Jefatura de la Direccin de Certificadores de Firma Digital Director de Certificadores de Firma Digital, Correo Electrnico: informacion@firmadigital.go.cr. Tel. (506) 2248 1515,ext.189. 1.5.3 PersonaquedeterminalaadecuacindelaCPSalaPoltica

El director de la Direccin de Certificadores de Firma Digital ser el encargado de determinar la adecuacin de la declaracin de prcticas de certificacin (CPS) de todas las autoridades certificadoras que desean pertenecer a la jerarqua nacional de certificadoresregistrados. 1.5.4 ProcedimientosdeaprobacindelaCP

La poltica y las subsecuentes enmiendas o modificaciones deben ser propuestas por el Comit Asesor de Polticas y presentadas al Director de la DCFD, quien posterior a su anlisisycorrecciones,lassometeaconsultapblica(salvocasosdeurgencia)enlaque se invitar a las entidades pblicas y privadas, organizaciones representativas y pblico en general a ofrecer comentarios y sugerencias pertinentes; todo conforme a los artculo3611y3622delaLeyGeneraldeAdministracinPblica(LGAP).Laencargada delaaprobacinfinaldelaCP,eslaDCFD. 1.6 Definicionesyacrnimos

VerAnexoA:Definicionesyacrnimos

1 Artculo361.

1.

Seconcederaudienciaalasentidadesdescentralizadassobrelosproyectosdedisposicionesgeneralesque puedanafectarlas.

2.

Seconcederalasentidadesrepresentativasdeinteresesdecarctergeneralocorporativoafectadosporla disposicinlaoportunidaddeexponersuparecer,dentrodelplazodediezdas,salvocuandoseopongana ellorazonesdeinterspblicoodeurgenciadebidamenteconsignadasenelanteproyecto.

3.

Cuando,ajuiciodelPoderEjecutivoodelMinisterio,lanaturalezadeladisposicinloaconseje,el anteproyectosersometidoalainformacinpblica,duranteelplazoqueencadacasoseseale.

2 Artculo362.Enladisposicingeneralsehandeconsignarexpresamentelasanterioresquequedantotalo

parcialmentereformadasoderogadas.

Pgina5de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

2.
2.1

Responsabilidadesdepublicacinydelrepositorio

Repositorios

Las autoridades emisoras son responsables de las funciones de repositorio para su propia CA. Las listas de los certificados emitidos a usuarios finales no se deben hacer pblicas. Sobre la revocacin de certificados de suscriptores, las autoridades emisoras deben publicarelavisoderevocacindeloscertificadosdesussuscriptores. 2.2 Publicacindeinformacindecertificacin

La CA emisora debe mantener un repositorio basado en Web que permita a las partes queconfanverificarenlnealarevocacinycualquierotrainformacinnecesariapara validar el estado del certificado. La CA emisora debe proporcionar a las partes que confan la informacin de cmo encontrar el repositorio adecuado para verificar el estado del certificado y los servicios de validacin de certificados en lnea (OCSP) para laverificacinenlnea. La CA emisora debe mantener publicada, entre otros aspectos, la versin actualizada de: LaPolticadeloscertificadosqueimplementa. Laplantilladelcontratodesuscriptor. Loscertificadosenlacadenadeconfianza. Laslistasderevocacin.

La informacin de la CA Raz est publicada en el sitio Web del MICIT, en las siguientes direcciones: Sitioprimario: o http://www.firmadigital.go.cr http://www.micit.go.cr/firmadigital

Sitioalterno: o

Pgina6de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

2.3

Tiempoofrecuenciadepublicacin

Las actualizaciones de las polticas de certificado se publicarn de acuerdo con lo establecido en la seccin 9.12 de este documento. Las actualizaciones de acuerdos de suscriptores sern publicadas, cuando sufran modificaciones. La informacin de estadosdecertificadoespublicadodeacuerdoconlasdisposicionesdeestapoltica,de acuerdoalaseccin4.9.7deFrecuenciadeemisindeCRL. 2.4 Controlesdeaccesoalosrepositorios

La informacin publicada en el repositorio es informacin accesible nicamente para consulta. La CA emisora debe establecer controles para prevenir que personas no autorizadasagreguen,eliminenomodifiqueninformacindelosrepositorios

3.
3.1 3.1.1

Identificacinyautenticacin

Nombres Tiposdenombres

En la seccin 3.1.4 se explican las reglas para interpretacin del cdigo de identificacin, la que, en el caso de las personas fsicas nacionales corresponde al nmero de cdula, para personas extranjeras, al nmero de nico de permanencia y paralasempresasoinstitucionescorrespondealnmerodecduladepersonajurdica. El uso del campo nmero deserie (serial number OID 2.5.4.5) se establece de acuerdo al RFC 3039 Internet X.509 Public Key Infrastructure Qualified Certificates Profile comounatributodelnombredistintivodelsujeto. A continuacin se presentan los formatos de los nombres para el suscriptor del certificadodependiendodesutipo.Cuandolosdatosseencuentranenitlicasignifican quesonvaloresdeejemplo. EnelcasodelaCARaz:

Atributo Country(C) Organization(O) OrganizationUnit(OU) CommonName CR

Valor

Descripcin El cdigo de pas es asignado de acuerdoalestndarISO31663 El Ministerio de Ciencia y Tecnologa eselresponsabledelaRazNacional La Direccin de Certificadores de FirmaDigital

MICIT
DCFD CARAIZNACIONAL

NombredelaCARaz

3 NormaISO3166Cdigosparalarepresentacindelosnombresdelospasesysussubdivisiones.Parte1:Cdigosdelos

pases.Estanormaestableceloscdigosdedoscaracteresparalaasignacindelpas

Pgina7de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

SerialNumber {OID:2.5.4.5}

COSTARICA CPJ2100098311

Nmero de cdula de persona jurdica en el Registro Nacional. El prefijo CPJ esCdulaPersonaJurdica

EnelcasodelaCAdePolticas:

EnelcasodelaCAdePolticas:

Atributo Country(C) Organization(O) OrganizationUnit(OU) CommonName CR

Valor

Descripcin El cdigo de pas es asignado de acuerdoalestndarISO3166 El Ministerio de Ciencia y Tecnologa eselresponsabledelaRazNacional La Direccin de Certificadores de FirmaDigital

MICIT
DCFD CAPOLITICA PERSONAFISICA COSTARICA CPJ2100098311

CA POLTICA + Nombre de la polticaCOSTARICA


Nmero de cdula de persona jurdica en el Registro Nacional. El prefijo CPJ esCdulaPersonaJurdica

SerialNumber {OID:2.5.4.5}

EnelcasodelaCAemisoras:

Atributo Country(C) Organization(O) CR

Valor

Descripcin El cdigo de pas es asignado de acuerdoalestndarISO3166 Nombre de la empresa o institucin definido en la certificacin de personerajurdica Unidadorganizacionaldelaempresao institucin

CORP.EJEMPLO S.A4
CAEJEMPLO CAEJEMPLO PERSONAFISICA

OrganizationUnit(OU) CommonName

CA + Nombre CA Poltica. La Poltica puede ser: PERSONA FISICA, AGENTE ELECTRONICO, SELLADO DE TIEMPO, u otra definidaporlaCARaz
Nmero de cdula de persona jurdica en el Registro Nacional, debe ser validada durante el proceso de registro.

SerialNumber {OID:2.5.4.5}

CPJ9999999999

4 Losvaloresenitlicasoncolocadosamaneradeejemplo.

Pgina8de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

Enelcasodesuscriptorpersonafsica:

Atributo Country(C) Organization(O) CR

Valor

Descripcin El cdigo de pas es asignado de acuerdo al estndarISO3166 La poltica identifica si se trata de un certificado para: Persona Fsica, Agente Electrnico o Sellado de tiempo o bien otra definida por la jerarquanacionaldecertificadoresregistrados

PERSONAFISICA

Organization (OU)

Unit

CIUDADANO JUANPEREZ PEREZ(FIRMA)

La clase de certificado es: CIUDADANO, EXTRANJERO. Nombre del suscriptor, segn documento deidentificacin,enmaysculasysintildes El propsito puede ser FIRMA o AUTENTICACION
El formato del documento de identificacin se especifica en la seccin 3.1.4 Reglas para la interpretacindevariasformasdenombres Se registran los dos apellidos del suscriptor, en maysculasysintildes. Se registra el nombre del suscriptor, en maysculasysintildes

CommonName

SerialNumber {OID:2.5.4.5} Surname(SN) {OID:2.5.4.4} GivenName(G) {OID:2.5.4.42}

CPF0104490161

PEREZPEREZ JUAN

Enelcasodesuscriptorparaagenteelectrnico:

Atributo Country(C) Organization(O) CR

Valor

Descripcin El cdigo de pas es asignado de acuerdo al estndarISO3166 Razn social/Nombre de la empresa o institucin que solicita el certificado, segn la informacindelRegistroMercantil.

CORTE SUPREMADE JUSTICIA


0001

Organization (OU)

Unit

CommonName

CORTESUPREMA DEJUSTICIA CPJ2300042155

Identificador consecutivo de Agente asociadoaunaorganizacin.Estecampoes responsabilidaddelaempresaoinstitucin proporcionarlo. Razn social/Nombre de la empresa o institucin que solicita el certificado,segn lainformacindelRegistroMercantil.
El formato de la cdula de persona jurdica se especifica en la seccin 3.1.4 Reglas para la interpretacindevariasformasdenombres Este es un valor opcional donde se coloca el nombredeldominio.

SerialNumber {OID:2.5.4.5}

Dns=www.poder Subject Alternative Name judicial.go.cr {OID:2.5.29.17}

Pgina9de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

Enelcasodesuscriptorparaautoridaddeselladodetiempo:

Atributo Country(C) Organization(O) CR

Valor

Descripcin El cdigo de pas es asignado de acuerdo al estndarISO3166 Nombre de la empresa o institucin que solicitaelcertificado Identificador consecutivo para la autoridad de sellado de tiempo. Este campo es responsabilidaddelaempresaoinstitucin proporcionarlo, y es utilizado para mantenerlacontinuidaddelnegocio

Organization (OU)

Unit

LABORATORIO COSTARRICENSE METROLOGIA 0001

DE

CommonName

TSALABORATORIO COSTARRICENSEDE METROLOGIA

TSA + Nombre de la empresa o institucin, segn documento de expedido como el Registro Mercantil. Se concatena el propsito de TSA (TimeStampingAuthority)paraindicar que es una autoridad de sellado de tiempo.
El formato de la cdula de persona jurdica se especifica en la seccin 3.1.4 Reglas para la interpretacin de varias formas de nombres

SerialNumber {OID:2.5.4.5}

CPJ3007351220

3.1.2 Necesidaddenombressignificativos

El nombre significativo corresponde al nombre especificado en el documento oficial presentadoporelsolicitanteenelmomentoderegistro.Ademsparaevitarerroresde interpretacinenelnombredepersonasfsicas,seregistraelnombreylosapellidosen atributosseparados(GivenNameySurName,respectivamente). 3.1.3 Anonimatoopseudnimosdelossuscriptores

De acuerdo con la ley 8454, Ley de certificados, firmas digitales y documentos electrnicos y su reglamento, los certificados de firma digital no admiten anonimato para cumplir con el requisito de No Repudio. El pseudnimo no se considera un nombresignificativodelsolicitanteynoseutilizarcomopartedelcertificado. 3.1.4 Reglasparalainterpretacindevariasformasdenombres

CertificadosdeCAemisora La cdula de persona jurdica es definida por el Registro Nacional de la Propiedad y debecumplirelsiguienteformato.

Pgina10de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

Tipodedocumento Cduladepersonajurdica CPJ

Prefijo

Formato CPJ9999999999

Certificadosdefirmadigitalyautenticacindepersonafsica El nombre comn tiene concatenado el propsito del certificado entre parntesis, el cualpuedesernicamenteunodelossiguientes: (FIRMA) (AUTENTICACION)

Lacdulayeldocumentonicodepermanenciadebencumplirelsiguienteformato:

Tipodedocumento Cduladepersonafsica Nmeronicodepermanencia CPF NUP

Prefijo

Formato CPF9999999999 NUP9XXX99999999


5

Certificados de firma digital y autenticacin de agente electrnico y de Autoridad de SelladodeTiempo Lacduladepersonajurdicadebecumplirelsiguienteformato:

Tipodedocumento Cduladepersonajurdica CPJ

Prefijo

Formato CPJ9999999999

3.1.5 Unicidaddelosnombres

La CA emisora debe asegurar que el nombre distintivo del suscriptor (subject distinguished name) es nico dentro de la jerarqua nacional de certificadores registrados,atravsdeunaverificacindentrodelprocesodeinscripcin.

5 Elnmeronicodepermanencia(NUP)estconformadoporlossiguienteselementos:

CdigodeNoNacional,esundgito,ysiempreseasignaelnmero1 Cdigodepas,esuncdigoalfanumricodeacuerdoconelISO3166Cdigosparalarepresentacindelos nombresdelospasesysussubdivisiones.Parte1:Cdigosdelospases.conformatode3letras,porejemplo: NIC=Nicaragua,CRI=CostaRica,USA=EstadosUnidosdeAmrica,COL=Colombia,etc.

Consecutivoporpas,correspondealanumeracindeseisdgitos,querepresentalacantidaddepersonasque haningresadoconestatusmigratorioalpasenelmomentodelainscripcin

Dgitosdeverificacin,sondosdgitosqueverificanlaconsistenciadelanotacinparaeseextranjero

Pgina11de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

La CA emisora debe garantizar que solamente existe un certificado vigente con el mismopropsitoparacadasuscriptor,encasodepersonafsica. 3.1.6 Reconocimiento,autenticacinyroldelasmarcasregistradas

La jerarqua nacional de certificadores registrados no arbitrar, mediar o resolver ninguna disputa concerniente a la propiedad de nombres de dominio, nombres de empresasoinstitucionesymarcasregistradas. 3.2 3.2.1 Validacininicialdeidentidad Mtodoparaprobarposesindelallaveprivada

Elsolicitantedelcertificadodebedemostrarqueposeelallaveprivadacorrespondiente a la llave pblica que estar listada en el certificado. El mtodo de prueba de posesin de la llave privada puede ser el PKCS#10, u otras demostraciones criptogrficas equivalentes,aprobadasporlaDCFD. 3.2.2 Autenticacindeidentidaddeorganizacin

LaidentidaddelaorganizacinsolicitantedebeserconfirmadaporlaCAemisora,opor la RA, donde aplique, de acuerdo con los procedimientos establecidos. Como mnimo, sedebeverificarelnombreoraznsocial,lacduladepersonajurdicayrepresentante legaldebidamenteacreditado. LaCAemisora,odondeaplique,laRA,debeverificarlainformacinsuministradaporel solicitantecontralosdatosoficialescorrespondientes. En el caso de certificados de agente electrnico, si el solicitante requiere incluir uno o ms nombres DNS en el campo nombre alternativo del sujeto (Subject Alternative Name, o tambin conocido como SAN por sus siglas en ingls), la CA emisora, o donde aplique, la RA, debe verificar la informacin de DNS suministrada por el solicitante, contralosdatosoficialescorrespondientes.

3.2.3

Autenticacindeidentidadindividual

ParalaidentificacindelapersonafsicalaCAemisoraoRAverificalavalidezyvigencia del documento legalmente aceptado, presentado por el solicitante. Este proceso debe realizarseenformapresencial(caraacara). LaCAemisora,odondeaplique,laRA,debeverificarlainformacinsuministradaporel solicitantecontralosdatosoficialescorrespondientes. 3.2.4 Informacindelsuscriptornoverificada

No aplica, la informacin incluida en el certificado es verificada durante el proceso de autenticacindelaidentidad.

Pgina12de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

3.2.5

ValidacindelaAutoridad

LaCAemisora,odondeaplique,laRAdebevalidarlaautoridadqueposeeelsolicitante paragestionaruntipodecertificadoespecfico.Adems,debevalidarqueelsolicitante no posea impedimentos legales, de acuerdo a la informacin oficial vigente para tales efectos. Enelcasodecertificadosdepersonafsica,debevalidarqueseamayordeedad. Enelcasodeunaorganizacindebeverificar: Nombreoraznsocialycduladepersonajurdica. Nombre del representante legal y documento de identidad legalmente aceptado.

LaCAemisora,odondeaplique,laRA,debeverificarlainformacinsuministradaporel solicitantecontralosdatosoficialescorrespondientes. 3.2.6 Criteriosparainteroperabilidad

Se permitir la interoperabilidad de los certificados emitidos, siempre y cuando la CA emisora cumpla con la poltica de la raz y estn adscritas a la jerarqua nacional de certificadores registrados. La homologacin de certificados extranjeros se har de acuerdoconlalegislacinaplicableylosprocedimientosestablecidosporlaDCFDpara talescasos. 3.3 3.3.1 Identificacinyautenticacinparasolicitudesdereemisindellaves Identificacinyautenticacinparareemisindellavesrutinaria

No se permite la reemisin de certificados. En dado caso, se debe optar por un nuevo certificado. 3.3.2 Identificacin y autenticacin para la reemisin de llaves despus de una revocacin

Bajoestascircunstanciaslareemisindellavesnoaplica. 3.4 Identificacinyautenticacinparasolicitudesderevocacin

Losprocedimientosderevocacindebenasegurar,previoacualquierrevocacin,que la solicitud de revocacin ha sido generada por el suscriptor del certificado o por una entidadautorizadaparatalespropsitos. Los procedimientos aceptados para la autenticacin de solicitudes de revocacin presentadasporelsuscriptorincluyenalgunodelossiguientesmedios: La recepcin de un mensaje firmado digitalmente por el suscriptor del certificado.

Pgina13de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

Mediantelavalidacindeunafrasededesafo(challengephrase). Presencialmente, a travs de los procesos de autenticacin de identidad (secciones3.2.2y3.2.3). Cualquier otro medio aprobado por la DCFD que permita una autenticacin robusta.

Los procedimientos aceptados para la autenticacin de solicitudes de revocacin presentadasporunaentidadautorizadaparatalesefectos(verseccin4.9.2),incluyela recepcindeunmensajefirmadoporunaautoridadcompetente.

4.
4.1 4.1.1

Requerimientosoperacionalesdelciclodevidadelcertificado
Solicituddecertificado Quinpuedepresentarunasolicituddecertificado

En la siguiente lista se detallan las personas que pueden presentar una solicitud de certificado: Para el caso de certificados de CA de polticas, el Director de Certificadores de FirmaDigital. Para el caso de certificados de CA emisoras, el representante legal o apoderadoconpoderessuficientesdelaentidadaserregistrada. Para el caso de certificados de firma digital y autenticacin de persona fsica, cualquier persona mayor de edad con un documento de identidad legalmente aceptado,queserelsujetoacuyonombreseemitaelcertificado. Para el caso de certificados de firma digital y autenticacin de agente electrnico, el representante legal o apoderado con poderes suficientes de la entidadasercertificada. ParaloscertificadosdeAutoridaddeSelladodeTiempo,elrepresentantelegal oapoderadoconpoderessuficientesdelaentidaddeselladodetiempo(TSA). Procesodeinscripcinyresponsabilidades

4.1.2

Durante el proceso de inscripcin, el solicitante debe firmar un acuerdo de suscriptor, donde se establecen las responsabilidades y deberes asumidos con el uso del certificado. LaDCFDtienelaresponsabilidadde: EjecutarelprocesoderegistroyverificacindeidentidaddelasCAemisoras. VelarporquelaentidadsolicitantecumplalosrequisitosestablecidosenlaLey 8454, Ley de certificados, firmas digitales y documentos electrnicos y su reglamento. Informar al suscriptor de sus deberes y responsabilidades con respecto al uso delcertificado.
Pgina14de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

Emitirelcertificadodeacuerdoconlainformacinsuministradaenlasolicitud decertificado.

LaCAemisoratienelaresponsabilidadde: ValidarlaidentidaddelaRAqueremitelassolicitudes. Validarlainformacinsuministradaenlasolicitud. Emitirelcertificadodeacuerdoconlainformacinsuministradaenlasolicitud. EnviarelcertificadoalaRAparaqueseaentregadoalsuscriptor.

LaRAtienelaresponsabilidadde: Ejecutarelprocesoderegistroyverificacindeidentidaddelsolicitante. RemitirlasolicituddecertificadodigitalalaCAemisora,firmadadigitalmente. Informar al suscriptor de sus deberes y responsabilidades con respecto al uso delcertificado.

Elsolicitantetienelassiguientesresponsabilidadesdependiendodeltipodecertificado: CertificadosdeCAemisora Completar el formulario de inscripcin de certificado y proveer informacin correcta y verdadera. Esta informacin debe presentarse ante la RA, para este casolaDCFD. Presentar un documento de identificacin legalmente aceptado y vigente, as como una personera jurdica vigente (con menos de un mes de emitida) donde se establezca su relacin como representante legal o apoderado con poderessuficientesdelaempresaoinstitucinacertificar. Generar la solicitud de certificado de forma que se demuestre la posesin de la llave privada correspondiente a la llave pblica entregada, cumpliendo lo estipuladoenelapartado3.2.1. Firmarelacuerdodesuscriptor. Certificadosdefirmadigitalyautenticacindepersonafsica Completar el formulario de inscripcin de certificado y proveer informacin correctayverdadera. Presentarundocumentodeidentificacinlegalmenteaceptadoyvigente. Ingresarconfidencialmentelafrasededesafo(challengephrase),queser requeridaenelprocesoderevocacindelcertificado. Generar la solicitud de certificado de forma que se demuestre la posesin de la llave privada correspondiente a la llave pblica entregada, cumpliendo con lodispuestoenelapartado3.2.1. Firmarelacuerdodesuscriptor.
Pgina15de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

Certificadosdefirmadigitalyautenticacindeagenteelectrnico Completar el formulario de inscripcin de certificado y proveer informacin correctayverdadera. Presentar un documento de identificacin legalmente aceptado y vigente, as como una personera jurdica con menos de un mes de emitida, donde se establezca su relacin como el representante legal o apoderado con poderes suficientesdelaempresaoinstitucin. Enelcaso,derequerirqueunoovariosnombresDNSformenpartedelcampo nombre alternativo del sujeto (Subject Alternative Name o SAN por sus siglas eningls)esnecesarioqueelrepresentantelegalpresenteevidenciadequeel nombrededominiosolicitadoestregistradoanombredelaorganizacinque representa (ver seccin 7.1.2.3). Generar la solicitud de certificado cumpliendo con el apartado 3.2.1 de este CP y presentarla ante la CA, con lo que se demuestra la posesin de la llave privada correspondiente a la llave pblicaentregada. Firmarelacuerdodesuscriptor.

CertificadosdeAutoridaddeSelladodeTiempo(TSA) Completar el formulario de inscripcin de certificado y proveer informacin correctayverdaderaantelaDCFD. Cumplir con todas las responsabilidades sealadas anteriormente para solicitantedecertificadodeAgenteElectrnico.

4.2 4.2.1

Procesamientodelasolicituddecertificado Ejecucindelasfuncionesdeidentificacinyautenticacin

CertificadosdeCAemisoraydeautoridaddeselladodetiempo La encargada de estas funciones es la DCFD, entidad que debe velar por el cumplimiento de la identificacin y la autenticacin de acuerdo con las disposiciones establecidasenlaseccin3.2. Certificadosdefirmadigitalyautenticacindepersonafsicaodeagenteelectrnico Laencargadadeestasfuncioneseslaautoridadderegistro(RA),odondeapliquelaCA, que debe velar por el cumplimiento de la identificacin y la autenticacin de acuerdo conlasdisposicionesestablecidasenlaseccin3.2.

4.2.2

Aprobacinorechazodesolicitudesdecertificado

CertificadosdeCAemisoraydeautoridaddeselladodetiempo(TSA)

Pgina16de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

La DCFD debe administrar y supervisar el proceso de certificacin, en particular lo concerniente a la aceptacin o rechazo de las aplicaciones para certificados de autoridadcertificadora. Para optar por un certificado de autoridad certificadora, la CA solicitante debe cumplir con todos los requisitos establecidos en la Ley 8454, su Reglamento y dems lineamientosestablecidosporlaDCFD. Certificadosdefirmadigitalyautenticacindepersonafsicaodeagenteelectrnico La RA debe rechazar cualquier solicitud de certificado que no cumpla con la Ley, su Reglamento y dems lineamientos establecidos por la DCFD. Asimismo, la CA emisora debe rechazar cualquier solicitud proveniente de una RA que no cumpla con los requisitosparalaemisindelcertificado. 4.2.3 Tiempoparaprocesarsolicitudesdecertificado

El tiempo de procesamiento de solicitudes de certificados (tiempo entre la solicitud emitida a la CA y la emisin del certificado al suscriptor) de persona fsica, cuando el procesoserealiceenformaautomtica,nodebesermayoradiezminutos. En cualquier otro caso, las CA y RA procesarn las solicitudes de certificados dentro de un tiempo razonable, a menos que se especifiquen otros parmetros en el acuerdo de suscriptor,enlaCPSoenotrosacuerdosentrelosparticipantes. 4.3 4.3.1 Emisindecertificado AccionesdelaCAdurantelaemisindecertificados

CertificadosdeCAycertificadosdeautoridaddeselladodetiempo(TSA) LaCAdebeverificarqueelsolicitantecumpleconlosrequisitosdeestapoltica,conlas normastcnicasyconlalegislacinaplicable. Certificadosdefirmadigitalyautenticacindepersonafsicaodeagenteelectrnico La CA debe verificar que las solicitudes de certificado provengan de RAs autorizadas. Una vez creado el certificado, la CA debe remitirlo a la RA desde la cual ingres la solicitud. 4.3.2 NotificacinalsuscriptorporpartedelaCAsobrelaemisindelcertificado

CertificadosdeCAemisoraycertificadosdeautoridaddeselladodetiempo(TSA) La DCFD debe notificar a la CA emisora o la TSA solicitante sobre la emisin del certificado,deacuerdoalosprocedimientosdefinidosparatalesefectos. Certificadosdefirmadigitalyautenticacindepersonafsica

Pgina17de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

En este caso, la entrega del certificado es presencial por lo tanto la notificacin es inmediata. Certificadodeagenteelectrnico Cuando las circunstancias lo permitan, la RA, o donde aplique la CA, entregar el certificadoenformapresencial,encuyocasolanotificacinserinmediata. En cualquier otro caso, la notificacin se realizar de acuerdo a los procedimientos definidosparatalesefectos. 4.4 4.4.1 Aceptacindecertificado Conductaconstitutivadeaceptacindecertificado

CertificadosdeCAemisoraycertificadosdeautoridaddeselladodetiempo(TSA) El proceso de descarga o instalacin del certificado respectivo por parte de la CA emisoraoTSAsolicitante,constituirlaaceptacindelcertificado. Certificadosdefirmadigitalyautenticacindepersonafsica El certificado se da por aceptado cuando la persona firma digitalmente un comprobantedeaceptacindelcertificadoentregado,estaeslaprimeravezqueseusa ypermitealsuscriptorverificarqueelcertificadoestfuncionandocorrectamente. Certificadosdefirmadigitalyautenticacindeagenteelectrnico Elprocesodedescargaoinstalacindelcertificadorespectivoporpartedelaempresa o institucin que utiliza el certificado de agente electrnico, constituir la aceptacin delcertificado. 4.4.2 PublicacindelcertificadoporlaCA

La CA no debe publicar informacin de los certificados emitidos en los repositorios de accesopblico. 4.4.3 NotificacindelaemisindelcertificadoporlaCAaotrasentidades

No se definen entidades externas que necesiten o requieran ser notificadas acerca de loscertificadosemitidosporlasCA. 4.5 4.5.1 Usodelpardellavesydelcertificado Usodelallaveprivadaydelcertificadoporelsuscriptor

El uso de la llave privada correspondiente a la llave pblica contenida en el certificado solamente debe ser permitido una vez que el suscriptor haya aceptado el certificado

Pgina18de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

emitido. Dicho uso debe realizarse en concordancia con la normativa aplicable, lo estipuladoenesteCP,yloscontratosdesuscriptorrespectivos. Los suscriptores deben proteger sus llaves privadas del uso no autorizado y deben descontinuarsuusodespusdelaexpiracinorevocacindelcertificado. CertificadosdeCA 1. CAraz:lallaveprivadaslopuedeserutilizadaparafirmarcertificadosde CAdepolticas. CA polticas: Las CA de polticas son CA emisoras cuya llave privada nicamente puede ser utilizada para firmar certificados de CA emisoras subordinarios(SubCa)yautoridadescertificadorasdeselladodetiempo. CA emisora de persona fsica o agente electrnico: la llave privada solo debe ser utilizada para firmar certificados de autenticacin y firma digital depersonasfsicasodeagenteelectrnico.

2.

3.

Certificadosdefirmadigitalyautenticacindepersonafsica El uso que se le d a los certificados depersona fsica debe ser acordecon lo dispuesto enlaseccin6.1.7. Certificadosdefirmadedigitalyautenticacindeagenteelectrnico El uso que se le d a los certificados de agente electrnico debe ser acorde con lo dispuestolaseccin6.1.7. Certificadosautoridaddeselladodetiempo(TSA) Lallaveprivadasolodebeserutilizadaparaprestarelserviciodeselladodetiempo. 4.5.2 Usodelallavepblicaydelcertificadoporlapartequeconfa

Las partes que confan deben aceptar las estipulaciones establecidas en este CP, en lo quelesresulteaplicable,comocondicinindispensableparaconfiarenelcertificado. La confianza en un certificado debe ser razonable, de acuerdo con las circunstancias. Si las circunstancias indican la necesidadde verificaciones adicionales, la parte que confa debeobtenertalesverificacionesparaquelaconfianzaseaconsideradarazonable. Antes de cualquier acto de confianza las partes que confan deben evaluar en forma independientemente: La pertinencia del uso del certificado para cualquier propsito dado y determinar que la voluntad del certificado, de hecho, sea utilizada para un propsito apropiado que no est prohibido o de otra forma restringido por
Pgina19de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

este CP. Las CA o RA no son responsables por la evaluacin de la pertinencia enelusodeuncertificado. Que el certificado sea utilizado de acuerdo con las disposiciones de esta CP (por ejemplo: Si en el certificado faltan los propsitos de firma y no repudio en el atributo de KeyUsage, entonces el certificado no puede ser confiable paravalidarlafirmadeunsuscriptor). El estado del certificado y el estado de todos los certificados de las CA en la cadena que emitieron el certificado. Si cualquiera de los certificados en la cadena del certificado ha sido revocado, la parte que confa es la nica responsable de investigar si la confianza en una firma digital efectuada por un suscriptor antes de la revocacin de un certificado en la cadena es razonable. Cualquier confianza de este tipo es asumida nicamente bajo el riesgo de la partequeconfa.

Si se determina que el uso del certificado es apropiado, las partes que confan deben utilizar el hardware y software necesario para ejecutar la verificacin de la firma digital u otra operacin criptogrfica que ellos deseen efectuar, como una condicin para confiarenloscertificadosrelacionadoscontalesoperaciones. 4.6 Renovacindecertificado

La renovacin del certificado no est permitida por esta CP, cuando un certificado requiera ser renovado debe solicitarse un nuevo certificado, de acuerdo con la seccin 4.1deesteCP. 4.6.1 Circunstanciaspararenovacindecertificado

Noaplica. 4.6.2 Quinpuedesolicitarrenovacin

Noaplica. 4.6.3 Procesamientodesolicitudesderenovacindecertificado

Noaplica. 4.6.4 Notificacinalsuscriptorsobrelaemisindeunnuevocertificado

Noaplica. 4.6.5 Conductaconstitutivadeaceptacindeuncertificadorenovado

Noaplica.

Pgina20de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

4.6.6

PublicacinporlaCAdelcertificadorenovado

Noaplica. 4.6.7 NotificacinporlaCAdelaemisindeuncertificadoaotrasentidades

Noaplica. 4.7 Reemisindellavesdecertificado

La reemisin del certificado no est permitida por esta CP, cuando un certificado requieraserreemitidodebesolicitarseunnuevocertificado,deacuerdoconlaseccin 4.1deesteCP. 4.7.1 Circunstanciaparareemisindellavesdecertificado

Noaplica. 4.7.2 Quinpuedesolicitarlacertificacindeunanuevallavepblica

Noaplica. 4.7.3 Procesamientodesolicitudesdereemisindellavesdecertificado

Noaplica. 4.7.4 Notificacinalsuscriptorsobrelareemisindeunnuevocertificado

Noaplica. 4.7.5 Conductaconstitutivadeaceptacindeuncertificadoreemitido

Noaplica. 4.7.6 PublicacinporlaCAdeloscertificadosreemitidos

Noaplica. 4.7.7 NotificacinporlaCAdelareemisindeuncertificadoaotrasentidades

Noaplica. 4.8 4.8.1 Modificacindecertificados Circunstanciasparamodificacindelcertificado

Cuando se requiera la modificacin de la informacin contenida en un certificado debe revocarse y realizar una solicitud para un nuevo certificado, de acuerdo con la seccin 4.1.

Pgina21de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

4.8.2

Quinpuedesolicitarmodificacindelcertificado

Noaplica. 4.8.3 Procesamientodesolicitudesdemodificacindelcertificado

Noaplica. 4.8.4 Notificacinalsuscriptordelaemisindeunnuevocertificado

Noaplica. 4.8.5 Conductaconstitutivadeaceptacindelcertificadomodificado

Noaplica. 4.8.6 PublicacinporlaCAdeloscertificadosmodificados

Noaplica. 4.8.7 NotificacinporlaCAdeemisindecertificadoaotrasentidades

Noaplica. 4.9 4.9.1 Revocacinysuspensindecertificado Circunstanciasparalarevocacin

CertificadosdeCA: A peticin de la CA que considera o sospecha que su llave privada fue comprometida. Identificacinocomponentesdeafiliacininvlidos. Violacindelacuerdodesuscriptor. Insolvencia,cesedeactividades,quiebraoliquidacindelaCA. Secompruebalaexpedicindecertificadosfalsos. Reincidencia en cualquiera de las infracciones que le hayan merecido una sancindesuspensin,dentrodeloscincoaossiguientes. Cuando se tienen razones para creer que el certificado no fue emitido de acuerdoaloslineamientosdelaCPaplicable. Cuando se determina que los prerequisitos para la emisin del certificado no fueronsatisfechos.

Certificados de firma digital y autenticacin de persona fsica, de agente electrnico y deselladodetiempo:

Pgina22de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

A peticin del suscriptor, a favor de quin se expidi, quin tiene razones o sospechasparacreerquesullaveprivadahasidocomprometida. Cuando se confirme que el suscriptor ha comprometido su confiabilidad, desatendiendo los lineamientos de seguridad establecidos, suplido informacin falsa al certificador u omitido otra informacin relevante, con el propsitodeobteneroreemitirelcertificado. Porfallecimiento(enelcasodepersonafsica),ausencialegalmentedeclarada, interdiccinoinsolvencia. Cuandoelsuscriptorfinalizaelcontratoporvoluntadpropia. Por errores de informacin del certificado, por ejemplo el nombre del suscriptoroalgunodelosatributos. ElacuerdoentreelsuscriptorylaCAemisorasehaterminado. Cuando se tienen razones para creer que el certificado no fue emitido de acuerdoaloslineamientosdelaCPaplicable. Cuando se determina que los prerequisitos para la emisin del certificado no fueronsatisfechos. Cuando la informacin incluida dentro del certificado es incorrecta o ha cambiado.

Adicionalmente, cuando se determine que el uso del certificado atenta contra la seguridad del Sistema Nacional de Certificacin Digital. Esto se determinar con base en la legislacin aplicable, la naturaleza y el nmero de denuncias recibidas, la identidaddeldenunciante,ycualquierotraquelaDCFDdetermine. 4.9.2 Quinpuedesolicitarrevocacin

De pleno derecho el suscriptor del certificado puede solicitar la revocacin de su certificado, ya sea por voluntad propia o por compromiso de su llave privada. En caso de sospecha o compromiso de su llave privada, la notificacin debe realizarla en forma inmediataalaCAcorrespondiente. Para todos los casos, la CA emisora del certificado y la autoridad judicial competente puedensolicitarlarevocacindelcertificado. Asimismo, pueden solicitar la revocacin los siguientes participantes segn el tipo de certificado: ParacertificadosdeCAemisoraoTSA ElrepresentantelegaloapoderadoconpoderessuficientesdelaCAemisorao TSA. LaDCFD. Paracertificadosdefirmadigitalyautenticacindepersonafsica

Pgina23de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

ElTribunalSupremodeElecciones,encasodefallecimiento. Paracertificadosdefirmadigitalyautenticacindeagenteelectrnico

El representante legal o apoderado con poderes suficientes de la empresa o institucinsuscriptoradelcertificado. ElRegistroNacional,pormediodesuregistrodepersonasjurdicas.

Adems, cualquier persona puede solicitar la revocacin de un certificado ante la CA correspondiente presentando evidencia contundente que revele el compromiso de la llaveprivadadelsuscriptor. 4.9.3 Procedimientoparalasolicitudderevocacin

Verificar que la solicitud de revocacin ha sido presentada por el suscriptor del certificadooporunaautoridadcompetente,deacuerdoconlaseccin3.4. Las solicitudes para la revocacin de certificados de CA emisoras deben ser autenticadas por sus entidades superiores dentro de la jerarqua nacional de certificadores registrados, para asegurar que la revocacin de una CA emisora ha sido solicitadaporunaentidadautorizadaparatalesefectos. 4.9.4 Periododegraciaparasolicitudderevocacin

No se estipulan periodos de gracia para revocacin de certificados, salvo los impuestos porlaleypararealizarapelaciones. 4.9.5 TiempodentrodelcuallaCAdebeprocesarlasolicitudderevocacin

Las solicitudes de revocacin deben ser procesadas en un rango de tiempo razonable, de acuerdo con el procedimiento para la solicitud de revocacin (ver seccin 4.9.3). Cuando la solicitud provenga del suscriptor y se utilicen mecanismos electrnicos automatizados,larevocacindeberealizarseenformainmediata. 4.9.6 Requerimientosdeverificacinderevocacinparalaspartesqueconfan

Las partes que confan deben evaluar el estado del certificado y el estado de todos los certificados de las CA en la cadena a la que pertenece el certificado, antes de confiar enl. En caso de que cualquiera de los certificados en la cadena del certificado haya sido revocado, la parte que confa es la nica responsable de investigar si la confianza en una firma digital efectuada por un suscriptor antes de la revocacin de un certificado en la cadena es razonable. Cualquier confianza de este tipo es asumida nicamente bajo el riesgo de la parte que confa. Para estos propsitos las partes que confan pueden verificar el estado del certificado mediante el servicio de OCSP o la lista de revocacinmsreciente,deacuerdoelriesgo.

Pgina24de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

4.9.7 CARaz

FrecuenciadeemisindeCRL

La CA Raz debe actualizar su lista de revocacin cada cuatro meses y cada vez que se presente una revocacin del certificado de una CA de Polticas, en cuyo caso se debe notificaralasCAsubsecuentes. CAdePolticas LaCAdePolticasdebeactualizarsulistaderevocacincadadosmesesycadavezque se presente una revocacin del certificado de una CA emisora, en cuyo caso se debe notificaratodaslasCAemisoras. CAemisora La CA emisora debe actualizar y publicar las listas de revocacin al menos una vez a la semana.AdemsdeberpublicarlosDeltaCRLunavezalda. 4.9.8 LatenciamximaparaCRLs

La CA o TSA debe publicar la CRL en el repositorio en un plazo no mayor a dos horas posteriorasugeneracin. 4.9.9 Disponibilidaddeverificacinderevocacin/estadoenlnea

Todas las CA o TSA deben mantener disponible un repositorio con informacin del estado de los certificados emitidos por sta, el cual puede ser accedido va Web. Adicionalmente,paralaCAemisoraregistradaesobligatorioimplementarelserviciode validacinenlneaOCSP. 4.9.10 Requerimientosparaverificarlarevocacinenlnea

La parte que confa debe verificar el estado de un certificado en el cual desea confiar, utilizando los mecanismos de verificacin del estado de certificados establecidos en la seccinanterior. 4.9.11 Otrasformasdeadvertenciasderevocacindisponibles

Noseestipulan. 4.9.12 Requerimientosespecialesporcompromisodellavesreemitidas

La DCFD debe notificar en el menor tiempo posible a todos los participantes de la jerarqua nacional de certificadores registrados acerca del compromiso de la llave privadadealgunadelasCA.

Pgina25de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

4.9.13

Circunstanciasparasuspensin

4.9.13.1 Suspensin de certificados de firma digital para personas fsicas o agente electrnico De conformidad con el artculo 14 de la ley 8454 de certificados digitales, las circunstanciasdesuspensinson: a. b. Porpeticindelpropiousuarioafavordequinseexpidielcertificado. Como medida cautelar, cuando el certificador que lo emiti tenga sospechas fundadas de que el propio usuario haya comprometido su confiabilidad, para obtenerelcertificado. Sicontraelusuariosehadictadoautodeaperturaajuicio,pordelitosencuya comisinsehayautilizadolafirmadigital. Pornocancelaroportunamenteelcostodelservicio.

c.

d.

Para los efectos prcticos se puede implementar la suspensin de certificados de personas fsicas o de agentes electrnicos, como la anulacin tcnica del certificado, que evite que pueda seguir siendo utilizado para el propsito de firma por parte del suscriptor. Adems, ninguna CA emisora podr expedirle un certificado de firma mientras el estado de suspensin se encuentre vigente. Aspecto que ser determinado por las declaracin de prcticas de certificacin o el acuerdo de suscriptor definido por laCAqueemitaloscertificados. 4.9.13.2 SuspensindeunaCA Se puede suspender una CA emisora, si existe una orden judicial o por decisin de la DCFD, o cuando el ECA acredite que la CA emisora incumple las obligaciones que le impone la ley 8454 y su reglamento. Para este caso en particular el reglamento define la suspensin de la CA emisora en el artculo 32, como la imposibilidad para el certificador sancionado de expedir nuevos certificados digitales o de renovar los que expiren durante el plazo de suspensin. Esta suspensin no afectar a los certificados emitidospreviamente. 4.9.14 Quinpuedesolicitarlasuspensin

De pleno derecho, el suscriptor del certificado puede solicitar la suspensin de su propiocertificado. Asimismo, pueden solicitar la suspensin otros participantes segn el tipo de certificado: CertificadosdeCAycertificadosdeautoridaddeselladodetiempo(TSA)

Pgina26de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

ElrepresentantelegaloapoderadoconpoderessuficientesdelaCAemisorao TSA. ElEnteCostarricensedeAcreditacin. Laautoridadjudicialcompetente. LaDCFD.

Certificadosdefirmadigitalyautenticacindepersonafsica Laautoridadjudicialcompetente. LaCAemisora.

Certificadosdefirmadedigitalyautenticacindeagenteelectrnico El representante legal o apoderado con poderes suficientes de la empresa. o institucinsuscriptoradelcertificado. Laautoridadjudicialcompetente. LaCAemisora.

4.9.15

Procedimientoparalasolicitudsuspensin

El procedimiento de suspensin depende del tipo de certificado y del solicitante de la suspensin,deacuerdocon: CertificadosdeCAemisora El representante legal o apoderado con poderes suficientes de la CA emisora debe: o Presentar un documento de identificacin legalmente aceptado y vigente,ascomolapersonerajurdicavigente(conmenosdeunmes deemitida)dondeseestablezcasurelacincomorepresentantelegal o apoderado con poderes suficientes de la empresa o institucin suscriptoradelcertificado. Implementar los controles y procedimientos para no expedir nuevos certificadosdigitalesoderenovarlosqueexpirenduranteelplazode suspensin.

EnteCostarricensedeAcreditacin(ECA) o Comunicar a la DCFD el incumplimiento de la acreditacin o de las obligaciones que imponen la ley 8454, Ley de certificados, firmas digitalesydocumentoselectrnicosysureglamento.

Laautoridadjudicialcompetente

Pgina27de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

o LaDCFD o o o

Remitir a la DCFD la resolucin en la que se ordena la suspensin, los alcancesylosplazosdelamisma.

Notificar a la CA correspondiente las razones por las cuales se le va a suspender. Recibir las pruebas de descargo correspondientes, en caso de que las hubieran. ComunicaralasCAemisoraslaresolucincorrespondiente.

Certificadosdefirmadigitalyautenticacindepersonafsica Suscriptordelcertificado o o Puede presentarse ante una RA de la CA que emiti el certificado y solicitarlasuspensin. Puede solicitar la suspensin va web, proporcionando la respuesta a la frase desafo (challenge phrase) que suministr durante el procesodeaplicacindelcertificado. Puedesolicitarlasuspensinatravsdelcentrodeatencinalcliente delaCAqueemitielcertificado. PorcualquierotromedioautorizadoporlaDCFDyquecumplaconun mecanismodeautenticacinrobusto.

o o

Laautoridadjudicialcompetente o o Remitir a la DCFD la resolucin en la que se ordena la suspensin, los alcancesylosplazosdelamisma. La DCFD comunica a la CA emisora respectiva, la resolucin judicial para suspender el certificado de firma digital emitido para el suscriptorencuestin.

LaCAemisora o o Contarconlasjustificacionesparaemitirlasuspensin. Si la suspensin es recurrida ante la Direccin de Certificadores de Firma Digital, la CA emisora debe esperar la resolucin de la DCFD parasuspenderelcertificado. Si fuera el caso, se procede con la suspensin (o revocacin) del certificado.

CertificadosdefirmadigitalyautenticacindeagenteelectrnicooTSA El representante legal o apoderado con poderes suficientes de la empresa o institucinsuscriptoradelcertificadodebe:

Pgina28de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

o o

Presentar ante la autoridad de registro correspondiente, la documentacinqueloacreditacomorepresentantelegal. Solicitarlasuspensindelcertificado.

Laautoridadjudicialcompetente: o Remitir a la DCFD la resolucin en la que se ordena la suspensin, los alcancesylosplazosdelamisma.

LaCAemisora: o o Contarconlasjustificacionesparaemitirlasuspensin. Si la suspensin es recurrida ante la Direccin de Certificadores de Firma Digital, la CA emisora debe esperar la resolucin de la DCFD parasuspenderelcertificado. Si fuera el caso, se procede con la suspensin (o revocacin) del certificado.

o 4.9.16

Lmitesdelperiododesuspensin

De acuerdo con el artculo 8 del reglamento de la Ley 8454 de certificados, firmas digitales y documentos electrnicos, la suspensin (o revocacin) se mantendr por todoelplazoenquesubsistalacausalqueledioorigen. 4.10 4.10.1 Serviciosdeestadodecertificado Caractersticasoperacionales

El estado de los certificados debe estar disponible a travs de los CRL publicados en un sitio Web (en el URL especificado en el CP) y para las CA emisoras de certificados de firmadigitaldepersonasfsicas,esobligatorioimplementarunservicioOCSP. 4.10.2 Disponibilidaddelservicio

La CA debe mantener los servicios de verificacin del estado de los certificados disponibles24x7x365. 4.10.3 Caractersticasopcionales

El servicio OCSP, que permite consultar el estado de certificados es una caracterstica opcional para la CA de la Raz y las CAs de polticas. Sin embargo, para las CA emisoras constituyeunacaractersticaobligatoria. 4.11 Finalizacindelasuscripcin

Unsuscriptorpuedefinalizarsususcripcindelassiguientesformas:

Revocandosucertificadoantesdelvencimiento(fechadeexpiracin). Cuandoexpiraelcertificado.

Pgina29de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

4.12 4.12.1

Custodiayrecuperacindellave Polticayprcticasdecustodiayrecuperacindellave

La CA no debe custodiar llaves de suscriptores para ningn certificado cuyo propsito sea de firma digital, nicamente se mantienen respaldos de sus propias llaves privadas deacuerdoconelPlandeContinuidaddeNegocio. ParalosefectosdePlandeContinuidaddeNegocio,lasllavesprivadasdelasCAdeben estar en custodia y respaldadas bajo estrictas normas de seguridad, y almacenadas en dispositivos criptogrficos FIPS 1402 nivel 3, que garantizan la no divulgacin de las llaves. 4.12.2 Polticasyprcticasderecuperacinyencapsulacindellavedesesin

Sinestipulacionesparaestaseccin.

Pgina30de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

5.

Controlesoperacionales,degestinydeinstalaciones

La Autoridad Certificadora Raz mantiene controles de seguridad notcnicos (esto es, controles fsicos, procedimientos y de personal) para asegurar la ejecucin de las funciones de generacin de llave, autenticacin de los sujetos, emisin del certificado, revocacindelcertificado,auditorayalmacenamiento. 5.1 5.1.1 Controlesfsicos Localizacinyconstruccindelsitio

Las operaciones de la CA deben estar dentro de un ambiente de proteccin fsica que impidayprevengausosoaccesosnoautorizadosodivulgacindeinformacinsensible. Las instalaciones de la CA deben contar con al menos cuatro permetros de seguridad fsica (rea de recepcin, rea de servicios de soporte climatizacin, energa, comunicaciones, etc., rea de operacin de la CA, rea de custodia de material criptogrfico). Un permetro es una barrera o entrada que provee un control de acceso para individuos y requiere una respuesta positiva para proceder a ingresar a la siguiente rea. Cada permetro sucesivo se encuentra ms restringido, con controles deaccesomsestrictos. Las instalaciones donde se crean los certificados de la CA se deben proteger con su propio y nico permetro fsico, y las barreras fsicas (paredes, barrotes) deben ser slidas, extendindose desde el piso real al cielo raso real. Asimismo, estas barreras debenprevenirlasemisionesderadiacinelectromagntica. 5.1.2 Accesofsico

Los controles de acceso fsico deben evitar el acceso no autorizado a las instalaciones de la CA. Adicionalmente, el acceso al recinto donde se encuentran las operaciones de la autoridad certificadora debe utilizar controles con 2 factores de autenticacin como mnimo(almenosunodeellosdebeserbiomtrico). Cuando las instalaciones operacionales de la CA estn desocupadas, deben estar cerradasconllaveyconlasalarmasdebidamenteactivadas. Los permetros deben ser auditados y controlados para verificar que solo puede tener accesoelpersonalautorizadodebidamenteidentificado. Los derechos de acceso a las instalaciones de la CA deben revisarse y actualizarse regularmente, al menos cada seis meses o cuando se presente movimiento en el personalrelacionadoconlaboresdeoperacindelaCA. Los visitantes o personal de servicio de soporte tercerizado que requiera acceso a las instalaciones operacionales de la CA, deben ser escoltados y registrarse el responsable deautorizarelacceso,lafechayhoradeentradaysalida.

Pgina31de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

5.1.3

Energayaireacondicionado

El equipo de la autoridad certificadora debe protegerse contra fallas en el fluido elctricocorrienteyotrasanomalasenlaenerga. LasinstalacionesdelaCAdebenestarequipadasconsistemasdeenergaprimarioyde respaldoparaasegurarcontinuidaddelfluidoelctrico. Las instalaciones deben contar con sistemas de aire acondicionado redundantes. El equipo instalado para climatizar el recinto, debe ser capaz de controlar la humedad relativadelmismo. 5.1.4 Exposicionesalagua

Las instalaciones de la CA deben ser construidas y equipadas, y contar con procedimientos implementados para prevenir inundaciones y otros daos por exposicinalagua. 5.1.5 Prevencinyproteccincontrafuego

Las instalaciones de la CA debern contar con procedimientos implementados para la prevencin y proteccin al fuego. Adems de ser construidas y equipadas para prevenir,detectary suprimir incendios o daos producidos por la exposicin a llamas o humo. 5.1.6 Almacenamientodemedios

La CA debe asegurar el adecuado manejo y proteccin de los medios de almacenamiento de informacin,quecontengan datoscrticos o sensitivos del sistema, contradaosaccidentales(agua,fuego,electromagnetismo)ydebeimpedir,detectary prevenirsuusonoautorizado,accesoosudivulgacin. 5.1.7 Eliminacinderesiduos

La CA debe implementar controles para la eliminacin de residuos (papel, medios, equiposycualquierotrodesecho)conelfindeprevenirelusonoautorizado,elacceso odivulgacindeinformacinprivadayconfidencialcontenidaenlosdesechos. 5.1.8 Respaldofueradesitio

La CA debe mantener respaldos de los datos crticos del sistema y de cualquier otra informacin sensitiva, incluyendo los datos de auditora, en una instalacin segura fueradelsitioprincipal.

Pgina32de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

5.2 5.2.1

Controlesprocedimentales Rolesdeconfianza

Los empleados, contratistas y consultores designados para gestionar la infraestructura de confianza deben ser considerados personas de confianza sirviendo en roles de confianza. Los roles de confianza deben incluir, al menos, roles que contemplen las siguientes responsabilidades: a. responsabilidad general de administrar la implementacin de las prcticas de seguridaddelaCA; aprobacindelageneracin,revocacinysuspensindeloscertificados; instalacin,configuracinymantenimientodelossistemasdelaCA; operacindiariadelossistemasdelaCA,respaldoyrecuperacindesistemas; funcionesde auditoria interna paraejecutar la inspecciny mantenimiento de lasbitcorasdelsistemadelaCAydelosregistrosdeauditora; funciones de gestin del ciclo de vida de llaves criptogrficas (ejemplo, custodiosdecomponentesdellaves); desarrollodesistemasdelaCA. Nmerodepersonasrequeridasportarea

b. c. d. e.

f.

g. 5.2.2

La CA debe establecer, mantener y ejecutar procedimientos de control rigurosos para asegurar la segregacin de funciones, basados en las responsabilidades del trabajo y la cantidaddepersonasdeconfianzaqueejecutanlastareassensitivas. 5.2.3 Identificacinyautenticacinparacadarol

LaCAdebeconfirmarlaidentidadyautorizacindetodoelpersonalqueintenteiniciar laboresdeconfianza.Laautenticacindelaidentidaddebeincluirlapresenciafsicade la persona y una verificacin por medio de documentos vigentes de identificacin legalmente reconocidos, tales como la cdula de identidad para los ciudadanos costarricenses,oeldocumentonicodepermanencia,encasodeextranjeros. 5.2.4 Rolesquerequierenseparacindefunciones

Los roles que requieren separacin de los deberes incluyen (pero no est limitado) a losencargadosdeejecutarlassiguientesresponsabilidades: La validacin de informacin en aplicaciones de certificado y de solicitudes o informacindelsuscriptor.

Pgina33de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

5.3 5.3.1

La aceptacin, rechazo, otros procesamientos de la aplicacin de certificado, solicitudderevocacin,informacindeafiliacin. La emisin, o revocacin de los certificados, incluyendo personal con acceso a porcionesrestringidasdelrepositorio. Lageneracin,emisinodestruccindeloscertificadosdelaCA. LapuestaenoperacindelaCAenproduccin. La auditora interna de la operacin de la CA y RA debe ser ejecutada por un rolparticular.

Controlesdepersonal Requerimientosdeexperiencia,capacidadesyautorizacin

Las personas seleccionadas para laborar en roles de confianza deben contar con un contratoydeben: 5.3.2 Haberaprobadoexitosamenteelprogramadeentrenamientoapropiado. Haberdemostradocapacidadparaejecutarsusdeberes. Haberaceptadolasclusulasdeconfidencialidad. No poseer otros deberes que puedan interferir o causar conflicto con los de la CA. Notenerantecedentesdenegligenciaoincumplimientodelabores. Notenerantecedentespenales. Procedimientosdeverificacindeantecedentes

La CA debe contar con procedimientos para verificar la experiencia y los antecedentes del personal que intenta obtener un rol de confianza. Algunos aspectos de la investigacindeantecedentesincluyen: Confirmacindeempleosanteriores. Verificacindereferenciasprofesionales. Ttuloacadmicoobtenido. Bsquedadeantecedentescriminales. Verificacinderegistrosfinancierosycrediticios.

La verificacin de registros financieros y crediticios debe ser repetida para el personal deconfianzaalmenosunavezcadatresaos. Los antecedentes deben ser evaluados por la CA para tomar las acciones que sean razonables,de acuerdo al tipo, magnitudy frecuencia delcomportamiento descubierto por la investigacin respectiva. Los factores revelados en el proceso de verificacin

Pgina34de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

pueden ser considerados como motivos para retirar al funcionario del puesto de confianza. 5.3.3 Requerimientosdecapacitacin

Todo el personal involucrado en las operaciones de la CA debe estar capacitado apropiadamente, en aspectos tales como: operacin del software y hardware, polticas y procedimientos organizacionales, procedimientos de seguridad y operacionales, y las estipulacioneslegales. 5.3.4 Requerimientosyfrecuenciaderecapacitacin

La CA debe capacitar al personal cuando se presenten cambios significativos en las operaciones de la CA, por ejemplo cuando se producen actualizaciones de hardware o software,cambiosenlossistemasdeseguridad,etc. La CA debeproveer los programas de entrenamiento y actualizacinasu personal para asegurar que el personal mantiene el nivel requerido de eficiencia para ejecutar sus laboressatisfactoriamente. 5.3.5 Frecuenciaysecuenciaenlarotacindelasfunciones

La CA debe efectuar una rotacin de sus roles de trabajo. La frecuencia de la rotacin delpersonaldebeseralmenos: unavezcadatresaos,paralaCAemisora. unavezcadacincoaos,paralaCARaz.

Antes de asumir las nuevas labores, el personal debe recibir a una actualizacin de la capacitacinquelepermitaasumirlastareassatisfactoriamente. 5.3.6 Sancionesparaaccionesnoautorizadas

La CA debe ejecutar las acciones administrativas y disciplinarias apropiadas contra el personalqueviolentelasnormasdeseguridadestablecidasenestapolticaosuCPS,de acuerdo a lo estipulado en el contrato de trabajo definido para los roles de confianza. Adems debe llevar un registro de la frecuencia y severidad de las acciones, con el fin dedeterminarlasancinquedebeseraplicada. 5.3.7 Requerimientosparacontratistasindependientes

La CA puede contratar personal externo o consultores solamente si existe una relacin claramentedefinidaconelcontratistaybajolassiguientescondiciones: existe un contrato con clusulas propias de los roles de confianza y estipula sancionesparalasaccionesnoautorizadas. noseposeepersonaldisponibleparallenarlosrolesdeconfianzacontratados.
Pgina35de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

5.3.8

los contratistas o consultores cumplen con los mismos requisitos del punto 5.3.1. unavezfinalizadoelserviciocontratadoserevocanlosderechosdeacceso. Documentacinsuministradaalpersonal

La CA debe suministrar suficiente documentacin al personal para que ejecute un rol, donde se definen los deberes y procedimientos para el correcto desempeo de su funcin. 5.4 Procedimientosdebitcoradeauditora

LaCAdebemantenercontrolesparaproveerunaseguridadrazonabledeque: 5.4.1 los eventos relacionados con el ambiente de operacin de la CA, la gestin de lasllavesyloscertificados,sonregistradosexactayapropiadamente; se mantiene la confidencialidad y la integridad de los registros de auditora vigentesyarchivados; losregistrosdeauditorasonarchivadoscompletayconfidencialmente; los registros de auditora son revisados peridicamente por personal autorizado. Tiposdeeventosregistrados

La CA debe registrar los tipos de eventos que se presentan en sus operaciones. La CA debe mantener las bitcoras manuales o automticas, indicando para cada evento la entidad que lo causa, la fecha y hora del mismo. La CA debe registrar los eventos relacionadoscon: lagestindelciclodevidadelasllavesdelaCA; lagestindelciclodevidadeldispositivocriptogrfico; lagestindelciclodevidadelsujetodecertificado; lainformacindesolicituddecertificados; lagestindelciclodevidadelcertificado; loseventossensiblesdeseguridad;

Las bitcoras de auditora no deben registrar las llaves privadas de ninguna forma y los relojes del sistema de cmputo de la CA deben estar sincronizados con el servicio de tiempoUTC6paraunregistroexactodeloseventos. 5.4.2 Frecuenciadeprocesamientodelabitcora

ElpersonaldelaCAemisoraconelroldeauditordeberealizaralmenostresrevisiones poraodelasbitcorasdeauditora,sinnecesidaddeseravisadas;mientrasquelaCA delaRazdeberealizaralmenosunarevisinanualdelasbitcoras.

Pgina36de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

Adems de las revisiones oficiales, las bitcoras de auditora deben ser revisadas en respuestaaunaalerta,porirregularidadesoincidentesdentrodelossistemasdelaCA. El procesamiento de la bitcora de auditora consiste en una revisin de las bitcoras y la documentacin de los motivos para los eventos significativos, y todas las acciones debenserdocumentadas. Las bitcoras de auditoras actuales y archivadas deben ser recuperadas solamente por personalautorizado,yaseaporrazonesvlidasdelnegociooporseguridad. 5.4.3 Periododeretencinparalabitcoradeauditora

Las bitcoras de auditora deben ser mantenidas en el sistema por al menos dos meses posteriorasuprocesamientoydeberserarchivadasdeacuerdoalaseccin5.5.2. 5.4.4 Proteccindebitcoradeauditora

Las bitcoras de auditoras actuales o archivadas deben mantenerse de forma que se prevenga su revelacin, modificacin, destruccin no autorizada o cualquier otra intromisin. 5.4.5 Procedimientosderespaldodebitcoradeauditora

LaCAdebemantenercopiasderespaldodetodoslosregistrosauditados. 5.4.6 Sistemaderecoleccindeauditora(internovs.Externo)

Los procesos de auditora de seguridad deben ejecutarse independientemente y no deben, de ninguna forma, estar bajo el control de la CA, los procesos de auditora deben ser invocados al iniciar el equipo y terminarlos solo cuando el sistema es apagado. En caso de que el sistema automatizado de auditora falle, la operacin de la CA debe cesarhastaquelascapacidadesdeauditorapuedanserreestablecidas. 5.4.7 Notificacinalsujetoquecausaelevento

Cuando un evento es almacenado por la bitcora, no se requiere notificar al causante dedichoevento. 5.4.8 EvaluacindeVulnerabilidades

LaCAyelpersonaloperativodebenestarvigilantesdeintentosparaviolarlaintegridad del sistema de generacin de certificados, incluyendo equipo, localizacin fsica y personal. Las bitcoras deben ser revisadas por un auditor de seguridad para los eventos que poseen acciones repetitivas, solicitudes para informacin privilegiada, intentosdeaccesoalsistemadearchivosyrespuestasnoautenticadas. Los equipos donde se ejecutan las operaciones de la CA emisora deben someterse a anlisissemestralesdevulnerabilidades.
Pgina37de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

5.5 5.5.1

Archivadoderegistros Tiposderegistrosarchivados

La CA debe almacenar los registros para establecer la validez de una firma y de la operacinpropiadelainfraestructuraPKI.Sedebenarchivarlossiguientesdatos: DurantelainicializacindelsistemadelaCA: laacreditacindelaCA(siesnecesaria); elCPyelCPS; cualquieracuerdocontractualparaestablecerloslmitesdelaCA; laconfiguracindelsistema.

DurantelaoperacindelaCA: 5.5.2 modificacionesoactualizacionesdecualquieradelostemsanteriores; solicitudesdecertificadosoderevocacin; documentacinparaautenticarlaidentidaddelsuscriptor; documentacinderecepcinyaceptacindelcertificado; documentacinderecepcindedispositivosdealmacenamientodellaves; todos los certificados y CRLs (informacin de revocacin) tanto emitidos o publicados; bitcorasdeauditora; otrosdatosoaplicacionesparaverificarelcontenidodelosarchivos; todos los trabajos comunicados o relacionados a polticas, otras CA y cumplimientodeauditora. Periodosderetencinparaarchivo

Todos los archivos deben mantenerse por un periodo de al menos diez aos. Adems de mantener los controles para que los archivos puedan ser ledos durante el periodo deretencindefinido. 5.5.3 Proteccindearchivo

Losarchivosnodebenmodificarseoeliminarseporalgunaoperacinnoautorizadadel equipo de la CA. La CA debe mantener la lista de personas autorizadas a mover los registrosaotrosmedios. Los medios de almacenamientos deben estar guardados en instalaciones seguras, los registros deben ser etiquetados con un nombre distintivo, la fecha y hora de almacenamientoylaclasificacindeltipodeinformacin.

Pgina38de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

5.5.4

Procedimientosderespaldodearchivo

La CA debe mantener procedimientos adecuados de respaldo de archivos (fsicos y electrnicos), tanto en el sitio principal como en el alterno, que aseguren la disponibilidad de los mismos, de acuerdo a un anlisis de riesgos determinado por los factoresdeoperacindelaCA. 5.5.5 Requerimientosparaselladodetiempoderegistros

Los certificados, las listas de revocacin (CRL) y otras entradas en la bases de datos de revocacin debe contener informacin de fecha y hora. Esta informacin de fecha y hora no necesita tener una base criptogrfica, pero si debe estar sincronizada con el serviciodetiempodelaUTC6. 5.5.6 Sistemaderecoleccindearchivo(internooexterno)

Los sistemas de archivos de la CA son internos al mbito de sus operaciones y deben conservarlaspistasdeauditora. 5.5.7 Procedimientosparaobteneryverificarlainformacinarchivada

Solamente el personal de confianza autorizado est habilitado para obtener acceso al archivo. La CA debe realizar pruebas de restauracin de la informacin archivada al menos una vez al ao. La integridad de la informacin debe ser verificada cuando es restaurada. 5.6 Cambiodellave

La CA debe cambiar peridicamente sus llaves de firma, de acuerdo con los aos de validezdesuscertificadosenlajerarquanacionaldecertificadoresregistrados(tiempo de uso) y considerando que el ltimo certificado otorgado debe poder ser verificado durantesuvigencia(tiempooperacional).Talcomosemuestraenelsiguientecuadro:

Nivelde jerarqua

Tiempode usoen aos 2

Tiempo operacional enaos 2

Descripcin

Certificado de suscriptores

El certificado emitido al usuario es otorgado por dos aos, al finalizar ese periodo pierde su validez.

Pgina39de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

Nivelde jerarqua

Tiempode usoen aos 5

Tiempo operacional enaos 7

Descripcin

CAemisoras

CAPolticas

10

17

CARaz

20

37

La CA emisora se le otorga un certificado con una validez de 5 aos, durante ese periodo puede emitir certificados a los usuarios o suscriptores. Sin embargo el ltimo certificado emitido antes de vencer su validez, debe tener la misma efectividad, es decir, dos aos para el usuario o suscriptor. Entonces su tiempo de uso es5aos(concapacidadparaemitircertificados de suscriptor), pero dura dos aos ms en operacin para validar las listas de revocacin, deahqueeltiempooperacionalespor7aos. LaCAdepolticastieneunavalidezde10aos,y el ltimo certificado otorgado a una CA emisora debegarantizarlaoperacinporsieteaosms. Por estos motivos el periodo operacional de la CAdePolticasdebeserdealmenos17aos. Siguiendo el mismo criterio la validez de la CA Raz es 20 aos, ms 17 aos que pueda operar la CA de Poltica, da como resultado los 37 aos de tiempo operacional para el certificado de la CARaz.

Del cuadro anterior, se deduce que en determinado momento puede haber dos certificados activos, uno que finaliz el periodo de uso y que por lo tanto no puede seguir firmando certificados, pero que posee certificados que estn vigentes en uno de los sub niveles de la jerarqua nacional de certificadores registrados. En estos casos, la ltima llave (vigente) es usada para propsitos de firma de certificados. La llave anteriortodavaestardisponibleparaverificarlasfirmasyparafirmarCRLs.Eltiempo de traslape de las llaves es al menos el tiempo operacional del certificado de un suscriptor. 5.7 5.7.1 Recuperacindedesastreycompromiso Procedimientosparaelmanejodeincidenteycompromiso

La CA debe contar con polticas y procedimientos formales para el reporte y atencin deincidentes. La funcionarios ejecutando roles de confianza deben velar por la seguridad de las instalaciones y la CA debe mantener procedimientos para que estos funcionarios reportenlosincidentes. La CA debe mantener un plan de recuperacin de desastres, si el equipo de la CA es daado entonces las operaciones de la CAdeben reestablecerse lo ms prontoposible, dandoprioridadalacapacidadderevocarcertificadosdesuscriptor.

Pgina40de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

SilaCAnopuedeserreestablecidadentrodeunasemana,entoncessullavesereporta como comprometida y todos sus certificados son revocados. En casos excepcionales, la DCFDpuedeotorgarextensionesparalaCA. 5.7.2 Corrupcindedatos,softwarey/orecursoscomputacionales

Posterior a una corrupcin de recursos computacionales, software o datos, la CA afectada debe realizar, en forma oportuna, un reporte del incidente y una respuesta al evento. 5.7.3 Procedimientosdecompromisodellaveprivadadelaentidad

La CA debe mantener controles para brindar una seguridad razonable de que la continuidad de las operaciones se mantenga en caso de compromiso de las llaves privadasdelaCA. Los planes de continuidad del negocio de la CA deben referirse al compromiso o sospechadecompromisodelasllavesprivadasdelaCAcomoundesastre. En caso de que la llave de la CA se haya comprometido, el superior de la CA deber revocar el certificado de CA, y la informacin de la revocacin debe publicarse inmediatamente. 5.7.4 Capacidaddecontinuidaddelnegociodespusdeundesastre

LaCAdebecontarconunprocesoadministrativoparadesarrollar,probar,implementar ymantenersusplanesdecontinuidaddelnegocio. La CA debe desarrollar, probar, mantener e implementar un plan de recuperacin de desastresdestinadoamitigarlosefectosdecualquierdesastrenaturaloproducidopor el hombre. Los planes de recuperacin de desastres se enfocan en la restauracin de losserviciosdesistemasdeinformacinydelasfuncionesesencialesdelnegocio. El sitio alterno debe contar con protecciones de seguridad fsica equivalentes al sitio principal. El sitio alterno, deben tener la capacidad de restaurar o recobrar operaciones esencialesdentrodelasveinticuatrohorassiguientesaldesastre,conalmenossoporte para las siguientes funciones: revocacin de certificados y publicacin de informacin derevocacin. 5.8 TerminacindeunaCAoRA

En caso de que la terminacin de la CA se de por conveniencia, reorganizacin, o por otrasrazonesquenoestnrelacionadasconlaseguridad,entoncessedebentomarlas previsiones antes de terminar la CA para evitar el compromiso de toda la infraestructura. En este caso, puede ser que ningn certificado firmado por la CA deba serrevocado.
Pgina41de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

En caso de que la terminacin de la CA est relacionada con eventos de seguridad, entonceslaCAdebeconsiderarsecomounaCAcomprometida. AntesdelaterminacindelaCA,todalainformacinrelacionadaconlaoperacindela CAdebenserenviadosalaDCFDparasucustodia. Cuando se presenta la terminacin de una RA, todos los archivos de datos deben ser enviadosalaCArespectivaparasucustodia. SisepresentauncompromisodelallavedelaCAoundesastredondelasinstalaciones de la CA estn fsicamente daadas y todas las copias de las llaves de firma de la CA estndestruidos,entonceslaCAdebesolicitarqueserevoquesucertificado. Cada CA o RA debe desarrollar un plan de terminacin que minimice el impacto y la interrupcindelservicioprovistoalosclientes,suscriptoresypartesqueconfan.Dicho plandebedarletratamientoalmenosalossiguientespuntos:

Notificacinalaspartesafectadasasumiendoelcostodelamisma. Procedimiento de revocacin del certificados (de la CA, CA subordinadas, los utilizadosenRAparasusoperaciones,suscriptores,etc.segnseaelcaso). La preservacin de toda la informacin en concordancia con este CP y la normativaaplicable. Lacontinuacindelosserviciosdevalidacindeloscertificadosydesoportea lossuscriptores. Procedimientos para la eliminacin de las llaves privadas y del hardware que lascontiene. DisposicionesparalatransicindelosserviciosaunaCAsucesora.

6.

Controlestcnicosdeseguridad

En esta seccin se definen las medidas de seguridad tomadas por la CA para proteger sus llaves criptogrficas y los datos de activacin. La gestin de las llaves es un factor crticoquepermiteasegurarquetodaslasllavesprivadasestnprotegidasysolamente puedenseractivadasporpersonalautorizado. 6.1 Generacineinstalacindelpardellaves

LaCAmantendrcontrolesparabrindarseguridadrazonabledequelosparesdellaves delaCA,segeneraneinstalandeacuerdoconelprotocolodefinidoparalageneracin dellaves.

Pgina42de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

6.1.1

Generacindelpardellaves

ElprocesodegeneracindellavesejecutadoporlaCAprevienelaprdida,divulgacin, modificacin o acceso no autorizado a las llaves privadas que son generadas. Este requerimiento aplica para toda la jerarqua nacional de certificadores registrados hasta llegaralossuscriptores. CertificadosdeCAemisora La CA debe generar las llaves mediante un proceso seguro por medio del mdulo criptogrfico de hardware, que cumple como mnimo el estndar Fips 1402 nivel 3 y a un procedimiento acorde con la ceremonia de generacin de llaves definida en el anexo D de la norma INTE/ISO 21188 Infraestructura de llave pblica para servicios financieros Estructura de prcticas y polticas.. La CA garantiza que la llave privada de firma nunca permanecer fuera del mdulo donde fue generada, a menos que se almaceneenunmecanismoderecuperacindellaves. ElprocesodegeneracindellavesdeCAdebeproducirllavesque: a. sean apropiadas para la aplicacin o propsito destinado y que sean proporcionalesalosriesgosidentificados; usenunalgoritmoaprobadoenesteCP,deacuerdoalaseccin7.1.3; tengan una longitud de llave que sea apropiada para el algoritmo y para el perodo de validez del certificado de la CA, de acuerdo con la seccin 6.1.5 de tamaosdellave; tomen en cuenta los requisitos del tamao de llave de la CA padre (la CA que leemitielcertificado)ysubordinada(laCAquerecibeelcertificado);

b. c.

d.

Certificadosdefirmadigitalyautenticacindepersonafsica La generacinde las llaves de los suscriptores requiere que los mdulos de criptografa cumplanalmenosconelestndarFips1402nivel2. Certificadosdefirmadigitalyautenticacindeagenteelectrnico La generacin de las llaves de agentes electrnicos cumple al menos con mdulos de criptografaFips1402nivel3. Certificadosdeautoridaddeselladodetiempo(TSA) La TSA debe generar las llaves mediante un proceso seguro, con un mdulo criptogrficodehardware,quecumplaalmenosconelestndarFips1402nivel3. 6.1.2 Entregadelallaveprivadaalsuscriptor

Se debe generar y mantener la llave privada dentro de los lmites del mdulo criptogrfico,esdecirelmdulocriptogrficodebegenerarlallaveprivadalocalmente.
Pgina43de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

6.1.3

Entregadelallavepblicaalemisordelcertificado

Las llaves pblicas transferidas deben ser entregadas a travs de mecanismos que asegurenquelallavepblicanosealteraduranteeltrnsito. CertificadosdeCAemisora Lallavepblicadebeserentregadamedianteunmtodofueradebanda,talcomo: almacenadoenunmdulocriptogrficodelaentidad; otrosmediossegurosquegaranticenautenticidadeintegridad.

Certificadosdefirmadigitalyautenticacindepersonafsica La llave pblica debe ser entregada por la RA a travs de medios legibles por computadorasdesdeunafuenteautenticada; Certificadosdefirmadigitalyautenticacindeagenteelectrnico Lallavepblicadebeserdistribuidautilizandounodelossiguientesmtodos: medioslegiblesporcomputadorasdesdeunafuenteautenticada; almacenadoenunmdulocriptogrficodelaentidad; otrosmediossegurosquegaranticenautenticidadeintegridad.

Certificadosdeautoridaddeselladodetiempo(TSA) Lallavepblicadebeserentregadamedianteunmtodofueradebanda,talcomo: almacenadoenunmdulocriptogrficodelaentidad; otrosmediossegurosquegaranticenautenticidadeintegridad.

6.1.4

EntregadelallavepblicadelaCAalaspartesqueconfan

La distribucin de la llave pblica se realiza a travs del certificado digital y del repositoriopblicorespectivo. 6.1.5 Tamaosdellave

El tamao de las llaves debe ser suficientemente largo para prevenir que otros puedan determinar la llave privada utilizando criptoanlisis durante el periodo de uso del par dellaves.

Pgina44de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

CertificadosdeCAemisora La llave de la CA raz debe tener un tamao mnimo de 4096 bits. La CA de Polticas debe mantener llaves con un tamao mnimo de 2048 bits. Para las CA emisoras debe teneruntamaode2048bits. Certificados de firma digital y autenticacin de persona fsica y de agente electrnico ydeTSA El tamao de las llaves para el suscriptor debe ser de 2048 bits. La longitud de la llave pblica que ser certificada por la CA, debe ser menor o igual al tamao de la llave privadadefirmadelaCA. 6.1.6 Generacindeparmetrosdellavepblicayverificacindecalidad

La CA genera y verifica los parmetros de llave pblica de acuerdo con el estndar FIPS 1862 (Digital Signature StandardDSS) que define el criptoalgoritmo utilizado en la generacin. 6.1.7 Propsitosdeusodellave(CampokeyusagedeX.509v3)

CertificadosdeCAemisora La CA Raz nicamente podr emitir certificados de firma para las Autoridades de Polticas y para las CRL respectivas. Las CAs de polticas nicamente podrn emitir certificadosdefirmaalasCAemisorasyparasusCRLs. LaCAemisoranopuedeemitircertificadosconelusodeencripcin. Certificadosdefirmadigitalyautenticacindepersonafsicaydeagenteelectrnico Los suscriptores tendrn dos certificados emitidos uno con el uso de firma digital y el otroconelusodeautenticacin.

Parafirmar:digitalSignature+nonRepudiation Paraautenticarseaservidores:digitalSignature+KeyEncipherment

6.2 6.2.1

Controles de ingeniera del mdulo criptogrfico y proteccin de la llave privada Estndaresycontrolesdelmdulocriptogrfico

CertificadosdeCAemisora La CA debe mantener controles para asegurar que las llaves privadas de la CA permanecen confidenciales y mantienen su integridad y el acceso al hardware criptogrficodelaCAestlimitadoaindividuosautorizados.
Pgina45de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

Las llaves privadas de la CA deben ser respaldadas, guardadas y recuperadas por personal autorizado con roles de confianza, utilizando controles mltiples en un ambientefsicamenteseguro. LascopiasderespaldodelasllavesprivadasdelaCARazdebenestarsujetasalmismo o mayor nivel de controles de seguridad que las llaves que actualmente estn en uso. La recuperacin de las llaves de la CA debe llevarse a cabo de una forma tan segura comoelprocesoderespaldo. El estndar de mdulos criptogrficos es el Security Requirements for Cryptographics Modules (actualmente FIPS140). Los mdulos criptogrficos para las CAs Emisoras debencertificarsecomomnimoconelFIPS1402nivel3. Certificadosdefirmadigitalyautenticacindepersonafsica El suscriptor debe cumplir con los controles definidos en el acuerdo de suscriptor y utilizarmduloscriptogrficosbasadoscomomnimoenelestndarFIPS1402nivel2 Certificadosdefirmadigitalyautenticacindeagenteelectrnico El certificado de agente electrnico debe cumplir con los controles definidos en el acuerdo de suscriptor y utilizar un mdulo criptogrfico basado como mnimo en el estndarFIPS1402nivel3 Certificadosdeautoridaddeselladodetiempo(TSA) El certificado de TSA debe cumplir con los controles definidos en el acuerdo de suscriptor y utilizar un mdulo criptogrfico basado como mnimo en el estndar FIPS 1402nivel3. 6.2.2 Controlmultipersonadellaveprivada(mden)

CertificadosdeCAemisora Para la activacin de la llave privada de firma de la CA se debe utilizar controles de accesodemltiplespartes(esdecir,mden)conunvalormnimode3param. Si las llaves privadas de la CA son respaldadas, estas deben ser respaldadas, guardadas y recuperadas por personal autorizado con roles de confianza, utilizando controles mltiples en un ambiente fsicamente seguro. La cantidad de personal autorizado para llevaracaboestafuncindebemantenersealmnimo. Certificadosdefirmadigitalyautenticacindepersonafsica Sinestipulaciones. Certificadosdefirmadigitalyautenticacindeagenteelectrnico Para la activacin de la llave privada de firma del agente electrnico se debe utilizar controles de acceso que resguarden la llave privada. Una vez activado el dispositivo de
Pgina46de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

firma se debe mantener resguardado fsicamente y monitoreado, para evitar otros usos. Certificadosdeautoridaddeselladodetiempo(TSA) Para la activacin de la llave privada de firma del TSA se debe utilizar controles de acceso de mltiples partes (es decir, m de n) con un valor mnimo de 3 para m. Una vez activado el dispositivo de firma se debe mantener resguardado fsicamente y monitoreado,paraevitarotrosusos 6.2.3 Custodiadellaveprivada

Nosedebenimplementarserviciosdecustodiadellavesdefirmasemitidasaterceros. 6.2.4 Respaldodellaveprivada

Los respaldos de llaves privadas de la CA son nicamente para propsitos de recuperacin en caso de una contingencia o desastre. Los planes de continuidad del negocio de la CA deben incluir procesos de recuperacin de desastres para todos los componentes crticos del sistema de la CA, incluyendo el hardware, software y llaves, enelcasodefalladeunoomsdeestoscomponentes. Las copiasde respaldo de lasllaves privadas de la CA deberan estar sujetas al mismo o mayor nivel de controles de seguridad que las llaves que actualmente estn en uso. La recuperacin de las llaves de la CA debe llevarse a cabo de una forma tan segura como elprocesoderespaldo. Las llaves privadas de certificados de firma digital de los suscriptores no son respaldadas por ningn motivo en la CA, y estas permanecen dentro de los lmites de losdispositivoscriptogrficosdondefuerongeneradas. 6.2.5 La CA no archiva la llave privada de ninguno de los suscriptores. En el caso de de la CA, sta debe archivar su par de llaves (pblica y privada) en forma encriptada en concordancia con las disposiciones de proteccin de llaves definidas en este CP, por un plazoacordeconlalegislacinaplicable. 6.2.6 Transferenciadellaveprivadahaciaodesdeunmdulocriptogrfico Archivadodellaveprivada

Las llaves privadas de la CA son generadas por un mdulo criptogrfico seguro. En el evento que una llave privada es transportada desde un mdulo criptogrfico a otro, la llaveprivadadebeestarencriptadadurantesutransporte. La llave privada usada para encriptar el transporte de la llave privada debe estar protegidacontradivulgacinnoautorizada.
Pgina47de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

6.2.7

Almacenamientodelallaveprivadaenelmdulocriptogrfico

Los dispositivos criptogrficos utilizados para el almacenamiento del respaldo de las llaves privadas de la CA deben serguardados de forma segura, en un sitio alterno,para queseanrecuperadosenelcasodeundesastreenelsitioprimario Las partes de la clave secreta o los componentes necesarios para usar y gestionar los dispositivos criptogrficos de recuperacin de desastres, deberan estar tambin guardadosconseguridadenunaubicacinfueradelsitioprimario. LasllavesprivadasdelaCAdebenseralmacenadasyutilizadasdentrodeundispositivo criptogrficoseguroquecumplacomomnimoconelperfildeproteccinapropiadode losrequisitosdelestndarFIPS1402nivel3 6.2.8 Mtododeactivacindellaveprivada

CertificadosdeCAemisora Los mtodos de activacin de llaves de la CA estn protegidos y para accederlos se debencontarconmecanismosdeautenticacindealmenosdosfactoresdeseguridad, porejemplo:tarjetasinteligentes,msfrasesdepasooPINs.Losdatosdeactivacin debenestardistribuidosenrolesdeconfianzaqueejecutandiversaspersonas. Certificadosdefirmadigitalyautenticacindepersonafsica Losmtodosdeactivacindellavesparaunusuariodebencontarconalmenosunode lossiguientesfactoresdeseguridad:frasesdepaso,PINs,odatosbiomtricos. Certificadosdefirmadigitalyautenticacindeagenteelectrnico Los mtodos de activacin de llaves de agente electrnico estn protegidos mediante una combinacin de al menos dos de los siguientes factores de seguridad: tarjetas inteligentes,frasesdepaso,PINs,odatosbiomtricos. Certificadosdeautoridaddeselladodetiempo(TSA) Los mtodos de activacin de llaves de autoridades de sellado de tiempo estn protegidos mediante una combinacin de al menos dos de los siguientes factores de seguridad: tarjetas inteligentes, frases de paso, PINs, o datos biomtricos. Los datos de activacin deben estar distribuidos en roles de confianza que ejecutan diversas personas. 6.2.9 Mtododedesactivacindellaveprivada

CertificadosdeCAemisora Para la CA Raz y de Polticas es obligatorio que los mdulos criptogrficos, los cuales han sido activados, no estn desatendidos o abiertos al acceso no autorizado. Despus de usarlos, estos deben ser desactivados manualmente o por un tiempo de expiracin

Pgina48de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

por estado pasivo. Los mdulos de hardware criptogrfico deben ser removidos y almacenadoscuandonoestnenuso. En el caso de las CA emisoras los equipos se mantienen en lnea, para dichos efectos una vez activados los dispositivos criptogrficos, estos se deben mantener monitoreadosyprotegidoscontraaccesosnoautorizados. Certificadosdefirmadigitalyautenticacindepersonafsica Sinestipulaciones Certificadosdefirmadigitalyautenticacindeagenteelectrnico Cuando los equipos que hospedan los certificados de agente electrnico se encuentran en lnea, estos se deben mantener monitoreados y protegidos contra accesos no autorizados. Cuando los equipos no estn en uso entonces los mdulos de hardware criptogrficodebenserremovidosyalmacenados. Certificadosdeautoridaddeselladodetiempo(TSA) Cuando los equipos que hospedan el certificado sellado de tiempo se encuentran en lnea, estos se deben mantener monitoreados y protegidos contra accesos no autorizados. Cuando los equipos no estn en uso entonces los mdulos de hardware criptogrficodebenserremovidosyalmacenados. 6.2.10 Mtododedestruccindellaveprivada

Elprocedimientoparaladestruccindellavesprivadasdebeincluirlaautorizacinpara destruirla. CertificadosdeCAemisora La CA raz, las CA de polticas y la CA emisora deben destruir los respaldos de las llaves privadas que han expirado. Para los mdulos criptogrficos de hardware, estos deben serlimpiadospormediodeinicializacindeceros(ZeroizeCommand). Certificadosdefirmadigitalyautenticacindepersonafsica Los mdulos criptogrficos de hardware que hospedan la llave privada deben ser limpiadospormediodeinicializacindeceros(ZeroizeCommand). Certificadosdefirmadigitalyautenticacindeagenteelectrnico Los mdulos criptogrficos de hardware que hospedan la llave privada deben ser limpiadospormediodeinicializacindeceros(ZeroizeCommand).

Pgina49de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

Certificadosdeautoridaddeselladodetiempo(TSA) La TSA debe destruir los respaldos de las llaves privadas que han expirado. Para los mdulos criptogrficos de hardware, estos deben ser limpiados por medio de inicializacindeceros(ZeroizeCommand). 6.2.11 Clasificacindelmdulocriptogrfico

CertificadosdeCAemisora La capacidad del mdulo criptogrfico de la CA emisora es expresada en cumplimiento comomnimodelestndarFips1402,nivel3 Certificadosdefirmadigitalyautenticacindepersonafsica El mdulo criptogrfico para los suscriptores de certificados de firma digital y autenticacindebecumplircomomnimoconelestndarFips1402,nivel2 Certificadosdefirmadigitalyautenticacindeagenteelectrnico El mdulo criptogrfico para los certificados de agentes electrnicos debe cumplir comomnimoconelestndarFips1402,nivel3 Certificadosdeautoridaddeselladodetiempo(TSA) LaTSAdebecumplircomomnimoconelestndarFips1402,nivel3 6.3 Otrosaspectosdegestindelpardellaves

Las CA de la jerarqua nacional de certificadores registrados deben establecer los mediosnecesariosparagestionarenformaseguralasllavesdelossuscriptoresdurante elciclodevidadelasmismas. 6.3.1 Archivadodelallavepblica

LaCAdebemantenercontrolesparasuspropiasllaves,deacuerdoaloestipuladoenla seccin 5.5. Las llaves archivadas de la CA deberan estar sujetas al mismo o mayor niveldecontroldeseguridadquelasllavesqueestnenusoactualmente.

Pgina50de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

6.3.2 Periodooperacionaldelcertificadoyperiododeusodelpardellaves

Losperiodosdeusodelallavesondescritosenlaseccin5.6,deacuerdoalasiguiente tabla:

Niveldejerarqua

Tiempodeusoen aos 2 5 10 20

Tiempooperacional enaos 2 7 17 37

Certificadodeusuario CAemisoras CAPolticas CARaz

6.4 Datosdeactivacin

La CA mantiene estrictos controles en los datos de activacin para operar los mdulos criptogrficos y que necesitan ser protegidos (ejemplo un PIN, una frase de paso o password,unamedidabiomtricaounapartedellavemantenidamanualmente). 6.4.1 Generacineinstalacindelosdatosdeactivacin

CertificadosdeCAemisora Se debe contar con datos de activacin de mltiples factores para proteccin de los accesos al uso de llaves privadas y su activacin requiere de un control de mltiples partes(esdecir,mden)conunvalormnimodetresparam. Certificadosdefirmadigitalyautenticacindepersonafsica Se deben generar e instalar sus propios datos de activacin para proteger y prevenir perdidas,robos,modificacin,divulgacinousonoautorizadodesusllavesprivadas. Certificadosdefirmadigitalyautenticacindeagenteelectrnico Se debe contar con controles para proteccin de los accesos al uso de llaves privadas. En particular, se requiere generar sus propios datos de activacin para prevenir uso no autorizadodelallaveprivada. Certificadosdeautoridaddeselladodetiempo(TSA) Se debe generar e instalar sus propios datos de activacin para proteger y prevenir perdidas, robos, modificacin, divulgacin o uso no autorizado de sus llaves privadas. Adicionalmente, como parte de los datos de activacin se requiere de un control de mltiplespartes(esdecir,mden)conunvalormnimodetresparam.

Pgina51de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

6.4.2

Proteccindelosdatosdeactivacin

Los datos de activacindeberan ser memorizados, sin mantener respaldo escrito. Si se escriben, estos deberan de estar almacenados en un nivel de seguridad semejante al de los mdulos criptogrficos para protegerlos, y en una localizacin diferente a la de los mdulos criptogrficos. Los datos de activacin de la CA deben incluir dispositivos biomtricos. 6.4.3 Otrosaspectosdelosdatosdeactivacin

Los datos de activacin de los mdulos criptogrficos de la CA Raz y CA de Polticas debensercambiadosalmenosunavezcadaao.YenelcasodelasCAemisorasoTSA lafrecuenciadebeseralmenosunavezcadadosmeses. 6.5 Controlesdeseguridaddelcomputador

ElequipodelaCAdebeusarsistemasoperativosque: Requieranautenticacinparapoderseraccedidos Provean capacidad para mantener bitcoras y registros de seguridad con fines deauditora Cumplan con requerimientos y controles de seguridad, al menos tan estrictos comolosdefinidosenesteCP.

Luego de que la plataforma donde opera el equipo de la CA ha sido aprobada, debe continuaroperandobajolosmismosparmetrosaprobados. 6.5.1 Requerimientostcnicosdeseguridaddecomputadorespecficos

Los equipos donde operan los sistemas de la CA, que requieran acceso remoto deben poseer autenticacin mutua y los sistemas operativos deberan estar configurados de acuerdo con los estndares del sistema operativo de la CA y ser revisados peridicamente. Las actualizaciones y parches de los sistemas operativos deberan ser aplicados de manera oportuna y la utilizacin de programas utilitarios del sistema debera ser restringidaalpersonalautorizado,ydebeestarestrictamentecontrolado. 6.5.2 Clasificacindelaseguridaddelcomputador

Los sistemas sensibles de la CA requieren un ambiente informtico dedicado y aislado, que implemente el concepto de sede computacional confiable con procesos de auditoriaqueejecutenpruebasdeseguridadalmenosdosvecesalao. 6.6 Controlestcnicosdelciclodevida

La CA debe mantener controles en los equipos de seguridad (hardware y software) requeridos para operar en una infraestructura PKI desde el momento de la compra

Pgina52de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

hasta su instalacin, de forma que reduzcan la probabilidad que cualquiera de sus componentesseaviolentado. Todo el hardware y software que ha sido identificado para operar las CA debe ser enviadoyentregadoconmtodosqueproveanunaadecuadacadenadecustodia. 6.6.1 Controlesparaeldesarrollodesistemas

La CA debe mantener controles que proporcionen una seguridad razonable de las actividadesdedesarrolloymantenimientodelossistemasdelaCA. Los nuevos sistemas o para la expansin de los sistemas existentes, deben especificar los requisitos de control, seguir procedimientos de prueba de software y control de cambiosparalaimplementacindesoftware. LaCAdebemantenercontrolessobreelaccesoalasbibliotecasfuentedeprogramas. 6.6.2 Controlesdegestindeseguridad

Los Administradores de la CA son los responsables de garantizar que se cumplan los procedimientos de seguridad correctamente. Adems de ejecutar revisiones peridicas paraasegurarelcumplimientodelosestndaresdeimplementacindeseguridad

6.6.3

Controlesdeseguridaddelciclodevida

La CA debe incluir controles en la gestin de seguridad por medio de herramientas y procedimientos que verifiquen la adherencia a la configuracin de seguridad de los sistemasoperativosyredes. 6.7 Controlesdeseguridaddered

El equipo de la CA debe estar dentro de los lmites de la red interna, operando bajo un nivel de seguridad de red crtico. La red de la CA debe estar protegida contra ataques. Lospuertosyserviciosquenoserequierandebenestarapagados. EnelcasodelaCARazdebeestarofflineyaisladadelaredorganizacional. Losnivelescrticosdeseguridaddered,debenincluir: LaencripcindelasconexionesinvolucradasconlasoperacionesdelaCA. LossitiosWebestnprovistosdecertificadosSSL. Laredestprotegidaporfirewallsysistemasdedeteccindeintrusos. Los accesos externos a informacin de bases de datos de la CA estn prohibidos. La CA debe controlar la ruta de acceso del usuario desde la Terminal hasta los servicios.

Pgina53de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

Los componentes de la red local deben mantenerse en un ambiente fsicamenteseguroysusconfiguracionesdebenserauditadasperidicamente. Los datos sensibles deben encriptarse cuando se intercambian sobre redes pblicasonoconfiables.

La CA debe definir los procedimientos de control del cambio para el hardware, los componentesdelaredyloscambiosdeconfiguracindelsistema. 6.8 Selladodetiempo(TimeStamping)

Los certificados, CRL y otras entradas en la base de datos de revocaciones deben contener la fecha y hora, sincronizadas utilizando los servicios UTC6. El sellado de tiempoesunacaractersticaopcional.

7.

PerfilesdeCertificados,CRLyOCSP

EstecaptuloespecificaelformatodelasCRLyOCSP,talescomoinformacindelperfil, versin y extensiones utilizadas. En el caso de la jerarqua nacional de certificadores registrados, los OCSP son un mecanismo opcional para la CA Raz y las CA de Polticas, debido a que son pocos los certificados emitidos y por tanto revocados por ellas. La verificacin del estado de los certificados para las CA emisoras constituye un factor crtico de seguridad para diversas aplicaciones, por lo tanto deben obligatoriamente implementarlosdosmtodosdevalidacin:OCSPyCRL. 7.1 PerfildelCertificado

Loscertificadosdigitalesdebencumplircon: EstndarX.509versin3. RFC3280:InternetX.509PublicKeyInfrastructureCertificateandCRLProfile. RFC 3039 Internet X.509 Public Key Infrastructure Qualified Certificates Profile. ISO31661 Cdigos para larepresentacin de los nombres de los pases y sus subdivisiones.Parte1:Cdigosdelospases.

Cmomnimoelcertificadocontiene:

Campo Versin Nmerodeserie Algoritmodefirma Emisor

Valororestricciones V3,loscertificadosdebenserX.509versin3. ValornicoemitidodentrodelmbitodecadaCAemisora. ElAlgoritmodefirmadebesercomomnimoSHA1RSA. NombredelaCAEmisora.Verseccin7.1.4.

Pgina54de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

Campo Validodesde

Valororestricciones

Este campo especifica la fecha y hora a partir de la cual el certificado es vlido. Las fechas establecidas para el periodo de validez deben ser sincronizadas con respecto al servicio detiempoUTC6. Validohasta Este campo especifica la fecha y hora a partir de la cual el certificado deja de ser vlido. Las fechas para la validez del certificadodebensersincronizadasconelserviciodetiempo UTC6. Sujeto Nombredelsuscriptor.Verseccin7.1.4. Llavepblicadelsujeto CodificadodeacuerdoconelRFC3280.Conunlargodellave mnimade2048bitsyalgoritmoRSA. Identificador de llave de la Este campo es usadopor los diversos softwarede validacin autoridad para ayudar a identificar a la autoridad certificadora registrada que emiti el certificado en la cadena de confianza.ReferenciaelcampoSubjectKeyIdentifierdela CAemisoradelcertificado. Identificador de la llave del Estecampoesusadoporsoftwaredevalidacinparaayudar sujeto a identificar un certificado que contiene una determinada llavepblica. Polticadelcertificado Describe las polticas aplicables al certificado, especifica el OID y la direccin URL donde se encuentra disponible el CP respectivo. Usodelallave Debe indicar los usos permitidos de la llave. Este campo debe ser marcado como un CAMPO CRTICO. Ver seccin 1.4.1 Usosapropiadosdelcertificado PuntodedistribucindelCRL Este campo es usado para indicar las direcciones donde puede ser encontrado el CRL correspondientes a la CA que emiti el certificado, de tal forma que se pueda validar si el certificado en cuestin ha sido revocado o no. En el caso del certificadodelaCARaz,esteatributonodebeespecificarse. Acceso a la informacin de la Este campo es usado para indicar las direcciones donde autoridad puede ser encontrado el certificado de la CA emisora. Adems, para indicar la direccin donde puede accederse el servicio de OCSP, de tal forma que se pueda validar si el certificado en cuestin ha sido revocado o no. En el caso del certificadodelaCARaz,esteatributonodebeespecificarse. Usosextendidosdelallave Referencia otros propsitos de la llave, adicionales al uso. Deacuerdoconlaseccin7.1.2.5. Restriccionesbsicas ParaelcasodelaCAemisoralaextensinPathLenConstraint debe ser igual a cero. Ver seccin 7.1.2.4 Restricciones bsicas.

7.1.1

Nmero(s)deversin

Todos los certificados emitidos dentro de la jerarqua nacional de certificadores registradosdebenserX.509versin3osuperior. 7.1.2

Pgina55de81

Extensionesdelcertificado

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

7.1.2.1

KeyUsage

El key usage es una extensin crtica que indica el uso del certificado de acuerdo con el RFC 3280 Internet X.509 Public Key Infrastructure Certificate and CRL Profile. Ver seccin1.4.1Usosapropiadosdelcertificado. 7.1.2.2 Extensindepolticadecertificados

LaextensindecertificatepoliciesdelX.509versin3eselidentificadordelobjetode esteCPdeacuerdoconlaseccin7.1.6.Laextensinnoesconsideradacomocrtica. 7.1.2.3 Nombrealternativodelsujeto

La extensin sujectAltName es opcional y solamente se puede usar para certificados de agente electrnico. En caso de ser utilizada, el uso de esta extensin debe ser NO critico y nicamente est permitido el uso del nombre DNS, en concordancia con la seccin4.1.2. 7.1.2.4 Restriccionesbsicas

Para el caso de las CAs emisoras se debe colocar el campo PathLenghtConstraint con un valor de 0, para indicar que la CA no permite ms subniveles en la ruta del certificado.Esuncampocrtico. 7.1.2.5 Usoextendidodelallave

Laextensinpermiteconfigurarlospropsitosdelallave,ynoesconsideradacrtica.A continuacinsepresentaelcuadroconlospropsitoscomunes:

OID 1.3.6.1.5.5.7.3.1 1.3.6.1.5.5.7.3.2

Descripcin Autenticacin servidor Autenticacin cliente de del

Tiposdecertificado Autenticacinagenteelectrnico Autenticacinpersonafsica Firmadigital(paranorepudio) Agenteelectrnico Firma Digital de persona fsica y agenteelectrnico Selladodetiempo Autenticacinpersonafsica

1.3.6.1.5.5.7.3.4 1.3.6.1.5.5.7.3.8 1.3.6.1.4.1.311.20.2.2

Proteccindelcorreo Selladodetiempo SmartCardLogon

7.1.2.6

PuntosdedistribucindelosCRL

La extensin CRL Distribution Points contiene las direcciones URL de la localizacin donde las partes que confan pueden obtener el CRL para verificar el estado del certificado.LaextensinNOescrtica.

Pgina56de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

7.1.2.7

IdentificadordellavedeAutoridad

El mtodo para la generacin del identificador est basado en la llave pblica de la CA emisoradelcertificado,deacuerdoalodescritoporelRFC3280InternetX.509Public KeyInfraestructuraCertificateandCRLProfile.LaextensinNOescrtica. 7.1.2.8 Identificadordelallavedelsujeto

Laextensinnoescrtica,yelmtodoparalageneracindelidentificadordellaveest basado en la llave pblica del sujeto del certificado y es calculado de acuerdo con uno de los mtodos descritos en el RFC 3280 Internet X.509 Public Key Infrastructure CertificateandCRLProfile. 7.1.3 Identificadoresdeobjetodealgoritmos

Los certificados generados dentro de la jerarqua nacional de certificadores registrados debenusarunodelossiguientesalgoritmos: 7.1.4 sha1WithRSAEncryption OID ::= rsadsi(113549)pkcs(1)pkcs1(1)5} sha256WithRSAEncryption OID::= rsadsi(113549)pkcs(1)pkcs1(1)11} Formasdelnombre {iso(1) {iso(1) memberbody(2) memberbody(2) us(840) us(840)

Los nombres dentro de la jerarqua nacional de certificadores registrados deben cumplir las regulaciones de la seccin 3.1.1. Adicionalmente, los certificados de suscriptores generalmente deben incluir el URL donde se encuentran los trminos del usodeloscertificadosylosacuerdosentrelaspartes. 7.1.5 Restriccionesdelnombre

Los nombres se escriben en maysculas y sin tildes, nicamente se debe aceptar el carctercomouncasoespecialparalosnombresdepersonasfsicasyjurdicas. El cdigo de pas es de dos caracteres y se asigna de acuerdo al estndar ISO 31661 Cdigosparalarepresentacindelosnombresdelospasesysussubdivisiones.Parte 1:Cdigosdelospases. 7.1.6 IdentificadordeobjetodePolticadeCertificado

El OID de la poltica de certificado correspondiente a cada clase de certificado es definidoacordealaseccin1.2.EldirectordelaDCFDlecorrespondelaadministracin de los Identificadores de Objetos (OID) para el Sistema Nacional de Certificacin Digital. 7.1.7 UsodelaextensinRestriccionesdePoltica(PolicyConstraints)

Sinestipulaciones.

Pgina57de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

7.1.8

SemnticaysintaxisdelosCalificadoresdePoltica(PolicyQualifiers)

El calificador de la poltica est incluido en la extensin de certificate policies y contiene una referencia al URL con el CP aplicable y a los acuerdos de partes que confan. 7.1.9 Semntica de procesamiento para la extensin crtica de Polticas de Certificado(CertificatePolicies)

Sinestipulaciones. 7.2 PerfildelaCRL

Las listas de revocacin de certificados cumplen con el RFC 3280 Internet X.509 Public Key Infrastructure Certificate and CRL Profiley contienen los elementos bsicos especificadosenelsiguientecuadro:

Campo Versin Algoritmodefirma

Valororestricciones Verseccin7.2.1 AlgoritmousadoparalafirmadelCRL,puedeser: sha1WithRSAEncryption(OID: 1.2.840.113549.1.1.5) sha256WithRSAEncryption (OID:1.2.840.113549.1.1.11) EntidadqueemiteyfirmalaCRL FechadeemisindelCRL Fecha para la cual es emitida la siguiente CRL. La frecuencia de emisin del CRL est acorde con lo requerido en la seccin4.9.7 Lista de certificados revocados, incluyendo el nmero de seriedelcertificadorevocadoylafechaderevocacin

Emisor Fechaefectiva Siguienteactualizacin

Certificadosrevocados

7.2.1

Nmero(s)deversin

La jerarqua nacional de certificadores registrados de certificacin soporta las CRLs X.509versin2. 7.2.2 CRLyextensionesdeentradasdeCRL

Sinestipulacin. 7.3 PerfildeOCSP

El servicio de validacin de certificados en lnea OCSP (Online Certificate Status Protocol) es una forma para obtener informacin reciente sobre el estado de un certificado.
Pgina58de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

El servicio OCSP que se implemente debe cumplir lo estipulado en el RFC2560 X.509 InternetPublicKeyInfrastructureOnlineCertificateStatusProtocolOCSP. 7.3.1 Nmero(s)deversin

Debe cumplir al menos con la versin 1 del RFC2560 X.509 Internet Public Key InfrastructureOnlineCertificateStatusProtocolOCSP. 7.3.2 ExtensionesdeOCSP

Sinestipulaciones.

8.

Auditoradecumplimientoyotrasevaluaciones

De acuerdo con el artculo 21 de la Ley de firma digital, Todo certificador registrado estar sujeto a los procedimientos de evaluacin y auditora que acuerde efectuar la DCFDoelECA. Adicionalmente, el artculo 24 inciso e) de ese cuerpo normativo, dispone como una funcin de la DCFD el fiscalizar el funcionamiento de los certificadores registrados, para asegurar su confiabilidad, eficiencia y el cabal cumplimiento de la normativa aplicable, imponiendo, en caso necesario, las sanciones previstas en esta Ley. La supervisinpodrserejercidapormediodelECA,enelmbitodesucompetencia. Todas las autoridades emisoras de certificados deben ajustarse al cumplimiento de las auditorasrealizadasporelECA,lascualespermitenestablecerunaconfianzarazonable enelsistemadefirmadigital. Se pueden ejecutar investigaciones y revisiones para asegurar la confianza de la jerarqua nacional de certificadores registrados, las cuales incluyen, pero no se limitan a: Revisin de seguridad y de prcticas, las cuales incluyen instalaciones, documentos de seguridad, declaracin de prcticas de certificacin, acuerdos entrelaspartes,polticadeprivacidadyvalidacindelosplanesparaasegurar elcumplimientodeestndares. El ECA es la entidad responsable de ejecutar las auditorias, de acuerdo a lo estipuladoenlaley. LaDCFDpuedesolicitaralECAauditorasespecialescuandotengasospechade un incidente o compromiso de la CA, que ponga en riesgo la integridad del sistema.

Adicionalmente,cadaCAdebeimplementarunprogramadeauditorasinternasparala verificacindesusistemadegestin.Dichoprogramadeauditorasdebeestarbasado en la INTEISO/IEC 19011 Directrices para la auditora de sistemas de gestin de la calidady/oambiental.
Pgina59de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

8.1

Frecuenciaocircunstanciasdeevaluacin

El cumplimiento de la evaluacin externa del ECA se debe ejecutar al menos una vez al ao y los costos deben ser asumidos por la entidad evaluada. El ECA puede realizar evaluacionesextraordinariasdeacuerdoconsusprocedimientos. El programa de auditoras internas establecer la frecuencia o circunstancias para su realizacin, pero en trminos generales se espera que las CA ejecuten al menos una auditoraalao. 8.2 ElpersonalqueejecutalasevaluacionesparaelECAincluye: Experto Tcnico: Persona asignada por el ECA para aportar conocimientos tcnicos especficos o pericia respecto al alcance de acreditacin a ser evaluado. Evaluador: Persona designada para ejecutar como parte de un equipo evaluador, la evaluacin de un Organismo de Evaluacin de la Conformidad OEC. Evaluador Lder: Evaluador al que le es dada la completa responsabilidad por actividadesdeevaluacinespecficas. Identidad/calidadesdelevaluador

El ECA tiene procedimientos establecidos para determinar la competencia de cada uno deestos. Para las auditoras internas la CA debe establecer los requisitos de competencia de sus auditoressegnloslineamientosdelaINTEISO/IEC19011Directricesparalaauditora desistemasdegestindelacalidady/oambiental. 8.3 Relacindelevaluadorconlaentidadevaluada

Por ley, el ECA constituye un ente independiente e imparcial, el cual ejecutar las evaluacionesacordeasusprocedimientos. Para las auditoras internas la CA debe seguir lo establecido en la INTEISO/IEC 19011 Directricesparalaauditoradesistemasdegestindelacalidady/oambiental. 8.4 Aspectoscubiertosporlaevaluacin

Lospuntosdeevaluacinparacadaentidadsondetalladosacontinuacin: Auditoriasdelaautoridadderegistro Es obligatorio que la autoridad certificadora registrada (CA emisora) supervise las autoridades de registro y notifique cualquier excepcin o irregularidad de las polticas

Pgina60de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

de la jerarqua nacional de certificadores registrados, y adems tome las medidas para remediarlas. AuditoriasdelasCAemisoras Las CA emisoras dentro de la jerarqua nacional de certificadores registrados deben cumplirconlaspolticasnacionalesyconlosestndaresdeterminados,asaber: Leyyreglamentodefirmadigital, Polticasdelarazparaloscertificadosde: Firmadigitalyautenticacindepersonafsica. Firmadigitalyautenticacindeagenteelectrnico. INTE/ISO 21188: Infraestructura de llave pblica para servicios financieros. Estructuradeprcticasypolticas. RFC 3647: Internet X.509 Public Key Infrastructure. Certificate Policy and CertificationPracticesFramework.

Autoridadesdeselladodetiempo

Leyyreglamentodefirmadigital. Polticasdelarazparaloscertificadosde: Autoridaddeselladodetiempo. RFC 3161: Internet X.509 Public Key Infrastructure. TimeStamp Protocol (TSP). RFC3628:PolicyRequirementsforTimeStampingAuthorities(TSAs). Polticadeselladodetiempodelsistemanacionaldecertificacindigital

8.5

Accionestomadascomoresultadodeunadeficiencia

La CA debe tener procedimientos para ejecutar acciones correctivas para las deficiencias identificadas tanto en las evaluaciones externas como en las auditoras internas. 8.6 Comunicacinderesultados

El ECA tiene procedimientos para la ejecucin de la acreditacin que incluyen la comunicacindelosresultadosylosprocedimientosdeapelacin.

Pgina61de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

9.
9.1 9.1.1

Otrosasuntoslegalesycomerciales
Tarifas Tarifasdeemisinorenovacindecertificados

LatarifaparalaemisinyadministracindeloscertificadosserdeterminadaporlaCA emisoradelcertificado. 9.1.2 Tarifasdeaccesoacertificados

LasCAemisorasdentrodelajerarquanacionaldecertificadoresregistradosnopueden cobrar por el mantenimiento de los repositorios de certificados a las partes que confan. 9.1.3 Tarifasdeaccesoainformacindelestadoorevocacin

LasCAemisorasdentrodelajerarquanacionaldecertificadoresregistradosnopueden cobrarporelmantenimientodelaslistas derevocacindecertificadosalaspartesque confan. Sin embargo, se pueden establecer tarifas para otros servicios especializados derevocacin,OCSPoselladodetiempo. 9.1.4 Tarifasporotrosservicios

LasCAemisorasdentrodelajerarquanacionaldecertificadoresregistradosnopueden establecertarifasparaaccederinformacindelCPosurespectivoCPS. 9.1.5 Polticadereembolso

La CA que implemente una poltica de reembolso debe documentarla como parte de suspolticasypublicarlasdentrodesusitioWeb. 9.2 9.2.1 Responsabilidadfinanciera Coberturadeseguro

Deacuerdoconlosartculos12y13delreglamentodefirmadigital,esobligatoriopara los sujetos privados, mantener una caucin rendida preferiblemente por medio de plizadefidelidad,ycuyomontoserfijadoporlaDCFD.Cuandolacaucinestsujeta a vencimiento, esta debe ser renovada al menos dos meses antes de la fecha de expiracin. 9.2.2 Otrosactivos

La CA emisora debe poseer suficientes recursos financieros para mantener sus operaciones y ejecutar sus deberes. La CA emisora debe ser razonablemente capaz de administrarelriesgoderesponsabilidadparalossuscriptoresypartesqueconfan.

Pgina62de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

9.2.3

CoberturadeSeguroogarantaparaentidadesfinales

Sinestipulaciones. 9.3 9.3.1 Confidencialidaddelainformacincomercial Alcancedelainformacinconfidencial

Lossiguientesregistrosdelsuscriptordebensermantenidosconfidenciales: 9.3.2 Registros de solicitudes de la Autoridad Certificadora, tanto aprobados como rechazados. Registrosdesolicituddecertificadosdesujeto. Registrosdelastransacciones. Registrosdepistasdeauditoras. Planesdecontingenciasyrecuperacindedesastres. Medidas de seguridad controlando las operaciones de certificados (Hardware/Software). Serviciosdeadministracindecertificadosyserviciosdeenrolamiento. Informacinnocontenidaenelalcancedeinformacinconfidencial

No se considera informacin confidencial las listas de revocacin ni la informacin del estadodeloscertificados. 9.3.3 Responsabilidadparaprotegerlainformacinconfidencial

Las CA emisoras participantes dentro de la jerarqua nacional de certificadores registrados deben asegurar a los participantes que su informacin no ser comprometida ni divulgada a terceras partes y deben cumplir con las leyes aplicables deprivacidad. 9.4 9.4.1 Privacidaddeinformacinpersonal Plandeprivacidad

Las CA emisoras dentro de la jerarqua nacional de certificadores registrados deben implementar las polticas de privacidad de informacin, de acuerdo con las leyes vigentes.Nosepuededivulgarovenderinformacindelossuscriptoresacertificadoso informacindeidentificacindestos. 9.4.2 Informacintratadacomoprivada

Cualquierinformacinacercadelossuscriptoresquenoestpblicamentedisponiblea travs del contenido del certificado emitido y servicios de CRLs debe ser tratada como informacinprivada.

Pgina63de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

9.4.3

Informacinquenoesconsideradacomoprivada

Eltratamientodelainformacinquenoesconsideradacomoprivada,estarsujetoalo que dispone la normativa nacional al efecto. nicamente se considera pblica la informacincontenidaenelcertificado. 9.4.4 Responsabilidadparaprotegerinformacinprivada

Las CA emisoras dentro de la jerarqua nacional de certificadores registrados deben asegurarquelainformacinprivadanopuedesercomprometidaodivulgadaaterceras partes. 9.4.5 Notificacinyconsentimientoparausarinformacinprivada

La informacin privada no puede ser usada sin el consentimiento de las partes. En este sentido,laCAnorequierenotificaralossuscriptoresparausarinformacinprivada. 9.4.6 Divulgacindeacuerdoconunprocesojudicialoadministrativo

Para divulgar informacin privada se requiere de una orden judicial que as lo determineysedivulgaestrictamentelainformacinsolicitadaporlosjueces. 9.4.7 Otrascircunstanciasdedivulgacindeinformacin

La informacin privada podr ser divulgada en otras circunstancias, siempre que sta resulteexpresamenteprevistaporlalegislacinaplicable. 9.5 Derechosdepropiedadintelectual

Sinestipulaciones. 9.6 9.6.1 Representacionesygarantas RepresentacionesygarantasdelaCA

LasCAdelajerarquanacionaldecertificadoresregistradosdebengarantizarque: 9.6.2 No se presentan distorsiones en la informacin contenida en los certificados o enlaemisindelmismo. No haya errores en la informacin que fue introducida por la entidad que apruebalaemisindelcertificado. LoscertificadosrenenlosrequerimientosexpuestosenestaCP. Los servicios de revocacin y el uso de los repositorios cumplen lo estipulado enesteCP. RepresentacionesygarantasdelaRA

LasAutoridadesdeRegistro(RA)debengarantizarque:

Pgina64de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

9.6.3

No se presentan distorsiones en la informacin contenida en los certificados o enlaemisindelmismo. No se presentan errores en la informacin del certificado que fue introducida porlasentidadesderegistro. Que los dispositivos y materiales requeridos cumplen con lo dispuesto en este CP. Representacionesygarantasdelsuscriptor

Elsuscriptordebegarantizarque: 9.6.4 Cadafirmadigitalcreadausandolallaveprivadacorrespondealallavepblica listadaenelcertificado. Lallaveprivadaestprotegidayquenoautorizaapersonasateneraccesoala llaveprivadadelsuscriptor. Toda la informacin suplida por el suscriptor y contenida en el certificado es verdadera. Elcertificadoesutilizadoexclusivamenteparalospropsitosautorizados. Representacionesygarantasdelaspartesqueconfan

Los acuerdos de partes que confan requieren que los actores conozcan suficiente informacinparatomarlasdecisionesdeaceptarelcertificado. 9.6.5 Representacionesygarantasdeotrosparticipantes

Sinestipulaciones. 9.7 Renunciadegarantas

Cualquier tipo de clusula relativa a la renuncia de garantas debe estar prevista en los acuerdosdesuscriptorydepartesqueconfan. 9.8 Limitacionesderesponsabilidadlegal

Las limitaciones de responsabilidad legaldeben estar previstas en formaexpresa en los acuerdosdesuscriptorydepartesqueconfan. 9.9

Indemnizaciones

La CA dentro de la jerarqua nacional de certificadores registrados debe indemnizar a lossuscriptoresporcualquiercausalegalmenteestablecida,incluyendo: Falsedadenlainformacinsuministrada. Por fallas en la proteccin del sistema de la CA, o por el uso de sistemas no confiables.

Pgina65de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

En ambos casos, se deber demostrar ante las autoridades correspondientes los daos yperjuicioscausadoporlaCA. 9.10 9.10.1 PlazoyFinalizacin Plazo

El CP empieza a ser efectivo despus de la publicacin en el repositorio y los nuevos certificados deben ser emitidos cumpliendo las polticas determinadas en la nueva versindelCP. 9.10.2 Finalizacin

LavigenciadelCPsedebemantenerhastaquetodosloscertificadosemitidosbajoesta poltica hayan finalizado o hayan sido reemplazados por otros certificados emitidos bajolanuevapoltica. 9.10.3 Efectosdelafinalizacinysupervivencia

DespusdefinalizadalavigenciadelCP,lacualpuedeserporcambiosomodificaciones enlaspolticas,estasemantendrvlidamientrasexistancertificadosactivos. 9.11 Notificacinindividualycomunicacionesconparticipantes

Se permiten las comunicaciones comerciales con los participantes, a menos de que el contratoentrelaspartesespecifiqueotrasclusulas. 9.12 9.12.1 Enmiendas Procedimientoparaenmiendas

De oficio el Comit Asesor de Polticas tendr al menos una reunin anual para evaluar los atributos del certificado, determinando la conveniencia de seguir utilizando los mismos algoritmos, longitudes de las llaves y parmetros para la generacin de los certificados. Los cambios en las polticas nacionales deben ser sometidos a consulta pblica, y una vezaprobadasdebencomunicarsealosparticipantesdentrodelajerarquanacionalde certificadoresregistrados. Las modificaciones o enmiendas de las polticas deben documentarse y mantenerse actualizadas a travs de versiones. Las enmiendas deben publicarse en el sitio Web de laCAemisora. 9.12.2 Mecanismoyperiododenotificacin

La DCFD es la responsable de realizar los comunicados a las CA emisoras para implementar las modificaciones. Al menos treinta das naturales antes de cualquier cambio mayor en las polticas, estas se deben publicar en el sitio Web y realizar una comunicacinenlosmediosescritos.

Pgina66de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

9.12.3

CircunstanciasbajolascualeslosOIDdebensercambiados

Los cambios en los OIDs corresponden a nuevas polticas que contengan otros objetos con OID adicionales. Si la estructura del certificado se mantiene entonces no es necesariocambiarlosOIDs. 9.13 Disposicionespararesolucindedisputas

De acuerdo con la ley de firma digital, le compete a la DCFD la resolucin de las disputas, como rgano administrador y supervisor del sistema de certificacin digital. LasresolucionesdictadasporlaDCFDagotanlavaadministrativa. 9.14 Leygobernante

Las CA emisoras dentro de la jerarqua nacional de certificadores registrados estn sujetas a las leyes de la Repblica de Costa Rica, en particular de la ley 8454 Ley de certificados,firmasdigitalesydocumentoselectrnicosysureglamento. 9.15 Cumplimientoconlaleyaplicable

Laspolticasdescritascumplenconlasregulacionesnacionales. 9.16 9.16.1 Disposicionesvarias Acuerdocompleto

Noaplicable. 9.16.2 Asignacin

Noaplicable. 9.16.3 Separabilidad

Eneleventualcasoqueunaclusuladelapolticaseadeclaradainconstitucionalporlos tribunales de justicia o las leyes, el resto de las clusulas de estas polticas se mantendrnvigentes. 9.16.4 Aplicacin(Honorariosdeabogadoyrenunciadederechos)

Noaplicable. 9.16.5 Fuerzamayor

Los acuerdos de suscriptores y partes que confan deben incluir clusulas de fuerza mayorparaprotegeralaCAemisora. 9.17 Otrasdisposiciones

Noaplicable.

Pgina67de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

10.
10.1

AnexoA:Definicionesyacrnimos
Definiciones
Trminos Definicin

Acuerdo de parte que confa, RPA Es un acuerdo entre la autoridad certificadora y las partes (por sus siglas en ingls Relying que confan que tpicamente establece los derechos y partyagreement) responsabilidades entre estas partes con respecto a la verificacin de las firmas digitales y otros usos del certificado. Este acuerdo no requiere la aceptacin explcita delapartequeconfa. Acuerdodesuscriptor EsunacuerdoentrelaCArazolaCAemisorayelsuscriptor queestablecelosderechosyresponsabilidadesdelaspartes con respecto a la emisin y gestin de los certificados. Este acuerdosrequierelaaceptacinexplcitadelsuscriptor. AgenteElectrnico Sistema informtico u otro medio automtico que realiza transacciones electrnicas con relevancia jurdica, en forma automtica, sin intervencin humana. Las obligaciones y responsabilidadesquesederivandesuaccionarautomtico, obliganasupropietariooresponsable. Apoderado Persona que tiene la capacidad jurdica para actuar en nombre de una empresa o institucin y que tiene la potestad legal para cumplir con las responsabilidades asignadasenesteCP. Autenticacin Verificacindelaidentidadafirmadaporelindividuo: a) en el momento de registro, el acto de evaluar las credenciales de las entidades finales (esto es, suscriptores) comoevidenciadelaidentidadafirmada; b) durante su uso, el acto de comparar electrnicamente la identidad y las credenciales presentadas contra los valores almacenados,paraprobaridentidad. Autoridad certificadora CA (por Entidad en la cual una o ms entidades confan para crear, sussiglaseningls) asignar,revocarosuspendercertificadosdellavepblica. Autoridadcertificadoraregistrada El certificador inscrito y autorizado por la Direccin de CertificadoresdeFirmaDigital. AutoridaddepolticasPA Parte o cuerpo con autoridad y responsabilidad final de (porsussiglaseningls) especificar las polticas de certificado y asegurar que las prcticas y controles de la CA, cumplen totalmente las polticas de certificado respectivas. (Ver definicin ampliada enelartculo28delReglamentodelaley8454). Autoridad de registro RA (por sus Entidad responsable de la identificacin y autenticacin de siglaseningls) sujetos de certificados, que no es la CA y por lo tanto no firmaniemitecertificados. Nota: Una RA puede ayudar en el proceso de solicitud del certificado, en el proceso de revocacin o en ambos. La RA no necesita ser un organismo separado, sino que puede ser partedelaCA.
Pgina68de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

Trminos CAemisora

Definicin

Autoridad certificadora registrada que forma parte de la jerarqua nacional de certificadores registrados, y que implementa una o varias polticas para emisin de certificadosdeusuariofinal. CAdePolticas Autoridad certificadora que forma parte de la raz nacional, utilizadaparasegmentarelriesgodeacuerdoalapolticade emisinparauntipodecertificado. CAraz Autoridad certificadora registrada que se ubica en el pice delajerarquanacionaldecertificadoresregistrados. CAsubordinadaoSubCA Autoridad certificadora registrada que est ms abajo en relacin a otra CA en la jerarqua nacional de certificadores registrados. Calificadordelapoltica Informacin dependiente de la poltica, que acompaa un identificadordepolticadecertificadoenuncertificadodela normaX.509. Certificacin Proceso de creacin de un certificado de llave pblica para unaentidad. Certificado La llave pblica y la identidad de un suscriptor, junto con otra informacin, que se torna infalsificable al ser firmada con la llave privada de la autoridad certificadora que emiti esecertificadodellavepblica. Certificadosuspendido Suspensindelavalidezdeuncertificado. Compromiso Violacin de la seguridaddeunsistema tal quepuedahaber ocurrido una divulgacin no autorizada de informacin sensible. Comitasesordepolticas(CAP) VerAutoridaddepolticas(PA). Controlmltiple Condicin bajo la cul dos o ms partes, mantienen por separado y confidencialmente, la custodia de componentes de una sola llave que, individualmente, no conlleva al conocimientodelallavecriptogrficaresultante. Datosdeautenticacin Informacin utilizada para verificar la identidad afirmada de una entidad, tal como la de un individuo, un rol definido, unacorporacinounainstitucin. Datosdeactivacin Valores de los datos, distintos a las llaves, que son requeridos para operar los mdulos criptogrficos y que necesitan estar protegidos (por ejemplo: por un PIN, una frasedepasoounallavemancomunada). Declaracin de divulgacin PKI o Documento suplementario de una CP o una CPS que divulga PDS(porsussiglaseningls) la informacin crtica sobre las polticas y prcticas de una CA/PKI. Nota: Una declaracin de divulgacin PKI es un medio para divulgar y enfatizar la informacin normalmente cubierta en detalle por la CP y/o la CPS asociados. Por lo tanto, un PDS notienelaintencindesustituirunaCPounaCPS. Declaracin de prcticas de Declaracin de las prcticas que emplea una autoridad certificacin o CPS (por sus siglas certificadora al emitir certificados y que define el equipo, eningls) polticas y procedimientos que utiliza la CA para satisfacer los requisitos especificados en las polticas del certificado quesonsoportadasporesta.

Pgina69de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

Trminos DeltaCRL

Definicin Particin del CRL dentro de una unidad de tiempo, que contiene los cambios realizados al CRL base desde su ltima actualizacin. Registrocronolgicodelasactividadesdelsistema,elcuales suficiente para permitir la reconstruccin, revisin e inspeccin de la secuencia de los ambientes y de las actividades que rodean o que conducen a cada acontecimientoenlarutadeunatransaccindesdesuinicio hastalasalidadelosresultadosfinales. Es el documento formal que segn el ordenamiento jurdico costarricense, sirve para identificar legalmente a un suscriptor. En el caso de las personas fsicas costarricenses, es la cdula de identidad, para las personas fsicas extranjeras, es el documento nico de permanencia, segn sea su estatus migratorio y para las personas jurdicas nacionales,lacduladepersonajurdica. En el caso de la cdula de persona jurdica el documento debe ser acompaado por una certificacin de personera jurdica vigente (con menos de un mes de emitida), y el documentodeidentidaddelpersonero. Organizacin cuyo nombre aparece en el campo del emisor deuncertificado. Proceso para convertir la informacin a un formato ms seguro.Enotraspalabras,losdatosqueestnenunformato claro, o sea entendible, se convierten mediante un proceso matemtico a un formato encriptado o codificado, o sea ininteligible. CA,RAoentidadfinal. Sujeto de certificado que utiliza su llave privada para otros propsitos diferentes al de firmar certificados. En este caso, puede tratarse de una persona fsica, un agente electrnico ounaautoridaddeselladodetiempo. Transformacin criptogrfica que, cuando est asociada a una unidad de datos, proporciona los servicios de autenticacin del origen, integridad de los datos y no repudiodelfirmante. Firma digital generada utilizando la llave privada correspondiente de un certificado de llave pblica, emitido porunaCAregistrada. Es un dispositivo criptogrfico basado en hardware que genera,almacenayprotegeclavescriptogrficas.

Diario de eventos o bitcora de auditora

Documento de legalmenteaceptado

identidad

Emisordelcertificado Encripcin

Entidad Entidadfinal

Firmadigital

Firmadigitalcertificada

Dispositivo criptogrfico o mdulo de seguridad de hardware (HSM por sus siglas en ingls) Identificadordeobjetou Serie nica de nmeros enteros que OID(porsussiglaseningls) inequvocamenteunobjetodeinformacin.

identifica

Pgina70de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

Trminos Infraestructura de llave pblica o PKI(porsussiglaseningls)

Definicin

Estructura de hardware, software, recurso humano, procesos y polticas que utiliza tecnologa de firma digital para facilitar una asociacin comprobable entre el componente pblico de un par de llaves asimtricas con un suscriptor especfico que posee la llave privada correspondiente. Nota La llave pblica puede ser provista para verificacin de firma digital, autenticacin del sujeto en dilogos de comunicacin, y/o para el intercambio o la negociacin de llavesdeencripcindemensajes. Lista de revocacin de Es una lista con los nmeros de serie de los certificados que certificados o CRL (por sus siglas hansidorevocados. eningls) PartequeconfaRP(porsussiglas Receptor de un certificado quien acta confiando en ese eningls) certificado, en las firmas digitales verificadas usando ese certificado,oambos. Perfildelcertificado Especificacin del formato requerido para un tipo particular de certificado (incluyendo requisitos para el uso de los camposestndaryextensiones). Perododeoperacin Perodo de vigencia de un certificado que comienza en la fecha y la hora en que es emitido por una CA (o una fecha y una hora posterior, si se indica en el certificado) y termina enlafechaylahoraenqueexpiraoserevocaelmismo. Poltica de certificado o CP (por Conjunto de reglas establecidas que indican la aplicabilidad sussiglaseningls) de un certificado a una comunidad particular y/o una clase deaplicacionesconrequisitoscomunesdeseguridad. Protocolodeconsultaenlneadel Protocoloparadeterminarelestadoactualdeuncertificado estadodelcertificadouOCSP(por en lugar de o como suplemento a la comprobacin contra sussiglaseningls) una CRL peridica, y que especifica los datos que necesitan ser intercambiados entre una aplicacin que comprueba el estado de un certificado y el servidor que proporciona ese estado. Reemisin de llaves del Proceso por mediodelcualuna entidadcon unpar dellaves certificado y un certificado recibe un nuevo certificado para una nueva llave pblica, siguiendo la generacin de un nuevo par de llaves. Renovacindelcertificado Proceso por medio del cual a una entidad le es emitida una nueva instancia de un certificado existente con un nuevo perododevalidez,conservandoelmismopardellaves. Repositorio Sistema para el almacenamiento y la distribucin de los certificados y de la informacin relacionada (esto es, almacenamiento y recuperacin de la poltica de certificado, estadodelcertificado,etc.). Roldeconfianza Puesto de trabajo que realiza funciones crticas que, si se realiza insatisfactoriamente, puede tener un impacto adverso sobre el grado de confianza proporcionado por la CA.

Pgina71de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

Trminos Rutadecertificacin

Definicin

Secuencia ordenada de certificados de entidades que, junto con la llave pblica de la entidad inicial en la ruta, pueden ser procesadas para obtener la llave pblica de la entidad finalenlaruta. Servicios de validacin del Servicios proporcionados por la CA o su agente quien realiza certificado la tarea de confirmar la validez de un certificado a una parte queconfa. Solicituddecertificado PresentacinaunaCAporunaRA(oalaCArazporunaCA), su agente o un sujeto, de una solicitud de registro validada para registrar la llave pblica del sujeto que se colocar en uncertificado. Solicitudderegistro Presentacin por parte de una entidad a una RA (o CA) para registrarlallavepblicadelaentidadenuncertificado. Solicituddeserviciodevalidacin Peticin realizada por la parte que confa a un servicio de validacinparacomprobarlavalidezdeuncertificado. Sujeto Entidad cuya llave pblica es certificada en un certificado de llavepblica. Suscriptor Entidad que se suscribe con una autoridad certificadora a nombredeunoomssujetos. Validezdelcertificado Aplicabilidad (apto para el uso previsto) y estado (activo, suspendido,revocadooexpirado)deuncertificado. Verificacindelafirma Determinacinyvalidacinde: a) que la firma digital fue creada durante el perodo operacional de un certificado vlido por la llave privada correspondiente a la llave pblica que se encuentra en el certificado; b) que el mensaje no ha sido alterado desde que su firma digitalfuecreada.

Pgina72de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

10.2

Abreviaturas:

Abreviatura CA CAP CP CPS CRL DCFD DNS ECA FIPS HSM ISO LGAP MICIT NIC OCSP OEC OID PDS PIN PKI RA RFC

Descripcin Autoridad Certificadora (CA por sus siglas en ingls CertificateAuthority). ComitAsesordePolticas. PolticasdeCertificado(CPporsussiglaseninglsCertificate Policy). Declaracin de prcticas de Certificacin (CPS por sus siglas eninglsCertifcationPracticeStatement). Listas de revocacin de Certificados (CRL por sus siglas en inglsCertificateRevocationList). DireccindeCertificadoresdeFirmaDigital. Sistemadenombresdedominio(Domainnamesystem). EnteCostarricensedeAcreditacin. Estndar para los dispositivos criptogrficos (FIPS por sus siglaseninglsFederalInformationProcessingStandard). Dispositivo criptogrfico (HSM por sus siglas en ingls HardwareSecurityModule). Organizacin Internacional para la Estandarizacin (ISO por sussiglaseninglsInternationalStandardsOrganization). LeyGeneraldeAdministracinPblica. MinisteriodeCienciayTecnologa. Centro de informacin de redes de Internet en Costa Rica (NICporsussiglaseninglsNetworkInformationCenter). Serviciosdevalidacindecertificadosenlnea(OCSPporsus siglaseninglsOnlineCertificateStatusProtocol). OrganismodeEvaluacindelaConformidad. Identificador de Objeto (OID por sus siglas en ingls Object Identifier). Declaracin de divulgacin PKI (PDS por sus siglas en ingls PKIDisclosureStatement). Nmero de identificacin Personal (PIN por sus siglas en inglsPersonalIdentificationNumber). Infraestructura de llave pblica (PKI por sus siglas en ingls PublicKeyInfraestructura). Autoridad de registro (RA por sus siglas en ingls RegistrationAuthority). Documento tcnico aplicable que an no es un estndar internacional (RFC por sus siglas en ingls Request for Comments). Registronacionaldelapropiedad. Autoridad de sellado de tiempo (TSA por sus siglas en ingls TimeStampingAuthority). TribunalSupremodeElecciones. Localizador Uniforme de Recurso que permite asignar nombres a recursos en Internet (URL por sus siglas en ingls UniformResourceLocutor).

RNP TSA TSE URL

Pgina73de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

Abreviatura UTC X.509

Descripcin Tiempo Universal Coordinado (UTC por sus siglas en ingls (UniversalTimeCoordinated). Estndar utilizado para estructuras de datos y algoritmos de validacinenlasinfraestructurasdellavepblica.

11.

AnexoB:Documentosdereferencia

Los siguientes documentos referenciados son aplicados para la confeccin de las polticasdecertificacin.

RFC 3039 Internet X.509 Public Key Infrastructure Qualified Certificates Profile. RFC3280InternetX.509PublicKeyInfrastructureCertificateandCRLProfile. RFC2560 X.509 Internet Public Key Infrastructure Online Certificate Status ProtocolOCSP. RFC 3647: Internet X.509 Public Key Infrastructure. Certificate Policy and CertificationPracticesFramework. RFC 3161: Internet X.509 Public Key Infrastructure. TimeStamp Protocol (TSP). RFC3628:PolicyRequirementsforTimeStampingAuthorities(TSAs). INTEISO21188:2007 Infraestructura de llave pblica para servicios financierosEstructuradeprcticasypolticas. INTEISO/IEC 19011 Directrices para la auditora de sistemas de gestin de la calidady/oambiental. ISO 3166 Cdigos para la representacin de los nombres de los pases y sus subdivisiones.Parte1:Cdigosdelospases. INTEISO/IEC 17021 Evaluacin de la conformidad Requisitos para los organismosquerealizanlaauditoraylacertificacindesistemasdegestin. Ley8454Leydecertificados,firmasdigitalesydocumentoselectrnicosysu reglamento.

Pgina74de81

Poltica de Certificados para la Jerarqua NacionaldeCertificadoresRegistrados

Documentosanexos: Polticadeselladodetiempodelsistemanacionaldecertificacindigital Directrices para las Autoridades de Registro. Caractersticas de cumplimiento de Autoridades de Registro (RA) de la jerarqua nacional de certificadores registradosdeCostaRica Gua para la autorizacin de una Autoridad Certificadora Emisora de la jerarquanacionaldecertificadoresregistradosdeCostaRica

Pgina75de81