0 - GuíaAcredEC PDF

Programa de Modernizacin y Descentralizacin del
Estado de la Repblica Del Per.

Oficina Nacional de Gobierno Electrnico e Informtica
Gua de Acreditacin de
Entidades de Certificacin
EC
Versin 3.3
Consultor Piloto Gua de Acreditacin de

Entidad de Certificacin
Infraestructura Oficial de Firma Rev: 03/23-02-2007
Electrnica IOFE PERU Aprobado:
1. Unidad: Unidad Co Ejecutora PCM (UCE PCM)

2. Componente: Gobierno Electrnico
3. Lnea Presupuestal (seguir cdigo POA): 21310305
4. Nombre de Actividad y/o Servicio: Consultor Piloto Gua de
Acreditacin
5. Funcionario Responsable de la Supervisin: El Especialista en
Gobierno Electrnico de la UCE-PCM y el Jefe de la Oficina Nacional de
Gobierno Electrnico e Informtica.
-2-
NDICE GENERAL
1. PREMBULO 5
OBJETIVO ................................................................................................... 5
PBLICO AL QUE VA DIRIGIDO .............................................................................. 5
2. DEFINICIONES/TERMINOLOGA 6
3. ACRNIMOS 14
4. ARQUITECTURA JERRQUICA DE CERTIFICACIN DEL ESTADO PERUANO Y

MECANISMO DE INTEROPERABILIDAD 15
5. METODOLOGA 16
6. LINEAMIENTOS DE LA POLTICA DE SEGURIDAD DE LA INFRAESTRUCTURA

OFICIAL DE FIRMA ELECTRNICA - IOFE 17
I. MARCO LEGISLATIVO/LEGAL ...................................................................... 18

II. MARCO DE P OLTICAS ............................................................................. 19
III. MARCO OPERACIONAL (RELATIVO A LAS OPERACIONES DE ECS) .......................... 19
IV. NIVELES DE SEGURIDAD DE PKI................................................................ 23
7. PROCESO DE ACREDITACIN 25
FASE I: INICIO .......................................................................................... 26

FASE II: EVALUACIN TCNICA ........................................................................ 35
FASE III: DECISIN ...................................................................................... 39
ANEXO 1: MARCO DE LA POLTICA DE EMISIN DE CERTIFICADOS

DIGITALES
1. INTRODUCCIN
2. PUBLICACIN Y RESPONSABILIDADES DEL REPOSITORIO
3. IDENTIFICACIN Y AUTENTICACIN
4. REQUISITOS OPERACIONALES DEL CICLO DE VIDA DE LOS CERTIFICADOS
5. CONTROLES DE LAS INSTALACIONES, DE LA GESTIN Y CONTROLES
OPERACIONALES
6. CONTROLES DE SEGURIDAD TCNICA
7. PERFILES DE CERTIFICADO, CRL Y OCSP
8. AUDITORAS DE COMPATIBILIDAD Y OTRAS EVALUACIONES
9. OTRAS MATERIAS DE NEGOCIO Y LEGALES
-3-
ANEXO 2: REQUISITOS DE SEGURIDAD PARA LA ACREDITACIN
ANEXO 3: REGLAMENTO DE LA LEY DE FIRMAS Y CERTIFICADOS DIGITALES
ANEXO 4: DOCUMENTO ESTNDAR DE UNA POLTICA DE SEGURIDAD
ANEXO 5: CONTROLES DE LOS ESTNDARES ISO/IEC 17799 E ISO/IEC

27001, SECCIONES 5 A 15
ANEXO 6: NORMA MARCO SOBRE PRIVACIDAD
ANEXO 7: REGLAMENTO GENERAL DE ACREDITACIN - PRESTADORES DE

SERVICIOS DE CERTIFICACIN DIGITAL
ANEXO 8: REGLAMENTO ESPECFICO DE ACREDITACIN ENTIDAD DE

CERTIFICACIN - EC
ANEXO 9: MEMORIA DESCRIPTIVA Y ORGANIGRAMA ESTRUCTURAL Y

FUNCIONAL ENTIDAD DE CERTIFICACIN (EC)
ANEXO 10: FICHA DE SOLICITUD DE ACREDITACIN COMO ENTIDAD DE

CERTIFICACIN (EC)
ANEXO 11: ESTNDARES RECONOCIDOS PARA LA ACREDITACIN
ANEXO 12: REQUERIMIENTOS DE USABILIDAD
-4-
1. PREMBULO
Objetivo
El presente documento establece los procedimientos y criterios que deben

cumplir las Entidades de Certificacin (EC) para lograr:
1. Acreditacin de la EC.
2. Certificacin cruzada con una EC acreditada conducente al permiso
para operar en la IOFE.
El Instituto Nacional de Defensa de la Competencia y de la Proteccin de la

Propiedad Intelectual INDECOPI, designado como la Autoridad
Administrativa Competente (AAC) por la legislacin vigente, establece en
el presente documento los requisitos y pautas que buscan asegurar que la
Entidad Certificadora (EC) que pretenda operar dentro de la
Infraestructura Oficial de Firma Electrnica (IOFE) cumpla determinados
niveles de seguridad e interoperabilidad a efectos de poder obtener la
correspondiente acreditacin.
En tal sentido, los criterios establecidos se basan en estndares

internacionalmente aceptados y en los principios acordados en la
denominada Declaracin de Lima, suscrita en el Sexto Meeting Ministerial
del APEC llevado a cabo en Lima del 1 al 3 de julio del ao 2005, en
virtud a la cual se aprueban los Lineamientos para la Infraestructura de
Clave Pblica (PKI) Public Key Infrastructure Guidelines; tomando
asimismo en consideracin los principios establecidos en la Norma Marco
sobre Privacidad aprobado en el Dcimo Sexto Meeting Ministerial del
APEC llevado a cabo en Santiago de Chile del 17 al 18 de noviembre del
ao 2004.
Pblico al que va dirigido
El presente documento pretende ser empleado por las Entidades de

Certificacin a travs de sus delegados: oficiales de TI (Information
Technology Officials), Gerentes de Certificacin Digital, etc; a efectos que
estos prestadores de servicios de certificacin digital puedan identificar los
requisitos necesarios que deben cumplir.
-5-
2. DEFINICIONES/TERMINOLOGA
Acreditacin: acto a travs del cual la Autoridad Administrativa Competente, previo

cumplimiento de las exigencias establecidas en la Ley, en su Reglamento y en las
disposiciones dictadas por ella, faculta a las entidades solicitantes reguladas en el
Reglamento a prestar los servicios solicitados en el marco de la Infraestructura Oficial de
Firma Electrnica.
Agente automatizado: procesos y equipos programados para atender requerimientos

predefinidos y dar una respuesta automtica sin intervencin humana, en dicha fase.
Aplicabilidad: se refiere al rango de aplicaciones en las que se puede utilizar un

certificado digital dentro de una comunidad. Este rango puede dividirse en tres partes:
(a) Aplicaciones libres, destinadas a miembros comunes de una comunidad. (b)
Aplicaciones restringidas a un grupo selecto dentro de la comunidad. (c) Aplicaciones
prohibidas para cualquier miembro de la comunidad.
Autenticacin: proceso tcnico que permite determinar la identidad de la persona que

firma electrnicamente, en funcin del mensaje firmado por ste y al cual se le vincula.
Este proceso no otorga certificacin notarial ni fe pblica.
Autoridad Administrativa Competente (AAC): organismo pblico responsable de

acreditar a las entidades de certificacin y a las entidades de registro o verificacin, de
reconocer los estndares tecnolgicos aplicables en la Infraestructura Oficial de Firma
Electrnica, de supervisar dicha Infraestructura y las otras funciones sealadas en el
Reglamento o aquellas que requiera en el transcurso de sus operaciones. Dicha
responsabilidad recae en el Instituto Nacional de Defensa de la Competencia y de la
Proteccin de la Propiedad Intelectual INDECOPI.
Certificacin cruzada: acto por el cual una certificadora acreditada reconoce la validez
de un certificado emitido por otra, sea nacional, extranjera o internacional, previa
autorizacin de la Autoridad Administrativa Competente y asume tal certificado como si
fuera de propia emisin, bajo su responsabilidad.
Certificado digital: documento electrnico generado y firmado digitalmente por una

entidad de certificacin el cual vincula un par de claves con una persona natural o jurdica
confirmando su identidad.
-6-
Clave privada: es una de las claves de un sistema de criptografa asimtrica que se

emplea para generar una firma digital sobre un mensaje de datos y es mantenida en
reserva por el titular de la firma digital.
Clave pblica: es la otra clave en un sistema de criptografa asimtrica que es usada por
el destinatario de un mensaje de datos para verificar la firma digital puesta en dicho
mensaje. La clave pblica puede ser conocida por cualquier persona.
Cdigo de verificacin (hash o resumen): secuencia de bits de longitud fija obtenida

como resultado de procesar un mensaje de datos con un algoritmo, de tal manera que:
(1) El mensaje de datos produzca siempre el mismo cdigo de verificacin cada vez que
se le aplique dicho algoritmo. (2) Sea improbable, a travs de medios tcnicos, que el
mensaje de datos pueda ser derivado o reconstruido a partir del cdigo de verificacin
producido por el algoritmo. (3) Sea improbable que, por medios tcnicos, se pueda
encontrar dos mensajes de datos que produzcan el mismo cdigo de verificacin al usar
el mismo algoritmo.
Criptografa asimtrica: rama de las matemticas aplicadas que se ocupa de

transformar mensajes en formas aparentemente ininteligibles y devolverlas a su forma
original, las cuales se basan en el empleo de funciones algortmicas para generar dos
claves diferentes pero matemticamente relacionadas entre s. Una de esas claves se
utiliza para crear una firma numrica o transformar datos en una forma aparentemente
ininteligible (clave privada) y la otra para verificar una firma numrica o devolver el
mensaje a su forma original (clave pblica).
Las claves estn matemticamente relacionadas de tal modo que cualquier de ellas
implica la existencia de la otra, pero la posibilidad de acceder a la clave privada a partir
de la pblica es tcnicamente nfima.
Declaracin de prcticas de certificacin (CPS): documento oficialmente presentado

por una entidad de certificacin a la Autoridad Administrativa Competente, mediante el
cual define sus Prcticas de Certificacin.
Declaracin de prcticas de registro o verificacin (RPS): documento oficialmente

presentado por una entidad de Registro o Verificacin a la Autoridad Administrativa
Competente, mediante el cual define sus Prcticas de Registro o Verificacin.
-7-
Depsito de certificados: sistema de almacenamiento y recuperacin de certificados,

as como de la informacin relativa a stos, disponible por medios telemticos.
Destinatario: persona designada por el iniciador para recibir un mensaje de datos o un

documento electrnico siempre y cuando no acte a ttulo de intermediario.
Documento: cualquier escrito pblico o privado, los impresos, fotocopias, facsmil o fax,
planos, cuadros, dibujos, fotografas, radiografas, cintas cinematogrficas, microformas
tanto en la modalidad de microfilm como en la modalidad de soportes informticos y
otras reproducciones de audio o video, la telemtica en general y dems objetos que
recojan, contengan o representen algn hecho o una actividad humana o su resultado.
Los documentos pueden ser archivados a travs de medios electrnicos, pticos o
cualquier otro similar.
Entidad de certificacin (EC): persona jurdica pblica o privada que presta

indistintamente servicios de produccin, emisin, gestin, cancelacin u otros servicios
inherentes a la certificacin digital. Asimismo, puede asumir las funciones de registro o
verificacin.
Entidad de certificacin extranjera: la que no se encuentra domiciliada en el pas, ni

inscrita en los Registros Pblicos del Per, conforme a la legislacin de la materia.
Entidad final: suscriptor o titular de un certificado digital.
Entidad de Registro o Verificacin (ER): persona jurdica, con excepcin de los

notarios pblicos, encargada del levantamiento de datos, comprobacin de stos respecto
a un solicitante de un mecanismo de firma electrnica o certificacin digital, la aceptacin
y autorizacin de las solicitudes para la emisin de un mecanismo de firma electrnica o
certificados digitales, as como de la aceptacin y autorizacin de las solicitudes de
cancelacin de mecanismos de firma electrnica o certificados digitales. Las personas
encargadas de ejercer la citada funcin sern supervisadas y reguladas por la
normatividad vigente.
Estndares tcnicos internacionales: requisitos de orden tcnico y de uso

internacional que deben observarse en la emisin de firmas electrnicas y en las
prcticas de certificacin.
-8-
Estndares tcnicos nacionales: estndares tcnicos aprobados mediante Normas

Tcnicas Peruanas por la Comisin de Reglamentos Tcnicos y Comerciales CRT de
INDECOPI, en su calidad de Organismo Nacional de Normalizacin.
Firmware 1: es un bloque de instrucciones de programa para propsitos especficos,

grabado en una memoria tipo ROM, que establece la lgica de ms bajo nivel que
controla los circuitos electrnicos de un dispositivo de cualquier tipo. Funcionalmente, el
firmware es la interfaz entre las rdenes externas que recibe el dispositivo y su
electrnica, ya que es el encargado de controlar a sta ltima para ejecutar
correctamente dichas rdenes externas.
Hardware: es un neologismo proveniente del ingls, definido por la RAE como el

conjunto de los componentes que integran la parte material de una computadora; sin
embargo, es utilizado en una forma ms amplia, generalmente para describir
componentes fsicos de una tecnologa.
Identificador de objeto OID: Es una cadena de nmeros, formalmente definida usando

el estndar ASN.1 (ITU-T Rec. X.660 | ISO/IEC 9834 series), que identifica de forma
nica a un objeto. En el caso de la certificacin digital, los OIDs se utilizan para identificar
a los distintos objetos en los que sta se enmarca (por ejemplo, componentes de los
Nombres Diferenciados, CPSs, etc.).
Referencia: http://www.oid-info.com/index.htm.
Infraestructura Oficial de Firma Electrnica (IOFE): sistema confiable, acreditado,

regulado y supervisado por la Autoridad Administrativa Competente, provisto de
instrumentos legales y tcnicos que permiten generar firmas electrnicas y proporcionar
diversos niveles de seguridad respecto a: 1) la integridad de los mensajes de datos y
documentos electrnicos; 2) la identidad de su autor, lo que es regulado conforme a la
Ley. El sistema incluye la generacin de firmas electrnicas, en la que participan
entidades de certificacin y entidades de registro o verificacin acreditadas ante la
Autoridad Administrativa Competente, incluyendo a la Entidad de Certificacin Nacional
para el Estado Peruano (ECERNEP), las Entidades de Certificacin para el Estado Peruano
(ECEP) y las Entidades de Registro o Verificacin para el Estado Peruano (EREP).
1
En el contexto de esta Gua de Acreditacin, el firmware es el sistema operativo que proporciona
funcionalidades bsicas como acceso seguro a la tarjeta inteligente, autenticacin y cifrado.
-9-
Integridad: caracterstica que indica que un mensaje de datos o un documento

electrnico no ha sido alterado desde la transmisin por el iniciador hasta su recepcin
por el destinatario.
Lista de Certificados Digitales Revocados (CRL o LCR): es aquella en la que se

debern incorporar todos los certificados cancelados o revocados por la entidad de
certificacin de acuerdo con lo establecido en el Reglamento de la Ley de Firmas y
Certificados Digitales.
Mecanismos de Firma Electrnica: un programa informtico configurado o un aparato

informtico configurado que sirve para aplicar los datos de creacin de firma. Dichos
mecanismos varan segn el nivel de seguridad que se les aplique.
Medios telemticos: conjunto de bienes y elementos tcnicos informticos que en unin

con las telecomunicaciones permiten la generacin, procesamiento, transmisin,
comunicacin y archivo de datos e informacin.
Mensaje de datos: es la informacin generada, enviada, recibida, archivada o

comunicada por medios electrnicos, pticos o similares, como pudieran ser, entre otros,
el intercambio electrnico de datos (EDI por sus siglas en ingls), el correo electrnico, el
telegrama, el tlex o el telefax entre otros.
Middleware2: es un software de conectividad que ofrece un conjunto de servicios que

hacen posible el funcionamiento de mltiples procesos sobre mquinas diferentes que
deben interactuar. Proporciona las libreras que implementan todas las funcionalidades
que permiten la comunicacin.
Neutralidad tecnolgica: principio de no discriminacin entre la informacin

consignada sobre papel y la informacin comunicada o archivada electrnicamente,
asimismo la no discriminacin, preferencia o restriccin de ninguna de las diversas
tcnicas o tecnologas que pueden utilizarse para firmar, generar, comunicar, almacenar
o archivar electrnicamente informacin.
2
En el contexto de esta Gua de Acreditacin, el middleware es el software que permite que una aplicacin que
se ejecuta en una PC se comunique con una tarjeta inteligente y tenga acceso a sus servicios; si fuera el caso,
la comunicacin se realiza a travs de una lectora de tarjeta inteligente.
- 10 -
Niveles de seguridad: son los diversos niveles de garanta que ofrecen las variedades
de firmas electrnicas, cuyos beneficios y riesgos deben ser evaluados por la persona,
empresa o institucin que piensa optar por una modalidad de firma electrnica para
enviar o recibir mensajes de datos o documentos electrnicos.
Nombre Diferenciado X.501: es un sistema estndar diseado para consignar en el

campo Sujeto de un certificado digital los datos identificativos del titular del certificado,
de manera que stos se asocien de forma inequvoca con ese titular dentro del conjunto
de todos los certificados en vigor que ha emitido la EC. En ingls se denomina
Distinguished Name, DN X.501.
Par de claves: en un sistema de criptografa asimtrica, comprende una clave privada y

su correspondiente clave pblica, ambas asociadas matemticamente.
Poltica: Orientaciones o directrices que rigen la actuacin de una persona o entidad en

un asunto o campo determinado
Polticas de Certificacin (CP): documento oficialmente presentado por una entidad de

certificacin a la Autoridad Administrativa Competente, mediante el cual establece, entre
otras cosas, los tipos de certificados digitales que podrn ser emitidos, cmo se deben
emitir y gestionar los certificados, y los respectivos derechos y responsabilidades de las
Entidades de Certificacin. Para el caso de una EC Raz, la CP incluye las directrices para
la gestin del Sistema de Certificacin de las ECs vinculadas.
Prctica: Modo o mtodo que particularmente observa alguien en sus operaciones.
Prcticas de Certificacin: prcticas utilizadas para aplicar las directrices de la poltica

establecida en la CP respectiva.
Prcticas especficas de Certificacin: prcticas que completan todos los aspectos

especficos para un tipo de certificado que no estn definidos en la CPS respectiva.
Prcticas de Registro o Verificacin: prcticas que establecen las actividades y

requerimientos de seguridad y privacidad correspondientes al Sistema de Registro o
Verificacin de una ER.
- 11 -
Reconocimiento de servicios de certificacin prestados en el extranjero: proceso

a travs del cual la Autoridad Administrativa Competente acredita, equipara y reconoce
oficialmente a las entidades de certificacin extranjeras.
Reglamento de la Ley de Firmas y Certificados Digitales: el Reglamento de la Ley

N 27269 - Ley de Firmas y Certificados Digitales, modificada por la Ley N 27310,
aprobado por Decreto Supremo N 004-2007-PCM del 12 de enero de 2007, y publicado
en el Diario Oficial El Peruano con fecha 14 de enero de 2007.
Servicio de intermediacin electrnica: servicio de valor aadido complementario de

la firma digital brindado dentro o fuera de la Infraestructura Oficial de Firma Electrnica
que permiten grabar, almacenar, conservar cualquier informacin remitida por medios
electrnicos que permiten certificar los datos de envo y recepcin, su fecha y hora, el no
repudio en el origen y de recepcin. El servicio de intermediacin electrnica dentro de la
Infraestructura Oficial de Firma Electrnica es brindado por persona jurdica acreditada
ante la Autoridad Administrativa Competente.
Servicio OCSP (Protocolo del estado en lnea del certificado, por sus siglas en ingls):
permite utilizar un protocolo estndar para realizar consultas en lnea al servidor de la
Autoridad de Certificacin sobre el estado de un certificado.
Software: palabra de origen nglico que hace referencia a todos los componentes
intangibles de una computadora, es decir, al conjunto de programas y procedimientos
necesarios para hacer posible la realizacin de una tarea especfica. Probablemente la
definicin ms formal de software es la atribuida a la IEEE, en su estndar 729: la suma
total de los programas de cmputo, procedimientos, reglas, documentacin y datos
asociados que forman parte de las operaciones de un sistema de cmputo3.
Suscriptor o titular de la firma digital: persona natural responsable de la generacin

y uso de la clave privada, a quien se le vincula de manera exclusiva con un mensaje de
datos firmado digitalmente utilizando su clave privada. En el caso que el titular del
certificado sea una persona natural, sobre la misma recaer la responsabilidad de
suscriptor. En el caso que una persona jurdica sea el titular de un certificado, la
responsabilidad de suscriptor recaer sobre el representante legal designado por esta
entidad. Si el certificado est designado para ser usado por un agente automatizado, la
3
IEEE Std, IEEE Software Engineering Standard: Glossary of Software Engineering Terminology. IEEE
Computer Society Press, 1993
- 12 -
titularidad del certificado y de las firmas digitales generadas a partir de dicho certificado
correspondern a la persona jurdica, la cual deber ser duea del agente automatizado.
La atribucin de responsabilidad de suscriptor, para tales efectos, corresponde al
representante legal, que en nombre de la persona jurdica solicita el certificado digital.
Tercero que confa o tercer usuario: se refiere a las personas naturales, equipos,
servicios o cualquier otro ente que acta basado en la confianza sobre la validez de un
certificado y/o verifica alguna firma digital en la que se utiliz dicho certificado.
Titular de certificado digital: persona natural o jurdica a quien se le atribuye de

manera exclusiva un certificado digital.
TSL (Lista de Estado de Servicio de Confianza, por sus siglas en ingls): lista de
confianza que incluye a los PSCs acreditados, autorizados a operar en el marco de la
IOFE. El propsito de la TSL es proveer de modo ordenado informacin del estado de los
proveedores de servicios, teniendo un rol preponderante en los servicios considerados
confiables (acreditados) y los proveedores supervisados por la Autoridad Administrativa
Competente.
Usabilidad4: es un trmino proveniente del ingls "usability", usado para denotar la

forma en la que una persona puede emplear una herramienta particular de manera
efectiva, eficiente y satisfactoria, en funcin de lograr una meta especfica. A esta idea
van asociadas la facilidad de aprendizaje (en la medida en que ste sea lo ms amplio y
profundo posible), la tasa de errores del sistema y la capacidad del sistema para ser
recordado (que no se olviden las funcionalidades ni sus procedimientos).
4
Respecto a los temas de PKI, adems del factor seguridad, la usabilidad tambin es importante para lograr que
los usuarios aprendan su uso con facilidad. Debe evitarse, por ejemplo, que una persona entregue su tarjeta
inteligente a otra por no entender, debido a su complejidad, el modo de usarla, quebrantando as la seguridad
del sistema.
- 13 -
3. ACRNIMOS
AAC Autoridad Administrativa Competente (CRT del INDECOPI)

CC Common Criteria
CEN Comit Europeo de Normalizacin
CP Polticas de Certificacin
CPS Declaracin de Prcticas de Certificacin de una EC
CRL o LCR Certificate Revocation List (Lista de Certificados Revocados)
CRT Comisin de Reglamentos Tcnicos y Comerciales
CWA CEN Workshop Agreements
EAL Evaluation Assurance Level
EC Entidad de Certificacin
ECEP Entidad de Certificacin para el Estado Peruano
ECERNEP Entidad de Certificacin Nacional para el Estado Peruano
ER Entidad de Registro o Verificacin
EREP Entidad de Registro para el Estado Peruano
ETSI European Telecommunications Standards Institute
FBCA Federal Bridge Certification Authority
FIPS Federal Information Processing Standards
IEC International Electrotechnical Commission
IETF Internet Engineering Task Force
IOFE Infraestructura Oficial de Firma Electrnica
ISO International Organization for Standardization
NTP Norma Tcnica Peruana
OCSP Online Certificate Status Protocol
(Protocolo del estado en lnea del certificado)
OID Identificador de Objeto
PKI Public Key Infrastructure (Infraestructura de Clave Pblica)
PSC Prestador de Servicios de Certificacin Digital
Prestador de Servicios de Criptogrficos
RFC Request for Comment
RPS Declaracin de Prcticas de Registro o Verificacin de una ER
SHA Secure Hash Algorithm
SVA Prestador de Servicios de Valor Aadido
(por ejemplo TimeStamping)
TSL Lista de Estado de Servicio de Confianza
VAPS Declaracin de Prcticas de Valor Aadido
- 14 -
4. ARQUITECTURA JERRQUICA DE CERTIFICACIN DEL

ESTADO PERUANO Y MECANISMO DE
INTEROPERABILIDAD
El Reglamento de la Ley N 27269 - Ley de Firmas y Certificados Digitales

(modificada por la Ley N 27310), aprobado por Decreto Supremo N 004-
2007-PCM, designa al RENIEC como ECERNEP5, ECEP y EREP6.
TSL
El mecanismo de interoperabilidad utilizado con el propsito de proveer, de
modo ordenado, la informacin del estado de los Proveedores de Servicios
de Certificacin (PSCs) acreditados y supervisados por INDECOPI y por
tanto autorizados a operar en el marco de la IOFE es la TSL, Lista de
Estado de Servicio de Confianza.
La TSL consiste en un lista blanca que contiene la relacin de los PSCs

acreditados y es elaborada siguiendo el estndar ETSI TS102 231. Dicha
lista es firmada digitalmente por INDECOPI a efectos de asegurar su
integridad y estar disponible para que las aplicaciones de software
puedan procesarla.
5
De acuerdo con el inciso a) del artculo 33 del Reglamento, la ECERNEP es la Entidad de Certificacin
Nacional para el Estado Peruano, la cual ser la encargada de emitir los certificados raz para las Entidades de
Certificacin para el Estado Peruano (ECEP), que as lo soliciten. Las EREPs son aquellas Entidades de
Registro o Verifcacin cuyas funciones estn vinculadas a una o ms ECEPs.
6
Artculo 34.- Designacin de las entidades responsables
Se designa al Registro Nacional de Identificacin y Estado Civil - RENIEC como ECERNEP, ECEP y EREP. Los
servicios a ser prestados en el cumplimiento de los roles sealados estarn a disposicin de todas las Entidades
Pblicas del Estado Peruano y de todas las personas naturales y personas jurdicas que mantengan vnculos
con el mismo, no excluyendo ninguna representacin del Estado Peruano en el territorio nacional o en el
extranjero.
Las entidades a que se refiere el artculo 33 del Reglamento sern acreditadas y reconocidas por la AAC.
- 15 -
5. METODOLOGA
La metodologa empleada para la realizacin de la presente Gua de

Acreditacin toma como referente al documento denominado USA
Government Public Key Infrastructure cross certification criteria and
methodology7, vesin 1.3 emitido en Enero del ao 2006 por la Autoridad
de Polticas de la Infraestructura Federal de PKI del gobierno
estadounidense.
Asimismo, la presente Gua de Acreditacin incluye el documento "Marco

de la Poltica de emisin de certificados digitales", el cual establece los
lineamientos para la elaboracin de la CPS. Dicho documento est basado
en los Lineamientos8 para el marco de la poltica de emisin de
certificados que pueden ser usados en comercio electrnico transnacional,
emitido por el APEC Telecommunications & Information Working Group -
APEC eSecurity Task Group9; as como los principios establecidos en la
Norma Marco sobre Privacidad aprobado en el Dcimo Sexto Meeting
Ministerial del APEC llevado a cabo en Santiago de Chile del 17 al 18 de
noviembre del ao 2004.
7
Informacin disponible en: http://www.cio.gov/fbca/documents/crosscert_method_criteria.pdf
8
Lineamientos para Infraestructura de clave pblica (PKI)
9
APEC eSecurity Task Group, Draft Guidelines for Schemes to Issue Certificates Capable of Being Used in
Cross Jurisdiction E-Commerce, Marzo 2004. Informacin disponible en:
http://www.apectel29.gov.hk/download/estg_20.doc
- 16 -
6. LINEAMIENTOS DE LA POLTICA DE SEGURIDAD DE LA

INFRAESTRUCTURA OFICIAL DE FIRMA ELECTRNICA -
IOFE
Estos lineamientos se estructuran conforme al marco legislativo peruano

que comprende: la Ley N 27269 - Ley de Firmas y Certificados Digitales,
modificada por la Ley N 27310 y su Reglamento (aprobado por Decreto
Supremo N 004-2007-PCM).
Asimismo, incorporan los lineamientos establecidos por los Principios

rectores para esquemas de autenticacin electrnica basados en PKI, que
fueran suscritos por el Per en su condicin de economa miembro del
APEC (Asia-Pacific Economic Cooperation, en espaol Cooperacin
Econmica del Asia-Pacfico) mediante la denominada Declaracin de
Lima, siendo la intencin de estas polticas facilitar la aceptacin
transnacional de Entidades de Certificacin (EC) extranjeras y el
establecimiento de acuerdos de reconocimiento transnacional para tales
efectos.
Igualmente, se toman en consideracin los principios establecidos en la

Norma Marco sobre Privacidad del APEC, los mismos que tiene como
objeto principal el reconocimiento de la importancia del desarrollo de
protecciones a la privacidad efectivas que eviten las barreras para el flujo
de informacin, aseguren el intercambio comercial continuo y el
crecimiento econmico de la regin del APEC.
Por otro lado, se tom en consideracin para efectos del presente

documento, el hecho que es de consenso general y adems es recogido
por la legislacin vigente10, que no basta un nico nivel de seguridad11
para todas las aplicaciones de PKI.
10
En el Glosario de Trminos recogido en la Octava Disposicin Final del Reglamento de la Ley de Firmas y
Certificados Digitales, se establece la definicin de Niveles de Seguridad que se transcribe a continuacin:
Octava Disposicin Final.- Glosario de Trminos ()
Niveles de seguridad: son los diversos niveles de garanta que ofrecen las variables de firma electrnica cuyos
beneficios y riesgos deben ser evaluados por la persona, empresa o institucin que piensa optar por una
modalidad de firma electrnica para enviar o recibir mensajes de datos o documentos electrnicos.
11
El nivel de seguridad asociado con un certificado de clave pblica es una asercin del grado de confianza que
un usuario puede tener razonablemente en el vnculo de la clave pblica de un suscriptor con el nombre y los
atributos consignados en el certificado.
- 17 -
Ciertas transacciones son menos crticas o implican alguna operacin de

bajo valor monetario y pueden soportar un nivel de mayor riesgo
comparado con otras que requieren de un mayor nivel de seguridad.
En tal sentido, se recogen estas diferencias y se presentan tres niveles:

Medio (M), Medio Alto (M+) y Alto (A) de seguridad, descritos en las sub-
secciones siguientes. La presente Gua de Acreditacin slo se refiere a los
dos primeros niveles de seguridad para certificados de usuario finales.
Otro factor tan importante como la seguridad es la usabilidad. Deben

incorporarse criterios que sean consecuentes con el fin social del empleo
de la tecnologa, en particular, de la certificacin digital.
Finalmente, a travs del presente documento, se establece la

interoperabilidad y equivalencia de condiciones de seguridad entre los
especificados por APEC en la Declaracin de Lima y el nivel de
seguridad medio (M) y medio alto (M+), para efectos de la
implementacin de la poltica de seguridad de la IOFE, los mismos que se
consignan a continuacin:
I. MARCO LEGISLATIVO/LEGAL
Los presentes lineamientos son conformes al marco legal estipulado

y establecen parmetros para la constitucin y operacin de ECs que
facilitan la aceptacin transnacional de los servicios que stas
proveen.
Tal marco permite y propugna la aceptacin de servicios generados
en otras jurisdicciones.
Dicho marco dota de efectos legales a los documentos y firmas
electrnicas producidos tanto por ECs nacionales como extranjeras,
y facilita la predictibilidad legal a nivel transnacional.
El referido marco no determina el empleo de ningn tipo de
tecnologa en particular. Propugna ms bien la neutralidad
tecnolgica, la adopcin permanente de los estndares del mercado,
el desarrollo de la tecnologa existente y la introduccin de nueva
tecnologa.
- 18 -
II: MARCO DE POLTICAS
Los requerimientos para el establecimiento de ECs sirven para

generar la confianza pblica y la confidencialidad y facilitan el
reconocimiento transnacional de los certificados emitidos por dichas
entidades.
Los esquemas de valoracin que utilizan estndares reconocidos y
buenas prcticas para asegurar la interoperabilidad tcnica entre los
usuarios, son ptimos para facilitar el reconocimiento transnacional
de certificados.
La implementacin de estndares ampliamente aceptados ver
anexo 11 y de gestin en esquemas PKI permiten la adecuada
implementacin de las ECs y su reconocimiento.
Las polticas y los procedimientos para el reconocimiento
transnacional de la implementacin de esquemas PKI facilitan la
predictibilidad legal y certeza respecto a certificados emitidos bajo
dichos esquemas.
III: MARCO OPERACIONAL (RELATIVO A LAS OPERACIONES DE

ECs)
General
El empleo del estndar X.509 y el RFC 3647, que actualiza la versin
correspondiente al RFC 2527, para las Polticas de Certificacin (CP)
y la Declaracin de Prcticas de Certificacin (CPS) propugna el
proceso de reconocimiento transnacional.
Registro y Validacin del Certificado

El establecimiento de procedimientos para el registro y validacin de
la identidad del usuario que toman en consideracin los
procedimientos usados para tales efectos en otras jurisdicciones,
propugnan el reconocimiento transnacional de certificados12.
Cada vez que un certificado expire (vencimiento del tiempo de
vigencia) o sea revocado, el usuario debe repetir el mismo ciclo
inicial de verificacin de su identidad ante una ER acreditada a fin de
adquirir un nuevo certificado digital.
12
Se refiere a la interoperabilidad legal y tcnica dentro de la Infraestructura de Clave Pblica (PKI) por parte de
los pases miembros del APEC en funcin al cumplimiento de disposiciones y estndares internacionales. Esto
implica el reconocimiento mutuo de documentos electrnicos firmados digitalmente.
- 19 -
Manejo de claves
No se permite el empleo de los depsitos de claves privadas de
backup (Key Escrow) para las claves de firma digital pues minan la
confianza en el uso del sistema e impiden el reconocimiento
transnacional de certificados (ver anexo 11).
Se propugna el reconocimiento transnacional de los certificados en
la medida que se incorpore el uso de buenas prcticas para la
generacin de claves, las cuales sean derivadas de estndares y
fuentes aceptadas internacionalmente.
Se genera confianza en el sistema y se propugna el reconocimiento
transnacional de los certificados cuando se adoptan las buenas
prcticas internacionales referidas a la distincin entre los
certificados asignados para procesos de cifrado (confidencialidad),
de autenticacin y de firma digital (no repudio).
Ingeniera criptogrfica
Se propugna la interoperabilidad y el reconocimiento transnacional
de los certificados mediante el uso de algoritmos criptogrficos de
reconocimiento internacional de tamao y seguridad criptogrfica
suficiente.
Se incrementa la seguridad y se propugna el reconocimiento
transnacional de certificados al asegurar que las claves criptogrficas
y los algoritmos sean lo suficientemente seguros para proteger de
ataques el resultado criptogrfico durante el tiempo de vigencia del
certificado.
Se propugna el reconocimiento transnacional de los certificados
mediante la realizacin de los procesos criptogrficos con
dispositivos certificados de conformidad con el estndar FIPS 140-
213 o la certificacin ISO/IEC 15408 (Common Criteria Nivel EAL4+)
u otro equivalente.
13
Nivel de Seguridad 3 para el caso de los mdulos criptogrficos de las ECs y Nivel de Seguridad 2 para el
caso de los mdulos criptogrficos de las ERs y los SVAs.
- 20 -
Nombres distinguidos
Se propugna la interoperabilidad mediante el uso de buenas
prcticas para la estandarizacin de los contenidos de los
componentes de Nombres diferenciados en el certificado.
En particular, el uso del estndar X.509, as como la poltica OID
para representar la aplicabilidad pretendida del certificado digital,
propugnan el reconocimiento transnacional.
Estndares de Directorio
Se promueve la confianza del usuario y se propugna el reconocimiento
transnacional de certificados mediante:
El uso de estndares internacionales y ms comnmente aceptados,

tales como el X.500 Directory Service o LDPA (Lightweight Directory
Access Protocol) v3 que facilita la interoperabilidad de las
aplicaciones, sistemas y operaciones de PKI.
El uso de buenas prcticas internacionales para la seguridad del
personal, seguridad de control y control de seguridad fsica de
conformidad con el estndar NTP-ISO/IEC 17799 (BS 7799 parte I)
o ISO/IEC 27001 (BS 7799 parte II).
El uso de por lo menos controles duales para las operaciones de los
servicios y procesos de las ECs (por ejemplo control y manejo de la
clave pblica de la EC) de conformidad con la RFC 3647.
El uso de guas para los sistemas e integridad del software y control
que cumplen con FIPS, ISO/IEC 15408 Common Criteria o
estndares reconocidos equivalentes.
El establecimiento de polticas de archivo que aseguren la retencin
del material relevante por una duracin mnima suficiente (mnimo
de 10 aos).
El uso del sellado de tiempo (estndares de Time Stamp RFC 3161 y
RFC 3628) y mecanismos de seguridad para prevenir cualquier
cambio intencional en los documentos archivados, tales como el uso
de resmenes (hashes).
El aseguramiento que el propsito general del repositorio y de la
lista de certificados revocados Certificate Revocation List (CRL)
estn disponibles cuando sean requeridos.
La garanta de la disponibilidad para la recepcin y actuacin frente
a requerimientos de revocacin de certificados cuando se produzcan.
- 21 -
Lineamientos de gestin
Se promueve la confianza del usuario y se propugna el reconocimiento
transnacional de certificados mediante:
El establecimiento de planes de continuidad de negocio y

recuperacin de desastres.
El establecimiento de provisiones o guas en la eventualidad que una
EC o ER deje de funcionar.
El empleo de auditoras/evaluaciones de conformidad realizadas por
una tercera parte independiente, como parte de una buena prctica
de seguridad para la acreditacin o licenciamiento14.
14
Documento disponible en ingls en: http://www.apectel29.gov.hk/download/estg_20.doc
- 22 -
IV: NIVELES DE SEGURIDAD DE PKI
Caractersticas Nivel de Seguridad Nivel de Seguridad Nivel de Seguridad

Medio Medio Alto Alto
Intercambio de documentos y
Trmites con el Estado en las
transacciones monetarias de
Aplicacin en el transacciones econmicas de Para informacin crtica
alto riesgo.
intercambio de monto bajo o medio y para el clasificada o de seguridad
Trmites con el Estado en las
informacin intercambio de documentos de nacional.
transacciones econmicas de
riesgo bajo o medio.
alto monto y alto riesgo.
Para informacin crtica y de Para informacin crtica no Para informacin crtica

Aplicacin en
seguridad nacional en redes clasificada o de seguridad clasificada o de seguridad
Firma Digital
cifradas. nacional en una red no cifrada. nacional en una red no cifrada.
Proteccin (autenticacin y
confidencialidad) para
Para el acceso a informacin Para el acceso a informacin
informacin que cruza los
Aplicacin en clasificada o informacin de clasificada o informacin de
lmites de la clasificacin
control de acceso acceso especial en redes acceso especial en redes no
cuando dicho lmite es an
protegidas. protegidas.
permitido por las polticas de
seguridad del sistema.
Aplicaciones de valor financiero

medio o de comercio Aplicaciones de valor financiero Aplicaciones de valor financiero
Aplicacin en el
electrnico, tales como las de riesgo y monto medio alto o de riesgo y monto alto o de
campo financiero
planillas, contratos, compra de de comercio electrnico. comercio electrnico.
vehculos, etc.
Los dispositivos criptogrficos Los dispositivos criptogrficos Los dispositivos criptogrficos

fsicos hardware y firmware fsicos hardware y firmware fsicos hardware y firmware
(sistema operativo) que (sistema operativo) que (sistema operativo) que
almacenan las claves privadas almacenan las claves privadas almacenan las claves privadas
Dispositivos
de la entidad final usuarios de la entidad final usuarios de la entidad final usuarios
criptogrficos
deben de cumplir con la deben de cumplir con la deben de cumplir con la
certificacin FIPS 140-2 Nivel certificacin FIPS 140-2 Nivel certificacin FIPS 140-2 Nivel
de Seguridad 1 (mnimo) o de Seguridad 2 (mnimo) o de Seguridad 3 (mnimo) o
Common Criteria EAL4. Common Criteria EAL4+. Common Criteria EAL4+.
La longitud de clave privada

La longitud de clave privada La longitud de clave privada
mnima debe ser de 2048 bits y
Longitud de la mnima debe ser de 1024 bits y mnima debe ser de 2048 bits y
el certificado debe ser renovado
clave privada el certificado debe ser renovado el certificado debe ser renovado
como mximo cada dos (2)
como mximo anualmente. como mximo anualmente.
aos.
Los certificados a nivel de Los certificados a nivel de

entidad final usuarios deben entidad final usuarios deben
ser generados de manera ser generados de manera Los certificados a nivel de
individual y separados para las individual y separados para las entidad final usuarios deben
siguientes funciones: cifrado y siguientes funciones: cifrado y ser generados de manera
Generacin de la
firma (no repudio) o firma (no repudio) o individual y separados para las
clave privada
autenticacin. Las funciones autenticacin. Las funciones siguientes funciones: cifrado,
de firma y autenticacin son de firma y autenticacin son firma (no repudio) y
compatibles y pueden ser compatibles y pueden ser autenticacin.
realizadas con un mismo realizadas con un mismo
certificado. certificado.
ER: ISO 9001:2000 ER: ISO 9001:2000

Certificaciones de
Sin certificacin; slo cuenta
seguridad o EC: ISO 27001 EC: ISO 27001
con la aprobacin de las
calidad del
auditoras correspondientes
Prestador de SVA: ISO 9001:2000 o SVA: ISO 9001:2000 o
para la acreditacin o
Servicios de ISO 27001 ISO 27001
implementacin de las normas
Certificacin
correspondientes.
Digital PSC SW: ISO 9001:2000 o SW: ISO 9001:2000 o
CMMI nivel 2 (mnimo) CMMI nivel 3 (mnimo)
- 23 -
Alcance
Los niveles de seguridad integran diversos aspectos relativos a la IOFE. Se
exige que todos ellos ostenten un nivel de seguridad mnimo, de modo
que en conjunto brinden una garanta sobre su uso.
Dispositivos criptogrficos: tanto el hardware (chip) como el firmware

(sistema operativo) deben de cumplir con certificaciones de seguridad:
Nivel de Seguridad Medio:
FIPS 140-2 Nivel de Seguridad 1 (mnimo) o Common Criteria EAL4
Nivel de Seguridad Medio Alto
FIPS 140-2 Nivel de Seguridad 2 (mnimo) o Common Criteria EAL4+
Nivel de Seguridad Alto
FIPS 140-2 Nivel de Seguridad 3 (mnimo) o Common Criteria EAL4+
Certificaciones de seguridad o calidad del Prestador de Servicios de

Certificacin Digital PSC: el PSC acreditado deber contar con alguna
certificacin para prestar servicios con los niveles de seguridad Medio Alto
y Alto.
La ER deber obtener certificacin de calidad ISO 9001:2000 para
todos los procesos inherentes a su funcin; por ejemplo, de aceptacin
y autorizacin de solicitudes para la emisin de certificados digitales, de
aceptacin y autorizacin de las solicitudes de cancelacin de
certificados digitales, etc.
La EC deber obtener certificacin de seguridad ISO 27001 para los
procesos inherentes a su funcin y la infraestructura tecnolgica
respectiva (segn anexos 1 y 5 de la correspondiente Gua de
Acreditacin).
El SVA deber obtener certificacin de calidad ISO 9001:2000 para los
procesos inherentes a su funcin o certificacin de seguridad ISO
27001 para dichos procesos y la infraestructura tecnolgica respectiva
(segn anexos 1 y 3 de la correspondiente Gua de Acreditacin).
La aplicacin de software (SW) deber contar con certificacin de
calidad ISO 9001:2000 para los procesos de diseo y desarrollo de
software o certificacin de calidad CMMI (nivel 2 mnimo para nivel
Medio Alto, nivel 3 mnimo para nivel Alto), relativo a transacciones
seguras de comercio y gobierno electrnico (considerando para su
desarrollo, la Gua para la Acreditacin de aplicaciones de software).
- 24 -
7. PROCEDIMIENTO DE ACREDITACIN
El procedimiento de acreditacin se encuentra definido en el Glosario de

Trminos contenido en la Primera Disposicin Final del Reglamento15 y se
rige por las disposiciones establecidas para tales efectos en la Ley y el
Reglamento.
Para efectos de la presente Gua de Acreditacin, el mencionado

procedimiento est compuesto de las fases que se resumen en la tabla
siguiente:
Evaluacin de las
Solicitud CP, CPS, la Poltica y
inicial el Plan de
Privacidad, la
Poltica de Seguridad
y los requerimientos
de Usabilidad
Resolucin
Evaluacin de
contenido Evaluacin
legal de
Interoperabilidad
FASE I: FASE II: FASE III:

INICIO EVALUACIN TCNICA DECISIN
El plazo total del procedimiento de acreditacin ser de 120 das hbiles.16
15
Octava Disposicin Final.- Glosario de trminos
Acreditacin.- Acto a travs del cual la Autoridad Administrativa Competente, previo cumplimiento de las
exigencias establecidas en la Ley, en el Reglamento y en las disposiciones dictadas por ella, faculta a las
entidades solicitantes reguladas en el Reglamento a prestar los servicios solicitados en el marco de la
Infraestructura Oficial de Firma Electrnica.
16
En la Cuarta Disposicin Complementaria al Reglamento de la Ley de Firmas y Certificados Digitales
aprobado por Resolucin de la Comisin de Reglamentos Tcnicos y Comerciales del INDECOPI N 103-
2003/CRT-INDECOPI de fecha 23.10.2003 se establece este plazo de 120 das, pero al momento de disgregar
las etapas del procedimiento de acreditacin la suma del plazo asignado a cada una de ellas, slo da 90 das.
No obstante lo antes dicho, en el TUPA del INDECOPI, aprobado por Decreto Supremo N 088-2005-PCM de
fecha 11.12.2005, se establece el plazo total de 120 das tiles. Por lo que, se tomar en cuenta el aludido plazo
de 120 das para los efectos de la presente Gua de Acreditacin; ello en estricta observancia de lo regulado en
la Dcimo cuarta Disposicin Final y Transitoria de la Ley N 27809 Ley del Sistema Concursal.
- 25 -
Fase I: Inicio
Esta fase se inicia con la presentacin de la solicitud por parte de la EC, a

efectos de obtener la correspondiente acreditacin. En esta fase se
realizar una evaluacin preliminar a fin de verificar que el solicitante
cumple con los requisitos legales establecidos para poder ingresar a la
IOFE.
Paso 1: Solicitud inicial
a) Propsito:
Presentacin de la documentacin requerida por la EC a efectos de

obtener la correspondiente acreditacin.
b) Requisitos17:
1 Solicitud dirigida al Secretario Tcnico de la Comisin de Reglamentos

Tcnicos y Comerciales (CRT) del INDECOPI, indicando requerimiento
de acreditacin como:
1.1 EC raz lo cual incluye a la ECERNEP18 y EC de nivel

subsiguiente lo cual incluye a las ECEPs;
1.2 EC de nivel subsiguiente lo cual incluye a las ECEPs;
1.3 Autorizacin para la realizacin de certificacin cruzada con
otras ECs;
1.4 Renovacin de la acreditacin;
1.5 Acreditacin por homologacin19.
Asimismo, deber especificarse en la solicitud el nivel de

seguridad al que postula: Nivel Medio (M) o Medio Alto (M+).
Sobre el particular, remitirse al punto IV de la seccin 5 de la
presente Gua de Acreditacin.
La solicitud ser realizada en el Formato denominado: Ficha de
solicitud de acreditacin como Entidad de Certificacin (EC) ver
17
La relacin de requisitos ha sido elaborada de conformidad con lo establecido para tales efectos en la Ley de
firmas y certificados digitales, su Reglamento y el vigente TUPA del INDECOPI.
18
De acuerdo con el inciso a) del artculo 33 del Reglamento, la ECERNEP es la Entidad de Certificacin
Nacional para el Estado Peruano, la cual ser la encargada de emitir los certificados raz para las Entidades de
Certificacin para el Estado Peruano (ECEP), que as lo soliciten.
19
Referirse al CAPTULO VIII HOMOLOGACIN, del Reglamento General de Acreditacin Prestadores de
Servicios de Certificacin Digital ver anexo 7.
- 26 -
anexo 10 de la presente Gua de Acreditacin.
2 Acreditacin de la existencia y vigencia de la persona jurdica

solicitante mediante los instrumentos pblicos o norma legal
respectivos.
2.1 La existencia y vigencia de la persona jurdica deber

acreditarse con el documento de vigencia respectivo expedido
por los Registros Pblicos o mediante la especificacin de la
norma legal de creacin de la persona jurdica correspondiente.
2.2 En el caso de empresas constituidas en el extranjero, se
acreditar su existencia y vigencia mediante un certificado de
vigencia de la sociedad u otro instrumento equivalente
expedido por autoridad competente en su pas de origen.
2.3 En el caso de las instituciones del Estado, debern acreditar la
existencia de una oficina, gerencia o dependencia interna a la
cual se le otorgan funciones como prestador de servicios de
certificacin digital.
3 Adjuntar los poderes en virtud a los cuales los representantes legales

se encuentran facultados para solicitar la acreditacin o autorizacin.
Sobre el particular, deber tenerse en cuenta lo siguiente:
3.1 En el caso de personas jurdicas constituidas en el pas: en el

documento que acredite la representacin, debern constar las
facultades conferidas al representante, bastando para tales
efectos la presentacin de la copia del poder respectivo.
3.2 En el caso de personas jurdicas constituidas en el extranjero:
los correspondientes poderes debern ser legalizados por un
funcionario consular peruano y de encontrarse redactados en
idioma extranjero, ser necesario que sean traducidos,
debiendo el responsable de la traduccin suscribir el
correspondiente documento.
3.3 En el caso de instituciones del Estado, deber acreditarse el
nombramiento de la persona encargada de dirigir la oficina,
gerencia o dependencia interna encargada de la certificacin
digital. Debindose asimismo acreditarse las facultades de este
funcionario.
4 Memoria descriptiva de la empresa o entidad estatal.
5 Organigrama estructural y funcional de la EC.
6 Los documentos a que se refieren los puntos 4 y 5 sern elaborados

en el formato denominado: Memoria descriptiva y organigrama
- 27 -
estructural y funcional Entidad de Certificacin (EC), ver anexo 9
de la presente Gua de Acreditacin.
7 Documentos que acrediten domicilio en el pas. Este hecho quedar

acreditado con el comprobante de inscripcin de la persona jurdica
en el Registro nico de Contribuyentes (R.U.C.), la misma que debe
figurar con la condicin de habida. En su defecto, se podr
acompaar cualquier otra documentacin que sirva para acreditar la
condicin de domiciliado en el pas, la misma que ser materia de
evaluacin por parte de la CRT.
8 Declaracin jurada de contar con infraestructura e instalaciones

necesarias, segn el nivel de seguridad solicitado. Esta declaracin
jurada se encuentra incluida en el anexo 10.
9 Polticas de Certificacin (CP) y la Declaracin de Prcticas de

Certificacin (CPS).
9.1 Las CP y CPS debern estar elaboradas en estricta observancia

de los Lineamientos para Infraestructura de clave pblica (PKI)
del APEC, segn el documento Marco de la Poltica de emisin
de certificados digitales ver anexo 1, as como de la Norma
Marco sobre Privacidad ver anexo 6 de la presente Gua de
Acreditacin.
9.2 En el caso de la ECERNEP, solamente se requiere la Poltica
General de Certificacin, donde se establecen las polticas y
estndares para el Sector Pblico, las cuales debern ser
aprobadas por el INDECOPI, de conformidad con lo establecido
en el artculo 37 inciso a) del Reglamento de la Ley de Firmas
y Certificados Digitales.
9.3 En el caso de las CP y CPS de las ECEPs que soliciten
acreditacin, deber dejarse expresa constancia del
procedimiento de informacin al usuario respecto a los
alcances y restricciones en el empleo de los certificados
digitales que emiten, de conformidad con lo establecido en el
artculo 33 inc. b) del Reglamento20.
Nota: En caso que existan prcticas especficas para cada tipo de

certificado, stas debern presentarse junto a la CPS como anexos.
20
Articulo 33.- Entidades de Certificacin y de Registro o Verificacin ()
b) Entidades de Certificacin para el Estado Peruano (ECEP) acreditadas o reconocidas por la AAC, las cuales
sern las encargadas de proporcionar, emitir o cancelar los certificados digitales: i) a los administrados personas
naturales y jurdicas, los cuales sern utilizados nicamente en los trmites, procedimientos administrativos y
similares, ii) a los funcionarios, empleados y servidores pblicos para el ejercicio de sus funciones y la
realizacin de actos de administracin interna e interinstitucional, y a las personas expresamente autorizadas por
la entidad pblica correspondiente. Cualquier otro uso que no forme parte del ejercicio de las funciones, de los
procedimientos administrativos o de administracin interna del Estado o de los procedimientos y coordinaciones
entre entidades pblicas, carecer del respaldo legal de la IOFE.
- 28 -
10 Documentacin relativa al sistema de gestin que permita el

mantenimiento de las condiciones sealadas por el artculo 9 del
Reglamento21.
Nota: En el caso que cualesquiera de los elementos que conforman el

sistema de gestin sealado sean administrados por un tercero, la
entidad solicitante, deber demostrar su vinculacin con aqul,
asegurando la viabilidad de sus servicios bajo dichas condiciones y la
disponibilidad de estos elementos para la evaluacin y supervisin
que el INDECOPI considere necesarias. En este caso, el INDECOPI
tiene derecho a precisar los trminos bajo los cuales se rigen este
tipo de servicios de certificacin digital22. Esta vinculacin podr ser
demostrada a travs de contrato, acuerdo, convenio de outsourcing o
cualquier otro documento con valor legal dentro del ordenamiento
jurdico peruano.
11 Declaracin jurada declarando cumplir con tener operativo software,

hardware y dems componentes adecuados para las prcticas de
certificacin, repositorio y las condiciones de seguridad adicionales
basadas en estndares internacionales o compatibles a los
internacionalmente vigentes que aseguren interoperabilidad ver
anexo 11. Esta declaracin jurada se encuentra incluida en el anexo
10.
Nota: En el caso que cualesquiera de los elementos sealados sean

administrados por un tercero, la entidad solicitante, deber demostrar
su vinculacin con aqul, asegurando la viabilidad de sus servicios
bajo dichas condiciones y la disponibilidad de estos elementos para la
evaluacin y supervisin que el INDECOPI considere necesarias. En
este caso, el INDECOPI tiene derecho a precisar los trminos bajo los
cuales se rigen este tipo de servicios de certificacin digital23. Esta
vinculacin podr ser demostrada a travs de contrato, acuerdo,
convenio de outsourcing o cualquier otro documento con valor legal
dentro del ordenamiento jurdico peruano.
21
Artculo 9 del Reglamento.- Elementos
La Infraestructura Oficial de Firma Electrnica IOFE- est constituida por:
a) El conjunto de firmas electrnicas, certificados digitales y documentos electrnicos generados bajo la
Infraestructura Oficial de Firma Electrnica.
b) Las prcticas de certificacin basadas en estndares internacionales o compatibles a los empleados
internacionalmente vigentes que aseguren la interoperabilidad y las funciones exigidas, conforme a lo
establecido por la AAC.
c) El software, el hardware y dems componentes adecuados para las prcticas de certificacin y las
condiciones de seguridad adicionales comprendidas en los estndares sealados en el inciso b)
d) Sistema de gestin que permita el mantenimiento de las condiciones sealadas en los literales anteriores, as
como la seguridad, confidencialidad, transparencia y no-discriminacin en la prestacin de sus servicios.
e) La AAC, as como Entidades de Certificacin, Entidades de Registro o Verificacin, Entidad de Certificacin
Nacional para el Estado Peruano (ECERNEP), Entidades de Certificacin para el Estado Peruano (ECEP) y
Entidades de Registro o Verificacin para el Estado Peruano (EREP), debidamente acreditadas o reconocidas.
22
Ello, de conformidad con lo establecido en el segundo prrafo del artculo 41 del Reglamento.
23
Ello, de conformidad con lo establecido en el segundo prrafo del artculo 41 del Reglamento.
- 29 -
12 Declaracin jurada de aceptacin de la visita comprobatoria del

INDECOPI. Esta declaracin jurada se encuentra incluida en el anexo
10.
13 Documento que acredite relacin con al menos una ER acreditada por

un periodo no menor a la acreditacin solicitada. No ser necesario
este requisito en el caso que la EC a su vez realice funciones de ER,
en cuyo supuesto deber solicitar su acreditacin de conformidad con
la Gua de Acreditacin de ER. En este caso, su acreditacin como EC
quedar condicionada a la obtencin de la correspondiente
acreditacin como ER.
14 Informe favorable cuando as lo solicite el INDECOPI, de la entidad

sectorial correspondiente, en el caso de personas jurdicas
supervisadas, respecto de la legalidad y seguridad para el desempeo
de actividades de certificacin.
15 Documentacin que acredite la contratacin de seguros o garantas

bancarias para salvaguardar las actividades de certificacin24 y 25.
Para efectos de la presentacin de la solicitud de acreditacin bastar

adjuntar Declaracin Jurada en la cual se seale que en caso se
obtenga la acreditacin por parte del INDECOPI, se proceder a la
contratacin del seguro o garanta bancaria correspondiente26.
Nota: Este requisito no ser exigible para la ECERNEP ni ECEPs27.
16 Documentacin que acredite contar con respaldo econmico. Para

tales efectos la EC solicitante deber presentar estados financieros
(balance general, estado de ganancias y prdidas y notas contables),
con una antigedad no mayor a dos meses del cierre contable del
mes anterior a la presentacin de la solicitud, acreditando solvencia
econmica.
24
El artculo 42 del Reglamento de la Ley seala que debe acompaarse a la solicitud de acreditacin
documentacin que acredite el cumplimiento de las obligaciones a que se refiere el artculo 12 del mismo
dispositivo legal. No obstante, fuera de lo referente a los seguros y garantas bancarias, la documentacin
referente al resto de obligaciones se encuentra documentada en las CP y CPS que deben acompaarse a la
solicitud de acreditacin.
25
Este requisito no ser exigible hasta julio del 2008, segn lo establecido en una de las recomendaciones del
Estudio para la implementacin de la Infraestructura Oficial de Firma Digital, que fuera aprobado por la CRT del
INDECOPI.
26
Ver anexo 1, seccin 9.2 Responsabilidad financiera.
27
Ello, de conformidad con lo establecido en los artculos 37 inciso f) y 38 inciso j).
- 30 -
Nota: Los estados financieros antes sealados debern ser

individuales (no consolidados) y encontrarse auditados.
Si una empresa presentara estados financieros con prdidas
acumuladas de ejercicios anteriores, para acreditar solvencia
econmica deber capitalizar dicha prdida o realizar nuevos aportes
en cuanta que compense el desmedro y mostrar el nuevo capital
suscrito y pagado e inscrito en Registros Pblicos.
Este requisito no ser exigible para la ECERNEP ni ECEPs28.
17 Constancia de pago de los derechos administrativos correspondientes,

los cuales ascienden al 100% de la UIT 29. Este pago ser efectuado
en las oficinas del INDECOPI.
18 Para efectos de la evaluacin tcnica de la EC, se deber tener en

cuenta lo siguiente:
18.1 En el caso de una EC proveniente de las economas miembros

del APEC Australia, Canad, China Hong Kong, Singapur y
Estados Unidos, al haber participado en el mapeo efectuado
con las provisiones del IETF RFC 3647 contenidas en los
Lineamientos para el marco de la poltica de emisin de
certificados que pueden ser usados en comercio electrnico
transnacional del APEC, bastar para la presentacin de:
Los documentos que sustenten su condicin de economa
miembro del APEC.
El documento en el que conste el mapeo30 correspondiente
entre las CP y CPS de la EC solicitante y el documento del
APEC antes sealado.
El documento que sustente su acreditacin u homologacin
en su respectivo pas.
18.2 En el caso de los pases miembros del APEC que no hubieran
participado en el mapeo a que se alude en el punto anterior, y
que no hubieran homologado en sus legislaciones los
lineamientos antes sealados, as como para el caso del resto
de pases, se deber:
Elaborar, como se estipula en el punto 9, las CP y CPS
siguiendo la estructura del documento Marco de la Poltica
de emisin de certificados digitales ver anexo 1; o
Presentar un documento donde conste un mapeo
correspondiente entre las CP y CPS de la EC solicitante y el
documento del APEC antes sealado.
28
Ello, de conformidad con lo establecido en los artculos 37 inciso f) y 38 inciso j).
29
A la fecha, dicho monto asciende a S/. 3,450.00.
30
Para facilitar las comparaciones para efectos de la acreditacin, debe realizarse un mapeo entre la
documentacin existente y el documento del APEC del anexo 1 basado en las provisiones de la RFC3647,
incluyendo para tales efectos la matriz comparativa incluida en la RFC3647.
- 31 -
18.3 En el caso que el INDECOPI hubiera celebrado un acuerdo de

reconocimiento mutuo con entidades similares a nivel mundial,
bastar que la EC solicitante acompae la homologacin o
acreditacin otorgada en su pas de origen, debiendo hacer
referencia al instrumento en el que conste el acuerdo de
reconocimiento mutuo antes sealado. Sern vlidas las
auditoras por terceras partes independientes realizadas en el
extranjero, siempre y cuando las mismas hayan sido
elaboradas conforme a los lineamientos tecnolgicos
requeridos para tales efectos por el INDECOPI y contenidos en
el documento del APEC.
18.4 En el caso de ECs de nivel subsiguiente, siempre y cuando la
gestin de los certificados sea realizada en la misma
infraestructura tecnolgica montada para la EC raz acreditada,
bastar que este hecho se encuentre detallado en su CP y CPS
y acompaar la resolucin de acreditacin de la EC raz.
Toda la documentacin que se acompae a la solicitud, deber estar en

idioma espaol. Si las fuentes originales provinieran de otro idioma, stas
debern ser traducidas de manera oficial.
- 32 -
Paso 2: Evaluacin de contenido legal
a) Propsito:
Establecer la idoneidad de la documentacin presentada por la EC

solicitante para efectos de la acreditacin.
b) Actividades:
1. La CRT realizar una verificacin preliminar de ndole formal, con

relacin a la solicitud y los recaudos acompaados a la misma.
2. En caso se haya cumplido de manera defectuosa o se haya omitido

alguno de los requisitos exigidos, otorgar un plazo mximo de
cinco (5) das tiles para la subsanacin de estas observaciones.
Transcurrido este plazo sin la subsanacin correspondiente, se
declarar la inadmisibilidad de la solicitud y la conclusin del
procedimiento.
3. Una vez presentados los documentos necesarios para levantar las

observaciones formuladas, la CRT luego de la evaluacin
correspondiente, emitir la resolucin de admisibilidad en la cual
designar al Comit Evaluador encargado de la evaluacin tcnica a
la solicitante.
En caso la EC solicitante tuviera algn tipo de observacin a los
miembros designados del Comit, deber proceder conforme a los
lineamientos establecidos para tales efectos en el Reglamento
General de Acreditacin - Prestadores de Servicios de Certificacin
Digital.
4. Luego de emitida la resolucin de admisibilidad, la CRT proceder a

realizar un anlisis legal detallado de la documentacin presentada
y pronunciarse sobre su procedencia. El plazo para esta evaluacin
es de diez (10) das tiles.
En esta etapa no se evaluar la documentacin tcnica a que se
refiere el punto 18 del paso 1, por cuanto la misma ser materia de
evolucin en la Fase II referida a la evaluacin tcnica de la EC
solicitante.
5. En caso existan observaciones a la documentacin presentada,

otorgar al solicitante un plazo de diez (10) das hbiles para el
levantamiento de las mismas.
- 33 -
6. Si se cumple con subsanar las observaciones dentro del plazo

establecido, la CRT declarar la conformidad de la documentacin
presentada y se proceder a la etapa siguiente del procedimiento
de acreditacin. En esta misma resolucin se citar al designado
representante tcnico de la EC solicitante a efectos de realizar las
coordinaciones necesarias para la etapa de evaluacin tcnica.
7. Si no se levantan las observaciones formuladas dentro del plazo

establecido, se declarar la improcedencia de la solicitud y la
conclusin del procedimiento.
8. En todos los supuestos antes sealados la CRT deber fundamentar

claramente su decisin.
9. En caso de no encontrarse conforme con la decisin emitida, el

solicitante tiene un plazo de quince (15) das tiles, para efectos de
interponer los recursos impugnatorios que considere pertinentes31.
Con la resolucin que se emita en esta segunda instancia, quedar
agotada la va administrativa.
31
Los recursos que pueden ser interpuestos son: Reconsideracin, en cuyo caso ser la propia CRT la que se
encargue de resolver el mismo o tambin se puede interponer el Recurso de Apelacin, siendo el encargado de
su resolucin la Sala de Defensa de la Competencia, del Tribunal del INDECOPI. En ambos supuestos el plazo
para la interposicin de los recursos es de 15 das tiles contados a partir de la recepcin de la resolucin de la
CRT, debindose abonar para tales efectos un monto equivalente al 10% de la UIT (S/. 350).
- 34 -
Fase II: Evaluacin Tcnica
El objetivo de esta fase es la evaluacin respecto a la capacidad

tecnolgica instalada de la EC solicitante, tomando para tales efectos en
cuenta el procedimiento establecido en su CP, CPS, en la presente Gua de
Acreditacin y sus anexos. Tambin se solicitarn y evaluarn los
documentos correspondientes a la Poltica y al Plan de Privacidad, y a la
Poltica de Seguridad, as como el cumplimiento de los requerimientos de
Usabilidad ver anexo 12.
Esta etapa ser realizada con el apoyo del Comit Evaluador designado de
la CRT.
Paso 3: Evaluacin de las CP, CPS, la Poltica y el Plan de

Privacidad, la Poltica de Seguridad y los requerimientos de
Usabilidad
a) Propsito:
Examinar los documentos CP y CPS, la Poltica y el Plan de Privacidad y la

Poltica de Seguridad de la EC, y establecer su equivalencia con los
Lineamientos para Infraestructura de clave pblica (PKI) del APEC, segn
el documento Marco de la Poltica de emisin de certificados digitales
(anexo 1), la Norma Marco sobre Privacidad (anexo 6) y las normas ISO
17799 o ISO 27001 (anexo 2), respectivamente. Asimismo, se verificar
el cumplimiento de los requerimientos de Usabilidad establecidos en el
anexo 12.
b) Actividades:
1. En esta etapa corresponde a la EC solicitante la presentacin los

documentos correspondientes a la Poltica de Privacidad, al Plan de
Privacidad y a la Poltica de Seguridad.
2. Los requerimientos correspondientes a la Poltica de Seguridad32 se

encuentran especificados en el anexo 2.
32
Ver anexos 2 y 4.
- 35 -
a. En caso que exista una certificacin de seguridad ISO 27001 o

BS 7799-II vigente33 que cumpla con los controles mnimos
exigidos en el anexo 5 del presente documento, no ser
necesaria la presentacin de esta documentacin.
b. En caso que la EC solicitante subcontrate la totalidad de la
infraestructura tecnolgica (incluyendo todos los procesos del
sistema de gestin) utilizada tambin por una EC acreditada, se
deber sustentar este hecho, pudiendo emplear la
documentacin de la Poltica de Seguridad correspondiente a la
infraestructura tecnolgica referida presentada por dicha EC
acreditada. En caso de incorporar modificaciones, stas debern
ser sustentadas mediante las auditoras correspondientes ver
anexo 2.
3. La Poltica de Privacidad y el Plan de Privacidad, mediante una

evaluacin de impactos sobre la privacidad, debe establecer el tipo
de datos personales que pueden ser recolectados y cmo sern
utilizados, protegidos, recuperados/corregidos, las circunstancias
en que estos sern revelados y las sanciones en caso que el
personal de la entidad no cumpla con el plan. Estos documentos
debe estar de conformidad con la Norma Marco sobre Privacidad
presentada en el anexo 6.
Asimismo, la EC deber:
a. Designar a un Oficial de Privacidad, quien ser el primer contacto
frente a incidentes de privacidad;
b. Publicar en su pgina WEB la Poltica de Privacidad y el Plan de
Privacidad y los datos de contacto del Responsable de Privacidad;
c. Implementar el Plan de privacidad de acuerdo a lo estipulado en
el mismo documento, sujeto a las existentes obligaciones
contractuales, licencias u otros arreglos de outsourcing;
d. Revisar y actualizar la Poltica de Privacidad y el Plan de
Privacidad al menos una vez por ao;
e. Elaborar y publicar en su pgina WEB una declaracin de
privacidad y seguridad;
4. El Comit Evaluador proceder a la evaluacin de la documentacin

a que se refiere el punto 18 del paso 1 de la presente Gua de
Acreditacin, la Poltica de Privacidad, el Plan de Privacidad, la
Poltica de Seguridad y los requerimientos de Usabilidad de la EC
conforme a los establecido en los anexos 1 y 12 de la presente Gua
de Acreditacin.
33
La vigencia de la certificacin incluye el sometimiento a las auditoras anuales obligatorias.
- 36 -
5. El Comit Evaluador, una vez realizada la correspondiente

evaluacin, emitir un informe que cuando menos contendr lo
siguiente:
a. Grado de cumplimiento de los requisitos tcnicos requeridos para

la acreditacin.
b. Reporte de las no conformidades y observaciones detectadas
durante la evaluacin.
c. Otra informacin que el Comit considere importante consignar.
6. En todos los supuestos antes sealados el Comit Evaluador deber

fundamentar claramente su informe. De considerarlo pertinente, el
Comit podr determinar dentro del plazo de evaluacin tcnica, la
necesidad de realizar una visita comprobatoria a la EC. Este hecho
debidamente fundamentado, se pondr en conocimiento de la EC
solicitante y correr por cuenta de la misma los gastos que puedan
generarse por esta evaluacin.
7. En caso de presentarse no conformidades, la EC solicitante tiene un

plazo de cinco (5) das de culminada la evaluacin tcnica para
presentar a la CRT las propuestas de acciones correctivas que
considere pertinentes y los plazos para su ejecucin, los cuales no
pueden ser superiores a un (1) mes.
8. La verificacin del levantamiento de no conformidades se realizar

mediante una evaluacin complementaria dentro de los trminos
establecidos por el Reglamento General de Acreditacin
Prestadores de Servicios de Certificacin Digital.
9. La EC solicitante podr solicitar la suspensin del procedimiento a

efectos de implementar las medidas tcnicas necesarias para
superar las observaciones formuladas. En este caso, el
procedimiento se reactivar con la presentacin de la
documentacin que acredite la subsanacin de las observaciones
formuladas y se proceder a la evaluacin complementaria a que se
refiere el Reglamento General de Acreditacin Prestadores de
Servicios de Certificacin digital.
10. La primera visita comprobatoria se realizar dentro de los seis (6)

primeros meses, luego de obtenida la acreditacin, a efectos de
verificar la implementacin de sus Prcticas de Certificacin. Las
siguientes visitas se realizarn en el momento en que INDECOPI lo
considere pertinente.
- 37 -
Paso 4: Evaluacin de interoperabilidad
a) Propsito:
Evaluar el cumplimiento de las condiciones para el establecimiento de la

interoperabilidad mediante el uso de la TSL ETSI TS102 231 como
estndar para creacin de la lista de proveedores de servicios de
certificacin confiables.
b) Actividades:
1. La evaluacin de interoperabilidad se realizar en coordinacin con

el personal de la EC solicitante designado para tales efectos. Esta
designacin ser especificada en el formato denominado: Memoria
descriptiva y organigrama estructural y funcional ver anexo 9 de
la presente Gua de Acreditacin.
2. Como parte del procedimiento de evaluacin de interoperabilidad y

en concordancia con el INDECOPI, se generar un TSL de prueba
acorde con el estndar referido.
3. Esta TSL de prueba deber ser alojada en la infraestructura de TI de

la EC a fin de que a partir de sta se pueda establecer la
interoperabilidad.
4. Los resultados de las pruebas sern evaluados por el Comit

Evaluador y formarn parte del informe que debern entregar a la
CRT.
5. La EC solicitante podr solicitar la suspensin del procedimiento a

efectos de implementar las medidas tcnicas necesarias para
superar las observaciones formuladas. En este caso, el
procedimiento se reactivar con la presentacin de la
documentacin que acredite la subsanacin de las observaciones
formuladas y se proceder a la evaluacin complementaria a que se
refiere el Reglamento General de Acreditacin Prestadores de
Servicios de Certificacin Digital.
- 38 -
Fase III: Decisin
En esta etapa corresponde al INDECOPI emitir decisin en relacin a la

procedencia o no de la acreditacin de la EC solicitante y por ende su
ingreso a la IOFE.
Paso 5: Resolucin
a) Propsito:
Decidir si se permite el ingreso a la IOFE de la EC solicitante, por medio

de la correspondiente resolucin de acreditacin.
b) Actividades:
1. El INDECOPI con los resultados obtenidos en las dos fases

anteriores, proceder a resolver en cualquiera de los sentidos
siguientes:
a. Otorgar la acreditacin a la EC solicitante.

b. Denegar la acreditacin.
c. Otorgar la acreditacin emitiendo determinadas
recomendaciones y estableciendo el plazo dentro del cual las
mismas debern ser subsanadas por la EC solicitante.
2. En todos los supuestos antes sealados la CRT deber fundamentar

claramente su decisin.
3. La acreditacin se otorgar por un periodo de tres (3) aos

renovables por periodos similares. Durante dicho periodo la EC
estar sujeta a evaluaciones tcnicas34 anuales para mantener la
vigencia de la referida acreditacin.
4. En caso se obtenga la correspondiente acreditacin, la EC deber

cumplir con remitir al INDECOPI, dentro de un plazo perentorio de
veinte (20) das, los documentos que acrediten la contratacin de
seguros o garantas bancarias correspondientes. Este plazo podr
ser ampliado por igual tiempo y por una sola vez, en caso medie
solicitud por escrito de la EC.
34
La evaluacin incluye la presentacin de los documentos correspondientes a las CP, CPS, la Poltica y el Plan
de Privacidad, la Poltica de Seguridad y los requerimientos de Usabilidad.
- 39 -
5. Una vez recibida la documentacin a que se alude en el punto

anterior, se entender que la EC acreditada ingresar a la IOFE, a
travs de su inscripcin en el Registro de Prestadores de Servicios
de Certificacin Digital que mantiene para tales efectos la CRT y se
encontrar obligada al pago del aporte por supervisin y control
anual35. Asimismo, a partir de dicha fecha, el INDECOPI proceder a
incorporar a la EC acreditada a la TSL correspondiente.
6. En caso de no encontrarse conforme con la decisin emitida, el

solicitante tiene un plazo de quince (15) das tiles posteriores a la
recepcin de la decisin, para efectos de interponer los recursos
impugnatorios que considere pertinentes36. Con la resolucin que se
emita en esta segunda instancia quedar agotada la va
administrativa.
Las especificaciones del procedimiento de acreditacin antes sealado se

encuentran detalladas en el Reglamento General de Acreditacin
Prestadores de Servicios de Certificacin Digital ver anexo 7 de la
presente Gua de Acreditacin y en particular en el Reglamento Especfico
de Acreditacin de Entidades de Certificacin (EC) ver anexo 8 de la
presente Gua de Acreditacin.
35
De conformidad con el artculo 57 del Reglamento este aporte asciende a un monto que no podr exceder el
0.8% del valor de la facturacin anual de la EC, deducido el Impuesto General a las Ventas e Impuesto de
Promocin Municipal y este requisito es slo exigible slo para las EC privadas.
36
Los recursos que pueden ser interpuestos son: Reconsideracin y Apelacin.
- 40 -

0 - GuíaAcredEC PDF

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

0 - GuíaAcredEC PDF

Diunggah oleh

Hak Cipta:

Format Tersedia

Programa de Modernizacin y Descentralizacin del

Estado de la Repblica Del Per.

Consultor Piloto Gua de Acreditacin de

1. Unidad: Unidad Co Ejecutora PCM (UCE PCM)

4. ARQUITECTURA JERRQUICA DE CERTIFICACIN DEL ESTADO PERUANO Y

6. LINEAMIENTOS DE LA POLTICA DE SEGURIDAD DE LA INFRAESTRUCTURA

I. MARCO LEGISLATIVO/LEGAL ...................................................................... 18

FASE I: INICIO .......................................................................................... 26

ANEXO 1: MARCO DE LA POLTICA DE EMISIN DE CERTIFICADOS

ANEXO 2: REQUISITOS DE SEGURIDAD PARA LA ACREDITACIN

ANEXO 3: REGLAMENTO DE LA LEY DE FIRMAS Y CERTIFICADOS DIGITALES

ANEXO 4: DOCUMENTO ESTNDAR DE UNA POLTICA DE SEGURIDAD

ANEXO 5: CONTROLES DE LOS ESTNDARES ISO/IEC 17799 E ISO/IEC

ANEXO 6: NORMA MARCO SOBRE PRIVACIDAD

ANEXO 7: REGLAMENTO GENERAL DE ACREDITACIN - PRESTADORES DE

ANEXO 8: REGLAMENTO ESPECFICO DE ACREDITACIN ENTIDAD DE

ANEXO 9: MEMORIA DESCRIPTIVA Y ORGANIGRAMA ESTRUCTURAL Y

ANEXO 10: FICHA DE SOLICITUD DE ACREDITACIN COMO ENTIDAD DE

ANEXO 11: ESTNDARES RECONOCIDOS PARA LA ACREDITACIN

ANEXO 12: REQUERIMIENTOS DE USABILIDAD

El presente documento establece los procedimientos y criterios que deben

El Instituto Nacional de Defensa de la Competencia y de la Proteccin de la

En tal sentido, los criterios establecidos se basan en estndares

Pblico al que va dirigido

El presente documento pretende ser empleado por las Entidades de

Acreditacin: acto a travs del cual la Autoridad Administrativa Competente, previo

Agente automatizado: procesos y equipos programados para atender requerimientos

Aplicabilidad: se refiere al rango de aplicaciones en las que se puede utilizar un

Autenticacin: proceso tcnico que permite determinar la identidad de la persona que

Autoridad Administrativa Competente (AAC): organismo pblico responsable de

Certificado digital: documento electrnico generado y firmado digitalmente por una

Clave privada: es una de las claves de un sistema de criptografa asimtrica que se

Cdigo de verificacin (hash o resumen): secuencia de bits de longitud fija obtenida

Criptografa asimtrica: rama de las matemticas aplicadas que se ocupa de

Declaracin de prcticas de certificacin (CPS): documento oficialmente presentado

Declaracin de prcticas de registro o verificacin (RPS): documento oficialmente

Depsito de certificados: sistema de almacenamiento y recuperacin de certificados,

Destinatario: persona designada por el iniciador para recibir un mensaje de datos o un

Entidad de certificacin (EC): persona jurdica pblica o privada que presta

Entidad de certificacin extranjera: la que no se encuentra domiciliada en el pas, ni

Entidad final: suscriptor o titular de un certificado digital.

Entidad de Registro o Verificacin (ER): persona jurdica, con excepcin de los

Estndares tcnicos internacionales: requisitos de orden tcnico y de uso

Estndares tcnicos nacionales: estndares tcnicos aprobados mediante Normas

Firmware 1: es un bloque de instrucciones de programa para propsitos especficos,

Hardware: es un neologismo proveniente del ingls, definido por la RAE como el

Identificador de objeto OID: Es una cadena de nmeros, formalmente definida usando

Infraestructura Oficial de Firma Electrnica (IOFE): sistema confiable, acreditado,

Integridad: caracterstica que indica que un mensaje de datos o un documento

Lista de Certificados Digitales Revocados (CRL o LCR): es aquella en la que se

Mecanismos de Firma Electrnica: un programa informtico configurado o un aparato

Medios telemticos: conjunto de bienes y elementos tcnicos informticos que en unin

Mensaje de datos: es la informacin generada, enviada, recibida, archivada o

Middleware2: es un software de conectividad que ofrece un conjunto de servicios que

Neutralidad tecnolgica: principio de no discriminacin entre la informacin

Nombre Diferenciado X.501: es un sistema estndar diseado para consignar en el

Par de claves: en un sistema de criptografa asimtrica, comprende una clave privada y

Poltica: Orientaciones o directrices que rigen la actuacin de una persona o entidad en

Polticas de Certificacin (CP): documento oficialmente presentado por una entidad de

Prctica: Modo o mtodo que particularmente observa alguien en sus operaciones.

Prcticas de Certificacin: prcticas utilizadas para aplicar las directrices de la poltica

Prcticas especficas de Certificacin: prcticas que completan todos los aspectos

Prcticas de Registro o Verificacin: prcticas que establecen las actividades y