ANEXO 1: MARCO DE LA POLÍTICA DE ... - indecopi.gob.pe

- A1.1 -

Rev: 03/23-02-2007

Infraestructura Oficial de Firma Electrónica IOFE PERU Aprobado:

ANEXO 1:

MARCO DE LA POLÍTICA DE REGISTRO PARA LA EMISIÓN DE CERTIFICADOS DIGITALES

- A1.2 -

Rev: 03/23-02-2007


MARCO DE LA POLÍTICA DE REGISTRO PARA LA EMISIÓN DE

CERTIFICADOS DIGITALES

Los lineamientos establecidos en el presente documento se basan en la RFC

3647 con referencias correspondientes al Decreto Supremo N° 004-2007-PCM,

Reglamento de la Ley de Firmas y Certificados Digitales del Perú. Está dirigido a

las Entidades de Registro (ER), conforme al marco legal de la Infraestructura

Oficial de Firma Electrónica (IOFE) de la República del Perú.

SECCION DEL RFC3647 PROVISIÓN DEL MODELO RFC 3647

1. INTRODUCCIÓN INDECOPI publicará la acreditación y estado de una ER a través de un directorio en su página WEB, estableciendo un Repositorio de certificados o claves públicas de las entidades acreditadas para la emisión de certificados, incluyendo los certificados cruzados o la emisión de certificados para certificación cruzada. Asimismo, publicará la lista TSL. Los certificados emitidos por ECs acreditadas bajo el esquema de la IOFE confieren un estatus o presunciones legales particulares para las transacciones en que dichos certificados son usados. La información respecto a la acreditación de un PSC y la información confiable sobre su estado, será publicada tan pronto se produzca un cambio. Los procedimientos para el acceso a versiones anteriores de estos documentos, también serán publicados.

1.1 Visión general Las ERs deben residir en el Perú y pueden acreditarse de manera independiente de las ECs. En todo caso una ER puede prestar sus servicios de verificación a más de una EC. No obstante, para que un certificado emitido por una EC bajo la intervención de la ER tenga respaldo legal, la EC respectiva deberá también estar acreditada por INDECOPI. La presente Guía de Acreditación establece las características generales que todas las ERs deben cumplir, de modo que exista uniformidad en sus métodos generales de identificación. La ER debe presentar un documento de Declaración de Prácticas de Registro o Verificación (RPS), especificando el detalle de los procedimientos de verificación de conformidad con la presente guía y sus anexos. Cuando una EC desee vincularse a una ER, deberá presentar su Declaración de Prácticas de Certificación, la cual debe estar conforme con la RPS de la ER a la que pretende vincularse, la cual no debe ser alterada sino sólo con autorización de INDECOPI. Además, las ECs deberán adjuntar un documento que especifique el detalle de los convenios entre la ER y dicha EC, así como los modelos de los contratos de los suscriptores para cada función de certificación (solicitud, modificación, suspensión y revocación según lo determine la

- A1.3 -

Rev: 03/23-02-2007


EC). Dichos contratos deberán ser establecidos en convenio con la ER, reflejando tanto las responsabilidades de la EC como las de la ER. Cuando INDECOPI apruebe estos convenios y contratos, la ER podrá emitir los certificados de dicha EC. En el caso que una entidad desee realizar las funciones de certificación y de registro o verificación deberá acreditarse como ER y EC, considerando las respectivas Guías de Acreditación y los Reglamentos correspondientes. Las RPS de las ERs deben estar publicadas electrónicamente de manera accesible para los titulares de los certificados digitales, los suscriptores y los terceros que confían.

1.2 Nombre e identificación del documento

Cada ER acreditada bajo el esquema de la IOFE debe emplear en su documentación, un número identificador asignado por INDECOPI.

1.3 Participantes La comunidad de usuarios se compone por aquellas personas naturales y jurídicas que obtienen y utilizan un certificado emitido por una EC acreditada con la intervención de una ER acreditada, dichas personas cumplen los requerimientos especificados en las siguientes secciones de este documento. Cada EC que solicite los servicios de una ER puede limitar de manera más restringida la comunidad de usuarios para sus certificados digitales. Los requerimientos para participar de esta comunidad deben estar establecidos en su respectiva CPS o en otro documento relevante. La comunidad y la aplicabilidad de los certificados pueden ser de índole pública, gubernamental, sectorial o una organización expresamente especificada en el RFC 3647. La IOFE reconocerá a aquellas estructuras foráneas cuyas CP, CPS, Política de seguridad y otros documentos relevantes requeridos para la acreditación sean compatibles con la normativa legal, los correspondientes Reglamentos y Guías de Acreditación establecidos por la AAC.

DECRETO SUPREMO N° 004-2007- PCM

Art. 9° inc. (e). Artículo 9º.- Elementos La Infraestructura Oficial de Firma Electrónica – IOFE está constituida por: e) La AAC, así como Entidades de Certificación, Entidades de Registro o Verificación, Entidad de Certificación Nacional para el Estado Peruano (ECERNEP), Entidades de Certificación para el Estado Peruano (ECEP) y Entidades de Registro o Verificación para el Estado Peruano (EREP), debidamente acreditadas o reconocidas.

1.3.1 Entidades de certificación

La ER debe publicar en su página WEB, las CP, CPS y el detalle de los convenios establecidos con cada EC con la que se encuentra vinculada. En esta sección, la ER debe especificar la dirección electrónica donde los suscriptores, titulares y terceros que confían puedan acceder a estos documentos. Para participar de la IOFE, las ECs deben presentar toda la documentación requerida en Guía de Acreditación de Entidades de

- A1.4 -

Rev: 03/23-02-2007


Certificación EC y sus anexos. Además, deberán seguir los procedimientos respectivos de acuerdo a la ley vigente y al Reglamento General de Acreditación Prestadores de Servicios de Certificación Digital –ver anexo 7– así como el Reglamento Específico de Acreditación Entidad de Certificación (EC). Para que una EC pueda ser acreditada debe estar vinculada por lo menos a una ER acreditada. La CPS de la EC debe ser compatible con la RPS de dicha ER. Además, deberá presentar el detalle de los convenios establecidos con la ER y los modelos de los contratos de los suscriptores.

1.3.2 Entidades de Registro

Para participar de la IOFE las ERs deben presentar toda la documentación requerida en la presente guía y sus anexos. Además, deberá seguir los procedimientos respectivos de acuerdo a la ley vigente y al Reglamento General de Acreditación Prestadores de Servicios de Certificación Digital –ver anexo 5– así como el Reglamento Específico de Acreditación Entidad de Registro (ER) . Las ERs deben establecer su Declaración de Prácticas de Registro o Verificación (RPS) de conformidad con la Guía de Acreditación de Entidades de Registro ER y sus anexos. En el caso de la IOFE, las ERs pueden existir de manera independiente de las ECs, siendo también posible que una única entidad asuma ambos roles en forma simultánea. Las comunicaciones entre las ERs y las ECs deben ser llevadas a cabo a través de mecanismos que permitan una comunicación ininterrumpida para garantizar la atención oportuna de las solicitudes de emisión de certificado, así como la actualización de la relación de certificados emitidos y revocados. Las comunicaciones referidas a la aprobación o revocación de certificados deben ser llevadas a cabo mediante un mecanismo que garantice el no repudio. Las ERs deben registrar toda información de los solicitantes de certificados, que es enviada a la EC para la emisión de los certificados. Asimismo, debe requerir la firma de los contratos de los suscriptores y las solicitudes de los procesos de revocación, modificación, suspensión o re-emisión (según lo establecido en la CPS de cada EC); además, debe registrar una copia de dichos documentos firmados. DECRETO SUPREMO N° 004-2007-PCM

Art. 44° Artículo 44º.- Presentación de la solicitud de acreditación de Entidades de Registro o Verificación La solicitud para la acreditación de Entidades de Registro o Verificación debe presentarse a la AAC, observando lo dispuesto en el artículo anterior y adjuntando la información y documentos siguientes: a) Pago por derecho de solicitud de acreditación por un monto

equivalente al 100% de la UIT, vigente. b) Acreditación de la existencia y vigencia de la persona jurídica

mediante los instrumentos públicos o norma legal respectiva, así como las facultades del representante. Acreditar domicilio en el país.

c) Acreditar contar con la infraestructura e instalaciones necesarias para la prestación del servicio y presentar declaración jurada de aceptación de las visitas comprobatorias de la AAC.

d) Procedimientos detallados que garanticen el cumplimiento de las funciones establecidas en el Reglamento.

e) Declaración de prácticas de registro o verificación.

- A1.5 -

Rev: 03/23-02-2007


f) Declaración jurada del cumplimiento de los requisitos señalados en los artículos 16º y 17º del Reglamento.

Art. 16° Artículo 16º.- Obligaciones Las entidades de Registro o Verificación registradas tienen las siguientes obligaciones: g) Cumplir con su Declaración de Prácticas de Registro o

Verificación. h) Determinar objetivamente y en forma directa la veracidad de la

información proporcionada por el solicitante del certificado digital, bajo responsabilidad.

i) Mantener la confidencialidad de la información relativa a los solicitantes y titulares de certificados digitales, limitando su empleo a las necesidades propias del servicio de registro o verificación, salvo orden judicial o pedido expreso del titular del certificado digital.

j) Recoger únicamente información o datos personales de relevancia para la emisión de los certificados.

k) Acreditar domicilio en el Perú. l) Mantener vigente la contratación de seguros o garantías

bancarias que permitan indemnizar al titular por los daños que puedan ocasionar como resultado de as actividades de certificación.

Estas obligaciones podrán ser precisadas por la AAC a excepción de las que señale expresamente la Ley.

1.3.3 Titulares de certificados

En esta sección, la ER debe declarar que la comunidad de usuarios definidos como titulares de certificados dependerá de lo establecido en la CP y CPS de cada EC a la que la ER se encuentra vinculada. DECRETO SUPREMO N° 004-2007-PCM

Art. 26° Artículo 26º.- Especificaciones adicionales para ser titular Para ser titular de un certificado digital adicionalmente se deberá cumplir con entregar la información solicitada por la Entidad de Registro o Verificación, de acuerdo a lo estipulado por la Entidad de Certificación correspondiente, asumiendo responsabilidad por la veracidad y exactitud de la información proporcionada, sin perjuicio de la respectiva comprobación. Para el caso de personas jurídicas, la solicitud del certificado digital del cual ésta será titular y el registro o verificación de su identidad deben ser realizados a través de un representante debidamente acreditado. Conjuntamente con la solicitud debe indicarse el representante, persona natural, al cual se le asignará la facultad de generar y usar la clave privada, señalando para tal efecto las atribuciones y los poderes de representación correspondientes. Dicha persona natural será el titular de las firmas digitales. Tratándose de certificados digitales solicitados por personas jurídicas para su utilización a través de agentes automatizados, la titularidad del certificado y de las firmas digitales generadas a partir de dicho certificado corresponderá a la persona jurídica. La atribución de responsabilidad, para tales efectos, corresponde al representante legal, que en nombre de la persona jurídica solicita el certificado digital. Art. 27° Artículo 27º.- Procedimiento para ser titular … En el caso de una persona jurídica, la solicitud deberá ser presentada por la persona facultada para tal fin, debiendo acreditar la existencia y vigencia de la persona jurídica mediante los instrumentos públicos o norma legal respectiva, así como las facultades del representante. Asimismo, deberá presentar toda la información

- A1.6 -

Rev: 03/23-02-2007


requerida por la declaración de prácticas de la entidad correspondiente. Art. 39° inc. a) Artículo 39º.- Disposiciones generales para el Sector Público a) Los trámites y procedimientos administrativos ante las entidades de la Administración Pública, la constancia documental de la transmisión a distancia por medios electrónicos entre autoridades administrativas o con sus administrados, o cualquier tramite, procedimiento o proceso por parte de los administrados o ciudadanos ante las Entidades Publicas o entre estas entidades, no excluyendo a las representaciones del Estado Peruano en el exterior, podrán efectuarse utilizando las diversas tecnologías de certificados digitales y firmas electrónicas reconocidas por la AAC, conforme a Ley.

1.3.4 Tercero que confía (tercer usuario)

En esta sección, la ER debe declarar que la comunidad de usuarios definidos como terceros que confían, dependerá de lo establecido en la CP y CPS de cada EC a la que se encuentra vinculada. Los terceros que confían son personas naturales o jurídicas que confían en el contenido y la aplicación de un certificado digital. En este sentido, los terceros que confían pueden ser todas aquellas personas naturales y jurídicas que requieren evaluar la validez de un certificado para proceder con sus respectivas transacciones electrónicas, incluyendo entidades de otras infraestructuras además de la IOFE. La comunidad de los terceros que confían de una EC puede ser más restringida que aquella establecida bajo el marco de la IOFE. Las CP y CPS de la EC deben detallar los requerimientos que se deben cumplir para participar como tercero que confía dentro del ámbito de dicha EC.

1.3.5 Otros participantes

En caso se requiera la tercerización de los servicios de registro u otros, las RPS de las ERs que pretendan ser acreditadas por la IOFE, deben detallar los acuerdos de tercerización. Los requerimientos correspondientes a las operaciones de registro deben estar conformes con lo establecido en el presente documento.

1.3.5.1 SVAs No compete a las ERs.

1.4 Uso del certificado En esta sección, la ER debe declarar que el uso de los certificados dependerá de lo establecido en la CP y CPS de cada EC a la que se encuentra vinculada, para cada tipo de certificado.

1.4.1 Uso apropiado del certificado No compete a las ERs.

1.4.2 Uso prohibido del certificado

No compete a las ERs.

1.5 Administración de políticas

- A1.7 -

Rev: 03/23-02-2007


1.5.1 Organización que administra los documentos de RPS

Los detalles de contacto respecto a ERs acreditadas por la AAC deben ser registrados en las RPS de dichas entidades, de conformidad con la RFC 3647. Se debe incluir el nombre y la dirección de envío de la organización que es responsable del diseño, registro, mantenimiento, y actualización de este RPS.

1.5.2 Persona de contacto

Los detalles de una persona de contacto perteneciente a cada ER acreditada, responsable de la administración de los servicios de los PSC, deben ser registrados en la RPS de dicha ERs de conformidad con la RFC 3647. Se debe incluir el nombre, la dirección de correo electrónico, el número de teléfono, y el número de fax de esta persona.

1.5.3 Persona que determina la conformidad de la RPS con las políticas

INDECOPI publicará los detalles de contacto, como el nombre o el título, la dirección del correo electrónico (o alias), el número de teléfono, el número de fax, y otra información generalizada de la persona, responsable de determinar la operatividad de la RPS según el esquema de la IOFE, de conformidad con el RFC 3647. Las ERs deben actualizar esta información, en cuanto sea publicada por INDECOPI.

1.5.4 Procedimiento de aprobación de RPS

INDECOPI aprobará la RPS de una ER mediante los procedimientos establecidos en la presente guía y en sus correspondientes anexos. Asimismo, se reserva el derecho de revisar cualquier otra documentación que fuera relevante. En el caso que dicha documentación incluyera algún tipo de información comercial confidencial, o de seguridad, sólo se deberá proveer aquella información que sea requerida para demostrar la compatibilidad con los requerimientos que deben ser cumplidos para ingresar a la IOFE. INDECOPI realizará visitas comprobatorias a la ER, cada vez que lo considere pertinente, después de pasados los primeros tres (3) meses de funcionamiento de dicha entidad.

1.6 Definiciones y acrónimos

La RPS y otra documentación de las ERs acreditadas, deben listar la definición de los términos y acrónimos utilizados. La sección 2 del RFC 3647 provee varias definiciones. No obstante, de no encontrarse incluidos en el RFC 3647, estos lineamientos sugieren añadir las siguientes secciones a la RPS: 10 Bibliografía 11 Acrónimos y abreviaciones 12 Glosario

2. PUBLICACION Y REGISTRO

2.1 Repositorios No compete a las ERs.

2.2 Publicación de la información sobre certificación

La ER debe publicar en su página WEB toda la documentación pertinente como su RPS y otra documentación relevante que se encuentre vigente. Asimismo, debe establecer procedimientos para acceder a las versiones anteriores de estos documentos. Además, deberá publicar los documentos que detallen los convenios entre la ER y dichas ECs.

- A1.8 -

Rev: 03/23-02-2007


La ER debe asegurar que los datos relativos a los titulares del certificado y suscriptores que fueren obtenidos al momento del empleo del servicio, hayan sido recolectados y se encuentren protegidos de conformidad con los requerimientos de INDECOPI, la RPS y la Norma Marco sobre Privacidad (anexo 6). La recolección de datos debe ser hecha con el previo consentimiento de las partes, debiendo ser empleados únicamente para las necesidades propias del servicio de certificación.

2.3 Tiempo o frecuencia de la publicación

Las modificaciones relativas a la RPS u otra documentación de las ERs, deben ser publicadas tan pronto como razonablemente sea posible, debiendo tener cuidado de cumplir con los requisitos que fueren necesarios para la aprobación de dichas modificaciones. Toda modificación relativa a las RPS de las ERs debe ser aprobada por INDECOPI antes de su publicación.

2.4 Controles de acceso a los registros

El acceso a los registros debe ser restringido únicamente para el uso de los titulares y suscriptores legítimos, así como a los trabajadores competentes dentro de la ER, teniendo en cuenta los temas de privacidad que pudieran existir en los contratos de los suscriptores o titulares y en conformidad con la Norma Marco sobre Privacidad (Anexo 6). La ER debe emplear sistemas fiables para el registro, de modo tal que:

• Únicamente personas autorizadas tengan acceso a lectura y modificaciones.

• Pueda comprobarse la autenticidad de la información. DECRETO SUPREMO N° 004-2007-PCM

Art. 16° inc. c) Artículo 16º.- Obligaciones c) Mantener la confidencialidad de la información relativa a los solicitantes y titulares de certificados digitales, limitando su empleo a las necesidades propias del servicio de registro o verificación, salvo orden judicial o pedido expreso del titular del certificado digital.

3. IDENTIFICACIÓN Y AUTENTICACIÓN

En las siguientes sub-secciones, la ER debe describir, en su RPS, los procedimientos y criterios para autenticar la identidad y/o otros atributos de un solicitante de certificado. La ER debe asegurar la verificación presencial de la identidad del solicitante de un nuevo certificado. Además, debe describir también los procedimientos para autenticar las partes que solicitan revocación, re-emisión, suspensión o modificación de certificados (la habilitación de los últimos tres procesos mencionados dependerá de lo establecido por la EC en su respectiva CPS). En el caso del proceso de solicitud de revocación de un certificado, se requerirá la presencia física del solicitante para todos los casos en los que dicho solicitante es una persona distinta al suscriptor del certificado (titulares, terceros o representantes legalmente autorizados). Los suscriptores podrán también presentarse en la ER para realizar sus solicitudes, pero dicha acción no será obligatoria a menos que la EC no establezca en su CPS otros mecanismos de solicitud (por ejemplo, a través de mecanismos telemáticos). Adicionalmente se deben especificar las prácticas de denominación de certificados de conformidad con el RFC 3647.

- A1.9 -

Rev: 03/23-02-2007


En los casos que los certificados sean emitidos para ser usados por agentes automatizados, el proceso de validación para la vinculación entre el certificado y el agente deberá ser también claramente establecido en la RPS de la ER. La EC correspondiente debe establecer el procedimiento para la prueba de posesión de la clave privada y su almacenamiento en módulos acreditados según el Common Criteria, FIPS 140-2 o equivalente, con la declaración del número de serie del módulo, factura o auditoría respectiva, por ejemplo. DECRETO SUPREMO N° 004-2007-PCM

Art. 43° Artículo 43º.- Acreditación de Entidades de Registro o Verificación Las entidades que soliciten su acreditación y registro ante la AAC, como Entidades de Registro o Verificación, incluyendo las EREP, deben contar con procedimientos para la prestación de sus servicios, los mismos que tendrán que asegurar la verificación presencial de la identidad del solicitante de un nuevo certificado digital.

3.1 Nombre No compete a las ERs.

3.1.1 Tipos de nombres No compete a las ERs.

3.1.2 Necesidad que los nombres tengan un significado


3.1.3 Anonimato o seudónimo de los suscriptores


3.1.4 Reglas para interpretar las diferentes modalidades de nombres


3.1.5 Singularidad de los nombres


3.1.6 Reconocimiento, autenticación y rol de las marcas registradas

Se prohíbe a los solicitantes de certificados de personas jurídicas que incluyan nombres en las solicitudes que puedan suponer infracción de derechos de terceros. En el caso de personas jurídicas, no se podrá volver a asignar un nombre de titular que ya haya sido asignado a un titular diferente. No le corresponde a la ER determinar si un solicitante de certificados le asiste algún tipo de derecho sobre el nombre que aparece en una solicitud de certificado. Asimismo, no le corresponde resolver ninguna disputa concerniente a la propiedad de nombres de personas naturales o jurídicas, nombres de dominio, marcas o nombres comerciales. Sin embargo, la ER debe cerciorarse mediante la validación de la documentación e información requerida del solicitante del certificado

- A1.10 -

Rev: 03/23-02-2007


que tanto el nombre del titular como del suscriptor correspondan a los solicitantes. La ER tiene el derecho de rechazar una solicitud de certificado a causa de conflicto de nombres.

3.2 Validación inicial de la identidad

3.2.1 Método para probar la posesión de la clave privada

Si una EC establece en su CPS o CP que el par de claves sea generado en las instalaciones de la ER, ésta debe demostrar la posesión de la clave privada, en virtud del procedimiento fiable de emisión, de entrega y de aceptación del dispositivo seguro, del correspondiente certificado y el par de claves almacenados en su interior, conforme a lo estipulado en la CPS de la EC.

3.2.2 Autenticación de la identidad de una persona jurídica

El proceso de comprobación de la identidad de la persona jurídica cuyos datos se incluyen en un certificado tiene como objetivo garantizar que el suscriptor y el titular sean las mismas personas identificadas en la solicitud de emisión de un certificado, y que la información que se incluya en el certificado sea verdadera y exacta. Para ello, la ER debe requerir al solicitante del certificado, presentarse personalmente, llevando la documentación establecida en su RPS. El personal asignado por la ER, deberá validar la identidad del solicitante, para ello la ER debe establecer los procedimientos de validación considerando los requerimientos sustentatorios establecidos por INDECOPI:

El Representante Legal o una persona asignada por él deberá acreditar la existencia de la persona jurídica y su vigencia mediante los instrumentos públicos o norma legal respectiva, así como sus facultades como representante. Para ello, es preciso presentar un documento público o escritura que acredite dicha representación. La existencia y vigencia de la persona jurídica deberá acreditarse con el documento de vigencia respectivo expedido por los Registros Públicos o mediante la especificación de la norma legal de creación de la persona jurídica correspondiente. En el caso de empresas constituidas en el extranjero, se acreditará su existencia y vigencia mediante un certificado de vigencia de la sociedad u otro instrumento equivalente expedido por la autoridad competente en su país de origen. El Representante Legal de la persona jurídica o una persona asignada por él, deberá firmar un contrato, que en adelante llamaremos “contrato del titular”. A través de dicho contrato, el titular deberá declarar tener conocimiento de los términos y condiciones aplicables a los certificados. La celebración de dicho contrato deberá realizarse antes de la emisión de los certificados. Si fuera el caso, los responsables de realizar las solicitudes de certificados, en representación de la persona jurídica, deben enviar las solicitudes a través de medios no repudiables, según lo establecido en su RPS. Los aspirantes a suscriptores deben presentarse a la ER. El proceso de verificación de sus identidades debe cumplir los requerimientos establecidos en la presente Guía respecto de la autenticación de personas naturales.

- A1.11 -

Rev: 03/23-02-2007


Tratándose de certificados digitales solicitados por personas jurídicas para su utilización a través de agentes automatizados, se deberá acreditar la existencia de la persona jurídica y la identidad de la persona responsable sobre dicho agente automatizado. La titularidad de certificados y de las firmas digitales generadas a partir de dicho certificado corresponderá a la persona jurídica. La atribución de responsabilidad, para tales efectos, corresponde al representante legal, que en nombre de la persona jurídica solicita el certificado digital.

Las ECs y ERs pueden ser titulares de certificados digitales, y deben ser tratados como personas jurídicas.

La información proporcionada por los solicitantes deberá ser validada por la ER a través de un mecanismo de consulta confiable, como es el caso de las bases de datos nacionales o registros públicos. En caso contrario, la ER no podrá continuar el proceso de registro del solicitante. La EC debe referenciar en sus CPS los procedimientos de autenticación de la identidad de una persona jurídica, descritos en la RPS de la ER. DECRETO SUPREMO N° 004-2007-PCM

Art. 25° inc. b) Artículo 25º.- Requisitos Para la obtención de un certificado digital, el solicitante deberá acreditar lo siguiente: b) Tratándose de personas jurídicas, acreditar la existencia de la misma y su vigencia mediante los instrumentos públicos o norma legal respectiva. Art. 26° Artículo 26º.- Especificaciones adicionales para ser titular Para ser titular de un certificado digital adicionalmente se deberá cumplir con entregar la información solicitada por la Entidad de Registro o Verificación, de acuerdo a lo estipulado por la Entidad de Certificación correspondiente, asumiendo responsabilidad por la veracidad y exactitud de la información proporcionada, sin perjuicio de la respectiva comprobación. Para el caso de personas jurídicas, la solicitud del certificado digital del cual ésta será titular y el registro o verificación de su identidad deben ser realizados a través de un representante debidamente acreditado. Conjuntamente con la solicitud debe indicarse el representante, persona natural, al cual se le asignará la facultad de generar y usar la clave privada, señalando para tal efecto las atribuciones y los poderes de representación correspondientes. Dicha persona natural será el titular de las firmas digitales. Tratándose de certificados digitales solicitados por personas jurídicas para su utilización a través de agentes automatizados, la titularidad del certificado y de las firmas digitales generadas a partir de dicho certificado corresponderá a la persona jurídica. La atribución de responsabilidad, para tales efectos, corresponde al representante legal, que en nombre de la persona jurídica solicita el certificado digital. Art. 27° Artículo 27º.- Procedimiento para ser titular … En el caso de una persona jurídica, la solicitud deberá ser presentada por la persona facultada para tal fin, debiendo acreditar la existencia y vigencia de la persona jurídica mediante los instrumentos públicos o norma legal respectiva, así como las facultades del representante. Asimismo, deberá presentar toda la información requerida por la declaración de prácticas de la entidad correspondiente.

- A1.12 -

Rev: 03/23-02-2007


Art. 39° inc. a) Artículo 39º.- Disposiciones generales para el Sector Público a) Los trámites y procedimientos administrativos ante las entidades de la Administración Pública, la constancia documental de la transmisión a distancia por medios electrónicos entre autoridades administrativas o con sus administrados, o cualquier tramite, procedimiento o proceso por parte de los administrados o ciudadanos ante las Entidades Públicas o entre estas entidades, no excluyendo a las representaciones del Estado Peruano en el exterior, podrán efectuarse utilizando las diversas tecnologías de certificados digitales y firmas electrónicas reconocidas por la AAC, conforme a Ley.

3.2.3 Autenticación de identidad individual

El proceso de comprobación de la identidad de la persona natural cuyos datos se incluyen en un certificado tiene como objetivo garantizar que el titular sea la misma persona identificada en la solicitud de emisión de un certificado, y que la información que se incluya en el certificado sea verdadera y exacta. Para ello, la ER debe requerir al solicitante del certificado, presentarse personalmente, llevando la documentación establecida en su RPS. El personal asignado por la ER, deberá validar la identidad del solicitante, para ello la ER debe establecer los procedimientos de validación los requerimientos sustentatorios establecidos por INDECOPI:

• La ER debe verificar la identidad del solicitante mediante la verificación del original de un documento oficial de identidad, el mismo que deberá estar en vigor en la fecha de realización del proceso de registro. No se admitirán fotocopias u otro tipo de documento.

• La información proporcionada por los solicitantes deberá ser

validada por la ER a través de un mecanismo de consulta confiable, como es el caso de las bases de datos nacionales o registros públicos. En caso contrario, la ER no podrá continuar el proceso de registro del solicitante. En el caso de ciudadanos peruanos, para el nivel de seguridad Medio se puede emplear la base de datos del RENIEC, y para el nivel de seguridad Medio Alto, el sistema de identificación biométrica AFIS del RENIEC.

La EC debe hacer referencia en sus CPS los procedimientos de autenticación de la identidad de una persona individual, descritos en la RPS de la ER. DECRETO SUPREMO N° 004-2007-PCM

Art. 25° Artículo 25º.- Requisitos Para la obtención de un certificado digital, el solicitante deberá acreditar lo siguiente: a) Tratándose de personas naturales, tener plena capacidad de ejercicio de sus derechos civiles. b) Tratándose de personas jurídicas, acreditar la existencia de la misma y su vigencia mediante los instrumentos públicos o norma legal respectiva. Art. 26° Artículo 26º.- Especificaciones adicionales para ser titular Para ser titular de un certificado digital adicionalmente se deberá cumplir con entregar la información solicitada por la Entidad de Registro o Verificación, de acuerdo a lo estipulado por la Entidad de Certificación correspondiente, asumiendo responsabilidad por la

- A1.13 -

Rev: 03/23-02-2007


veracidad y exactitud de la información proporcionada, sin perjuicio de la respectiva comprobación. En el caso de personas naturales, la solicitud del certificado digital y el registro o verificación de su identidad son estrictamente personales. La persona natural solicitante se constituirá en titular del certificado digital y de las firmas digitales que se generen... Art. 27° Artículo 27º.- Procedimiento para ser titular Para el caso de personas naturales, éstas deberán presentar una solicitud a la Entidad de Registro o Verificación, según sea el caso; dicha solicitud deberá estar acompañada de toda la información requerida por la declaración de prácticas de certificación o en los procedimientos declarados. La Entidad de Registro o Verificación deberá comprobar la identidad del solicitante a través de su documento oficial de identidad. La Entidad de Certificación cumplirá lo dispuesto en el presente artículo, en el supuesto previsto en el segundo párrafo del artículo 12º de la Ley…

3.2.4 Información no verificada del suscriptor

De manera general, no debe incluirse en los certificados, información no verificada del suscriptor o el titular según sea el caso. La IOFE permite una excepción en el caso de la dirección de correo electrónico del suscriptor. En este caso se debe comprobar que la dirección de correo electrónico que se incluye en el certificado es la que efectivamente desea incluir el solicitante. Pero, la ER no tiene que comprobar ni la existencia de la cuenta de correo electrónico indicada por el solicitante, ni que la dirección sea única, ni su correcto funcionamiento, todo es responsabilidad del solicitante.

3.2.5 Validación de la autoridad

Cuando un individuo solicite la emisión de un certificado que sirva para acreditar el ejercicio de un cargo en concreto, la ER debe requerir a este solicitante las pruebas que evidencien su cargo, incluyendo la facultad de actuar en nombre de la persona jurídica en la que ocupa dicho cargo. Además, debe presentar el original de su propio documento oficial de identidad. DECRETO SUPREMO N° 004-2007-PCM

Art. 26° Artículo 26º.- Especificaciones adicionales para ser titular …Para el caso de personas jurídicas, la solicitud del certificado digital del cual ésta será titular y el registro o verificación de su identidad deben ser realizados a través de un representante debidamente acreditado. Conjuntamente con la solicitud debe indicarse el representante, persona natural, al cual se le asignará la facultad de generar y usar la clave privada, señalando para tal efecto las atribuciones y los poderes de representación correspondientes. Dicha persona natural será el titular de las firmas digitales. Tratándose de certificados digitales solicitados por personas jurídicas para su utilización a través de agentes automatizados, la titularidad del certificado y de las firmas digitales generadas a partir de dicho certificado corresponderá a la persona jurídica. La atribución de responsabilidad, para tales efectos, corresponde al representante legal, que en nombre de la persona jurídica solicita el certificado digital.

3.2.6 Criterios para la interoperabilidad

INDECOPI reconocerá a todas aquellas ECs pertenecientes a infraestructuras ajenas a la IOFE, cuyas CP y CPS estén conformes con las Guías y Reglamentos de Acreditación emitidos por ella, de modo que puedan interoperar con la infraestructura de la IOFE (reconocimiento cruzado). En esta sección, la ER debe especificar la dirección electrónica de la página WEB donde se encuentran publicadas las CP, CPS y los

- A1.14 -

Rev: 03/23-02-2007


convenios establecidos con cada EC perteneciente a una infraestructura ajena a la IOFE y reconocida por esta, siempre y cuando exista una vinculación vigente con la ER. DECRETO SUPREMO N° 004-2007-PCM

Art. 12° inc. l) Artículo 12º.- Obligaciones Las Entidades de Certificación registradas tienen las siguientes obligaciones: l) Informar y solicitar autorización a la AAC para realizar acuerdos de certificación cruzada que proyecte celebrar, así como los términos bajo los cuales dichos acuerdos se suscribirían. Art. 53° Artículo 53º.- Acuerdos de reconocimiento mutuo La AAC podrá suscribir acuerdos de reconocimiento mutuo con entidades similares, a fin de reconocer la validez de los certificados digitales otorgados en el extranjero y extender la interoperabilidad de la IOFE. Los acuerdos de reconocimiento mutuo deben garantizar en forma equivalente las funciones exigidas por la Ley y su Reglamento. Art. 54° Artículo 54º.- Reconocimiento La AAC podrá reconocer los certificados digitales emitidos por Entidades Extranjeras, de acuerdo con las prácticas y políticas que para tal efecto apruebe, las que deben velar por el cumplimiento de las obligaciones y responsabilidades establecidas en el Reglamento u otra norma posterior. Asimismo, podrá autorizar la operación de aquellas Entidades de Certificación nacionales que utilicen los servicios de Entidades de Certificación extranjera, de verificarse tal supuesto, las entidades nacionales asumirán las responsabilidades del caso. Para tal efecto, la entidad extranjera deberá comunicar a la AAC el nombre de aquellas entidades de certificación que autorizarán las solicitudes de emisión de certificados digitales así como la gestión de los mismos. La AAC emitirá las normas que aseguren el cumplimiento de lo establecido en el presente artículo; así como los mecanismos adecuados de información a los agentes del mercado. Art. 55° Artículo 55º.- Certificación cruzada Las Entidades de Certificación acreditadas pueden realizar certificaciones cruzadas con Entidades de Certificación Extranjeras a fin de reconocer los certificados digitales que éstas emitan en el extranjero, incorporándolos como suyos dentro de la IOFE, siempre y cuando obtengan autorización previa de la AAC. Las entidades que presten servicios de acuerdo a lo establecido en el párrafo precedente, asumirán responsabilidad de daños y perjuicios por la gestión de tales certificados. Las Entidades de Certificación acreditadas que realicen certificaciones cruzadas conforme al primer párrafo del presente artículo, garantizarán ante la AAC que las firmas electrónicas y/o certificados digitales reconocidos han sido emitidos bajo requisitos equivalentes a los exigidos en la IOFE, y que cumplen las funciones señaladas en el artículo 2º de la Ley.

- A1.15 -

Rev: 03/23-02-2007


3.3 Identificación y autenticación para solicitudes de re-emisión de certificado (re-emisión de claves1)

El proceso de re-emisión es opcional para las EC, por ello cada EC es libre de decidir si habilitará o no el proceso. La ER debe informar a los suscriptores que la habilitación del proceso dependerá de si dicha habilitación se encuentra establecida en la CPS de la EC que emitió el certificado.

3.3.1 Identificación y autenticación para solicitudes de re-emisión de certificados rutinaria

La re-emisión de certificado rutinaria es un proceso programado cada vez que un nuevo par de claves debe ser emitido debido a que la fecha de su expiración es cercana y menor a un plazo máximo de un año. Sólo los titulares de certificados pueden solicitar la re-emisión de certificados, tanto en el caso de personas naturales como personas jurídicas. Los titulares deben presentar a la ER la solicitud de re-emisión, acompañada de los documentos requeridos por la ER, los cuales deben estar claramente establecidos en su RPS. En este proceso, no es obligatoria la presencia del titular en la ER. Antes de aprobar la re-emisión el certificado con la nueva clave pública, la ER deberá comprobar que la información del titular y del suscriptor contenida en el certificado continúa siendo válida. Si cualquier información del titular o del suscriptor hubiere cambiado, se registrará adecuadamente la nueva información. El titular o su representante deben presentar documentos que respalden dichas modificaciones. En los casos que el certificado del titular hubiera expirado o hubiera sido revocado, deberá seguirse el proceso para la emisión de un nuevo certificado y la validación de identificación inicial descrita en la sección 3.2 de este documento. Sólo se podrá realizar una única re-emisión de certificado. Luego de la expiración de un certificado re-emitido, deberá seguirse el proceso para la emisión de un nuevo certificado y la validación de identificación inicial descrita en la sección 3.2 de este documento.

3.3.2 Identificación y autenticación para la re-emisión de certificado luego de la revocación

En el caso que el certificado del titular haya sido revocado, deberá seguirse el proceso de validación de identidad inicial, especificado en la sección 3.2 de este documento.

3.4 Identificación y autenticación de la solicitud de revocación

El suscriptor y el titular pueden solicitar a la EC o ER la revocación de su certificado a través de medios telemáticos utilizando un medio que garantice el no repudio, como un mensaje firmado con un certificado válido, la autenticación a través de una frase secreta conocida sólo por el suscriptor del certificado, etc. En el caso de solicitud presencial, La ER debe establecer en su RPS el formato de la solicitud y los documentos que debe presentar el solicitante de revocación para todos los casos:

1 Antes que un certificado en vigor expire, , si es que se desea seguir utilizándolo sin interrupción alguna, es decir, que obtenga un nuevo certificado a partir de una re-emisión de certificado, manteniendo la información contenida en el certificado anterior, para continuar utilizándolo sin interrupción alguna.

- A1.16 -

Rev: 03/23-02-2007


• Los suscriptores deben presentar en la ER como mínimo su

documento oficial de identidad. • Un representante asignado por la persona jurídica puede

solicitar la revocación de los certificados de la entidad, para ello debe presentar a la ER, documentos que acrediten dicha representación y la voluntad de dicha persona jurídica.

• La IOFE permite que un tercero (diferente de la EC, el

suscriptor y el titular), pueda solicitar la revocación de un certificado. En este caso, el solicitante deberá presentar en la ER pruebas fehacientes del uso indebido del certificado de acuerdo a la ley vigente.

• La revocación puede ser también solicitada mediante una orden

judicial, la cual debe ser recibida y procesada por la ER. DECRETO SUPREMO N° 004-2007-PCM

Art. 11° inc. b) Artículo 11º.- Funciones Las Entidades de Certificación tendrán las siguientes funciones: b) Cancelar certificados digitales. Art. 12° inc. g) y j) Artículo 12º.- Obligaciones Las Entidades de Certificación registradas tienen las siguientes obligaciones: g) Cancelar el certificado digital a solicitud de su titular o, de ser el caso, a solicitud del titular de la firma digital; o cuando advierta que la información contenida en el certificado digital fuera inexacta o hubiera sido modificada, o que el titular incurriera en alguna de las causales previstas en el artículo 30º del Reglamento. j) Mantener la información relativa a los certificados digitales que hubieren sido cancelados, por un período mínimo de diez (10) años a partir de su cancelación. Art. 15° inc. c) Artículo 15º.- Funciones Las Entidades de Registro o Verificación tienen las siguientes funciones: c) Aceptar y/o autorizar, según sea el caso, la conformidad de las solicitudes de emisión, modificación o cancelación de certificados digitales, comunicándolo a la Entidad de Certificación. Art. 23° inc. e) Artículo 23º.- Obligaciones del titular Las obligaciones del titular de la firma digital son: e) En caso de que la clave privada quede comprometida en su seguridad, el titular debe notificarlo de inmediato a la Entidad de Certificación para que cancele el certificado digital. La Entidad de Certificación será responsable de los daños que pueda ocasionar la demora en dicha cancelación. Art. 24° inc. b) Artículo 24º.- Invalidez Una firma digital generada bajo la IOFE pierde validez si es utilizada: b) Cuando el certificado haya sido cancelado o revocado conforme a lo establecido en el Capítulo V del presente Título. Artículo 30º.- Causales de cancelación La cancelación del certificado puede darse: a) A solicitud del titular del certificado digital o del titular de la firma

- A1.17 -

Rev: 03/23-02-2007


digital sin previa justificación, siendo necesario para tal efecto la aceptación y autorización de la Entidad de Certificación o la Entidad de Registro o Verificación, según sea el caso, la misma que deberá ser aceptada y autorizada como máximo dentro del plazo establecido por la AAC. Si en el plazo indicado la entidad no se pronuncia, se entenderá que el certificado ha sido cancelado, sin perjuicio del tercero de buena fe. b) Por revocación efectuada por la Entidad de Certificación, con expresión de causa. c) Por expiración del plazo de vigencia. d) Por el cese de operaciones de la Entidad de Certificación que lo emitió. e) Por resolución administrativa o judicial que lo ordene. f) Por interdicción civil judicialmente declarada, declaración de ausencia o de muerte presunta, del titular del certificado. g) Por extinción de la personería jurídica o declaración judicial de quiebra. h) Otras causales que establezca la AAC. i) Por muerte, o por inhabilitación o incapacidad declarada judicialmente de la persona natural titular del certificado. Art. 31° Artículo 31º.- Cancelación del certificado a solicitud de su titular La solicitud de cancelación de un certificado digital puede ser realizada por su titular o a través de un representante debidamente acreditado; pudiendo realizarse mediante documento electrónico firmado digitalmente, de acuerdo con los procedimientos definidos en cada caso por las Entidades de Certificación. El titular del certificado está obligado, bajo responsabilidad, a solicitar la cancelación al tomar conocimiento de la ocurrencia de alguna de las siguientes circunstancias: a) Por exposición, puesta en peligro o uso indebido de la clave privada. b) Por deterioro, alteración o cualquier otro hecho u acto que afecte la clave privada. Art. 32° Artículo 32º.- Cancelación por revocación La revocación supone la cancelación de oficio de los certificados por parte de la Entidad de Certificación, quien debe contar con procedimientos detallados en su declaración de prácticas de certificación. La revocación también puede ser solicitada por un tercero que informe fehacientemente de alguno de los supuestos de revocación contenidos en los numerales 1) y 2) del artículo 10º de la Ley. La revocación debe indicar el momento desde el cual se aplica, precisando la fecha, hora, minuto y segundo del mismo. La revocación no puede ser aplicada retroactivamente y debe ser notificada al titular del certificado digital. La Entidad de Certificación debe inmediatamente incluir la revocación del certificado digital en la relación que corresponda.

4. REQUISITOS OPERACIONALES DEL CICLO DE VIDA DE LOS CERTIFICADOS

El ciclo de vida de un certificado personal no debe exceder el periodo establecido por la IOFE, el mismo que será de máximo tres (3) años de acuerdo a la legislación vigente. DECRETO SUPREMO N° 004-2007-PCM

Art. 29° Artículo 29º.- Contenido y vigencia …El período de vigencia de los certificados digitales comienza y finaliza en las fechas indicadas en él, salvo en los supuestos de cancelación conforme al artículo 9º de la Ley. Los certificados digitales tendrán una

- A1.18 -

Rev: 03/23-02-2007


validez máxima de tres (3) años.

4.1 Solicitud del certificado

En esta sección, la ER debe declarar que los procedimientos de solicitud dependerán de lo establecido en la CP y CPS de cada EC a la que se encuentra vinculada. DECRETO SUPREMO N° 004-2007-PCM

Art. 12° inc. c) Artículo 12º.- Obligaciones Las Entidades de Certificación registradas tienen las siguientes obligaciones: c) Informar a los usuarios de todas las condiciones de emisión y de uso de sus certificados digitales, incluyendo las referidas a la cancelación de éstos. Art. 25° Artículo 25º.- Requisitos Para la obtención de un certificado digital, el solicitante deberá acreditar lo siguiente: a) Tratándose de personas naturales, tener plena capacidad de ejercicio de sus derechos civiles. b) Tratándose de personas jurídicas, acreditar la existencia de la misma y su vigencia mediante los instrumentos públicos o norma legal respectiva. Art. 26° Artículo 26º.- Especificaciones adicionales para ser titular Para ser titular de un certificado digital adicionalmente se deberá cumplir con entregar la información solicitada por la Entidad de Registro o Verificación, de acuerdo a lo estipulado por la Entidad de Certificación correspondiente, asumiendo responsabilidad por la veracidad y exactitud de la información proporcionada, sin perjuicio de la respectiva comprobación. En el caso de personas naturales, la solicitud del certificado digital y el registro o verificación de su identidad son estrictamente personales. La persona natural solicitante se constituirá en titular del certificado digital y de las firmas digitales que se generen. Para el caso de personas jurídicas, la solicitud del certificado digital del cual ésta será titular y el registro o verificación de su identidad deben ser realizados a través de un representante debidamente acreditado. Conjuntamente con la solicitud debe indicarse el representante, persona natural, al cual se le asignará la facultad de generar y usar la clave privada, señalando para tal efecto las atribuciones y los poderes de representación correspondientes. Dicha persona natural será el titular de las firmas digitales. Tratándose de certificados digitales solicitados por personas jurídicas para su utilización a través de agentes automatizados, la titularidad del certificado y de las firmas digitales generadas a partir de dicho certificado corresponderá a la persona jurídica. La atribución de responsabilidad, para tales efectos, corresponde al representante legal, que en nombre de la persona jurídica solicita el certificado digital. Art. 27° Artículo 27º.- Procedimiento para ser titular Para el caso de personas naturales, éstas deberán presentar una solicitud a la Entidad de Registro o Verificación, según sea el caso; dicha solicitud deberá estar acompañada de toda la información requerida por la declaración de prácticas de certificación o en los procedimientos declarados. La Entidad de Registro o Verificación deberá comprobar la identidad del solicitante a través de su documento oficial de identidad. La

- A1.19 -

Rev: 03/23-02-2007


Entidad de Certificación cumplirá lo dispuesto en el presente artículo, en el supuesto previsto en el segundo párrafo del artículo 12º de la Ley. En el caso de una persona jurídica, la solicitud deberá ser presentada por la persona facultada para tal fin, debiendo acreditar la existencia y vigencia de la persona jurídica mediante los instrumentos públicos o norma legal respectiva, así como las facultades del representante. Asimismo, deberá presentar toda la información requerida por la declaración de prácticas de la entidad correspondiente.

4.1.1 Habilitados para presentar la solicitud de un certificado

Una ER acreditada puede aceptar la solicitud de certificados a nombre de una EC también acreditada, siempre y cuando dichos procesos sean establecidos en la CPS de cada EC. La solicitud en el caso de personas naturales debe ser hecha por la misma persona que pretende ser titular del certificado o por un representante que cuente con facultades expresas para tales efectos otorgadas mediante poder. En este caso, el titular del certificado será el poderdante y corresponderá al apoderado la condición de suscriptor. El ámbito de utilización del certificado digital en este supuesto, se encontrará circunscrito y limitado a las facultades expresamente conferidas en el poder. En el caso de personas jurídicas, se pueden solicitar certificados de atributo para ser usados por funcionarios y personal específico, incluso por el Representante legal. En este caso, se considera como aspirante a titular del certificado a la persona jurídica y dichas personas naturales vienen a ser los aspirantes a suscriptor. El solicitante deberá especificar en su solicitud el tipo de atributo al que corresponderá el certificado. Se debe diferenciar entre el representante legal de la persona jurídica, de los trabajadores que como parte de su cargo requieren de un certificado digital. La EC, INDECOPI y los potenciales usuarios de dichos certificados, deben ser advertidos del procedimiento necesario para confirmar la titularidad de tal atributo y cualquier limitación que pudiera existir en el uso del mismo. En el caso que el certificado esté destinado para ser usado por un agente automatizado, la solicitud debe ser hecha por un representante designado por la persona jurídica dueña del dispositivo. En este caso, la titularidad del certificado y de las firmas digitales generadas a partir de dicho certificado corresponderá a la persona jurídica. La atribución de responsabilidad, para tales efectos corresponde al representante legal, que en nombre de la persona jurídica solicita el certificado digital. Se debe permitir que un suscriptor pueda efectuar solicitudes referentes a múltiples titulares, siempre y cuando exista entre las partes una relación de por medio que faculte al suscriptor para proceder de esa manera. En esta sección, la ER debe declarar que cada EC puede establecer limitaciones para la adquisición de sus certificados digitales, de acuerdo a la comunidad de usuarios que haya especificado en su CPS.

4.1.2 Proceso de solicitud y responsabilidades

En esta sección, la ER debe declarar que el proceso de solicitud y las responsabilidades asumidas por el uso del certificado, dependerán de lo establecido en las CP y CPS de cada EC a la que se encuentra vinculada.

4.2 Procesamiento de la solicitud de un certificado

- A1.20 -

Rev: 03/23-02-2007


4.2.1 Realización de las funciones de identificación y autenticación

La ER debe especificar en su RPS, como mínimo, los siguientes procedimientos de verificación para la validación de la identidad de una persona jurídica, natural o una PSC:

a. Establecer el requerimiento de una entrevista presencial con el solicitante del certificado para la verificación de su identidad.

b. Establecer el lugar donde se realice la verificación. c. Establecer la persona responsable de la verificación. d. Establecer la documentación requerida por la ER para identificar

a una persona según la siguiente clasificación: • Natural • Jurídica

i. Atributos ii. Dispositivo para agente automatizado

• PSC e. Establecer los mecanismos de seguridad que permitan la

validación de la documentación presentada por el solicitante del certificado para cada uno de los casos presentados en la clasificación, los cuales pueden requerir la consulta de bases de datos de información nacional, registros públicos, o AFIS.

La EC reconocerá la información de identificación de los suscriptores de las solicitudes proporcionadas por la ER. Si las solicitudes son remitidas de manera electrónica, la ER debe realizar el correspondiente proceso de identificación y dicha solicitud debe ser firmada digitalmente por la ER empleando para tales efectos una clave de un certificado emitido por la EC u otra autoridad que haya sido reconocida por INDECOPI.

4.2.2 Aprobación o rechazo de la solicitud de un certificado

La solicitud debe ser rechazada si el solicitante no está capacitado para participar de la comunidad de usuarios de la IOFE, sea el caso de una persona natural o jurídica o si el resultado de la validación realizada por la ER fue negativo, conforme a lo establecido en este documento. Una EC puede decidir establecer en su CPS u otra documentación relevante, circunstancias adicionales para el rechazo de la solicitud, las cuales deben ser asumidas por la ER. En caso que una solicitud sea aprobada por la ER, dicha entidad debe realizar lo siguiente:

• Comunicar a la EC su aprobación para la emisión del certificado. Para ello se deben implementar los mecanismos de seguridad necesarios para establecer una comunicación segura entre la EC y la ER durante el proceso de emisión del certificado y generación del par de claves.

• La ER debe requerir del suscriptor la firma de un contrato de

conformidad personal de dichas responsabilidades, así como de conformidad por parte de los titulares en cuyo nombre actúa el suscriptor.

El contrato antes aludido, deberá contener las obligaciones que deben cumplir los suscriptores y titulares de conformidad con la legislación de la materia, para garantizar el efecto legal de las transacciones realizadas empleando un certificado emitido por dicha EC, así como las consecuencias de no cumplir con el acuerdo.

Las ECs deben establecer el contenido del contrato del suscriptor en

- A1.21 -

Rev: 03/23-02-2007


coordinación con la ER, reflejando tanto las responsabilidades de la EC, la ER y la de los suscriptores y titulares; y los procedimientos a seguir para realizar la firma del mismo. El contrato del suscriptor puede ser firmado de manera digital o manuscrita y debe ser archivado por la ER. El suscriptor debe firmar este documento incluso cuando la generación y la recepción del certificado son realizadas en la ER. La ER debe registrar y archivar toda la documentación proporcionada por los solicitantes, lo cual incluye el contrato de suscriptor.

4.2.3 Tiempo para el procesamiento de la solicitud de un certificado

Una vez validada la información proporcionada por el suscriptor, si el resultado de la validación es positivo, la ER debe enviar a la EC la autorización de la emisión del certificado de manera inmediata. La EC debe establecer en su CP u otra documentación relevante el tiempo necesario para el procesamiento de solicitudes, este tiempo no debe ser mayor a 5 días útiles a partir de la entrevista presencial del solicitante en la ER, considerando el intercambio de información necesario entre la EC y la ER.

4.3 Generación de claves y emisión del certificado


4.3.1 Acciones de la EC durante la emisión del certificado


4.3.2 Notificación al suscriptor por parte de la EC respecto de la emisión de un certificado


4.4 Aceptación del certificado No compete a las ERs.

4.4.1 Conducta constitutiva de la aceptación de un certificado


4.4.2 Publicación del certificado por parte de la EC


4.4.3 Notificación de la EC a otras entidades respecto a la emisión de un certificado


- A1.22 -

Rev: 03/23-02-2007


4.5 Par de claves y uso del certificado No compete a las ERs.

4.5.1 Uso de la clave privada y certificado por parte del suscriptor


4.5.2 Uso de la clave pública y el certificado por el tercero que confía


4.6 Renovación del certificado

Por medidas de seguridad, según CWA 14167-1, esto no es aplicable en el marco de la IOFE.

4.6.1 Circunstancias para la re-certificación de los certificados (renovación de certificados con el mismo par de claves)


4.6.2 Personas habilitadas para solicitar la renovación


4.6.3 Procesamiento de la solicitud de renovación de certificado


4.6.4 Notificación al suscriptor respecto a la emisión de un nuevo certificado


4.6.5 Conducta constitutiva de aceptación de renovación de certificado


4.6.6 Publicación de la renovación por parte de la EC de un certificado


4.6.7 Notificación de la EC a otras entidades respecto a la emisión del


- A1.23 -

Rev: 03/23-02-2007


certificado

4.7 Re-emisión de certificado.

Sólo se aplica a seguridad media alta.

La ER debe indicar en su RPS, que la ejecución del proceso de re-emisión de certificados dependerá de cada EC a la que se encuentra vinculada.

4.7.1 Circunstancias para la re-emisión de un certificado

La IOFE permite el proceso de re-emisión de certificados. Las ECs que deseen ejecutar este proceso deben generar un nuevo par de claves y un nuevo certificado correspondiente a una nueva clave pública pero manteniendo la mayor parte de la información del suscriptor contenida en el certificado a expirar, de acuerdo con lo establecido en este documento. Este nuevo certificado deberá ser actualizado en el Directorio de certificados emitidos del Repositorio para ser accesible a los terceros que confían y otras infraestructuras que reconozcan a la IOFE. La re-emisión de claves rutinaria es un proceso programado cada vez que un nuevo par de claves debe ser emitido debido a su expiración y con anticipación a ésta. Siempre que la EC opte por brindar el servicio de re-emisión de certificados, la ER deberá permitir a los titulares solicitar una re-emisión rutinaria del mismo, antes de que ocurra la expiración de su certificado, siempre y cuando el periodo de vigencia de su certificado no sea mayor al plazo máximo de un año. En el caso que el certificado del titular haya expirado o haya sido revocado, deberá seguirse el proceso de identificación inicial ante la ER, descrito en la sección 3.2 del presente documento. Sólo se puede realizar una única re-emisión del certificado por un año adicional como máximo. Importante: Tal y como se refleja en el contrato del suscriptor, a partir de la fecha en que el certificado expira, el suscriptor no podrá utilizar válidamente ni el certificado ya expirado, ni su clave privada. Nota: En este proceso INDECOPI no exige la presencia personal del solicitante en la ER.

4.7.2 Personas habilitadas para solicitar la re-emisión de certificado

Sólo el titular de un certificado puede solicitar a la ER respectiva la re-emisión de su certificado, salvo que el certificado asociado a dicho par de claves estuviera revocado o hubiera superado el plazo máximo de vigencia de un año. Cuando el periodo de vigencia del certificado haya superado el plazo máximo de un año, deberá seguirse el proceso inicial de identificación descrito en la sección 3.2 del presente documento. La ER debe establecer en su RPS los procedimientos necesarios para realizar la solicitud de re-emisión de certificado. Nota: Una ER únicamente aceptará solicitudes de re-emisión de certificados en representación de las ECs acreditadas, con las cuales mantiene un convenio para la prestación de servicios de certificación digital. DECRETO SUPREMO N° 004-2007-PCM

Artículo 30º inc. C) Artículo 30º.- Causales de cancelación La cancelación del certificado puede darse:

- A1.24 -

Rev: 03/23-02-2007


c) Por expiración del plazo de vigencia.

4.7.3 Procesamiento de las solicitudes para re-emisión de certificados

La solicitud de re-emisión de certificado debe ser rechazada en caso que el periodo de uso del certificado o las claves haya expirado o sea mayor a un año, en este caso deberá seguirse el proceso inicial de verificación de identificación ante la ER. Antes de aprobar la re-emisión de un certificado, la ER deberá comprobar que la información utilizada para verificar la identidad y los restantes datos del titular y del suscriptor continúan siendo válidos. Si cualquier información del titular o del suscriptor ha cambiado, se debe registrar adecuadamente la nueva información. La ER debe establecer en su RPS los procedimientos necesarios para validar la información proporcionada por el solicitante de la re-emisión, su procesamiento y la posterior autorización o negación de la solicitud. Luego de la verificación de los datos del titular y el suscriptor cuyos certificados se desean re-emitir, la ER deberá comunicar a la EC la aprobación de la solicitud. La EC debe especificar en su CPS el mecanismo que la ER utilizará para comunicar la autorización de un proceso de re-emisión de un certificado, luego de la validación de la información. La solicitud de re-emisión debe ser firmada por el solicitante de manera digital o manuscrita para garantizar el no repudio. Una copia de dicha solicitud firmada debe ser enviada a la EC. La ER debe indicar en su RPS, que la ejecución del proceso de re-emisión de certificados dependerán de cada EC a la que se encuentra vinculada. La EC debe especificar en su CPS el mecanismo que la ER utilizará para comunicar la autorización de un proceso de re-emisión de un certificado, luego de la validación de la información.

4.7.4 Notificación al suscriptor sobre la re-emisión de un certificado


4.7.5 Conducta constitutiva de la aceptación de una re-emisión de certificado


4.7.6 Publicación por parte de la EC del certificado re-emitido


4.7.7 Notificación por parte de la EC a otras entidades respecto a la emisión de certificados


- A1.25 -

Rev: 03/23-02-2007


4.8 Modificación del certificado

La ER debe indicar en su RPS, que los procesos de modificación de certificados dependerán de si se encuentran establecidos en la CPS de cada EC a la que se encuentra vinculada.

4.8.1 Circunstancias para la modificación de un certificado

Las ECs pueden brindar el servicio de modificación de la información contenida en un certificado sin la re-emisión de las claves del mismo. La ER debe indicar que los requerimientos y procedimientos para que un suscriptor pueda solicitar a la ER la modificación de los datos contenidos en su certificado, dependerán de lo establecido en la CPS de cada EC a la que se encuentra vinculada. DECRETO SUPREMO N° 004-2007-PCM

Art. 28° Artículo 28º.- Obligaciones del titular a) Actualizar permanentemente la información provista tanto a la Entidad de Certificación como a la Entidad de Registro o Verificación, asumiendo responsabilidad por la veracidad y exactitud de ésta. b) Solicitar de inmediato la cancelación de su certificado digital en caso de que la reserva sobre la clave privada se haya visto comprometida, bajo responsabilidad. c) Observar permanentemente las condiciones establecidas por la Entidad de Certificación para la utilización del certificado.

4.8.2 Personas habilitadas para solicitar la modificación de un certificado

Solamente los titulares y suscriptores pueden solicitar la modificación de un certificado. La EC puede establecer requerimientos más restringidos para determinar el tipo de personas que pueden solicitar la modificación de un certificado. Se debe permitir que un suscriptor pueda efectuar solicitudes de modificación en relación a múltiples titulares en los casos que la relación entre el suscriptor y el titular lo faculte para ello. Si el certificado ha expirado, el suscriptor deberá solicitar un nuevo certificado comenzando con el proceso inicial de validación de identidad descrito en la sección 3.2 del presente documento. No se permite la modificación de los certificados de los PSCs. Nota: Una ER únicamente aceptará solicitudes de modificación de certificados en representación de las ECs acreditadas, con las cuales mantiene un convenio para la prestación de servicios de certificación digital.

4.8.3 Procesamiento de las solicitudes de modificación de certificados

La ER debe indicar que el tipo de documentación que puede ser modificada dependerá de lo establecido en la CPS de cada EC a la que se encuentra vinculada. La solicitud de modificación de un certificado, debe ser realizada en la ER, a la cual el suscriptor deberá hacer llegar toda la documentación pertinente que respalde las modificaciones solicitadas. Por su parte, la ER deberá comprobar la veracidad de la nueva información proporcionada por el suscriptor. Nota: En este proceso INDECOPI no exige la presencia personal del suscriptor en la ER. La solicitud de modificación se encuentre firmada por el titular y el suscriptor del certificado de manera digital o manuscrita para garantizar el no repudio.

- A1.26 -

Rev: 03/23-02-2007


No son admisibles las solicitudes de modificación realizadas después de la expiración del certificado. En este caso, será necesario seguir el proceso de identificación inicial ante la ER. De igual modo se procederá con aquellas solicitudes que no hayan sido aprobadas del proceso de comprobación de la veracidad de la información proporcionada por el suscriptor. Una EC puede decidir establecer en su CPS u otra documentación relevante, circunstancias adicionales para el rechazo de la solicitud. En el caso de aprobación de la modificación, esta debe ser comunicada a la respectiva EC a través de medios seguros. La EC debe especificar en su CPS el mecanismo que la ER utilizará para comunicar la autorización de un proceso de modificación de un certificado, luego de la validación de la información. La EC emitirá un nuevo certificado que contendrá la misma clave pública del titular, contenida en el certificado anterior, y la información modificada. El certificado anterior a la modificación será revocado.

4.8.4 Notificación al suscriptor sobre la emisión de un nuevo certificado


4.8.5 Conducta constitutiva de la aceptación de un certificado modificado


4.8.6 Publicación por parte de la EC del certificado modificado


4.8.7 Notificación por parte de la EC a otras entidades respecto a la emisión de certificados modificados


4.9 Revocación y suspensión del certificado

4.9.1 Circunstancias para la revocación

Las ERs deben especificar en su RPS, las circunstancias en las que los suscriptores, titulares o terceros pueden solicitar la revocación de un certificado, en las instalaciones de la ER. Como mínimo, el titular y el suscriptor del certificado están obligados, bajo responsabilidad, a solicitar la revocación al tomar conocimiento de la ocurrencia de alguna de las siguientes circunstancias

• Por exposición, puesta en peligro o uso indebido de la clave privada.

- A1.27 -

Rev: 03/23-02-2007


• Por deterioro, alteración o cualquier otro hecho u acto que afecte la clave privada.

• Revocación de las facultades de representación y/o poderes de

sus representantes legales o apoderados.

• Cuando la información contenida en el certificado ya no resulte correcta.

• Cuando el suscriptor deja de ser miembro de la comunidad de

interés o se sustrae de aquellos intereses relativos a la EC. • Cuando el suscriptor o titular incumple las obligaciones a las

que se encuentra comprometido dentro de la IOFE a través de lo estipulado en el contrato del suscriptor y/o titular.

• Cuando la información contenida en el certificado ya no resulte

correcta.

• Por decisión de la legislación respectiva.

NOTA: En caso de cambios menores respecto a la información del titular que no tengan mayor impacto en los terceros que confían, puede no ser necesaria la revocación del certificado existente ni la emisión de uno nuevo.

DECRETO SUPREMO N° 004-2007-PCM

Art. 30° Artículo 30º.- Causales de cancelación La cancelación del certificado puede darse: a) A solicitud del titular del certificado digital o del titular de la firma digital sin previa justificación, siendo necesario para tal efecto la aceptación y autorización de la Entidad de Certificación o la Entidad de Registro o Verificación, según sea el caso, la misma que deberá ser aceptada y autorizada como máximo dentro del plazo establecido por la AAC. Si en el plazo indicado la entidad no se pronuncia, se entenderá que el certificado ha sido cancelado, sin perjuicio del tercero de buena fe. b) Por revocación efectuada por la Entidad de Certificación, con expresión de causa. c) Por expiración del plazo de vigencia. d) Por el cese de operaciones de la Entidad de Certificación que lo emitió. e) Por resolución administrativa o judicial que lo ordene. f) Por interdicción civil judicialmente declarada, declaración de ausencia o de muerte presunta, del titular del certificado. g) Por extinción de la personería jurídica o declaración judicial de quiebra. h) Otras causales que establezca la AAC. i) Por muerte, o por inhabilitación o incapacidad declarada judicialmente de la persona natural titular del certificado. Art. 31° Artículo 31º.- Cancelación del certificado a solicitud de su titular La solicitud de cancelación de un certificado digital puede ser realizada por su titular o a través de un representante debidamente acreditado; pudiendo realizarse mediante documento electrónico firmado digitalmente, de acuerdo con los procedimientos definidos en cada caso por las Entidades de Certificación. El titular del certificado está obligado, bajo responsabilidad, a solicitar la cancelación al tomar conocimiento de la ocurrencia de alguna de las

- A1.28 -

Rev: 03/23-02-2007


siguientes circunstancias: a) Por exposición, puesta en peligro o uso indebido de la clave privada. b) Por deterioro, alteración o cualquier otro hecho u acto que afecte la clave privada. Art. 32° Artículo 32º.- Cancelación por revocación La revocación supone la cancelación de oficio de los certificados por parte de la Entidad de Certificación, quien debe contar con procedimientos detallados en su declaración de prácticas de certificación. La revocación también puede ser solicitada por un tercero que informe fehacientemente de alguno de los supuestos de revocación contenidos en los numerales 1) y 2) del artículo 10º de la Ley. La revocación debe indicar el momento desde el cual se aplica, precisando la fecha, hora, minuto y segundo del mismo. La revocación no puede ser aplicada retroactivamente y debe ser notificada al titular del certificado digital. La Entidad de Certificación debe inmediatamente incluir la revocación del certificado digital en la relación que corresponda. Art. 40° inc. f) Artículo 40º.- Funciones La Autoridad Administrativa Competente (AAC) tiene las siguientes funciones: f) Cancelar las acreditaciones otorgadas a las Entidades de Certificación y a las Entidades de Registro o Verificación conforme a lo dispuesto en el Reglamento. Art. 50° Artículo 50º.- Cancelación de la Acreditación La cancelación de la acreditación de las Entidades de Certificación o de las Entidades de Registro o Verificación procede: a) Por decisión unilateral comunicada a la AAC. b) Por extinción de su personería jurídica. c) Por revocación de su registro. d) Por sentencia judicial. e) Por liquidación, decidida por la junta de acreedores en el marco de la legislación concursal o resolución judicial de quiebra. Otros: Art. 24°, Art. 38° inc. a), b) y g).

4.9.2 Personas habilitadas para solicitar la revocación

De acuerdo a lo estipulado por la Ley, el tipo de personas que pueden solicitar la revocación de un certificado:

• El titular o suscriptor del certificado.

• La EC o ER que emitió el certificado.

• Un juez que de acuerdo a la Ley decida revocar el certificado.

• Un tercero que tenga pruebas fehacientes del uso indebido del certificado, el compromiso de clave u otro motivo de revocación mencionado en la Ley, los reglamentos de acreditación y el presente documento.

DECRETO SUPREMO N° 004-2007-PCM

Art. 30° Artículo 30º.- Causales de cancelación

- A1.29 -

Rev: 03/23-02-2007


La cancelación del certificado puede darse: a) A solicitud del titular del certificado digital o del titular de la firma digital sin previa justificación, siendo necesario para tal efecto la aceptación y autorización de la Entidad de Certificación o la Entidad de Registro o Verificación, según sea el caso, la misma que deberá ser aceptada y autorizada como máximo dentro del plazo establecido por la AAC. Si en el plazo indicado la entidad no se pronuncia, se entenderá que el certificado ha sido cancelado, sin perjuicio del tercero de buena fe. b) Por revocación efectuada por la Entidad de Certificación, con expresión de causa. c) Por expiración del plazo de vigencia. d) Por el cese de operaciones de la Entidad de Certificación que lo emitió. e) Por resolución administrativa o judicial que lo ordene. f) Por interdicción civil judicialmente declarada, declaración de ausencia o de muerte presunta, del titular del certificado. g) Por extinción de la personería jurídica o declaración judicial de quiebra. h) Otras causales que establezca la AAC. i) Por muerte, o por inhabilitación o incapacidad declarada judicialmente de la persona natural titular del certificado.

Art. 32° Artículo 32º.- Cancelación por revocación La revocación supone la cancelación de oficio de los certificados por parte de la Entidad de Certificación, quien debe contar con procedimientos detallados en su declaración de prácticas de certificación. La revocación también puede ser solicitada por un tercero que informe fehacientemente de alguno de los supuestos de revocación contenidos en los numerales 1) y 2) del artículo 10º de la Ley.

4.9.3 Procedimiento para la solicitud de revocación

El suscriptor y el titular pueden solicitar a la EC o ER la revocación de su certificado a través de medios telemáticos utilizando un medio que garantice el no repudio, como un mensaje firmado con un certificado válido, la autenticación a través de una frase secreta conocida sólo por el suscriptor del certificado, etc. La EC debe establecer en su CPS, el procedimiento para realizar las solicitudes de revocación de los certificados de los suscriptores, emitidos por ECs acreditadas. El suscriptor también puede realizar la solicitud a la ER mediante una petición presencial. Los terceros (incluyendo órdenes judiciales) deben presentarse personalmente o mediante un representante legalmente autorizado en las instalaciones de la ER para realizar la solicitud de revocación, con la documentación requerida. Dicha documentación y el proceso de validación de identidad del solicitante se encuentra especificado en la sección 3.2. Una vez aprobada la solicitud de revocación, la ER deberá comunicar dicha aprobación a la EC correspondiente, dentro del plazo establecido por la EC, según los mecanismos establecidos en su CPS. La CPS de la EC debe hacer referencia a las secciones competentes de la RPS de la ER, en lo correspondiente a la verificación de la identidad del solicitante de la revocación y su procesamiento, en los casos que la solicitud sea realizada en la ER. Además, debe establecer el procedimiento necesario para que la ER pueda enviar a la EC la autorización de revocación de un certificado. Una EC puede revocar los certificados que ha emitido, siempre y

- A1.30 -

Rev: 03/23-02-2007


cuando los motivos de revocación estén claramente especificados en su CPS y se encuentren de acuerdo con la legislación vigente. Cuando una EC o ER recibe una solicitud para la revocación de un certificado, debe dejar constancia de la persona que efectúa la solicitud, la relación que tiene ésta con el titular, las razones de la solicitud, las acciones tomadas para la verificación de la veracidad de la solicitud, fecha y hora de la revocación y de la notificación de la misma a la EC, sus suscriptores y los terceros que confían. Las solicitudes deben ser firmadas de manera manuscrita o digital por los solicitantes. En caso que no se acepte la revocación, deberá dejarse constancias de los hechos que motivaron dicha denegatoria. Las responsabilidades del suscriptor que solicita una revocación de su certificado, deben estar claramente establecidas en el contrato del suscriptor. DECRETO SUPREMO N° 004-2007-PCM

Art. 31° Artículo 31º.- Cancelación del certificado a solicitud de su titular La solicitud de cancelación de un certificado digital puede ser realizada por su titular o a través de un representante debidamente acreditado; pudiendo realizarse mediante documento electrónico firmado digitalmente, de acuerdo con los procedimientos definidos en cada caso por las Entidades de Certificación. El titular del certificado está obligado, bajo responsabilidad, a solicitar la cancelación al tomar conocimiento de la ocurrencia de alguna de las siguientes circunstancias: a) Por exposición, puesta en peligro o uso indebido de la clave privada. b) Por deterioro, alteración o cualquier otro hecho u acto que afecte la clave privada.

4.9.4 Periodo de gracia de la solicitud de revocación


4.9.5 Tiempo dentro del cual una EC debe procesar la solicitud de revocación


4.9.6 Requerimientos para la verificación de la revocación de certificados por los terceros que confían


4.9.7 Frecuencia de emisión de CRL


4.9.8 Máxima latencia para CRLs No compete a las ERs.

- A1.31 -

Rev: 03/23-02-2007


4.9.9 Disponibilidad de la verificación en línea de la revocación/estado


4.9.10 Requisitos para la verificación en línea de la revocación


4.9.11 Otras formas disponibles de publicar la revocación


4.9.12 Requisitos especiales para el caso de compromiso de la clave privada


4.9.13 Circunstancias para la suspensión (opcional)

Las ECs que deseen implementar el proceso de suspensión, deben indicarlo en su respectiva CPS, referenciando las secciones competentes de la RPS de la ER a la que se encuentran vinculadas. Las ERs deben especificar en sus RPSs, los procedimientos necesarios para la solicitud, procesamiento y consiguiente autorización o negación de una suspensión. Se debe indicar en la RPS que la ejecución de este proceso dependerá de si se encuentra habilitado en la CPS de cada EC. Sólo se puede solicitar la suspensión para el caso de personas jurídicas, cuando el suscriptor se ve impedido temporalmente de cumplir con sus funciones.

4.9.14 Personas habilitadas para solicitar la suspensión

Sólo los titulares de certificados emitidos a personas jurídicas pueden solicitar la suspensión de los certificados de sus suscriptores.

4.9.15 Procedimiento para la solicitud de la suspensión

Los titulares de certificados emitidos a personas jurídicas, pueden solicitar la suspensión de su certificado a la ER, a través de un representante legalmente autorizado. El solicitante debe especificar las fechas de inicio y fin del periodo de suspensión. El responsable de la ER debe requerir del solicitante, la firma manuscrita o firma digital con certificado de atributos del representante en la solicitud de suspensión, la cual debe quedar registrada en la ER. El certificado suspendido recobrará automáticamente su validez al término del periodo de suspensión solicitado por el titular. La ER debe especificar en su RPS, los procedimientos necesarios para la solicitud, procesamiento y consiguiente autorización o negación de una suspensión.

- A1.32 -

Rev: 03/23-02-2007


4.9.16 Límite del periodo de suspensión

El tiempo máximo en el que un certificado puede ser suspendido está limitado por su periodo de expiración.

4.10 Servicios de estado de certificado


4.10.1 Características operacionales


4.10.2 Disponibilidad del servicio No compete a las ERs.

4.10.3 Rasgos operacionales


4.11 Finalización de la suscripción


4.12 Depósito y recuperación de claves


4.12.1 Políticas y prácticas de recuperación de Depósito de claves


4.12.2 Políticas y prácticas para la encapsulación de claves de sesión


5. CONTROLES DE LAS INSTALACIONES, DE LA GESTION Y CONTROLES OPERACIONALES

5.1 Controles Físicos

5.1.1 Ubicación y construcción del local

La ubicación y diseño del local debe prevenir, en lo razonablemente posible, el daño por desastres naturales, como inundación, terremoto; así como desastres creados por el hombre, como incendios, disturbios civiles y otras formas de desastre. Se debe diseñar e implementar protección física en las oficinas y habitaciones, medios que garanticen la seguridad física de los equipos y del personal. Se deben utilizar perímetros de seguridad (barreras tales como paredes y puertas de ingreso controlado o recepcionistas) para proteger las áreas que contienen información y medios de procesamiento de información. El acceso a las oficinas de registro público debe estar

- A1.33 -

Rev: 03/23-02-2007


separado de las áreas que albergan los archivos y equipos que los PSCs utilizan para el procesamiento de la información sensible, de tal forma que únicamente el personal autorizado pueda acceder a ellos. No debe haber ambientes compartidos que permitan la visibilidad de las operaciones críticas del sistema de registro o verificación. Estas operaciones deberán ser realizadas en compartimientos cerrados, que no permitan la visibilidad desde el exterior y que se encuentren físicamente protegidos. REFERENCIAS

Anexo 3 Control de acceso. Anexo 3 Evaluación de riesgos. Anexo 3 Seguridad física. Anexo 3 Planificación de contingencias. Anexo 4 Sección 6.2 Seguridad en los accesos de terceras partes. Anexo 4 Sección 9 Seguridad Física y del Entorno. Anexo 4 Sección 11 Control de Accesos.

5.1.2 Acceso físico Se deben proteger las áreas sensibles mediante controles de acceso apropiados para garantizar que sólo se permita el acceso al personal autorizado. Se deben controlar los puntos de acceso como las áreas de entrega, descarga y las áreas donde pueden ingresar personas no autorizadas. Adicionalmente, debe llevarse un registro del acceso a áreas no públicas. Antes de otorgar acceso a áreas no públicas, se debe verificar la identidad de los visitantes, incluyendo a contratistas y personal de limpieza. Se debe tomar en consideración el verificar los antecedentes de los visitantes, cuando sea factible realizar tal verificación. Se debe identificar a los visitantes, como tales y de ser el caso, deberán de ser escoltados. DECRETO SUPREMO N° 004-2007-PCM

Art. 38° Artículo 38º.- De las Entidades de Certificación para el Estado Peruano (ECEP) f) Se ofrecerá un grado de seguridad adecuado en relación a los equipos informáticos y de comunicación empleados, al personal empleado para operar la ECEP, a los responsables de operar las claves de la ECEP y a los procedimientos utilizados para la autenticación de los datos a ser incluidos en los certificados digitales.

REFERENCIAS

Anexo 3 Control de acceso. Anexo 3 Evaluación de riesgos. Anexo 3 Seguridad física. Anexo 4 Sección 7.1 Áreas seguras. Anexo 4 Sección 11 Control de Accesos.

5.1.3 Energía y aire acondicionado

El equipo de energía y aire acondicionado, incluyendo el equipo de seguridad de los mismos, deben estar protegidos y en constante mantenimiento a efectos de asegurar su correcto funcionamiento.

- A1.34 -

Rev: 03/23-02-2007


REFERENCIAS

Anexo 3 Seguridad física. Anexo 4 Planificación de contingencias. Anexo 4 Sección 9.2 Seguridad de los Equipos.

5.1.4 Exposición al agua

Las instalaciones deben estar protegidas contra exposiciones al agua. REFERENCIAS

Anexo 3 Seguridad física. Anexo 3 Planificación de contingencias. Anexo 4 Sección 9.2 Seguridad de los Equipos.

5.1.5 Prevención y protección contra fuego

Las instalaciones deben poseer adecuadas medidas para la prevención y protección contra el fuego. REFERENCIAS

Anexo 3 Seguridad física. Anexo 3 Planificación de contingencias. Anexo 3 Respuesta a incidentes. Anexo 4 Sección 9.2 Seguridad de los Equipos.

5.1.6 Archivo de material

Los archivos tanto electrónicos como de papel y el material en general, debe estar protegido contra accesos no autorizados y destrucción tanto deliberada como accidental, incluyendo destrucción por fuego, temperatura, agua, humedad y magnetismo. Los soportes de información sensible se deben almacenar de forma segura en armarios contra fuegos y cajas fuertes, según el tipo de soporte y la clasificación de la información en ellos contenida. Estos armarios deben situarse en diversas dependencias para eliminar riesgos asociados a una única ubicación. El acceso a estos soportes debe estar restringido a personal autorizado. DECRETO SUPREMO N° 004-2007-PCM

Art. 9° Artículo 9º.- Elementos La Infraestructura Oficial de Firma Electrónica – IOFE está constituida por: d) Sistema de gestión que permita el mantenimiento de las condiciones señaladas en los literales anteriores, así como la seguridad, confidencialidad, transparencia y no discriminación en la prestación de sus servicios.

REFERENCIAS

Anexo 3 Evaluación de riesgos. Anexo 3 Control de acceso. Anexo 3 Mantenimiento de equipos y su desecho. Anexo 3 Planificación de contingencias. Anexo 3 Auditorias y detección de intrusiones. Anexo 3 Medios de almacenamiento. Anexo 4 Sección 7 Clasificación y control de Activos. Anexo 4 Sección 11 Control de Accesos.

- A1.35 -

Rev: 03/23-02-2007


5.1.7 Gestión de residuos

Se debe adoptar una política de gestión de residuos que permita la destrucción de cualquier tipo de material (físico o papel) que pudiera contener información, garantizando la imposibilidad de recuperación de esta información. REFERENCIAS

Anexo 3 Mantenimiento de equipo y su desecho Anexo 3 Medios de almacenamiento Anexo 4 Sección 9.6.2 Seguridad en el Rehúso o eliminación de

Equipos.

5.1.8 Copia de seguridad externa

Los PSCs deben disponer de copias de respaldo o de seguridad externa de toda la información sensible y de aquella considerada como necesaria para la persistencia de su actividad. Las copias de seguridad externa deben ser establecidas y mantenidas de conformidad con las políticas de archivo y el plan de contingencias, de manera compatible a los estándares ISO mencionados en las referencias de esta sección. REFERENCIAS

Anexo 3 Seguridad comunicaciones y redes. Anexo 3 Planificación de contingencias. Anexo 4 Sección 10.5 Gestión de Respaldo y Recuperación. Anexo 4 Sección 9.2.5 Seguridad de Equipos Fuera de los Locales

de la Organización

5.2 Controles procesales

5.2.1 Roles de confianza

Se deben definir los roles de confianza en las operaciones que se realizan en el interior del esquema de las ERs. La descripción de los roles debe incluir las labores que pueden como las que no pueden ser realizadas en el ejercicio de tales roles, las mismas que deben ser puestas de manifiesto a las personas que ejercen dichas funciones. Se debe obtener constancia por escrito del conocimiento de las mismas. REFERENCIAS

Anexo 3 Seguridad de personal. Anexo 3 Control de acceso. Anexo 4 Sección 8 Seguridad en Recursos Humanos.

5.2.2 Número de personas requeridas por labor

Se debe identificar las labores que requieren de más de una persona para su realización. La generación de la lista TSL requiere a más de una persona. REFERENCIAS

Anexo 3 Control de acceso. Anexo 3 Seguridad de personal. Anexo 4 Sección 8 Seguridad en Recursos Humanos.

- A1.36 -

Rev: 03/23-02-2007


5.2.3 Identificación y autenticación para cada rol

Deben emplearse controles de acceso tanto físicos como lógicos para verificar la identidad y autorización antes de permitir el acceso para cada rol. El acceso a las comunicaciones con la EC o al sistema de Registro que permite leer, modificar o controlar los procesos del ciclo de vida de los certificados debe ser controlado por biometría o tarjeta inteligente. Los operadores de registro, que tengan acceso para comunicar a la EC las aprobaciones a las solicitudes de emisión, revocación, modificación, suspensión o re-emisión de certificados digitales deben ser autenticados por medios biométricos o tarjeta inteligente. El acceso a las bases de datos de la ER, que permiten la lectura y/o modificación de la información privada de los usuarios debe ser controlado por biometría o tarjeta inteligente. REFERENCIAS

Anexo 3 Control de acceso. Anexo 3 Seguridad de personal. Anexo 4 Sección 8 Seguridad en Recursos Humanos. Anexo 4 Sección 11 Control de Accesos.

5.2.4 Roles que requieren funciones por separado

Se deben definir los roles que requieren separación de funciones para la operación de la IOFE y de los PSCs acreditados. Las personas que se encargan de la implementación de una función, no deben asimismo tener el rol de realización de la auditoría de conformidad, o evaluación o revisión de dicha implementación. También pueden ser identificadas otras áreas en las que potencialmente pueda existir conflicto. REFERENCIAS

Anexo 3 Control de acceso. Anexo 3 Seguridad de personal. Anexo 4 Sección 8 Seguridad en Recursos Humanos. Anexo 4 Sección 11 Control de Accesos.

5.3 Controles de personal

Las ERs deben de establecer en su RPS u otra documentación relevante, los términos de confidencialidad y provisiones de no revelación que gobierna al mismo, así como la legislación que rige a las transacciones que se realizan bajo el marco de la IOFE, la legislación relativa al régimen de los trabajadores y cualquier otra legislación relevante, de conformidad con la Norma Marco sobre Privacidad presentada en el anexo 6 de la Guía de Acreditación de ER. Esta información debe ser entregada por escrito a sus empleados y contratistas, debiéndose obtener declaración por escrito por parte de estas personas respecto al de conocimiento de toda esta información. Esta información debe ser incorporada en todos los contratos de trabajo o servicio. REFERENCIAS

Anexo 3 Control de acceso. Anexo 3 Seguridad de personal. Anexo 4 Sección 5 Política de Seguridad. Anexo 4 Sección 6.5 Acuerdos de confidencialidad.

- A1.37 -

Rev: 03/23-02-2007


Anexo 4 Sección 8 Seguridad en Recursos Humanos. Anexo 4 Sección 11 Control de Accesos.

5.3.1 Cualidades y requisitos, experiencia y certificados

Las ERs deben establecer en su RPS u otra documentación relevante las cualidades, experiencias y certificados que deben poseer su personal y contratistas. REFERENCIAS

Anexo 3 Seguridad de personal. Anexo 4 Sección 8 Seguridad en Recursos Humanos.

5.3.2 Procedimiento para verificación de antecedentes

Se deben verificar los antecedentes de todos los candidatos a empleados, contratistas y terceros en concordancia con las leyes vigentes y normatividad pertinente. La precisión de la verificación debe ser proporcional a los requerimientos comerciales, la clasificación de la información a la cual dicho personal tiene acceso y a los riesgos implicados. Las personas que desempeñan roles de confianza deben de tener en claro el nivel de sensibilidad y valor de los bienes y transacciones protegidos por la actividad de la cual ellas son responsables. Generalmente, esto involucra la verificación de la identidad de estas personas, cualidades y referencias, verificación de antecedentes criminales, verificación de antecedentes financieros, de crédito o similares, dentro de los límites legalmente establecidos en materia de privacidad. REFERENCIAS


5.3.3 Requisitos de capacitación

Todos los empleados de la organización (y cuando sea relevante los contratistas y terceros), deben recibir las capacitaciones apropiadas y actualizaciones regulares de las políticas y procedimientos organizacionales, conforme sean relevantes para su función laboral. Las ERs deben de establecer en su RPS u otra documentación relevante los requisitos de capacitación para su personal y contratistas. Como mínimo, se debe incluir:

• El equipo y software requerido para operar.

• Los aspectos de la RPS, Política de Seguridad, Plan de privacidad y otra documentación relevante que afecte sus funciones.

• Requisitos legislativos en relación a sus funciones.

• Sus roles en relación al plan de contingencias.

REFERENCIAS


- A1.38 -

Rev: 03/23-02-2007


5.3.4 Frecuencia y requisitos de las re-capacitaciones

Como mínimo las re-capacitaciones deben ser llevadas a cabo cuando existan cambios significativos en los elementos tratados en la capacitación inicial y cada vez que se sustituya o rote al personal encargado. REFERENCIAS


5.3.5 Frecuencia y secuencia de la rotación en el trabajo

La ER debe establecer en su RPS u otra documentación relevante si implementará políticas de rotación en el trabajo, en ese caso se debe establecer documentalmente los procedimientos necesarios, incluyendo los periodos mínimos para realizar la rotación. REFERENCIAS


5.3.6 Sanciones por acciones no autorizadas

Debe existir un proceso disciplinario formal para los empleados que han cometido una violación en la seguridad. Como mínimo, en el caso de una acción real o potencial no autorizada y que haya sido realizada por una persona que desempeña un rol de confianza, dicha persona debe ser inmediatamente suspendida de todo rol de confianza que pudiera desempeñar. Dichas sanciones deben estar establecidas en los contratos de cada empleado y/o contratista. REFERENCIAS

Anexo 3 Seguridad de personal. Anexo 4 Sección 5 Política de Seguridad. Anexo 4 Sección 8 Seguridad en Recursos Humanos.

5.3.7 Requerimientos de los contratistas

Se debe establecer en la RPS u otra documentación relevante, si es que se permite el empleo de contratistas. Los contratistas y su personal deben quedar obligados por los términos de la RPS y otra documentación relevante de la IOFE que les afecte. Los contratos deben especificar sanciones y reparaciones para las acciones llevadas a cabo por los contratistas y sus empleados. REFERENCIAS


5.3.8 Documentación suministrada al personal

Se debe entregar al personal la documentación necesaria para el desempeño de sus funciones Como mínimo, esto debe incluir:

• Una declaración de funciones y autorizaciones. • Manuales para los equipos de software que deben de operar.

- A1.39 -

Rev: 03/23-02-2007


• Aspectos de la RPS, política de seguridad y otra documentación relevante en relación a sus funciones.

• Legislación aplicable a sus funciones. • Documentación respecto a sus roles frente a plan de

contingencia. REFERENCIAS


5.4 Procedimiento de registro de auditorías

5.4.1 Tipos de eventos registrados

Las ERs deben mantener un registro de auditoría de los eventos que puedan impactar en la seguridad de sus operaciones. Como mínimo, estos deben incluir lo siguiente:

• Encendido y apagado de los sistemas que procesan información sensible.

• Intentos de crear, borrar, cambiar contraseñas o permisos de

los usuarios dentro del sistema que procesa información sensible.

• Intentos de entrada y salida del sistema que procesa

información sensible.

• Intentos no autorizados de acceso a los registros o bases de

datos del sistema. Las ERs deben registrar de manera manual o electrónica, la siguiente información:

• Mantenimientos y cambios de configuración del sistema que procesa información sensible.

• Acceso físico a las áreas sensibles.

• Cambios en el personal.

• Informes completos de los intentos de intrusión física en las

infraestructuras que dan soporte al sistema de certificación. El registro de auditoría de eventos debe registrar la hora, fecha e identificadores software/hardware. REFERENCIAS

Anexo 3 Control de acceso. Anexo 3 Auditorias y detección de intrusiones. Anexo 4 Sección 10.10.1 Registro de la Auditoría.

- A1.40 -

Rev: 03/23-02-2007


5.4.2 Frecuencia del procesamiento del registro

Los registros de auditoría deben ser procesados y revisados una vez al mes como mínimo con el fin de buscar actividades sospechosas o no habituales. Los eventos auditables significativos deben generar alarmas automáticas para realizar una auditoría. El procesamiento de los registros de auditoría debe incluir la verificación de que dichos registros no hayan sido manipulados. REFERENCIAS

Anexo 3 Política de Seguridad de la información. Anexo 3 Auditorías y detección de intrusiones. Anexo 4 Sección 10.10 Monitoreo.

5.4.3 Periodo de conservación del registro de auditorías

Como mínimo el registro de auditorías debe conservarse por un periodo de diez (10) años, el cual es el periodo máximo requerido por la jurisdicción con la cual la IOFE mantiene un acuerdo de reconocimiento cruzado. REFERENCIAS

Anexo 3 Política se Seguridad de la información. Anexo 3 Auditorias y detección de intrusiones. Anexo 4 Sección 10.10 Monitoreo.

5.4.4 Protección del registro de auditoría

Los archivos donde se almacene la información relevante para las auditorías deben estar protegidos por listas de control de acceso que permitan solamente a los administradores de la ER tener acceso a esa información tanto para lectura, como para escritura. La destrucción de un archivo de auditoría solo se podrá llevar a cabo con la autorización de INDECOPI, siempre y cuando haya transcurrido un periodo mínimo de 10 años. REFERENCIAS

Anexo 3 Política se Seguridad de la información. Anexo 3 Auditorias y detección de intrusiones. Anexo 4 Sección 10.10 Monitoreo. Anexo 4 Sección 11 Control de Accesos.

5.4.5 Procedimiento de copia de seguridad del registro de auditorías..

Como mínimo debe realizarse de manera mensual una copia de seguridad del registro de auditorías, la cual debe archivarse fuera de sus instalaciones. Debe tomarse en consideración la posibilidad de generar copias de seguridad automatizadas para el caso de eventos auditables significativos. REFERENCIAS

Anexo 3 Política se Seguridad de la información Anexo 3 Auditorias y detección de intrusiones Anexo 4 Sección 10.5 Gestión de Respaldo y Recuperación. Anexo 4 Sección 10.10 Monitoreo. Anexo 4 Sección 11 Control de Accesos.

- A1.41 -

Rev: 03/23-02-2007


5.4.6 Sistema de realización de auditoría (Interna vs Externa)

Las auditorías internas deben llevarse a cabo, como mínimo, una vez al año en la ER. Las evaluaciones técnicas (auditorías externas) se llevarán llevarse a cabo una vez al año (auditoría periódica). Las visitas comprobatorias serán llevadas a cabo siempre que INDECOPI lo requiera, después de pasados los tres (3) primeros meses de funcionamiento de la ER. REFERENCIAS

Anexo 3 Política de Seguridad de la información. Anexo 3 Auditorias y detección de intrusiones. Anexo 4 Sección 10.2.2 Monitoreo y Revisión de los Servicios

Externos. Anexo 4 Sección 15.3 Consideraciones Sobre la Auditoria de

Sistemas.

5.4.7 Notificación al titular que causa un evento

Se debe establecer en la RPS de la ER u otra documentación relevante si es que resulta factible realizar notificaciones a los titulares que causan los eventos. Debe tomarse en consideración la posibilidad de permitir la notificación a un titular en los casos en que se establezca que el evento es de índole accidental y resulta probable que pueda volver a ocurrir. REFERENCIAS

Anexo 3 Política se Seguridad de la información. Anexo 3 Auditorias y detección de intrusiones. Anexo 4 Sección 10.10 Monitoreo. Anexo 4 Sección 11 Control de Accesos.

5.4.8 Valoración de vulnerabilidad

Las ERs deben establecer en su RPS u otra documentación relevante, los procedimientos para la valoración de la vulnerabilidad de los sistemas y de ser el caso, la frecuencia en que la misma debe realizarse. REFERENCIAS

Anexo 3 Política se Seguridad de la información. Anexo 3 Auditorias y detección de intrusiones. Anexo 4 Sección 5 Política de Seguridad. Anexo 4 Sección 6.2 Seguridad en los Accesos de Terceras Partes. Anexo 4 Sección 8.1 Seguridad Antes del Empleo. Anexo 4 Sección 8.2 Durante el Empleo. Anexo 4 Sección 9.2.1 Instalación y Protección de Equipos.

5.5 Archivo de registros

5.5.1 Tipos de eventos registrados

Como mínimo deben mantenerse: los datos de los suscriptores y titulares, los contratos y documentos que dan constancia de cada solicitud realizada en la ER, las claves públicas de dicha entidad y el registro de auditorías. DECRETO SUPREMO N° 004-2007-PCM

- A1.42 -

Rev: 03/23-02-2007


Art. 11° inc. c) Artículo 11º.- Funciones Las Entidades de Certificación tendrán las siguientes funciones: c) Reconocer certificados digitales emitidos en el extranjero y responder por ellos. Art. 12° inc. j, l) y m) Artículo 12º.- Obligaciones Las Entidades de Certificación registradas tienen las siguientes obligaciones: j) Mantener la información relativa a los certificados digitales que hubieren sido cancelados, por un período mínimo de diez (10) años a partir de su cancelación. l) Informar y solicitar autorización a la AAC para realizar acuerdos de certificación cruzada que proyecte celebrar, así como los términos bajo los cuales dichos acuerdos se suscribirían. m) Informar y solicitar autorización a la AAC para efectos del reconocimiento de certificados emitidos por entidades extranjeras. Art. 53° Artículo 53º.- Acuerdos de reconocimiento mutuo La AAC podrá suscribir acuerdos de reconocimiento mutuo con entidades similares, a fin de reconocer la validez de los certificados digitales otorgados en el extranjero y extender la interoperabilidad de la IOFE. Los acuerdos de reconocimiento mutuo deben garantizar en forma equivalente las funciones exigidas por la Ley y su Reglamento. Art. 54° Artículo 54º.- Reconocimiento La AAC podrá reconocer los certificados digitales emitidos por Entidades Extranjeras, de acuerdo con las prácticas y políticas que para tal efecto apruebe, las que deben velar por el cumplimiento de las obligaciones y responsabilidades establecidas en el Reglamento u otra norma posterior. Asimismo, podrá autorizar la operación de aquellas Entidades de Certificación nacionales que utilicen los servicios de Entidades de Certificación extranjera, de verificarse tal supuesto, las entidades nacionales asumirán las responsabilidades del caso. Para tal efecto, la entidad extranjera deberá comunicar a la AAC el nombre de aquellas entidades de certificación que autorizarán las solicitudes de emisión de certificados digitales así como la gestión de los mismos. La AAC emitirá las normas que aseguren el cumplimiento de lo establecido en el presente artículo; así como los mecanismos adecuados de información a los agentes del mercado. Art. 55° Artículo 55º.- Certificación cruzada Las Entidades de Certificación acreditadas pueden realizar certificaciones cruzadas con Entidades de Certificación Extranjeras a fin de reconocer los certificados digitales que éstas emitan en el extranjero, incorporándolos como suyos dentro de la IOFE, siempre y cuando obtengan autorización previa de la AAC. Las entidades que presten servicios de acuerdo a lo establecido en el párrafo precedente, asumirán responsabilidad de daños y perjuicios por la gestión de tales certificados. Las Entidades de Certificación acreditadas que realicen certificaciones cruzadas conforme al primer párrafo del presente artículo, garantizarán ante la AAC que las firmas electrónicas y/o certificados digitales reconocidos han sido emitidos bajo requisitos equivalentes a los exigidos en la IOFE, y que cumplen las funciones señaladas en el artículo 2º de la Ley.

REFERENCIAS

- A1.43 -

Rev: 03/23-02-2007


Anexo 3 Política se Seguridad de la información. Anexo 3 Auditorias y detección de intrusiones. Anexo 3 Sección 7.2 Clasificación de la Información. Anexo 3 Sección 10.10 Registro de la Auditoria. Anexo 3 Sección 11.2 Gestión de Acceso de Usuarios. Anexo 4 Sección 12.6.1 Control de las Vulnerabilidades Técnicas Anexo 4 Sección 13.2.3 Recolección de Evidencia. Anexo 4 Sección 13.1 Reportando Eventos y debilidades de la Seguridad de Información.

5.5.2 Periodo de conservación del archivo

El periodo de conservación de los archivos. Como mínimo, los archivos deben ser mantenidos por un periodo de diez (10) años, el cual es el periodo máximo requerido por la legislación vigente. Las aplicaciones requeridas para tener acceso a un archivo deben también ser archivadas. REFERENCIAS

Anexo 3 Mantenimiento de equipos y desecho Anexo 3 Medios de almacenamiento. Anexo 4 Sección 10.10.1 Registro de la auditoria. Anexo 4 Sección 15.3 Protección de las Herramientas de Auditoria

de Sistemas.

5.5.3 Protección del archivo

Se debe establecer en la Política de Seguridad del SVA u otra documentación relevante las medidas de protección de la información archivada. Como mínimo las medidas deben prevenir cualquier modificación o eliminación de los datos contenidos en el archivo, e impedir el acceso a personas no autorizadas. Asimismo, debe garantizarse la confidencialidad de los datos proporcionados por los suscriptores y los titulares. Las medidas de seguridad que se adopten deben ser proporcionales a la sensibilidad e importancia de la información contenida en el archivo. Los archivos de mayor relevancia, así como los certificados digitales deben estar firmados digitalmente. Debe tomarse en consideración la posibilidad de re-firmado de los archivos cuando los avances en las tecnologías generen potencialmente una posibilidad de afectación a los mismos o la generación de microformas según Decreto Legislativo 681. REFERENCIAS

Anexo 3 Mantenimiento de equipos y desecho Anexo 3 Medios de almacenamiento. Anexo 4 Sección 6.1.3 Asignación de Responsabilidades Sobre

Seguridad de la Información. Anexo 4 Sección 7.2 Clasificación de la Información. Anexo 4 Sección 10.7 Utilización de los Medios de Información. Anexo 4 Sección 15.3 Protección de las Herramientas de Auditoria

de Sistemas.

5.5.4 Procedimientos para copia de seguridad del

Con el fin de mantener la integridad y disponibilidad de los servicios de procesamiento de información y comunicaciones, se deben realizar copias de respaldo de la información y software esencial. Dichas copias

- A1.44 -

Rev: 03/23-02-2007


archivo deben ser probadas con regularidad. Los procedimientos deben ser compatibles con los estándares ISO mencionados en las referencias de esta sección o la generación de microformas de acuerdo al Decreto Legislativo 681. REFERENCIAS

Anexo 3 Mantenimiento de equipos y desecho Anexo 3 Medios de almacenamiento Anexo 4 Sección 10.5 Gestión de Respaldo y Recuperación. Anexo 4 Sección 7.2.2 Marcado y tratamiento de la Información.

5.5.5 Requisitos para los archivos de sellado de tiempo

Los datos archivados deben consignar la fecha y hora, y la firma digital de la organización que genera dichos datos según la RFC 3161 (Time Stamping), o pueden ser protegidos de cualquier otra forma que pueda demostrar que los datos corresponden a la organización que los ha generado. REFERENCIAS

Anexo 3 Mantenimiento de equipos y desecho Anexo 3 Medios de almacenamiento Anexo 4 Sección 7.2.2 Marcado y tratamiento de la Información. Anexo 4 Sección 10.10.6 Sincronización del Reloj.

5.5.6 Sistema de recolección del archivo (Interna o Externa)

Se requiere que por lo menos se mantengan dos copias de seguridad, una de las cuales debe ser almacenada fuera de las instalaciones del mismo. REFERENCIAS

Anexo 3 Mantenimiento de equipos y desecho. Anexo 3 Medios de almacenamiento. Anexo 4 Sección 7.2.2 Marcado y tratamiento de la Información. Anexo 4 Sección 10.2.2 Monitoreo y Revisión de los Servicios

Externos. Anexo 4 Sección 10.5 Gestión de Respaldo y Recuperación.

5.5.7 Procedimiento para obtener y verificar la información del archivo

Los procedimientos para la obtención y verificación de la información del archivo deben encontrarse de conformidad con los requisitos de confidencialidad y privacidad detallados en los puntos 9.3 y 9.4. REFERENCIAS

Anexo 3 Mantenimiento de equipos y desecho. Anexo 3 Medios de almacenamiento. Anexo 4 Sección 7.2.2 Marcado y tratamiento de la Información.

5.6 Cambio de clave No compete a las ERs.

5.7 Recuperación frente al compromiso y desastre

Los PSCs deben establecer un plan de contingencias que permita el restablecimiento y mantenimiento de las operaciones de dichas entidades. Este plan debe contemplar las acciones a realizar, los recursos a utilizar y el personal a emplear en el caso de producirse un acontecimiento intencionado o accidental que inutilice o degrade los recursos y los servicios de certificación. Dicho plan debe asegurar que los aspectos básicos del negocio, tales

- A1.45 -

Rev: 03/23-02-2007


como servicios de validación o revocación, puedan ser reasumidos dentro de un plazo máximo de 24 horas, el cual constituye el plazo máximo para la emisión de las listas de revocación de certificados. Los planes deben ser evaluados por lo menos una vez durante el periodo de cada auditoría o evaluación de compatibilidad y los resultados deben ser puestos a disposición de los auditores de compatibilidad o asesores, conjuntamente con la información respecto a las acciones correctivas que pudieran ser necesarias. REFERENCIAS

Anexo 3 Planificación de contingencias. Anexo 3 Respuesta a Incidentes. Anexo 4 Sección 14 Gestión de continuidad del Negocio.

5.7.1 Procedimiento de manejo de incidentes y compromisos

El plan de contingencias debe establecer de manera específica los procedimientos que deben seguirse en el caso de un evento o compromiso real o potencial de la integridad de las operaciones de los SVAs. Los eventos e incidentes que afecten la seguridad de la información deben reportarse al Responsable de Seguridad lo más rápidamente posible. Todos los empleados, contratistas y terceros que confían de los sistemas y servicios de información deben tomar nota y reportar al Responsable de Seguridad cualquier debilidad observada o sospechosa sobre la seguridad de dichos sistemas y servicios de información, con el fin de identificar dichos eventos y reducir el impacto de los mismos. Cuando la acción de seguimiento contra una persona u organización después de un incidente en la seguridad de la información involucra un acción legal (civil o criminal), se debe recolectar, mantener presentar evidencia a fin de cumplir con la legislación vigente. REFERENCIAS

Anexo 3 Evaluación de riesgos. Anexo 3 Planificación de contingencias. Anexo 3 Respuesta a incidentes. Anexo 3 Auditorias y detección de intrusiones. Anexo 4 Sección 13 Gestión de Incidentes en la Seguridad de

Información. Anexo 4 Sección 14 Gestión de continuidad del Negocio.

5.7.2 Adulteración de los recursos computacionales, software y/o datos

El plan debe identificar fuentes alternativas de recursos computacionales, software y datos, las cuales deben ser empleadas en los casos de adulteraciones o fallas en los mismos. En el caso que la adulteración se refiera al compromiso real o potencial de las claves privadas que pudiera generar su inoperatividad, debe tomarse en consideración la posibilidad de realizar un proceso de re-emisión. REFERENCIAS

Anexo 3 Evaluación de riesgos. Anexo 3 Planificación de contingencias. Anexo 3 Respuesta a incidentes. Anexo 3 Seguridad de comunicaciones y redes. Anexo 3 Control de cambios y configuración. Anexo 3 Auditorias y detección de intrusiones.

- A1.46 -

Rev: 03/23-02-2007


Anexo 4 Sección 12 Adquisición, desarrollo y Mantenimiento de Sistemas.

Anexo 4 Sección 13 Gestión de Incidentes en la Seguridad de Información.

Anexo 4 Sección 14 Gestión de continuidad del Negocio.

5.7.3 Procedimientos en caso de compromiso de la clave privada de la entidad

En el caso de compromiso de la clave privada de un empleado que cumpla un rol de confianza, el certificado deberá ser revocado y se deberá solicitar la emisión de un nuevo certificado.

5.7.4 Capacidad de continuidad de negocio luego de un desastre


5.8 Finalización de la EC o ER

Se requiere información por parte de los PSCs respecto a operaciones de finalización (disolución) o transferencia de su titularidad. La ER debe informar al INDECOPI, a los suscriptores, titulares y terceros que confían sobre el cese de sus operaciones con por lo menos treinta (30) días calendario de anticipación. Cuando un PSC finaliza sus operaciones, se debe asegurar que todos los datos necesarios para la continuación de las operaciones bajo el marco de la IOFE son transferidas al propio INDECOPI o a otro PSC designado por éste. Cuando se trata de una operación de transferencia de titularidad, se debe asegurar que los nuevos dueños u operadores cumplan con los requisitos de acreditación. Se debe advertir a todos los suscriptores o terceros que confían, respecto a los cambios y todo tipo de condición asociada a la continuidad del uso de los certificados emitidos por una EC que finaliza o transfiere sus operaciones. DECRETO SUPREMO N° 004-2007-PCM

Art. 14° Artículo 14º.- Del cese de operaciones La Entidad de Certificación cesa sus operaciones en el marco de la IOFE, en los siguientes casos: a) Por decisión unilateral comunicada a la AAC, asumiendo la responsabilidad del caso por dicha decisión. b) Por extinción de su personería jurídica. c) Por revocación de su registro. d) Por sentencia judicial. e) Por liquidación, decidida por la junta de acreedores en el marco de la legislación concursal, o resolución judicial de quiebra. Para los supuestos contemplados en los incisos a) y b) la AAC establecerá el plazo en el cual las Entidades de Certificación notificarán tanto a aquélla como a los titulares de certificados digitales el cese de sus actividades. La AAC deberá adoptar las medidas necesarias para preservar las obligaciones contenidas en los incisos d), g) e i) del artículo 12º del Reglamento. La AAC reglamentará los procedimientos para hacer público el cese de operaciones de las entidades de certificación. Los certificados digitales emitidos por una Entidad de Certificación cuyas operaciones han cesado deben ser cancelados a partir del día,

- A1.47 -

Rev: 03/23-02-2007


hora, minuto y segundo en que se aplica el cese. El uso de certificados digitales con posterioridad a su cancelación conlleva la inaplicabilidad de los artículos 5º y 6º del presente Reglamento.

6. CONTROLES DE SEGURIDAD TECNICA

6.1 Generación e instalación del par de claves


6.1.1 Generación del par de claves

La generación de claves tanto para uso de INDECOPI, los PSCs como para uso de los usuarios finales, debe ser realizada utilizando procedimientos de generación de claves compatibles con el estándar FIPS 140-2 Sección 4.7.2 o Common Criteria EAL4+ como mínimo. Las claves pueden ser generadas por los propios suscriptores o por las ERs.

6.1.2 Entrega al suscriptor de la clave privada

En el caso que una ER genere las claves a nombre del suscriptor, deben implementarse controles que aseguren la confidencialidad de la clave privada asociada. En los casos en que las claves no son emitidas en presencia del suscriptor o titular, se debe permitir la emisión electrónica de claves, proveyendo canales seguros por separado para la emisión de la clave y para el código (o códigos) de activación de la misma.

6.1.3 Entrega de la clave pública para el emisor de un certificado

Cuando un suscriptor genera su propio par de claves o par de claves del titular, las claves públicas correspondientes deben ser entregadas al emisor del certificado de manera tal que se asegure la autenticidad de dicho suscriptor. En los casos en que las ERs acepten las claves públicas en representación de los emisores de los certificados, éstas deberán ser entregadas a dicho emisor de manera tal que se asegure el mantenimiento de la asociación que debe existir entre el titular y la clave.

6.1.4 Entrega de la clave pública de la EC al tercero que confía


6.1.5 Tamaño de las claves No compete a las ERs.

6.1.6 Generación de parámetros de las claves públicas y �erificación de la calidad


6.1.7 Propósitos del uso de las claves (conforme a lo


- A1.48 -

Rev: 03/23-02-2007


establecido en el campo de uso de X.509 v3)

6.2 Controles de ingeniería para protección de la clave privada y módulo criptográfico


6.2.1 Estándares y controles para el módulo criptográfico

Los módulos criptográficos usados por las ECs deben cumplir los requerimientos o ser equivalentes a FIPS 140-2, nivel de seguridad 3. Los módulos criptográficos usados por ERs o Proveedores de servicios de repositorio acreditados deben cumplir los requerimientos o ser equivalentes a los requerimientos de FIPS 140-2 nivel de seguridad 2 como mínimo. Los módulos criptográficos usados por los titulares o suscriptores bajo el marco de la IOFE deben cumplir los requerimientos o ser equivalentes a los requerimientos de FIPS 140-2 nivel 1. NOTA: Los requerimientos exigidos en esta sección se aplican tanto al hardware como al firmware (“sistema operativo”) de los módulos criptográficos.

6.2.2. Clave pública (n fuera de m) Control multipersonal


6.2.3 Depósito de clave privada

No se admite el depósito, almacenamiento o copia de claves privadas de firma y autenticación de los usuarios finales, ni de los módulos hardware que los contienen. Sólo se permite el depósito de claves privadas de cifrado (copia de back up), sólo si media consentimiento del suscriptor.

6.2.4 Copia de seguridad de la clave privada de los PSC


6.2.5 Archivo de la clave privada

No deberán ser archivadas las claves privadas empleadas para la firma y autenticación de los usuarios finales, ni de los archivos electrónicos que los contengan (por ejemplo, los archivos con extensión PFX). Otras claves privadas pueden ser archivadas a efectos de permitir la restauración del material correspondiente. En los casos en que se archive una clave privada, ésta deberá ser protegida en el mismo nivel que se emplea para la protección de la clave activa.

6.2.6 Transferencia de la clave privada de No compete a las ERs.

- A1.49 -

Rev: 03/23-02-2007


o hacia un módulo criptográfico

6.2.7 Almacenamiento de la clave privada en un módulo criptográfico


6.2.8 Método de activación de la clave privada


6.2.9 Método de desactivación de la clave privada


6.2.10 Método de destrucción de la clave privada


6.2.11 Clasificación del módulo criptográfico

Los módulos criptográficos usados por las ECs o por las Autoridades de Gestión de ECs, deben cumplir los requisitos establecidos o que sean equivalentes a FIPS 140-2 nivel de seguridad 3 como mínimo. Los módulos criptográficos usados por los ERs o por los Proveedores del Servicio de Repositorio acreditados deben cumplir los requisitos establecidos o que sean equivalentes a FIPS 140-2 nivel de seguridad 2 como mínimo. Los módulos criptográficos usados por los suscriptores de certificados acreditados por la IOFE deben cumplir los requisitos establecidos o que sean equivales a FIPS 140-2 nivel de seguridad 1 como mínimo y según el nivel de seguridad medio y medio alto. NOTA: El estándar ISO/IEC 15408 basado en la protección de perfiles para dispositivos criptográficos certificado EAL4+, se encuentran definidos en: CWA 14169 (dispositivos de los titulares), CWA 14167-2 y -4 para ECs, Autoridades de Sellado de Tiempo, etc. CWA 14167-3 para la generación de la clave fuera de dispositivos de firma. Los CEN Workshop Agreements (CWAs) 14169, 14167-2, 14167-3, 14167-4, son compatibles con el ISO 15408 – Common Criteria para dispositivos de firma desarrollados por el Comité Europeo de Normalización (CEN – www.cenorm.be) dentro del trabajo realizado por la European Electronic Signature Specification Initiative. Se puede acceder a estos documentos a través de la URL www.cenorm.be/cenorm/businessdomains/isss/cwa/electronic+signatures.asp TSA: Autoridad de sellado de tiempo: autoridad que emite tokens para sellado de tiempo (RFC 3628). Los requerimientos exigidos en esta sección se aplican tanto al hardware como al firmware (“sistema operativo”) de los módulos criptográficos.

- A1.50 -

Rev: 03/23-02-2007


6.3 Otros aspectos de la gestión del par de claves

6.3.1 Archivo de la clave pública No compete a las ERs.

6.3.2 Periodos operacionales del certificado y periodo de uso de las claves


6.4 Datos de activación No compete a las ERs.

6.4.1 Generación e instalación de datos de activación


6.4.2 Protección de los datos de activación No compete a las ERs.

6.4.3 Otros aspectos de los datos de activación

El ciclo de vida de los datos de activación debe de estar de conformidad con el valor de los activos protegidos por la clave privada. Como ejemplo, puede requerirse el cambio de PINs y contraseñas cada 30 días con limitaciones en cuanto a su formato y uso.

6.5 Controles de seguridad computacional

En caso que la ER mantenga o procese la información sensible en equipos informáticos, deberá considerar las siguientes sub-secciones.

6.5.1 Requisitos técnicos específicos para seguridad computacional

La ER debe establecer en su RPS los controles de seguridad computacional, incluyendo métodos necesarios para la evaluación de dichos controles. Las siguientes normas proveen directrices respecto a los tipos de controles que deben implementarse:

• La norma ISO/IEC 17799 “Information technology – Code of practice for information security management” y la norma ISO/IEC TR13335 “Information technology - Guidelines for the management of IT Security”.

• La norma ISO/IEC 27001:2005 “Information technology -

Security techniques - Information security management systems - Requirements”.

• La norma ISO/IEC 15408 “Information technology - Security

techniques - Evaluation criteria for IT security”. REFERENCIAS

Anexo 4 Control de acceso. Anexo 4 Seguridad de Comunicaciones y Redes.

- A1.51 -

Rev: 03/23-02-2007


Anexo 5 Sección 11 Control de Accesos. Anexo 5 Sección 12 Adquisición, desarrollo y Mantenimiento de

Sistemas.

6.5.2 Evaluación de la seguridad computacional

Las evaluaciones deben ser realizadas de manera compatible con los siguientes estándares internacionales :

a) La norma ISO/IEC 15408 “Information technology -- Security techniques - Evaluation criteria for IT security”.

b) La norma ISO/IEC 17799 “Information technology – Code of

practice for information security management” y la norma ISO/IEC TR13335 “Information technology - Guidelines for the management of IT Security”

c) La norma ISO/IEC 27001:2005 “Information technology -

Security techniques - Information security management systems - Requirements”.

d) FIPS PUB 140-2 – “Security Requirements for Cryptographic

Modules” o Common Criteria EAL 4. REFERENCIAS

Anexo 4 Control de acceso. Anexo 4 Seguridad de Comunicaciones y Redes. Anexo 5 Sección 10 Desarrollo y Mantenimiento de sistemas. Anexo 5 Sección 12.6.1 Gestión de la Vulnerabilidad Técnica.

6.6 Controles técnicos del ciclo de vida

6.6.1 Controles de desarrollo del sistema


6.6.2 Controles de gestión de seguridad


6.6.3 Evaluación de seguridad del ciclo de vida


6.7 Controles de seguridad de la red No compete a las ERs.

6.8 Sello de tiempo No compete a las ERs.

7. PERFILES DE CERTIFICADO

- A1.52 -

Rev: 03/23-02-2007


7.1 Perfil de certificado No compete a las ERs.

7.1.1 Número(s) de versión(es) No compete a las ERs.

7.1.2 Extensiones del certificado No compete a las ERs.

7.1.3 Identificadores de Objeto de algoritmo


7.1.4 Forma de nombres No compete a las ERs.

7.1.5 Restricciones de nombre No compete a las ERs.

7.1.6 Identificador de objeto de la política de certificados


7.1.7 Extensión de restricciones de uso de la política


7.1.8 Sintaxis y semántica de los calificadores de la política


7.1.9 Procesamiento de semántica para la extensión de políticas de certificados críticos


7.2 Perfil CRL


7.2.2 CRL y Extensiones de entrada de CRL


7.3 Perfil OCSP No compete a las ERs.

- A1.53 -

Rev: 03/23-02-2007



7.3.2 Extensiones OCSP


8. AUDITORIAS DE COMPATIBILIDAD Y OTRAS EVALUACIONES

Se debe estar sometido a auditoría de compatibilidad independiente en relación a las operaciones que realiza. La frecuencia de auditorías externas o evaluaciones de compatibilidad y el proceso de publicación de los resultados debe ser de una vez al año. La auditoría de compatibilidad o los procesos de evaluación requeridos para obtener y mantener la acreditación debe asimismo estar establecidos en la RPS u otra documentación relevante. REFERENCIAS

Anexo 3 Auditorias y Detección de Intrusiones. Anexo 4 Sección 10.10 Monitoreo. Anexo 4 Sección 15.3 Consideraciones Sobre la Auditoria de Sistemas.

8.1 Frecuencia y circunstancias de la evaluación

Los PSCs acreditados deben someterse una vez al año a auditorías o evaluaciones de conformidad respecto del marco de la IOFE. Los PSCs pueden también someterse a auditorías o evaluaciones de conformidad en relación a lo establecido en su RPS. Se debe de publicar el resultado de estas auditorías o evaluaciones de compatibilidad. REFERENCIAS

Anexo 3 Auditorias y Detección de Intrusiones. Anexo 4 Sección 10.10 Monitoreo. Anexo 4 Sección 15.3 Consideraciones Sobre la Auditoria de Sistemas.

8.2 Identidad/ Calificaciones de asesores

Un equipo de auditoría o evaluación de compatibilidad debe incluir a personas con experiencia significativa en tecnologías de la información, seguridad y tecnologías de PKI y criptográficas. INDECOPI exige que las personas que realizan las auditorías o evaluaciones de compatibilidad bajo el marco de la IOFE, sean previamente aprobadas por éste. REFERENCIAS

Anexo 3 Seguridad de Personal. Anexo 4 Sección 8 Seguridad en Recursos Humanos.

8.3 Relación del auditor con la entidad auditada

Los auditores o asesores deben ser independientes de la organización que auditan o evalúan.

8.4 Elementos cubiertos por la

Los elementos cubiertos por la auditoría son la implementación de las prácticas de personal, procedimientos y técnicas descritas en este

- A1.54 -

Rev: 03/23-02-2007


evaluación documento. Entre los principales elementos donde se enfocará la auditoría son:

a) Identificación y autenticación.

b) Servicios y/o funciones operacionales.

c) Los controles de seguridad física.

d) Los controles para la ejecución de los procedimientos y los controles de personas que aplican para la ER.

e) Controles de seguridad técnicos.

REFERENCIAS Anexo 3 Auditorías y Detección de Intrusiones. Anexo 4 Sección 10.10 Monitoreo. Anexo 4 Sección 15.3 Consideraciones Sobre la Auditoria de Sistemas.

8.5 Acciones a ser tomadas frente a resultados deficientes

Al detectarse una irregularidad, y dependiendo de la gravedad de la misma, podrán tomarse entre otras las siguientes acciones:

a) Indicar las irregularidades, pero permitir al PSC que continúe sus operaciones hasta la próxima auditoría programada.

b) Permitir al PSC que continúe sus operaciones por un máximo de

treinta (30) días naturales pendientes a la corrección de los problemas antes de suspenderlo.

c) Suspender la operación del PSC.

El auditor entregará a la AAC un informe técnico sustentando las acciones a realizar y la AAC determinará cual de estas acciones deberá ser tomada. Esta decisión estará basada en la severidad de las irregularidades, los posibles riesgos y las consecuencias para los suscriptores y titulares. Si se toma la tercera acción, todos los certificados emitidos por la EC serán revocados antes de la suspensión del servicio. INDECOPI en su calidad de AAC, se reserva el derecho de revocar o suspender la acreditación de un PSC cuando luego de su auditoría o evaluación de conformidad se comprueba la existencia de deficiencias significativas con relación al marco establecido de la IOFE.

8.6 Publicación de Resultados

Los resultados de las auditorías o evaluaciones de compatibilidad bajo el marco de la IOFE de los PSCs acreditados deben ser publicados como parte de la información de estado de aquellas entidades, la cual es publicada por INDECOPI. Cuando INDECOPI reconozca los certificados emitidos por otras infraestructuras paralelas a la IOFE, los resultados de las auditorías o evaluaciones de compatibilidad de los PSCs acreditados, serán publicados por INDECOPI como parte de la información concerniente.

- A1.55 -

Rev: 03/23-02-2007


9. OTRAS MATERIAS DE NEGOCIO Y LEGALES

9.1 Tarifas Las tarifas a ser pagadas por participar de la IOFE deben estar de acuerdo a la legislación vigente. Las ERs, en convenio con las ECs vinculadas, deben establecer el monto de sus tarifas. En particular, las tarifas deben ser referenciadas en los contratos de suscriptores y terceros que confían. DECRETO SUPREMO N° 004-2007-PCM

Artículo 42º Artículo 42º.- Presentación de la solicitud de acreditación de la entidad de certificación La solicitud de acreditación de Entidades de Certificación debe presentarse a la AAC, observando lo dispuesto en el artículo anterior y adjuntando lo siguiente: a) Pago por derecho de solicitud de acreditación por un monto equivalente al 100% de la UIT vigente a la fecha de pago.

9.1.1 Tarifas para la emisión o renovación de certificados

La ER debe indicar en su RPS u otra documentación relevante, la información correspondiente a la ubicación de las tarifas a ser pagadas por este servicio. En particular, las tarifas deben estar establecidas o referenciadas en los contratos de suscriptores y terceros que confían.

9.1.2 Tarifas de acceso a certificados No compete a las ERs.

9.1.3 Tarifas para información sobre revocación o estado


9.1.4 Tarifas para otros servicios

La ER debe indicar en su RPS u otra documentación relevante, la información correspondiente a la ubicación de las tarifas a ser pagadas por este servicio. En particular, las tarifas deben estar establecidas o referenciadas en los contratos de suscriptores y terceros que confían.

9.1.5 Políticas de reembolso

La ER debe establecer en su RPS u otra documentación relevante, sus políticas de reembolso. En particular, las políticas deben estar establecidas o referencias en los contratos de suscriptores y terceros que confían.

9.2 Responsabilidad financiera

9.2.1 Cobertura de seguro

En el tema de la contratación de seguros o garantías bancarias, este requisito no será exigible para las EREPs. En el caso de las ER particulares, la contratación del seguro o garantía bancaria al que se refiere el inciso f) del artículo 16° del Reglamento de la Ley, será exigible a partir de julio del 2008, sobre la base de los criterios y condiciones establecidas para tales efectos por la AAC. Para efectos del procedimiento de acreditación, bastará acompañar una declaración jurada en la que se señale el cumplimiento con estas obligaciones.

- A1.56 -

Rev: 03/23-02-2007


El monto mínimo de la póliza es de $ 35 000. 00 dólares americanos.

9.2.2 Otros activos Las ERs deben presentar para su acreditación, una declaración jurada de cumplimiento de los requisitos señalados en artículos 16° y 17° del Reglamento de la Ley de Certificados y Firmas Digitales – Decreto Supremo N° 004-2007-PCM. Cuando una ER terceriza parte de sus operaciones, la ER asumirá la responsabilidad financiera de dichas operaciones. DECRETO SUPREMO N° 004-2007-PCM

Art. 16° Artículo 16º .- Obligaciones Las entidades de Registro o Verificación registradas tienen las siguientes obligaciones: a) Cumplir con su Declaración de Prácticas de Registro o Verificación. b) Determinar objetivamente y en forma directa la veracidad de la información proporcionada por el solicitante de certificado digital bajo responsabilidad. c) Mantener la confidencialidad de la información relativa a los solicitantes y titulares de certificados digitales limitando su empleo a las necesidades propias del servicio de registro o verificación, salvo orden judicial o pedido expreso del titular del certificado digital. d) Recoger únicamente información o datos personales de relevancia para la emisión de los certificados. e) Acreditar domicilio en el Perú. f) Mantener vigente la contratación de seguros o garantías bancarias que permitan indemnizar por los daños que puedan ocasionar como resultado de las actividades de certificación. Estas obligaciones podrán ser precisadas por la AAC, a excepción de las que señale expresamente la Ley. Art. 17° Artículo 17º .- Respaldo financiero Las entidades de registro o verificación acreditada deberán contar con el respaldo económico suficiente para operar bajo la IOFE; así como para afrontar el riesgo de responsabilidad por daños, de conformidad con lo dispuesto en la Ley y en el Reglamento. La AAC definirá los criterios para evaluar el cumplimiento de este requisito.

Artículo 37º.- De la Entidad de Certificación Nacional para el Estado Peruano (ECERNEP) f) Para la acreditación de la ECERNEP ante la AAC, no resultará exigible el requisito de respaldo financiero. Tampoco lo será lo señalado en el inciso n) del artículo 12º. Art. 38° inc. j) Artículo 38º.- De las Entidades de Certificación para el Estado Peruano (ECEP) j) Para la acreditación de las ECEP ante la AAC, no resultará exigible el requisito de respaldo financiero. Tampoco lo será lo señalado en el inciso n) del artículo 12º. Art. 42° inc. g) Artículo 42º.- Presentación de la solicitud de acreditación de la entidad de certificación La solicitud de acreditación de Entidades de Certificación debe

- A1.57 -

Rev: 03/23-02-2007


presentarse a la AAC, observando lo dispuesto en el artículo anterior y adjuntando lo siguiente: g) Documentación que acredite el cumplimiento de lo dispuesto en los artículos 12º y 13º del Reglamento y demás que la AAC señale.

9.2.3 Cobertura de seguro o garantía para entidades finales

En el caso que exista cobertura de seguro o garantía disponibles para los suscriptores, la ER debe establecer en su RPS los tipos correspondientes, lo cual deberá también ser referenciado en el contrato de suscriptor, incluyendo los términos y condiciones de dicha cobertura. En el caso que exista cobertura de seguro o garantía disponibles para los terceros que confían, esto deberá encontrarse referenciado en la CPS, en donde deben incluirse los términos y condiciones de la cobertura para el tercero que confía.

9.3 Confidencialidad de la información del negocio

9.3.1 Alcances de la información confidencial

Los PSCs acreditados deben mantener de manera confidencial la siguiente información:

• Material comercialmente reservado de los PSCs, de los suscriptores de la empresa y de las terceros que confían, incluyendo términos contractuales, planes de negocio y propiedad intelectual;

• Información que puede permitir a partes no autorizadas

establecer la existencia o naturaleza de las relaciones entre los suscriptores de empresa y los terceros que confían;

• Información que pueda permitir a partes no autorizadas la

construcción de un perfil de las actividades de los suscriptores, titulares o terceros que confían.

• Se debe asegurar la reserva de toda información que mantiene,

la cual pudiera perjudicar la normal realización de sus operaciones.

Se permite la publicación de información respecto a la revocación o suspensión de un certificado, sin revelar la causal que motivó dicha revocación o suspensión. La publicación puede estar limitada a suscriptores legítimos, titulares o terceros que confían. DECRETO SUPREMO N° 004-2007-PCM

Art. 12° inc. h) Artículo 12º.- Obligaciones h) Mantener la confidencialidad de la información relativa a los solicitantes y titulares de certificados digitales limitando su empleo a las necesidades propias del servicio de certificación, salvo orden judicial o pedido expreso del titular del certificado digital.

REFERENCIAS

Anexo 3 Organización. Anexo 4 Sección 6.1.5 Acuerdos de confidencialidad. Anexo 4 Sección 8.1.3 Acuerdos de confidencialidad.

- A1.58 -

Rev: 03/23-02-2007


Anexo 6 Norma Marco sobre Privacidad.

9.3.2 Información no contenida dentro del rubro de información confidencial

Se debe permitir la publicación de certificados (siempre que el suscriptor lo autorice en el contrato del suscriptor) e información de estado de certificados, así como de información en relación a la revocación de un certificado sin revelar la razón de dicha revocación. La publicación puede estar limitada a suscriptores legítimos, titulares o terceros que confían. DECRETO SUPREMO N° 004-2007-PCM

Art. 12° inc. h) Artículo 12º.- Obligaciones h) Mantener la confidencialidad de la información relativa a los solicitantes y titulares de certificados digitales limitando su empleo a las necesidades propias del servicio de certificación, salvo orden judicial o pedido expreso del titular del certificado digital. Art. 38° inc. a) y b) Artículo 38º.- De las Entidades de Certificación para el Estado Peruano (ECEP) a) Deberán ofrecer un servicio de directorio y permitir que las aplicaciones accedan a los certificados digitales emitidos y a la Lista de Certificados Digitales Revocados (LCR). Este servicio se debe encontrar actualizado con la frecuencia indicada en las Políticas de Certificación de cada tipo de certificado. Junto al Servicio de Directorio se puede disponer del servicio de consulta en línea del estado de un certificado digital. b) Una ECEP podrá ofrecer distintos servicios y mecanismos para recibir un requerimiento de certificado digital para otorgar el mismo a su titular. La recepción de solicitudes de revocación y la publicación periódica de la Lista de Certificados Digitales Revocados (LCR) son servicios que debe ofrecer en forma obligatoria. Asimismo, deberá garantizar el acceso permanente a dichos servicios, proponiendo una solución para una eventual contingencia.

REFERENCIAS Anexo 3 Organización. Anexo 4 Sección 5 Política de Seguridad. Anexo 6 Norma Marco sobre Privacidad.

9.3.3 Responsabilidad de protección de la información confidencial

Los PSCs acreditados deben cumplir tanto sus requisitos de confidencialidad como las leyes sobre protección de datos, confidencialidad de la información y propiedad intelectual que les fueren aplicables, tal y como está establecido en su Plan de Privacidad y la Norma Marco sobre Privacidad. DECRETO SUPREMO N° 004-2007-PCM


REFERENCIAS

- A1.59 -

Rev: 03/23-02-2007


Anexo 3 Organización. Anexo 4 Sección 5 Política de Seguridad. Anexo 4 Sección 15.1.4 Protección de los Datos y de la Privacidad

de la Información Personal. Anexo 6 Norma Marco sobre Privacidad.

9.4 Privacidad de la información personal

Los PSCs acreditados deben cumplir con la legislación sobre protección de datos de conformidad con la Norma Marco sobre Privacidad que se encuentra en el anexo 6. También debe tomarse en consideración la legislación sobre protección de datos de las jurisdicciones con las que mantengan acuerdos de reconocimiento cruzado y las políticas de protección de datos personales existentes en dichas infraestructuras. Debe tomarse particular atención a las provisiones relativas a la transferencia internacional de información personal. Los PSCs deben realizar evaluaciones de impacto a la privacidad de sus operaciones, como parte del proceso necesario para su correspondiente acreditación. DECRETO SUPREMO N° 004-2007-PCM

Art. 12° inc. h), l) y m) Artículo 12º.- Obligaciones Las Entidades de Certificación registradas tienen las siguientes obligaciones: h) Mantener la confidencialidad de la información relativa a los solicitantes y titulares de certificados digitales limitando su empleo a las necesidades propias del servicio de certificación, salvo orden judicial o pedido expreso del titular del certificado digital. l) Informar y solicitar autorización a la AAC para realizar acuerdos de certificación cruzada que proyecte celebrar, así como los términos bajo los cuales dichos acuerdos se suscribirían. m) Informar y solicitar autorización a la AAC para efectos del reconocimiento de certificados emitidos por entidades extranjeras. Art. 55° Artículo 55º.- Certificación cruzada Las Entidades de Certificación acreditadas pueden realizar certificaciones cruzadas con Entidades de Certificación Extranjeras a fin de reconocer los certificados digitales que éstas emitan en el extranjero, incorporándolos como suyos dentro de la IOFE, siempre y cuando obtengan autorización previa de la AAC. Las entidades que presten servicios de acuerdo a lo establecido en el párrafo precedente, asumirán responsabilidad de daños y perjuicios por la gestión de tales certificados.

REFERENCIAS Anexo 3 Organización. Anexo 4 Sección 5 Política de Seguridad. Anexo 4 Sección 15.1.4 Protección de los Datos y de la Privacidad de la Información Personal. Anexo 6 Norma Marco sobre Privacidad.

- A1.60 -

Rev: 03/23-02-2007


9.4.1 Plan de privacidad

Se requiere de los PSCs la preparación de un plan de privacidad de conformidad con la Norma Marco sobre Privacidad presentada en el anexo 6 de la Guía de Acreditación de ER, como parte de la documentación a ser presentada y evaluada para su acreditación. El plan debe establecer el tipo de datos personales que pueden ser recolectados y cómo serán utilizados, protegidos, recuperados/corregidos, las circunstancias en que estos serán revelados y las sanciones en caso de incumplimiento del plan. NOTA: El contenido del plan, incluyendo las sanciones, puede impactar en la posibilidad de llevar a cabo transferencias internacionales de datos personales entre infraestructuras. REFERENCIAS

Anexo 3 Organización. Anexo 4 Sección 5 Política de Seguridad. Anexo 6 Norma Marco sobre Privacidad.

9.4.2 Información tratada como privada

Los PSCs deben mantener de manera confidencial la siguiente información:

• Información personal provista por los suscriptores, titulares y terceros que confían que no sea la autorizada para estar contenida en certificados y repositorios;

• Información que pueda permitir a partes no autorizadas

establecer la existencia o naturaleza de las relaciones entre suscriptores, titulares y terceros que confían;

• Información que pueda permitir a partes no autorizadas la

construcción de un perfil de las actividades de los suscriptores, titulares o terceros que confían.

• Se debe permitir la publicación de información respecto a la

revocación o suspensión de un certificado, sin revelar la causal que motivó dicha suspensión o revocación.

La publicación puede estar limitada a suscriptores legítimos, titulares o terceros que confían del dominio ER. DECRETO SUPREMO N° 004-2007-PCM



9.4.3 Información no considerada privada

Se permite la divulgación de información personal sólo en los casos en que exista consentimiento expreso del individuo cuya información corresponde.

- A1.61 -

Rev: 03/23-02-2007


Se permite la publicación de certificados e información de estado de certificado y la publicación de información en relación a si un certificado ha sido suspendido o revocado, sin revelar la causal que motivó dicha suspensión o revocación. La publicación puede estar limitada a suscriptores legítimos, titulares o terceros que confían del dominio de la ER, la IOFE u otros reconocidos. DECRETO SUPREMO N° 004-2007-PCM



9.4.4 Responsabilidad de protección de la información privada

Los PSCs acreditados deben cumplir con sus requerimientos de confidencialidad y con las leyes sobre protección de datos y confidencialidad de la información que les fuere aplicable, así como la Norma Marco sobre Privacidad presentada en el anexo 6 de la Guía de Acreditación de ER. REFERENCIAS

Anexo 3 Organización. Anexo 4 Sección 5 Política de Seguridad. Anexo 4 Sección 15.1.4 Protección de los Datos y de la Privacidad de la Información Personal. Anexo 6 Norma Marco sobre Privacidad.

9.4.5 Notificación y consentimiento para el uso de información

En los contratos y acuerdos que serán firmados por los suscriptores se debe establecer el tipo de datos personales que pueden ser recolectados, cómo serán utilizados, protegidos y cómo estos pueden ser revisados/corregidos, las circunstancias bajo las cuales serán divulgados, la manera de desagravios y sanciones para las fallas en el cumplimiento del acuerdo con la parte o partes que utilizan o recolectan dichos datos. Asimismo, debe incorporarse en el acuerdo, el necesario consentimiento para la divulgación de datos específicos. Las notificaciones relevantes efectuadas a los terceros que confían deben establecer de manera específica los datos personales que pueden ser recolectados, cómo serán usados, protegidos y cómo pueden ser revisados/corregidos, las circunstancias bajo las cuales serán divulgados, la manera de desagravios y sanciones para las fallas en el cumplimiento del plan. De ser posible, deberá obtenerse consentimiento explícito para la revelación de datos específicos. Cuando esto no sea posible, el tercero que confía debe ser informado que el acceso al material implicará la dación de un consentimiento implícito con los términos antes señalados. NOTA: El contenido del plan, incluyendo las sanciones, puede impactar en la posibilidad de llevar a cabo transferencias internacionales de

- A1.62 -

Rev: 03/23-02-2007


datos personales entre infraestructuras. REFERENCIAS

Anexo 3 Organización. Anexo 4 Sección 5 Política de Seguridad. Anexo 4 Sección 15.1.4 Protección de los Datos y de la Privacidad de la Información Personal. Anexo 6 Norma Marco sobre Privacidad.

9.4.6 Divulgación realizada con motivo de un proceso judicial o administrativo

Se debe permitir la revelación de información personal a oficiales encargados del cumplimiento de leyes o como parte de un descubrimiento civil, donde se hace una solicitud de conformidad con la ley aplicable en la jurisdicción en donde el PSC se encuentra localizado. Cuando la solicitud de divulgación de información proviene de otra jurisdicción, debe permitirse la aplicación de leyes de asistencia mutua. DECRETO SUPREMO N° 004-2007-PCM



9.4.7 Otras circunstancias para divulgación de información

Se debe permitir a los suscriptores, titulares y terceros que confían solicitar la divulgación de la información que han provisto a terceros. Se debe requerir que la divulgación de la información bajo otras circunstancias se realice solamente de conformidad con la CP u otra documentación relevante y que esto se encuentra de conformidad con la ley aplicable y con la Norma Marco sobre Privacidad. REFERENCIAS


9.5 Derechos de propiedad intelectual

Se debe asegurar que el acceso necesario a información de registro, nombres, incluyendo copias de archivo, se encuentra disponible para INDECOPI a efectos de continuar las operaciones en el marco de la IOFE en el caso de eliminación o falla de los PSCs acreditados. Esto puede involucrar temas de propiedad intelectual. Se permite a los PSCs acreditados, el mantenimiento de los derechos de propiedad intelectual respecto de sus propias tecnologías y procesos. Los PSCs acreditados deben mantener los derechos de propiedad intelectual necesarios para el material y procesos que utilizan para las operaciones dentro del marco de la IOFE.

- A1.63 -

Rev: 03/23-02-2007


REFERENCIAS Anexo 3 Organización. Anexo 4 Sección 15.1.2 Derechos de Propiedad Intelectual.

9.6 Representaciones y garantías

9.6.1 Representaciones y garantías de la EC


9.6.2 Representaciones y garantías de la ER

La ER debe establecer en su RPS provisiones de garantía y responsabilidad, incluyendo limitaciones y exclusiones. Debe asimismo asegurar que dichas provisiones se encuentran establecidas en los contratos de suscriptor y tercero que confía. En particular, la ER debe establecer responsabilidades en relación a errores u omisiones en la identificación del suscriptor, procesamiento de las solicitudes de certificado o de revocación y protección de datos personales provistos. REFERENCIAS


9.6.3 Representaciones y garantías de los suscriptores

Un suscriptor o titular debe estar obligado a cumplir las obligaciones de suscriptor establecidas en el CP y CPS de la EC. Se debe requerir al suscriptor la firma de un acuerdo de cumplimiento de sus obligaciones, incluyendo las concernientes a los titulares inscritos por él. El acuerdo debe incluir las consecuencias de eventuales incumplimientos. El acuerdo del suscriptor debe contemplar las obligaciones cuando la legislación las establezca a los suscriptores o titulares a fin de asegurar los efectos legales de las transacciones realizadas utilizando certificados emitidos por la EC. Cuando una jurisdicción establece obligaciones a los suscriptores o titulares que se encuentran fuera de dicha jurisdicción, estas obligaciones deben de estar disponibles para los suscriptores o titulares. Las obligaciones del suscriptor o titular pueden incluir una garantía de la exactitud de la información provista en las aplicaciones del certificado, acordando la protección de claves y certificados frente a malos usos y el acuerdo de no empleo de las claves y certificados fuera de los alcances de la IOFE. Cuando un suscriptor celebra un acuerdo en representación de un número de titulares, sus responsabilidades en relación a las acciones de dichos titulares, también deben estar claramente establecidas. REFERENCIAS

Anexo 3 Organización. Anexo 4 Sección 5 Política de Seguridad.

- A1.64 -

Rev: 03/23-02-2007


9.6.4 Representaciones y garantías de las terceros que confían

Un tercero que confía puede ser requerido a cumplir con las obligaciones del tercero que confía establecidas en la RPS de la ER. Se le debe notificar al tercero que confía dichas obligaciones por intermedio de la publicación de un documento accesible para el tercero que confía. La declaración o documento, debe incluir las consecuencias derivadas del incumplimiento del acuerdo. Cuando la legislación establezca determinadas obligaciones al tercero que confía para asegurar efecto legal a las transacciones realizadas utilizando certificados en los cuales esta parte confía, la documentación debe de establecer dichas obligaciones. Las obligaciones del tercero que confía pueden incluir la necesidad de verificación del estado de los certificados y el acuerdo de no usar los certificados fuera de los términos establecidos en el marco de la IOFE. REFERENCIAS


9.6.5 Representaciones y garantías de otros participantes

Otros participantes no específicamente mencionados anteriormente, deben establecer en su declaración de prácticas u otra documentación provisiones sobre garantías y responsabilidades, incluyendo limitaciones y exclusiones de las mismas. Asimismo, deben asegurar que dichas provisiones se incluyan en todo contrato de suscriptor o tercero que confía. REFERENCIAS


9.7 Exención de garantías

Las ERs deben establecer en sus RPS y otra documentación relevante, cualquier exención de responsabilidad que pudiera aplicárseles. Asimismo, deben asegurar que estas provisiones sean incluidas en cualquier contrato de suscriptor o tercero que confía. No cabe exención de responsabilidad para aquellas garantías establecidas por la legislación vigente (Reglamento de la Ley de Firmas y Certificados Digitales, aprobado por el D.S. Nº004–2007–PCM). DECRETO SUPREMO N° 004-2007-PCM

Art. 16° inc. f) Artículo 16º.- Obligaciones f) Mantener vigente la contratación de seguros o garantía. Artículo 17º.- Respaldo financiero

Las Entidades de Registro o Verificación acreditadas deberán contar con el respaldo económico suficiente para operar bajo la IOFE, así como para afrontar el riesgo de responsabilidad por daños, de conformidad con lo dispuesto en la Ley y en el Reglamento. La AAC determinará los requisitos y cuantía de las pólizas de seguros o garantías bancarias a exigir y los criterios para evaluar el cumplimiento de este requisito.

REFERENCIAS Anexo 4 Organización. Anexo 5 Sección 5 Política de Seguridad.

- A1.65 -

Rev: 03/23-02-2007


9.8 Limitaciones a la responsabilidad

Las PSCs deben establecer en sus RPS, cualquier limitación de responsabilidad que pudiera aplicárseles, considerando las responsabilidades de privacidad, seguridad y diligencia en los procesos de certificación que la AAC establece en este documento. Asimismo, deben asegurar que estas provisiones sean incluidas en cualquier contrato de suscriptor o tercero que confía. Las limitaciones y responsabilidades de la ER en su relación con los titulares y suscriptores, deben ser incluidas o anexadas a los contratos del suscriptor. REFERENCIAS


9.9 Indemnizaciones Las ERs deben establecer en su RPS y otra documentación relevante lo relativo a las indemnizaciones a las que pudieran estar sujetos. Asimismo, debe asegurar que estas provisiones sean incluidas en cualquier contrato de suscriptor o tercero que confía o documentación. REFERENCIAS


9.10 Término y terminación

9.10.1 Término El periodo de validez máximo de la documentación relativa a los PSCs acreditados es de tres (3) años, de acuerdo a la legislación vigente. Cuando caduca la acreditación de un PSC, su documentación también debe de caducar. Cuando un PSC opera tanto dentro como fuera del marco de la IOFE, el término y la terminación sólo debe referirse a la documentación relativa a la IOFE. El término de validez de la documentación de los PSCs debe estar sujeto a la continuidad de la acreditación. En el caso que un PSC opere tanto dentro como fuera de la IOFE, el término y la terminación debe referirse sólo a documentación relativa a la IOFE. Se permite que los contratos de suscriptor y tercero que confía sean culminados cuando las partes del acuerdo incumplen sus obligaciones dentro del marco de la IOFE. Las PSCs deberán modificar dicha documentación cada vez que INDECOPI y/o la misma entidad lo determine. INDECOPI exige que determinadas provisiones sobre término y terminación sean incluidas en los contratos de suscriptor y tercero que confía. Además, las modificaciones realizadas deben ser comunicadas a los suscriptores, titulares y terceros que confían. DECRETO SUPREMO N° 004-2007-PCM Artículo 49º.- Otorgamiento y vigencia de la acreditación La acreditación se otorga por un período de tres (3) años, renovable por períodos similares. La Entidad beneficiaria estará sujeta a evaluaciones

- A1.66 -

Rev: 03/23-02-2007


técnicas anuales para mantener la vigencia de la referida acreditación. REFERENCIAS


9.10.2 Terminación La ER debe informar al INDECOPI, a los suscriptores, titulares y terceros que confían sobre el cese de sus operaciones con por lo menos treinta (30) días calendario de anticipación. Los procedimientos necesarios serán establecidos por la Comisión de Reglamentos Técnicos y Comerciales del INDECOPI, en conformidad a la legislación vigente. DECRETO SUPREMO N° 004-2007-PCM Artículo 18º.- Cese de operaciones La Entidad de Registro o Verificación cesa de operar en el marco de la IOFE en los siguientes casos: a) Por decisión unilateral comunicada a la AAC, asumiendo la responsabilidad del caso por dicha decisión. b) Por extinción de su personería jurídica. c) Por revocación de su registro. d) Por sentencia judicial. e) Por liquidación, decidida por la junta de acreedores en el marco de la legislación concursal o resolución judicial de quiebra. Para los supuestos contenidos en los incisos a) y b) la Entidad de Registro o Verificación debe notificar el cese de sus actividades a la AAC con una anticipación mínima que será establecida por ésta, debiendo dejar constancia ante aquella de los mecanismos utilizados para preservar el cumplimiento de lo dispuesto en el inciso c) del artículo 16º del Reglamento.

REFERENCIAS


9.10.3 Efecto de terminación y supervivencia

La ER debe establecer en su RPS u otra documentación relevante las provisiones de divisibilidad, supervivencia y fusión, incluyendo las mismas en los contratos de suscriptor y tercero que confía. Las ECs deberán establecer, en coordinación con la ER, en sus modelos de contratos de suscriptor y terceros que confían, cláusulas de supervivencia, de modo que ciertas reglas continúen vigentes después del término de validez de la CPS, RPS y de los contratos de los suscriptores y terceros que confían. REFERENCIAS


9.11 Notificaciones y comunicaciones individuales con los participantes

Las EC y ERs deben establecer, en sus contratos de suscriptor y terceros que confían, cláusulas de notificación que regulen los procedimientos por los que las partes se notifiquen hechos mutuamente.

- A1.67 -

Rev: 03/23-02-2007


9.12 Enmendaduras

9.12.1 Procedimiento para enmendaduras

Los participantes de la IOFE, incluyendo las otras infraestructuras que lo reconocen, serán consultados antes de efectuar cualquier tipo de cambio en los documentos de la infraestructura de la IOFE. Esta provisión no necesariamente se aplica a cambios de las políticas y prácticas de los PSCs acreditados, cuando dichos cambios son consistentes con las operaciones documentadas de la propia IOFE. INDECOPI revisará los cambios efectuados a las políticas y prácticas documentadas por los PSCs acreditados, antes que estos puedan implementarse. La documentación puede requerir una revisión.

9.12.2 Mecanismos y periodo de notificación

Los cambios en las políticas y prácticas de los PSCs acreditados deben ser notificados a los suscriptores, terceros que confían y otras partes tales como otras infraestructuras que reconocen al mismo o ECs con las que existen acuerdos de certificación cruzada, cuando dichos cambios puedan afectarles. Cualquier cambio en los términos y condiciones básicas (identificadores de políticas, limitaciones de uso, obligaciones de suscriptor, forma de validación de un certificado, limitaciones a responsabilidad, procedimiento de resolución de disputas, periodo dentro del cual los registros de auditoría serán conservados, sistema legal aplicable y conformidad según el marco de la IOFE) deberá ser notificado a los suscriptores y terceros que confían. Las ERs acreditadas, deben advertir a los suscriptores y potenciales terceros que confían la forma de notificación de esta información y las implicaciones de dicha notificación.

9.12.3 Circunstancias bajo las cuales debe ser cambiado el OID


9.13 Provisiones sobre resolución de disputas

Se debe asegurar que los PSCs, ECs o ERs acreditados tengan establecido un procedimiento de resolución de disputas. Un prestador de servicios de certificación acreditado debe establecer procedimientos de resolución de disputas en su CP u otra documentación relevante. Se pueden establecer diferentes leyes aplicables para diferentes tipos de procesos de resolución de disputas. De ser posible y permitido por las leyes correspondientes, debe considerarse el empleo de resolución de disputas en línea. DECRETO SUPREMO N° 004-2007-PCM

Art. 40° inc. k) Artículo 40º.- Funciones La Autoridad Administrativa Competente (AAC) tiene las siguientes funciones: k) Impulsar la solución de conflictos por medio de la conciliación y el arbitraje. Segunda Disposición Final Segunda.- Procedimiento administrativo contra decisiones de las

- A1.68 -

Rev: 03/23-02-2007


Entidades de Certificación Las Entidades de Certificación deben establecer procedimientos ágiles y sencillos para que sus usuarios puedan presentar directamente reclamaciones por la prestación de sus servicios, las mismas que deberán ser atendidas en el más breve plazo. La AAC aprueba o reforma estos procedimientos y regula todo lo relativo a las reclamaciones. Agotada la vía previa de la reclamación ante la entidad de certificación, procede recurrir en vía administrativa ante la AAC, con sujeción a la Ley Nº 27444 - Ley del Procedimiento Administrativo General. La AAC determinará todos aquellos procedimientos y políticas necesarios para la aplicación del Reglamento. En los casos que proceda la reclamación, adoptará las medidas correctivas pertinentes.

9.14 Ley aplicable La ER debe identificar en su RPS y otra documentación relevante la ley aplicable a sus operaciones de acuerdo a la Ley N° 27269 y el Reglamento de Ley de Firmas y Certificados Digitales, aprobado por el D.S. 004-2007-PCM. Los requerimientos legalmente significativos deben de estar establecidos o referenciados en los contratos de suscriptores y terceros que confían.

9.15 Conformidad con la ley aplicable

La ER debe identificar en su CP y otra documentación, las leyes aplicables a sus operaciones. Los requerimientos legales significativos deben estar establecidos o referenciados en los contratos de suscriptor y tercero que confía.

9.16 Cláusulas misceláneas

La ER debe incluir en su RPS y otra documentación toda cláusula miscelánea que se aplique a las operaciones que realiza bajo la IOFE. De ser apropiado, estas provisiones deben ser establecidas o referenciadas en los contratos de suscriptores o terceros que confían.

9.16.1 Acuerdo íntegro Se debe hacer referencia en cada acuerdo de acreditación para los PSCs acreditados de cualquier otra documentación que pueda ser incorporada en el acuerdo. El PSC debe establecer en sus contratos de suscriptor y tercero que confía cualquier otra documentación que pueda ser incorporada al mismo. La EC en convenio con la ER, debe establecer en sus contratos de suscriptor y terceros que confían, cláusulas de acuerdo íntegro. En virtud de la cual se entenderá que el instrumento jurídico regulador del servicio contiene la voluntad completa y todos los acuerdos entre las partes.

9.16.2 Subrogación Los derechos y los deberes asociados a la condición de ER no podrán ser objeto de cesión a terceros de ningún tipo, ni ninguna tercera entidad podrá subrogarse en la posición jurídica de dichas entidades. Los PSCs acreditados deben establecer en su documentación cualquier limitación en la subrogación de derechos o delegación de obligaciones. Cuando un contrato de suscriptor cubre a múltiples titulares, toda limitación en la subrogación de derechos o delegación de obligaciones a dichos titulares, debe de estar establecida en el acuerdo.

- A1.69 -

Rev: 03/23-02-2007


9.16.3 Divisibilidad No compete a las ERs.

9.16.4 Ejecución (tarifas de abogados y cláusulas de derechos)

La ER acreditada debe establecer en su RPS y otra documentación relevante toda cláusula de ejecución que se aplique a las operaciones que realiza. Estas cláusulas deben estar establecidas o referenciadas en los contratos de suscriptor y tercero que confía.

9.16.5 Fuerza mayor Las ECs en convenio con las ERs, deben asegurar que las cláusulas de “fuerza mayor” sean establecidas explícitamente en los contratos de suscriptor y tercero que confía.

9.17 Otras cláusulas La ER acreditada debe incluir en su RPS y otra documentación relevante cualquier otra cláusula que se aplique a las operaciones que realiza bajo la IOFE. Cuando fuere apropiado, estas cláusulas deben estar establecidas o referenciadas en los contratos de los suscriptores o terceros que confían.

10. BIBLIOGRAFÍA La RPS debe establecer las referencias a los documentos utilizados en el desarrollo de dicha documentación. Particularmente, aquellos documentos referenciados en la documentación o que hacen mención a algún tipo de norma o regulación en particular.

11. ACRÓNIMOS & ABREVIATURAS

La RPS debe proveer una lista de acrónimos y abreviaturas utilizadas dentro del texto de dicha documentación.

12. GLOSARIO La RPS relevante debe proveer una lista de términos para los cuales pueda ser requerida una definición.

ANEXO 1: MARCO DE LA POLÍTICA DE ... - indecopi.gob.pe

Documents

Transcript of ANEXO 1: MARCO DE LA POLÍTICA DE ... - indecopi.gob.pe