Entidad de Certificación Digital · información que es enviada a través de medios electrónicos...

Entidad de Certificación Digital

Declaración de Prácticas de Certificación

para Estampado Cronológico

Declaración de Prácticas de Certificación para Estampado Cronológico

Versión 1.8

Código: THS-CO-AC-DPC-02 Página 2 de 35

Información del documento

Historial de versiones

Versión Fecha Descripción

1.0 28/12/2017 Elaboración de documento inicial.

1.1 12/05/2018 Modificación en la estructura del documento. Cambio de nombre de documento.

1.2 20/05/2018 Se cambia el nombre del documento. Se modifican las obligaciones de Proveedores. Se agrega como Anexo el Contrato de Suscripción.

1.3 22/05/2018 Modificación menor en el apartado de Identificación de la ECD. Especificaciones en el apartado de Controles de seguridad. Se especifican los tipos de Paquete.

1.4 08/06/2018 Se agregan apartados para formatos y registros aplicables.

1.5 25/06/2018 Se detalla el proceso de comercialización y solicitud del servicio.

Nombre DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN PARA ESTAMPADO CRONOLÓGICO

Realizado por THOMAS SIGNE S.A.S.

País COLOMBIA

Versión 1.8

Fecha SEPTIEMBRE DEL 2019

Tipo de Documento PÚBLICO

Código THS-CO-AC-DPC-02


Versión 1.8


1.6 02/11/2018 Se elimina del pie de página la referencia al THS-PR-GRAL-02-F01 Estructura de documento v1.0.

Se elimina el apartado “INTRODUCCIÓN”.

1.7 11/03/2019 Integración con el sistema de gestión del Grupo.

Cambio de nombre del documento de THS-DP-ST-01 a THS-CO-DPC-AC-02

1.8 06/09/2019 Ajuste de la codificación según el GSIGNE-GRAL-PR-01 Control de la Informacion Documentada Ed 2.1

Inclusión de los formatos y registros por anulación de la THS-CO-DPC-AC-03 Declaración de Prácticas para Estampado Cronológico Interna v1.3

Correcciones menores


Versión 1.8


ÍNDICE

1 OBJETIVO .................................................................................................................................. 7

2 DEFINICIONES Y ABREVIACIONES .................................................................................... 7

2.1 ACRÓNIMOS Y ABREVIACIONES ............................................................................................................ 7 2.2 DEFINICIONES Y CONCEPTOS ................................................................................................................. 7

3 PARTICIPANTES PKI DE THOMAS SIGNE S.A.S. ............................................................... 8

3.1 ENTIDAD DE CERTIFICACIÓN DIGITAL THOMAS SIGNE S.A.S. (ECD THOMAS SIGNE

S.A.S.) ............................................................................................................................................................. 8 3.2 SOLICITANTE ............................................................................................................................................... 8 3.3 SUSCRIPTOR ................................................................................................................................................. 8

4 DOCUMENTOS NORMATIVOS DE LA ECD ........................................................................ 8

4.1 DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN .......................................................................... 9

5 RESPONSABILIDADES ........................................................................................................... 9

5.1 THOMAS SIGNE S.A.S. ................................................................................................................................ 9 5.2 SUSCRIPTOR ................................................................................................................................................. 9

6 IDENTIFICACIÓN DE LA ECD ............................................................................................. 10

7 ORGANIZACIÓN QUE ADMINISTRA LOS DOCUMENTOS NORMATIVOS ................ 11

8 SERVICIOS DE ESTAMPADO CRONOLÓGICO ................................................................. 11

8.1 QUIÉN PUEDE SOLICITAR EL SERVICIO .............................................................................................. 12 8.2 COMERCIALIZACIÓN ............................................................................................................................... 12 8.3 CONTRATACIÓN Y PAGO ........................................................................................................................ 12

8.3.1 MÉTODOS DE PAGO .................................................................................................................. 12 8.4 SOLICITUD .................................................................................................................................................. 13 8.5 REVISIÓN .................................................................................................................................................... 13 8.6 DECISIÓN .................................................................................................................................................... 13 8.7 OPERACIÓN DEL SERVICIO .................................................................................................................... 13 8.8 TRANSICIÓN DE SALIDA ......................................................................................................................... 13

9 IDENTIFICADOR ÚNICO....................................................................................................... 13

10 COMUNIDAD DE USUARIOS Y APLICABILIDAD ........................................................... 14

11 CONDICIONES Y TÉRMINOS DE USO ............................................................................... 14

12 CONTROLES DE SEGURIDAD FISICA, INSTALACIONES, GESTION Y

OPERACIONALES .................................................................................................................. 14

12.1 CONTROLES FÍSICOS ................................................................................................................................ 14 12.1.1 UBICACIÓN FÍSICA Y CONSTRUCCIÓN ................................................................................ 14 12.1.2 ACCESO FÍSICO .......................................................................................................................... 15 12.1.3 ALIMENTACIÓN ELÉCTRICA Y AIRE ACONDICIONADO ................................................. 15 12.1.4 EXPOSICIÓN AL AGUA ............................................................................................................. 15 12.1.5 PREVENCIÓN Y PROTECCIÓN DE INCENDIOS .................................................................... 15 12.1.6 SISTEMA DE ALMACENAMIENTO ......................................................................................... 15 12.1.7 ELIMINACIÓN DEL MATERIAL DE ALMACENAMIENTO DE LA INFORMACIÓN ........ 15

12.2 CONTROLES DE PROCEDIMIENTO ........................................................................................................ 16 12.2.1 ROLES DE CONFIANZA ............................................................................................................ 16 12.2.2 NÚMERO DE PERSONAS REQUERIDAS POR TAREA ......................................................... 16 12.2.3 IDENTIFICACIÓN Y AUTENTICACIÓN PARA CADA ROL ................................................. 16 12.2.4 ROLES QUE REQUIEREN SEGREGACIÓN DE FUNCIONES................................................ 16

12.3 CONTROLES DE PERSONAL .................................................................................................................... 17


Versión 1.8


12.3.1 REQUISITOS SOBRE LA CUALIFICACIÓN, EXPERIENCIA Y CONOCIMIENTO

PROFESIONALES ....................................................................................................................... 17 12.3.2 PROCEDIMIENTO DE COMPROBACIÓN DE ANTECEDENTES ......................................... 17 12.3.3 REQUISITOS DE FORMACIÓN ................................................................................................. 17 12.3.4 REQUISITOS Y FRECUENCIA DE ACTUALIZACIÓN DE FORMACIÓN ............................ 17 12.3.5 SANCIONES POR ACTUACIONES NO AUTORIZADAS ....................................................... 17 12.3.6 REQUISITOS DE CONTRATACIÓN DE TERCEROS .............................................................. 17 12.3.7 DOCUMENTACIÓN PROPORCIONADA AL PERSONAL ...................................................... 18

12.4 REGISTROS Y SUPERVISIÓN................................................................................................................... 18 12.4.1 SUPERVISIÓN ............................................................................................................................. 18 12.4.2 TIPOS DE EVENTOS REGISTRADOS ...................................................................................... 18 12.4.3 FRECUENCIA DE PROCESADO DE REGISTROS DE AUDITORÍA (LOG) .......................... 18 12.4.4 PERIODO DE RETENCIÓN DE LOS REGISTROS DE AUDITORÍA ...................................... 18 12.4.5 PROCEDIMIENTOS DE BACKUP DE LOS REGISTROS DE AUDITORÍA ........................... 19 12.4.6 SISTEMA DE RECOGIDA DE INFORMACIÓN DE AUDITORÍA (INTERNA O

EXTERNA) ................................................................................................................................... 19 12.4.7 ANÁLISIS DE VULNERABILIDADES ...................................................................................... 19

12.5 ARCHIVO DE REGISTROS ........................................................................................................................ 19 12.5.1 TIPOS DE EVENTOS ARCHIVADOS ........................................................................................ 19 12.5.2 PERIODO DE CONSERVACIÓN ............................................................................................... 19 12.5.3 PROTECCIÓN DE ARCHIVOS................................................................................................... 19 12.5.4 PROCEDIMIENTOS PARA OBTENER Y VERIFICAR INFORMACIÓN ARCHIVADA ...... 20

12.6 PROCEDIMIENTOS DE GESTIÓN DE INCIDENTES Y VULNERABILIDADES ................................. 20 12.6.1 RECUPERACIÓN EN CASO DE COMPROMISO DE UNA CLAVE ....................................... 20 12.6.2 CONTINUIDAD DEL NEGOCIO DESPUES DE UN DESASTRE ............................................ 20

12.7 CESE DE UNA ECD .................................................................................................................................... 21 12.7.1 ENTIDAD DE CERTIFICACIÓN DIGITAL ............................................................................... 21

13 AUDITORÍA DE CONFORMIDAD Y OTROS CONTROLES ............................................. 21

13.1 FRECUENCIA DE LAS AUDITORÍAS ...................................................................................................... 21 13.2 IDENTIDAD/CUALIFICACIÓN DEL AUDITOR ...................................................................................... 21 13.3 RELACIÓN ENTRE EL AUDITOR Y LA ENTIDAD AUDITADA .......................................................... 22 13.4 ASPECTOS CUBIERTOS POR LOS CONTROLES................................................................................... 22 13.5 ACCIONES A TOMAR COMO RESULTADO DE LA DETECCIÓN DE DEFICIENCIAS .................... 22 13.6 COMUNICACIÓN DE RESULTADOS ...................................................................................................... 22

14 CICLO DE VIDA DE LA GESTIÓN DE LA CLAVE ............................................................ 22

14.1 GENERACIÓN DE LA CLAVE DE LA TSA ............................................................................................. 22 14.2 CARACTERÍSTICAS TÉCNICAS DEL CERTIFICADO DIGITAL Y DE LOS ALGORITMOS

UTILIZADOS ............................................................................................................................................... 23 14.3 PROTECCIÓN DE LA CLAVE PRIVADA DE LA TSA ............................................................................ 23 14.4 DISTRIBUCIÓN DE LA CLAVE PÚBLICA TSU ...................................................................................... 23 14.5 RE-EMISIÓN DE LA CLAVE DEL TSU .................................................................................................... 23 14.6 TÉRMINO DEL CICLO DE VIDA DE LA CLAVE PRIVADA DEL TSU ................................................ 23

15 CONTROLES DE SEGURIDAD DEL CICLO DE VIDA ...................................................... 23

15.1 CONTROLES DE GESTION DE SEGURIDAD ......................................................................................... 23 15.2 CONTROLES DE SEGURIDAD DE LA RED ............................................................................................ 25 15.3 SELLADO DE TIEMPO ............................................................................................................................... 25

16 SELLO DE TIEMPO ................................................................................................................ 25

17 OBLIGACIONES ..................................................................................................................... 25

17.1 OBLIGACIONES DE LA TSA EN RELACIÓN A LOS SUSCRIPTORES ............................................... 26 17.2 OBLIGACIONES DE LOS PROVEEDORES ............................................................................................. 26 17.3 OBLIGACIONES DE LOS SUSCRIPTORES ............................................................................................. 26 17.4 OBLIGACIONES DE LOS TERCEROS QUE CONFÍAN .......................................................................... 26

18 POLÍTICA DE PROTECCIÓN DE DATOS ............................................................................ 26

19 CONFIDENCIALIDAD DE LA INFORMACIÓN .................................................................. 27

19.1 INFORMACIÓN CONFIDENCIAL............................................................................................................. 27


Versión 1.8


19.2 INFORMACIÓN NO CONFIDENCIAL ...................................................................................................... 27

20 OTROS ASUNTOS LEGALES Y COMERCIALES ............................................................... 27

20.1 PAQUETES .................................................................................................................................................. 27 20.1.1 POLÍTICA DE REEMBOLSO ...................................................................................................... 28

20.2 RESPONSABILIDADES ECONÓMICAS .................................................................................................. 28 20.3 EXONERACIÓN DE RESPONSABILIDAD .............................................................................................. 29 20.4 RESPONSABILIDADES FINANCIERAS .................................................................................................. 29

20.4.1 COBERTURA DEL SEGURO ..................................................................................................... 29 20.4.2 SEGURO O GARANTÍA DE COBERTURA PARA LAS ENTIDADES FINALES .................. 29

20.5 DERECHOS DE PROPIEDAD INTELECTUAL ........................................................................................ 29

21 PQRSA ...................................................................................................................................... 30

22 CONFORMIDAD CON LA LEY APLICABLE ...................................................................... 30

23 CONFORMIDAD ..................................................................................................................... 30

24 FORMATOS ............................................................................................................................. 31

25 REGISTROS ............................................................................................................................. 31

26 ANEXOS ................................................................................................................................... 32


Versión 1.8


1 OBJETIVO

Este documento tiene como objetivo la descripción de operaciones y prácticas que utiliza Thomas Signe S.A.S. para la administración de sus servicios de estampado cronológico, en el marco del cumplimiento de los “Criterios específicos de acreditación Entidades de Certificación Digital - CEA-4.1-10 Versión 01” establecida por el Organismo Nacional de Acreditación de Colombia – ONAC.

2 DEFINICIONES Y ABREVIACIONES

2.1 ACRÓNIMOS Y ABREVIACIONES

DPC Declaracion de practicas de certificacion

ECD Entidad de Certificacion Digital que prestan servicios de certificacion digital y equivale a una Entidad Certificadora definida en la ley 527 de 1999. Tambien se debe entender como un Organismo de Evaluacion de la Conformidad – OEC de acuerdo con lo definido en la ISO/IEC 17000.

HSM Hardware Security Module

ONAC Organismo Nacional de Acreditacion de Colombia

PKI Infraestructura de clave publica

TSA Time Stamp Authority, (Autoridad de sellado de tiempo).

2.2 DEFINICIONES Y CONCEPTOS

Autoridad de sellado de tiempo: Entidad de confianza que emite sellos de tiempo..

Autoridad de Certificación – AC: Certification Authority (CA). Es una entidad de confianza, responsable de emitir y revocar los certificados digitales, publicación de certificados, publicación de listas de certificados revocados, etc. Involucra toda la jerarquía PKI, es decir, el sellado de tiempo y el archivo, conservación y custodia de documentos, entre otros. Nombrada dentro de la normativa colombiana como Entidad de Certificación Digital – ECD.

Certificado digital: mensaje de datos electronico firmado por la entidad de certificacion digital, el cual identifica tanto a la entidad de certificacion que lo expide, como al suscriptor y contiene la clave publica de este ultimo.

Cliente: En los servicios de certificacion digital, el termino cliente identifica a la persona natural o juridica con la cual la ECD establece una relacion comercial.

Declaracion de Practicas de Certificacion: Es el documento en el que consta de manera detallada los procedimientos que aplica la ECD para la prestacion de sus servicios. Una declaracion de las practicas que una ECD emplea para emitir, gestionar, revocar y renovar certificados sin y con cambio de claves.

Entidad de Certificacion: De acuerdo con lo indicado en la Ley 527 de 1999, Articulo 2, Literal d, es aquella persona natural o juridica que, autorizada conforme a dicha Ley, esta facultada para emitir certificados digitales en relacion con las firmas digitales de las personas, ofrecer o facilitar los servicios de registro y estampado cronologico de la transmision y recepcion de mensajes de datos, asi como cumplir otras funciones relativas a las comunicaciones basadas en las firmas digitales.

Entidades de Certificacion Digital – ECD: Denominacion que se establece con el fin de particularizar y diferenciar este tipo de organizaciones como Entidades de Certificacion de los demas Organismos de Certificacion que ONAC acredita.

PKI: Infraestructura de clave publica (Public key infraestructure): es el conjunto de hardware, software, politicas, procedimientos y elementos tecnologicos que, mediante la utilizacion de un par de claves criptograficas, una privada que solo posee el suscriptor del servicio y una publica, que se incluye en el certificado digital, logran: Identificar al emisor de un mensaje de datos electronico, impedir que terceras personas puedan observar los mensajes que se envian a traves de medios electronicos, impedir que un tercero pueda alterar la


Versión 1.8


informacion que es enviada a traves de medios electronicos y evitar que el suscriptor del servicio de certificacion digital que envio un mensaje electronico pueda despues negar dicho envio (no repudio).

Estampado cronologico (Sellado de tiempo o Time stamping en Ingles): Mensaje de datos firmado digitalmente y con sello de tiempo por una TSA que vincula a otro mensaje de datos con un momento de tiempo concreto, el cual permite establecer con una prueba que estos datos existian en ese momento y que no sufrieron ninguna modificacion a partir del momento en que se realizo el estampado

Servicio de certificacion digital: Conjunto de actividades certificacion que ofrece la ECD para certificar el origen e integridad de mensajes de datos, basados en las firmas digitales o electronicas, estampado de tiempo, asi como en la aplicabilidad de estandares tecnicos admitidos y vigentes en infraestructura de clave publica (PKI).

Solicitante: persona natural o juridica que con el proposito de obtener servicios de certificacion digital de una ECD, demuestra el cumplimiento de los requisitos establecidos en la DPC y PC de estas, para acceder al servicio de certificacion digital.

Suscriptor: persona natural o juridica a cuyo nombre se expide un certificado digital.

3 PARTICIPANTES PKI DE THOMAS SIGNE S.A.S.

3.1 ENTIDAD DE CERTIFICACIÓN DIGITAL THOMAS SIGNE S.A.S. (ECD THOMAS SIGNE S.A.S.)

Thomas Signe S.A.S., en su papel de Entidad de Certificación Digital, es la persona jurídica privada que presta indistintamente servicios de producción, emisión, gestión, cancelación u otros servicios inherentes a la certificación digital.

A Thomas Signe S.A.S., como Entidad de Certificación Digital, le corresponderá la realización de todos los trámites y procedimientos administrativos necesarios ante el ONAC a fin de lograr y mantener la acreditación.

Thomas Signe S.A.S., en su papel de Entidad de Certificación Digital, es la persona jurídica privada que presta indistintamente el servicio de estampado cronológico.

3.2 SOLICITANTE

Se entenderá por Solicitante, la persona natural o jurídica que se encuentra interesada y solicita el servicio de estampado cronológico, bajo esta DPC.

3.3 SUSCRIPTOR

El Suscriptor es la persona natural o jurídica que; con conocimiento y plena aceptación de los derechos y deberes establecidos y publicados en esta DPC y habiendo firmado el respectivo Contrato de Prestación de servicios y/o de Suscripción con Thomas Signe S.A.S.; acepta las condiciones del servicio de estampado cronológico.

4 DOCUMENTOS NORMATIVOS DE LA ECD

Los Documentos Normativos de la ECD son todas aquellas declaraciones, políticas y procedimientos que regulan los servicios de certificación digital de Thomas Signe S.A.S.

Todos los Documentos Normativos son aprobados por el Gerente de Sistemas de la Información de Thomas Signe S.A.S. antes de ser publicados y se controlan las versiones del mismo, a fin de evitar modificaciones y suplantaciones no autorizadas.


Versión 1.8


4.1 DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN

La presente DPC establece todas las operaciones y prácticas que lleva a cabo Thomas Signe S.A.S. para brindar el servicio de estampado cronológico; siguiendo el estándar RFC 3647 y RFC 3161.

Esta DPC es de carácter público y se encuentra dirigida a todas las personas naturales y jurídicas, solicitantes, suscriptores, terceros que confían y usuarios finales. La misma podrá ser consultada a través de la página web www.thomas-signe.co

Todas las modificaciones relevantes en la presente DPC serán comunicadas al ONAC y las nuevas versiones del documento serán publicadas en el mismo sitio web.

En caso se detecten vulnerabilidades o se pierda la vigencia de los estándares técnicos o infraestructura descritos en la presente DPC, la ECD se encargará de informar tal hecho al ONAC anticipadamente, para proceder con la respectiva actualización.

5 RESPONSABILIDADES

5.1 THOMAS SIGNE S.A.S.

- Cumplir con los Criterios específicos de acreditación Entidades de Certificación Digital - CEA-

4.1-10 Versión 01, establecidos por el ONAC

- Garantizar que el servicio cumple con todos los requisitos materiales establecidos de la DPC.

- Facilitar los documentos necesarios y en su última versión al suscriptor.

- Notificar al suscriptor acerca de los cambios en las políticas y prácticas de la ECD de Thomas

Signe S.A.S.

- Notificar al suscriptor cualquier cambio en los términos y condiciones básicas

(identificadores de políticas, limitaciones de uso, obligaciones de suscriptor, procedimiento

de resolución de disputas, periodo dentro del cual los registros de auditoría serán

conservados, sistema legal aplicable y conformidad según los requerimientos del ONAC).

- El uso de los símbolos que caractericen la acreditación de la Entidad de Certificación Digital

de Thomas Signe S.A.S. estarán restringidos al alcance acreditado, y no podrán ser

transferidos a terceros ni heredados fuera de los servicios de certificación digital, personas,

procesos y terceros evaluados por el ONAC; tal como lo describe el documento Política de uso

de símbolos de Thomas Signe S.A.S.

- Ejercer control, sobre los servicios de certificación digital acreditados, respecto a la propiedad

y el uso de símbolos, certificados, cualquier otro mecanismo para indicar que el servicio de

certificación digital está acreditado.

- Las referencias al alcance de acreditación otorgado, o el uso engañoso del alcance de

acreditación otorgado, los símbolos, los certificados, y cualquier otro mecanismo para indicar

que un servicio de certificación digital, o que la ECD está acreditada, en la documentación o en

otra publicidad. Estas mismas estarán sujetas al cumplimiento de las Reglas de Acreditación

de ONAC R-AC-01 y R-AC-1.4-03.

- Atender y dar respuesta a las quejas, reclamos y peticiones de los suscriptores y partes

relacionadas.

5.2 SUSCRIPTOR

- Actuar conforme a lo estipulado en la presente DPC de Thomas Signe S.A.S.

- Facilitar información completa, actual y veraz a la ECD de Thomas Signe S.A.S.

- Cumplir con los requisitos estipulados por Thomas Signe S.A.S. para el respectivo servicio de

certicación digital.

http://www.thomas-signe.co/


Versión 1.8


- Cumplir con nuevos requisitos, cuando Thomas Signe S.A.S implemente cambios en los

servicios de certificación digital, previa comunicación de dichos cambios por parte de la ECD

al suscriptor.

- Que las declaraciones sobre la certificación son coherentes con el alcance del servicio de

certificación digital.

- No utilizar su certificación digital de manera que contravenga la ley u ocasione mala

reputación para la ECD de Thomas Signe S.A.S. y no hace ninguna declaración relacionada con

su certificación que Thomas Signe S.A.S. pueda considerar engañosa o no autorizada. Lo que a

su vez implica no monitorizar, manipular o realizar actos de ingeniería reversa sobre la

implantación técnica del ONAC y la ECD de Thomas Signe S.A.S.; así como comprometer

intencionadamente la seguridad de la Jerarquía del ONAC y la ECD de Thomas Signe S.A.S.

- Que inmediatamente después de la cancelación o la terminación de la certificación digital, el

suscriptor deja de utilizarla en todo el material publicitario que contenga alguna referencia a

ella, y emprende las acciones exigidas por el servicio de certificación digital y cualquier otra

medida previamente notificada.

- Que al hacer referencia al servicio de certificación digital en medios de comunicación, tales

como documentos, folletos o publicidad, el suscriptor informa que cumple con los requisitos

especificados en la respectiva PC de Thomas Signe S.A.S.

- Cumplir con los requisitos que pueda prescribir el servicio de certificación digital con relación

al uso de las marcas de conformidad y a la información relacionada con el servicio.

- Informar a la ECD, sin retraso, acerca de los cambios que puedan afectar el servicio de

certificación digital que le fue expedido por la ECD de Thomas Signe S.A.S.

- Cumplir los requisitos que pueda prescribir el servicio de certificación digital con relación al

uso de las marcas de conformidad y a la información relacionada con el servicio.

- Informar que cumple con lo estipulado en la DPC de Thomas Signe S.A.S., cuando haga

referencia al servicio de certificación digital en medios de comunicación (artículos,

documentos, folletos o publicidad).

6 IDENTIFICACIÓN DE LA ECD

Datos de la Entidad de Certificación Digital:

Razon Social - Nombre: THOMAS SIGNE SOLUCIONES TECNOLO GICAS GLOBALES S.A.S.

N.I.T.: 900962071-5

N° Matricula: 02680791

Domicilio social (Comercial): Avenida las Americas No. 44 – 57

Domicilio de correspondencia (Notificaciones judiciales): Cr. 42 Bis No. 17 a 45

Ciudad: Bogota, Colombia

Telefono: +57 (1) 3810240

Fax: +57 (1) 3407434

Correo electronico: [email protected]

Oficina para PQRSA: Atencion al cliente

Pagina Web: www.thomas-signe.co

Centro de operación técnica

Razón Social - Nombre: SIGNE, S.A.

mailto:[email protected]



Versión 1.8


C.I.F.: A11029279

Direccion: Avda. de la Industria, 18 Tres Cantos 28760

Domicilio: Madrid, Espan a

Telefono: +34 902 30 17 01

Fax: +34 918 06 01 02

Correo electronico: [email protected]

Oficina para PQRSA: Atencion al cliente

Pagina Web: www.signe.es

7 ORGANIZACIÓN QUE ADMINISTRA LOS DOCUMENTOS NORMATIVOS Thomas Signe S.A.S. administra los documentos de Declaración de Prácticas, y todos los documentos

normativos de la ECD.

Para cualquier consulta contactar:

• Oficina: Gerencia de Sistemas de la Información

• Dirección de correo electrónico: [email protected]

8 SERVICIOS DE ESTAMPADO CRONOLÓGICO

Thomas Signe S.A.S. brinda el servicio de estampado cronológico; dando conformidad a los criterios exigidos por ONAC y la Ley 527 de 1999.

El proceso del servicio de estampado cronológico brindado por Thomas Signe S.A.S., abarca desde la comercialización hasta la transición de salida o terminación del contrato entre el Cliente y Thomas Signe S.A.S.


http://www.signe.es/



Versión 1.8


8.1 QUIÉN PUEDE SOLICITAR EL SERVICIO

Cualquier persona sea natural o jurídica que se encuentre habilitada para realizar lo siguiente:

En caso de Persona natural:

- Sustentar su identidad, mediante su Cédula de Ciudadanía, Pasaporte o Cédula de Extranjería.

- No encontrarse vinculada a actividades que puedan dañar la imagen de la ECD.

En caso de Persona jurídica:

- Sustentar la identidad del Solicitante, mediante su Cédula de Ciudadanía, Pasaporte o Cédula de

Extranjería.

- Sustentar la existencia de la Empresa o Entidad, mediante el Registro Único Tributario y el

Certificado de Existencia y Representación legal de la misma.

- En caso de que el Solicitante no sea el Representante de la Empresa o Entidad, evidenciar la

autorización otorgada al Solicitante.

- No encontrarse vinculada a actividades que puedan dañar la imagen de la ECD.

8.2 COMERCIALIZACIÓN

El Solicitante podrá recibir información acerca del proceso de certificación digital, requisitos, tarifas u otros relativos; por cualquiera de las siguientes vías:

- Consultando la página web www.thomas-signe.co

- Mediante el correo electrónico [email protected]

- El trato directo con Agentes comerciales.

Cuando el Solicitante se comunique con el Área comercial manifestando que se encuentra interesado en el servicio de Estampado cronológico, se le brindará una Propuesta comercial, el Contrato de Suscripción y un Formulario de solicitud, que solicitará la siguiente información:

- Paquete requerido de acuerdo a la Propuesta comercial

- Tipo y Número de Documento de identidad del Solicitante

- Nombre completo del Solicitante

- Ciudad

- Teléfono

- Correo electrónico

- Razón Social (en caso de Persona Jurídica)

- NIT (en caso de Persona Jurídica)

8.3 CONTRATACIÓN Y PAGO

Para proceder con el proceso, el Solicitante deberá:

- Realizar el pago de la tarifa respectiva por un método válido (ver sección 9.3.1. Métodos de pago).

La evidencia de este proceso será el voucher o comprobante de pago.

- Aprobar todos los términos y condiciones dispuestos en el Contrato entre Thomas Signe S.A.S. y el

Solicitante, mediante la firma y/o aceptación respectiva. La evidencia de este proceso será el

Contrato de suscripción firmado de forma digital o manuscrita.

8.3.1 MÉTODOS DE PAGO

Thomas Signe S.A.S. pone a disposición del público, una cuenta bancaria para realizar el depósito de la cuantía respectiva a cada servicio (ver sección 23.1 Tarifas).

http://www.thomas-signe.com/



Versión 1.8


La cuenta a nombre de THOMAS SIGNE SOLUCIONES TECNOLOGICAS GLOBAL S.A.S., se indica a continuación:

BANCO DE BOGOTÁ, CTA CORRIENTE No. 017346362

No obstante, Thomas Signe S.A.S. puede precisar de un método alternativo de pago en el caso de un Contrato de Prestación de Servicios con el cliente.

8.4 SOLICITUD

Para solicitar el servicio, el Solicitante deberá aceptar la Propuesta, respondiendo el correo electrónico del Área comercial de la siguiente manera:

- Sustentando su identidad, mediante el envío de su Cédula de Ciudadanía, Pasaporte o Cédula de

Extranjería, como Person natural; y además, en caso de Personas jurídicas, mediante el envío del

Registro Único Tributario, el Certificado de Existencia y Representación legal de la Empresa o

Entidad con vigencia no mayor a tres (03) meses.

- Adjuntando el Contrato de suscripción firmado y la evidencia del pago de la tarifa indicada en la

Propuesta comercial.

8.5 REVISIÓN

El Área Comercial se encarga de revisar que todos los datos fueron cumplimentados y se adjuntaron las evidencias de identidad, contratación y pago. Si la información es correcta, el Área Comercial se comunicará con el Departamento de Sistemas de la Información, enviando toda la información brindada por el Solicitante.

8.6 DECISIÓN

La ECD de Thomas Signe S.A.S. es responsable de la decisión tomada con respecto a la certificación digital. Es decir, es responsable de aprobar o denegar la certificación digital. En el caso de denegación, Thomas Signe S.A.S. se encarga de comunicar el motivo del rechazo al Solicitante.

8.7 OPERACIÓN DEL SERVICIO

Durante el periodo contratado, Thomas Signe S.A.S. garantiza a sus Suscriptores una adecuada ejecución del servicio de estampado cronológico, mediante lo mencionado a continuación:

- Se operará el servicio conforme a la Propuesta comercial. Se efectuará un monitoreo

constante y automático del rendimiento de los servicios.

- Se efectuará el servicio complementario de atención a PQRSAs, para absolver peticiones,

quejas, reclamos, sugerencias y apelaciones.

- Otros.

8.8 TRANSICIÓN DE SALIDA

Durante esta etapa, al finalizar el año de contratación y de acuerdo a las condiciones del servicio contratado, se efectuarán los trabajos de transición de salida.

9 IDENTIFICADOR ÚNICO

La presente Declaración de Prácticas para el servicio de estampado cronológico reconocida por Thomas Signe S.A.S. tiene un identificador único:

1.3.6.1.4.1.51362.10.1.4.1


Versión 1.8


10 COMUNIDAD DE USUARIOS Y APLICABILIDAD

Thomas Signe S.A.S. no limita la comunidad de usuarios de los servicios de estampado cronológico, estos pueden ser personas jurídicas del sector privado o estatal que deseen utilizar los sellos de tiempo de Thomas Signe S.A.S. y que estén de acuerdo con la presente Declaración de Prácticas.

11 CONDICIONES Y TÉRMINOS DE USO

Las condiciones y términos de uso de los servicios de estampado cronológico para todos los suscriptores y terceros corresponden serán definidos con cada Suscriptor en los Contratos de suscripción.

Será responsabilidad del suscriptor difundir, conforme corresponda en términos de confidencialidad, las condiciones adicionales que sean establecidas en el contrato, a toda la comunidad de usuarios que defina para el uso de los servicios contratados.

12 CONTROLES DE SEGURIDAD FI SICA, INSTALACIONES, GESTIO N Y OPERACIONALES

Los sistemas y equipamientos empleados para las operaciones del servicio de certificación digital se encuentran administrados en el Centro de Datos de Telefónica.

Los controles de seguridad abarcan el ambiente físico, las redes, los sistemas, entre otros; los cuales se especifican a continuación.

Todos los controles de seguridad física están descritos en el procedimiento GSIGNE-SI-PR-11 Seguridad Física y del entorno

12.1 CONTROLES FÍSICOS

La CA tiene establecidos controles de seguridad fisica y ambiental para proteger los recursos de las instalaciones donde se encuentran los sistemas y los equipamientos empleados para las operaciones.

La seguridad fisica y ambiental aplicable a los servicios de generacion de certificados ofrece proteccion frente:

• Accesos fisicos no autorizados.

• Desastres naturales.

• Incendios.

• Fallo de los sistemas de apoyo (energia electronica, telecomunicaciones, etc.)

• Derrumbamiento de la estructura.

• Inundaciones.

• Robo.

• Salida no autorizada de equipamientos, informaciones, soportes y aplicaciones relativos a

componentes empleados para los servicios del Prestador de Servicios de Certificacion

Las instalaciones cuentan con sistemas de mantenimiento preventivo y correctivo con asistencia 24h-365 dias al an o con asistencia en las 24 horas siguientes al aviso. La localizacion de las instalaciones garantiza la presencia de fuerzas de seguridad en un plazo no superior a 30 minutos, al encontrarse en el centro urbano de una capital de provincia.

12.1.1 UBICACIÓN FÍSICA Y CONSTRUCCIÓN

Las instalaciones de la CA estan construidas con materiales que garantizan la proteccion frente a ataques por fuerza bruta, y ubicadas en una zona de bajo riesgo de desastres y permite un rapido acceso.


Versión 1.8


En concreto, la sala donde se realizan las operaciones criptograficas es una jaula de Faraday, falso suelo, deteccion y extincion de incendios, sistemas anti-humedad, sistema de refrigeracion y sistema de suministro electrico.

12.1.2 ACCESO FÍSICO

El acceso fisico a las dependencias donde se llevan a cabo procesos de certificacion esta limitado y protegido mediante una combinacion de medidas fisicas y procedimentales.

Esta limitado a personal expresamente autorizado, con identificacion en el momento del acceso y registro del mismo, incluyendo filmacion por circuito cerrado de television y su archivo.

Las instalaciones cuentan con cámaras y Sistemas de alarma para deteccion de intrusismo con aviso por canales alternativos.

El acceso a las salas se realiza con lectores de tarjeta de identificacion, gestionado por un sistema informatico que mantiene un log de entradas y salidas automatico.

12.1.3 ALIMENTACIÓN ELÉCTRICA Y AIRE ACONDICIONADO

En el diseño de las instalaciones eléctricas existe redundancia de equipos, añadiéndole una serie de elementos alternativos tales como sistemas de by-pass, transferencias de cargas críticas sin cortes de tensión, aislamiento galvánico, red equipotencial de tierra, etc., que permiten asegurar el máximo nivel de disponibilidad eléctrica para los equipos alojados.

12.1.4 EXPOSICIÓN AL AGUA

Además, el sistema de climatización se realiza mediante equipos autónomos que aseguran unos niveles de temperatura y humedad óptimos para el funcionamiento de los servidores y la electrónica de red.

12.1.5 PREVENCIÓN Y PROTECCIÓN DE INCENDIOS

Las salas donde se albergan equipos informaticos disponen de sistemas de deteccion y extincion de incendios automaticos.

12.1.6 SISTEMA DE ALMACENAMIENTO

Los sistemas del servidor se ejecutan mediante el despliegue de un entorno virtualizado en alta disponibilidad basado en VMware vSphere, soportado sobre dispositivos redundantes de computación, almacenamiento de alto rendimiento y redes independientes de producción, gestión y almacenamiento.

12.1.7 ELIMINACIÓN DEL MATERIAL DE ALMACENAMIENTO DE LA INFORMACIÓN

Cuando haya dejado de ser util, la informacion sensible es destruida en la forma mas adecuada al soporte que la contenga:


Versión 1.8


• Impresos y papel: mediante trituradoras o en papeleras dispuestas al efecto para

posteriormente ser destruidos, bajo control.

• Medios de almacenamiento: antes de ser desechados o reutilizados deben ser procesados

para su borrado fisicamente destruidos o hacer ilegible la informacion contenida.

Existen procedimientos bajo la norma estándar ISO 27001 que regulan estas operaciones

12.2 CONTROLES DE PROCEDIMIENTO

12.2.1 ROLES DE CONFIANZA

Los roles de confianza de la infraestructura tecnológica de Thomas Signe S.A.S. son los que se describen en el documento “THS-CO-AC-MO-01 Diagrama Organizacional”. De esta forma, se garantiza una segregacion de funciones que disemina el control y limita el fraude interno, no permitiendo que una sola persona controle de principio a fin todas las funciones de certificacion.

Los roles establecidos son:

• Gerente de Sistemas de la Información: Responsable general de los procesos de certificación

digital, registro y servicios de firma digital y protección de mensajes de datos. Dentro de la

plataforma EJBCA, cumple el rol de Auditor de la CA.

• Responsable de Certificación digital: Responsable de administrar la infraestructura técnica de

servicios electrónicos de la ECD, bajo el cumplimiento de las Prácticas de Certificación.

Dentro de la plataforma EJBCA, cumple el rol de Administrador de la CA.

• Administrador de Sistemas de la CA: Responsable de supervisar la infraestructura técnica de

los servicios de certificación digital de la ECD. Dentro de la plataforma EJBCA, cumple el rol

de Administrador de la CA.

12.2.2 NÚMERO DE PERSONAS REQUERIDAS POR TAREA

Thomas Signe S.A.S. garantiza al menos dos personas para realizar las tareas que requieren control multipersona, según el procedimiento THS-CO-AC-PR-11 Gestión de acceso al Sistema de la CA, y que se detallan a continuacion:

o La generacion de la clave de la TSA.

o La recuperacion y back-up de la clave privada de la TSA.

o La emision de certificado de la TSA.

o Activacion de la clave privada de la TSA.

12.2.3 IDENTIFICACIÓN Y AUTENTICACIÓN PARA CADA ROL

Cada rol de confianza de la CA se autentica mediante la utilización de dispositivos criptográficos seguros. La autenticación dentro de la plataforma previamente mencionada permite el acceso a determinados activos de información de Thomas Signe S.A.S.

12.2.4 ROLES QUE REQUIEREN SEGREGACIÓN DE FUNCIONES

La segregación de funciones e incompatibilidades se determinan en el procedimiento THS-CO-AC-MO-01 Diagrama Organizacional.


Versión 1.8


12.3 CONTROLES DE PERSONAL

12.3.1 REQUISITOS SOBRE LA CUALIFICACIÓN, EXPERIENCIA Y CONOCIMIENTO PROFESIONALES

Todo el personal esta cualificado y ha sido instruido convenientemente para realizar las operaciones que le han sido asignadas.

La CA se asegura que el personal de registro es personal confiable de una Corporacion para realizar las tareas de registro. A tal efecto se exige una declaracion en tal sentido por parte de la Entidad que asume funciones de RA .

El empleado del registro habra realizado un curso de preparacion para la realizacion de las tareas de registro y validacion de las peticiones. Al final de dicho curso, un auditor externo procedera a evaluar sus conocimientos del proceso.

La CA retirara de sus funciones de confianza a un empleado cuando se tenga conocimiento de la existencia de la comision de algun hecho delictivo que pudiera afectar al desempen o de estas funciones.

Existe un procedimiento del Grupo Signe GSIGNE-RRHH-PR-02 Selección de personal que define todos los requisitos para la selección de personal para los roles profesionales.

12.3.2 PROCEDIMIENTO DE COMPROBACIÓN DE ANTECEDENTES

Se realizan investigaciones pertinentes antes de la contratacion de cualquier persona.

12.3.3 REQUISITOS DE FORMACIÓN

Se llevan a cabo los cursos necesarios para asegurarse de la correcta realizacion de las tareas de certificacion, especialmente cuando se realicen modificaciones sustanciales en las mismas y en funcion de los conocimientos personales de cada operador.

Existe un procedimiento, GSIGNE-RRHH-PR-03 Formación, que determina las acciones que realizan las empresas del grupo para una adecuada formación. También existe un plan anual de formación.

12.3.4 REQUISITOS Y FRECUENCIA DE ACTUALIZACIÓN DE FORMACIÓN

Se realizaran actualizaciones con una frecuencia anual, salvo por modificaciones a la DPC, que seran notificadas a medida que sean aprobadas.

12.3.5 SANCIONES POR ACTUACIONES NO AUTORIZADAS

Se dispone de un regimen sancionador interno (GSIGNE-RRHH-PR-05 Procedimiento Sancionador) por la realizacion de acciones no autorizadas pudiendose llegar al cese del trabajador.

12.3.6 REQUISITOS DE CONTRATACIÓN DE TERCEROS

Los empleados de las empresas del Grupo que tengan un rol asignado dentro de la actividad de Thomas Signe para realizar tareas confiables deberan firmar anteriormente las clausulas de confidencialidad y la de requerimientos operacionales y aceptación del rol empleados por Thomas Signe S.A.S.. Cualquier accion que comprometa la seguridad de los procesos criticos aceptados podra dar lugar al cese del contrato laboral.


Versión 1.8


12.3.7 DOCUMENTACIÓN PROPORCIONADA AL PERSONAL

Thomas Signe S.A.S. pondra a disposicion de todo el personal la documentacion donde se detallen las funciones encomendadas, las politicas y practicas que rigen dichos procesos y la documentacion de seguridad.

Adicionalmente se suministrara la documentacion que precise el personal en cada momento, al objeto de que pueda desarrollar de forma competente sus funciones.

12.4 REGISTROS Y SUPERVISIÓN

12.4.1 SUPERVISIÓN

Thomas Signe dispone de un SOC (Security Operation Center) y un NOC (Network Operation Center) para monitorizar todas las tareas de supervisión de la seguridad y las comunicaciones de los servicios ofrecidos.

Estos centros de operación están descritos en el procedimiento GSIGNE-SI-PR-11 Seguridad física y del entorno, y están en áreas seguras.

12.4.2 TIPOS DE EVENTOS REGISTRADOS

Thomas Signe S.A.S. registra y guarda los logs de todos los eventos relativos al sistema de seguridad de la CA. Estos incluyen los siguientes eventos:

• Encendido y apagado del sistema.

• Intentos de inicio y fin de sesion.

• Intentos de accesos no autorizados al sistema de la CA a traves de la red.

• Registros de las aplicaciones de la Entidad de Certificacion.

• Encendido y apagado de la aplicacion.

• Cambios en los detalles de la CA y/o sus claves.

• Cambios en la creacion de perfiles de certificados.

• Eventos del ciclo de vida del certificado.

• Eventos asociados al módulo criptográfico

• Registros de la destruccion de los medios que contienen las claves, datos de activacion.

Adicionalmente, Thomas Signe S.A.S. conserva, ya sea manual o electronicamente, la siguiente informacion:

• Las ceremonias de creacion de claves de las CA y las bases de datos de gestion de claves.

• Registros de acceso fisico.

• Cambios en el personal que realiza tareas de confianza.

• Informes de compromisos y discrepancias.

• Registros de la destruccion de material que contenga informacion de claves, datos de

activacion o informacion personal de suscriptor, si se gestiona esa informacion.

• Posesion de datos de activacion, para operaciones con la clave privada de las CA que

abastezca a Thomas Signe S.A.S.

12.4.3 FRECUENCIA DE PROCESADO DE REGISTROS DE AUDITORÍA (LOG)

Se revisaran los logs de auditoria cuando se produzca una alerta del sistema motivada por la existencia de algun incidente, en busca de actividad sospechosa o no habitual.

12.4.4 PERIODO DE RETENCIÓN DE LOS REGISTROS DE AUDITORÍA

Se almacenara la informacion de los logs de auditoria por un periodo de tres (03) años para garantizar la seguridad del sistema en funcion de la importancia de cada log en concreto.


Versión 1.8


12.4.5 PROCEDIMIENTOS DE BACKUP DE LOS REGISTROS DE AUDITORÍA

Thomas Signe S.A.S. dispone de un procedimiento adecuado de backup, de manera que, en caso de perdida o destruccion de archivos relevantes, esten disponibles en un periodo corto de tiempo las correspondientes copias de backup de los logs.

La CA tiene implementado un procedimiento de backup seguro de los logs de auditoría, realizando diariamente una copia de todos los logs en un medio externo.

Se protege su disponibilidad mediante el almacen en instalaciones externas al centro donde se ubica la Entidad de Certificacion Digital.

12.4.6 SISTEMA DE RECOGIDA DE INFORMACIÓN DE AUDITORÍA (INTERNA O EXTERNA)

La informacion de la auditoria de eventos es recogida internamente y de forma automatizada por el sistema operativo y por el software de certificacion.

12.4.7 ANÁLISIS DE VULNERABILIDADES

La CA realiza periodicamente una revision de vulnerabilidades y test de intrusión para analizar la infraestructura de la CA. Después se analizaran y se corregirán las vulnerabilidades que la CA crea que son un riesgo para ella.

12.5 ARCHIVO DE REGISTROS

12.5.1 TIPOS DE EVENTOS ARCHIVADOS

Thomas Signe S.A.S. conservara los eventos que tengan lugar durante el ciclo de vida del servicio. Por lo tanto, se almacenara:

• todos los datos de la auditoría,

• todos los datos relativos a los contratos con los suscriptores y los datos relativos a su

identificacion,

• la documentacion requerida por los auditores y

• las comunicaciones entre los elementos de la PKI

Thomas Signe S.A.S. es responsable del correcto archivo de todo este material y documentacion.

12.5.2 PERIODO DE CONSERVACIÓN

Todos los datos del sistema relativos al ciclo de vida se conservaran durante el periodo que establezca la legislacion vigente cuando sea aplicable. Los contratos con los suscriptores y cualquier informacion relativa a la identificacion y autenticacion del suscriptor seran conservados durante al menos tres (03) an os o el periodo que establezca la legislacion vigente.

12.5.3 PROTECCIÓN DE ARCHIVOS

Thomas Signe S.A.S. asegura la correcta proteccion de los archivos mediante la asignacion de personal cualificado para su tratamiento y el almacenamiento en instalaciones externas en los casos en que asi se requiera.

Además, disponen de documentos tecnicos y de configuracion donde se detallan todas las acciones tomadas para garantizar la proteccion de los archivos.


Versión 1.8


12.5.4 PROCEDIMIENTOS PARA OBTENER Y VERIFICAR INFORMACIÓN ARCHIVADA

El acceso a la informacion archivada se realiza solo por personal autorizado.

Thomas Signe S.A.S. proporcionara la informacion y los medios al auditor para poder verificar la informacion archivada.

12.6 PROCEDIMIENTOS DE GESTIÓN DE INCIDENTES Y VULNERABILIDADES

Thomas Signe S.A.S. ha desarrollado un Plan de contingencia para recuperar todos los sistemas, según el procedimiento GSIGNE-SI-PR-17 Aspectos de Seguridad de la Información para la GCN y THS-CO-SI-PR-01 Gestión del riesgo - 03 BIA - DRP 2019.

Cualquier fallo en la consecucion de las metas marcadas por este plan de contingencias, sera tratado como razonablemente inevitable a no ser que dicho fallo se deba a un incumplimiento de las obligaciones de la CA para implementar dichos procesos.

Como parte de los incidentes de seguridad que deben ser registrados por Thomas Signe S.A.S., se encuentran:

• Cuando la seguridad de la llave privada de la entidad de certificación se ha visto

comprometida

• Cuando el sistema de seguridad de la entidad de certificación ha sido vulnerado

• Cuando se presenten fallas en el sistema de la entidad de certificación que comprometan la

prestación del servicio.

• Cuando los sistemas de cifrado pierdan vigencia por no ofrecer el nivel de seguridad

contratado por el suscriptor

• Cuando se presente cualquier otro evento o incidente de seguridad de la información.

12.6.1 RECUPERACIÓN EN CASO DE COMPROMISO DE UNA CLAVE

El plan de contingencias de la jerarquia de Thomas Signe S.A.S., trata el compromiso de la clave privada de la CA como un desastre.

En caso de compromiso de la clave privada de la CA, se procederá, según el procedimiento THS-CO-AC-PR-05 Gestión de claves, a:

• Informar a todos los suscriptores, usuarios y otras ECs con los cuales tenga acuerdos u otro

tipo de relacion del compromiso, como minimo mediante la publicacion de un aviso en la

pagina web de Thomas Signe S.A.S.

• Indicar que los certificados e informacion relativa al estado de la revocacion firmados usando

esta clave no son validos.

12.6.2 CONTINUIDAD DEL NEGOCIO DESPUE S DE UN DESASTRE

Thomas Signe S.A.S. ha desarrollado un Plan de contingencia para recuperar todos los sistemas, según el procedimiento GSIGNE-SI-PR-17 Aspectos de Seguridad de la Información para la GCN y THS-CO-SI-PR-01 Gestión del riesgo - 03 BIA - DRP 2019.


Versión 1.8


12.7 CESE DE UNA ECD

12.7.1 ENTIDAD DE CERTIFICACIÓN DIGITAL

Ante el cese de servicios de la ECD de Thomas Signe S.A.S. se procederá de la siguiente forma:

- Informar en primera instancia a la Superintendencia de Industria y Comercio acerca del cese de actividades con una anticipación de treinta (30) días y solicitar su autorización.

- Luego de haber sido autorizado, informar por medio de dos avisos publicados en diarios de amplia difusión y por el correo electrónico declarado, a todos los suscriptores con un intervalo de quince (15) días sobre la terminación de su actividad o actividades, la fecha precisa de cesación y las consecuencias jurídicas de esta respecto de los certificados expedidos.

Si por causas de fuerza mayor el servicio es suspendido temporalmente, Thomas Signe S.A.S. informará al suscriptor dentro de las veinticuatro (24) horas siguientes de ocurrido el incidente.

En cualquier caso, se garantiza la continuidad del servicio a los usuarios quienes ya hayan contratado los servicios de la ECD de Thomas Signe S.A.S., directamente o por medio de terceros, sin ningún costo adicional a los servicios que contrató.

Los registros competentes de los certificados emitidos a los ciudadanos y empresas privadas serán mantenidos hasta ser cumplido el plazo de diez (10) años.

13 AUDITORÍA DE CONFORMIDAD Y OTROS CONTROLES

Thomas Signe S.A.S. se somete a las auditorías de conformidad que realiza el ONAC, directamente o a través de terceros, de conformidad con los dispuesto en el artículo 162 del Decreto-ley 19 de 2012. Asimismo, de acuerdo a lo exigido en los Criterios Específicos de Acreditación del ONAC, Thomas Signe S.A.S. cumple con la Auditoría de tercera parte en los términos previstos en dicho documento.

En caso aplique, Thomas Signe S.A.S. permite y facilita la realización de auditorías por parte de la Superintendencia de Industria y Comercio.

Thomas Signe dispone de la certificación ISO 27001 y Webtrust.

Por otro lado, Signe en calidad de proveedor de infraestructura tecnológica, cuenta con la certificación eIDAS, ISO 9001, ISO 14001, ENS (Esquema Nacional de Seguridad), ISO 14298 e ISO 27001; sometiéndose a auditorías anuales que cubren los servicios de emisión de certificados digitales, estampado cronológico, y archivo y conservación de mensajes de datos.

13.1 FRECUENCIA DE LAS AUDITORÍAS

Se realizaran auditorías periodicas, generalmente con caracter anual.

Específicamente, la auditoría realizada por el ONAC a los servicios de Thomas Signe S.A.S., se realiza cada año. De la misma manera, cumple anualmente con la Auditoría de tercera parte.

Thomas Signe se somete a auditorías anuales de ISO 27001 y Webtrust.

Por otro lado, Signe se somete anualmente a la auditoría eIDAS, ISO 9001, ISO 14001, ENS (Esquema Nacional de Seguridad), ISO 14298 e ISO 27001.

Cabe destacar que Signe se compromete a realizar las auditorías necesarias para obtener en su propio nombre dicha certificación.

13.2 IDENTIDAD/CUALIFICACIÓN DEL AUDITOR

Las auditorías de conformidad que competen a Thomas Signe S.A.S. son realizadas por auditores designados por el ONAC.

Las auditorías de tercera parte se realizan por auditores que cumplan con lo establecido en los Criterios Específicos de ONAC vigente.


Versión 1.8


Las auditorías a las que se somete Signe, pueden ser de caracter tanto interno como externo. En este segundo caso, se realizan por empresas de reconocido prestigio en el ambito de las auditorías.

13.3 RELACIÓN ENTRE EL AUDITOR Y LA ENTIDAD AUDITADA

Las empresas que realizan las auditorias externas nunca representan ningun conflicto de intereses que pueda desvirtuar su actuacion en su relacion con Thomas Signe S.A.S.

13.4 ASPECTOS CUBIERTOS POR LOS CONTROLES

La auditoria verifica, en general, los siguientes principios:

Publicacion de la Informacion: Que la ECD hace publicas las Practicas de Negocio y de Gestion de Certificados (la presente DPC), asi como la politica de privacidad de la informacion y proteccion de datos personales y proporciona sus servicios en conformidad con dichas afirmaciones.

a) Integridad de Servicio. Que la ECD mantiene controles efectivos para asegurar razonablemente

que:

• La informacion del suscriptor es autenticada adecuadamente (para las actividades de

registro realizadas por la ECD), y

• La integridad de las claves y certificados gestionados y su proteccion a lo largo de todo

su ciclo de vida.

b) Controles generales. Que la ECD mantiene controles efectivos para asegurar razonablemente

que:

• La informacion de suscriptores y usuarios esta restringida a personal autorizado y

protegida de usos no especificados en las practicas de negocio de la ECD publicadas.

• Se mantiene la continuidad de las operaciones relativas a la gestion del ciclo de vida

de las claves y los certificados.

c) Las tareas de explotacion, desarrollo y mantenimiento de los sistemas de la ECD son

adecuadamente autorizadas y realizadas para mantener la integridad de los mismos.

13.5 ACCIONES A TOMAR COMO RESULTADO DE LA DETECCIÓN DE DEFICIENCIAS

En caso de que sean detectadas incidencias o no-conformidades, se habilitaran las medidas oportunas para su resolucion en el menor tiempo posible. Para no-conformidades graves (afectan a los servicios criticos); Thomas Signe S.A.S. o Signe se comprometen, según corresponda, a su resolucion en un plazo maximo de tres meses.

13.6 COMUNICACIÓN DE RESULTADOS

El auditor se comunicara con el Gerente Adjunto y/o Gerente de Sistemas de la Información.

14 CICLO DE VIDA DE LA GESTIÓN DE LA CLAVE

14.1 GENERACIÓN DE LA CLAVE DE LA TSA

La generación de la clave privada del certificado digital con el cual se firman los sellos de tiempo es realizada en un ambiente físico seguro (conforme a la sección 7.4.4 de la RFC 3628), por personal confiable (sección 7.4.3 de la RFC 3628) bajo, al menos, autorización de dos personas, conforme a la Declaración de Prácticas de Certificación para Emisión de Certificados de Thomas Signe S.A.S.


Versión 1.8


La generación de la clave privada se realiza en un módulo hardware de seguridad – HSM con certificaciones FIPS 140-2 nivel 3 y su administración es protegida por al menos dos personas, conforme a la Declaración de Prácticas de Certificación para Emisión de Certificados de Thomas Signe S.A.S.

14.2 CARACTERÍSTICAS TÉCNICAS DEL CERTIFICADO DIGITAL Y DE LOS ALGORITMOS UTILIZADOS

Las características del certificado digital y de los algoritmos utilizados en los servicios de estampado cronológico, son señalados en la Declaración de Prácticas de Certificación para Emisión de Certificados.

14.3 PROTECCIÓN DE LA CLAVE PRIVADA DE LA TSA

La clave privada del certificado de firma de cada sello de tiempo es resguardada durante su uso dentro de un módulo hardware criptográfico con certificación FIPS 140-2 nivel 3. Las copias de respaldo se almacenan en un módulo criptográfico del mismo nivel de seguridad, conforme a la Declaración de Prácticas de Certificación para Emisión de Certificados.

14.4 DISTRIBUCIÓN DE LA CLAVE PÚBLICA TSU

La clave pública está contenida dentro de un certificado X.509 v3, firmada digitalmente por Thomas Signe S.A.S. regulada por la Declaración de Prácticas de Certificación para Emisión de Certificados.

14.5 RE-EMISIÓN DE LA CLAVE DEL TSU

La clave privada de la TSA de Thomas Signe S.A.S. será reemplazada antes de la expiración de su periodo de validez y en caso de obsolescencia o vulnerabilidad declarada del algoritmo, el tamaño de la clave u otra medida de seguridad relevante, conforme a la Declaración de Prácticas de Certificación para Emisión de Certificados de Thomas Signe S.A.S.

14.6 TÉRMINO DEL CICLO DE VIDA DE LA CLAVE PRIVADA DEL TSU

Las claves privadas con las cuales se firman los sellos de tiempo reconocidos por Thomas Signe S.A.S., no serán usadas luego de terminado su ciclo de vida sino que será emitida una nueva clave y puesta en operación, realizando el cambio de un certificado digital por otro, incluyendo la generación segura y la publicación del nuevo certificado.

La clave de la TSA que ha expirado o ha sido revocada o cualquier parte de ella, incluyendo cualquier copia será destruida de modo que no pueda ser recuperada.

15 CONTROLES DE SEGURIDAD DEL CICLO DE VIDA

15.1 CONTROLES DE GESTIO N DE SEGURIDAD

Gestion de seguridad

Thomas Signe S.A.S. desarrolla las actividades precisas para la formacion y concienciacion de los empleados en materia de seguridad.

Clasificacion y gestion de informacion y bienes

Thomas Signe S.A.S. mantiene un inventario de activos y documentacion.


Versión 1.8


Cada una de las Políticas y procedimiento indica su nivel de confidencialidad. Los documentos estan catalogados en tres niveles: PU BLICO, INTERNO y CONFIDENCIAL.

Operaciones de gestion

Thomas Signe S.A.S. dispone de un adecuado Procedimiento de gestion de incidencias y de la continuidad del negocio.

Thomas Signe S.A.S. dispone de cajas de seguridad ignifugas para el almacenamiento de soportes fisicos.

Thomas Signe S.A.S. tiene documentado todo el procedimiento relativo a las funciones y responsabilidades del personal implicado en el proceso de certificacion.

Tratamiento de los soportes y seguridad

Todos los soportes seran tratados de forma segura de acuerdo con los requisitos de la clasificacion de la informacion. Los soportes que contengan datos sensibles son destruidos de manera segura si no van a volver a ser requeridos.

Gestion del sistema de acceso

Thomas Signe S.A.S. realiza todos los esfuerzos que razonablemente estan a su alcance para confirmar que el acceso al sistema esta limitado a las personas autorizadas. En particular:

• Se dispone de controles basados en firewalls de alta disponibilidad.

• Los datos sensibles son protegidos mediante tecnicas criptograficas o controles de acceso con

autenticacion fuerte.

• Se dispone de un procedimiento documentado de gestion de altas y bajas de usuarios y politica de

acceso detallado en su politica de seguridad.

• Se dispone de un procedimiento para asegurar que las operaciones se realizan respetando la

politica de roles.

• Cada persona tiene asociado su identificador para realizar las operaciones de certificacion segun

su rol.

• El personal de Thomas Signe S.A.S. sera responsable de sus actos, por ejemplo, por retener logs de

eventos

Gestion del ciclo de vida del hardware criptografico

• Thomas Signe S.A.S. se asegura que el hardware criptografico usado para la firma de certificados

no se manipula durante su transporte.

• El Hardware criptografico esta construido sobre soportes preparados para evitar cualquier

manipulacion.

• Thomas Signe S.A.S. registra toda la informacion pertinente del dispositivo para an adir al catálogo

de activos de Thomas Signe S.A.S.

• El uso del hardware criptografico de firma de certificados requiere el uso de al menos dos

empleados de confianza.

• Thomas Signe S.A.S. realiza test de pruebas periodicas para asegurar el correcto funcionamiento

del dispositivo.

• El dispositivo criptografico solo es manipulado por personal confiable.

• La configuracion del sistema de la ECD asi como sus modificaciones y actualizaciones son

documentadas y controladas.

• Thomas Signe S.A.S. posee un contrato de mantenimiento del dispositivo para su correcto

mantenimiento. Los cambios o actualizaciones son autorizados por el responsable de seguridad y


Versión 1.8


quedan reflejados en las actas de trabajo correspondientes. Estas configuraciones se realizaran al

menos por dos personas confiables.

15.2 CONTROLES DE SEGURIDAD DE LA RED

La CA protege el acceso fisico a los dispositivos de gestion de red y dispone de una arquitectura que ordena el trafico generado basandose en sus caracteristicas de seguridad creando secciones de red claramente definidas. Esta division se realiza mediante el uso de cortafuegos.

15.3 SELLADO DE TIEMPO

El tiempo para los servicios de la ECD se obtienen mediante consulta al Instituto Nacional de Metrología (INM) de Colombia, de acuerdo con lo establecido en el artículo 14 del Decreto 4175 de 2011, por el cual se escindieron unas funciones de la Superintendencia de Industria y Comercio y se creó el Instituto Nacional de Metrología –INM, a partir del 3 de noviembre del año 2011 esta última institución es la encargada de mantener, coordinar y difundir la hora legal de la República de Colombia, adoptada mediante Decreto 2707 de 1982.

Los servidores se mantienen actualizados con lo hora UTC, mediante sincronización a través del protocolo NTP v4, conforme al estándar RFC 5905 - Network Time Protocol Version 4: Protocol and Algorithms Specification.

16 SELLO DE TIEMPO

Los sellos de tiempo de Thomas Signe S.A.S. cumplen lo siguiente:

• Los sellos de tiempo son conformes a la RFC 3161 - Internet X.509 Public Key Infrastructure

Time-Stamp Protocol (TSP).

• Se utiliza un servicio de sincronización a la fuente de tiempo confiable.

• El sello de tiempo incluye un identificador de la política de sello de tiempo, en concordancia con

la TSA y la TSU de Thomas Signe S.A.S.

• Cada sello de tiempo tiene asignado un único identificador.

• El tiempo incluido en el sello de tiempo será sincronizado con la UTC dentro de la exactitud de

+/- 1 segundo.

• El sello de tiempo incluye un resumen de los datos firmados (HASH).

• El sello de tiempo deberá ser firmado por una clave generada para este propósito,

correspondiente a la TSA de Signe.

• Si se detecta que el reloj del proveedor del sello de tiempo se encuentra fuera de la precisión

indicada, los sellos de tiempo no deben emitirse. Asimismo, los terceros que confían afectados

serán informados al respecto.

• La sincronización del reloj se mantiene aún cuando se presentan cambios en el tiempo

notificado por una Autoridad Competente. El cambio se realiza cuando el cambio en el tiempo

se encuentra debidamente planificado.

17 OBLIGACIONES Thomas Signe S.A.S. asegura que los sistemas, personas y procesos que conforman los servicios de

estampado cronológico, cumplan con los requerimientos definidos en la RFC 3628 - Policy Requirements for Time-Stamping Authorities, verificando su cumplimiento con periodicidad.

En este sentido, Thomas Signe S.A.S. se hace responsable de cumplir con las obligaciones contractuales y niveles de servicio acordados con cada Suscriptor.


Versión 1.8


17.1 OBLIGACIONES DE LA TSA EN RELACIÓN A LOS SUSCRIPTORES

Thomas Signe S.A.S. entregará los servicios con la confiabilidad y exactitud establecida en los respectivos contratos y en el presente documento.

17.2 OBLIGACIONES DE LOS PROVEEDORES

El Proveedor de infraestructura y servicios tecnológicos de Thomas Signe S.A.S. se encuentra obligado a cumplir con los requisitos mínimos exigidos por ONAC, dispuestos en el documento CEA 4.1-10 vigente, tales como:

a) Responsabilidad y financiación

b) Confidencialidad

c) Requisitos para los recursos

d) Requisitos del proceso – Ciclo de vida del certificado digital

e) Requisitos del sistema de gestión

f) Requisitos de la CA

g) Requisitos de la RA

h) Requisitos técnicos

17.3 OBLIGACIONES DE LOS SUSCRIPTORES

Es responsabilidad de los suscriptores utilizar una aplicación de software acreditada ante el ONAC que realice las peticiones e interprete las respuestas conforme al formato establecido en la RFC 3161, las verificaciones del estado del certificado, así como realizar la correcta configuración de la hora local en estas aplicaciones.

17.4 OBLIGACIONES DE LOS TERCEROS QUE CONFÍAN

Los terceros que confían son responsables de verificar que los documentos sean firmados con un sello de tiempo, con un certificado digital reconocido por Thomas Signe S.A.S. y que estos sellos tengan como parte de su número de identificación el OID, la identificación de la respectiva política de sellado de tiempo de Signe .

Asimismo deben verificar que el certificado de sello de tiempo se encuentra firmado y que la clave privada no estuvo comprometida en el momento en el que se realizó el sellado de tiempo.

18 POLÍTICA DE PROTECCIÓN DE DATOS Thomas Signe S.A.S. garantiza la protección de datos personales de los suscriptores y titulares de los

servicios de certificación digital, en cumplimiento de la Ley Estatutaria 1581 de 2012, reglamentada parcialmente por el Decreto Nacional 1377 del 2013; de los Decretos 1377 de 2013 y 886 de 2014, ley 1266 de 2008 de demás decretos reglamentarios relacionados, donde se reglamenta lo establecido en la Ley 1581 de 2012, por la cual se expidió el Régimen General de Protección de Datos Personales, cuyo objeto es “(...) desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma” y de los Criterios específicos de acreditación Entidades de Certificación Digital - CEA-4.1-10 Versión 01.

Serán considerados como datos personales, la información de nombres, dirección, correo electrónico, y toda información que pueda vincularse a la identidad de una persona natural o jurídica, contenidos en los contratos y solicitudes de los suscriptores. Esta información será considerada como confidencial y será de uso exclusivo para las operaciones de certificación digital estipuladas, a excepción que exista un previo


Versión 1.8


consentimiento del usuario final de dichos datos o medie una orden judicial o administrativa que así lo determine.

Es responsabilidad de los suscriptores garantizar que la información provista a Thomas Signe S.A.S. sea veraz y vigente. Asimismo, son responsables del perjuicio que pudieran causar por aportar datos falsos, incompletos o inexactos.

Thomas Signe S.A.S. cuenta con una Política de Privacidad de datos personales que detalla los principios, recolección y tratamiento de datos personales.

19 CONFIDENCIALIDAD DE LA INFORMACIÓN

Thomas Signe S.A.S., considera confidencial toda la informacion que no este catalogada expresamente como publica. No se difundira informacion declarada como confidencial sin el consentimiento expreso por escrito de la entidad u organizacion que le haya otorgado el caracter de confidencialidad, a no ser que exista una imposicion legal.

19.1 INFORMACIÓN CONFIDENCIAL

La siguiente informacion sera considerada confidencial:

• Las claves privadas de la TSA

• Acta de Ceremonia de generación de las claves de la TSA

• Procedimiento de Ceremonia de generación de las claves de la TSA

• La información de negocio suministrada y/o elaborada conjuntamente con Thoma Signe S.A.S.

por parte de sus clientes, proveedores u otras personas con las que Thomas Signe se

comprometió a guardar secreto establecido legal o convencionalmente.

• La información del suscriptor obtenida por fuentes diferentes del suscriptor y que haya sido

catalogada como “Confidencial”.

• Los datos recogidos durante el proceso de solicitud.

19.2 INFORMACIÓN NO CONFIDENCIAL

La siguiente informacion sera considerada no confidencial:

• La contenida en la presente DPC.

• Cualquier informacion cuya publicidad sea impuesta normativamente.

20 OTROS ASUNTOS LEGALES Y COMERCIALES

20.1 PAQUETES

Los paquetes para el servicio de Estampado cronológico que ofrece Thomas Signe S.A.S., pueden ser lo siguientes:

TIPO DE PAQUETE N° ESTAMPAS CRONOLÓGICAS

Paquete ilimitado Servicio ilimitado de estampado cronológico


Versión 1.8


Paquete premium Servicio de hasta 1.000.000 estampas cronológicas

Paquete 750 mil Servicio de hasta 750.000 estampas cronológicas







Paquete 5000 Servicio de hasta 5.000 estampas cronológicas

Paquete 2000 Servicio de hasta 2.000 estampas cronológicas

Paquete 500 Servicio de hasta 500 estampas cronológicas

Las tarifas respectivas a cada paquete pueden ser consultadas a [email protected]

20.1.1 POLÍTICA DE REEMBOLSO

Thomas Signe S.A.S. disponer de una Política de reembolso, (THS-CO-AC-POL-07 Política de reembolso) que se encuentra además referenciada en los contratos celebrados con sus clientes y es pública en la web www.thomas-signe.co.

20.2 RESPONSABILIDADES ECONÓMICAS

Thomas Signe S.A.S., dispone de recursos económicos suficientes para afrontar el riesgo de la responsabilidad por daños y perjuicios ante los usuarios de sus servicios y a terceros, garantizando sus responsabilidades en su actividad como ECD. La garantía citada se establece mediante un Seguro de Responsabilidad Civil con una cobertura igual o superior a la exigida por la normativa vigente.

Las características de dicho seguro, son las siguientes:

- Es expedido por una entidad aseguradora vigilada por la Superintendencia Financiera de Colombia.

- Cubre riesgos y perjuicios contractuales y extracontractuales de suscriptores y terceros de buena fe.

- La entidad aseguradora se encarga de informar previamente a ONAC la terminación del contrato de seguro o si se realizan modificaciones que reducen el alcance o monto de la cobertura pactada.




Versión 1.8


20.3 EXONERACIÓN DE RESPONSABILIDAD

Thomas Signe S.A.S. no sera responsable en ningun caso cuando se encuentre ante cualquiera de estas circunstancias:

a) Estado de Guerra, desastres naturales, funcionamiento defectuoso de los servicios electricos, las redes telematicas y/o telefonicas o de los equipos informaticos utilizados por el Suscriptor o por los Terceros, o cualquier otro caso de fuerza mayor.

b) Por el uso indebido o fraudulento del directorio de certificados y CRL’s (Lista de Certificados Revocados) emitidos por la CA.

c) Por el uso indebido de la informacion contenida en el Certificado o en la CRL.

d) Por el contenido de los mensajes o documentos firmados o encriptados mediante los certificados.

e) En relacion a acciones u omisiones del Solicitante y Suscriptor:

- Falta de veracidad de la informacion suministrada para emitir el certificado.

- Retraso en la comunicacion de las causas de suspension o revocacion del certificado.

- Ausencia de solicitud de suspension o revocacion del certificado cuando proceda.

- Negligencia en la conservacion de sus datos de creacion de firma, en el aseguramiento de su confidencialidad y en la proteccion de todo acceso o revelacion.

- Uso del certificado fuera de su periodo de vigencia, o cuando la ECD de Thomas Signe S.A.S. o la RA le notifique la revocacion o suspension del mismo.

- Extralimitacion en el uso del certificado, segun lo dispuesto en la normativa vigente y en la DPC de la ECD, en particular, superar los limites que figuren en el certificado electronico en cuanto a sus posibles usos y al importe individualizado de las transacciones que puedan realizarse con el o no utilizarlo conforme a las condiciones establecidas y comunicadas al firmante por la ECD.

f) En relacion a acciones u omisiones del tercero que confia en el certificado:

- Falta de comprobacion de las restricciones que figuren en el certificado electronico o en la DPC de la ECD en cuanto a sus posibles usos y al importe individualizado de las transacciones que puedan realizarse con el.

- Falta de comprobacion de la suspension o perdida de vigencia del certificado electronico publicada en el servicio de consulta sobre la vigencia de los certificados o falta de verificacion de la firma electronica.

20.4 RESPONSABILIDADES FINANCIERAS

20.4.1 COBERTURA DEL SEGURO

El seguro se hará cargo de todas las cantidades que Thomas Signe S.A.S. resulte legalmente obligado a pagar, hasta el límite de cobertura contratado, como resultado de cualquier procedimiento judicial en el que pueda declararse su responsabilidad, derivada de cualquier acto negligente, error u incumplimiento no intencionado de la legislación vigente entre otros.

20.4.2 SEGURO O GARANTÍA DE COBERTURA PARA LAS ENTIDADES FINALES

No existe cobertura para los terceros aceptantes.

20.5 DERECHOS DE PROPIEDAD INTELECTUAL

La propiedad intelectual de esta DPC pertenece a Thomas Signe S.A.S.


Versión 1.8


21 PQRSA Las peticiones, quejas, reclamos, sugerencias y apelaciones (PQRSA) sobre los servicios prestados por

Thomas Signe S.A.S., son recibidas directamente por el Responsable de PQRSA de la ECD.

Los solicitantes, suscriptores, terceros aceptantes o el público en general podrán indicar su PQRSA con respecto a los servicios de certificación digital ofrecidos por Thomas Signe S.A.S. de cualquiera de las siguientes maneras:

- Electrónicamente: Completando el Formulario para PQRSA, localizado en la página web de

Thomas Signe S.A.S. www.thomas-signe.co - Presencialmente: Acercándose a la oficina de Thomas Signe S.A.S., ubicada en Cr. 42 Bis No. 17

a 45, Bogota.

Los PQRSA serán gestionados por el Responsable de PQRSA de Thomas Signe S.A.S., quien se encargará de derivar la incidencia al Departamento o rol respectivo. Dicha gestión se llevará a cabo, dando lugar a una solución en un lapso no mayor a quince (15) días. El usuario recibirá un mensaje de correo electrónico de confirmando la recepción de la PQRSA y cuando esta sea resuelta. Thomas Signe S.A.S. cuenta con el Procedimiento de Mejora para el tratamiento de PQRSA que detalla cada uno de los procesos y se encuentra publicado en la página web de Thomas Signe S.A.S.

22 CONFORMIDAD CON LA LEY APLICABLE Thomas Signe S.A.S. es afecta y cumple con las obligaciones establecidas por el ONAC, a los

requerimientos de los “Criterios específicos de acreditación Entidades de Certificación Digital – CEA-4.1-10”, a lo establecido en la Ley 527 de 1999, el Decreto 1471 de 2014, el Decreto Ley 0019 de 2012 y el Decreto 1074 de 2015 que compila el Decreto 333 de 2014, la Ley Estatuaria 1581 de 2012 y los reglamentos que los modifiquen o complementen.

23 CONFORMIDAD

Este documento ha sido aprobado por la ECD de Thomas Signe S.A.S. y tiene carácter normativo sobre todos los servicios de estampado cronológico, por lo que cualquier incumplimiento por parte de las personas mencionadas en el alcance de este documento, será comunicado a dicha autoridad para la ejecución de las sanciones respectivas.

http://www.thomas-signe.com/


Versión 1.8


24 FORMATOS THS-CO-AC-DPC-02-F01 Formulario de Solicitud de Estampado Cronológico

THS-CO-AC-DPC-02-F02 Propuesta Comercial de Estampado Cronológico

THS-CO-AC-DPC-02-F03 Contrato de Suscripción para Estampado Cronológico

25 REGISTROS

IDENTIFICACIÓN SOPORTE RESPONSABLE ARCHIVO TIEMPO DE

CONSERVACIÓN

Formularios completos de solicitud de estampado cronológico

Informático Gerente Comercial

ERP 3 años o de acuerdo a normativa aplicable

Propuestas comerciales de estampado cronológico



Contratos firmados de suscripción para estampado cronológico




Versión 1.8


26 ANEXOS

CONTRATO DE SUSCRIPCIÓN DE ESTAMPADO CRONOLÓGICO

INTERVIENEN

Por una parte,

La Entidad de Certificación Digital de THOMAS SIGNE SOLUCIONES TECNOLÓGICAS GLOBALES SAS, en adelante ENTIDAD, con N° de NIT 900962071-5, con domicilio en Av. Las Amerícas No 45-57 Bogotá D.C.

Por otra parte,

[Nombre S], en adelante CLIENTE, con N° de [Tipo de Documento] [Número de Documento], con domicilio en [Dirección], ciudad […], y con correo electrónico [Correo].

Las partes involucradas tienen conocimiento y se encuentran conformes con los siguientes términos y condiciones:

1. DEFINICIONES Y ABREVIACIONES Los términos, abreviaciones, acrónimos y definiciones aplicables al presente contrato se indican a continuación: - DPC – Declaración de Prácticas de Certificación: Documento en el que consta de manera detallada los procedimientos que aplica la ECD para la prestación de sus servicios. - ECD – Entidad de Certificación Digital: Entidad que presta servicios de emisión, revocación y otras gestiones propias de certificados digitales, de acuerdo a la regulación establecida por el ONAC. - Estampado cronológico: O sello de tiempo, servicio que puede darse en diversas modalidades de acuerdo a la propuesta comercial, que implica la incrustación en los documentos electrónicos de la firma digital de TSA. - ONAC – Organismo Nacional de Acreditación de Colombia: Organismo colombiano que presta el servicio de acreditación a los organismos de evaluación de la conformidad. - Repositorio: sistema de información utilizado para almacenar y recuperar servicios, políticas u otra información relacionada con los mismos. - Suscriptor: persona a cuyo nombre se expide un servicio. - TSA: Autoridad de Sellado de Tiempo, que actúa como tercero de confianza que agrega una firma digital al documento electrónico, incluyendo la fecha y hora referenciada por la fuente de tiempo reportada por el Instituto Nacional de Metrología de Colombia. 2. DE LA ENTIDAD QUE PRESTA SUS SERVICIOS 2.1. Obligaciones legales y generales

- Cumplir con las obligaciones especificadas por el ONAC y los Criterios específicos de acreditación Entidades de Certificación Digital - CEA-4.1-10 Versión 01, establecidos por él.

- Encontrarse regulada por la Ley 527 de 1999 y sus modificaciones; el Decreto de Ley 0019 de 2012 y sus modificaciones; el Decreto 333 de 2014 y sus modificaciones; y el Decreto 1471 de 2014 y sus modificaciones, y demás normas que le resulten aplicables.

- Cumplir con lo dispuesto en el documento Declaración de Prácticas de Estampado Cronológico.

- Cumplir con las condiciones de servicio, dispuestas en la respectiva propuesta comercial, que forma parte del presente contrato. 2.2. Obligaciones financieras

2.2.1. Política de reembolso

La ENTIDAD cuenta con una Política de reembolso acorde con las leyes vigentes.

2.2.2. Cobertura de seguro

La ENTIDAD dispone de una garantía de cobertura de su responsabilidad civil suficiente para el pago de indemnizaciones o pagos afín, bien mediante un seguro de responsabilidad civil profesional por errores y


Versión 1.8


omisiones, bien mediante una fianza o aval. En cualquier caso, la cuantía garantizada cubrirá la cuantía mínima establecida por el ONAC en todo momento. 2.3. Excepciones de garantía

- La ENTIDAD limita su responsabilidad mediante la inclusion de limites de uso del servicio, y límites de valor de las transacciones para las que puede emplearse el servicio, de acuerdo con lo establecido en su Declaración de Prácticas de Estampado Cronológico y en su Propuesta Comercial.

- Todas las responsabilidades legales, contractuales o extra contractuales, dan os directos o indirectos que puedan derivarse de tales usos quedan a cargo del CLIENTE. En ningun caso podra el CLIENTE ni los terceros perjudicados reclamar a la ENTIDAD compensacion o indemnizacion alguna por dan os o responsabilidades provenientes del uso de las claves o los servicios para fines de cifrado. 2.4. Eventos eximentes de responsabilidad

La ENTIDAD limita su responsabilidad en el evento de caso fortuito y/o fuerza mayor, respecto de la implementación y entrega del servicio. 2.5. Obligaciones de la ENTIDAD en relación al CLIENTE

- La ENTIDAD se hace cargo de publicar en su repositorio los documentos informativos acerca de los servicios brindados por esta. El CLIENTE podrá acceder ingresando a la página web de la ENTIDAD: www.thomas-signe.co

- Gestionar, proteger y custodiar de manera segura y responsable su clave privada de firma de estampas cronológicas.

- Emitir estampas cronológicas conforme a los estándares definidos en la Declaración de Prácticas de Estampado Cronológico.

- Las modificaciones realizadas en los contratos o cambios en las políticas y prácticas de la ENTIDAD serán comunicadas al CLIENTE.

- Notificar al CLIENTE cualquier cambio en los términos y condiciones básicas (identificadores de políticas, limitaciones de uso, obligaciones de CLIENTE, forma de validación de un servicio, procedimiento de resolución de disputas, periodo dentro del cual los registros de auditoría serán conservados, sistema legal aplicable y conformidad según el marco del ONAC). 2.6. Resolución de diferencias

La solicitud de resolución de diferencias deberá ser comunicada por medio del correo electrónico brindado por el CLIENTE a través del presente contrato y el de la ENTIDAD [email protected]

Dentro de los quince (15) días siguientes al envío del mensaje de correo electrónico, se buscará llegar a un arreglo directo entre el CLIENTE y la ENTIDAD, y se ejecutará el procedimiento de Peticiones, Quejas, Reclamos, Apelaciones y Sugerencias (PQRSA). En caso no se llegase a un acuerdo entre las partes, intervendría un tercero, bien mediante arbitraje, bien acudiendo a la jurisdicción que corresponda para su resolución, de conformidad con la Ley 1563 de 2012, que regula el Arbitraje Nacional e Internacional. La jurisdicción aplicable será la del territorio de Colombia independientemente de la nacionalidad o domicilio del suscriptor. Las partes fijan como domicilio contractual, para efectos judiciales, la ciudad de Bogotá. 2.7. Comunicaciones de valor legal

Ambas partes reconocen que las comunicaciones se realizarán por medio electrónico a través del correo electrónico brindado por el CLIENTE a través del presente contrato y el de la ENTIDAD [email protected] 2.8. PQRSA

Los suscriptores o responsables y en general cualquier interesado podrá acceder a la página web de la ENTIDAD www.thomas-signe.co o remitir un correo electrónico a [email protected] para indicar sus peticiones, quejas, reclamos, sugerencias y apelaciones. 2.9. Uso y protección de datos personales

- El CLIENTE, al completar el Formulario de Solicitud y aceptar el presente Contrato, autoriza a la ENTIDAD para la recolección, almacenamiento y uso de los datos proporcionados con la finalidad de llevar a cabo las validaciones necesarias de autenticidad para brindar servicios de certificación digital, así como para fines comerciales relacionados con los mismos.

- La ENTIDAD llevará a cabo el tratamiento de datos personales de acuerdo a su Política de Privacidad, la cual referencia a la Ley Estatuaria 1581 del 17 de octubre de 2012 de Protección de Datos Personales, Decreto 1377 de 2013 y demás normatividad aplicable. 2.10. Notificaciones





Versión 1.8


- El procedimiento por el cual las partes se notifican hechos mutuamente es mediante el correo electrónico brindado por el CLIENTE a través del presente contrato. Si el CLIENTE desea enviar correspondencia o notificaciones físicas deberá ser dirigida a la dirección Avenida de Las Américas No 45-57 – Bogotá DC – Colombia. 2.11. Imparcialidad

La ENTIDAD se compromete a cumplir con su Política de imparcialidad, la cual se encuentra publicada en su página web, por lo cual garantizará a su vez que en el desarrollo de sus actividades no permitirá presiones exógenas de índole comercial, financiera u otras comprometan la calidad del servicio prestado. De igual forma la ENTIDAD garantiza que el personal de apoyo contratado por la compañía para la ejecución del servicio contratado es idóneo para el desempeño de sus funciones y no presenta ningún tipo de inhabilidad e incompatibilidad que atenten contra la continuidad de la actividad desarrollada por las partes suscribientes. 2.12. Tarifas

Las tarifas propuestas por la ENTIDAD se encuentran descritas en la propuesta comercial entregada al cliente para la aceptación del presente contrato o pueden ser consultadas directamente a la ENTIDAD.

3. DEL CLIENTE 3.1. Obligaciones generales

- Manifestar ser consiente y encontrarse conforme a lo estipulado en el presente contrato, la propuesta comercial y en los documentos facilitados por la ENTIDAD.

- Cumplir los requisitos del servicio de estampado cronológico respectivo, incluyendo la implementación de los cambios cuando los comunica la ECD.

- Cumplir con los términos y condiciones aceptadas al momento de solicitar servicios de estampado cronológico.

- Cumplir con las obligaciones dispuestas en la respectiva propuesta comercial, que forma parte del presente contrato.

- Informar durante la vigencia del servicio cualquier cambio en los datos suministrados para la emisión del servicio.

- Que las declaraciones sobre la certificación son coherentes con el alcance del servicio de certificación digital.

- No utilizar su servicio de estampado cronológico de manera que contravenga la ley u ocasione mala reputación para la ECD, y no hacer ninguna declaración relacionada con su servicio de estampado cronológico que la ECD pueda considerar engañosa o no autorizada.

- Que inmediatamente después de la cancelación o la terminación del servicio de estampado cronológico, el CLIENTE deja de utilizarla en todo el material publicitario que contenga alguna referencia a ella, y emprende las acciones exigidas por el servicio de estampado cronológico y cualquier otra medida que se requiera en la Declaración de Prácticas de Estampado Cronológico.

- Que al hacer referencia al servicio de estampado cronológico en medios de comunicación, tales como documentos, folletos o publicidad, el CLIENTE informa que cumple con los requisitos especificados en la Declaración de Prácticas de Thomas Signe.

- Cumplir los requisitos que pueda prescribir el servicio de certificación digital con relación al uso de las marcas de conformidad y a la información relacionada con el servicio.

- Informar a la ENTIDAD, sin retraso, acerca de los cambios que pueden afectar el servicio de estampado cronológico que le fue expedido por la ENTIDAD.

- El suscriptor o responsable al firmar este contrato acepta los términos de uso y condiciones del servicio especificadas en la Declaración de Prácticas de Estampado Cronológico de la ENTIDAD, la propuesta comercial respectiva y en el presente contrato de prestación de servicios de certificación digital.

- Al adquirir el servicio de estampado cronológico con la ENTIDAD, el suscriptor se obliga a conocer y enviar el contrato de suscripción aceptado. 3.2. Obligaciones financieras

- Indemnizaciones: El CLIENTE indemnizará y liberará de toda responsabilidad a la ENTIDAD del uso que esta haga del servicio otorgado, que no sea el uso indicado en el presente contrato y en los documentos


Versión 1.8


brindados por la ENTIDAD (Declaración de Prácticas, Propuesta Comercial, etc.). Para lo cual existe la Política de reembolso previamente mencionada. 3.3. Cancelación del servicio

El cliente y la Entidad definirán este aspecto en la Propuesta comercial.

3.5. Vigencia del servicio

- El periodo de vigencia del presente contrato de suscripción inicia desde el momento en que el solicitante envía la solicitud a la ENTIDAD y termina cuando pierde vigencia el plazo contratado, en caso de no solicitar su renovación. A su vez, el presente contrato pierde vigencia en el momento que el CLIENTE o responsable incumpla con las obligaciones del presente contrato, las condiciones descritas en la propuesta comercial o con la Declaración de Prácticas de Estampado Cronológico.

3.6. Modificaciones

- El suscriptor acepta que, durante la vigencia del presente contrato, la ENTIDAD en cualquier momento podrá modificar los términos y condiciones, así como cambiar los servicios ofrecidos; previa notificación mediante su página Web con 30 días de anticipación a la aplicación de las modificaciones e indicando los términos, condiciones y servicios modificados al presente contrato, vencido este plazo los términos modificados entrarán en vigor.

- El suscriptor está obligado a revisar periódicamente en la página web de la ENTIDAD www.thomas-signe.co, tanto la Declaración de Prácticas de Estampado Cronológico y este documento y dentro de los 15 días siguientes anteriores a la entrada en vigor de las modificaciones introducidas deberá comunicar por email si no acepta las mismas. Vencido este plazo, se considerará que el suscriptor acepta los nuevos términos y el acuerdo continuará vinculando a ambas partes. Todo lo anterior dentro de los límites legales establecidos para las ECDs.

Entidad de Certificación Digital · información que es enviada a través de medios electrónicos...

Documents

Transcript of Entidad de Certificación Digital · información que es enviada a través de medios electrónicos...