ZyPKI - Servicios de Valor Añadido Servicio de emisión de...

Experimentar ilimitadamente la satisfacción de innovar

ZyPKI - Servicios de Valor Añadido – Servicio de emisión de Sellos de Tiempo

Declaración de Prácticas - VAPSST

GO-PKI-GC-DP-VAPSST-01

Versión 1.1

01/09/2017

ZyPKI - Servicios de Valor Añadido – Servicio de emisión de

Sellos de Tiempo Versión: 0.1

Declaración de Prácticas - VAPSST Fecha: 010/11/20107

Código: GO-PKI-GC-VAPSST-01 Formato: F-IC-1-V1.1

Confidencial ZyTrust SA, 2017 Página 2 de 22

Historial de Revisiones

Fecha Versión Descripción Autor

13/02/2012 1.0 Versión inicial. ZyTrust

01/09/2017 1.1 Actualizaciones. ZyTrust






Tabla de Contenidos 1. INTRODUCCIÓN .............................................................................................................................................. 5

2. OBJETIVO ....................................................................................................................................................... 7

3. DEFINICIONES Y ABREVIACIONES ................................................................................................................... 7

3.1 TIME STAMPING UNIT (TSU) ..................................................................................................................... 7

3.2 TERCERO QUE CONFÍA .................................................................................................................................. 7

3.3 SUSCRIPTOR .................................................................................................................................................. 7

3.4 POLÍTICA DE SELLADO DE TIEMPO: ............................................................................................................. 7

CONJUNTO DE DIRECTIVAS QUE DIRIGEN LA APLICABILIDAD Y REQUISITOS EN LA ADMINISTRACIÓN DE UN

SERVICIO DE SELLO DE TIEMPO PARA UNA DETERMINADA COMUNIDAD DE USUARIOS Y UN DETERMINADO

ALCANCE. ................................................................................................................................................................... 7

3.5 SELLO DE TIEMPO – TIME STAMPING TOKEN (TST) ................................................................................ 8

3.6 AUTORIDAD EMISORA DE SELLOS DE TIEMPO - TIME STAMPING AUTHORITY (TSA) ............................ 8

3.7 DECLARACIÓN DE PRÁCTICAS - VAPS ....................................................................................................... 8

4. POLÍTICAS DE SELLADO DE TIEMPO ................................................................................................................ 8

4.1 IDENTIFICACIÓN .................................................................................................................................................. 9

4.2 COMUNIDAD DE USUARIOS Y APLICABILIDAD ............................................................................................................. 9

4.3 CONFORMIDAD .................................................................................................................................................. 9

5. OBLIGACIONES Y RESPONSABILIDAD.............................................................................................................. 9

5.1 OBLIGACIONES DE LA TSA EN RELACIÓN A LOS SUSCRIPTORES .................................................................................... 10

5.2 OBLIGACIONES DE LOS SUSCRIPTORES ................................................................................................................... 10

5.3 OBLIGACIONES DE LOS TERCEROS QUE CONFÍAN ...................................................................................................... 11

6. REQUERIMIENTOS EN LAS PRÁCTICAS DE LA TSA ......................................................................................... 11

6.1 DECLARACIÓN Y PUBLICACIÓN DE PRÁCTICAS .......................................................................................................... 11

6.2 CONDICIONES Y TÉRMINOS DE USO ....................................................................................................................... 12

6.3 APROBACIÓN DEL DOCUMENTO DE DECLARACIÓN DE PRÁCTICAS................................................................................ 12

6.4 EVALUACIÓN DE CUMPLIMIENTO .......................................................................................................................... 12

6.5 NOTIFICACIÓN DE CAMBIOS ................................................................................................................................ 12

6.6 INFORMACIÓN DE CONTACTO .............................................................................................................................. 13






6.7 LIMITACIONES DE USO........................................................................................................................................ 13

6.8 VERIFICACIÓN DE LA CONFIABILIDAD DE UN CERTIFICADO .......................................................................................... 13

6.9 CONTEXTO Y OBLIGACIONES LEGALES .................................................................................................................... 14

6.9.1 Seguro de Responsabilidad Civil ........................................................................................................... 14

6.10 LIMITACIONES DE RESPONSABILIDAD ..................................................................................................................... 14

6.11 PROCEDIMIENTOS PARA LA SOLUCIÓN DE RECLAMOS Y CONTROVERSIAS ....................................................................... 14

6.12 DECLARACIÓN DE NIVELES DE DISPONIBILIDAD DEL SERVICIO Y TIEMPO DE RESPUESTA ..................................................... 14

6.13 PROVISIONES PARA LA RECUPERACIÓN DEL SERVICIO EN CASO DE DESASTRES ................................................................. 15

7. CICLO DE VIDA DE LA GESTIÓN DE LA CLAVE ................................................................................................ 15

7.1 GENERACIÓN DE LA CLAVE DE LA TSA ................................................................................................................... 15

7.2 CARACTERÍSTICAS TÉCNICAS DEL CERTIFICADO DIGITAL Y DE LOS ALGORITMOS UTILIZADOS ............................................... 15

7.3 PROTECCIÓN DE LA CLAVE PRIVADA DE LA TSU ....................................................................................................... 16

7.4 DISTRIBUCIÓN DE LA CLAVE PÚBLICA TSU .............................................................................................................. 16

7.5 RE-EMISIÓN DE LA CLAVE DEL TSU ....................................................................................................................... 17

7.6 ALMACENAMIENTO DE LOS REGISTROS DE AUDITORÍA............................................................................................... 17

7.7 TÉRMINO DEL CICLO DE VIDA DE LA CLAVE PRIVADA DEL TSU ..................................................................................... 17

8. GESTIÓN DEL CICLO DE VIDA DEL MÓDULO CRIPTOGRÁFICO USADO PARA FIRMAR LOS SELLOS DE TIEMPO

18

9. SELLO DE TIEMPO ......................................................................................................................................... 18

10. SINCRONIZACIÓN DEL RELOJ CON LA UTC ................................................................................................ 19

11. GESTIÓN DE LA SEGURIDAD ..................................................................................................................... 19

12. RECUPERACIÓN EN CASO DE COMPROMISO DE LOS SERVICIOS DE LA TSA .............................................. 20

13. TÉRMINO DE LA TSA ................................................................................................................................. 20

14. CUMPLIMIENTO DE REQUERIMIENTOS LEGALES ...................................................................................... 21

15. RESPONSABILIDADES................................................................................................................................ 22

16. CONFORMIDAD ........................................................................................................................................ 22






ZyPKI - Servicios de Sellado de Tiempo

Declaración de Prácticas

1. Introducción

El servicio de sellado de tiempo permite proteger un documento con una fecha y hora

confiable y reconocida internacionalmente y con una firma digital. Los sellos de tiempo son

en realidad el resultado de la firma digital de un documento, incluyendo el registro del

tiempo de cuando fue emitido.

ZyTrust es una Sociedad Anónima Prestadora de Servicios de Certificación Digital con

amplia experiencia en Perú. Sus servicios están alineados al cumplimiento de la Ley de

Firmas y Certificados Digitales, su Reglamento y las Guías de Acreditación de la Autoridad

Administrativa Competente (AAC - INDECOPI).

Actualmente, ZyTrust S.A. brinda servicios de Registro Digital con capacidad para la emisión

de certificados digitales, servicios de valor añadido como el Sellado de Tiempo

(timestamping) y servicios relacionados como intermediación digital. Además, la

infraestructura tecnológica y de seguridad de la información de ZyTrust es soportada por

proveedores internacionales que cuentan con el sello WebTrust vigente.

Por otro lado, ZyTrust S.A. es una empresa peruana que cuenta con su propio software de

firma digital, destaca este esfuerzo porque a diferencia de lo que significa importar un

software para revenderlo, ZyTrust apostó por el talento, inteligencia y creatividad de los

ingenieros peruanos para crear productos que automatizan la complejidad matemática de

las funciones criptográficas tanto asimétricas como simétricas.

El espíritu innovador de ZyTrust siempre está alineado a cumplir los estándares técnicos

internacionales, en ese sentido nuestro software de firma digital soporta los Certificados

Digitales emitidos por la Entidad de Certificación WISeKey (Suiza), los dispostivos

criptográficos FIPS 140-2 Nivel 3, tanto USB como los eToken, iKey y HSM de SafeNet

(Israel – USA) como las tarjetas inteligentes de contacto con tecnología Match On Card de

Morpho (Francia), y en general soporta los certificados digitales X.509v3, dispositivos

criptográficos PKCS#11, servicios CRL, OCSP, sello de tiempo (RFC3161).






Un aspecto resaltante es que soportamos la TSL según el estándar ETSI TS 102 231 V3.1.2

especificado en las Guías de Acreditación de la AAC.

Asimismo el formato sobre el que desplegamos nuestras soluciones de firma digital es el

formato PDF/A según el estándar ISO 19005:2005 Document management -- Electronic

document file format for long-term preservation -- Part 1: Use of PDF 1.4 (PDF/A-1),

formato especializado para conservar documentación por periodos prolongados, lo que

normalmente es un requisito de toda organización para garantizar la lectura de sus

documentos a través de los cambios de la plataforma tecnológica.

En ese sentido, ZyTrust S.A. ofrece soluciones de documentos electrónicos con valor legal

bajo el esquema de firma digital avanzada, es decir que la firma digital contiene todos los

elementos (evidencias) para efectuarse un peritaje informático, esto implica que las firmas

digitales de ZyTrust S.A. contienen:

Certificado Digital del firmante

Firma digital del documento

Resultado de la verificación de la revocación (OCSP o CRL)

Sello de tiempo

Verificación de TSL

Nuestros usuarios sólo requieren del Acrobat Reader para verificar la firma digital, con ello

se garantiza la neutralidad tecnológica, puesto que no es necesario que le proporciones un

software verificador, usted sólo requiere el Acrobat Reader según el sistema operativo que

utilice y con ello será suficiente para verificar técnicamente todos los aspectos jurídicos de

una firma digital avanzada. Esta ventaja de poder proporcionar a cada uno de nuestros

usuarios un software de firma digital de acuerdo a sus necesidades hacen que marquemos

la diferencia frente a cualquier producto “enlatado” dado que en su mayoría dichos

productos no cumplen las regulaciones nacionales y no se adecuan al proceso de los

usuarios en nuestro país.

Le invitamos a revisar este documento técnico y si cuenta con alguna necesidad de

información adicional o desea enviarnos una sugerencia puede hacerlo a la cuenta de correo

electrónico: [email protected] desde ya reciba el especial agradecimiento de todo el equipo

de ZyTrust.

mailto:[email protected]






2. Objetivo

La presente Declaración de Prácticas define reglas generales normativas que rigen las

actividades y procesos que administra ZyTrust para brindar los servicios de sellado de

tiempo.

Estas reglas fueron definidas, conforme a los requerimientos de la Guía de Acreditación de

Entidades Prestadoras de Servicios de Valor Añadido del INDECOPI, en particular de la RFC

3628, la cual a su vez es una guía internacional para la gestión segura y confiable de los

servicios de sellado de tiempo.

3. Definiciones y abreviaciones

3.1 Time Stamping Unit (TSU)

Una unidad de sellado de tiempo o en ingles Time Stamping Unit es un sistema de

software y hardware generador de sellos de tiempo, que tiene una sóla clave privada

activa para firmar los sellos.

3.2 Tercero que confía

Persona natural o jurídica que recibe un documento con un sello de tiempo y confía en

la validés de dicho sello.

3.3 Suscriptor

Persona natural o juridical que require los servicios provistos por una Autoridad

emisora de sellos de tiempo – TSA y que debe cumplir acuerdos y obligaciones.

3.4 Política de sellado de tiempo:

Conjunto de directivas que dirigen la aplicabilidad y requisitos en la administración de

un servicio de sello de tiempo para una determinada comunidad de usuarios y un






determinado alcance.

3.5 Sello de tiempo – Time Stamping Token (TST)

Conjunto de datos que representa el resumen de un documento sellado añadido a un

registro del tiempo en el que el sello fue emitido. Este resumen es una característica

única del documento, de modo que si el documento es modificado este sello pierde

validez.

3.6 Autoridad emisora de sellos de tiempo - Time Stamping Authority

(TSA)

Autoridad que emite los sellos de tiempo, en los cuales confían los suscriptores y

terceros que confían. La TSA tiene la responsabilidad de la operación de uno o más

TSU que firman los TST.

3.7 Declaración de Prácticas - VAPS

Conjunto de declaraciones acerca de políticas y prácticas que dirijen las actividades y

procesos de la TSA y que son publicadas para conocimiento de suscriptores y terceros

que confían.

4. Políticas de Sellado de Tiempo

El alcance de aplicabilidad y comunidad de usuarios de los sellos de tiempo se definen

en las Políticas de Sellado de Tiempo. ZyTrust reconoce las políticas y prácticas de los

proveedores que soportan su infraestructura tecnológica, mediante un acuerdo

contractual que implica la alineación de estas políticas y prácticas a la Política de

Sellado de Tiempo y la presente Declaración de Prácticas de ZyTrust. Estas políticas

son diseñadas en conformidad con lo declarado en el presente documento y son

publicadas en la siguiente dirección web: http://www.zytrust.com/.

ZyTrust utiliza la infraestructura de terceros proveedores que cumplen con lo

estipulado en la presente Declaración de Prácticas, las Políticas de Seguridad y las






Políticas de Sellado de Tiempo. Cada proveedor asociado a ZyTrust, posee su propia

política de sellado de tiempo, las cuales han sido revisadas y evaluadas por ZyTrust

para asegurar que la seguridad de los sistemas sean conformes con las políticas de

ZyTrust y la presente Declaración de Prácticas. Estas políticas son publicadas en la

siguiente dirección web: http://www.zytrust.com/

4.1 Identificación

Las políticas reconocidas por ZyTrust tienen un identificador único, que es publicado

en la siguiente dirección web: http://www.zytrust.com/.

La Política de Sellado de Tiempo de WISeKey, reconocida por ZyTrust tiene un

identificador único: 2.16.756.5.14.4.7.1

4.2 Comunidad de usuarios y aplicabilidad

La comunidad de usuarios y aplicabilidad de los sellos de tiempo emitidos por ZyTrust

se encuentra restringida por los contratos con los suscriptores y por lo establecido en

las políticas de sellado de tiempo reconocidas por ZyTrust, publicadas en la siguiente

dirección web: http://www.zytrust.com/.

4.3 Conformidad

Las políticas reconocidas por ZyTrust cumplen los requerimientos de la Guía de

Acreditación de Entidades Prestadoras de Servicios de Valor Añadido, el Reglamento

de la Ley de Certificados Digitales, y la Ley de Firmas y Certificados Digitales 27269.

Este cumplimiento es verificado con periodicidad por el INDECOPI, en su calidad de

Autoridad Administrativa Competente de los Prestadores de Servicios de Certificación

Digital

5. Obligaciones y responsabilidad

ZyTrust asegura que los sistemas, personas y procesos que conforman los servicios de

sellado de tiempo, cumplan con los requerimientos definidos en la sección 7 de la RFC






3628, incluyendo las funciones de los servicios que son administradas por terceros

proveedores. ZyTrust controla y verifica su cumplimiento con periodicidad. Los

informes de auditoría realizados por terceros independientes son reconocidos por

ZyTrust en la evaluación de sus proveedores, en particular, de aquellos cuya

infraestructura es evaluada para la obtención del sello de WebTrust.

Asimismo, ZyTrust es responsable de publicar las prácticas y políticas de los terceros

proveedores de los servicios de sellado de tiempo.

5.1 Obligaciones de la TSA en relación a los suscriptores

WISeKey, como proveedor de servicios de ZyTrust, ofrece un acceso permanente al

servicio de sellado de tiempo, excepto:

- Durante los intervalos de mantenimiento. Las ventanas de mantenimiento serán

anunciadas en el sitio web de WISeKey.

- Cuando un servicio de terceros no se encuentra disponible, por ejemplo: Una fuente

de tiempo confiable.

- Cuando los eventos que no pueden ser influenciados por WISeKey dificultan el

servicio (fuerza mayor, guerra, huelga, etc.)

Por otra parte, WISeKey tendrá que:

- Asegurar que su actividad es legal, en particular que estas no violan propiedad

intelectual ni licencias.

- Asegurar que solo serán emitidos sellos de tiempo correctos.

- Asegurar que sus equipos para el servicio de Sellado de Tiempo son los adecuados.

- Asegurar que ellos conocen los requerimientos descritos en el presente documento.

5.2 Obligaciones de los suscriptores

El suscriptor tiene la obligación de verificar que el sello de tiempo mostrado ha sido

asignado correctamente y que el certificado digital usado para firmar el sello de

tiempo no ha sido comprometido.






Requerimientos adicionales pueden ser incluidos en los contratos con cada cliente.

5.3 Obligaciones de los terceros que confían

Los terceros que confían son responsables de verificar que los documentos sean

firmados con un sello de tiempo, con un certificado digital reconocido por ZyTrust y

que estos sellos tengan como parte de su número de identificación el OID, la

identificación de la respectiva política de sellado de tiempo de WISeKey .

Asimismo deben verificar que el certificado de sello de tiempo se encuentra firmado y

que la clave privada no estuvo comprometida en el momento en el que se realizó el

sellado de tiempo.

6. Requerimientos en las prácticas de la TSA

ZyTrust cumple los requerimientos de la RFC 3628, conforme a lo exigido en la Guía

de Acreditación de Entidades de Valor Añadido del INDECOPI, en su calidad de entidad

de Entidad Emisora de Sellos de Tiempo.

6.1 Declaración y publicación de prácticas

ZyTrust demuestra que cuenta con la confiabilidad necesaria para proveer los

servicios de sellado de tiempo a sus clientes, a través del sometimiento de sus

servicios a la evaluación provista por el INDECOPI como Autoridad Administrativa

Competente.

Los certificados e infraestructura de software y hardware utilizados en los servicios de

emisión de sellos de tiempo son provistos por WISeKey, cuya infraestructura es

administrada rigurosamente evaluada por las auditorías para el logro de las

certificaciones WebTrust for CA, ISO 27001.

Las evidencias de estas auditorías serán presentadas al INDECOPI en cada sesión de

auditoría periódica.






6.2 Condiciones y términos de uso

Las condiciones y términos de uso de los servicios de sellado de tiempo para todos los

suscriptores y terceros corresponden a las señaladas en la presente Declaración de

Prácticas y las Políticas de sellado de tiempo, así como en los contratos con los

suscriptores.

Será responsabilidad del suscriptor difundir, conforme corresponda en términos de

confidencialidad, las condiciones adicionales que sean establecidas en el contrato, a

toda la comunidad de usuarios que defina para el uso de los servicios contratados.

6.3 Aprobación del documento de Declaración de Prácticas

La presente Declaración de Prácticas y las Políticas de Sellado de Tiempo son

aprobadas por ZyTrust y su cumplimiento es supervisado por la autoridad máxima

dentro de la TSA.

6.4 Evaluación de cumplimiento

ZyTrust, como Autoridad emisora de sellos de tiempo, se somete a auditorías

periódicas por parte del INDECOPI, como Autoridad Administrativa Competente.

Dichas auditorías se realizan por especialistas independientes de ZyTrust que no han

realizado trabajos para esta entidad dentro de los dos (02) años anteriores a la

ejecución de la auditoría.

A su vez, ZyTrust requiere a WISeKey el cumplimiento de WebTrust.

6.5 Notificación de cambios

ZyTrust notificará los cambios realizados a este documento a los suscriptores, terceros

que confían y demás interesados en sus servicios de sellado de tiempo, y publicará las

nuevas versiones en su sitio web: http://www.zytrust.com/. Asimismo, se notificarán

los cambios en las políticas de sus proveedores, los cuales serán publicadas en la

siguiente dirección: http://www.zytrust.com/.






6.6 Información de contacto

Para cualquier consulta, respecto de los servicios provistos por ZyTrust y sus

proveedores, contactar a:

• Nombre: José Fernandez

• Cargo: Representante de la TSA en ZyTrust

• Dirección de correo electrónico: [email protected]

6.7 Limitaciones de uso

Las limitaciones de uso de los servicios de sellado de tiempo serán señaladas en las

respectivas Políticas de Sellado de Tiempo reconocidas por ZyTrust y publicadas en la

siguiente dirección: http://www.zytrust.com/.

6.8 Verificación de la confiabilidad de un certificado

Para verificar la confiabilidad de un sello de tiempo, el tercero que confía deberá

verificar lo siguiente:

Si el certificado digital utilizado estuvo vigente y no revocado en la fecha en la

que se realizó la firma.

Si el certificado utilizado es reconocido por ZyTrust, (URL:

http://www.zytrust.com/).

Si el sello contiene el objeto identificador OID de una política de sellado de

tiempo reconocida por ZyTrust.

mailto:[email protected]






6.9 Contexto y obligaciones legales

A fin de obtener el reconocimiento legal de sus sellos de tiempo, ZyTrust, como

Autoridad emisora de sellos de tiempo, cumple los requerimientos establecidos en la

Guía de Acreditación de Entidades Prestadoras de Servicios de Valor Añadido, el

Reglamento y la Ley de Firmas y Certificados Digitales – Ley 27269.

6.9.1 Seguro de Responsabilidad Civil

La TSA de ZyTrust proporciona a sus clientes servicios de sellado de tiempo

amparados por la cobertura del Seguro de Responsabilidad Civil de la Entidad de

Certificación provista por WISeKey.

6.10 Limitaciones de responsabilidad

ZyTrust no se hace responsable por los casos de fraude y suplantación de sellos de

tiempo que no contengan el identificador único de las políticas y la firma digital los

certificados digitales, ambos reconocidos por ZyTrust.

6.11 Procedimientos para la solución de reclamos y controversias

Los procedimientos para la solución de reclamos y controversias son señalados en el

documento de contrato para la adquisición de los servicios de sellado de tiempo, de

cada suscriptor.

6.12 Declaración de niveles de disponibilidad del servicio y tiempo de

respuesta

Los niveles de disponibilidad y tiempo de respuesta son definidos en cada política de

sellado de tiempo reconocida por ZyTrust.






6.13 Provisiones para la recuperación del servicio en caso de desastres

Las medidas para la recuperación de desastres como el caso del compromiso de la

clave privada del certificado digital con la que se firman los sellos de tiempo, o los

casos de desviación de la exactitud definida para la sincronización con la UTC, serán

definidas con cada cliente, considerando los niveles de servicio contratados, los

tiempos de respuesta, los canales de comunicación, y responsabilidades definidas para

cada cliente.

ZyTrust y sus proveedores de infraestructura que sostienen los servicios de sellado de

tiempo, implementa controles de contingencia en caso de falla de equipos, corrupción

de información, interrupción de comunicaciones, y demás eventos operacionales.

7. Ciclo de vida de la gestión de la clave

7.1 Generación de la clave de la TSA

WISeKey TSA, como prestador de servicios de ZyTrust, asegura que cualquier clave

criptográfica se genera bajo circunstancias controladas. La generación de las claves

de firma de la TSU se lleva a cabo en un entorno físicamente seguro, por personal con

funciones confiadas bajo, al menos, control dual. El personal autorizado para llevar a

cabo esta función está limitado a los asignados a roles específicos dispuestos bajo el

concepto de rol de WISeKey.

Los pares de claves para la WISeKey TSA se generan en software certificado para

cumplir con los requisitos de FIPS 140-2 nivel 1 o superior.

7.2 Características técnicas del certificado digital y de los algoritmos

utilizados

Las características del certificado digital y de los algoritmos utilizados en los servicios

de sellado de tiempo son señalados en las políticas de sellado de tiempo reconocidas

por ZyTrust, de acuerdo a los tipos de servicio contratado por cada suscriptor.

El algoritmo de generación de la TSU, el tamaño de la clave, y los algoritmos de firma






son reconocidos por la IOFE.

Los certificados digitales son emitidos por entidades de certificación confiables, que

cuentan con el sello de WebTrust.

7.3 Protección de la clave privada de la TSU

WISeKey, como proveedor de servicios de ZyTrust, asegura que las claves privadas de

TSU sean confidenciales y mantengan su integridad.

En particular:

- La clave de firma privada TSU se mantiene y se utiliza dentro de un dispositivo de

software de módulo criptográfico que cumple con los requisitos identificados en FIPS

140-2 nivel 1 o superior.

- Si las copias de seguridad de las claves privadas de TSU son recuperadas; estas son

copiadas, almacenadas y recuperadas sólo por personal con funciones confiables

utilizando, al menos, control dual en un entorno físicamente seguro. El personal

autorizado para llevar a cabo esta función está limitado a aquellos que requieren

hacerlo bajo las prácticas de la TSA.

- Todas las copias de seguridad de las claves privadas de la TSU están protegidas para

garantizar su confidencialidad.

7.4 Distribución de la clave pública TSU

WISeKey TSA, como proveedor de servicios de ZyTrust, garantiza que la integridad y

autenticidad de las claves de verificación de la firma de TSU (públicas) y cualquier

parámetro asociado se mantengan durante su distribución a los terceros que confían.

La clave de la TSA de WISeKey es firmada por OISTE WISeKey Root PKI

El hash del certificado (huella digital) y los certificados de la OISTE WISeKey Root PKI

están disponibles en el sitio Web WISeKey (www.wisekey.com/repository/).

http://www.wisekey.com/repository/)






7.5 Re-emisión de la clave del TSU

El tiempo de vida del certificado TSU de WISeKey no es más largo que el periodo de

tiempo que el algoritmo y la longitud de clave elegidos se reconocen como aptos para

el propósito.

El procedimiento de re-emisión de la clave de la TSA se lleva a cabo al expirar el

periodo de validez del certificado de TSA.

7.6 Almacenamiento de los registros de auditoría

Los registros concernientes a la operación del servicio de sellado de tiempo,

incluyendo eventos relacionados a la sincronización del reloj con la fuente confiable de

tiempo y la gestión de las claves de la TSA son salvaguardados de la misma manera

que son protegidos los registros de la operación de la Entidad de Certificación de

WISeKey, los cuales son descritos en su respectiva Declaración de Prácticas.

Los registros son almacenados y protegidos por un periodo de 1 año adicional al

periodo de vigencia del certificado digital con el que el sello de tiempo fue creado. En

caso que la clave privada de la TSA se vea comprometida, entonces el periodo de

almacenamiento de registros será mayor que los sellos de tiempo más afectados.

7.7 Término del ciclo de vida de la clave privada del TSU

WISeKey TSA, como proveedor de servicios de ZyTrust, garantiza que las claves

privadas de la TSU no se utilicen luego de finalizar su ciclo de vida.

Las claves de firma privadas de TSU o cualquier otra parte de la clave, incluidas las

copias, se destruyen de forma que no se puedan recuperar las claves privadas. El

sistema de generación del token de sellado de tiempo (TST) rechaza cualquier intento

de emitir TST si la clave privada de firma ha caducado.

Existen procedimientos operativos o técnicos para asegurar que una nueva clave se

pone en marcha cuando la clave de una TSU ha expirado.

Los procedimientos de generación del sello de tiempo reconocidos por ZyTrust,

impiden cualquier intento de emisión de sello de tiempo si la clave privada ha






expirado. El sistema de generación del sello de tiempo verifica la vigencia y no

revocación de la clave privada antes de iniciar el proceso de generación.

8. Gestión del ciclo de vida del módulo criptográfico usado para

firmar los sellos de tiempo

Los módulos hardware criptográficos que se utilizan para almacenar y proteger las

claves privadas con las cuales se firman los sellos de tiempo reconocidos por ZyTrust,

son protegidos contra manipulación no autorizada durante todo su ciclo de vida,

incluyendo transporte, generación de la clave, uso y almacenamiento.

La instalación, activación y duplicación de las claves de la TSU en el hardware

criptográfico sólo puede ser realizada por el personal que tiene asignado un rol de

confianza, usando al menos un control dual en un ambiente físico seguro (conforme a

la sección 7.4.4 de la RFC 3628) con control de acceso físico de al menos dos

personas.

Se monitoreará el funcionamiento correcto del hardware criptográfico.

En los casos que se decida desechar el equipo las claves privadas del TSU serán

borradas para evitar su uso no autorizado. Considerando el respaldo seguro de la

clave si aún se encuentra vigente.

9. Sello de tiempo

ZyTrust y sus proveedores de infraestructura que soportan los servicios de sellado de

tiempo adoptan medidas para asegurar que los sellos de tiempo sean emitidos de

manera segura y que incluyan el tiempo correcto:

● Se utiliza un servicio de sincronización a la fuente de tiempo confiable.

● El sello de tiempo incluye un identificador de la política de sello de tiempo, en

concordancia con la TSA y la TSU de WISeKey.

● Cada sello de tiempo tiene asignado un único identificador.

● Los valores de tiempo que utiliza la TSU en el sello de tiempo se pueden rastrear






hasta al menos uno de los valores en tiempo real distribuidos por un laboratorio UTC

(k)

● El tiempo incluido en el sello de tiempo se sincroniza con la UTC dentro de la

precisión definida en esta política

● El sello de tiempo incluye un resumen de los datos firmados (HASH)

● El sello de tiempo se firma utilizando una clave generada exclusivamente para este

propósito.

● El sello de tiempo incluye un identificador para el país en el que se establece la TSA

y un identificador para WISeKey TSA

● El tiempo incluido en el sello de tiempo será sincronizado con la UTC dentro de la

exactitud de +/- 1 segundo.

10. Sincronización del reloj con la UTC


tiempo, adoptan medidas para asegurar que su reloj es sincronizado con la UTC dentro

de la exactitud declarada:

● Si se detecta que el reloj del proveedor del sello de tiempo se encuentra fuera de la

precisión indicada los sellos de tiempo no deben emitirse

● Las TSUs de WISeKey cuentan con medidas técnicas para garantizar que su tiempo

se sincronice con la UTC dentro de la precisión declarada

● Los sellos de tiempo incluyen valores de fecha y hora que son rastreables en el

tiempo al valor de tiempo UTC real, proporcionado por el servidor NTP interno de

WISeKey, que se sincroniza vía satélite GPS y fuentes de referencia de radio

● Los relojes TSU se recalibran periódicamente con respecto a la fuente de hora UTC

de referencia.

11. Gestión de la seguridad

Las medidas de seguridad adoptadas para proteger los activos críticos que sostienen






los servicios de sellado de tiempo son señalados en la Política de Seguridad de la TSA

de ZyTrust.

12. Recuperación en caso de Compromiso de los servicios de la

TSA

En el caso de eventos que puedan afectar la seguridad de los servicios de sellado de

tiempo, incluyendo compromisos de la clave de la TSU o pérdidas detectadas de

calibración, la información relevante será comunicada a los suscriptores y terceros que

confían.

Se implementará un plan de recuperación que considere los casos de compromiso o

sospecha de compromiso de la clave privada de la TSU o pérdida de calibración del

reloj, que puede afectar los sellos de tiempo emitidos.

En el caso de compromiso, sospecha de compromiso o pérdida de calibración, se

deberá comunicar a todos los suscriptores y terceros que confían una descripción del

hecho ocurrido.

En el caso de compromiso, o sospecha de compromiso o pérdida de calibración, no se

deberán emitir sellos de tiempo hasta que se hayan tomado las medidas de

recuperación.

En el caso de compromiso, o sospecha de compromiso o pérdida de calibración, se

debe poner a disposición de los suscriptores y terceros que confían la información que

permita identificar los sellos de tiempo afectados, a menos que esto viole la privacidad

de los usuarios o la seguridad de los servicios de la TSA.

13. Término de la TSA


tiempo, adoptan medidas para asegurar que las interrupciones potenciales a los

suscriptores y terceros que confían sean minimizados, en particular asegurar el

mantenimiento continuo de la información requerida para verificar los sellos de

tiempo. Antes de que ZyTrust y/o sus proveedores emisores de sellos de tiempo (TSA)






terminen sus servicios, se adoptarán las siguientes medidas:

• Se pondrá a disponibilidad de todos los suscriptores y terceros que

confían la información concerniente a su terminación

• Se concluirán los permisos de autorización de funciones de todos los

subcontratados para actuar en nombre de la TSA, respecto de la

emisión de los sellos de tiempo

• Se transferirán las obligaciones a los terceros que confían de mantener

los registros de eventos y archivos auditables necesarios para

demostrar la correcta operación de la TSA por un periodo razonable

• Se mantendrán o transferirán a los terceros que confían sus

obligaciones de hacer disponible su clave pública o su certificado por un

periodo razonable

• La clave privada de la TSU, incluyendo copias, será destruida de

manera segura de modo que no pueda ser recuperada

• La TSA celebrará acuerdos para cubrir los costos de cumplir con estos

requisitos mínimos, en caso de que la TSA se declara en quiebra o por

otras razones es incapaz de cubrir los costos por sí mismo.

• Se tomarán medidas para que los certificados de los TSU sean

revocados.

14. Cumplimiento de requerimientos legales

ZyTrust, como Autoridad emisora de sellos de tiempo, cumple los requerimientos

establecidos en la Guía de Acreditación de Entidades Prestadoras de Servicios de Valor

Añadido, el Reglamento y la Ley de Firmas y Certificados Digitales – Ley 27269.

La información aportada por los usuarios de los servicios de ZyTrust y sus proveedores

será protegida contra divulgación, a menos de que exista un consentimiento, orden

judicial u otro requisito legal.






15. Responsabilidades

ZyTrust es responsable de gestionar la implementación y velar por el cumplimiento de

la presente Declaración de Prácticas, así como de su revisión periódica, actualización,

difusión y concientización y capacitación al personal y terceros para su adecuado

cumplimiento.

16. Conformidad

Este documento ha sido aprobado por la Autoridad de la TSA de ZyTrust, y tiene

carácter normativo sobre todos los servicios de sellado de tiempo, por lo que cualquier

incumplimiento por parte de las personas mencionadas en el alcance de este

documento, será comunicado a dicha autoridad para la ejecución de las sanciones

respectivas.

ZyPKI - Servicios de Valor Añadido Servicio de emisión de...

Documents

Transcript of ZyPKI - Servicios de Valor Añadido Servicio de emisión de...