Norma 22 2008 PDF

Signature Not
Verified
Digitally signed by
Francis Ferrer
DIRECTORIO
Date: 2011.03.18
09:00:25FIRMA
VET SUPERINTENDENTE
Reason: ____________________
powered by
e.s.l.e. & zylk.net &
irontec
Location: Bilbao
MODELO PARA LA DECLARACIN DE

PRCTICAS DE CERTIFICACIN Y
POLTICAS DE CERTIFICADOS DE LOS
PROVEEDORES DE SERVICIOS DE
CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 1 DE: 49
EDICIN N:4
FECHA: 01/2011
MODELO PARA LA DECLARACIN DE PRCTICAS DE

CERTIFICACIN Y POLTICAS DE CERTIFICADOS DE LOS
PROVEEDORES DE SERVICIOS DE CERTIFICACIN (PSC)
De Uso Pblico
DIRECTORIO
FIRMA SUPERINTENDENTE

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 2 DE: 49
EDICIN N:4
FECHA: 01/2011
CONTROL DE VERSIONES
VERSIN (EDICIN)
MOTIVO DE CAMBIO
PUBLICACIN
01
Creacin
Julio 2005
02
Actualizacin General
Septiembre 2007
03
Actualizacin General
Abril 2008
04
Clasificacin de la norma
Enero 2011
De Uso Pblico
DIRECTORIO

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 3 DE: 49
EDICIN N:4
FECHA: 01/2011
NDICE
De Uso Pblico
DIRECTORIO

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 4 DE: 49
EDICIN N:4
FECHA: 01/2011
TRMITE
1. AUTORIDADES
NOMBRE
CARGO SUSCERTE
2. GRUPO DE TRABAJO:
MIEMBROS PERMANENTES:
NOMBRE
UNIDAD
3. COMISIN ESPECIAL:
CARGO:
CARGO
4. ESPECIALISTA(S) INVITADO(S):
NOMBRE
OBSERVACIONES
ENTIDAD
CARGO
RESPONSABLE DE LA EDICIN
COORDINADOR:
FECHA: FIRMA:
SUPERINTENDENTE:
FECHA: FIRMA:
APROBACIN APLICACIN EN:
FECHA: FIRMA:
De Uso Pblico
DIRECTORIO

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 5 DE: 49
EDICIN N:4
FECHA: 01/2011
1.OBJETO Y CAMPO DE APLICACIN

Esta norma tiene por finalidad presentar el Modelo de Declaracin de Prcticas de
Certificacin y Polticas de Certificados que los Proveedores de Servicios de
Certificacin (PSC) deben consignar ante la Superintendencia de Servicios de
Certificacin Electrnica (SUSCERTE) como requisito parcial para la Acreditacin,
segn lo establecido en el Decreto 1.204 con Fuerza de Ley Sobre Mensajes de
Datos y Firmas Electrnicas (LSMDFE) y su Reglamento Parcial (RPLSMDFE),
definiendo las responsabilidades y obligaciones de los PSC como emisores y de los
signatarios como titulares de la firma electrnica.
2.REFERENCIAS NORMATIVAS
1.1Decreto 1.204 con Fuerza de Ley 1.204 Sobre Mensajes de Datos y Firmas
Electrnicas (LSMDFE)
1.2Reglamento Parcial de la Ley 1.204 Sobre Mensajes de Datos y Firmas
Electrnicas (RPLSMDFE)
1.3Norma SUSCERTE N 040. Gua de Estndares Tecnolgicos y Lineamientos de
Seguridad para la Acreditacin como Proveedor de Servicios de Certificacin
Electrnica.
1.4Norma RFC 3647, Internet X.509 Public Key Infrastructure Certificate Policy and
Certification Practices Framework, del Internet Engineering Task Force (IETF)
3.DEFINICIONES Y TERMINOLOGAS
A los efectos de esta norma, se establecen las siguientes definiciones y terminologas:
ACREDITACIN
Titulo que otorga la Superintendencia de Servicios

de Certificacin Electrnica a los Proveedores de
Servicios de Certificacin para proporcionar
certificados electrnicos, una vez cumplidos los
requisitos y condiciones establecidos en el DecretoLey 1.204.
De Uso Pblico
DIRECTORIO

CERTIFICACIN
ALGORITMO
CRIPTOGRFICO
NORMA SUSCERTE
N: 022-01/11
PGINA: 6 DE: 49
EDICIN N:4
FECHA: 01/2011
Transformacin matemtica que partiendo de un

texto plano lo cambia a datos ilegibles cifrados.
AUDITORA
Procedimiento usado para verificar que se estn

llevando a cabo controles en un sistema de
informacin y que estos son adecuados para los
objetivos que se persiguen. Incluye el anlisis de las
actividades para detectar intrusiones o abusos
dentro del sistema informtico.
AUTENTICIDAD
Caracterstica por la que se garantiza la identidad

del usuario que origina un mensaje o transaccin, es
decir, conocer con certeza quin enva algo.
AUTENTIFICACIN
Proceso utilizado para confirmar la identidad y

autenticidad de una persona o probar la integridad
de informacin especfica.
AUTENTIFICACIN DE
MENSAJES
Proceso de autentificacin que

identificacin de la fuente del mensaje.
AUTORIDAD
CERTIFICADORA (AC)
Tercera parte de confianza que acredita la conexin

entre una determinada clave pblica y su propietario.
La confianza en la AC supone la confianza en los
certificados que emite.
AUTORIDAD DE
REGISTRO (RA)
Entidad autorizada por la AC para registrar a los

usuarios de la infraestructura asignndoles un
identificador nico de usuario.
CERTIFICADO RAZ
Certificado emitido por la Autoridad de Certificacin

para si misma. Es el origen de la cadena de
confianza.
CERTIFICADO
RAZ (CONT..)
En este certificado consta la clave pblica de la

Autoridad de Certificacin y por tanto ser
necesario para comprobar la autenticidad de
cualquier certificado emitido por ella.
CERTIFICADO DE FIRMA
ELECTRNICA
Instrumento electrnico que autentica el vnculo

entre el firmante o titular del Certificado Electrnico y
la Firma Electrnica.
CERTIFICADO
ELECTRNICO
Mensaje de Datos proporcionado por un Proveedor

de Servicios de Certificacin que le atribuye certeza
y validez a la Firma Electrnica.
incluye
De Uso Pblico
la
DIRECTORIO

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 7 DE: 49
EDICIN N:4
FECHA: 01/2011
CIFRADO
Transformacin de un mensaje en otro, utilizando

una clave para impedir que el mensaje
transformado pueda ser interpretado por aquellos
que no conocen la clave.
CLAVE
Valor numrico que participa en un algoritmo para

cifrar informacin. Una clave tambin puede verse
como una secuencia de caracteres empleada para
cifrar y/o descifrar un mensaje.
CLAVE PRIVADA
Clave personal que no es conocida por el resto de

los usuarios y que es utilizada para crear firmas
digitales y para descifrar mensajes cifrados con la
correspondiente clave pblica.
CLAVE PBLICA
Es publicada, como parte de un certificado, para

que la conozcan todos aquellos que quieran
comunicarse de modo seguro con el propietario de
la clave privada o validar las firmas electrnicas
generados por estos.
CONFIABILIDAD
Parte que asegura que la informacin slo puede

ser vista y utilizada por las partes que estn
autorizadas. La comunicacin entre partes
confiables se establece una vez que se ha
realizado el proceso de autentificacin.
CONTROL DE ACCESO
Significa que cada usuario tiene un registro de los

accesos a una red o sistema, de manera que se
pueda monitorear la informacin a la que se
ingresa y las aplicaciones que son empleadas.
CONTROL N DE M
Mecanismo de control de acceso, en el cual se

requiere un mnimo N de personas, del conjunto total
M para acceder a un determinado recurso donde N
M.
CRIPTOGRAFA
Rama de las matemticas aplicadas que se ocupa

de transformar mensajes en formas aparentemente
ininteligibles y devolverlas a su forma original.
DECLARACIN DE
PRCTICAS DE
CERTIFICACIN
Documento en el cual el Proveedor de Servicios de

Certificacin (PSC), define los procedimientos
relacionados con el manejo de los certificados
electrnicos que emite.
De Uso Pblico
DIRECTORIO

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 8 DE: 49
EDICIN N:4
FECHA: 01/2011
DESTINATARIO
Persona a quien va dirigido el Mensaje de Datos

enviado por medios electrnicos por el signatario de
la Firma Electrnica.
DISPONIBILIDAD
Caracterstica tcnica y administrativa que previene

contra la denegacin no autorizada de acceso a la
informacin.
DOCUMENTO
ELECTRNICO
Representacin de un hecho, imagen o idea que sea

creada, enviada, comunicada o recibida por medios
electrnicos y almacenada de un modo idneo para
permitir su uso posterior.
DOMICILIO FSICO
DEL PSC
Lugar de direccin suministrado por PSC, donde

funcionar la infraestructura fsica y de servicios
necesaria para la emisin de los certificados
electrnicos.
EMISOR
Persona que origina un Mensaje de Datos por s

mismo, o a travs de terceros autorizados.
EVALUACIN AL PSC
Evaluacin pormenorizada de los aspectos tcnicos,

legales, econmicos-financieros y tecnolgicos del
PSC realizada por las unidades internas de
SUSCERTE, de acuerdo a su rea de competencia.
FIRMA ELECTRNICA
Informacin creada o utilizada por el Signatario,

asociada al Mensaje de Datos, que permite atribuirle
su autora bajo el contexto en el cual ha sido
empleado
FUNCIN HASH
Funciones matemticas que realizan un resumen del

documento a firmar, transformando un texto de
longitud variable en uno de longitud fija, son
irreversibles, es decir, que a partir de un bloque
comprimido no se puede obtener el bloque sin
comprimir y son de dominio pblico.
INTEGRIDAD
Garanta de la exactitud de la informacin.
De Uso Pblico
DIRECTORIO

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 9 DE: 49
EDICIN N:4
FECHA: 01/2011
LEY
1.204
SOBRE Decreto con fuerza de Ley, de fecha 10 de febrero
MENSAJE DE DATOS Y de 2001, publicado en Gaceta Oficial de la
FIRMAS ELECTRNICAS
Repblica Bolivariana de Venezuela N 37.148, de
fecha 28 de febrero de 2001, que tiene por objeto
otorgar y reconocer eficacia y valor jurdico a la
Firma Electrnica, al Mensaje de Datos y a toda
informacin inteligible en formato electrnico,
independientemente de su soporte material,
atribuible a personas naturales o jurdicas, pblicas
o privadas, as como regular todo lo relativo a los
Proveedores de Servicios de Certificacin y a los
Certificados Electrnicos.
LISTA DE REVOCACIN
DE CERTIFICADOS (LCR)
Documento mantenido y publicado por una

Autoridad de Certificacin (AC) que enumera los
certificados revocados por la entidad emisora.
MENSAJE DE DATOS
Toda informacin inteligible en formato electrnico o

similar que pueda ser intercambiada por cualquier
medio.
PAR DE CLAVES
Combinacin de las claves de cifrado privada y

pblica que proporciona comprobacin del origen de
los datos enviados a travs de la red.
PLAN DE MEJORAS
Proyecto y cronograma requerido por la SUSCERTE

al solicitante en referencia a las debilidades tcnicas
detectadas durante el proceso de evaluacin, que
involucran medidas correctivas para subsanar las
deficiencias encontradas y poder as continuar con
el proceso de Acreditacin
POLTICA DE
CERTIFICADOS

Certificacin, define las reglas a seguir para el uso
de un Certificado Electrnico en una comunidad de
usuarios o aplicacin determinada y sus
requerimientos de seguridad.
POLTICA DE
CERTIFICADOS

Certificacin, define las reglas a seguir para el uso
de un Certificado Electrnico en una comunidad de
usuarios o aplicacin determinada y sus
requerimientos de seguridad.
De Uso Pblico
DIRECTORIO

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 10 DE: 49
EDICIN N:4
FECHA: 01/2011
POLTICA DE
SEGURIDAD
Documento que recoge todos los requisitos y

prcticas de seguridad para asegurar el
funcionamiento de la infraestructura de una forma
fiable.
PROVEEDOR DE
SERVICIOS DE
CERTIFICACIN
Personas dedicada a proporcionar Certificados

Electrnicos y dems actividades previstas en este
Decreto-Ley
PRIVACIDAD
Caracterstica que garantiza que nadie salvo el

destinatario puede acceder al contenido de un
mensaje.
REGLAMENTO PARCIAL
DEL DECRETO-LEY
SOBRE MNSAJES DE
DATOS Y FIRMAS
ELECTRONICAS
Decreto N 3.335 de fecha 12 de diciembre de 2004

publicado en Gaceta Oficial de la Repblica
Bolivariana de Venezuela, N 38.086 de fecha14 de
diciembre de 2004, que desarrolla en forma parcial
lo establecido en el Decreto 1.204 con Fuerza de
Ley Sobre Mensajes de Datos y Firmas Electrnicas,
regulando la Acreditacin de los PSC ante la
SUSCERTE, la creacin del Registro de Auditores,
as como los estndares, planes y procedimientos
de seguridad.
REPOSITORIO
Sistema de informacin utilizado para el

almacenamiento y acceso de los certificados
electrnicos y la informacin asociada a los mismos
REPUDIO
Negacin o intento de negacin de haber participado

en una comunicacin.
REVOCACIN DE
CERTIFICADOS
Anulacin de la validez de un certificado de clave

pblica antes del fin del periodo de validez.
RSA
Desarrollado por (Rivest, Shamir, Adleman.

Algoritmo criptogrfico de cifrado de clave
asimtrica, utiliza una clave para cifrar y otra para
descifrar.
SIGNATARIO
Persona titular de una Firma Electrnica la cual se

encuentra amparado por un Certificado Electrnico
emitido por un PSC.
SOLICITANTE
Persona que presenta ante la SUSCERTE la

Solicitud de Acreditacin con todos los recaudos
necesarios para optar a ser PSC.
De Uso Pblico
DIRECTORIO

CERTIFICACIN
SOLICITUD DE
ACREDITACIN
SUPERINTENDENCIA DE
SERVICIOS DE
CERTIFICACIN
ELECTRNICA
NORMA SUSCERTE
N: 022-01/11
PGINA: 11 DE: 49
EDICIN N:4
FECHA: 01/2011
Peticin dirigida a la SUSCERTE y que tiene por

objeto obtener la Acreditacin para proporcionar
certificados electrnicos y dems actividades
previstas en el Decreto-Ley 1.204.
Servicio Autnomo que pertenece al Ministerio del
Poder Popular para las Telecomunicaciones y la
Informtica cuyo objeto es acreditar, supervisar y
controlar, en los trminos previstos en el DecretoLey 1.2004 (LSMDFE) y su Reglamento Parcial, a
los Proveedores de Servicios de Certificacin
pblicos o privados.
4.SMBOLOS Y ABREVIATURAS
AC
Autoridad de Certificacin
AR
Autoridad de Registro
DPC
Declaracin de Prcticas de Certificacin
DRA
Direccin de Registro y Acreditacin
ICP
Infraestructura de Clave Pblica
ISO/IEC
Organizacin Internacional de Normalizacin.
LDAP
Protocolo de Acceso de Servicio de Directorio
LCR
Lista de Certificados Revocados
LSMDFE
Decreto con fuerza de Ley sobre Mensajes de

Datos y Firmas Electrnicas ( 1.204).
OCSP
On-Line Certificate Status Protocol (Protocolo de

estado de certificados en lnea)
OID
Identificador nico de objeto.
PC
Poltica de Certificados
PSC
Proveedor de Servicios de Certificacin
SUSCERTE
Superintendencia de Servicios de Certificacin

Electrnica.
De Uso Pblico
DIRECTORIO

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 12 DE: 49
EDICIN N:4
FECHA: 01/2011
5.PROCEDIMIENTO
5.1 Principio Bsico
Establecer el Modelo de Declaracin de Prcticas de Certificacin (DPC) y
Polticas de Certificados (PC) que el Proveedor de Servicios de Certificacin
(PSC) acreditado debe utilizar para regular todo lo concerniente a la solicitud,
emisin, aceptacin, renovacin, suspensin, revocacin, responsabilidades y
obligaciones del uso de los certificados, lo que permitir llevar un control
exhaustivo del PSC en la provisin de servicios de certificacin y asegurar la
confiabilidad de la Infraestructura Nacional de Certificacin Electrnica.
5.2 Unidades Involucradas
5.2.1 Direccin de Registro y Acreditacin (DRA).
5.3 Interrelacin con otros Sistemas y Procedimientos

5.3.1 Norma SUSCERTE N 017. Procedimiento para el Anlisis de los
Recaudos Tcnicos del Solicitante.
5.3.2 Norma SUSCERTE N 028. Procedimiento para la Autorizacin de
Modificacin de Polticas de Certificados por el Proveedor de Servicios de
Certificacin.
5.3.3 Norma SUSCERTE N 029. Procedimiento para la Autorizacin de
Modificacin de Prcticas de Certificacin por el Proveedor de Servicios
de Certificacin.
De Uso Pblico
DIRECTORIO

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 13 DE: 49
EDICIN N:4
FECHA: 01/2011
5.4 Consideraciones Generales

5.4.1
La Declaracin de Prcticas de Certificacin es el documento donde se

definirn los procedimientos relacionados con el manejo de los certificados
electrnicos que emite el PSC, estableciendo los lineamientos que debe
cumplir obligatoriamente, tanto en sus funciones de Autoridad de
Certificacin como de Autoridad de Registro, mientras que la Poltica de
Certificados es un documento que detalla las condiciones y reglas
especficas para un tipo de certificado, segn lo
establecido en el
Reglamento Parcial del Decreto Ley Sobre Mensajes de Datos y Firmas
Electrnicas.
5.4.2
De igual manera, la Declaracin de Prcticas de Certificacin describe las

medidas tcnicas y de seguridad que se emplearan para la generacin de los
certificados electrnicos.
De Uso Pblico
DIRECTORIO

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 14 DE: 49
EDICIN N:4
FECHA: 01/2011
5.5 Consideraciones Especficas

5.5.1
La Declaracin de Prcticas de Certificacin y Polticas de Certificados

debern estar redactada en idioma castellano y no podrn utilizarse siglas o
trminos que no puedan ser interpretados por usuarios finales; en caso de ser
stos necesarios deben explicarse en un glosario.
5.5.2
La Declaracin de Prcticas de Certificacin y Polticas de Certificados debe

estar conformada con los siguientes elementos:
1. DECLARACIN DE PRCTICAS DE CERTIFICACIN Y POLTICAS DE
CERTIFICADOS DEL PROVEEDOR DE SERVICIOS DE
CERTIFICACIN
1.1PRESENTACIN
Est seccin contemplar una introduccin general del documento.
1.2 NOMBRE DEL DOCUMENTO E IDENTIFICACIN
Se identificara el documento de la siguiente manera:
CAMPOS
CONTENIDO
Nombre del
Documento
Versin del
Documento
Estado del Documento
Fecha de Emisin
Fecha de Expiracin
Localizacin
Identificador nico de
objeto (OID)
Declaracin de Practicas de Certificacin

(DPC) y Poltica de Certificados (PC) del
PSC
Permite identificar la cantidad de
actualizaciones de la DPC y PC del PSC
Para identificar la aprobacin o no de la
DPC y PC del PSC
Fecha en que se emite el documento de la
DPC y PC del PSC
Fecha en que expira el documento de la
DPC y PC del PSC
Lugar en Internet desde donde se
descarga la DPC y PC del PSC
Identificador nico de la DPC y PC del
PSC
1.3 COMUNIDAD DE USUARIOS Y APLICABILIDAD

Est seccin incluir las distintas entidades que cumplen roles con
relacin al certificado y cuya integracin se encuentre prevista para el
cumplimiento de la actividad de certificacin.
1.3.1 Proveedor de Servicios de Certificacin
Se identificara el Proveedor de Servicios de Certificacin que
De Uso Pblico
DIRECTORIO

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 15 DE: 49
EDICIN N:4
FECHA: 01/2011
presente ste documento de Declaracin de Prcticas de

Certificacin y Poltica de Certificados.
1.3.2 Autoridades de Registro (AR)
Se identificaran a las Autoridades de Registro utilizadas por el
Proveedor de Servicios de Certificacin en el proceso de
recepcin de solicitudes de emisin de certificados,
identificacin y autenticacin de los solicitantes de certificados
y recepcin y validacin de solicitudes de revocacin.
1.3.3 Signatario
Se identificaran las personas fsicas o jurdicas, equipamientos
u aplicaciones que recibirn certificados emitidos por el
Proveedor de Servicios de Certificacin.
1.3.4 Terceros de buena fe
Se identificaran las personas que realicen transacciones
utilizando certificados electrnicos provenientes del Proveedor
de Servicios de Certificacin y deciden aceptar y confiar en
estos certificados.
1.4 USO DE LOS CERTIFICADOS
1.4.1 Usos permitidos
El PSC especificar los usos permitidos para los certificados
que emite a sus signatarios
1.4.2 Usos no permitidos
Deber especificar los usos no permitido de los certificados
emitidos por el PSC.
1.5 POLTICAS DE ADMINISTRACIN DEL PSC
1.5.1 Especificaciones de la organizacin administrativa
Esta seccin incluye informacin correspondiente a la
organizacin responsable por el registro, mantenimiento y
actualizacin de la DPC y PC, como son:
Nombre de la Organizacin del PSC
Correo electrnico
Direccin de la organizacin
Nmero telefnico
De Uso Pblico
DIRECTORIO

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 16 DE: 49
EDICIN N:4
FECHA: 01/2011
Nmero de Fax
Sitio Web de la organizacin
1.5.2 Persona Contacto
En est seccin se incluir el nombre de la autoridad
responsable para el registro, mantenimiento de los Certificados
Electrnicos e incluye lo siguiente:
Nombre del Contacto
Telfonos
Correo Electrnico
Domicilio
Fax
Sitio de Internet
1.5.3 Competencia para determinar la adecuacin de la DPC a las
polticas.
El PSC especificara quin dentro de su organizacin es el
responsable de la aplicabilidad de la DPC y PC.
2. PUBLICACIN DE INFORMACIN DEL PSC Y REPOSITORIOS DE LOS
CERTIFICADOS
2.1
REPOSITORIOS
Se indicara la entidad o entidades que son responsables de los
repositorios, indicando si el servicio es propio del certificado o est
administrado por un proveedor independiente del mismo.
2.2
PUBLICACION
Debe indicar la informacin a ser publicada por el PSC en el
repositorio, la forma, condiciones de accesibilidad y modalidades en
que la misma se podr a disposicin de terceros.
2.3
FRECUENCIA DE PUBLICACIN
La publicacin del certificado se realizar con anterioridad a su
puesta en vigencia en el repositorio pblico del PSC.
Se debe garantizar su actualizacin inmediata despus que la
informacin a incluir se encuentre disponible. El periodo de validez es
de quince (15) aos. El PSC debe especificar la frecuencia de
actualizacin del repositorio para:
De Uso Pblico
DIRECTORIO

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 17 DE: 49
EDICIN N:4
FECHA: 01/2011
2.3.1 Certificados del PSC

Determinar la frecuencia de publicacin de:
Sus propios certificados electrnicos.
Informacin del estado de los certificados emitidos.
Versiones anteriores y actualizadas de su DPC y PC
Los datos de contacto del PSC
Toda otra informacin considerada relevante referida a los
certificados emitidos.
2.3.1Lista de Certificados Revocados (LCR)
Se debe establecer la periodicidad de la lista actualizada de
los certificados revocados, que se encuentran en el repositorio
del PSC.
2.3.2Declaracin de Prcticas de Certificacin y Polticas de
Certificados
El PSC debe presentar la PC para cada tipo de certificado. El
PSC debe publicar en el repositorio, las nuevas versiones de
esta DPC y PC, en forma inmediata luego de su aprobacin.
Se debe establecer la frecuencia de las versiones anteriores y
actualidades de las Prcticas de Certificacin y Poltica de
Certificados que respalden la emisin de los certificados.
2.4
CONTROLES DE ACCESO AL REPOSITORIO DE CERTIFICADOS

Se deben incluir los controles y eventuales restricciones que se
impondrn al acceso a la informacin publicada por el PSC.
Se debe garantizar la no imposicin de restricciones al certificado del
certificador, a la lista de certificados revocados, a la Poltica de
Certificados correspondiente y a su manual de procedimientos, en
sus versiones anteriores y actualizadas.
3.
IDENTIFICACION Y AUTENTICACIN
Se describirn los procedimientos a utilizar para autenticar, como paso
previo a la emisin de un certificado, la identidad y dems atributos del
solicitante. Se deben establecer los medios admitidos para recibir los
requerimientos de certificados y para comunicar su aceptacin.
3.1
REGISTRO DE NOMBRES
3.1.1 Tipo de nombres
De Uso Pblico
DIRECTORIO

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 18 DE: 49
EDICIN N:4
FECHA: 01/2011
Se deben describir los tipos de nombres admitidos para los

titulares de certificados emitidos en funcin de la Poltica de
Certificados.
3.1.2 Necesidad de que los nombres sean significativos
Se deben describir las distintas denominaciones que se
utilicen para cada tipo de certificado, debiendo utilizarse como
mnimo los parmetros establecidos en la normativa especifica
establecida por SUSCERTE para tal fin (Norma SUSCERTE
N 032)
3.1.3 Interpretacin de formatos de nombres
Se incluirn las reglas para interpretar las distintas clases de
nombres admitidas por la Poltica de Certificados.
3.1.4 Unicidad de nombres
Deben especificarse que el nombre distintivo debe ser nico a
cada suscriptor (puede haber ms de un certificado con igual
nombre distintivo si corresponde al mismo suscriptor).
3.1.5 Resolucin de Conflictos relativos a nombres
En est seccin el Proveedor de Servicios de Certificacin
puede reservarse el derecho de tomar todas las decisiones
referidas a posibles conflictos sobre la utilizacin de nombres
entre sus suscriptores conforme su normativa al respecto. En
caso de conflicto, la parte que solicite debe demostrar su
inters legtimo y su derecho a la utilizacin de un nombre en
particular.
3.2
VALIDACION INICIAL DE LA IDENTIDAD

3.2.1 Mtodo de prueba de posesin de la clave privada
Se indican los procedimientos que implementar el Proveedor
de Servicios de Certificacin para asegurar que el solicitante
se encuentra en posesin de la clave privada correspondiente
a la clave pblica remitida con el requerimiento del certificado
electrnico, de acuerdo a protocolos de seguridad adecuados
y que dicha clave privada es para firmar un documento
electrnico.
3.2.2 Autenticacin de la identidad de la organizacin
Se deben describir los procedimientos de autenticacin de la
identidad de los titulares o responsables de los certificados de
personas jurdicas, debiendo indicarse:
De Uso Pblico
DIRECTORIO

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 19 DE: 49
EDICIN N:4
FECHA: 01/2011
1.El requerimiento debe efectuarse nicamente por intermedio

de un representante autorizado a actuar en nombre del
signatario.
2. EL Proveedor de Servicios de Certificacin debe verificar la
identidad del representante del suscriptor y su autorizacin
para utilizar las claves criptogrficas en su nombre. La
verificacin se efectuar, mediante la revisin de los
siguientes documentos que deben ser presentados por el
signatario:
a.Copia Certificada del Acta Constitutiva o Estatutos del
solicitante para el caso de personas jurdicas.
b.Copias Certificadas de Actas de Asambleas Ordinarias y
extraordinarias celebradas por el solicitante o Poderes en
los que conste la designacin del o los representantes
legales y la legitimidad para actuar en nombre del
solicitante.
3. Se requiere informacin de registros oficiales o contratar los
servicios de terceros a fin de efectuar la verificacin
mencionada.
3.2.3 Autenticacin de la identidad de Personas Naturales
Se especifican los procedimientos de autenticacin de la
identidad de los titulares de los certificados de personas
naturales, debiendo indicarse como mnimo:
De poseer nacionalidad venezolana, se requerir Cedula de
Identidad.
De tratarse de extranjeros, se solicitar Pasaporte vlido, en
caso de no poseer Cedula de Identidad.
En todos los casos, se establecer la obligatoriedad de la
conservacin de la documentacin que respalda el proceso de
autenticacin por parte del PSC.
3.2.4 Comprobacin de las facultades de representacin
La comprobacin de la representacin ante el PSC se debe
realizar mediante la comprobacin de un documento legal, que
lo califique como representante legal.
De Uso Pblico
DIRECTORIO
3.3

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 20 DE: 49
EDICIN N:4
FECHA: 01/2011
IDENTIFICACIN Y AUTENTICACIN DE LAS SOLICITUDES DE

RENOVACIN DE LA CLAVE
3.3.1 Generacin de nuevo Par de Claves (Re Key)
Especificar los procedimientos de identificacin y autenticacin
a seguir para la generacin de un nuevo par de claves y su
correspondiente certificado previo a la expiracin del
certificado vigente. Este mtodo de renovacin requiere que la
clave privada no este ni vencida ni revocada.
3.3.2 Generacin de Nuevo Certificado (Posterior a Revocacin)
Establecer los procedimientos a seguir para validar la identidad
del solicitante del nuevo certificado cuando el anterior hubiera
sido renovado.
La solicitud de un nuevo certificado exige el cumplimiento de
idnticos procedimientos a lo previstos para el proceso de
registro inicial.
El certificado debe controlar la existencia y validez del
certificado y que la informacin utilizada para verificar la
identidad y atributos del titular.
Si algunos de los trminos y condiciones del certificado han
cambiado, deben ser comunicados al suscriptor y est debe
expresar su consentimiento a los mismos.
Si alguna informacin relativa al suscriptor ha sido cambiada
debe ser verificar, registrada y acordada con el mismo.
El Proveedor de Servicios de Certificacin slo debe emitir un
nuevo certificado utilizado una clave pblica existente si no hay
evidencia de que la correspondiente clave privada ha sido
comprometida y el perodo de vida del par de claves no ha
sido expirado.
3.4 IDENTIFICACIN Y AUTENTICACIN DE LAS SOLICITUDES DE

REVOCACIN DE LA CLAVE
Incluyen los procedimientos a seguir para validar la identidad del
solicitante de la revocacin de un certificado, incluyendo la
documentacin del proceso.
La AC del PSC puede solicitar de oficio la revocacin de un
certificado si tiene el conocimiento o sospecha del compromiso de la
De Uso Pblico
DIRECTORIO

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 21 DE: 49
EDICIN N:4
FECHA: 01/2011
clave privada del suscriptor o cualquier otro hecho que recomiende

emprender dicha accin.
4. EL CICLO DE VIDA DE LOS CERTIFICADOS (REQUERIMIENTOS
OPERATIVOS)
4.1
SOLICITUD DE CERTIFICADOS
Incluyen los requerimientos y procedimientos operativos establecidos
por la Autoridad de Certificacin para recibir los requerimientos de
certificados. Estos procedimientos deben ser cumplidos por los
Proveedores de Servicios de Certificacin y por los solicitantes de
certificados.
Adicionalmente, en est seccin deben incluirse una descripcin de
los procedimientos utilizados para comprobar que el suscriptor se
encuentra en poder de la clave privada correspondiente a la clave
pblica presentada para la generacin del certificado.
Los procedimientos deben establecer que los requerimientos solo
podrn ser iniciados por el suscriptor o por el representante
autorizado de la persona jurdica solicitante.
4.1.1 Proceso de generacin de la solicitud de certificados y
responsabilidades
Se debern establecer los requerimientos y procedimientos
referidos a la generacin de solicitud de certificados y sus
responsables
4.1.2 Proceso de firma del certificado
Se debern describir los procedimientos operativos
establecidos por el PSC para efectuar la firma del certificado
4.1.3 Proceso de generacin de la solicitud de renovacin de las
claves del certificado
Se debern incluir los procedimientos a seguir por el PSC para
la generacin de una solicitud de renovacin de las claves del
certificado
4.1.4 Procedimiento para realizar una solicitud de renovacin de un
certificado
Se debern especificar los procedimientos del PSC para
realizar una solicitud de renovacin de un certificado
De Uso Pblico
DIRECTORIO

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 22 DE: 49
EDICIN N:4
FECHA: 01/2011
4.1.5 Procedimiento para realizar una solicitud de suspensin de un

certificado
Se debern definir los procedimientos del PSC para realizar la
solicitud de suspensin de un certificado
4.2
TRAMITACIN DE SOLICITUD DE UN CERTIFICADO

4.2.1 Realizacin de las funciones de identificacin y autenticacin
Se debern especificar las funciones de identificacin y
autenticacin que realizan los funcionarios y personal
encargado de las Autoridades de Registro.
Estos funcionarios que desempean el rol de operador de
registro, deben disponer de un dispositivo seguro de creacin
de firma (tarjeta de funcionario) para el control de acceso a la
aplicacin de expedicin y control de integridad y no repudio
de las operaciones y transacciones realizadas.
4.2.2 Aprobacin o denegacin de un certificado
Se debern determinar los procesos de aprobacin o
denegacin de las solicitudes de certificacin para aquellos
solicitantes que cumplan con todos los requisitos y
lineamientos econmicos y legales exigidos.
4.2.3 Plazo para la tramitacin de un certificado
Se debern definir el tiempo mximo del PSC para la
expedicin de un certificado electrnico.
4.3
EMISIN DE CERTIFICADOS
Se debern establecer los requerimientos y procedimientos
establecidos por los Proveedores de Servicios de Certificacin para la
emisin del certificado y para la notificacin de dicha emisin al
solicitante.
4.3.1 Acciones del PSC durante la emisin de un certificado
Se debern incluir los procedimientos a efectuar durante la
emisin de un certificado electrnico.
4.3.2
Notificacin al solicitante por parte del PSC acerca de la

emisin de su certificado electrnico.
Se debern definir los procedimientos del PSC para notificar al
solicitante sobre la emisin de su certificado.
De Uso Pblico
DIRECTORIO
4.4

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 23 DE: 49
EDICIN N:4
FECHA: 01/2011
ACEPTACIN DE CERTIFICADOS
Se debern establecer los requerimientos y procedimientos referidos
a la publicacin del certificado y a la aceptacin del mismo por su
titular.
4.4.1 Forma en la que se acepta el certificado
Se debern definir los procedimientos establecidos para la
aceptacin del certificado por el solicitante
4.4.2 Publicacin del certificado
Se debern determinar los diversos medios que se utilizan
para publicar un certificado
4.4.3 Notificacin de la emisin del certificado a otras autoridades
Se debern incluir los procedimientos establecidos para
notificar a las entidades, organismos del gobierno, personas
naturales y empresas privadas de la emisin del certificado en
caso que aplique.
4.5
USO DE PAR DE CLAVES Y DEL CERTIFICADO

Se debern establecer los procedimientos referidos al uso de los
certificados emitidos del PSC
4.5.1 Uso de la clave privada del certificado
Se describir la responsabilidad de usar apropiadamente la
clave privada y el certificado, autorizados en esta DPC y en
consistencia con el contenido aplicable del certificado. El uso
del certificado deben estar conforme a los trminos acordados
por el suscriptor
4.5.2 Uso de la clave pblica y del certificado por los terceros de
buena fe
Se describir la responsabilidad de los terceros de buena fe
para el uso de los certificados.
4.6
RENOVACIN DEL CERTIFICADO

Se describirn los elementos relacionados con la renovacin del
certificado. La renovacin del certificado significa la emisin de un
nuevo certificado al suscriptor sin modificar el suscriptor, o ninguna
otra informacin en el certificado
4.6.1 Causas para la renovacin
De Uso Pblico
DIRECTORIO

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 24 DE: 49
EDICIN N:4
FECHA: 01/2011
Se determinarn las circunstancias bajo las cuales ocurre la

renovacin del certificado
4.6.2 Entidad que puede solicitar la renovacin de un certificado
Se definir que entidad esta autorizada para renovar un
certificado del usuario
4.6.3 Procedimiento de solicitud para la renovacin de un certificado
Se establecern los procedimientos de las entidades
autorizadas para efectuar la solicitud de renovacin de un
certificado
4.6.4 Notificacin de la emisin de un nuevo certificado
Se determinar el proceso para notificar al suscriptor la
emisin del nuevo certificado
4.6.5 Publicacin del certificado renovado por el PSC
Se determinara el proceso del PSC para publicar el nuevo
certificado
4.6.6 Notificacin de la emisin del certificado a otras entidades
Se establecer el procedimiento del PSC para notificar a otras
entidades sobre la emisin del certificado nuevo en caso que
aplique.
4.7
NUEVA CLAVE DEL CERTIFICADO

Se describirn los elementos relacionados con el suscriptor que
genera un nuevo par de claves y solicita la emisin de un nuevo
certificado para esta clave pblica
4.8
MODIFICACIN DE CERTIFICADOS
Establecer los procesos relacionados con la emisin de un nuevo
certificado por motivo de cambios en la informacin del certificado
con excepcin de la clave pblica del suscriptor, como son:
Causas por las cuales la modificacin puede ocurrir
Quin puede solicitar la modificacin del certificado
Notificacin del certificado nuevo al suscriptor
Conducta que constituye la aceptacin del certificado
Publicacin del certificado por parte del AC del PSC
Notificacin de la emisin del certificado por parte del AC del PSC a
De Uso Pblico
DIRECTORIO

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 25 DE: 49
EDICIN N:4
FECHA: 01/2011
otras entidades
4.9
REVOCACIN Y SUSPENSIN DE UN CERTIFICADO

En est seccin se especificarn los procedimientos del PSC para
asegurar que los certificados sean revocados de una manera
oportuna, basadas en una solicitud de revocacin de certificado
autorizada y validada.
4.9.1
Circunstancias para la Revocacin del certificado del

signatario.
Se indicarn las circunstancias bajo las cuales un certificado
podr ser revocado y aquellos casos en los cuales la
revocacin deber ser obligatoria, conteniendo como mnimo
una descripcin detallada de:
Las obligaciones establecidas en el artculo 11 del
Reglamento Parcial del Decreto Ley Sobre Mensaje de
Datos y Firmas Electrnicas.
As mismo se especificar el plazo en que un Proveedor de
Servicios de Certificacin deber revocar, todo certificado que
deje de cumplir con las Polticas y Normas y el Decreto-Ley
Sobre Mensaje de Datos y Firmas Electrnicas.
4.9.2 Entidad que puede solicitar la Revocacin

Se especifican quienes son las personas autorizadas para
solicitar la revocacin de un certificado, debiendo admitirse
como mnimo:
1.Al titular del certificado.
2.Al responsable autorizado que efectuar el requerimiento, en
el caso de certificados de personas jurdicas.
3.A la persona jurdica titular del certificado a travs de un
funcionario debidamente autorizado.
4.A aquellas personas habilitadas por el titular de certificado a
tal fin.
5. A la autoridad judicial competente.
4.9.3 Procedimientos de Solicitud de la Revocacin
Se describirn los procedimientos establecidos por los
Proveedores de Servicios de Certificacin para la revocacin
de los certificados que emita. Se garantizara que los
De Uso Pblico
DIRECTORIO

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 26 DE: 49
EDICIN N:4
FECHA: 01/2011
procedimientos de revocacin se encontrarn disponibles en

su correspondiente Poltica de Certificados, a disposicin de
los autorizados en el apartado anterior.
Se debe garantizar lo siguiente:
1.El solicitante de la revocacin ser debidamente identificado
2.Las solicitudes de revocacin, as como toda accin
efectuada por los Proveedores de Servicios de Certificacin,
sern documentadas y conservadas en sus archivos.
3.La documentacin y el archivo de las justificaciones de las
revocaciones aprobadas.
4.Una vez efectuada la revocacin, se actualizar el estado del
certificado en el repositorio y se generara y publicar la
nueva lista de certificados revocados.
5.El suscriptor del certificado revocado debe ser informado del
cambio de estado de su certificado.
Debern indicarse las vas de contacto disponible para la
realizacin de la solicitud de revocacin.
4.9.4 Lmites del perodo de la Solicitud de Revocacin
Se especificar que la solicitud de revocacin debe efectuarse
en forma inmediata cuando se presente alguna de las
circunstancias previstas en el apartado 4.4.1. Para los plazos
de revocacin de los certificados, luego de recibida la solicitud,
puede elegirse entre stas dos opciones, en funcin del tipo de
certificado y el modelo adoptado por el Proveedor de Servicios
de Certificacin.
Opcin 1: El prrafo siguiente puede variar entre polticas de
certificados.
El plazo mximo entre la recepcin de la solicitud y el cambio
de la informacin de estado del certificado, indicando la
revocacin, puesta a disposicin de los terceros usuarios debe
ser a lo sumo de cuatro (4) horas.
certificados.
El plazo mximo entre la recepcin de la solicitud y el cambio
de la informacin de estado del certificado, indicando la
revocacin, puesta a disposicin de los terceros usuarios debe
ser a lo sumo de ocho (8) horas.
De Uso Pblico
DIRECTORIO

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 27 DE: 49
EDICIN N:4
FECHA: 01/2011
Se establecern en ste documento que los Proveedores de

Servicios de Certificacin sern responsables de la Poltica de
Certificados y debern responder plenamente por los daos
causados por el uso de un certificado en el periodo
transcurrido entre la recepcin de la solicitud de revocacin y
la publicacin de la lista de certificados revocados.
4.9.5 Circunstancias para la Suspensin
Se especificarn los motivos para solicitar la suspensin de un
certificado, de ser aplicable.
4.9.6 Entidad que puede solicitar la Suspensin
Se definen quienes son las personas autorizadas para solicitar
la suspensin de un certificado, de ser aplicable.
4.9.7 Procedimientos para la Solicitud de Suspensin
Se especifican los procedimientos necesarios para solicitar la
suspensin de un certificado, de ser aplicable.
4.9.8 Lmites del Perodo de Suspensin de un Certificado
Se especificar el lmite mximo de tiempo durante el cual un
certificado podr estar suspendido, de ser aplicable.
4.9.9 Frecuencia de Emisin de Listas de Certificados Revocados
Se definir la frecuencia con que se emitir la lista de
certificados revocados con relacin a la Poltica de
Certificados. Para los plazos de emisin de lista de certificados
luego de recibida la solicitud puede elegirse entre stas dos
opciones, en funcin del tipo de certificado y el modelo
adoptado por el Proveedor de Servicios de Certificacin.
Los siguientes
Certificadores:
plazos
deben
ser
respetados
por
los

certificados.
Para aquellas polticas de certificacin correspondientes a
certificados de personas fsicas, personas jurdicas u
Organismos Pblicos las Listas de Certificados Revocados
deben emitirse como mnimo cada cuatro (4) Horas.
certificados.
De Uso Pblico
DIRECTORIO

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 28 DE: 49
EDICIN N:4
FECHA: 01/2011
Para aquellas polticas de certificacin correspondientes a

certificados de personas fsicas, personas jurdicas u
Organismos Pblicos las Listas de Certificados Revocados
deben emitirse como mnimo cada ocho (8) Horas.
4.9.10 Requisitos para la comprobacin de la Lista de Certificados
Revocados
Se establecern los mecanismos ofrecidos para validar el
estado de los certificados, mediante el control de la lista de
certificados revocados, a menos que utilicen otro sistema con
caractersticas de seguridad y confiabilidad
al menos
equivalente.
As mismo, se especificarn los mecanismos para verificar la
autenticidad y validez de la lista de certificados revocados.
Para aquellas polticas de certificacin correspondientes a los
certificados de AC, las Listas de Certificados Revocados
deben emitirse como mnimo cada treinta (30) das.
4.9.11 Disponibilidad de comprobacin en Lnea del Servicio de
Revocacin del Estado del Certificado
Se establecer si los Proveedores de Servicios de Certificacin
poseen disponible un servicio de revocacin de certificados en
lnea y de verificacin de su estado. La verificacin del estado
de un certificado podr efectuarse directamente ante los
Proveedores de Servicios de Certificacin por medio del
acceso a la lista de certificados revocados o de otros medios
de verificacin de estado en lnea.
Los Proveedores de Servicios de Certificacin deben poner a
disposicin de los terceros usuarios:
1.La informacin relativa a las caractersticas operacionales
de los servicios de verificacin de estado.
2.La disponibilidad de tales servicios y cualquier polticas
aplicable en caso de no disponibilidad.
3.Cualquier caracterstica opcional de tales servicios.
4.9.12 Requisitos de comprobacin en Lnea del Estado de
Revocacin
Se definirn los requisitos para la verificacin en lnea de la
informacin de revocacin de certificados por parte de los
De Uso Pblico
DIRECTORIO

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 29 DE: 49
EDICIN N:4
FECHA: 01/2011
terceros.
4.9.13 Otras Formas Disponibles para la Divulgacin de la
Revocacin
Se definir, de existir, otras formas utilizadas por los
Proveedores de Servicios de Certificacin para divulgar la
informacin sobre revocacin de certificados.
4.9.14 Requisitos para la Verificacin de Otras Formas de
Divulgacin de Revocacin
Se definirn los requisitos para la verificacin por parte de los
terceros, de las formas de divulgacin de revocacin de
certificados prevista en el apartado anterior.
4.9.15 Requisitos Especficos para Casos de Compromiso de
Claves
Se establecern los requisitos especficos aplicables a la
revocacin de certificados provocada por el compromiso de la
correspondiente clave privada. En tal caso, se exige que el
titular del certificado comunique de inmediato tal circunstancia
al Proveedor de Servicios de Certificacin.
4.10 SERVICIO DE COMPROBACIN DE ESTADO DE CERTIFICADOS
4.10.1 Caractersticas operativas
Determinar las caractersticas operativas de los servicios de
comprobacin de los certificados
4.10.2 Disponibilidad del servicio
Establecer los compromisos de disponibilidad del servicio de
comprobacin del estado de los certificados
4.10.3 Caractersticas adicionales
Establecer otras caractersticas adicionales sobre el servicio
de comprobacin del estado de los certificados
4.11 FINALIZACIN DE LA SUSCRIPCIN
Describir los casos en que finaliza la suscripcin de un certificado
4.12 CUSTODIA Y RECUPERACIN DE LA CLAVE
4.12.1 Prcticas y polticas de recuperacin de la clave
Describir las prcticas y polticas establecidas para el servicio
De Uso Pblico
DIRECTORIO

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 30 DE: 49
EDICIN N:4
FECHA: 01/2011
de custodia y recuperacin de la clave privada
5.
CONTROLES DE
OPERACIONES
SEGURIDAD
FSICA,
DE
GESTIN
DE
Se describirn brevemente los procedimientos referidos a los controles de

seguridad fsica, funcionales y de personal implementados por los
Proveedores de Servicios de Certificacin.
5.1
CONTROLES DE SEGURIDAD FSICA

Se incluirn en est seccin los siguientes aspectos:
5.1.1 Construccin y localizacin de instalaciones.
Determinar los procedimientos
sobre las medidas de
seguridad de proteccin de las instalaciones.
5.1.2 Acceso Fsico.
Se determinarn los procedimientos de control para acceder a
las instalaciones del PSC
5.1.3 Alimentacin Elctrica y Aire Acondicionado.
Se establecern los mecanismos para asegurar el suministro
de
energa elctrica
y el correcto funcionamiento y
mantenimiento de los sistemas de aire acondicionado.
5.1.4 Exposicin al agua.
Se establecern los mecanismos instalados en la AC del PSC
para evitar las exposiciones al agua de las instalaciones
5.1.5 Prevencin y proteccin contra incendios.
Se definirn los mecanismos con que cuenta la AC del PSC
para la proteccin y prevencin de incendios
5.1.6 Sistemas de almacenamiento.
Se establecern los mecanismos de almacenamiento de
informacin relacionada con la AC del PSC
5.1.7 Eliminacin de residuos.
Se establecern los mecanismos de la AC del PSC para
verificar todos los materiales desechables donde se almacena
informacin sensible.
5.1.8 Almacenamiento de copias de seguridad
De Uso Pblico
DIRECTORIO

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 31 DE: 49
EDICIN N:4
FECHA: 01/2011
Se establecer el procedimiento de almacenamiento de copias

de seguridad en sitios externos.
5.2 CONTROLES DE PROCEDIMIENTOS

5.2.1 Definicin de roles confiables
Se definir la descripcin del personal que por
sus
responsabilidades son sometidos a procedimientos de control
en la AC del PSC
5.2.2 Separacin de funciones
Se determinar la separacin de funciones en cuanto a los
roles que no pueden ser ejecutados por la misma persona
5.2.3 Nmero de personas requeridas por rol
Se determinarn las responsabilidades compartidas entre los
distintos roles y personas
5.2.4 Identificacin y autenticacin para cada rol
Se determinar el proceso de identificacin y autenticacin de
cada rol
5.3
CONTROLES DE SEGURIDAD PERSONAL

Se especificarn los controles implementados sobre los siguientes
aspectos:
5.3.1 Requerimientos de antecedentes, calificacin, experiencia y
acreditacin
Se describirn los antecedentes laborales, calificaciones,
experiencia e idoneidad del personal tanto de aquellos que
cumplen funciones crticas como de aquellos que cumplen
funciones administrativas, seguridad, limpieza, etc.
5.3.2 Requerimientos de formacin
Se describir el entrenamiento y capacitacin inicial requerida
para el cargo del personal calificado
5.3.3 Requerimientos y frecuencia de actualizacin de la formacin
Se describir la frecuencia de los procesos de actualizacin
tcnica o profesional
5.3.4 Frecuencia y secuencia de rotacin de tareas
De Uso Pblico
DIRECTORIO

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 32 DE: 49
EDICIN N:4
FECHA: 01/2011
Se describir la frecuencia y secuencia con que se rotan las

tareas de cada uno de los cargos
5.3.5 Sanciones por acciones no autorizadas
Se definir el procedimiento sancionador para los empleados
que incumplen un accin no autorizada
5.3.6 Documentacin proporcionada al personal
Se determinar la documentacin
proporcionada a los
empleados para el desempeo de sus tareas
5.4 PROCEDIMIENTOS DE CONTROL DE SEGURIDAD
Se incluye en esta seccin temas vinculantes a los PSC
5.4.1 Tipos de eventos registrados
Se establecern los tipos y
registran los logs de auditoria
procesos por las cuales se
5.4.2 Frecuencia de procesamiento de los registros de los logs de

auditoria
Se determinar la frecuencia de procesamiento y archivo de
los logs de auditoria
5.4.3 Perodos de retencin de los logs de auditoria
Se establecer el perodo de conservacin de los logs de
auditoria
5.4.4 Proteccin de los logs de auditora
Se describirn los mtodos de proteccin contra borrado o
modificacin de los logs de auditoria
5.4.5 Procedimiento de Backup de los logs de auditoria
Se determinar el procedimiento de resguardo de los logs de
auditoria
5.4.6 Sistema de recopilacin de informacin de auditoria
Se definir el sistema de recoleccin de datos de auditoria
5.4.7 Notificacin de eventos significativos
Se establecern el procesos de notificacin de los eventos
significativos
5.4.8 Anlisis de vulnerabilidades
De Uso Pblico
DIRECTORIO

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 33 DE: 49
EDICIN N:4
FECHA: 01/2011
Se determinarn los procesos de anlisis y gestin de las

vulnerabilidades registradas
5.5
ARCHIVO DE INFORMACIONES Y REGISTROS

Se incluirn informacin referida a los siguientes procedimientos de
resguardo de archivos
5.5.1 Tipos de registros archivados
Se determinarn los diferentes tipos de registros archivados
5.5.2 Perodo de retencin de un archivo
Se establecer el perodo de conservacin de los archivos y
registros
5.5.3 Mtodo de proteccin del archivo
Se establecer el mtodo por el cual se protegen los archivos
contra borrado o modificacin y quin puede ver el archivo,
obsolescencia de hardware, deterioro del medio por el cual el
archivo es almacenado
5.5.4 Requerimiento para el sellado de tiempo de archivos
Se definirn los requisitos para la incorporacin del sellado
electrnico en los archivos de registros
5.5.5 Procedimientos de backup del archivo
Se establecern el procedimiento de resguardo de los archivos
5.5.6 Sistema de repositorios de archivos (interno y externo)
Se definirn los medios por las cuales se realiza el repositorio
de los archivos
5.5.7 Procedimiento para obtener y verificar informacin de archivos
Se establecer el proceso requerido para obtener informacin
de archivos de datos para llevar a cabo verificaciones de
integridad.
5.6 CAMBIO DE CLAVE

Se incluirn los procedimientos a seguir para distribuir una nueva
clave pblica a los usuarios de un certificado luego de un cambio de
la misma. Dichos procedimientos pueden ser los mismos que fueron
utilizados para distribuir la clave que se reemplaza. La nueva clave
puede ser incluida en un certificado firmado electrnicamente con la
clave reemplazada.
De Uso Pblico
DIRECTORIO
5.7

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 34 DE: 49
EDICIN N:4
FECHA: 01/2011
PLAN DE RECUPERACIN EN CASO DE DESASTRES

Se describirn los requisitos y procedimientos relativos a la
recuperacin de recursos de los PSC en caso de compromiso de la
clave privada o desastres
5.7.1 Procedimientos de gestin de incidentes y vulnerabilidades
Se describirn los procedimientos para establecer un Plan de
Continuidad que defina las acciones a realizar, recursos a
utilizar y personal a emplear en caso de ocurrir un
acontecimiento intencionado o accidental que utilice o degrade
los recursos y servicios de certificacin prestados por la AC del
PSC
5.7.2 Alteracin de los recursos hardware, software y/o datos
Se establecern los procedimientos de recuperacin ante
compromiso o sospecha de alteracin de los recursos de
hardware, software y datos
5.7.3 Procedimiento de actuacin ante la vulnerabilidad de la clave
privada del PSC
Se establecer el procedimiento de recuperacin
ante
compromiso o sospecha de compromiso de la clave privada
del PSC
5.7.4 Seguridad de las instalaciones tras un desastre natural o de
otro tipo
Se incluir el procedimiento de continuidad de las operaciones
en un entorno seguro luego de ocurrir un desastre natural o de
otra naturaleza
5.8
CESE DE LAS ACTIVIDADES DEL PSC

Se describen los procedimientos a ser adoptados en caso de
finalizacin de servicios de los Proveedores de Servicios de
Certificacin.
Se especifican los procedimientos referidos a:
a)Notificacin a SUSCERETE, los titulares, terceros usuarios, otros
Proveedores de Servicios de Certificacin y otros usuarios
vinculados.
De Uso Pblico
DIRECTORIO

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 35 DE: 49
EDICIN N:4
FECHA: 01/2011
b) Revocacin del certificado de Proveedor de Servicios de

Certificacin y de los certificados emitidos a otras AC y
signatarios.
c)Transferencia de la custodia de archivos y documentacin.
Se establecer que el responsable de la custodia de archivos y
documentacin cumplir con idnticas exigencias de seguridad que
las revistas para los Proveedores de Servicios de Certificacin
discontinuado.
6. CONTROLES DE SEGURIDAD TCNICA
Se describirn las medidas de seguridad implementada por los
Proveedores de Servicios de Certificacin para proteger sus claves
criptogrficas y otros parmetros de seguridad crticos. Adems se incluir
los controles tcnicos que se implementaran sobre las funciones
operativas de la Autoridad de Certificacin, Autoridades de Registro,
repositorios, suscriptores, etc.
6.1 GENERACIN E INSTALACIN DEL PAR DE CLAVES
La generacin e instalacin del par de claves debe ser considerado
desde la perspectiva de la Autoridad de Certificacin, de los
repositorios, de las Autoridades de Registro y de los suscriptores.
Para cada una de estas entidades debern abordarse los siguientes
temas:
a)Responsables de la generacin de claves.
b)Mtodos de generacin de claves, indicando si las mismas se
efectuaran por software o por hardware.
c)Mtodos de distribucin de la clave pblica del Proveedor de
Servicios de Certificacin en forma segura.
d)Caractersticas y tamao de las claves y controles efectuados
sobre las mismas.
e)Propsitos para los cuales pueden ser utilizadas las claves y
restricciones para dicha utilizacin.
6.1.1 Generacin del par de claves
Se definirn todos los aspectos relativos a la generacin del
par de claves de los certificado definidos en las Polticas de
Certificados, del par de claves de los responsables de las
Autoridades de Registro, de los servicios de informacin de
estado de certificados, suscriptores, etc.
Deben considerarse los siguientes requerimientos mnimos:
De Uso Pblico
DIRECTORIO

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 36 DE: 49
EDICIN N:4
FECHA: 01/2011
a) El par de claves debe ser generado nicamente por el titular

del certificado, permaneciendo su clave privada en todo
momento bajo su absoluto y exclusivo control.
b) El medio de generacin y almacenamiento de la clave
privada debe asegurar que: La clave privada sea nica y
su
confidencialidad
se
encuentre
debidamente
garantizada.
6.1.2 Entrega de la Clave Privada al suscriptor
Deben
considerarse
obligatoriamente
las
exigencias
reglamentarias impuestas por la obligacin de abstenerse de
generar, exigir o por cualquier otro medio tomar conocimientos
o acceder a la clave privada de los subscriptores.
6.1.3 Entrega de la Clave Pblica al emisor del certificado
Se establecen los procedimientos utilizados para la entrega de
la clave pblica del titular del certificado al Proveedor de
Servicios de Certificacin responsable de la emisin del
certificado.
6.1.4 Disponibilidad de la Claves Pblica del PSC para los usuarios
Se definirn los medios adoptados para poner el certificado del
Proveedor de Servicios de Certificacin, y el resto de los
certificados que compongan su cadena de certificacin, a
disposicin de todos los suscriptores y tercera partes
interesadas.
6.1.5 Tamao de las Claves
Se definirn los tamaos mnimos de las claves criptogrficas
asociadas con los certificados emitidos segn la Poltica de
Certificados.
Deben respetarse las siguientes longitudes mnimas de claves:
a) Para certificados de los Proveedores de Servicios de
Certificacin o de informacin de estado de certificados:
4096 bits.
b) Para certificados utilizados en servicios relacionados a la
firma
electrnica
(certificacin
de
hora
digital,
almacenamiento seguro de documentos electrnicos, etc.):
2048 bits.
c) Para certificados de responsables de Autoridades de
Registro que sean utilizados para aprobar solicitudes,
De Uso Pblico
DIRECTORIO

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 37 DE: 49
EDICIN N:4
FECHA: 01/2011
renovaciones, revocaciones, etc.:2048 bits.

d) Para certificados de usuario (personas fsicas o jurdicas):
1024 bits en software y 2048 bits en hardware.
6.1.6 Parmetros de generacin de la clave pblica y verificacin de
la calidad
Se deben describir los parmetros de generacin de claves
asimtricas y los procedimientos de verificacin utilizados
respecto de la calidad de los parmetros de generacin de
claves
6.1.7 Generacin de claves por hardware y software
Se deber describir el tipo de soporte utilizado para la
generacin de claves.
Deben respetarse las siguientes exigencias mnimas:
a) Las claves criptogrficas de la Autoridad de Certificacin
deben ser generadas por dispositivos homologados FIPS
140-2 nivel 3 equivalentes.
b) Las claves criptogrficas utilizadas para la firma de
informacin de estado de certificados o servicios
relacionados a la firma electrnica deben ser generadas en
dispositivos FIPS 140-2 nivel 3 o equivalente.
c) Las claves criptogrficas que los usuarios responsables de
la Autoridad de Registro utilicen para aprobar solicitudes,
renovaciones, revocacin, etc., deben ser generadas en
dispositivos FIPS 140-2 nivel 2 o equivalente.
6.1.8 Propsito de utilizacin de la clave privada
Se establecern los propsitos para los cuales se utilizaran las
claves criptogrficas de los titulares de los certificados (por
ejemplo autenticacin, integridad, no repudio) y las posibles
restricciones en su uso.
6.2 PROTECCIN DE LA CLAVE PRIVADA
En est seccin la proteccin de la clave privada debe ser
considerada desde la perspectiva de la Autoridad de Certificacin, de
lo repositorios, de las Autoridades de Registro y de los suscriptores.
Para cada una de estas entidades debern abordarse los siguientes
temas:
a) Estndares utilizados para la generacin del par de claves.
b) Nmero de personas involucradas en el control de la clave
De Uso Pblico
DIRECTORIO

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 38 DE: 49
EDICIN N:4
FECHA: 01/2011
privada.
c) De existir copias de resguardo de la clave privada, controles de
seguridad establecidos sobre las misma.
d) De encontrarse archivada la clave privada en un mdulo
criptogrfico.
e)
Responsable de activacin de la clave privada y acciones a

realizar para su activacin.
f) Duracin del perodo de activacin de la clave privada y

procedimientos a utilizar para su desactivacin.
g) Procedimiento de destruccin de la clave privada.
6.2.1 Estndares para Mdulos Criptogrficos
Se describen los estndares utilizados para los mdulos de
generacin y almacenamiento de claves criptogrficas.
a) Las claves criptogrficas de la Autoridad de Certificacin
deben ser generadas y almacenadas en dispositivos
homlogos FIPS 140-2 nivel 3 equivalentes.
b) Las claves criptogrficas utilizadas para la firma de
informacin de estado de certificados o servicios
relacionados a la firma electrnica deben ser generadas y
almacenadas en dispositivo FIPS 140-2 nivel 3 o
equivalentes.
c) Las claves criptogrficas que los usuarios responsables de
la Autoridad de Registro utilicen para aprobar solicitudes,
renovacin, revocaciones, etc. Deben ser generadas y
almacenadas en dispositivos FIPS 140-2 nivel 2
equivalentes.
6.2.2. Control de N de M de la Clave Privada
Se describen los controles empleados para la actividad de las
claves, indicando cuantas personas estn involucradas en el
control de dicha clave.
El control de la utilizacin de las claves criptogrficas de la

Autoridad de Certificacin debe estar dividido de forma tal
que sea necesaria la presencia de al menos 2 personas
distintas (o N distintas de un total de M posibles, con N2).
De Uso Pblico
DIRECTORIO

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 39 DE: 49
EDICIN N:4
FECHA: 01/2011
Por ejemplo puede requerirse la presencia de al menos dos

administradores de un grupo de tres para utilizar la clave de la
AC.
6.2.3 Custodia de la Clave Privada
Se describen los procedimientos empleados por los PSC para
la recuperacin de sus propias claves.
6.2.4 Copia de seguridad de la Clave Privada
Se describirn en est seccin los procedimientos y controles
de seguridad empleados para la realizacin de copias de
seguridad de las claves
En todos los casos deben establecerse procedimientos que
garanticen que los niveles de seguridad de las claves no
disminuyan por la creacin de copias de resguardo. La
Superintendencia de Servicios de Certificacin Electrnica
(SUSCERTE) no se har responsable del resguardo de las
claves.
6.2.5 Archivo de la Clave Privada
Se describirn en est seccin los procedimientos y controles
de seguridad empleados para el archivo de las claves privadas
de los Proveedores de Servicios de Certificacin.
En todos los casos deben establecerse procedimientos que
garanticen que los niveles de seguridad de las claves no
disminuyan por le proceso de archivo.
6.2.6 Insercin de claves privadas en mdulos criptogrficos
Se establecern los requisitos para la insercin o extraccin de
la clave privada del titular en el modulo criptogrfico,
describiendo bajo que circunstancia se puede realizar la
operacin, a quienes les esta permitido realizar la operacin y
cual es el formato de la clave privada utilizado durante la
transferencia.
6.2.7 Mtodo de activacin de la Clave Privada
Se describirn los requisitos y procedimientos necesarios para
la activacin de la clave privada del Proveedor de Servicios de
Certificacin.
De Uso Pblico
DIRECTORIO

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 40 DE: 49
EDICIN N:4
FECHA: 01/2011
Se exigir la autenticacin de los responsables a travs de

mtodos adecuados.
6.2.8 Mtodo de desactivacin de la Clave Privada
Se describirn los requisitos y procedimientos necesarios para
la desactivacin de la clave privada del Proveedor de Servicios
de Certificacin.
Se exigir la autenticacin de los responsables a travs de
mtodos adecuados.
6.2.9 Mtodo de Destruccin de la Clave Privada
Se especificarn en est seccin los procedimientos a seguir
para la destruccin de la clave privada y de sus copias de
seguridad ante cualquier hecho que motivara el final de la vida
til de un certificado, tales como su revocacin o expiracin.
Se definirn los responsables de la destruccin, formas de
autenticacin, y acciones a desarrollar.
6.3
OTROS ASPECTOS DE LA GESTIN DEL PAR DE CLAVES

6.3.1 Archivo de la clave pblica
Se describen en est seccin los procedimientos y controles
de seguridad implementados para el sistema de archivo de la
clave pblica, el software y hardware necesarios a preservar
como parte de dicho archivo para permitir la utilizacin de la
clave pblica en el tiempo y la duracin en el tiempo que se
mantendr archivada la informacin.
Est seccin no se delimita a describir la utilizacin de firmas
electrnicas con el archivo de datos, si no que debe dirigirse,
adems, a los controles de integridad utilizados para impedir la
adulteracin de datos (no para verificar su adulteracin).
6.3.2 Perodos operativos de los certificados y periodos de Uso para
el par de Claves Pblica y Privada
Se debe determinar que las claves privadas correspondientes
a los certificados emitidos por el Proveedores de Servicios de
Certificacin podrn ser utilizadas por su titular nicamente
durante el periodo de validez de los mismos. Las
correspondientes claves pblicas podrn ser utilizadas durante
el periodo por las normas legales vigentes, a fin de posibilitar
De Uso Pblico
DIRECTORIO

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 41 DE: 49
EDICIN N:4
FECHA: 01/2011
la verificacin de las firmas generadas durante su periodo de

validez, segn se establece en el apartado anterior.
6.4 DATOS DE ACTIVACIN
Se establecern medidas de seguridad para proteger los datos de
activacin requeridos para la operacin de los mdulos criptogrficos
para todos los usuarios de certificados.
6.4.1 Generacin e Instalacin de Datos de Activacin
Se especificar en est seccin el resguardo de los datos de
activacin de la clave privada de los titulares de certificados
sean nicos y aleatorios.
6.4.2 Proteccin de Datos de Activacin
Se especificarn en est seccin los procedimientos a seguir
para la adecuada proteccin de activacin de la clave privada
de los titulares de certificados contra usos no autorizados.
6.4.3 Otros Aspectos Referidos a los Datos de Activacin
Se incluir otros aspectos relativos a los controles sobre los
datos de activacin, tales como los referidos a las claves
incluidos en los apartados 6.1 a 6.3.
6.5
CONTROLES DE SEGURIDAD DEL COMPUTADOR

6.5.1 Requisitos tcnicos especficos
Se establecern los requisitos de seguridad referidos al
equipamiento de los Proveedores de Servicios de Certificacin.
Los requisitos mnimos sern:
a) Control de acceso a los servicios y roles de certificacin.
b) Separacin de funciones para los roles de certificacin.
c) Identificacin y autenticacin de los roles de certificacin.
d)Re-utilizacin o separacin para memoria de acceso
aleatorio.
e)Utilizacin de criptografa para las sesiones de comunicacin
y bases de datos.
f) Archivo de datos histricos y de auditoria del Proveedor de
Servicios de Certificacin y usuarios.
De Uso Pblico
DIRECTORIO

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 42 DE: 49
EDICIN N:4
FECHA: 01/2011
g) Auditoria de eventos de seguridad.

h)Auto-testing de seguridad relativa a servicios de certificacin.
i)Caminos confiables
certificacin.
para
identificacin
de
roles
de
a)Mecanismos de recuperacin para claves y sistemas de

certificacin
Las funcionalidades mencionadas pueden ser provistas por el
sistema operativo, o bien a travs de una combinacin del
sistema operativo, software de certificacin y controles fsico.
6.5.2 Calificaciones de Seguridad Informtica
Se describirn en est seccin los resultados de evaluaciones
realizadas por terceros respecto a la seguridad informtica.
6.6
CONTROLES DE SEGURIDAD DEL CICLO DE VIDA

Se especificar en est seccin el software especfico para la
utilizacin de los certificados emitidos, se describirn los controles de
seguridad implementados sobre dicho software.
6.6.1 Controles de Desarrollo de Sistemas
Desarrollo de Software: Se especificar en esta seccin la
metodologa para el diseo y desarrollo del software. El
software de certificacin debe ser objeto de verificacin por un
tercero.
Adquisicin de Software: Se especificar en esta seccin el
diseo de los mdulos y partes del software.
Software a la medida: Se especificara en esta seccin el
diseo y desarro0llo del mismo.
6.6.2
Controles de Administracin de Seguridad

Se establecer la configuracin del sistema de certificacin,
as como toda modificacin o actualizacin que debe ser
documentada y controlada. El PSC garantizar la existencia de
un mtodo de deteccin de modificaciones no autorizadas al
software o a su configuracin.
6.6.3 Calificaciones de Seguridad del Ciclo de Vida

Se describirn los resultados de evaluaciones realizadas por
terceros del ciclo de vida.
De Uso Pblico
DIRECTORIO
6.7

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 43 DE: 49
EDICIN N:4
FECHA: 01/2011
CONTROLES DE SEGURIDAD DE LA RED

En est seccin se establecern como los servidores de la Autoridad
de Certificacin estarn protegidos ante cualquier ataque a travs de
redes abiertas a las que se encuentren conectados.
6.8
SELLADO DE TIEMPO
Se indicarn en esta seccin los requisitos o prcticas referente al
uso de sellado de tiempo en los datos y si el sellado de tiempo utiliza
una fuente confiable del tiempo
7.
PERFILES DE CERTIFICADOS, LCR/OCSP

Se especificarn en est seccin los formatos de certificados y de listas de
certificados revocados generados segn la Poltica de Certificados.
7.1
PERFIL DEL CERTIFICADO

Todos los certificados correspondientes a la presente Poltica de
Certificados sern emitidos conforme con lo establecido en el
estndar ITU X.509 y la normativa especfica de SUSCERTE para tal
fin (Norma 032), ya que as lo establece el documento de
lineamientos de seguridad para la acreditacin de los Proveedores de
Servicios de Certificacin de la SUSCERTE.
7.2
PERFILES DE LA LISTA DE CERTIFICADOS REVOCADOS (LCR)

Las listas de certificados revocados correspondientes a la presente
Poltica de Certificados debern ser emitidas conforme con lo
establecido en el estndar ITU X.509 y la normativa especfica de
SUSCERTE para tal fin (Norma 032).
7.3 PERFIL DEL PROTOCOLO DE ESTADO DE CERTIFICADOS EN

LNEA (OCSP)
Esta seccin trata los asuntos tales como:
7.3.1 Nmero de versin
Versin de OCSP que se esta utilizando como la base para
establecer un sistema OCSP
7.3.2
Extensiones de la OCSP
Definir las extensiones de la OCSP utilizadas en los
certificados.
De Uso Pblico

CERTIFICACIN
DIRECTORIO
8.
NORMA SUSCERTE
N: 022-01/11
PGINA: 44 DE: 49
EDICIN N:4
FECHA: 01/2011
AUDITORIA DE CONFORMIDAD
En este componente se indican los aspectos especficos del proceso de
auditoria, como son:
Temas principales a evaluar en las auditorias.
Establecer la lista de los tpicos cubiertos
metodologa de la evaluacin realizada
en la auditoria o la
Frecuencia de realizacin de auditorias

Definir la frecuencia de la evaluacin conforme a la poltica de
certificacin de PSC
Identidad del auditor
Determinar la identidad y calificacin del personal que realiza la
auditoria.
Relacin entre el auditor y la entidad auditada
Definir la relacin funcional del auditor con el rea objeto de la auditoria
Medidas a adoptar en caso de dictmenes no favorables.
Definir las acciones tomadas como resultado de las deficiencias
encontradas durante la evaluacin
Modalidad de comunicacin de informes de auditoria.
Definir quin tiene derecho de ver los resultados de la auditoria.
9.
REQUISITOS COMERCIALES Y LEGALES

9.1
ARANCELES
En esta seccin se especifican las tasas de registro vigentes para la
extensin. Renovacin y revocacin de certificados adems de las
promociones y ofertas de las tarifas a pagar por concepto de
aranceles
9.2
RESPONSABILIDAD FINANCIERA DEL PSC

En esta seccin se especifica la responsabilidad de recursos
disponibles de manera de apoyar el funcionamiento de sus
responsabilidades operacionales.
De Uso Pblico
DIRECTORIO
9.3

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 45 DE: 49
EDICIN N:4
FECHA: 01/2011
POLITICAS DE CONFIDENCIALIDAD
9.3.1 Informacin Confidencial

Se especificar la informacin considerada confidencial por el
Proveedor de Servicios de Certificacin tanto de la Autoridad
de Certificacin como por las Autoridades de Registro
vinculadas.
9.3.2 Informacin No Confidencial
Se especificar cul es la informacin no considerada
confidencial por el Proveedor de Servicios de Certificacin
operativamente
vinculadas.
Entre
otros
aspectos
comprender:
Contenido de los certificados y de las listas de certificados
revocados.
Informacin sobre personas fsicas o jurdicas que se
encuentre disponible en certificados o en directorios de
acceso pblico.
Polticas de Certificacin y Manual de Procedimientos del
Versiones pblicas de las Polticas de Seguridad del
9.3.3 Publicacin de Informacin sobre la Revocacin o Suspensin de
un Certificado
Se deber considerar la informacin sobre la revocacin o
suspensin de un certificado como informacin no confidencial.
9.3.4 Divulgacin de Informacin a Autoridades Judiciales
Se describirn las condiciones bajo las cuales los Proveedores
de Servicios de Certificacin debern revelar informacin
confidencial a autoridades judiciales.
9.4
PROTECCIN DE LA INFORMACIN PRIVADA/SECRETA
9.4.1 Informacin considerada privada .

Establecer los procesos de proteccin de la informacin
personalmente identificable como privada.
9.4.2 Informacin considerada no privada.
De Uso Pblico
DIRECTORIO
NORMA SUSCERTE

CERTIFICACIN
N: 022-01/11
PGINA: 46 DE: 49
EDICIN N:4
FECHA: 01/2011
Establecer los procesos de proteccin de la informacin

considerada como no privada.
9.4.3 Responsabilidad de proteger la informacin privada/secreta.
Establecer las obligaciones legales como PSC.
9.4.4 Consentimiento
privada/secreta.
previo
para
el uso de informacin
9.4.5 Comunicacin de la informacin a autoridades administrativas

y/o judiciales.
9.5
DERECHO DE PROPIEDAD INTELECTUAL

Se incluir especificaciones acerca de los derechos de propiedad
intelectual, derechos de autor y patentes relacionadas a los
documentos elaborados por los Proveedores de Servicios de
Certificacin, as como de nombres o claves criptogrficas y otras
herramientas, de acuerdo con la legislacin vigente.
9.6
REPRESENTACIONES Y GARANTIAS
Determinar los requisitos de las representaciones y garantas que
aparecen en ciertos acuerdos, tales como el suscriptor o acuerdos
entre las partes en que confan.
9.7 LIMITACIONES DE RESPONSABILIDAD

9.7.1 Deslinde de Responsabilidad
Definir la responsabilidad de cubrir los tipos de daos y
perjuicios recuperables.
9.7.2 Limitaciones de Prdidas.
Definir las limitaciones sobre la cobertura por certificado o por
transaccin.
9.8
PLAZO Y FINALIZACIN.
9.8.1 Plazo.
Determinar el periodo de tiempo en que una DPC y PC
permanecen vigentes.
9.8.2 Terminacin.
Definir las circunstancias en las cuales la DPC y PC, las partes
o su aplicabilidad dejan de ser permanecer en vigor.
9.10 MODIFICACIONES
Se establecern en est seccin los procedimientos para el
De Uso Pblico
DIRECTORIO

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 47 DE: 49
EDICIN N:4
FECHA: 01/2011
mantenimiento y administracin de la Poltica de Certificados.

9.10.1 Procedimientos de Cambio de Especificaciones.
Se establecern en est seccin los procedimientos utilizados
para efectuar modificaciones en la Poltica de Certificados.
Toda modificacin deber ser aprobada previamente por la
SUSCERTE.
9.10.2 Procedimientos de Publicacin y Notificacin.
Se describirn los mecanismos utilizados para notificar a los
suscriptores acerca de la Poltica de Certificados y de sus
modificaciones.
9.10.3 Procedimientos de Aprobacin.
En est seccin todas las Polticas de Certificados debern ser
sometida a aprobacin de la SUSCERTE durante el proceso
de Acreditacin.
Toda modificacin de la Poltica de Certificados deber ser
comunicada y aprobada por la SUSCERTE.
9.11 RESOLUCIN DE CONFLICTOS.
Se especifican todas las diferencias, desavenencias y/o controversias
que se produzcan entre las partes y adems se identificara el ente
que solucionara el conflicto y se establecer la Ley para est tipo de
casos, as mismo la Superintendencia de Servicios de Certificacin
Electrnica puede ser un mediador entre las partes en conflicto.
9.12 LEGISLACIN APLICABLE
Se establecer
la legislacin que respalda la interpretacin,
aplicacin y validez de la Declaracin de Prcticas de Certificacin y
Poltica de Certificados, debiendo indicar la Ley Sobre Mensaje de
Datos y Firma Electrnica, y otras norma complementarias dictada
por la Superintendencia de Servicios de Certificacin Electrnica.
10. OBLIGACIONES Y RESPONSABILIDAD CIVIL
10.1 OBLIGACIONES DEL PSC
Se especifican las obligaciones que debe tener el PSC ante el titular
del Certificado Electrnico, para garantizar la validez del certificado.
Como por ejemplo: Adoptar las medidas necesarias para determinar
la exactitud de los Certificados Electrnicos que identifiquen al
De Uso Pblico
DIRECTORIO

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 48 DE: 49
EDICIN N:4
FECHA: 01/2011
signatario o garantizar la validez, vigencia y legalidad del Certificado

Electrnico que proporcione.
Estas obligaciones se encuentran en el artculo 35 de la Ley Sobre
Mensajes de Datos y Firmas Electrnicas y otras que establezca la
Superintendencia de Servicios de Certificacin Electrnica.
Se especifican las obligaciones que tiene el PSC ante el titular del
Certificado Electrnico, para resguardar su identidad y se
compromete a cumplirlas. Por ejemplo: Almacenar de forma segura y
por un periodo razonable la documentacin aportada en el proceso
de emisin del certificado y en el proceso de suspensin/revocacin
del mismo.
10.2 OBLIGACIONES DEL SIGNATARIO
En esta seccin se enumeran detalladamente las obligaciones que
debe cumplir como titular de la firma electrnica, por ejemplo:
Almacenar y garantizar la seguridad de las claves criptogrficas de
firmas electrnicas .
10.3 OBLIGACIONES DE TERCEROS INTERESADOS
Se informarn las obligaciones de los terceros usuarios, incluyendo
como mnimo:
a)La obligatoriedad de aceptar los trminos de este documento.
b)La obligatoriedad de rechazar la utilizacin del certificado para fines
distintos a los preventivos en este documento.
c)La obligatoriedad de verificar la validez, revocacin o suspensin
del certificado utilizando la informacin de estado de revocacin
adecuada.
La falta de cumplimiento de estas obligaciones por parte del tercero
parte no exime las responsabilidades del certificado y del signatario
que pudieran resultar.
10.4 RESPONSABILIDAD DEL
CERTIFICACIN
PROVEEDOR DE SERVICIOS
DE
En est seccin se especifica de una manera sistemtica las

responsabilidades que tendr el Proveedor de Servicios de
Certificacin ante el titular del Certificado y adems establecer
algunas limitaciones.
10.5 RESPONSABILIDAD DEL SIGNATARIO
Se especificar en esta seccin la responsabilidad que tendr el
signatario con respecto a la seguridad de las claves privadas y el uso
De Uso Pblico
DIRECTORIO

CERTIFICACIN
NORMA SUSCERTE
N: 022-01/11
PGINA: 49 DE: 49
EDICIN N:4
FECHA: 01/2011
de los certificados.
10.6 RESPONSABILIDAD DE TERCEROS AUTORIZADOS
Se especifican las responsabilidades del usuario y riesgos derivados
de la aceptacin de un certificado sin haber realizado previamente la
preceptiva verificacin de su validez.
De Uso Pblico

Norma 22 2008 PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Norma 22 2008 PDF

Enviado por

Direitos autorais:

Formatos disponíveis

Signature Not

MODELO PARA LA DECLARACIN DE

MODELO PARA LA DECLARACIN DE PRCTICAS DE

MODELO PARA LA DECLARACIN DE

MODELO PARA LA DECLARACIN DE

MODELO PARA LA DECLARACIN DE

MODELO PARA LA DECLARACIN DE

1.OBJETO Y CAMPO DE APLICACIN

Titulo que otorga la Superintendencia de Servicios

MODELO PARA LA DECLARACIN DE

Transformacin matemtica que partiendo de un

Procedimiento usado para verificar que se estn

Caracterstica por la que se garantiza la identidad

Proceso utilizado para confirmar la identidad y

Proceso de autentificacin que

Tercera parte de confianza que acredita la conexin

Entidad autorizada por la AC para registrar a los

Certificado emitido por la Autoridad de Certificacin

En este certificado consta la clave pblica de la

Instrumento electrnico que autentica el vnculo

Mensaje de Datos proporcionado por un Proveedor

MODELO PARA LA DECLARACIN DE

Transformacin de un mensaje en otro, utilizando

Valor numrico que participa en un algoritmo para

Clave personal que no es conocida por el resto de

Es publicada, como parte de un certificado, para

Parte que asegura que la informacin slo puede

Significa que cada usuario tiene un registro de los

Mecanismo de control de acceso, en el cual se

Rama de las matemticas aplicadas que se ocupa

Documento en el cual el Proveedor de Servicios de

MODELO PARA LA DECLARACIN DE

Persona a quien va dirigido el Mensaje de Datos

Caracterstica tcnica y administrativa que previene

Representacin de un hecho, imagen o idea que sea

Lugar de direccin suministrado por PSC, donde

Persona que origina un Mensaje de Datos por s

Evaluacin pormenorizada de los aspectos tcnicos,

Informacin creada o utilizada por el Signatario,

Funciones matemticas que realizan un resumen del

Garanta de la exactitud de la informacin.

MODELO PARA LA DECLARACIN DE

Documento mantenido y publicado por una

Toda informacin inteligible en formato electrnico o

Combinacin de las claves de cifrado privada y

Proyecto y cronograma requerido por la SUSCERTE

Documento en el cual el Proveedor de Servicios de

Documento en el cual el Proveedor de Servicios de

MODELO PARA LA DECLARACIN DE

Documento que recoge todos los requisitos y

Personas dedicada a proporcionar Certificados

Caracterstica que garantiza que nadie salvo el

Decreto N 3.335 de fecha 12 de diciembre de 2004

Sistema de informacin utilizado para el

Negacin o intento de negacin de haber participado

Anulacin de la validez de un certificado de clave

Desarrollado por (Rivest, Shamir, Adleman.

Persona titular de una Firma Electrnica la cual se

Persona que presenta ante la SUSCERTE la

MODELO PARA LA DECLARACIN DE

Peticin dirigida a la SUSCERTE y que tiene por

Declaracin de Prcticas de Certificacin

Direccin de Registro y Acreditacin