Reglas Generales a las que deberán sujetarse los Prestadores de Servicios de Certificación.

• 17/08/2004
• México

Tweet

2.4.6.1. El Plan de Seguridad de Sistema incorporará: 2.4.6.1.1. La Política de Seguridad de la Información, seguridad organizacional, control y clasificación de activos, administración de operaciones y comunicaciones, control de accesos, desarrollo y mantenimiento de sistemas, seguridad del personal, seguridad ambiental y física que sean compatibles con los señalados por la norma ISO 17799; 2.4.6.1.2. Los mecanismos y procedimientos de seguridad propuestos que se aplicarán en todo momento; 2.4.6.1.3. La forma en que se garantizará el logro de los objetivos de la Política de Certificados y la Declaración de Prácticas de Certificación. En caso de claves criptográficas, la manera en que se efectuará su administración, y 2.4.6.1.4. Las medidas de protección del depósito público de certificados y de información privada obtenida durante el registro. 2.4.6.2. Implantación del Plan de Seguridad de Sistemas. 2.4.6.2.1. El Solicitante de Acreditación y el Prestador de Servicios de Certificación, verificarán que operaciones, procedimientos y mecanismos permitan alcanzar sus objetivos y lograr el riesgo mínimo determinado en el Análisis y Evaluación de Riesgos y Amenazas, así como los controles de los aspectos mencionados en el apartado 2.4.6.1.1. La capacidad de administrar las instalaciones debe ser acorde con el Plan de Seguridad de Sistemas. 2.4.6.2.2. La Implantación del Plan debe garantizar el logro de los objetivos de la Política de Certificados y la Declaración de Prácticas de Certificación, el cual debe de ser compatible por lo menos con las secciones 4 a 10 del estándar ISO 17799, o las que le sustituyan. 2.4.7. Estructura de Certificados. 2.4.7.1. La estructura de datos del Certificado debe ser compatible con el estándar ISO/IEC 9594-8; además de contener los datos que aparecen en el artículo 108 del Código de Comercio, para ser considerados como válidos. 2.4.7.2. Los algoritmos utilizados para la Firma Electrónica Avanzada deben ser compatibles con los estándares de la industria RFC 3280. Internet X509 Public Key Infraestructure Certificate and Certificate Revocation List (CRL) Profile (Obsoletes 2459), R. Housley, W. Polk, W. Ford, D. Solo, April 2002, o los que les sustituyan que provean un nivel adecuado de seguridad tanto para la firma del Prestador de Servicios de Certificación como del usuario. 2.4.7.3. En el caso de las claves utilizadas para la generación de una Firma Electrónica Avanzada, su tamaño deberá proveer el nivel de seguridad de 1024 bits para los usuarios y de 2048 bits para los Prestadores de Servicios de Certificación. Deberán utilizar funciones hash conforme a estándares de la industria, actuales y que provean el adecuado nivel de seguridad para este tipo de firmas tanto del Prestador de Servicios de Certificación como del usuario. 2.4.7.4. Contendrán referencia o información suficiente para identificar o localizar uno o más sitios de consulta donde se publiquen las notificaciones de revocación de los certificados y al menos los que indican estas Reglas Generales. 2.4.8. Estructura de la Lista de Certificados Revocados (LCR). 2.4.8.1. La estructura e información de la Lista de Certificados Revocados deberá ser compatible con la última versión del estándar ISO/IEC 9594-8 o la que le sustituya, e incluir por lo menos la siguiente información: 2.4.8.1.1. Número de serie de los certificados revocados por el emisor con fecha y hora de revocación; 2.4.8.1.2. La identificación del algoritmo de firma utilizado; 2.4.8.1.3. El nombre del emisor; 2.4.8.1.4. La fecha y hora en que fue emitida la Lista de Certificados Revocados; 2.4.8.1.5. La fecha en que emitirá la próxima Lista de Certificados Revocados que no podrá exceder de veinticuatro horas, con independencia de mantener el Protocolo de Estatus de Certificados en Línea (OCSP), y 2.4.8.1.6. La Lista de Certificados Revocados deberá ser firmada por el Prestador de Servicios de Certificación que la haya emitido, con sus Datos de Creación de Firma. 2.4.9. El solicitante de acreditación y el Prestador de Servicios de Certificación deberán señalar un sitio electrónico de alta disponibilidad con mecanismos redundantes o alternativos de conexión y de acceso público a través de Internet que permitirá a los usuarios consultar los certificados emitidos de forma remota, continua y segura compatible con el estándar ISO/IEC 9594-8 o el que le sustituya, a efecto de garantizar la integridad y disponibilidad de la información ahí contenida. En dicho sitio se incluirá la Política de Certificados y la Declaración de Prácticas de Certificación. 2.4.10. El solicitante de acreditación y el Prestador de Servicios de Certificación definirán procedimientos que informen de las características de los procesos de creación y verificación de Firma Electrónica Avanzada, así como aquellos que aplicarán para dejar sin efecto definitivo los certificados. 2.4.11. Política de Certificados 2.4.11.1. El solicitante de Acreditación y el Prestador de Servicios de Certificación deberán establecer una Política de Certificados conforme a la cual se establecerá la confianza del usuario en el servicio, que: 2.4.11.1.1. Asegure su concordancia con la Declaración de Prácticas de Certificación y los procedimientos operacionales; 2.4.11.1.2. Permita la interoperabilidad con los Prestadores de Servicios de Certificación ya acreditados y con la Secretaría de Economía; 2.4.11.1.3. Indique a quién se le puede otorgar un Certificado y cómo se aplicará el proceso de registro, y que se deberá verificar en forma fehaciente la identidad del usuario. Cuando se trate de un certificado que habrá de ser utilizado para generar Firma Electrónica Avanzada deberá describir la forma en que se precisarán los propósitos, objetivos y alcances del Certificado y sus limitaciones. Asimismo, se deberán describir las obligaciones que contrae el Prestador de Servicios de Certificación y el usuario en la emisión y utilización del Certificado; 2.4.11.1.4. Dé a conocer las medidas de privacidad y de protección de datos que se aplicarán en materia de Firma Electrónica Avanzada. La Política de Certificados será pública; 2.4.11.1.5. Deberá establecer bajo qué circunstancias se puede revocar un Certificado y quiénes pueden solicitarlo, y 2.4.11.1.6. Tendrá que ser compatible por lo menos con el estándar ETSI TS 102 042 o el que le sustituya. 2.4.12. Declaración de Prácticas de Certificación 2.4.12.1. En la Declaración de Prácticas de Certificación, que deberá elaborar y mantener actualizado el solicitante de acreditación y el Prestador de Servicios de Certificación, determinarán: 2.4.12.1.1. Los procedimientos de operación para otorgar certificados y el alcance de aplicación de los mismos; 2.4.12.1.2. Las responsabilidades y obligaciones del Prestador de Servicios de Certificación y de la persona a identificar. Particularmente desarrollará aquellas inherentes a la emisión, revocación y expiración de certificados; 2.4.12.1.3. La vigencia de los certificados. Y una vez otorgada la acreditación por la Secretaría, la fecha de inicio de operaciones; 2.4.12.1.4. Detalladamente el método de verificación de identidad del usuario que se utilizará para la emisión de los certificados; 2.4.12.1.5. Procedimientos de protección de confidencialidad de la información de los solicitantes; 2.4.12.1.6. Un procedimiento para registrar la fecha y hora de todas las operaciones relacionadas con la emisión de un Certificado y conservarlas de manera confiable; 2.4.12.1.7. Los procedimientos que se seguirán en los casos de suspensión temporal o definitiva del Prestador de Servicios de Certificación y la forma en que la administración de los certificados emitidos pasarán a la Secretaría o a otro Prestador de Servicios de Certificación, en el caso, de suspensión definitiva; 2.4.12.1.8. Las medidas de seguridad adoptadas para proteger sus Datos de Creación de Firma Electrónica; 2.4.12.1.9. Los controles que se utilizarán para asegurar que el propio usuario genere sus Datos de Creación de Firma Electrónica, autenticación de usuarios, emisión de certificados, revocación de certificados, auditoría y almacenamiento de información relevante, y 2.4.12.1.10. La Declaración de Prácticas de Certificación deberá ser compatible por lo menos con el estándar ETSI TS 102 042 y el RFC 3647 o el que le sustituya. 2.4.13. Modelo Operacional de la Autoridad Certificadora; 2.4.13.1. El solicitante de acreditación y el Prestador de Servicios de Certificación deberán definir su Modelo Operacional de la Autoridad Certificadora conforme al cual operará y prestará sus servicios al fungir como autoridad certificadora a efecto de lograr confiabilidad e interoperabilidad, que desarrollará los apartados siguientes: 2.4.13.1.1. Cuáles son los servicios prestados; 2.4.13.1.2. Cómo se interrelacionan los diferentes servicios; 2.4.13.1.3. En qué lugares se operará; 2.4.13.1.4. Qué tipos de certificados se entregarán; 2.4.13.1.5. Si se generarán certificados con diferentes niveles de seguridad; 2.4.13.1.6. Cuáles son las políticas y procedimientos de cada tipo de certificado, y 2.4.13.1.7. Cómo se protegerán los activos. 2.4.13.2. El Modelo Operacional de la Autoridad Certificadora deberá contener un resumen que incluya: 2.4.13.2.1. Contenido del documento; 2.4.13.2.2. La historia del posible Prestador de Servicios de Certificación, y 2.4.13.2.3. Relaciones comerciales con proveedores de insumos o servicios para sus operaciones. 2.4.13.3. El Modelo Operacional de la Autoridad Certificadora deberá comprender los siguientes aspectos: 2.4.13.3.1. Interfaces con las Autoridades Registradoras; 2.4.13.3.2. Implementación de elementos de seguridad; 2.4.13.3.3. Procesos de administración; 2.4.13.3.4. Sistema de directorios para los certificados; 2.4.13.3.5. Procesos de auditoría y respaldo, y 2.4.13.3.6. Bases de Datos a utilizar. 2.4.13.4. El Modelo Operacional de la Autoridad Certificadora deberá considerar la Política de Certificados, la Declaración de Prácticas de Certificación, la Política de Seguridad de la Información y el Plan de Seguridad de Sistemas por lo que se refiere a la generación de claves. 2.4.13.5. El Modelo Operacional de la Autoridad Certificadora deberá incluir los requerimientos de seguridad física del personal, de las instalaciones y del módulo criptográfico. 2.4.14. Modelo Operacional de la Autoridad Registradora. 2.4.14.1. El solicitante de acreditación y el Prestador de Servicios de Certificación deberán definir su Modelo Operacional de la Autoridad Registradora conforme al cual operará y prestará sus servicios con su autoridad registradora a efecto de lograr confiabilidad e interoperabilidad, que desarrollará los apartados siguientes: 2.4.14.1.1 Cuáles son los servicios de registro que se prestarán; 2.4.14.1.2 En qué lugares se ofrecerán dichos servicios, y 2.4.14.1.3 Qué tipos de certificados generados por la Autoridad Certificadora se entregarán. 2.4.14.2. El Prestador de Servicios de Certificación deberá ofrecer los mecanismos para que el propio usuario genere en forma privada y segura sus Datos de Creación de Firma Electrónica. Deberá indicar al usuario el grado de fiabilidad de los mecanismos y dispositivos utilizados. 2.4.14.3. El Modelo Operacional de la Autoridad Registradora deberá comprender los siguientes aspectos: 2.4.14.3.1. Interfaces con Autoridad Certificadora; 2.4.14.3.2. Implementación de dispositivos de seguridad; 2.4.14.3.3. Procesos de administración; 2.4.14.3.4. Procesos de auditoría y respaldo; 2.4.14.3.5. Bases de Datos a utilizar; 2.4.14.3.6. Privacidad de datos, y 2.4.14.3.7. Descripción de la seguridad física de las instalaciones 2.4.14.4. El Modelo Operacional de la Autoridad registradora deberá establecer el método para proveer de una identificación unívoca del usuario y el procedimiento de uso de los Datos de Creación de Firma Electrónica. 2.4.15. Plan de Administración de Claves. 2.4.15.1. El solicitante de acreditación y el Prestador de Servicios de Certificación deberán definir su Plan de Administración de Claves conforme al cual generará, protegerá y administrará sus claves criptográficas, respecto de los apartados siguientes: 2.4.15.1.1. Claves de la Autoridad Certificadora; 2.4.15.1.2. Almacenamiento, respaldo, recuperación y uso de los Datos de Creación de Firma Electrónica de la Autoridad Certificadora del Prestador de Servicios de Certificación; 2.4.15.1.3. Distribución del certificado de la Autoridad Certificadora; 2.4.15.1.4. Administración del ciclo de vida del hardware criptográfico que utilice la Autoridad Certificadora, y 2.4.15.1.5. Dispositivos seguros para los usuarios. 2.4.15.2. Los procedimientos implantados de acuerdo al Plan de Administración de Claves, deberán garantizar la seguridad de las claves en todo momento, aun en caso de cambios de personal, componentes tecnológicos, y demás que señalan las presentes Reglas Generales. 2.4.15.3. El Plan de Administración de Claves deberá establecer como requerimiento mínimo el utilizar aquellas con longitud de 1024 bits para los usuarios y de 2048 bits para los Prestadores de Servicios de Certificación. 2.4.15.4. El Prestador de Servicios de Certificación, su autoridad certificadora y registradoras, utilizarán dispositivos seguros para almacenar sus Datos de Creación de Firma Electrónica, compatibles como mínimo con el estándar FIPS-140 nivel 3 en sus elementos de seguridad e implantación de los algoritmos criptográficos estándares, o el que le sustituya. 2.4.15.5. El Plan de Administración de Claves tendrá que ser compatible por lo menos con el estándar ETSI TS 102 042 sección 7.2 -Generación de la clave de la Autoridad Certificadora, Almacenamiento, Respaldo y Recuperación de la clave de la Autoridad Certificadora, Distribución de la clave pública de la Autoridad Certificadora, uso de clave de la Autoridad Certificadora, fin del ciclo de vida de la clave de la Autoridad Certificadora y Administración del ciclo de vida del Hardware criptográfico-, o el que le sustituya. 2.5. El Solicitante de Acreditación y el Prestador de Servicios de Certificación, deberán proporcionar a la Secretaría, la cocumentación con la que acredite el cumplimiento de los requisitos previstos en el Código, el Reglamento o en las presentes Reglas Generales conforme a lo siguiente: 2.5.1. Tratándose de documentos públicos en copia certificada o en copia simple con el original para cotejo, o 2.5.2. Tratándose de documentos privados en copia simple, y 2.5.3. Una copia en disco compacto de toda la documentación presentada. 3. Para los efectos del artículo 102, inciso A), fracción V del Código,las condiciones a que se sujetará la fianza que otorgarán los solicitantes que obtengan su acreditación en términos del artículo anterior, previo al inicio del ejercicio de sus funciones como Prestadores de Servicios de Certificación, serán conforme a lo siguiente: 3.1. Una vez resuelta la procedencia de la solicitud de acreditación, en términos de la fracción IV del artículo 7 del Reglamento, el interesado deberá presentar la fianza de compañía debidamente autorizada a favor de la Tesorería de la Federación, en el término establecido en el artículo 8 del mencionado Reglamento: 3.1.1. Tratándose de un notario o corredor públicos, por un monto equivalente a cinco mil veces el salario mínimo general diario vigente en el Distrito Federal; 3.1.2. Tratándose de personas morales de carácter privado o instituciones públicas, por el monto resultante de multiplicar cinco mil veces el salario mínimo general diario vigente en el Distrito Federal por cada persona física de su personal, o integrante de una persona moral distinta que se contemple para efectos del artículo 104 fracción I del Código dentro de la acreditación para prestar el servicio de certificación en nombre y por cuenta del solicitante conforme al artículo 104 fracción I del Código; 3.2. Cuando la fianza tenga que ser otorgada por un notario o corredor público, la Secretaría podrá acordar que se otorgue de manera solidaria por parte de los colegios o agrupaciones de notarios o corredores públicos. 4. Para los efectos del artículo 10 del Reglamento, la Secretaría a través de sus servidores públicos comprobarán la identidad del solicitante de acreditación o del Prestador de Servicios de Certificación o su representante, utilizando cualquiera de los medios admitidos en derecho. 4.1. Tratándose de la identificación del representante de un Prestador de Servicios de Certificación que sea persona moral privada o institución pública, éste deberá acreditar su personalidad y la legal existencia de su representado a la Secretaría. 4.2. El Prestador de Servicios de Certificación generará sus Datos de Creación de Firma Electrónica, en el nivel de seguridad más alto de sus instalaciones, a fin de dar certeza y seguridad a todos los elementos necesarios para la creación de los mismos y bajo la supervisión de la Secretaría, en dicha generación se podrá utilizar cualquier tecnología por lo que el procedimiento técnico variará de acuerdo a la que se utilice, lo anterior a fin de cumplir con el principio de neutralidad tecnológica. 5. Para los efectos de los artículos 113 del Código y 16 del Reglamento, el procedimiento para obtener la copia de cada Certificado generado por un Prestador de Servicios de Certificación, será mediante envío en línea de cada Certificado a la Secretaría, lo cual será en tiempo real, es decir, se enviará una copia de cada certificado inmediatamente después del momento de expedición de los Certificados generados por el Prestador de Servicios de Certificación en su autoridad certificadora. 5.1. En el caso que el Prestador de Servicios de Certificación por caso fortuito o de fuerza mayor debidamente comprobado a la Secretaría, no pudiese llevar a cabo el envío a que se refiere el apartado anterior, el Prestador de Servicios de Certificación deberá hacer la réplica por cualquier medio en un término no mayor a seis horas. 5.2. Además del envío en línea de la copia de los Certificados, el Prestador de Servicios de Certificación remitirá dicha copia a la Secretaría en medios ópticos o electrónicos dentro de las veinticuatro horas siguientes a la generación de los Certificados, a fin de garantizar redundancia del procedimiento técnico descrito en el apartado 5 anterior de estas Reglas Generales. 5.3. El Prestador de Servicios de Certificación deberá cerciorarse que la Secretaría recibió la copia de cada certificado. 6. Para los efectos del artículo 108 fracción III del Código y 17 fracción III del Reglamento, los datos de acreditación ante la Secretaría observarán los siguientes elementos. 6.1. El Certificado emitido por el Prestador de Servicios de Certificación debe contener los datos que aparecen en el artículo 108 del Código de Comercio, para ser considerado válido. 6.2. Los certificados emitidos por el Prestador de Servicios de Certificación deberán contener la dirección electrónica de la Secretaría, en donde se podrá consultar la Lista de los Certificados Revocados de Prestadores de Servicios de Certificación. 7. Para los efectos del artículo 108 fracción VI del Código y 18 del Reglamento, la fecha y hora de emisión del Certificado se determinará conforme a lo siguiente: 7.1. El Prestador de Servicios de Certificación deberá llevar un registro del Sistema de Sello o Estampado de Tiempo que se sincronizará con el de la Secretaría, para asegurar la fecha y la hora de la emisión de los certificados generados por el Prestador de Servicios de Certificación. 7.2. El Sistema de Sello o Estampado de Tiempo deberá cumplir por lo menos con el estándar internacional Internet X.509 Public Key Infrastructure Time Stamp y considerar el RFC 3161. 7.3. El Prestador de Servicios de Certificación deberá asegurar en todo momento el enlace del Sistema de Sello o Estampado de Tiempo con el de la Secretaría. 7.4. El Sistema de Sello o estampado de tiempo podrá ser del propio Prestador de Servicios de Certificación o de una persona física o moral que lo lleve en nombre y por cuenta del Prestador de Servicios de Certificación. 8. Para efectos del artículo 19 del Reglamento, la Secretaría verificará que los Prestadores de Servicios de Certificación cumplan con la estructura de certificados referida en las presentes Reglas Generales en los apartados 2.4.7. al 2.4.7.4., así como con los estándares internacionales, el Código de Comercio, el Reglamento y estas Reglas Generales, con el objetivo de asegurar que los certificados emitidos por los Prestadores de Servicios de Certificación, en ningún caso, contengan elementos que puedan generar confusión en la Parte que Confía. 9. Para los efectos del artículo 104 fracción IV del Código de Comercio, los casos en que estará a disposición el contenido privado del Registro de Certificados de un Prestador de Servicios de Certificación se sujetarán a lo dispuesto por la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental. 10. El Prestador de Servicios de Certificación que en términos del artículo 104 fracción VI, quiera cesar de manera voluntaria su actividad, previo pago de derechos tiene que informar el motivo de dicho cese con cuarenta y cinco días de anticipación a la Secretaría a efecto de que la misma se cerciore que se ha cumplido con lo establecido en el artículo 16 del Reglamento y el apartado 5, 5.1 y 5.2 de las presentes Reglas Generales. 11. Abreviaturas utilizadas en las presentes Reglas Generales. 11.1 GIAC-Global Information Assurance Certification. 11.2 GGSC GIAC Gold Standard Certificates. 11.3 GSLC-GIAC Security Leadership Certificat. 11.4 CISSP-Certified Information Systems Security Professionals. 11.5 SSCP-System Security Certified Practitioner. 11.6 ISO-International Organization for Standardization. 11.7 ETSI TS-European Telecommunications Standards Institute. 11.8 EIA/TIA-Electronic Industries Alliance/Telecommunications Industry Association. 11.9 ISO/IEC-International Organization for standardization/International Electrotechnical Commission. 11.10 NIST-National Institute of Standards and Technology. 11.11 ACSI-Australian Communications Electronic Security Instruction. 11.12 LCR-Lista de Certificados Revocados. 11.13 LDAP-Protocolo de Acceso de Directorio de Peso ligero. 11.14 OCSP-Protocolo de Estatus de Certificados en Línea. 11.15 FIPS-Federal Information Processing Standards. 11.16 RFC-Request for Comments. 11.17 TCP/IP Transmission Control Protocol/Internet Protocol. 11.18 IPSEC-Internet Protocol Security. TRANSITORIOS PRIMERO.- Las presentes Reglas entrarán en vigor al día siguiente de su publicación en el Diario Oficial de la Federación. SEGUNDO.- Estas Reglas estarán sujetas a cambios y a una revisión anual de la Secretaría de Economía, debido a los constantes cambios en la industria, a los estándares, normas y criterios internacionales reconocidos para prestar el servicio de certificación. México, D.F., a 4 de agosto de 2004.- El Secretario de Economía, Fernando de Jesús Canales Clariond.- Rúbrica.