Reglas Generales a las que deberán sujetarse los Prestadores de Servicios de Certificación.

• 17/08/2004
• México

Tweet

Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- Secretaría de Economía. FERNANDO DE JESUS CANALES CLARIOND, Secretario de Economía, con fundamento en lo dispuesto por los artículos 102 inciso A) fracción V, 104 fracciones IV y VI, 105 y 113 del Código de Comercio, artículos 2o., 3o. primer párrafo, 4o. fracciones IV y V, 5o. segundo párrafo, 6o. segundo párrafo,9o., 10 fracción III, 11, 12, y 16 fracción III del Reglamento del Código de Comercio en materia de Prestadores de Servicios de Certificación, y CONSIDERANDO Que el Plan Nacional de Desarrollo 2001-2006 establece que dentro del proceso de globalización corresponde al Estado promover las condiciones para la inserción competitiva de México en el nuevo orden económico mundial. Por lo que se promoverán todas las reformas necesarias para que la economía funcione mejor, los mercados sean más eficaces y se reduzca el poder de mercado de monopolios y oligopolios. Asimismo se buscará aumentar y extender la competitividad del país, la competitividad de las empresas, la competitividad de las cadenas productivas y la competitividad de las regiones. Lo anterior implica regulación apropiada, disponibilidad oportuna y eficaz de infraestructura económica para el desarrollo, fomento de capacidades para el trabajo productivo de clase mundial, desarrollo tecnológico y científico para la nueva economía; todo ello en el marco de una moderna cultura laboral y empresarial; Que el Decreto por el que se reforman y adicionan diversas disposiciones del Código de Comercio en Materia de Firma Electrónica, publicado en el Diario Oficial de la Federación el 29 de agosto de 2003, en el capítulo III que se adiciona denominado: "De los Prestadores de Servicios de Certificación", determina que la Secretaría de Economía coordinará y actuará como autoridad certificadora, y registradora, respecto de los Prestadores de Servicios de Certificación a los que se refiere dicho capítulo, en ese mismo capítulo se señala que la Secretaría de Economía tiene que determinar algunos de los requisitos y obligaciones solicitados en el Código de Comercio, y Que el Reglamento del Código de Comercio en materia de Prestadores de Servicios de Certificación, publicado en el Diario Oficial de la Federación el 19 de julio de 2004, señala que los elementos humanos, materiales, económicos y tecnológicos, así como el monto y condiciones de la fianza y demás procedimientos con los que tiene que cumplir el Prestador de Servicios de Certificación, serán determinados por la Secretaría de Economía, he tenido a bien expedir las siguientes: REGLAS GENERALES A LAS QUE DEBERAN SUJETARSE LOS PRESTADORES DE SERVICIOS DE CERTIFICACION 1. En la aplicación de las presentes Reglas Generales se estará a las definiciones a que se refiere el artículo 89 del Código de Comercio y se entenderá por Reglamento al Reglamento del Código de Comercio en materia de Prestadores de Servicios de Certificación. 2. Conforme a lo dispuesto por el artículo 102 inciso A) fracciones II y III del Código de Comercio y la fracción III del artículo 5 del Reglamento, la Secretaría tendrá por satisfechos los elementos humanos, materiales, económicos y tecnológicos y procedimientos a que se refieren dichas disposiciones, por parte de un Solicitante de Acreditación como Prestador de Servicios de Certificación, en adelante el Solicitante de Acreditación, y por un Prestador de Servicios de Certificación ya acreditado, en los términos siguientes: 2.1.- Elementos humanos Los profesionales jurídico e informático, serán responsables de aprobar el plan de continuidad del negocio que señalan las presentes Reglas Generales. El grado académico, los cursos con los que deben contar los profesionales jurídico, informático, así como el personal auxiliar del profesional informático y los requisitos que deben cumplir serán al menos los siguientes: 2.1.1. El profesional jurídico deberá: 2.1.1.1. Ser licenciado en derecho o abogado con título y cédula profesional registrados en la Secretaría de Educación Pública; 2.1.1.2. Demostrar al menos dos años de experiencia en materia notarial o de correduría pública, o en materia mercantil y servicios, procedimientos o actividades relacionadas con la acreditación de la personalidad; 2.1.1.3. Acreditar al menos un año de experiencia comprobable en actividades relacionadas con cualquier área del derecho informático o comercio electrónico; 2.1.1.4. Cumplir con el requisito establecido en el artículo 102 inciso A) fracción IV del Código de Comercio y el artículo 5 fracción V del Reglamento; 2.1.1.5. Comprobar que conoce la operación como usuarios de los sistemas informáticos que habrá de utilizar el Solicitante de Acreditación y el Prestador de Servicios de Certificación, y 2.1.1.6. Solicitud de examen para encargado de identificación correspondiente, mismo que aplicará la Secretaría dentro de los cuarenta y cinco días siguientes a la presentación de la solicitud del Solicitante de Acreditación, previa notificación de fecha, hora y lugar en el que se aplicará el mismo. 2.1.1.7. Los requisitos de los apartados del 2.1.1.2. al 2.1.1.5. podrán acreditarse con declaración ante fedatario público en la cual el profesionista jurídico manifieste bajo protesta de decir verdad y advertido de las penas en que incurren los que declaran falsamente ante una autoridad distinta a la judicial, que cumple con cada uno de los requisitos y que incluya los datos de las empresas o instituciones y fechas en las que adquirió la experiencia, sus cargos y las actividades y funciones desempeñadas. 2.1.2. El profesional informático deberá: 2.1.2.1. Ser licenciado o ingeniero en área Informática o afín, con título y cédula profesional registrados en la Secretaría de Educación Pública; 2.1.2.2. Comprobar al menos dos años de experiencia en el campo de seguridad informática con declaración ante fedatario público en la cual el profesionista informático manifieste bajo protesta de decir verdad y advertido de las penas en que incurren los que declaran falsamente ante una autoridad distinta a la judicial, que cumple con la misma y que incluya los datos de las empresas o instituciones y fechas en las que adquirió la experiencia, sus cargos y las actividades y funciones desempeñadas. Además, deberá contar con diploma en seguridad informática o, en su caso, tener alguna certificación en esta área como: "GIAC Gold Standard Certificates (GGSC), GIAC Security Leadership Certificate (GSLC), CISSP Certification y SSCP Certification" o equivalentes, y 2.1.2.3. Cumplir con el requisito establecido en el artículo 102 inciso A)fracción IV del Código de Comercio y el artículo 5 fracción V del Reglamento. 2.1.3. El Personal Auxiliar del Profesional Informático estará conformado por: 2.1.3.1. Un Oficial de Seguridad; 2.1.3.2. Un administrador de sistemas; 2.1.3.3. Un operador de sistemas; 2.1.3.4. Un administrador de bases de datos, y 2.1.3.5. Un administrador de redes. 2.1.3.6. El personal indicado en los apartados 2.1.3.2 a 2.1.3.5 deberán: 2.1.3.6.1. Ser técnico, licenciado o ingeniero en área Informática o afín; 2.1.3.6.2. Tener experiencia comprobable en el área de informática de cuando menos cuatro años, con declaración ante fedatario público en la cual el personal auxiliar del profesionista informático, a excepción del Oficial de Seguridad manifiesten cada uno bajo protesta de decir verdad y advertido de las penas en que incurren los que declaran falsamente ante una autoridad distinta a la judicial, que cumple con la misma y que incluya los datos de las empresas o instituciones y fechas en las que adquirió la experiencia, sus cargos y las actividades y funciones desempeñadas, así como las cartas de las empresas o instituciones públicas en donde la haya adquirido; 2.1.3.6.3. Comprobar experiencia en el campo de la seguridad informática de cuando menos dos años, con declaración ante fedatario público en la cual el personal auxiliar del profesionista informático, a excepción del Oficial de Seguridad manifiesten cada uno bajo protesta de decir verdad y advertido de las penas en que incurren los que declaran falsamente ante una autoridad distinta a la judicial, que cumple con la misma y que incluya los datos de las empresas o instituciones y fechas en las que adquirió la experiencia, sus cargos y las actividades y funciones desempeñadas, así como las cartas de las empresas o instituciones públicas en donde la haya adquirido. 2.1.3.6.4. Acreditar al menos una certificación en manejo de software o hardware referente a seguridad informática. 2.1.3.7. El Oficial de Seguridad será responsable del diseño, implantación, cumplimiento de los procedimientos y prácticas de seguridad en las instalaciones y deberá acreditar: 2.1.3.7.1. Los requisitos exigidos en el apartado 2.1.2. 2.1.3.8. A partir del inicio de operaciones en los términos previstos por el Reglamento, el Prestador de Servicios de Certificación deberá contar y notificar a la Secretaría, en un plazo no mayor a seis meses, que cuenta con la totalidad del personal auxiliar del profesional informático, salvo el caso del Oficial de Seguridad que deberá estar designado desde el momento de la solicitud de acreditación y podrá ser el propio Profesional Informático. 2.1.4. La Secretaría, a efecto de verificar los conocimientos y habilidades de los elementos humanos de un solicitante de acreditación o de un Prestador de Servicios de Certificación, podrá requerir los exámenes que se hayan aplicado a dicho personal. Asimismo, en el caso del profesional informático y sus auxiliares se constatará que la elaboración y alcance de dichos exámenes sea compatible con el estándar ISO 17799,además en el caso del Oficial de Seguridad deberá ser compatible con el estándar ETSI TS 102 042. 2.1.5. El Solicitante de Acreditación y el Prestador de Servicios de Certificación, presentará y mantendrá actualizado ante la Secretaría, el procedimiento que utilizarán para reclutar, seleccionar, evaluar y contratar al personal a que se refieren las presentes Reglas Generales, el cual deberá describir la forma de corroborar los antecedentes del personal antes de contratarlo. 2.1.6. El Prestador de Servicios de Certificación deberá suscribir con el personal que maneje información confidencial un contrato de confidencialidad que se extienda más allá de la vigencia del contrato laboral del empleado o de servicios en caso de una empresa externa. 2.2.- Elementos Materiales y sus procedimientos: En atención al dinamismo del avance tecnológico y la necesidad de preservar la seguridad física y lógica en la prestación del servicio de certificación, los elementos materiales que deberán estar en disposición del Solicitante de Acreditación y del Prestador de Servicios de Acreditación y los procedimientos aplicables en este ámbito, deberán contener como mínimo las características siguientes: 2.2.1. Las áreas y los servicios en los cuales se maneja información confidencial requerirán procedimientos de controles de acceso, deberán estar supervisados continuamente, a efecto de reducir al mínimo los riesgos. 2.2.2. Las implantaciones de los controles deberán evitar riesgo, daño o pérdida, de los activos, alteración o sustracción de información. 2.2.3. Los accesos físicos a las áreas de generación de certificados, gestión de revocación de certificados y área de residencia de servidores, deberán estar protegidas con puertas y muros sólidos y firmes, chapas seguras, controles de acceso, sistemas de extinción de incendios y alarmas de seguridad, y se encontrarán limitados sólo al personal autorizado mediante controles de autenticación de por lo menos dos factores para asegurar que no habrán accesos no autorizados. Los servicios compartidos por otra entidad distinta al Prestador de Servicios de Certificación o por personal de éste no dedicado al servicio de certificación, deberán estarmfuera del perímetro de seguridad. 2.2.4. El acceso de visitas a las áreas con información confidencial deberá ser autorizado por el Oficial de Seguridad. El visitante deberá portar una credencial en todo momento para identificarse. Se deberá registrar toda actividad que realice el visitante con la fecha y hora de ingreso y salida. 2.2.5. Un documento que se denominará "Política de Seguridad Física", a que se sujetará la prestación del servicio, el cual será presentado por el Solicitante de Acreditación con su solicitud y que el Prestador de Servicios de Certificación deberá mantener actualizado. El documento denominado "Política de Seguridad Física" deberá contemplar y desarrollar por lo menos los siguientes aspectos: 2.2.5.1. Control de acceso físico; 2.2.5.2. Protección y recuperación ante desastres; 2.2.5.3. Protecciones contra robo, forzamiento y entrada no autorizada a los espacios físicos; 2.2.5.4. Medidas de protección en caso de incendio, contra fallas de servicios eléctricos o de telecomunicaciones, y 2.2.5.5. Un procedimiento de actualización para autorización de acceso al personal a las áreas restringidas. 2.2.6. Las áreas seguras deben ser oficinas cerradas dentro del perímetro de seguridad física, contener mobiliario con gabinetes y chapas seguras. 2.2.7. Para la selección y el diseño de áreas seguras se debe tomar en cuenta la posibilidad de daños por fuego, sismo, inundación, explosiones, desórdenes civiles, y otras formas de desastres naturales y causadas por el hombre. 2.2.8. Todos los servicios claves deberán situarse alejados de las áreas de acceso y atención al público. 2.2.9. Los dispositivos como fax y fotocopiadoras deberán ubicarse dentro de las áreas seguras que así lo requieran, siempre bajo control para no comprometer la seguridad ni la confidencialidad de la información. 2.2.10. Todo material de desecho deberá ser destruido sin posibilidad de recuperación antes de desecharlo. 2.2.11. Las puertas y ventanas deberán estar siempre cerradas y aseguradas, instalando protecciones internas o externas en las mismas. 2.2.12. Deberá contarse con sistemas de detección de intrusión física en puertas y ventanas del perímetro de seguridad. Aquellas salas desocupadas que estén dentro del perímetro de seguridad, deberán tener activado el sistema de detección de intrusos todo el tiempo. 2.2.13. La gestión de los servicios de procesamiento de información deberá estar físicamente separada del resto de los servicios. 2.2.14. Deberán establecerse procedimientos y prácticas de seguridad para el personal dentro del perímetro de seguridad, que contemplen por lo menos lo siguiente: 2.2.14.1. El personal deberá conocer y entender los procedimientos y prácticas de seguridad dentro del perímetro de seguridad; 2.2.14.2. Las áreas vacías deberán cerrarse y revisarse periódicamente llevando una bitácora detal revisión; 2.2.14.3. El personal de soporte que no es parte del personal del Solicitante de Acreditación o del Prestador de Servicios de Certificación, deberá acceder a las áreas restringidas sólo en caso necesario y si es autorizado por el Profesional Informático o el Oficial de Seguridad, además de ser acompañado por personal que sí lo esté; 2.2.14.4. No se deberá permitir dentro del perímetro de seguridad equipo de grabación, audio o video, con excepción del propio equipo de seguridad; y de comunicaciones. 2.2.14.5. Las actividades sin supervisión dentro de las áreas seguras deberán definirse para evitar problemas de seguridad, y prevenir actividades contrarias al servicio; 2.2.14.6. La recepción de insumos y la salida de basura deberán estar controladas y separadas del área de procesamiento de la información, para evitar accesos no autorizados; 2.2.14.7. Los requerimientos de seguridad para las áreas de atención a clientes se determinarán a partir del Análisis y Evaluación de Riesgos y Amenazas a que se refieren las presentes Reglas Generales; 2.2.14.8. El personal que acceda a las áreas externas de recepción de insumos y de desechos deberá estar controlado. Se deberá contar con los mecanismos que impidan que el personal no autorizado acceda a través de estas áreas al perímetro de seguridad; 2.2.14.9. Los procedimientos y prácticas para inspeccionar el material que ingrese, en busca de potenciales peligros antes de ser trasladados desde las áreas externas a las áreas de uso; 2.2.14.10. El equipo instalado deberá estar protegido para reducir las amenazas; 2.2.14.11. Contar con respaldo de sistemas no interrumpible de energía eléctrica, y con planta de energía eléctrica de emergencia para asegurar la continuidad del servicio de certificación; 2.2.14.12. El cableado eléctrico y de datos de los servicios de información confidencial deberá ser compatible con los estándares vigentes en la materia y protegidos contra daños e intervenciones; 2.2.14.13. Las líneas eléctricas no deberán interferir el funcionamiento del cableado de datos; 2.2.14.14. Contar con el personal o los contratos de mantenimiento requerido para garantizar la continua disponibilidad e integridad de los equipos, de acuerdo a las especificaciones y periodos recomendados por los fabricantes; 2.2.14.15. Evitar que equipos, información y software salgan de los perímetros de seguridad sin autorización. 2.2.14.16. Evitar que el equipo portátil contenga información confidencial. Si hay alguna razón que justifique equipos portátiles que contengan información confidencial o procesos críticos de la operación o información de los usuarios de los certificados, éstos nunca deberán salir del perímetro de seguridad designado; 2.2.14.17. Evitar que los equipos sean reutilizados o queden en desuso conteniendo información confidencial; 2.2.14.18. Los discos duros, disquetes y demás medios de almacenamiento de información magnético u óptico que ya no se utilicen deberán ser destruidos antes de salir del perímetro de seguridad; 2.2.14.19. Establecer un mecanismo para registrar el mal funcionamiento, fallas, mantenimientos preventivos y correctivos, de los equipos sensibles para la operación del servicio; 2.2.14.20. Adoptar la política de "escritorio limpio y pantalla limpia" enfocados a evitar riesgos de acceso no autorizado, pérdidas o daños a la información durante o fuera del horario de trabajo, y 2.2.15. La Seguridad Física propuesta por el Solicitante de Acreditación y el Prestador de Servicios de Certificación, deberá ser compatible con las normas y criterios internacionales y al menos con el estándar ETSI TS 102 042 -sección 7.4.4 Physical and Environment security- e ISO/IEC 17799 sección 7. 2.3.- Elementos económicos: Los elementos económicos con que deberá contar el Solicitante de Acreditación y el Prestador de Servicios de Certificación comprenderán al menos: 2.3.1. El seguro, cuyo monto aplicable para cada año será determinado por la Secretaría con base en un análisis de las operaciones comerciales y mercantiles en las que sean utilizados los Certificados, monto que se dará a conocer mediante publicación en el Diario Oficial de la Federación. 2.4.- Elementos tecnológicos y sus procedimientos. Los elementos tecnológicos y sus procedimientos garantizarán la continuidad del servicio, por lo que deberán ser compatibles con las normas y criterios internacionales, en atención a lo siguiente: 2.4.1. Análisis y Evaluación de Riesgos y Amenazas. El Solicitante de Acreditación o el Prestador de Servicios de Certificación deberá elaborar un documento denominado Análisis y Evaluación de Riesgos y Amenazas, en el que desarrolle los apartados y aspectos que a continuación se indican: 2.4.1.1. Realizar un estudio que identifique los riesgos e impactos que existen sobre las personas y los equipos, así como recomendaciones de medidas para reducirlos; 2.4.1.2. Implementación de medidas de seguridad para la disminución de los riesgos detectadoso riesgos mínimos; 2.4.1.3. Proceso de evaluación continua para adecuar la valoración de riesgos a condiciones cambiantes del entorno, y 2.4.1.4. Determinar un proceso equivalente o adoptar el descrito en los documentos siguientes: "Risk Management Guide for Information Technology Systems, Special Publication 800-30. Recommendations of the National Institute of Standards and Technology, October 2001", "Handbook 3, Risk Management, Version 1., Australian Communications Electronic Security Instruction 33 (ACSI 33)", o aquellos que les sustituyan. 2.4.2. Infraestructura informática: Deberá incluir al menos lo siguiente: 2.4.2.1. Una Autoridad Certificadora; 2.4.2.2. Una Autoridad Registradora; 2.4.2.3. Depósitos para: Datos de Creación de Firma Electrónica del Prestador de Servicios de Certificación y su respaldo, certificados y Listas de Certificados Revocados (LCR) basadas en un serviciode Protocolo de Acceso de Directorio de Peso ligero (LDAP) o equivalente y un Protocolo de Estatus de Certificados en Línea (OCSP); 2.4.2.4. Los procesos de administración de la Infraestructura; 2.4.2.5. Un manual de Política de Certificados; 2.4.2.6. Una Declaración de Prácticas de Certificación, y 2.4.2.7. Los manuales de operación de las Autoridades Certificadora y Registradora. 2.4.3. Equipo de cómputo y software: 2.4.3.1. Por lo menos un servidor de misión crítica para la Autoridad Certificadora y la Autoridad Registradora, contemplando otro servidor de las mismas características para redundancia por seguridad. 2.4.3.2. Un servidor de misión crítica, contemplando redundancia por seguridad, para LDAP, LCR y OCSP. 2.4.3.3. Una computadora para almacenar el sistema de administración de la Infraestructura que se opera. 2.4.3.4. Un Sistema de Sello o Estampado de Tiempo, para insertar fecha y hora de emisión de los certificados, con las especificaciones y en los términos del apartado 7 de las presentes Reglas. 2.4.3.5. Un dispositivo de alta seguridad que sea compatible con el estándar FIPS-140 nivel 3, contemplando redundancia por seguridad, para almacenar los Datos de Creación de Firma Electrónica del Prestador de Servicios de Certificación. 2.4.3.6. Un enlace mínimo de 512 Kilo Bytes, contemplando redundancia con un enlace de al menos256 Kilo Bytes a Internet. 2.4.3.7. Un ruteador, contemplando redundancia por seguridad. 2.4.3.8. Un muro de fuego (firewall), contemplando redundancia por seguridad. 2.4.3.9. Un sistema de monitoreo de red. 2.4.3.10. Un sistema confiable de antivirus. 2.4.3.11. Herramientas confiables de detección de vulnerabilidades. 2.4.3.12. Sistemas confiables de detección y protección de intrusión. 2.4.3.13. Las computadoras personales e impresoras necesarias para la prestación del servicio. 2.4.4. Política de seguridad de la información. La Política de Seguridad deberá constar por escrito y cumplir con los siguientes requisitos: 2.4.4.1. Ser congruente con el objeto del Prestador de Servicios de Certificación; 2.4.4.2. Los objetivos de seguridad determinados deberán ser, claros, generales y no técnicos y resultado del Análisis y Evaluación de Riesgos y Amenazas; 2.4.4.3. Estar basada en las recomendaciones del estándar ISO 17799 sección tres; 2.4.4.4. Contar con los manuales de Política General y los necesarios para establecer políticas específicas; 2.4.4.5. Con base en el Análisis y Evaluación de Riesgos y Amenazas deberán identificarse los objetivos de seguridad relevantes y las amenazas potenciales relacionadas a los servicios suministrados, así como las medidas a tomar para evitar y limitar los efectos de tales riesgos y amenazas; 2.4.4.6. Describir las reglas, directivas y procedimientos que indiquen cómo son provistos los servicios y las medidas de seguridad asociadas; 2.4.4.7. Señalar el periodo de revisión y evaluación de la Política de Seguridad; 2.4.4.8. Ser consistente con la Declaración de Prácticas de Certificación y con la Política de Certificados a que se refieren las presentes Reglas Generales, y 2.4.4.9. Incluir un proceso similar al descrito en: Internet Security Policy: A Technical Guide, by the National Institute of Standards and Technologies (NIST). 2.4.5. Plan de Continuidad del Negocio y Recuperación ante Desastres. 2.4.5.1. El Solicitante de Acreditación y el Prestador de Servicios de Certificación deberán elaborar y presentar un Plan de Continuidad del Negocio y Recuperación ante Desastres, que describa cómo actuará en caso de interrupciones del servicio. El Plan deberá ser mantenido y probado periódicamente, y describir los procedimientos de emergencia a seguir en al menos los siguientes casos: 2.4.5.1.1. Afectación al funcionamiento de software en el que se basarán los servicios del Prestador de Servicios de Certificación; 2.4.5.1.2. Incidente de seguridad que afecte la operación del sistema en el que se basan los servicios del Prestador de Servicios de Certificación; 2.4.5.1.3. Robo de los Datos de Creación de Firma Electrónica del Prestador de Servicios de Certificación; 2.4.5.1.4. Falla de los mecanismos de auditoría; 2.4.5.1.5. Falla en el hardware donde se ejecuta el producto en el que se basarán los servicios del Prestador de Servicios de Certificación, y 2.4.5.1.6. Mecanismos para preservar evidencia del mal uso de los sistemas. 2.4.5.2. En el Análisis y Evaluación de Riesgos y Amenazas se considerará el impacto que sufrirá el negocio, en caso de interrupciones no planificadas. 2.4.5.3. El Plan de Continuidad del Negocio y Recuperación ante Desastres deberá ser compatible con las normas y criterios internacionales, al menos con los lineamientos descritos en el estándar ISO 17799 sección 11 o el estándar ETSI TS 102 042 sección 7.4.8, o los que les sustituyan. Además deberá ser coherente con los niveles de riesgo determinados en el Análisis y Evaluación de Riesgos y Amenazas y seguirá un proceso similar al descrito en: NIST ITL Bulletin June 2002, Contingency Planning Guide for Information Systems; NIST Special Publication 800-34, Contingency Planning Guide forInformation Systems, June 2002; y NIST Special Publication 800-30 Risk Management Guide, u otros textos posteriores equivalentes. 2.4.6. Plan de Seguridad de Sistemas. Los solicitantes de acreditación o los Prestadores de Servicios de Certificación deberán contar con un Plan de Seguridad de Sistemas coherente con la Política de Seguridad de la Información, que describa los requerimientos de seguridad de los sistemas y de los controles a implantar y cumplir; así como delinear las responsabilidades y acceso de las personas a los sistemas.