Embed Size (px)
Citation preview
1
Manual de Prácticas de la Infraestructura de Firma
Electrónica de la Comisión Nacional de Bancos y Seguros
2
Tabla de Contenidos
Introducción ......................................................................................................................................... 2
Alcance ................................................................................................................................................ 2
I. Marco Teórico .................................................................................................................................. 4
Infraestructura de Llave Pública (PKI) ........................................................................................... 4
Firmas Digitales ......................................................................................................................... 4
El Uso de Certificados Digitales ................................................................................................ 5
Tokens de Seguridad .................................................................................................................. 5
Firma Biométrica ............................................................................................................................ 7
Firma Biométrica ............................................................................................................................ 7
Tableta Gráfica ........................................................................................................................... 8
II. Manual de Prácticas de la Infraestructura de Firma Electrónica (IFE) de la CNBS ....................... 9
1. Consideraciones Generales ......................................................................................................... 9
1.1. Confiabilidad y Garantías .................................................................................................... 9
1.1.1. Confiabilidad .............................................................................................................. 9
1.1.1.1 Identidad e integridad............................................................................................ 9
1.1.1.2 Cifrado para la Confidencialidad de la Información ........................................... 10
1.1.1.2.1 Autenticación y Cifrado basado en Enlace (capa 3 y 4) ............................. 10
1.1.1.2.2 Cifrado y Autenticación de Aplicaciones .................................................... 10
1.1.1.3 Procesos Robustos .............................................................................................. 11
1.1.1.4 Situaciones de Compromiso ............................................................................... 11
1.1.2. Garantías ................................................................................................................... 11
1.1.2.1 Garantías Implícitas en los Certificados ............................................................. 11
1.1.2.1.1 Autenticidad. ............................................................................................... 11
1.1.2.1.2 Integridad .................................................................................................... 12
1.1.2.1.2 No-Repudiación .......................................................................................... 12
1.1.2.1.3 Control de Acceso ....................................................................................... 12
1.1.2.1.4 Confidencialidad ......................................................................................... 12
1.2 Regulación ......................................................................................................................... 12
1.3. Un Proceso de Registro Confiable .................................................................................... 13
3
1.4 Marco de responsabilidades ............................................................................................... 13
1.5 Protección adecuada de Componentes Clave ..................................................................... 13
1.6 Un ambiente criptográfico robusto ..................................................................................... 13
1.7 Componentes de la IFE de la CNBS .................................................................................. 14
1.7.1 El Oficial de Registro de Firma Electrónica ............................................................... 14
1.7.2 Administradores y Oficiales de Infraestructura de Firma Electrónica (IFE) .............. 15
1.7.3 Sitio Web IFE ............................................................................................................. 15
1.7.3.1 Publicación de Información ................................................................................ 16
2. Infraestructura de Llave Pública (PKI) en la CNBS ................................................................. 18
2.1 Componentes PKI de la CNBS .......................................................................................... 19
2.1.1 Componentes PKI en la Institución (usuaria de la IFE) ............................................. 19
2.1.1.1 El Oficial de Registro de Firma Electrónica ....................................................... 19
2.1.1.2 Aplicación de Registro ........................................................................................ 19
2.1.2 Componentes PKI en la CNBS (Locales) y Remotos ................................................ 20
2.1.2.1 Autoridad de Registro ......................................................................................... 21
2.1.2.1.1 Autoridad de Registro y Cadena de Confianza ........................................... 21
2.1.2.1.2 Proceso de Registro ..................................................................................... 21
2.1.2.1.3 Funciones de la Autoridad de Registro ....................................................... 21
2.1.2.1.4 Composición de la Autoridad de Registro (RA) ......................................... 22
2.1.2.2 Autoridad de Certificación .................................................................................. 22
2.1.2.2.1 Arquitectura ................................................................................................. 22
2.1.2.2.2 Conectividad ................................................................................................ 25
2.1.2.2.3 Distribución de Certificados de CA Raíz .................................................... 25
2.1.2.2.4 Protección de Red para CA‟s ...................................................................... 25
2.1.2.2.5 Interacción entre ORFEs y CA .................................................................... 25
2.1.2.3 El Directorio Activo de la CNBS ........................................................................ 26
2.1.2.3.1 Entidades y el Directorio Activo de la CNBS ............................................. 26
2.1.2.3.2 Raíz .............................................................................................................. 27
2.1.2.3.3 Usuarios de la CNBS: Organización ........................................................... 27
2.1.2.3.4 Nodos adicionales: Unidades organizacionales .......................................... 27
2.1.2.3.5 Estructura de Nombre Único ....................................................................... 27
4
2.1.2.3.6 Impacto de la Estructura de la Institución en el Directorio de la CNBS ..... 28
2.1.2.3.7 Integración de la Infraestructura de Directorio ........................................... 28
2.1.2.3.8 Determinación de Dominio y Membrecía para CA‟s ................................. 28
2.1.2.4 Modulo Criptográfico ......................................................................................... 29
2.1.2.5 Administradores y Oficiales de Infraestructura de Firma Electrónica (IFE) ...... 29
2.1.2.6 Sitio Web IFE ..................................................................................................... 29
2.2 Certificados ........................................................................................................................ 30
2.2.1 Identidad Digital ......................................................................................................... 30
2.2.2 Usos de de los Certificados......................................................................................... 31
2.2.3 Entidades Certificables ............................................................................................... 32
2.3 Publicación y Responsabilidades del Repositorio .............................................................. 33
2.3.1 Directorio y Servicios de Validación de Certificados ................................................ 33
2.3.1.1 Servicios del Directorio ...................................................................................... 33
2.3.1.1.1 Período de Retención de los Certificados ................................................... 33
2.3.1.1.2 Período de Retención de los CRL ............................................................... 33
2.3.1.2 Servicios de Validación de Certificados ............................................................. 33
2.3.1.2.1 Tipos de Servicios de Validación provistos ................................................ 34
2.3.1.2.2 Verificación inicial del Certificado del Root CA de la CNBS .................... 34
2.3.1.2.3 Significado de la Información de Validación de un Certificado ................. 35
2.3.2 Tiempo o Frecuencia de Publicación .......................................................................... 35
2.3.3 Controles de Acceso sobre el Directorio .................................................................... 35
2.4 Identificación y Autenticación del Suscriptor .................................................................... 36
2.4.1 Nombres ...................................................................................................................... 36
2.4.1.1 Tipos de Nombres ............................................................................................... 36
2.4.1.2 Necesidad de que los nombres sean significativos ............................................. 37
2.4.1.3 Seudónimos de los Suscriptores .......................................................................... 37
2.4.1.4 Reglas para interpretar Formas de Nombres varios ............................................ 38
2.4.1.5 Nombres únicos .................................................................................................. 38
2.4.1.6 Reconocimiento, Autenticación y Función de las Marcas .................................. 39
2.4.1.6.1 Llaves Públicas y Privadas .......................................................................... 39
2.4.1.6.2 Certificado ................................................................................................... 39
5
2.4.2 Validación de la Identidad Inicial ............................................................................... 39
2.4.2.1 Autenticación de Identidad Individual ............................................................... 40
2.4.2.2 Autenticación de Identidad Organizacional ....................................................... 40
2.4.2.3 Validación de Autoridad ..................................................................................... 41
2.4.2.4 Verificación de Información ............................................................................... 41
2.4.2.5 Método para probar la posesión de una llave privada ......................................... 41
2.4.3 Identificación y Autenticación (I&A) para Requerimientos de Re-Llaves ................ 41
2.4.4 Solicitudes para cambios de estatus de certificados ................................................... 42
2.4.4.1 Solicitud de Suspensión de Certificado de Usuario Final ................................... 42
2.4.4.2 Solicitud de Revocación de Certificado de Usuario Final .................................. 43
2.4.4.3 Terminación de la Suspensión de Certificado de un Usuario final ..................... 44
2.4.4.4 Solicitud de Revocación de Certificado de una OCA de la CNBS ..................... 44
2.5 Requerimientos Operacionales del Ciclo de vida de un Certificado .................................. 45
2.5.1 Solicitud de Certificación ........................................................................................... 45
2.5.1.1 ¿Quién puede someter una Solicitud de Certificación? ...................................... 45
2.5.2 Proceso de Solicitud de Certificación ......................................................................... 45
2.5.2.1 Presentación de Solicitud de Certificación ......................................................... 46
2.5.2.2 Aprobación o Denegación de la Solicitud de Certificación ................................ 47
2.5.2.3 Tiempo para procesar una Solicitud de Certificación ......................................... 48
2.5.3 Emisión de Certificados .............................................................................................. 49
2.5.3.1 Acciones de la CA durante la Emisión de Certificados ..................................... 49
2.5.3.2 Notificación por parte de la CA de la emisión de Certificados .......................... 50
2.5.4 Aceptación de Certificados ......................................................................................... 50
2.5.4.1 Conducción Constitutiva de Aceptación del Certificado .................................... 50
2.5.4.2 Publicación del Certificado por la CA ................................................................ 51
2.5.5 Uso de Certificados y par de Llaves ........................................................................... 51
2.5.5.1 Llave Privada del Sujeto y Uso del Certificado .................................................. 51
2.5.5.2 Llave Pública de las Partes Dependientes y Uso del Certificado ....................... 52
2.5.6 Renovación de Certificados ........................................................................................ 53
2.5.7 Certificado de Re-Llave .............................................................................................. 53
2.5.8 Modificación de Certificados ..................................................................................... 53
6
2.5.9 Suspensión y Revocación de Certificados .................................................................. 53
2.5.9.1 ¿Quién puede solicitar una suspensión o una revocación de Certificado? ......... 54
2.5.9.2 Suspensión .......................................................................................................... 54
2.5.9.2.1 Circunstancias para la Suspensión .............................................................. 54
2.5.9.2.2 Procedimiento para la Solicitud de Suspensión .......................................... 54
2.5.9.2.3 Tiempo durante el cual la CA debe procesar una Solicitud de Suspensión de
Certificado .................................................................................................................. 55
2.5.9.2.4 Límites en el Período de Suspensión ........................................................... 55
2.5.9.2.5 Terminación de la Suspensión ..................................................................... 55
2.5.9.2.6 Tiempo dentro del cual la CA debe procesar una Solicitud de Terminación
de Suspensión ............................................................................................................. 56
2.5.9.3 Revocación .......................................................................................................... 56
2.5.9.3.1 Circunstancias para la Revocación de un Certificado ................................. 56
2.5.9.3.2 Procedimiento para realizar una Solicitud de Revocación de Certificado .. 57
2.5.9.3.3 Tiempo durante el cual la CA debe procesar una Solicitud de Revocación
de Certificado ............................................................................................................. 58
2.5.9.4 Revocación – Verificación de Requerimientos para Partes Dependientes ......... 58
2.5.9.5 Significado de los Códigos de Razón del CRL ................................................... 59
2.5.9.6 Frecuencia de Emisión de los CRL ..................................................................... 60
2.5.9.7 Máxima Latencia para CRL‟s ............................................................................. 60
2.5.9.8 Disponibilidad de las Revisiones del Estatus de Revocación en Línea .............. 61
2.5.9.9 Requerimientos para la Revisión de Revocación en Línea ................................. 61
2.5.9.9.1 Otras Formas de Anuncio de Revocación Disponible ................................ 61
2.5.9.9.2 Requerimientos Especiales concernientes a Llaves Comprometidas .......... 61
2.5.10 Servicios de Validación de Certificados ................................................................... 62
2.5.10.1 Características Operacionales ........................................................................... 62
2.5.10.2 Significado de las Respuestas ........................................................................... 63
2.5.11 Fin de Suscripción .................................................................................................... 64
2.5.12 Fideicomiso de llaves y Recuperación ..................................................................... 64
2.6 Cambio de Llave de la CA .............................................................................................. 64
2.7 Generación e Instalación del par de Llaves .................................................................... 65
7
2.7.1 Generación del Par de Llaves ................................................................................ 65
2.7.2 Entrega de la Llave Privada al Sujeto .................................................................... 65
2.7.3 Entrega de la Llave Pública del Sujeto al Emisor del Certificado ......................... 66
2.7.4 Entrega de la Llave Pública a Usuarios y Partes Dependientes ............................ 66
2.7.5 Tamaño de las Llaves ............................................................................................ 67
2.7.6 Generación de Parámetros de Llave Pública y Revisión de Calidad ..................... 67
2.7.7 Propósitos para la Utilización de Llaves ............................................................... 67
2.8 Protección de la Llave Privada ....................................................................................... 67
2.8.1 Estándares para el Módulo Criptográfico .............................................................. 67
2.8.2 Control Multipersonal de Llave Privada (M de N) ................................................ 67
2.8.3 Respaldo de la Llave privada................................................................................. 68
2.8.4 Archivo de la Llave Privada .................................................................................. 68
2.8.5 Transferencia de la Llave Privada al Módulo Criptográfico ................................. 68
2.8.6 Almacenamiento de la Llave Privada en el Modulo Criptográfico ....................... 69
2.8.7 Método de Activación de la Llave Privada ........................................................... 69
2.8.8 Método de Desactivación de una Llave Privada ................................................... 69
2.8.9 Método de Destrucción de la Llave Privada .......................................................... 69
2.8.10 Rating del Modulo Criptográfico .......................................................................... 70
2.9 Otros Aspectos de la Administración del Par de Llaves ................................................. 70
2.9.1 Almacenamiento de la Llave Pública .................................................................... 70
2.9.2 Períodos Operacionales y Períodos de Uso del Par de llaves ................................ 70
2.10 Datos de Activación ................................................................................................... 71
2.10.1 Instalación y Generación de Datos de Activación ................................................. 71
2.10.2 Protección de los Datos de Activación .................................................................. 71
2.10.3 Otros Aspectos de los Datos de Activación........................................................... 72
2.10.3.1 Transmisión de los Datos de Activación ...................................................... 72
2.10.3.2 Destrucción de los Datos de Activación ...................................................... 72
2.11 Certificados y Perfiles CRL ....................................................................................... 72
2.11.1 Perfiles de Certificado ........................................................................................... 72
2.11.1.1 Perfil Operacional del OCA 1 ...................................................................... 72
2.11.1.2 Perfil Operacional del OCA 2 ...................................................................... 74
8
2.11.1.3 Perfil del Certificado de Firma Calificada Emitido por el OCA 1 ............... 75
2.11.1.4 Perfil del Certificado de Firma Calificada Emitido por el OCA 2 ............... 76
2.11.1.5 Perfil del Certificado de Autenticación del Sujeto Emitido por el OCA 1 . 78
2.11.1.6 Perfil del Certificado de Autenticación del Sujeto Emitido por el OCA 2 . 79
2.11.2 Perfiles de los CRL ................................................................................................ 81
2.11.2.1 Perfil del CRL del OCA 1 ............................................................................ 81
2.11.2.2 Perfil del CRL del OCA 2 ............................................................................ 81
2.11.2.3 Perfil del CRL Delta del OCA 1 .................................................................. 82
2.11.2.4 Perfil del CRL Delta del OCA 2 .................................................................. 82
3 Firma Biométrica en la CNBS ............................................................................................. 84
3.1 Componentes de la Firma Biométrica de la CNBS ........................................................ 84
3.1.1 Componentes de la Firma Biométrica en la Institución (miembro de
Interconexión Financiera) .................................................................................................... 84
3.1.1.1 El Oficial de Registro de Firma Electrónica ................................................ 84
3.1.1.2 Aplicación de Firma Biométrica .................................................................. 85
3.1.2 Componentes de la Firma Biométrica en la CNBS (Locales) y Remotos ............. 85
3.1.2.1 Autoridad de Registro .................................................................................. 85
3.1.2.1.1 Autoridad de Registro y Cadena de Confianza ........................................ 85
3.1.2.1.2 Proceso de Registro .................................................................................. 85
3.1.2.1.3 Funciones de la Autoridad de Registro ..................................................... 86
3.1.2.1.4 Composición de la Autoridad de Registro (RA) ...................................... 87
3.1.2.2 Aplicación de Firma Biométrica .................................................................. 87
3.1.2.2.1 Infraestructura ........................................................................................... 87
3.1.2.2.2 Conectividad ............................................................................................. 87
3.1.2.2.3 Protección de Red para la Aplicación ....................................................... 88
3.6.1.1 Motor de Procesamiento de Firma Biométrica ............................................ 88
3.6.1.2 El Directorio Activo de la CNBS ................................................................. 88
3.6.1.3 Administradores y Oficiales de Infraestructura de Firma Electrónica
(IFE) 89
3.6.1.4 Sitio Web IFE ............................................................................................... 89
3.2 Firma Biométrica ............................................................................................................ 90
9
3.2.1 Firma Biométrica ................................................................................................... 90
3.2.2 Usos de la Firma Biométrica ................................................................................. 90
3.2.3 Usuarios de la Firma Biométrica ........................................................................... 90
3.3 Consideraciones sobre el Repositorio y la Verificación de Firmas Biométricas ............ 91
3.3.1 Servicio del Directorio ........................................................................................... 91
3.3.2 Validación de la Firma Biométrica ........................................................................ 91
3.3.3 Controles de Acceso sobre el Directorio y demás aplicaciones de Firma
Biométrica 92
3.4 Identificación y autenticación del Suscriptor .................................................................. 92
3.4.1 Nombre .................................................................................................................. 92
3.4.2 Validación de la Identidad Inicial .......................................................................... 92
3.4.2.1 Autenticación de Identidad Individual ......................................................... 92
3.4.2.2 Validación de Autoridad .............................................................................. 93
3.4.2.3 Verificación de Información ........................................................................ 93
3.4.3 Solicitudes para cambios de estatus de certificados .............................................. 93
3.4.3.1 Solicitud de Suspensión de Firma Biométrica de un Usuario Final ............. 94
3.4.3.2 Solicitud de Revocación de Firma Biométrica de un Usuario Final ............ 95
3.4.3.3 Terminación de la Suspensión de Firma Biométrica de un Usuario Final ... 95
3.5 Requerimientos Operacionales del Ciclo de Vida de una Firma Biométrica ................. 96
3.5.1 Solicitud de Registro de Firma Biométrica ........................................................... 96
3.5.1.1 ¿Quién puede someter una Solicitud de Registro de Firma Biométrica? ..... 96
3.5.2 Proceso de Solicitud de Registro de Firma Biométrica ......................................... 96
3.5.2.1 Presentación de Solicitud de Registro de Firma Biométrica ........................ 97
3.5.2.2 Aprobación o Denegación de la Solicitud de Registro de Firma
Biométrica 98
2.5.2.3 Tiempo para procesar una Solicitud de Registro de Firma Biométrica .............. 99
3.5.3 Proceso de Registro de la Firma Biométrica ....................................................... 100
3.5.3.1 Conducción Constitutiva del Registro de la Firma Biométrica ................. 100
3.5.4 Suspensión y Revocación de Firmas Biométricas ............................................... 101
3.5.4.1 ¿Quién puede solicitar una suspensión o una revocación de una Firma
Biométrica? 101
10
3.5.4.2 Suspensión.................................................................................................. 101
3.5.4.2.1 Circunstancias para la Suspensión .......................................................... 101
3.5.4.2.2 Procedimiento para la Solicitud de Suspensión ...................................... 102
3.5.4.2.3 Límites en el Período de Suspensión ...................................................... 102
3.5.4.2.4 Terminación de la Suspensión ................................................................ 102
3.5.4.3 Revocación ................................................................................................. 102
3.5.4.3.1 Circunstancias para la Revocación de una Firma Biométrica ................ 102
3.5.4.3.2 Procedimiento para realizar una Solicitud de Revocación de una
Firma Biométrica ...................................................................................................... 103
4. Instalación, Administración y Controles Operacionales ................................................... 104
4.1 Controles de Seguridad Física....................................................................................... 104
4.1.1 Ubicación y Construcción ................................................................................... 104
4.1.2 Acceso Físico ....................................................................................................... 105
4.1.3 Energía Eléctrica y Aire Acondicionado ............................................................. 106
4.1.4 Exposición al agua ............................................................................................... 106
4.1.5 Prevención y Protección de Incendios ................................................................. 106
4.1.6 Dispositivos de Almacenamiento ........................................................................ 106
4.1.7 Eliminación de Residuos ..................................................................................... 107
4.1.8 Respaldo Externo ................................................................................................. 107
4.2 Procedimientos de Control ............................................................................................ 107
4.2.1 Roles de Confianza .............................................................................................. 107
4.2.2 Número de Personas requeridas por Tarea .......................................................... 108
4.2.3 Identificación y Autenticación para cada Tarea .................................................. 109
4.2.4 Roles que requieren la separación de Funciones ................................................. 109
4.3 Controles de Personal ................................................................................................... 109
4.3.1 Calificaciones, Experiencia y Requerimientos de Separación ............................ 110
4.3.2 Procedimientos de Revisión de Antecedentes ..................................................... 110
4.3.3 Requerimientos de Entrenamiento ....................................................................... 110
4.3.4 Frecuencia de Re-entrenamiento y Requisitos .................................................... 111
4.3.5 Frecuencia de la Rotación de Personal y Secuencia ............................................ 111
4.3.6 Sanciones por Acciones No Autorizadas ............................................................. 111
11
4.3.7 Documentación suministrada al Personal ............................................................ 112
4.4 Procedimientos de Registros de Auditoria .................................................................... 112
4.4.1 Tipos de Eventos Registrados .............................................................................. 112
4.4.1.1 Datos de Registro ....................................................................................... 112
4.4.1.2 Certificados y Firmas Biométricas ............................................................. 113
4.4.1.3 Administración de SSCD ........................................................................... 113
4.4.1.4 Administración de Revocación .................................................................. 113
4.4.2 Frecuencia del Registro de Procesamiento .......................................................... 113
4.4.3 Períodos de Retención de los Registros de Auditoría .......................................... 113
4.4.4 Protección de los Registros de Auditoría ............................................................ 114
4.4.5 Procedimiento de Respaldo de los Registros de Auditoría.................................. 114
4.4.6 Sistema de Recolección de Auditoría (Interno vs. Externo) ............................... 114
4.4.7 Notificación a los Sujetos de los Eventos Causados ........................................... 114
4.4.8 Evaluaciones de Vulnerabilidad .......................................................................... 114
4.5 Archivo de Registros ..................................................................................................... 115
4.5.1 Tipos de Registros Archivados ............................................................................ 115
4.5.2 Periodo de Retención de Archivos ...................................................................... 115
4.5.3 Protección de Archivos ........................................................................................ 115
4.5.4 Procedimientos de Respaldo de Archivos ........................................................... 116
4.5.5 Requerimientos para el Marcaje de Tiempo de los archivos (Time-Stamping)
Archivos ............................................................................................................................. 116
4.5.6 Sistema de Recolección de Archivos (Interno o Externo) ................................... 116
4.5.7 Procedimiento para Obtener y Verificar Información del Archivo ..................... 116
4.6 Compromiso y Recuperación de Desastres ................................................................... 116
4.6.1 Procedimientos de Manejo de Incidentes y Compromiso ................................... 116
4.6.2 Recuperación después de la corrupción de Recursos Computacionales ............. 117
4.6.3 Procedimientos de Llave Privada comprometida ................................................ 117
4.6.4 Capacidades de Continuidad del Negocio después de un Desastre ..................... 118
4.7 Terminación de la IFE .................................................................................................. 118
5 Auditoría de Cumplimiento y otras Evaluaciones ............................................................. 119
6 Consideraciones Legales ................................................................................................... 121
12
6.1 Confidencialidad en la Información de la Institución ................................................... 121
6.1.1 Tipos de Información de Carácter confidencial .................................................. 121
6.1.1.1 Documentación Operacional y de Configuración ...................................... 121
6.1.1.2 Información de Auditoría ........................................................................... 121
6.1.1.3 Confidencialidad de la Información Personal ............................................ 121
6.1.2 Tipos de Información No considerados de Carácter confidencial ....................... 122
6.1.2.1 Certificados e Información del Estado de los Certificados ........................ 122
6.1.2.2 Documentación del Servicio de Certificación de la CNBS ....................... 122
6.1.3 Revelación de Información de Revocación de Certificados ................................ 122
6.1.4 Entrega de Información a Autoridades Legales .................................................. 123
6.1.5 Entrega de Información como parte de Evidencia documental o con Fines de
Investigación forense ......................................................................................................... 123
6.2 Privacidad de la Información Personal ......................................................................... 124
6.2.1 Información de Carácter Confidencial ................................................................ 124
6.2.2 Información considerada No Confidencial .......................................................... 124
6.2.3 Responsabilidad para la Protección de Información Confidencial ...................... 125
6.2.4 Notificación y Consentimiento para el Uso de Información Confidencial ......... 125
6.2.5 Divulgación relativa a los Procesos Judiciales o Administrativos ...................... 125
6.2.6 Otras Circunstancias para la Divulgación de Información .................................. 125
6.3 Derechos de Propiedad Intelectual ................................................................................ 126
6.4 Límites de Responsabilidad y Renuncia ....................................................................... 126
6.5 Sanciones ...................................................................................................................... 127
6.5.1 Causales de Sanciones ......................................................................................... 127
6.6 Vigencia y Terminación ................................................................................................ 127
6.6.1 Vigencia ............................................................................................................... 127
6.6.2 Terminación ......................................................................................................... 128
6.7 Reformas ....................................................................................................................... 128
6.7.1 Procedimientos para la Reforma del presente Manual ........................................ 128
6.7.2 Mecanismos de Notificación ............................................................................... 128
6.7.3 Cambios en OID .................................................................................................. 128
6.8 Procedimiento para la Resolución de Disputas ............................................................. 128
13
6.8.1 Jerarquía del Manual de Prácticas ....................................................................... 128
6.8.2 Procedimiento ...................................................................................................... 129
6.8.3 Legislación Aplicable .......................................................................................... 129
7 Tabla de Acrónimos y Definiciones .................................................................................. 130
7.1 Acrónimos ..................................................................................................................... 130
7.2 Definiciones .................................................................................................................. 131
2
Introducción
El Manual de Prácticas de la Infraestructura de Firma Electrónica de La Comisión Nacional de
Bancos y Seguros tiene como objetivo la creación de un marco legal y tecnológico que conlleve a la
Administración de la Infraestructura de Firma Electrónica (IFE) de la CNBS, conformada por la
Infraestructura de Llave Pública (PKI) y la Firma Biométrica. La implementación de dicha
Infraestructura se observa en cumplimiento del los artículos 50 y 51 de la Ley del Sistema
Financiero de la República de Honduras. La IFE de la CNBS permitirá:
1. Cambiar la forma de envío, de manuscrita a electrónica, de todas las comunicaciones
establecidas entre la Comisión Nacional de Bancos y Seguros (CNBS) y las Instituciones
dentro de la Red de Interconexión Financiera, contando con los más altos estándares de
seguridad, los cuales incluirán la utilización de firmas biométricas en combinación con
firma Digital.
2. Brindar el servicio de una Autoridad Certificadora confiable a las Instituciones dentro de la
Red de Interconexión Financiera, las cuales podrán incorporar dicho servicio a la
plataforma de sus servicios electrónicos con el fin de asegurar las transacciones ahí
efectuadas.
3. Proveer a la CNBS de mecanismos de autenticación dentro de la Infraestructura de Llave
Pública con el fin de asegurar los accesos a las aplicaciones y dispositivos de la red Interna
de la CNBS. Así mismo incorporación al interno de la CNBS del uso de firma biométrica en
los documentos propios de la Institución.
Alcance
Este Manual está enfocado a la administración y las mejores prácticas que permitan la
Implementación de una Infraestructura de Llave Pública y Firma Biométrica, que aseguren los
siguientes aspectos funcionales:
a. Utilización de un mecanismo robusto de autenticación.
b. Verificación de la Integridad de la Información.
3
c. Asegurar la confidencialidad de la Información y de las transacciones que se transmitan
dentro de la Red de Interconexión Financiera y las Redes internas de la CNBS.
d. Asegurar el no Repudio de las firmas electrónicas de un documento emitido al interno
de la CNBS y cualquier otro documento intercambiado entre las instituciones usuarias
de la IFE y la CNBS.
e. Que el Certificado emitido por la Autoridad Certificadora de la CNBS sea un certificado
reconocido, para que la firma digital de los usuarios tenga el mismo valor jurídico que la
firma manuscrita en relación con los consignados en papel en cumplimiento del artículo
51 de la Ley del Sistema Financiero de la República de Honduras.
4
I. Marco Teórico
Infraestructura de Llave Pública (PKI)
En criptografía, una infraestructura de Llave pública (PKI) es una combinación de hardware y
software, políticas y procedimientos de seguridad que permiten la ejecución con garantías de
operaciones criptográficas como el cifrado, la firma digital o el no repudio de transacciones
electrónicas.
La seguridad en el uso de la infraestructura PKI depende en cierta medida de cómo se guarden las
claves privadas. Existen dispositivos especiales denominados tokens de seguridad diseñados para
facilitar la integridad y seguridad de la clave privada, así como evitar que ésta pueda ser
exportada.
Firmas Digitales
Cuando la información es transmitida desde una de las partes hacia la otra, el receptor de la
información puede desear saber que la información no ha sido alterada durante el envío de la
misma; asimismo, el receptor podrá desear tener certeza sobre la identidad del emisor o
remitente; el uso de Firmas Digitales a través de criptografía de llave pública pueden proveer con
seguridad: (1) la identidad del firmante y (2) que el mensaje recibido no fue alterado durante la
transmisión.
Una Firma Digital es el análogo electrónico de una firma escrita. La Firma Digital puede ser
utilizada para probar a un tercero que la información fue firmada por el emisor o remitente. A
diferencia de su contraparte escrita, las firmas digitales adicionalmente verifican la integridad de la
información. Vale la pena mencionar que las firmas digitales también pueden ser generadas para
datos almacenados y programas, de forma tal que la integridad de los datos y los programas
pueda ser verificado en cualquier momento.
5
El Uso de Certificados Digitales
En la Criptografía de Llave Publica se habla de manipular dos llaves: Llave Pública y Llave Privada.
La llave privada es utilizada en el proceso de generación de la firma y la llave pública (Certificado
Digital) es utilizada en el proceso de verificación de dicha firma. Un intruso, que no tenga
conocimiento de la llave privada del Firmante, no puede generar la Firma correcta de dicho
firmante. En otras palabras, las Firmas no pueden ser falsificadas. Sin embargo, utilizando la llave
publica del Firmante, cualquier persona puede verificar un mensaje debidamente firmado. El
usuario de una llave pública requiere la certeza que la llave pública representa al propietario del
par de llaves. Es decir, la existencia de un vínculo confiable entre la identidad del usuario y la llave
pública de dicho usuario. Este vínculo de confianza mutua se logra con la formulación de un
Certificado de llave pública por parte de una tercera persona, autorizada para tales efectos por
una Autoridad Certificadora que cumpla con las normas ANSI X9.57-1997 de Administración de
Certificados.
Las llaves públicas y privadas serán utilizadas para un solo fin, en consecuencia, los pares de llaves
de Firmas Digitales no pueden ser utilizadas para cifrado y los pares de llaves de cifrado no pueden
ser utilizadas para firmas digitales.
Tokens de Seguridad
Un token de seguridad (también token de autenticación o token criptográfico) es un dispositivo
electrónico que se le da a un usuario autorizado de un servicio computarizado para facilitar el
proceso de autenticación.
Los tokens electrónicos tienen un tamaño pequeño que permiten ser cómodamente llevados en el
bolsillo o la cartera y son normalmente diseñados para atarlos a un llavero. Los tokens
electrónicos se usan para almacenar claves criptográficas como firmas digitales, o datos
biométricos como las huellas digitales. Algunos diseños se hacen a prueba de alteraciones, otro
pueden incluir teclados para la entrada de un PIN.
6
Existe más de una clase de token de autenticación, como ser: los generadores de contraseñas
dinámicas "OTP" y los tokens USB, estos últimos permiten llevar la identidad digital de la persona
y almacenar contraseñas y certificados.
7
Firma Biométrica
La biometría en la informática consiste en la aplicación de técnicas matemáticas y estadísticas
sobre los rasgos físicos o de conducta de un individuo, para poder verificar identidades o también
identificar individuos.
Al contrario que en el caso de un número secreto o contraseña, nuestros rasgos distintivos
garantizan que somos la persona autorizada, pues estos rasgos no podrán ser ni interceptados, ni
robados, ni transferidos a otra persona.
Las posibilidades de uso de los datos biométricos en la firma electrónica no se quedan en la simple
identificación de la persona, como en el caso del control de acceso; mediante una contraseña
podemos obtener acceso o accionar un proceso, sin embargo, apoyándonos en rasgos dinámicos y
biométricos como la firma escrita, logramos también documentar un acto de voluntad del
individuo, un acto que es inseparable de la persona y que no puede darse por error.
La firma biométrica surge pues a partir de la captación de la firma escrita, la cual por las
características señaladas, predestinada para ser usada en la firma de contratos, documentos,
recibos y protocolos.
El aspecto dinámico de la firma escrita es muy importante, no solo porque constituye la forma
perfecta de documentar un acto voluntario, sino porque permite identificar al autor, es decir,
permite unir cada firma electrónica a una única persona en concreto.
La firma biométrica está dividida en datos estáticos y datos dinámicos. Los datos estáticos se
desprenden del trazado de la firma en dos dimensiones, y pueden revelar al grafólogo ciertos
rasgos inequívocos. Los datos dinámicos en la firma biométrica son mucho más fáciles de analizar
que los datos dinámicos en la firma sobre el papel, pues los datos en soporte electrónico son
exactos. Sólo los datos dinámicos, la presión, la dirección, la velocidad y los cambios en la
velocidad de la firma, son capaces de ofrecer una seguridad máxima en el momento de identificar
una firma.
8
Cualquier persona puede, después de cierto tiempo practicando, imitar el trazado de la firma
escrita de otra persona y no es difícil adquirir una muestra de la firma de cualquier persona. Con
todo, lo que el falsificador no puede conocer y, aunque conociera, no podría imitar, son los rasgos
dinámicos de la firma.
Tableta Gráfica
Una tableta gráfica (o tableta de digitalización, tableta gráfico, tableta de dibujo) es un dispositivo
de entrada de la computadora que permite capturar imágenes hechas a mano y gráficos, de forma
similar a cuando se dibuja una imagen con papel y lápiz. Estas tabletas también pueden ser
utilizadas para capturar datos o firmas a mano, convirtiéndose así en un elemento necesario para
la implementación de las firmas biométricas, pues provee el mecanismo para la captura de los
datos estáticos y dinámicos de una firma.
Una tableta gráfica consiste en una superficie plana sobre la cual se puede dibujar una imagen
utilizando un bolígrafo sujeto a la misma. La imagen en general no aparece en la tableta, más bien
se muestra en el monitor del ordenador. Algunas tabletas sin embargo, vienen con una pantalla,
como una pantalla secundaria del computador, permitiendo observar directamente lo que se hace
con el lápiz.
Algunas tabletas son diseñadas como un remplazo para el ratón, como el principal dispositivo de
navegación para las computadoras de escritorio.
9
II. Manual de Prácticas de la Infraestructura de Firma
Electrónica (IFE) de la CNBS
La IFE de la CNBS es un mecanismo de autenticación que asegura la identidad de un individuo en
las comunicaciones establecidas al interno de la CNBS, y en las comunicaciones externas con
Instituciones del Sistema Financiero, así como con otras Instituciones gubernamentales y del
sector privado con las que se acuerde la comunicación utilizando dicha tecnología.
La IFE de la CNBS se encuentra compuesta por el híbrido formado al implementar dos de las
tecnologías más importantes y respetables de firma electrónica: Infraestructura de Llave Pública
(PKI) y Firma Biométrica.
1. Consideraciones Generales
1.1. Confiabilidad y Garantías
Una Infraestructura de Firma Electrónica busca asegurar dos principales aspectos funcionales de
seguridad: Confiabilidad y otras Garantías.
1.1.1. Confiabilidad
1.1.1.1 Identidad e integridad
La confiabilidad en la identidad del emisor y la integridad del mensaje está sustentada en las
Firmas Digitales y Firmas Biométricas provistas por la comunicación utilizando la IFE de la CNBS. El
grado de confianza que un receptor tenga sobre la identidad del emisor depende de varios
factores como ser:
a. Un proceso confiable de suscripción de las Instituciones al servicio de interconexión
soportado por la IFE de la CNBS.
b. Un proceso seguro y rastreable de emisión de Certificados a las aplicaciones y personal de
la Institución.
c. La imposibilidad de producir un certificado falso o una firma biométrica falsa.
10
d. El vinculo irrefutable entre el Certificado y el contenido del mensaje a través de la Firma
Digital.
e. El vínculo irrefutable entre la firma manuscrita y el contenido del mensaje a través de la
Firma Biométrica.
f. La capacidad de revocación inmediata de Certificados comprometidos y la verificación en
línea del estatus de revocación del Certificado.
1.1.1.2 Cifrado para la Confidencialidad de la Información
La confianza en la confidencialidad del contenido del mensaje es alcanzado a través del cifrado de
la IFE. Toda la infraestructura para comunicación de interconexión con la IFE provee protección
contra posibles interceptores cuando el mensaje (o archivos) se encuentran en tránsito.
1.1.1.2.1 Autenticación y Cifrado basado en Enlace (capa 3 y 4)
Toda comunicación entre Entidades en las siguientes redes: Red Interna de la CNBS, así como la
Red Externa de la misma relacionada a la comunicación con las Instituciones miembros de
Interconexión Financiera. Dichas redes serán cifrada sobre un algoritmo estándar probado, donde
la llave de cifrado sea o exceda los 128bit (en otras palabras, AES128, 256 etc.). Se utilizará IPSEC
o SSL VPN para el cifrado basado en enlace.
1.1.1.2.2 Cifrado y Autenticación de Aplicaciones
Cada archivo transportado a través de las redes deberá ser cifrado y firmado, en caso de uso de
SSL como interface de aplicación primaria, SSLv3d será usado para el cifrado de subida, en donde
la autenticación basada en certificados mutuos debe ocurrir (navegador/browser – Server).
Cualquier mensaje que contenga información en la cual se haga responsable al Banco por
transacciones monetarias, debe ser firmado y cifrado, incluyendo la información que apruebe o
rechace la transacción.
11
1.1.1.3 Procesos Robustos
El nivel de confianza en los contenidos y origen de la Firma Electrónica es determinado por la
robustez de los procesos de Registro, Certificación y Revocación. La descripción del Servicio de
interconexión con la IFE especificará los altos niveles de calidad de dichos procesos. La
Descripción de Servicio forma una parte integral de la relación contractual entre las Instituciones y
la CNBS.
1.1.1.4 Situaciones de Compromiso
La confianza puede ser comprometida cuando una llave privada es expuesta. Por ejemplo, cuando
un Token (o cualquier otro dispositivo de autenticación que se utilice) es robado, o una clave
(contraseña) es revelada. La confianza también puede ser comprometida cuando una relación
entre el propietario y la Institución a la que pertenece dicho propietario es rota, por ejemplo,
cuando un empleado abandona la Institución. En este caso, el Certificado que contiene la
correspondiente llave pública necesita ser declarado inválido inmediatamente, es decir, necesita
ser revocado. Así mismo debe ser daa de baja la Firma Biométrica del empleado cesante.
1.1.2. Garantías
1.1.2.1 Garantías Implícitas en los Certificados
El utilizar la IFE de la CNBS, le da a las instituciones las siguientes garantías relacionadas a la
emisión de documentos firmados electrónicamente, ya bien sea con firma digital o biométrica:
1.1.2.1.1 Autenticidad.
Las Instituciones tienen la garantía de la identidad del emisor de cualquier instrucción,
declaración, solicitud o respuesta, ya que puede ser comprobado que la persona que origina el
mensaje es el único propietario de la llave firmante. A través de la verificación de la firma, el
receptor del mensaje puede confirmar que el remitente especificado en el encabezado del
mensaje es en realidad el propietario de la firma del mensaje.
12
1.1.2.1.2 Integridad
Las Instituciones tienen la garantía que los datos que reciben corresponden exactamente con el
original enviado por el remitente. A través de la verificación de la firma, el receptor de un mensaje
puede confirmar que el contenido de mensaje no ha sido alterado durante la transmisión.
1.1.2.1.2 No-Repudiación
Las Instituciones son capaces de comprobar que un remitente determinado efectivamente ha
firmado la instrucción, declaración, solicitud o respuesta, ya que puede ser probado que el
remitente es el único propietario de la llave de firma necesaria para producir la Firma Digital y/o
Firma Biométrica. Debido a que la Firma es verificable, el receptor puede probar que el
remitente fue el único capaz de producirla, por lo que es en efecto el que originó el mensaje.
1.1.2.1.3 Control de Acceso
Llaves privadas son protegidas por HSM el cual está basado en un Circuito Integrado (IC). Las
llaves son guardadas en tokens o ubicadas en un modulo de seguridad de hardware.
1.1.2.1.4 Confidencialidad
El nivel transaccional de cifrado garantiza a las Instituciones que solo el receptor indicado puede
leer e interpretar los datos, ya que puede ser probado que el receptor es el único propietario de
la única llave de descifrado.
1.2 Regulación
Los Artículos 50 y 51 de la Ley del Sistema Financiero establecen la atribución de la Comisión
Nacional de Bancos y Seguros para emitir las normas que regularan la Firma Electrónica, así como
regular, mantener y supervisar a la IFE de la CNBS, con el propósito de lograr servicios de carácter
sólidos.
13
1.3. Un Proceso de Registro Confiable
Las Instituciones usuarios de la IFE deberán someter a un proceso de selección bajo condiciones
definidas por la CNBS a los Oficiales de Registro de Firma Electrónica, quienes, deberán trabajar en
parejas (siempre que sea posible).
1.4 Marco de responsabilidades
La CNBS implementará procedimientos, acuerdos estrictos en los niveles de servicio, así como en
las actualizaciones del directorio de usuarios que deberán seguir las Instituciones usuarias de la
IFE, para poder deducir responsabilidad por errores, fraude, u omisiones.
1.5 Protección adecuada de Componentes Clave
Los componentes clave de la IFE de la CNBS estarán física y operacionalmente protegidos y
aislados de otros servicios. Adicionalmente, la comunicación con la IFE de la CNBS solamente será
posible con Autoridades de Registro certificadas mediante el uso de protocolos seguros y
confiables.
La disponibilidad de la Autoridad de Certificación y el Directorio de la CNBS son críticos para el
servicio de revocación de certificados, la cual será asegurada a través de un sistema de
redundancia.
1.6 Un ambiente criptográfico robusto
Algoritmos estándar serán utilizados con llaves que contengan la máxima longitud práctica. Por
otra parte, siempre y cuando sea posible, tanto las llaves privadas en el servidor, como las que se
encuentren en el lado del cliente, serán generadas y guardadas en hardware y protegidas a través
de claves/contraseñas. Siempre que la solución tecnológica apropiada esté disponible, las llaves
serán guardadas en un modulo de seguridad de hardware.
14
1.7 Componentes de la IFE de la CNBS
La IFE de la CNBS está compuesta por el híbrido de dos tecnologías (PKI y Firma Biométrica).- Los
de componentes, se describirán a nivel de detalle en cada una de los apartados específicos de
dichas Tecnologías (2.1 y 3.1). Los componentes genéricos comunes, cuyo servicio es ofrecido a
ambas tecnologías, se describen a continuación:
1.7.1 El Oficial de Registro de Firma Electrónica
Cada Institución usuario de la IFE debe asignar personas responsables para la administración de
los servicios de la IFE en su institución. Estas personas son denominadas Oficial de Registro de
Firma Electrónica (ORFE).
Cada Institución usuaria de la IFE necesitará un mínimo de dos ORFE. El primero de ellos,
denominado el titular, podría bien ser la misma figura que ahora cumple con las funciones de
administración de accesos a Interconexión Financiera, pues las nuevas tareas constituyen una
versión mejorada de las actividades que venía realizando anteriormente.
El segundo de ellos, denominado el suplente, deberá ser asignado con carácter de permanente
por su responsabilidad de suplir al primero, aunque esta asignación no le imposibilita para que
desarrolle otras actividades que la Institución estime conveniente durante los períodos en que su
labor de sustitución no sea requerida.
Tener dos ORFE le permitirá a las Instituciones implementar autorización dual por medio del
principio de cuatro ojos, lo cual previene que operaciones sensitivas sean confinadas a una sola
persona.
Tener múltiples ORFE es ventajoso; cuando un Oficial de Registro de Firma Electrónica no es capaz
de cubrir al otro en la recuperación es una operación sensitiva o muy complicada, en cuyo caso un
tercer ORFE podría ser requerido.
Sin embargo, para efectos de requerimiento de la CNBS, solamente se exigirán dos ORFE,
15
quedando a discreción de la Institución a asignación de más ORFEs. En todos los casos, la CNBS
registrará inicialmente a los ORFE de cada Institución. La Institución proveerá los nombres de las
personas para estos roles en la Forma de Seguridad de la CNBS. Los ORFE deben ser físicamente
identificados por personal de la CNBS, a fin de otorgarle los permisos y potestades para la
administración de la IFE de la CNBS en su Institución.
1.7.2 Administradores y Oficiales de Infraestructura de Firma Electrónica (IFE)
Son empleados permanentes de la Gerencia de Informática de la CNBS, designados por esa
dependencia, cuyas funciones principales son las siguientes:
Instalar, configurar y dar mantenimiento al equipo y software de la IFE de la CNBS.
Apoyar en las labores de capacitación a los ORFE de las Instituciones.
Atender las solicitudes de registro de los ORFE de las instituciones.
Proveer de los dispositivos de autenticación de la IFE a las Instituciones.
Realizar respaldos y recuperación conforme lo establecido por el manual de procedimientos de la IFE creado para tal fin.
Proveer servicios de soporte e información a los usuarios de la IFE.
Velar por el buen funcionamiento de la IFE de la CNBS.
1.7.3 Sitio Web IFE
Cualquier usuario puede contactarse con el Oficial IFE de la CNBS a través de los siguientes
medios:
Teléfono +504 xxxxxx
Fax +504 xxxxxx
Email [email protected]
La Infraestructura de Firma Electrónica mantendrá un sitio web que proveerá acceso a
información y servicios de PKI y Firma Biométrica.
El acceso a tal sitio web será garantizado (24 horas al día/7 días a la semana) a través de la Red de
16
Interconexión. La utilización de los servicios antes mencionados requerirá autenticación personal basada en Certificado.
El sitio web podrá ser accedido vía URL a través de la siguiente dirección:
https://interconexion/ife.cnbs.gov.hn
1.7.3.1 Publicación de Información
La CNBS pondrá a la disposición de los solicitantes, suscriptores y partes dependientes el Sitio Web
IFE con información sobre las Aplicaciones, manejo de certificados y servicios de certificación de la
CNBS. El acceso al sitio web IFE de la CNBS será accesible a través de interconexión y disponible
para las Instituciones usuarias de la IFE 24 horas al día, los 7 días de la semana.
El Sitio Web IFE de la CNBS estará disponible en línea en la URL
https://interconexion/ife.cnbs.gov.hn
La CNBS publicará en todo momento la versión actualizada de los siguientes documentos:
Normas reguladoras de firmas electrónicas administradas por la Comisión Nacional de
Bancos y Seguros.
Manual de Prácticas de la IFE de la CNBS.
Adicionalmente, la siguiente información podrá ser accedida en el Sitio Web IFE de la CNBS:
Información pertinente al uso de Certificados y el manejo de tokens.
Información relacionada al uso de aplicaciones y dispositivos para la firma biométrica.
Acuerdo(s) estándares de Suscriptores
Forma(s) para solicitud de Certificados
Información acerca de Proveedor de Servicios de Certificación (CNBS) – nombre, número
de registro (cuando la Ley y la Regulación Nacional lo designe), dirección, información de
contacto
Un listado de los ORFE y forma de contacto
17
Certificado Raíz de la CA y su valor hash (huella digital, SHA1)
Certificados de la CA Intermedia y Operacional de la CNBS (huella digital, SHA1)
18
2. Infraestructura de Llave Pública (PKI) en la CNBS
La implementación de una Infraestructura de Llave Pública en la CNBS opera los siguientes
cambios en el desarrollo de las siguientes actividades:
1. Asegurar el control de acceso a Interconexión financiera a través de la utilización de Tokens
dentro del marco de una Infraestructura de Llave Pública.
2. Utilización de Tokens USB en el marco de PKI como mecanismo de autenticación segura
para los accesos a las aplicaciones y dispositivos de la red Interna de la CNBS.
3. Empleo de tokens USB para el envío seguro de Correos Electrónicos dentro de la
Infraestructura de Correos de la CNBS.
4. Utilización de Tokens USB para el cifrado de información.
5. Proveer un servicio de Certificación Confiable a ser utilizado por las Instituciones de
Interconexión Financiera y otras instituciones usuarias de la IFE para asegurar las
transacciones electrónicas que realicen.
A fin de implementar lo anterior, la red interna de la CNBS y de interconexión financiera deberá
proveer los siguientes servicios:
1. Firmas Digitales, la utilización de las mismas establecerá la no repudiación, es decir, la
capacidad que permita garantizar la autenticidad del emisor.
2. Utilización de Tokens: Provee autenticación a dos factores para el inicio de sesión con
Tokens. El token actúa como un certificado almacenado que necesita ser avalado por un
sistema que ejecuta una aplicación PKI.
3. Protocolo de Seguridad en Internet, alguna suite de protocolos que permiten una
comunicación cifrada y firmada digitalmente entre dos computadoras o entre una
computadora y un router a través de una red.
4. Sistema para el cifrado de archivos: Soporta el cifrado y descifrado de archivos y carpetas.
5. Conexiones de Web seguras utilizando Secure Sockets Layer (SSL) o Transport Layer
Security (TLS): Ambos protocolos proveen autenticación para clientes y servidores
mediante canales de comunicación segura a través de las redes de la CNBS.
19
2.1 Componentes PKI de la CNBS
2.1.1 Componentes PKI en la Institución (usuaria de la IFE)
2.1.1.1 El Oficial de Registro de Firma Electrónica
Corresponden al ORFE ya descrito en el apartado 1.7.1.
Dentro de PKI, sus funciones principales serán las siguientes:
a. Administración de Certificados en línea
i. Identificación de Usuarios Finales de su Institución.
ii. Registro de Usuarios Finales de su Institución.
iii. Envío de datos revisados y completos a la CA de la CNBS para la emisión,
suspensión, terminación, revocación y renovación de certificados de los usuarios
de su Institución.
iv. Activación de certificados en los tokens.
v. Seguimiento del ciclo de vida de un token.
vi. Validación de las solicitudes de suspensión y revocación.
b. Servir como persona de contacto con la CNBS para administración de Certificados fuera
de línea.
c. Realizar copias de respaldo regularmente en caso de que sean necesarios para
propósitos de recuperación o para uso en una maquina de respaldo. La No-
Repudiación no está en riesgo, ya que la maquina primaria y la de respaldo representan
a la misma entidad lógica.
2.1.1.2 Aplicación de Registro
La Aplicación de Registro (RAA) es el software utilizado por los Oficiales de Registro de Firma
Electrónica (ORFE) para administrar a los usuarios finales y sus certificados.
Para usuarios finales, incluyendo Oficiales de Registro de Firma Electrónica, la Autoridad de
Registro provee:
20
a. Control de acceso de ingreso y egreso
b. Generación del par de llaves criptográficas
c. Certificación
d. Renovación de Certificado y llave automática.
Para los ORFE, la RAA brinda funciones adicionales:
a. Registro de nuevos usuarios finales
b. Configuración de usuarios finales para Certificación y Recuperación.
c. Revocación de Certificados de usuarios finales en caso de que sus llaves, tokens (o
cualquier dispositivo de autenticación), o claves (contraseñas) hayan sido
comprometidos o extraviados.
d. Suspender Certificados de usuarios finales.
e. El ORFE envía los requerimientos de administración de Certificados en línea a la
Autoridad de Certificación de la CNBS.
2.1.2 Componentes PKI en la CNBS (Locales) y Remotos
La Aplicación de Registro Local del usuario final y las funciones criptográficas interactúan a través
de los siguientes componentes:
a. Autoridad de Registro
b. Autoridad de Certificación
c. El Directorio Activo de la CNBS
d. Módulo Criptográfico
e. Administradores y Oficiales de la IFE
f. Sitio Web de la IFE
21
2.1.2.1 Autoridad de Registro
2.1.2.1.1 Autoridad de Registro y Cadena de Confianza
La Autoridad de Registro (RA) deberá ser operada por la CNBS, quien tiene un papel protagónico
en la cadena de confianza mediante la suscripción de las Instituciones al servicio PKI de la CNBS y
a través del registro de los ORFE de cada Institución usuaria de la IFE. El registro de los usuarios
finales de una Institución es realizada por los Oficiales de Registro de Firma Electrónica de la
Institución (ORFE), quienes utilizan una aplicación de registro Local/Remota (RAA).
2.1.2.1.2 Proceso de Registro
a. La CNBS registra a la Institución y a los Oficiales de Registro de Firma Electrónica de la
misma.
La Institución es registrada en el Directorio activo de la CNBS.
La CNBS inscribe los ORFE, basada en la recolección de datos de la Forma de
Seguridad de la CNBS. La CNBS configurará el Directorio activo de la CNBS con los
nombres de los dos primeros ORFE tal como se especifican en la Forma de
Seguridad de la CNBS, a los cuales se les asignan claves secretas.
b. Una vez que los ORFE se han certificado a sí mismos utilizando las claves secretas, pueden
proceder a registrar a los usuarios finales de la Institución.
Utilizando la RAA, los ORFE definen los usuarios finales en el Directorio activo de la CNBS.
Los usuarios finales registrados en el Directorio activo quedan configurados para
Certificación por los Oficiales de Registro de Firma Electrónica.
2.1.2.1.3 Funciones de la Autoridad de Registro
Las funciones del RA de la CNBS son las siguientes:
a. Identificación y autenticación de los ORFE’s
b. Registro de ORFE’s
c. Envío de datos revisados y completos a la CA de la CNBS para la emisión,
suspensión, terminación, revocación y renovación de certificados de los usuarios
22
finales de la CNBS.
d. Activación de certificados en los tokens de los usuarios finales de la CNBS.
e. Seguimiento al ciclo de vida del un token de los usuarios finales de la CNBS.
f. Validación de las solicitudes de suspensión y revocación de los usuarios finales de la
CNBS.
Todas las solicitudes de la Autoridad de Registro (RA) tendrán la hora de entrega sellada y
registrada como evidencia. La Administración de Certificados y cualquier otra tarea de aplicación
de negocios podrán ser combinadas en una sola persona.
2.1.2.1.4 Composición de la Autoridad de Registro (RA)
La Autoridad de Registro de la CNBS estará compuesta por:
a. El Departamento Legal y el personal técnico en sistemas asignado por la Gerencia de
Informática de la CNBS (ORFE’s de la CNBS) para efectos de suscripciones al servicio
PKI y registro de la Institución y los primeros dos ORFE.
b. Únicamente por el personal técnico en sistemas asignado por la Gerencia de
Informática (ORFE’s) para el resto de las funciones descritas para la RA.
c. Aplicación RA conectada en línea para registrar y certificar usuarios finales.
2.1.2.2 Autoridad de Certificación
2.1.2.2.1 Arquitectura
Los modelos confiables CA proveerán los Servicios de certificación a todas las partes involucradas,
bajo las Normas Reguladoras de Firmas Electrónicas Administradas por La Comisión Nacional de
Bancos y Seguros, y pueden tener diferentes niveles, siendo una jerarquía clásica de tres la más
práctica para la CNBS:
1. CA Raíz (Root CA). La CA Raíz es la CA más sensible del sistema, pues su certificado establece
el inicio de la cadena de confianza. La CA Raíz firma el certificado de la CA subordinada
ubicada bajo ella en la jerarquía. Por tanto las funciones primarias de la CA Raíz consisten en
23
procesar las aplicaciones de certificación, emisión de certificados y administración del ciclo de
vida de los certificados emitidos por la misma, así como dar mantenimiento a los servicios de
validación de certificados.
Al implementar PKI, una organización puede decidir implementar una o más Raíces, las cuales
actúan como anclas de confianza. En la CNBS, se ha determinado que un ancla común y neutral
debería ser construida de manera tal que pueda proveer flexibilidad al diseño en desarrollo
de la CNBS.
La CA Raíz deberá estar fuera de línea, independiente, ubicada en la bóveda principal del
Banco Central de Honduras BCH.
2. CA Intermedia (Intermediate CA). La Autoridad de Certificación Intermedia es una autoridad de
certificación de confianza de alto nivel, cuyo certificado es emitido por la CA Raíz, a su vez la CA
Intermedia emite certificados a las CA Operacionales. A medida que el mercado financiero se
desarrolle, en donde más y más aplicaciones podrán soportar servicios de certificados, la CA
Intermedia proveerá una escalabilidad rápida y segura sin utilizar la CA Raíz cada vez que un
nuevo CA operacional (OCA) sea instalado. De igual manera permitirá la revocación de una OCA
sin la intervención del CA Raíz.
La CA Intermedia deberá estar fuera de línea, independiente, y ser ubicada en las instalaciones
de la Comisión Nacional de Bancos y Seguros.
3. CA Operacionales (operational CA o Issuing CA). CA Operacionales realizan una variedad de
funciones, muchas de las cuales tienen relación directa con los usuarios finales. A continuación
se muestran algunas de las obligaciones de CA operacionales:
a. Notificación de la emisión de Certificados al suscriptor, quien a la vez es el sujeto
por el cual el certificado ha sido emitido.
b. Notificación de la emisión de certificado a otros que no sean el sujeto por el cual el
certificado ha sido emitido.
c. Notificación de revocación o suspensión de un certificado al sujeto cuyo certificado
ha sido revocado o suspendido.
24
Dos CA’s operacionales han sido diseñadas para la Infraestructura de la CNBS:
a. OCA Interna. Emitirá los certificados para la autenticación SSL, firma y cifrado de
archivos para el uso interno de la CNBS.
b. OCA Externa. Emitirá los certificados para la autenticación SSL, firmas y cifrado de
archivos para las aplicaciones de interconexión financiera.
Las OCA’s deberán estar en línea y ser ubicada en las instalaciones de la Comisión Nacional de
Bancos y Seguros.
A continuación un gráfico que ilustra esta infraestructura:
Figura 1 CA Niveles de Jerarquía
Lista de Certificados
Revocados
Firmado por la CA Raíz
CA Raíz
Autofirmada
CA Intermedia
Firmada por la CA Raíz
Lista de Certificados
Revocados
Firmado por la CA Intermedia
CA Operacional Interna
Firmada por la CA
Intermedia
CA Operacional
Externa
Firmada por la CA
Intermedia
Lista de Certificados
Revocados
Firmado por la CA
Operacional Externa
Lista de Certificados
Revocados
Firmado por la CA
Operacional Interna
CA 3-tier Topology
CA Raíz Fuera de línea Standalone CA
CA Intermedia Fuera de línea Standalone CA
CAs Operacionales de línea Enterprise CAs
25
Las CAs serán operadas y administradas por la CNBS.
Las CAs de la CNBS podrán utilizar tantas Autoridades de Registro como se desee.
2.1.2.2.2 Conectividad
El cliente estará conectado a la aplicación de la CNBS utilizando la red de Interconexión Financiera
de la CNBS (extranet), utilizando un browser para cargar y descargar archivos. Usuarios de la CNBS
tendrán acceso a aplicaciones locales utilizando una red local (intranet).
En el diseño de la CNBS, todos los servidores que participaran en los servicios de llave pública
estarán conectados en la red extranet.
Las Autoridades de Certificación (CAs) requieren acceso de red a la lista de revocación de
certificados (CRL) y a los puntos de distribución de certificados CA para obtener los certificados
padre (de la estructura de árbol) de la CA y sus correspondientes CRL’s. Los servidores conectados
a la red interna no tendrán permitido obtener contenido http de servidores web que estén
conectados al internet. Esta regla debe ser definida en las reglas de seguridad de la CNBS y
aplicada a los servidores de certificados también.
2.1.2.2.3 Distribución de Certificados de CA Raíz
Tanto para los usuarios de interconexión, como los usuarios internos de la CNBS será llevada a
cabo a través de Políticas de Grupo por dominio.
2.1.2.2.4 Protección de Red para CA’s
Las CA’s Raíz e Intermedia deberán ser mantenidas fuera de línea y apagadas.
Las OCA’s deberán ser instaladas en segmentos aislados dedicados, protegidos con un Firewall y
un Reverse Proxy.
2.1.2.2.5 Interacción entre ORFEs y CA
En base a los requerimientos de los ORFE, la Autoridad Certificadora:
a. Producirá los Certificados contra presentación de las claves secretas de activación y las
llaves públicas del usuario final.
26
b. Publicará los Certificados en el Directorio activo de la CNBS.
c. Revocará Certificados y pondrá a disposición dicha información en el Directorio de la
CNBS.
La Autoridad de Certificación aceptará las solicitudes presentadas por los ORFE solamente si las
mismas se encuentran dentro de sus atribuciones, verificando previamente lo siguiente:
a. El ORFE tiene un Certificado valido.
b. La solicitud del ORFE tiene una firma valida.
c. El ORFE tienen efectivamente la responsabilidad de la Administración de Certificados.
d. El ORFE utilizó un certificado de negocios para firmar la solicitud.
2.1.2.3 El Directorio Activo de la CNBS
2.1.2.3.1 Entidades y el Directorio Activo de la CNBS
Todas las entidades registradas están definidas en los Directorios Activos (AD, por sus siglas en
inglés de Active Directory) de la CNBS: El AD propiamente dicho de la CNBS y el AD de
Interconexión Financiera. Los ADs de la CNBS deben cumplir el estándar X.500. No todas las
entidades que son registradas necesitan ser certificadas. Es decir, algunas entidades pueden ser
utilizadas simplemente para completar la estructura organizacional sin tener que ser certificadas,
por ejemplo, en el caso del AD de Interconexión1: nombre de las Instituciones Financieras. Una vez
definidas en cualquiera de los ADs de la CNBS, las entidades no pueden ser eliminadas o
cambiadas. Los ADs de la CNBS contienen la verificación de firma y certificados cifrados de todos
los usuarios finales certificados. El Módulo Criptográfico de enlace de la CNBS automáticamente
obtiene los certificados del AD correspondiente cuando son necesarios para cifrar o para verificar
firmas.
1 Para los efectos del presente Manual y tomando en consideración las buenas prácticas en cuanto a la revelación de
información, únicamente se expondrá la estructura concerniente al AD de Interconexión.
27
2.1.2.3.2 Raíz
El nodo de la CNBS en el diagrama es denominado como la raíz del árbol. Seguidamente, se
encuentran las Instituciones conocidas como usuarios de la CNBS.
2.1.2.3.3 Usuarios de la CNBS: Organización
Los nombres de usuarios de la CNBS son los nombres propios de cada una de las Instituciones
miembro de Interconexión. Cada una de las Instituciones contiene nodos adicionales.
2.1.2.3.4 Nodos adicionales: Unidades organizacionales
Pueden existir nodos representando unidades organizacionales, por ejemplo, ORFE’s, mientras
que nodos posteriores pueden ser usuarios finales. Los nombres de estos nodos son definidos por
los Oficiales de Registro de Firma Electrónica, siguiendo los lineamientos de la CNBS.
2.1.2.3.5 Estructura de Nombre Único
Cada nodo se encuentra identificado individualmente por su Nombre Único (DN, por sus siglas en
28
inglés Distinguished Name). Cada Certificado incluye el DN de cada nodo. El DN está escrito
utilizando la sintaxis X.500, donde se expresa la ruta completa y los tipos de nodo, tales como
organización (o), unidad organizacional (ou) y nombre común (cn). Un ejemplo del DN de una
persona en la notación formal se describe a continuación: cn=james-
smith,ou=tegucigalpa,o=bancoabcd,o=CNBS.
2.1.2.3.6 Impacto de la Estructura de la Institución en el Directorio de la CNBS
En el AD de Interconexión, se deben registrar la menor cantidad de niveles posibles; a fin de que
reorganizaciones internas de las Instituciones miembro de Interconexión no invaliden el árbol del
directorio, por lo tanto no deberían reflejar demasiado detalle.
2.1.2.3.7 Integración de la Infraestructura de Directorio
La arquitectura de la CNBS establece no integrar la CA’s Raíz e Intermedias con ninguno de los
AD’s, a fin de mantener las CA’s independientes del ambiente de dichos Directorios. Debido a que
las CA’s estarán desconectadas de la red, ellas no podrán actuar como servicios de inscripción para
clientes por lo que no es necesario que estén registradas en el AD.
En contraste, los CA’s operacionales si estarán integradas con el AD correspondiente, para que los
clientes puedan utilizar e inscribir certificados de usuarios y de computadoras automáticamente
después de que ellos hayan autenticado sus credenciales de dominio de manera exitosa.
2.1.2.3.8 Determinación de Dominio y Membrecía para CA’s
La OCA Externa de la CNBS deberá ser miembro del AD de Interconexión, en donde el mismo
orden organizacional deberá ser mantenido. Para cumplir con los niveles de seguridad requeridos,
todos los CA’s Raíz e Intermedio trabajarán como miembros de sus propios grupos de trabajo, lo
cual permitirá desconexión de las computadoras de la red para prevenir un ataque potencial a
dicha red.
Con el propósito de minimizar el rediseño de bosque en el servicio de certificación, los OCA’s son
definidos como miembros de dominio en el nivel superior del bosque, es decir la raíz del bosque
del Dominio. El número limitado de administradores en el dominio raíz también es fundamental
para administrar las OCA’s, como miembros del dominio raíz del bosque.
29
2.1.2.4 Modulo Criptográfico
El Modulo de Criptografía debe ser capaz de realizar las siguientes funciones:
a. Firma de mensajes y verificación de firmas.
b. Cifrado y descifrado de mensajes.
c. Validación de Certificados.
2.1.2.5 Administradores y Oficiales de Infraestructura de Firma Electrónica (IFE)
Son empleados permanentes de la Gerencia de de Informática asignados por esta, como se indica
en el apartado 1.7.2, cuyas funciones específicas en relación a PKI serán las siguientes:
Instalar, configurar y dar mantenimiento a los CA’s del Sistema PKI.
Proveer de los dispositivos de autenticación del Sistema PKI.
Apoyar en las labores de capacitación a los Oficiales de Registro de Firma
Electrónica de las Instituciones.
Velar por el correcto aprovisionamiento, renovación, revocación y suspensión de los
certificados acorde con las políticas establecidas por la CNBS a tal efecto.
Realizar respaldos y recuperación conforme lo establecido por el manual de
procedimientos del Sistema PKI.
Proveer servicios de soporte e información a los usuarios de la IFE.
Proveer Información sobre el estatus de los Certificados
Atender y procesar las solicitudes de suspensión de Certificados
2.1.2.6 Sitio Web IFE
Las generalidades del Sitio Web de la IFE ya han sido expuestas en el apartado 1.7.3. El sitio web
IFE proveerá de manera adicional acceso a la siguiente información y servicios de PKI:
Acceso a los Servicios de Validación de Certificados (para verificar la Validez de
Certificados);
Acceso al Directorio de Servicios (para búsqueda y descarga de Certificados);
30
Acceso a documentos directamente relacionados a la operación de las OCA’s y la RA de la
CNBS; así como software descargable para usos de Certificados.
El sitio web también puede contener servicios adicionales provistos por las OCA’s y RA de la CNBS.
2.2 Certificados
2.2.1 Identidad Digital
Un Certificado Digital es un archivo electrónico firmado por la Autoridad Certificadora que
contiene la llave pública del usuario final e identifica irrevocablemente al propietario. Es una
garantía que el propietario está en posesión de la llave privada correspondiente. La PKI de la CNBS
proveerá a cada usuario los certificados necesarios para autenticación, firma y cifrado de
documentos. La CNBS utilizará el formato estándar X509v3.
Contenido de los Certificados:
a. Identificación del propietario.
b. Versión del Certificado.
c. Numero Serial.
d. Identificación de la Autoridad Certificadora de la CNBS.
e. Identificador de llave pública y algoritmo.
f. Periodo de validez del Certificado
g. La finalidad del Certificado: por ejemplo, Firma Digital
h. La firma de la Autoridad Certificadora
i. Extensiones de Certificado
El certificado es almacenado en el Directorio Activo de la CNBS.
31
2.2.2 Usos de de los Certificados
Usualmente, los usuarios de los certificados no son los propietarios sino solo hacen la función de
remitentes. A menudo, los remitentes son llamados usuarios finales de confianza. Los remitentes
obtienen los Certificados de los propietarios, aunque existe la posibilidad que sean obtenidos del
AD de la CNBS. Se debe recordar los Certificados se utilizan para:
a. Autenticación de un Usuario final a un alto nivel de seguridad.
b. Creación y verificación de firmas digitales.
c. Cifrado del mensajes.
Las CA’s Operacionales de la CNBS serán utilizadas para emitir los Certificados de Autenticación de
Firmas Calificadas a usuarios finales, así como Certificados No-Públicos, No –Calificados al sistema
de infraestructura y servicios de la CNBS.
Los términos Calificados y No Calificados son utilizados con respecto a la regulación de la CNBS.
La tabla inferior muestra los Certificados emitidos por la CA operacional de la CNBS, los cuales
estarán públicamente disponibles y sujetos al presente Manual de Prácticas de Certificación de la
CNBS.
CA Nombre de
Certificado
Tipo de Certificado Uso de Certificado
CA
Operacional 1
/
CA
operacional 2
Certificado de Firma
Digital Calificada
Certificado de Interconexión No
Calificado para usuario final
Crea y verifica las firmas digitales
calificadas, además brinda soporte a la
no-repudiación al nivel más alto
Certificado de
Autenticación
Certificado de Interconexión No
Calificado para usuario final
Autenticación de empleados de
instituciones financieras que trabajan
con las aplicaciones de la CNBS.
La tabla inferior muestra los Certificados emitidos por las CA’s operacionales de la CNBS, los cuales
no estarán disponibles públicamente y por tanto no estarán sujetos al presente Manual de
32
Prácticas de Certificación de la CNBS. La administración de Llaves y ciclos de vida de dichos
Certificados no-públicos estará descrito en un documento interno.
2.2.3 Entidades Certificables
El Oficial de Registro de Firma Electrónica tiene la decisión de quien o que adquiere una
Certificación. Los Certificados identifican entidades que son de interés a los correspondientes
usuarios. Por ejemplo, los Certificados pueden ser emitidos a nombre de:
b. La Institución
c. Departamentos
d. Individuos
Debe realizarse una discusión con los departamentos legales y de negocios para identificar que
entidades necesitan ser Certificadas. No es una práctica aconsejable identificar aplicaciones, pues
éstas usualmente utilizan Certificados emitidos en nombre de la Institución, departamento o
CA Nombre de Certificado Tipo de Certificado Uso de Certificado
CA
Operacional
1 /
CA
Operacional
2
Certificado de ingreso
(login) del Token,
Certificado No-Publico, No-
calificado
Autenticación de empleados de la
CNBS.
Certificado de Firma de
Código
Certificado No-Publico, No-
calificado
Asegurar integridad de datos
Certificado de
Autenticación del
Controlador de Dominio
Certificado No-Publico, No-
calificado
Autenticación Interna
Certificado de solicitud
de Certificación
Certificado No-Publico, No-
calificado
Autenticación e integridad de datos de
solicitudes de Certificados
Certificado de Servidor
Web
Certificado No-Publico, No-
calificado
Autenticación de servidor web
Certificado de
Intercambio de CA
Certificado No-Publico, No-
calificado
Intercambio de Llaves
33
empresa, pero no se identifican a sí mismos. Adicionalmente, emitir Certificados en nombre de la
Institución o departamento los hace reusables para diferentes propósitos, por consiguiente los
certificados deben ser emitidos a nombre de personas individuales en las Instituciones.
2.3 Publicación y Responsabilidades del Repositorio
2.3.1 Directorio y Servicios de Validación de Certificados
2.3.1.1 Servicios del Directorio
El Directorio activo de la CNBS proveerá servicios en línea vía LDAP y HTTP de los Certificados de
interconexión y los CRL’s emitidos por el Root CA y sus CA’s subordinados.
No existe restricción en cuanto al acceso de los certificados publicados por la CNBS, los cuales se
encontrarán disponibles 24 horas al día, los 7 días de la semana.
2.3.1.1.1 Período de Retención de los Certificados
Certificados de Firma Calificada serán retenidos por el Servicio de Directorio de la CNBS por 30
años después de la expiración del certificado. De forma tal que sea posible determinar la
identidad del creador de una firma.
2.3.1.1.2 Período de Retención de los CRL
Los CRL de la CNBS serán retenidos por el Servicio de Directorio activo de la CNBS por 16 años
después de la expiración del CRL. De forma tal que sea posible determinar la validez de un
certificado en un punto determinado del tiempo.
2.3.1.2 Servicios de Validación de Certificados
Los servicios de validación de certificados de la CNBS se realizarán a través del OCSP, el cual
responderá sobre el estatus del certificado, siendo éste revisado contra los Certificados emitidos
por el Root CA de la CNBS y sus CA’s subordinadas.
Todos los certificados son verificables en cualquier momento por los Servicios de Validación de
34
Certificados. Dicho servicio se encontrará disponible 24/7, sin interrupción programada.
Un certificado se considera oficialmente suspendido o revocado luego que su estado ha sido
cambiado de “bueno” a “revocado”, es decir, cuando se ha procedido a atender la solicitud de
suspensión o revocación. El estado actual de un certificado siempre podrá ser consultado por
medio del OCSP.
La CNBS garantiza la actualización del estatus de los Certificados, al revisar el OCSP de la CNBS
dentro de las primeras 24 horas de haber sido recibida una solicitud autorizada. Así mismo, el CRL
correspondiente será publicado en un periodo no mayor a 48 horas después de haber recibido la
solicitud.
En caso de existir dudas en las partes dependientes, se deberá obtener la información sobre el
estatus actualizado del OCSP de la CNBS.
2.3.1.2.1 Tipos de Servicios de Validación provistos
La validación de certificados utilizando OCSP deberá ser preferida sobre el uso de CRL’s, ya que el
OCSP puede proveer información más oportuna pertinente al estatus de revocación de un
certificado.
El retardo entre la recepción de la solicitud o reporte de suspensión o revocación y el cambio en la
información del status de Certificado y su disponibilidad a todas las partes dependientes variará de
acuerdo al método de validación de Certificados:
Para validación de Certificado utilizando el OCSP de la CNBS deberá ser no mayor a un día
(24 horas)
Para validación de Certificados utilizando el más reciente CRL no deberá ser mayor a dos
días (48 horas)
2.3.1.2.2 Verificación inicial del Certificado del Root CA de la CNBS
Siendo el Certificado del Root CA auto firmado, constituye el ancla de confianza para todos los
Certificados emitidos por la CNBS. Por tanto, la huella digital (fingerprint) de dicho Root CA debe
ser examinado antes de comenzar el procedimiento. El fingerprint del Certificado emitido por la
Root CA de la CNBS será mostrado en el Sitio Web IFE de la CNBS. El proceso de Generación de la
Root CA tendrá lugar como un acto legal frente a testigos para asegurar la respectiva
35
transparencia de dicho proceso, siguiendo los lineamientos establecido en el documento de
Instalación de las CAs.
2.3.1.2.3 Significado de la Información de Validación de un Certificado
El significado de la información de validación de un certificado será descrito para el CRL en la
sección 2.5.9.5 y para el OCSP en la sección 2.5.10.2.
2.3.2 Tiempo o Frecuencia de Publicación
Los siguientes lineamientos para frecuencia y tiempo de publicación en la página Web de la IFE
serán aplicados:
Certificados Publicación inmediatamente seguida de la
generación y aceptación del Sujeto.
CRL de los OCA’s Delta CRL diario y un CRL completo semanalmente
Políticas, Lineamientos Políticas y lineamientos serán publicados tras su
respectiva aprobación.
2.3.3 Controles de Acceso sobre el Directorio
La información publicada por el Servicio de Directorio Activo de la CNBS es información
públicamente accesible, continuamente disponible. La CNBS ha implementado medidas de
seguridad físicas y lógicas para prevenir que personas no autorizadas puedan adicionar, borrar o
modificar las entradas del repositorio.
La integridad de los Certificados es asegurada mediante la limitación de derechos para cambios en
la base de datos y en acceso restringido al sistema. Adicionalmente, el Servicio de Directorio de la
CNBS cuenta con un mecanismo de integridad interno. La CNBS frecuentemente realizará una
revisión de integridad en los archivos de datos para poder detectar cualquier tipo de corrupción
de base de datos de bajo nivel.
36
2.4 Identificación y Autenticación del Suscriptor
2.4.1 Nombres
2.4.1.1 Tipos de Nombres
Todos los Certificados emitidos contienen Nombres Únicos X.509 en el campo de emisor. Los
siguientes atributos serán aplicados:
countryName (C) HN
organizationName (O) CNBS
organizationalUnitName (OU) Institución Financiera
commonName (CN) CA Externa CNBS
Todos los Certificados contienen Nombres Únicos X.509 en el campo del Sujeto. Los siguientes
atributos serán aplicados:
countryName (C) <País del Sujeto (Código ISO 3166)>
organizationName (O) Opcional: <Organización del Sujeto>
organizationalUnitName (OU) Opcional: <Unidad Organizacional del Sujeto>
commonName (CN) Opcional: <PN: seudónimo> utilizado solo en Certificados de
Firma
givenName <Nombre Dado (como se encuentra escrito en el documento
de identificación)>
surName <nombre de pila (como se encuentra escrito en el documento
de identificación)>
serialNumber <Número de Identificación único (código personal)>
Certificados de Firma Calificada contienen una dirección de correo electrónico (tipo rfc822Name),
37
el mismo asignado por la CNBS para uso en interconexión financiera, en la extensión
SubjectAltName.
La longitud de la cadena máxima para cada nombre de pila, nombre dado, numero serial, nombre
común, nombre de organización y unidad organizacional es 64.
Los atributos ´commonName´, ´givenName´, ´surName´, organización´ y unidad organizacional’
están codificados como UTF8- String. Estos atributos pueden contener caracteres especiales
(UTF8 Unicode).
2.4.1.2 Necesidad de que los nombres sean significativos
El nombre del Sujeto y el emisor contenidos en un Certificado deben ser significativos en el
sentido de que la CA operacional tenga evidencia de la asociación existente entre estos nombres
y las entidades a las cuales pertenecen.
2.4.1.3 Seudónimos de los Suscriptores
El Sujeto puede elegir un seudónimo2 durante el proceso de Solicitud de Certificado. Si un Sujeto
desea utilizar un seudónimo para Certificados Calificados en lugar de un nombre, debe indicarse
que se está utilizando un seudónimo (nombre diferentes al verdadero nombre del Sujeto o del
nombre organizacional), para ello deberá agregar el prefijo “PN”. El Certificado indicará que
identidad ha sido autenticada pero es protegida.
En caso de utilizar seudónimos, el seudónimo elegido será escrito en el Nombre común del Sujeto
DN. Nombre de Pila y Nombre Dado no serán utilizados en esa instancia.
El Uso de seudónimos para Certificados de Autenticación de Sujetos no está permitido.
2 Con el debido cumplimiento de las reglas de creación de usuarios del AD de la CNBS.
38
En cualquier caso, el Sujeto debe proveer su nombre y detalles de contacto a la CNBS. La CNBS
está autorizada para proveer el nombre de una persona a cualquier entidad que esté
explícitamente autorizada por el Sujeto, Suscriptor o una Institución o entidad del Gobierno
autorizada y previa solicitud por escrito.
El Sujeto es el único responsable por el seudónimo elegido. La CNBS no es responsable por la
verificación de la ortografía y significado del seudónimo. La CNBS está habilitada, sin ninguna
responsabilidad hacia ningún solicitante de Certificado, el rechazar o suspender cualquier Solicitud
de Certificado debido al uso ilegal seudónimos u otras razones.
2.4.1.4 Reglas para interpretar Formas de Nombres varios
No estipulado.
2.4.1.5 Nombres únicos
Cada certificado digital contiene un conjunto único de atributos de nombre único. Estos atributos
incluyen una recopilación del nombre de la persona, nombre de la compañía, unidad
organizacional e identificador único. El identificador único puede ser el código personal de
documento de identificación o un identificador único asignado por la CNBS (para cada Certificado
que utiliza un seudónimo).
Cualquier solicitud de Certificado digital que no sea único, será automáticamente rechazada por la
CNBS. Aplicaciones que son rechazadas por la CNBS por el motivo de no contener un nombre
único, serán notificadas tan pronto como sea operacionalmente posible.
Un Sujeto o Suscriptor puede tener dos o más Certificados con el mismo Nombre Único del
Suscriptor.
39
2.4.1.6 Reconocimiento, Autenticación y Función de las Marcas
2.4.1.6.1 Llaves Públicas y Privadas
Todo derecho de propiedad intelectual en las Llaves Públicas o Privadas generadas será atribuible
a la entidad por la cual y para la cual dichas llaves fueron generadas (CA de confianza, usuarios
finales) o la entidad designada por dicha entidad. Entidades subordinadas y Usuarios finales no
podrán obtener ningún derecho de cualquier tipo en relación a los Certificados, su contenido,
formato o estructura.
2.4.1.6.2 Certificado
Solicitantes de Certificado tienen prohibido utilizar sus nombres en sus Aplicaciones de Certificado
si los mismos infringen los derechos de propiedad intelectual de otros. Sin embargo, la CNBS no
verifica si un Solicitante de certificado tiene derechos de propiedad intelectual sobre el nombre
que aparece en la Solicitud de Certificado. La CNBS no arbitrará, mediará, o de ninguna otra
manera, resolverá cualquier disputa concerniente a la propiedad de cualquier nombre de
dominio, marca, nombre comercial o marca de servicio.
La CNBS se reserva el derecho en cualquier momento de suspender o revocar cualquier
Certificado en concordancia con los procedimientos y políticas establecidas en este Manual de
Practicas de Certificación y las Políticas de Certificación aplicables en la legislación del país. La
CNBS otorga licencias no-exclusivas y revocables a todas las entidades PKI Subordinadas, usuarios
finales, Partes Dependientes y otras entidades para reproducir y distribuir copias de los
Certificados emitidos por la OCA de la CNBS para los fines de proveer, utilizando y/o dependiendo
en los Certificados y los Servicios de Certificación en concordancia con lo previsto en este
Manual.
2.4.2 Validación de la Identidad Inicial
El Oficial de la IFE de la CNBS y el ORFE de cada Institución actuando en nombre de la Institución
que represente asegura que los Sujetos son debidamente identificados y autenticados, y que las
formas de Solicitud de certificación presentadas están completas, precisas y debidamente
40
autorizadas.
El Oficial de la IFE de la CNBS y el ORFE de cada Institución registran toda la información utilizada
para verificar la identidad de los Sujetos y, si es aplicable, cualquier atributo especifico del Sujeto,
incluyendo cualquier número de referencia en la documentación utilizada para verificación, y
cualquier limitación en su validez.
2.4.2.1 Autenticación de Identidad Individual
La autenticación de la identidad individual está basada en la presencia personal (física) del
Solicitante ante el ORFE. El Solicitante debe de identificarse a sí mismo con un documento de
identificación valido emitido por la entidad financiera y por la Institución emisora de documentos
de identificación debidamente autorizada, por ejemplo: pasaporte actualizado o cedula de
identidad de la República de Honduras, así como el carnet de empleado.
2.4.2.2 Autenticación de Identidad Organizacional
Cuando el Sujeto es una persona que es identificada en asociación con una persona jurídica, u otra
entidad organizacional, la evidencia que debe ser provista es la siguiente:
Nombre completo (incluyendo abreviaciones y nombre oficial) del Sujeto;
Un número de Identidad con reconocimiento nacional, u otro atributo del Sujeto el cual
puede ser utilizado, para distinguir (en la medida de lo posible) la persona de otras con el
mismo nombre;
Nombre completo de la persona jurídica u otra entidad organizacional asociada; y,
Cualquier información de registro relevante existente (registro de la compañía) de la
persona jurídica u otra entidad organizacional asociada;
Evidencia de que el Sujeto está asociado con la persona jurídica u otra entidad
organizacional.
Cada vez que un Solicitante requiera la inclusión de información de cierta organización en un
41
servicio de la IFE, el Solicitante debe proveer evidencia escrita que la organización tiene
completo conocimiento de este hecho. En todos los casos, documentos legales adecuados, que
prueben los datos a ser Certificados deben ser presentados a través de métodos alternos. El
Oficial de Registro deberá realizar la autenticación.
2.4.2.3 Validación de Autoridad
Cuando un servicio de la IFE incluye el nombre de un individuo como un representante autorizado
de la organización, el empleo de ese individuo y su autoridad de actuar en representación de la
organización también debe ser confirmado.
El ORFE requerirá evidencia escrita del Solicitante de Certificación para confirmar la información
estipulada arriba (ya sea proveyendo una forma firmada por un representante autorizado de la
organización asociada o mediante la firma de la Solicitud sometida, por un representante
autorizado de la organización asociada).
2.4.2.4 Verificación de Información
Información sometida por el Sujeto es verificada contra el Registro Residente de la Institución a la
que el Sujeto pertenece. El resultado de la verificación y corrección del proceso de validación de
identidad inicial completo es revisado por una segunda función de confianza autorizada por el OCA
de la CNBS.
2.4.2.5 Método para probar la posesión de una llave privada
Solicitudes de Certificados a la OCA de la CNBS solo pueden ser aceptadas como Solicitudes de
Certificado PKCS#10 para ser transportada de manera segura a la OCA de la CNBS. La verificación
de la firma en la solicitud de la PKSC#10 constituye prueba suficiente de la posesión de la
correspondiente Llave Privada.
2.4.3 Identificación y Autenticación (I&A) para Requerimientos de Re-Llaves
Certificados de Re-Llaves es el método utilizado por la CNBS para proveer un nuevo Certificado a
42
un Sujeto después de la expiración de un Certificado previo. Por consiguiente, un nuevo par de
llaves será generado y la emisión de un nuevo Certificado que certifique la nueva Llave Publica
será requerida.
La validación de la identidad del Solicitante de Certificado tendrá lugar en concordancia con la
validación de identidad inicial.
2.4.4 Solicitudes para cambios de estatus de certificados
Las OCA’s de la CNBS proveerán servicios para suspensión, terminación de suspensión y
revocación de Certificados.
La suspensión de operación de un certificado es el reconocimiento del certificado como
temporalmente invalido. La operación de un Certificado invalido puede ser reactivado
(terminación de la suspensión). La revocación de un certificado es el reconocimiento del
Certificado como permanente inválido.
2.4.4.1 Solicitud de Suspensión de Certificado de Usuario Final
Personas o entes organizacionales autorizados para solicitar una suspensión de Certificados
pueden someter el requerimiento mediante:
a. Correo Electrónico al ORFE de su Institución
El ORFE de cada Institución deberá proveer a todos los usuarios finales de su Institución un
correo electrónico Oficial de la IFE al que pueda ser localizado, el que deberá revisar de
manera periódica a fin de atender a tiempo completo (24 horas / 7 días a la semana). El
correo desde el cual el Usuario haga la solicitud, también deberá ser el correo Oficial de la
IFE.
b. Presencia física ante el ORFE de su Institución.
Todo usuario del sistema deberá tener conocimiento de la ubicación física de la oficina del
ORFE.
Para solicitudes de suspensión de un Certificado, el solicitante debe identificarse a si mismo
43
mediante un documento de identificación valido.
Para suspensión vía correo electrónico, la clave secreta (contraseña) de suspensión del Certificado
es necesaria. La clave de Suspensión es determinada por el Sujeto durante la Solicitud de
Certificación.
Asimismo, el solicitante deberá especificar la siguiente información:
Nombre y Apellido del Sujeto;
Numero de Contrato del Suscriptor;
Numero de Contrato General (en caso de existir);
Numero de Serie de Certificado; y
Razón de Suspensión.
2.4.4.2 Solicitud de Revocación de Certificado de Usuario Final
Personas o entes organizacionales autorizados para solicitar la revocación de un Certificado
pueden someter el requerimiento mediante
a. Correo Electrónico al ORFE de su Institución
El ORFE de cada Institución deberá proveer a todos los usuarios finales de su Institución un
correo electrónico Oficial de la IFE en el que pueda ser localizado, el que deberá revisar de
manera periódica a fin de atender a tiempo completo (24 horas / 7 días a la semana). El
correo desde el cual el Usuario haga la solicitud, también deberá ser el correo Oficial de la
IFE.
a. Presencia física ante el ORFE de su Institución.
Todo usuario del sistema deberá tener conocimiento de la ubicación física de la oficina del
ORFE.
Para solicitudes de revocación de un Certificado, el solicitante debe identificarse a si mismo
mediante un documento de identificación valido.
44
Asimismo, el solicitante deberá especificar la siguiente información:
Nombre y Apellido del Sujeto;
Numero de Contrato del Suscriptor;
Numero de Contrato General (en caso de existir);
Numero de Serie de Certificado; y
Razón de Revocación.
2.4.4.3 Terminación de la Suspensión de Certificado de un Usuario final
Personas o entidades organizacionales autorizadas para solicitar la terminación de la suspensión
de un Certificado pueden someter la solicitud al ORFE de su Institución de forma presencial.
Para solicitudes de terminación de la suspensión de un Certificado, el solicitante debe identificarse
a si mismo mediante un documento de identificación valido.
Asimismo, el solicitante deberá especificar la siguiente información:
Nombre y Apellido del Sujeto;
Numero de Contrato del Suscriptor;
Numero de Contrato General (en caso de existir);
Numero de Serie de Certificado; y
Razón por la cual se termina la Suspensión.
2.4.4.4 Solicitud de Revocación de Certificado de una OCA de la CNBS
Certificados OCA de la CNBS no deberán ser suspendidos. De ser necesarios, el certificado de una
OCA de la CNBS puede ser revocada antes de que su validez expire. Una solicitud de revocación de
Certificado de CA confiable debe ser realizada por escrito en papel.
45
Toda solicitud de revocación requiere ser válida. El Oficial IFE de la CNBS debe autenticar que una
solicitud de revocación del Certificado de una OCA de la CNBS está completa, precisa y
debidamente autorizada. Dicha validez deberá ser determinada por su cumplimiento o no-
cumplimiento con los procedimientos del presente Manual (ver 2.4.4.2), los cuales incluyen
referencias a la autoridad de la persona que podrá realizar la solicitud.
La revocación de Certificados de CA será llevada a cabo después de la comunicación del Oficial IFE
de la CNBS con la Jefatura de la unidad de Servicios de Certificación de la CNBS.
2.5 Requerimientos Operacionales del Ciclo de vida de un Certificado
Este apartado es utilizado para especificar las disposiciones impuestas a la OCA de la CNBS,
Sujetos, Suscriptores, u otros participantes con respecto al ciclo de vida de un Certificado.
2.5.1 Solicitud de Certificación
2.5.1.1 ¿Quién puede someter una Solicitud de Certificación?
Toda persona de una Institución miembro de Interconexión Financiera, cuyos datos estén
disponibles en los Registros de la Institución a la que pertenecen y cuyo perfil sea acorde a los
autorizados por la CNBS, está habilitado para aplicar a Certificados. El ORFE de cada Institución
somete las Aplicaciones de Certificados a la OCA de la CNBS en nombre del Solicitante, una vez
aceptada la forma de Solicitud ha sido llenada por el Solicitante.
2.5.2 Proceso de Solicitud de Certificación
Este sub apartado es utilizado para describir el procedimiento para procesar Solicitudes de
Certificación. El ORFE de la Institución realiza procedimientos de identificación y autenticación
para validar la Solicitud de Certificación. Siguiendo estos pasos, el ORFE aprueba o rechazan la
Solicitud de Certificación.
46
2.5.2.1 Presentación de Solicitud de Certificación
Todos los datos requeridos serán almacenados en una base de datos de la CNBS y archivados
electrónicamente en concordancia con las mejores prácticas de almacenamiento de Datos
Personales en forma electrónica.
Data Fuente Propósito
Nombre, nombre dado Documento de identificación Certificado (si un seudónimo
no es utilizado)
Seudónimo Forma de solicitud Certificado
Número de Identificación
Personal
Documento de identificación Certificado
Lugar y Fecha de
nacimiento
Documento de identificación Identificación y autenticación
para solicitud, revocación y
suspensión
Dirección y detalles de
contacto
Forma de Solicitud Administrador de Relación
con cliente (mantenido
confidencial en base de datos
CA)
Tipo de Documento de
Identificación
Documento de identificación Identificación y autenticación
para solicitud, revocación y
suspensión
Fecha de emisión de
documento de ID
Documento de identificación Validación de Documento de
ID
Documento de ID valido
hasta
Documento de identificación Validación de Documento de
ID
Emisor de documento de
ID y país emisor
Documento of identificación Validación de Documento de
ID
Tipo de Certificado
(Sujeto o entidad jurídica)
Forma de Solicitud Administrador de Relación
con cliente (mantenido
confidencial en base de datos
CA)
47
Nombre Organización Forma de Solicitud Certificado
Unidad Organizacional Forma de Solicitud Certificado
Número De Registro
Organizacional
Forma de Solicitud Administrador de Relación
con cliente (mantenido
confidencial en base de datos
CA)
Dirección de la
Organización y detalles de
contacto
Forma de Solicitud Administrador de Relación
con cliente (mantenido
confidencial en base de datos
CA)
Correo electrónico
provisto por Sujeto
Forma de Solicitud Administrador de Relación
con cliente (mantenido
confidencial en base de datos
CA)
Pregunta de seguridad de
suspensión
Forma de Solicitud Identificación vía correo
electrónico para suspensión
Frase clave (contraseña)
de suspensión
Forma de Solicitud Identificación vía correo
electrónico para suspensión
Punto de servicio de
cliente – entrega de token
Forma de Solicitud CRM
El ORFE debe ejecutar el procedimiento de validación de identidad inicial tal como se describe en
el numeral 2.4.2 En particular:
a) La autenticación de identidad individual (2.4.2.1);
b) La autenticación de identidad organizacional (2.4.2.2); y
c) Validación de autoridad (2.4.2.3)
La forma de Solicitud debe estar debidamente firmada por el Sujeto indicando que los datos ahí
consignados corresponden a su persona. Así mismo, en dicha solicitud autoriza al ORFE que
gestione en su nombre la Solicitud de Certificación y realice todas las verificaciones pertinentes.
2.5.2.2 Aprobación o Denegación de la Solicitud de Certificación
El ORFE debidamente autorizado de cada Institución acepta o rechaza la Solicitud utilizando datos
de la Base de Datos de la Institución a la que el usuario pertenece (2.4.2.4), tomando en
consideración lo siguiente:
48
Si el Solicitante ha proveído información completa, suficiente y verdadera de su persona en
la Solicitud de Certificación; y
Si la ejecución del proceso de Solicitud es conforme a este Manual.
El ORFE deberá rechazar una Solicitud de Certificación en los siguientes casos:
Documento de identificación no es válido; o
El Solicitante no tiene autorización para solicitar la emisión de Certificado (2.5.1.1);
Si la información de la Sección 2.4.2 concerniente a Identificación y autenticación de toda
la información requerida del sujeto no puede ser completada; o
La inexistencia de registro de datos en la Institución a la que el Sujeto pertenece o los datos
no son consistentes con la forma de Solicitud de Certificación; o
La forma de Solicitud no está firmada por el Solicitante u ORFE.
Después de una verificación positiva de la Solicitud, el ORFE identifica por sí mismo con su
Certificado de Autenticación y envía un requerimiento a la CNBS a través de la plataforma
tecnológica para tal fin.
Después de la validación exhaustiva realizada por el ORFE, el mismo debe firmar la Forma de
Solicitud indicando su aprobación o denegación de la solicitud, consignando la razón de la
denegación.
2.5.2.3 Tiempo para procesar una Solicitud de Certificación
El tiempo estipulado para procesar una Solicitud de Certificación no debe exceder de 48 horas
después de recibir la documentación completa por parte del Sujeto.
Una Solicitud de Certificación permanece activa hasta que es rechazada o revocada.
49
2.5.3 Emisión de Certificados
2.5.3.1 Acciones de la CA durante la Emisión de Certificados
Los Tokens y las llaves públicas y privadas serán gestionadas por el ORFE. El proceso de emisión
de certificados será el siguiente:
a. Generación de PIN del token seleccionado
b. Generación de par de llaves para cada Certificado en el token como Secure Signature
Creation Device (SSCD).
c. Generación apropiada de números de solicitud de Certificado y envío a la OCA de la CNBS
vía canal de comunicación autenticado y cifrado; seguidamente, la Llave Publica es leída
del SSCD y puesta en una solicitud PKCS#10, incluida en un paquete de datos firmados
PKCS#7.
d. El Oficial de Registro de Firma Electrónica valida la solicitud de certificación mediante:
Verificación de firma de la solicitud de Certificado.
Verificación de validez de solicitud de Certificado, así como su estructura y
contenido completo.
Comparación de la solicitud de Certificado contra la existencia de una solicitud de
token.
Comparación de la información en la solicitud del Certificación contra la solicitud de
Certificación aprobada.
e. Luego de una validación exitosa, la OCA de la CNBS genera un Certificado como una
declaración firmada digitalmente que une la información de identificación del Sujeto a su
Llave Privada.
f. Creación del mensaje de resultados con el Certificado, para un posterior envió de mensaje
de respuesta vía canal de comunicación autenticado y cifrado.
g. Grabar los Certificados en el token.
h. Generación del PIN
50
2.5.3.2 Notificación por parte de la CA de la emisión de Certificados
Una vez emitidos exitosamente los Certificados, la OCA de la CNBS lo enviará al perfil de usuario
del Sujeto.
2.5.4 Aceptación de Certificados
Después de la emisión del Certificados, el Sujeto debe ingresar junto al ORFE al perfil de su
aplicación para descargar los certificados en su token. Una vez hecho esto el ORFE debe informar
al Usuario sobre el Uso y cuidado que debe dar al token recibido, así mismo deberá indicar al
Usuario donde encontrar dicha información para una posterior consulta. Por consiguiente, el
Sujeto es informado de las precauciones de seguridad necesarias para firmas calificadas y su
significado legal, lo cual debe constar en un documento firmado por el Usuario, el cual será
denominado Contrato de Uso de Tokens de la Infraestructura de Firma Electrónica de la CNBS.
2.5.4.1 Conducción Constitutiva de Aceptación del Certificado
El Sujeto debe mostrarse en persona ante el ORFE, asimismo identificarse a través de un
documento de ID. Luego ambos proceden a grabar en el token los certificados del Sujeto.
Posteriormente el Usuario confirma la lectura del material de información provisto y firma el
contrato de Uso de Tokens de la IFE de la CNBS. El token es entregado al Sujeto.
Procedimiento para aceptación de Certificados por el Sujeto:
a. El Sujeto se presente personalmente.
b. Identificación de Sujeto (de acuerdo a numeral 2.4.2.1);
c. El ORFE de manera conjunta con el Usuario procede a grabar los certificados en el token
que será entregado al Sujeto.
d. El ORFE instruye al Sujeto sobre el Uso del token y el cuidado que debe tener sobre las
llaves.
e. El Sujeto acepta recepción del token incluyendo los Certificados con el contenido
apropiado;
51
f. Mediante la firma del Contrato de Uso de Tokens de la IFE de la CNBS, el sujeto confirma
haber recibido instrucciones y haber leído material de información acerca del token y uso
de llaves;
g. El ORFE entrega el token y una copia del Acuerdo de Uso de Tokens de la IFE de la CNBS al
Usuario.
h. Todos los documentos serán agregados al archivo del Sujeto y se enviará una copia al
Oficial de la IFE de la CNBS.
2.5.4.2 Publicación del Certificado por la CA
Los Certificados del Sujeto son publicados al activarlos en el Servicio de Directorio Activo de
Certificación de la CNBS. El Sujeto tiene que dar su consentimiento para la publicación de su
Certificado (el cual consta en el Acuerdo de Uso de Tokens de la IFE de la CNBS).
2.5.5 Uso de Certificados y par de Llaves
2.5.5.1 Llave Privada del Sujeto y Uso del Certificado
Los Certificados Calificados de la OCA de la CNBS solo podrán ser utilizados para la creación de
Firmas Seguras (en el sentido de la No-Repudiación) siguiendo la respectiva Política de Certificados
Calificados (CP) de la CA Intermedia.
Las siguientes obligaciones están incluidas en el Contrato de Uso de Tokens de la IFE de la CNBS:
El Certificado será utilizado legalmente en concordancia con el Contrato de Uso de
Tokens de la IFE de la CNBS y este Manual. El uso del Certificado debe ser
consistente con las extensiones del campo KeyUsage incluido en el Certificado (por
ejemplo, si una firma digital no está habilitada, entonces el Certificado no debe ser
utilizado para firma);
El uso de Llave Privada correspondiente a la llave Publica en el Certificado solo está
permitido una vez que el Sujeto ha aceptado el Contrato de Uso de Tokens de la IFE
52
de la CNBS y ha aceptado el contenido del certificado por su conocimiento sobre el
mismo;
El medio conteniendo los datos con la Llave Privada deberá ser asegurado
personalmente. El Sujeto deberá proteger sus Llaves Privadas de uso no autorizado
y deberán descontinuar el uso de la Llave Privada una vez que el Certificado haya
expirado, sido suspendido o revocado;
Números de Identificación Personal (PIN, PUK) para identificación en relación a los
medios de datos conteniendo Llave Privadas permanecerán secretos; y
El Contrato de Uso de Tokens de la IFE de la CNBS requerirán que los Sujetos
notifiquen inmediatamente al ORFE de su Institución, aquellos casos en los que se
sospeche que la llave privada se encuentra comprometida o ha sido utilizada
indebidamente.
2.5.5.2 Llave Pública de las Partes Dependientes y Uso del Certificado
Previo a cualquier acto de confianza, las Partes dependientes revisarán de manera independiente
los siguientes aspectos:
La conveniencia del uso de un Certificado para cualquier propósito y determinarán
si el Certificado será utilizado para un propósito adecuado, y que el mismo no esté
prohibido o restringido por este Manual. Así el Servicio de Certificación de la CNBS
no es responsable por la revisión de la conveniencia del uso del Certificado;
Que el Certificado está siendo utilizado en concordancia con extensiones del campo
KeyUsage incluidas en el Certificado (por ejemplo, si una Firma Digital no está
habilitada, entonces el Certificado no puede ser confiable para validar la firma del
Sujeto); y
El estatus del Certificado y todas las CA´s en la cadena que emitieron el Certificado.
Si cualquiera de los Certificados en la Cadena de Certificados han sido revocados, la
Parte Dependiente no podrá confiar en el Certificado del Sujeto o en otro
Certificado revocado en la cadena de Certificado.
53
2.5.6 Renovación de Certificados
La Renovación de Certificados es la emisión de un nuevo Certificado a un Sujeto sin cambiar la
llave pública o cualquier otra información en el Certificado.
2.5.7 Certificado de Re-Llave
Certificado de Re-Llave significa se refiere a la generación de un nuevo par de llaves y solicitud
para la emisión de un nuevo Certificado que certifique la nueva Llave Publica.
El Sujeto y/o el Oficial de Registro de Firma Electrónica será informado 30 días previo a la
expiración de la validez del certificado por vía correo postal o correo electrónico. Si un Certificado
ha expirado, se le requiere al Suscriptor aplicar para un nuevo Certificado en concordancia con la
sección 2.4.2.
2.5.8 Modificación de Certificados
La CNBS no realizará cambios a un Certificado existente, ya que esto entorpecería la verificación
de cualquier firma digital en el Certificado y causaría la invalidez del Certificado. En una situación
en donde la información referida en el Certificado ha cambiado o debería ser cambiada, la CNBS
emitirá un nuevo Certificado conteniendo la información modificada. Un ejemplo es aquel en el
que el Suscriptor cambie su nombre, situación que obligaría a la emisión de un nuevo Certificado
conteniendo el nuevo nombre.
En caso de que información material en un Certificado haya sido cambiada, se le requiere al Sujeto
la revocación el Certificado y aplicar para nuevos Certificados.
2.5.9 Suspensión y Revocación de Certificados
Todas las solicitudes de suspensión y revocación requieren ser validas. Tal validez deberá ser
determinada por su cumplimiento o no-cumplimiento con los procedimientos de este Manual, en
54
cual incluye referencias a la autoridad de la persona que puede hacer la solicitud.
2.5.9.1 ¿Quién puede solicitar una suspensión o una revocación de Certificado?
Las siguientes personas o entidades están autorizadas para iniciar la suspensión o revocación de
Certificados emitidos bajo los términos y condiciones de este Manual:
Sujeto;
Suscriptor (por ejemplo, ORFE que firmó la Forma de Solicitud de Certificación,
mediante el cual el ORFE verificó la validez de la solicitud y el Sujeto autorizó al
ORFE para gestionar la solicitud de sus certificados);
La CNBS (quien puede ejecutar la suspensión o revocación del Certificado basado
en circunstancias establecidas en los numerales 2.5.9.2.1 y 2.5.9.3.1)
La revocación es realizada por el ORFE basado en una solicitud legalmente autorizada.
2.5.9.2 Suspensión
2.5.9.2.1 Circunstancias para la Suspensión
La OCA de la CNBS suspenderá sin retardo alguno un Certificado en los siguientes casos:
1. Una solicitud de suspensión elegible es recibida; y
2. Validez de una Orden Judicial o una Regulación de la CNBS pertinente a la suspensión del
Certificado.
La suspensión de Certificados emitidos por la OCA de la CNBS ocurre inmediatamente después
de la solicitud de suspensión.
2.5.9.2.2 Procedimiento para la Solicitud de Suspensión
Una solicitud para suspensión de un Certificado procederá de la siguiente manera:
La persona solicitante somete una solicitud de suspensión al ORFE.
El ORFE se asegura de que la Solicitud de Suspensión está debidamente formulada;
55
El ORFE se asegura que la persona solicitante está debidamente identificada,
autenticada y autorizada
El ORFE se autentica por si mismo utilizando el (Certificado de Autenticación);
El ORFE procesa la suspensión;
El ORFE informa sin demora al Oficial de la IFE de la CNBS sobre la Suspensión
La OCA de la CNBS informa al Sujeto y/o Suscriptor vía correo electrónico sobre la
suspensión.
2.5.9.2.3 Tiempo durante el cual la CA debe procesar una Solicitud de Suspensión de Certificado
El máximo retraso entre el recibo de una solicitud de suspensión y el cambio al estatus del
Certificado, y que la información esté disponible a todas las partes involucradas depende del
método de validación de Certificado:
Para validación de Certificado que utilizan un Responder OCSP confiable del
Servicio de Certificación de la CNBS no deberá ser mayor a un día (24 horas).
Para validación de Certificado utilizando el más reciente CRL, será como máximo
dos días (48 horas).
En caso de duda, las partes dependientes podrán tener la información del estatus más reciente del
Responder – OCSP confiable del Servicio de Certificación de la CNBS.
2.5.9.2.4 Límites en el Período de Suspensión
No hay límites en relación al período de Suspensión.
2.5.9.2.5 Terminación de la Suspensión
Una vez que el Certificado ha sido suspendido, la suspensión es manejada con una de las
siguientes tres maneras:
Una entrada para el certificado suspendido permanece en el CRL hasta la
expiración del Certificado sin ninguna otra acción (a la petición de validación de
Certificado, el OCSP-R dará una respuesta negativa);
56
La entrada CRL para el Certificado suspendido es reemplazada por una entrada de
revocación para el mismo Certificado y un CRL actualizado es emitido (a la petición
de validación de Certificado, OCSP-R dará una respuesta negativa);
La suspensión de un Certificado es explícitamente terminada; la entrada se remueve
del CRL y un nuevo CRL es emitido (a la petición de validación de Certificado, OCSP-
R dará una respuesta positiva);
Una solicitud para la terminación de una suspensión solo será aceptada en forma escrita firmada
por el Sujeto, en donde el Sujeto confirma que la Llave Privada y los Códigos de Activación
estuvieron únicamente bajo su control durante el periodo de suspensión.
2.5.9.2.6 Tiempo dentro del cual la CA debe procesar una Solicitud de Terminación de Suspensión
Se requiere un lapso de 24 horas para asegurar que los Certificados suspendidos están por lo
menos en un CRL Delta.
2.5.9.3 Revocación
2.5.9.3.1 Circunstancias para la Revocación de un Certificado
La Revocación de Certificados ocurre de manera inmediata a una Solicitud de Revocación de
Certificado valida recibida por el ORFE de una Institución miembro de Interconexión Financiera, en
concordancia con la Sección 2.5.9.3.2 de este Manual. La acción de Revocación deberá tomar lugar
dentro de un periodo no mayor a 24 horas desde la recepción de una solicitud de revocación
valida en una o más de las siguientes circunstancias:
La Llave Privada correspondiente a la Llave Publica en el Certificado ha sido
extraviada, descubierta sin autorización, robada o comprometida de cualquier
manera;
La afiliación contractual entre la Institución Miembro de interconexión financiera y
el Sujeto ha sido terminada;
57
El Sujeto ha sido trasladado dentro de la misma Institución a una Unidad
(departamento o división) donde no requiere utilizar los Servicios de Certificación
de la CNBS.
La relación entre la Institución y la CNBS ha finalizado.
El Sujeto propietario del Certificado no cumple con las obligaciones materiales de
sus contratos con el Servicio de Certificación de la CNBS, o los aplicables de
cualquier Manual de la IFE, o el presente Manual;
El ORFE o la OCA de la CNBS recibe información oficial pertinente a cambios de
cualquier información incluida en los cambios de Certificado;
El ORFE o el Servicio de Certificación de la CNBS recibe información oficial que el
Sujeto o Suscriptor han proveído información falsa a la CNBS con el propósito de
recibir el Certificado;
Cumplimiento de una Orden Judicial pertinente a la revocación del Certificado;
Si existe la sospecha probable de que los algoritmos, parámetros y dispositivos
utilizados para la producción y aplicación de la Llave Privada no son confiables y no
garantizan la seguridad contra falsificación de las firmas producidas;
En caso de terminación de la OCA de la CNBS
Cualquier otra circunstancia material que requiera investigación para asegurar la
seguridad, integridad o confiabilidad de los Servicios de Certificación de la CNBS.
2.5.9.3.2 Procedimiento para realizar una Solicitud de Revocación de Certificado
Una persona que solicite la revocación de un certificado requiere comunicar dicha solicitud al
respectivo ORFE de su Institución (en caso de que no sea el mismo el solicitante), quien a su vez
iniciará la revocación del Certificado de manera diligente. El procedimiento es como a
continuación se describe:
La persona solicitante somete una Solicitud de Revocación;
El ORFE se asegura que la Solicitud de Revocación está debidamente llenada;
El ORFE se asegura que la persona solicitante está debidamente identificada,
autenticada y autorizada;
58
El ORFE se autentica a sí mismo (utilizando un Certificado);
El ORFE procesa la revocación;
El ORFE informa sin demora al Oficial de la IFE de la CNBS sobre la Revocación
La OCA de la CNBS informa al Sujeto y/o Suscriptor vía correo electrónico sobre la
revocación.
2.5.9.3.3 Tiempo durante el cual la CA debe procesar una Solicitud de Revocación de Certificado
El máximo retraso permitido entre el recibo de una solicitud de revocación y el cambio de a
estatus de Certificado, y que dicha información esté disponible a todas las partes involucradas
depende del método de validación de Certificado:
Para validación de Certificado utilizando un Responder OCSP confiable del Servicio
de Certificación de la CNBS no deberá ser mayor a un día (24 horas).
Para validación de Certificado utilizando el más reciente CRL, no deberá ser mayor a
dos días (48 horas).
En caso de duda, las partes dependientes deben obtener la información del estatus más reciente
del Responder – OCSP confiable de la CNBS.
2.5.9.4 Revocación – Verificación de Requerimientos para Partes Dependientes
Las Partes dependientes deberán verificar el estatus de los Certificados en los cuales desean
depender. Un método por el cual las partes dependientes pueden verificar el estatus es consultar
el CRL más reciente utilizando los Servicios de Directorio activo de Certificación de la CNBS. Un
certificado suspendido o revocado aparece en un CRL publicado solamente 48 horas después de su
suspensión o revocación.
Repuestas de la OCSP están basadas en el estatus del Certificado en la base de datos de
Certificados internos de la CNBS y son, por lo tanto, actualizados de manera inmediata en cuanto
se realizan cambios en el estatus de Certificados. La CNBS recomienda que las partes dependientes
verifiquen el estatus actual por medio del Responder OCSP confiable del Servicio de Certificación
59
de la CNBS.
2.5.9.5 Significado de los Códigos de Razón del CRL
Cuando un Certificado es revocado, la OCA de la CNBS específica por qué la acción fue tomada.
Esto se realiza especificando la razón de revocación; estas razones están definidas por RFC 3280 e
incluyen:
Código de Razón CRL Significado
No especificado Certificado fue revocado sin ningún código de razón específico o por otra razón
no definida.
KeyCompromise La Llave Privada del Sujeto asociada con el Certificado ha sido comprometida.
Esto significa que el token o su contraseña están en posesión de un individuo no
autorizado. Esto incluye el caso del extravió del token.
cACompromise El modulo criptográfico (HSM) en donde la Llave Privada de la CA es
almacenada, ha sido comprometido y está en posesión de un individuo no
autorizado.
affiliationChanged Este código será empleado:
Si cualquier información sustantiva en el Certificado del Sujeto ha sido alterada.
O si el Sujeto ha terminado su relación con la organización indicada en el
atributo de Nombre Único del Certificado.
Superseded Un Certificado de reemplazo ha sido emitido a un Sujeto y la razón no cabe
dentro de las mencionadas anteriormente. Esta revocación típicamente es
utilizada cuando un token o el Sujeto han cambiado su nombre legal.
cessationOfOperation La afiliación del Sujeto o del Suscriptor del Servicio de Certificación de la
CNBS ha sido terminada por cualquier razón.
certificateHold El Certificado ha sido Suspendido. El Servicio de Certificación de la CNBS no
avalará el Certificado durante el periodo de suspensión.
removeFromCRL Sin un Certificado es suspendido con el código de razón „CertificateHold‟, es
posible “reactivar” el Certificado. La terminación del proceso de suspensión
todavía listará al Certificado en el CRL, pero con el código razón en
RemoveFromCRL.
60
Nota: Este es especifico al código de razón CertificateHold, y solo es utilizado
en los Delta CRLs
2.5.9.6 Frecuencia de Emisión de los CRL
Generada y
Firmada
Tipo Contenido Validez
(incl. Tiempo de
traslape)
Tiempo Traslape
CA Raíz de
la CNBS
Total/
completo
Certificados revocados
emitidos por la CA
Raíz de la CNBS
3 meses (a la
revocación)
1 semana
CA
Intermedia
de la CNBS
Total/
completo
Certificados revocados
emitidos por la CA
Intermedia de la CNBS
3 meses (a la
revocación)
1 semana
CA
Operacional
de la CNBS
Total/
completo
Certificados revocados
emitidos por la OCA de
la CNBS
4 días (a la
revocación)
2 días
Incremental/
Delta
Certificados revocados
emitidos por la OCA de
la CNBS
24 horas (a la
revocación)
El periodo de tiempo entre thisUpdate y nextUpdate indica la validez del CRL. Por razones
técnicas (toma algún tiempo crear el CRL), el próximo CRL normalmente será emitido antes del día
indicado (durante el tiempo de traslape), pero no será emitido posteriormente.
Si un Certificado listado en el CRL expira, será removido de los CRL’s emitidos posteriormente.
CRL’s serán archivados por un periodo definido en la Sección 2.1.1.2
2.5.9.7 Máxima Latencia para CRL’s
Los CRL’s son posteados en el repositorio dentro de un tiempo razonable después de su
generación. Esto es generalmente hecho automáticamente dentro de los minutos de la
generación.
61
2.5.9.8 Disponibilidad de las Revisiones del Estatus de Revocación en Línea
Los Servicios de Validación de Certificados de la CNBS por medio de Responder-OCSP proveen
Revisión de Estatus de los Certificados en línea para los Certificados emitidos por el Root CA y las
CA’s de confianza de la CNBS. Todos los Certificados son verificables en cualquier momento por los
Servicios de Validación de Certificados sin interrupciones programadas. El Responder OCSP
confiable de la CNBS tiene carga balanceada y es redundante para propósito de Alta
Disponibilidad. Disponibilidad Estimada es de 99.9%.
2.5.9.9 Requerimientos para la Revisión de Revocación en Línea
Respuestas de la OCSP están basadas en el estatus del certificado en la base de datos interna de
Servicios de Certificación de la CNBS y son por consiguiente, actualizados inmediatamente una vez
que el estatus del Certificado cambia. La CNBS recomienda que las Partes Dependientes deben
revisar los estatus más actualizados utilizando el Responder OCSP confiable del Servicio de
Certificación de la CNBS.
Otro mecanismo provisto es la Revisión de de Estatus de Certificados fuera de línea por medio del
CRL descargable por los Servicios de Directorio Activo de Certificación de la CNBS.
2.5.9.9.1 Otras Formas de Anuncio de Revocación Disponible
No aplicable.
2.5.9.9.2 Requerimientos Especiales concernientes a Llaves Comprometidas
Si existe sospecha de que algoritmos, parámetros y/o dispositivos utilizados para la generación y
uso de Llaves Privadas no continúan siendo seguros, una investigación apropiada es iniciada por el
Administrador IFE de la CNBS. Una Llave Privada de la OCA de la CNBS comprometida tiene como
resultado la revocación inmediata de la Llave Privada del CA.
La OCA de la CNBS realizará los esfuerzos razonables para notificar a las Partes Dependientes si
62
descubre, o tiene razones para creer, que alguna Llave Privada de uno de sus propios CA´s ha sido
comprometida.
2.5.10 Servicios de Validación de Certificados
Los Servicios de Validación de Certificados de la CNBS por medio del Responder OCSP proveen
validación del Estatus de los Certificados en línea acorde a RFC 2560 para Certificados emitidos
por la Root CA y los CA’s confiables de la CNBS.
El Responder – OCSP se encuentra disponible en el URL http://
2.5.10.1 Características Operacionales
Acceso al Responder OCSP para revisar la validez del estatus de un Certificados de firma no está
restringido, el acceso no requiere autenticación. Para la validación de otros Certificados
Calificados, el Responder OCSP confiable de la CNBS acepta también solicitudes autenticadas.
El Responder OCSP confiable de la CNBS realiza las siguientes tareas:
Autentica al usuario que llama si el que origina el llamado está utilizando el canal
autenticado para acceder el OCSP.
Valida solicitudes de estatus de los Certificados para los siguientes eventos
definidos en el RFC:
1. Si el mensaje de solicitud esta debida formado;
2. Si el responder está debidamente configurado para proveer el
servicio solicitado;
3. Si la solicitud contiene la información necesaria para responder.
Si la validación falla, respuesta de error es preparado y enviado.
Si la solicitud del Estatus de Certificado es válido (en concordancia con RFC), el
Responder OCSP consulta a la base de datos de Certificados sobre la información
de estatus del Certificado.
63
Prepara un mensaje de respuesta y firma el mensaje respuesta utilizando la Llave
Privada asociada con el Certificado de Responder Confiable designado (Certificado
OCSP de la CNBS)
Retorna la respuesta al emisor
Registra la finalización de la solicitud de estatus del Certificado en el registro de
auditoría junto con el estatus de la operación.
La OCSP firma respuestas utilizando Certificados de respuesta confiables que soportan algoritmos
hash SHA1 y extensión nonce. Si el Certificado Responder confiable ha expirado o ha sido
revocado, el Responder OCSP se detiene; El Responder OCSP Confiable de la CNBS nunca da
información de validación de estatus de Certificados firmados por un Certificado no-valido.
Notar que mensajes de error no deben ser firmados.
2.5.10.2 Significado de las Respuestas
Un Responder OCSP es utilizado para responder a solicitudes de estatus de Certificados y puede
emitir una de tres respuestas posibles: “bueno”, “revocado” y “desconocido”.
Respuesta OCSP Significado
Bueno El estado “bueno” indica una respuesta positiva a la
solicitud de estatus.
Esta respuesta positiva indica que el Certificado no está
Suspendido ni revocado, pero no necesariamente
significa que la hora a la cual fue producida la respuesta
está dentro de intervalo de validez del Certificado.
Revocado El estado de “revocado” indica que el Certificado ha sido
revocado (ya sea permanentemente o temporalmente
suspendido)
Desconocido El Certificado no se encuentra en la base de datos.
La solicitud fue realizada para solicitar el estatus de
certificados que no fueron emitidos por la CNBS o por
Certificados que han sido borrados.
64
2.5.11 Fin de Suscripción
Un Suscriptor puede terminar su Suscripción de Certificación ante el OCA de la CNBS por:
Permitir que su Certificado expire sin reemplazar el Certificado; y
Revocación de su Certificado antes de la expiración del Certificado sin reemplazar el
Certificado.
2.5.12 Fideicomiso de llaves y Recuperación
Ningún participante del Servicio de Certificación de la CNBS podrá emplear el contrato de
fideicomiso de Llaves Privadas de Certificados de Firma Calificado del Suscriptor.
2.6 Cambio de Llave de la CA
El cambio de llaves no es un proceso automático. Las llaves expiran al mismo tiempo que sus
Certificados asociados. El Servicio de Certificación de la CNBS incita al cambio de llaves tres (3)
años antes de la expiración de sus Certificados, como se muestran en la siguiente tabla:
CA Periodo de
Validez
Periodo Operacional
(Día de detención de
emisión)
CA Raiz 16 años 9 años
CA Intermedia (o de
políticas)
8 años 3 años
OCA 1 4 años 2 años
OCA 2 4 años 2 años
En el “Día de Detención de Emisión” la CA cesa de emitir certificados con la llave vieja e inicia la
generación de nuevas llaves. Las nuevas llaves serán certificadas por el Servicio de Certificación de
la CNBS (de acuerdo a los requerimientos de Regeneración de llaves). El nuevo certificado de la
nueva Llave Pública es publicado en el Directorio de Servicio de Certificación de la CNBS.
65
Solicitudes de Certificación recibidas después del “Día de Detención de Emisión” serán firmadas
con la nueva Llave Privada de la CA.
La OCA de la CNBS minimiza la interrupción por el cambio de Llave de la CA a los usuarios finales y
a las partes dependientes en su cadena de confianza. En este sentido, la OCA de la CNBS continúa
emitiendo los CRLs firmados con la Llave Privada original hasta que la fecha de expiración del par
de llaves originales es alcanzada. Esto significa que después del “día de detención de emisión”,
dos CRLs con el mismo contenido se encuentran disponibles, el primero firmado con la Llave
original y el segundo CRL firmado con la nueva Llave.
2.7 Generación e Instalación del par de Llaves
2.7.1 Generación del Par de Llaves
La generación del par de llaves por parte de la OCA de la CNBS es realizada por varios individuos
(preseleccionados, entrenados, y de confianza, que han suscrito una declaración jurada a
perpetuidad de confidencialidad), utilizando sistemas y procedimientos que proveen la seguridad
y criptografía requerida para la generación de las llaves.
Las llaves Privadas de la OCA de la CNBS deberán ser generadas y almacenadas en un Modulo de
Seguridad Hardware (HSM), el cual esta certificado por FIPS 140-2 Nivel 3 para la generación y
almacenamiento de las llaves, el cual protege a la llave de su divulgación externa.
La OCA de la CNBS realiza la generación de Par de Llaves en un token, el cual es evaluado como
EAL4+ de acuerdo con el ISO 7816-1 al 4 asegurando que la firma contenida en la Llave Privada no
podrá salir del token.
2.7.2 Entrega de la Llave Privada al Sujeto
Las llaves privadas (token) son distribuidas al ORFE correspondiente. La distribución de dichos
66
dispositivos se encuentra registrada por la OCA de la CNBS. Las llaves Privadas (token) serán
entregadas personalmente por el ORFE a los Sujetos. Las llaves privadas se encuentran protegidas
en caso de su utilización incorrecta y la información no puede ser extraída del token. El uso de la
Llave Privada requiere el ingreso de un PIN el cual también será entregado por el ORFE.
2.7.3 Entrega de la Llave Pública del Sujeto al Emisor del Certificado
Las llaves Públicas son generadas en un token en la Fábrica de Tokens. Para su certificación, la
llave pública del sujeto deberá ser exportada desde el token y transportada seguramente a la OCA
de la CNBS como una Solicitud de Certificado PKCS#10 utilizando una sesión en línea SSL. La
verificación de una firma en una Solicitud de Certificado PKCS#10 constituye prueba suficiente de
la posesión de la respectiva Llave Privada. El mecanismo utilizado para la entrega de la Llave
Publica asegura que:
(i) La Llave Pública no ha sido alterada durante su transporte; y
(ii) El Solicitante del Certificado posee la Llave Privada correspondiente a la Llave Pública que ha sido transferida.
2.7.4 Entrega de la Llave Pública a Usuarios y Partes Dependientes
Toda las Llaves Publicas de la OCA de la CNBS estarán disponibles desde el directorio activo del
Servicio de Certificación de la CNBS. Adicionalmente los valores hash (huella, fingerprint) del
Certificado de la CA Raíz auto firmado para la validación inicial estarán disponibles según lo
expuesto en la sección 2.3.1.2.2.
La Llave Pública del Sujeto será entregada mediante el token utilizado para almacenar el Par de
Llaves del Sujeto. Durante la generación del Certificado, el sistema CA verifica que el Certificado
del Sujeto pueda ser corroborado utilizando la Llave Pública de la OCA de la CNBS. Si el sujeto
acordó la publicación de su Certificado en el Repositorio del Servicio de Certificación de la CNBS, el
certificado podrá ser descargado.
67
2.7.5 Tamaño de las Llaves
Key Tamaño
Llave de Firma de CA 2048 bit
Llave de Firma del Sujeto 2048 bit
Llave de Autenticación de Sujeto 1024 bit
El algoritmo Criptográfico utilizado es RSA 1024Bit/2048 Bit (PKCS#1)
2.7.6 Generación de Parámetros de Llave Pública y Revisión de Calidad
No Aplicable
2.7.7 Propósitos para la Utilización de Llaves
La Llave Privada del Sujeto deberá ser utilizada de conformidad con la sección 2.5.5.
La Llave de Firma Privada de la CA será utilizada solo para la certificación del Usuario final y para la
firma de la Lista de Revocación conforme al campo de uso de la llave X.509 v3, tal como lo estipula
el Servicio de Certificación de la CNBS.
2.8 Protección de la Llave Privada
2.8.1 Estándares para el Módulo Criptográfico
El HSM utilizado por la OCA de la CNBS reúne los requisitos señalados en FIPS 140-2, nivel 3.
Los tokens, que son utilizadas como un medio para transportar La Llave Privada del Sujeto, serán
evaluados según el criterio común (ISO 7816-1 al 4) con la evaluación nivel EAL4+.
2.8.2 Control Multipersonal de Llave Privada (M de N)
La OCA de la CNBS ha implementado un mecanismo técnico y procedimental que requiere la
68
participación de varias personas de confianza para realizar operaciones criptográficas sensitivas.
Ninguna persona por si sola tendrá a su alcance toda la información de activación para acceder a
cualquiera de la Llaves Privadas de la CA.
2.8.3 Respaldo de la Llave privada
La Llave Privada de la OCA de la CNBS será respaldada y almacenada de manera segura en caso de
pérdida debido a interrupciones en el fluido eléctrico o fallas en el equipo. El respaldo de la Llave
de la CA ocurrirá como parte del proceso de generación de dicha llave. La Llave Privada de la CA
respaldada deberá mantenerse en secreto, a fin de conservar su autenticidad e integridad.
El procedimiento de regeneración de Llaves será documentado y será realizado bajo un doble
control, dicho procedimiento se desarrollará en un lugar seguro.
Las Llaves Privadas de los Sujetos para el uso de firmas digitales serán generadas y almacenadas en
un Token, del cual no se podrán extraer, por lo tanto no se respaldan para su recuperación.
2.8.4 Archivo de la Llave Privada
Si el par de llaves de la OCA de la CNBS llegan al final de su periodo de validez, dicho par de llaves
será destruido de manera segura conforme a este DCP.
2.8.5 Transferencia de la Llave Privada al Módulo Criptográfico
El Servicio de Certificación de la CNBS genera el Par de llaves de la CA en el HSM, dispositivo en el
cual serán utilizadas las llaves.
Las Llaves Privadas del Sujeto que contienen la Firma y Certificados de Autenticación son creados
en los tokens y no podrán ser transferidas en o desde un modulo criptográfico.
69
2.8.6 Almacenamiento de la Llave Privada en el Modulo Criptográfico
Las Llaves privadas de la OCA de la CNBS contenidas en HSM deberán ser almacenadas de forma
cifrada.
Las Llaves privadas del Certificado de Firma Calificado y el Certificado de Autenticación del Sujeto
solo serán almacenadas en el token y no podrán ser extraídas de la misma.
2.8.7 Método de Activación de la Llave Privada
La llave Privada de la OCA de la CNBS solo podrá ser activada introduciendo un número pre-
definido de Tarjetas de Operador en el HSM ejecutado en el modo cumplimiento de FIPS. La
activación de Llave Privada de CA requiere la entrada y validación de un PIN o frase clave que
cumpla con los parámetros de seguridad especificados.
El uso de Llave Privada mediante token requiere el ingreso de un PIN:
Las Llaves Privadas para Firma calificada están protegidas por un PIN de firma. El ingreso
del PIN de Firma activa una Llave Privada para la Firma Calificada, que permite la
generación de una firma (cada generación de firma requiere ingresar el PIN nuevamente).
La Llave privada para Autenticación está protegida por una PIN de token. El PIN de token
activa la Llave Privada para una sesión (hasta que la fuente de poder o el token se detenga
o la aplicación del cliente es terminada).
2.8.8 Método de Desactivación de una Llave Privada
Refiérase a la Sección 2.8.9.
2.8.9 Método de Destrucción de la Llave Privada
Las Llaves Privadas de la OCA de la CNBS serán destruidas si ya no se necesitan, o cuando el
certificado al cual corresponden ha expirado o ha sido revocado. Las Llaves Privadas serán
70
destruidas de manera que prevengan su pérdida, robo, modificación, exhibición no autorizada o
uso no autorizado.
Para los tokens, esto podrá ser realizado mediante destrucción física del hardware. Los Sujetos
podrán regresar sus tokens para destrucción segura en un Punto de Servicio de Certificación al de
la CNBS.
2.8.10 Rating del Modulo Criptográfico
Ver Sección 2.8.1
2.9 Otros Aspectos de la Administración del Par de Llaves
2.9.1 Almacenamiento de la Llave Pública
Todos los Certificados emitidos (incluyendo todos los expirados, revocados o suspendidos) serán
retenidos y archivados como parte de la rutina de procedimientos de la OCA de la CNBS. El
periodo de retención después de la expiración de los Certificados será de diez (10) años.
2.9.2 Períodos Operacionales y Períodos de Uso del Par de llaves
El periodo operacional de un Certificado termina con su expiración o revocación. El periodo
operacional para un par de llaves es el mismo que el periodo operacional para los certificados
asociados, excepto que pueden continuar siendo utilizados para verificación de firma.
Adicionalmente, la OCA de la CNBS dejará de emitir nuevos Certificados en un día apropiado
previo a la expiración del Certificado CA, por lo que ningún Certificado será emitido por un CA
Subordinado después de la expiración de cualquier Certificado CA Superior.
Certificado Periodo de
Validez
Certificado de la CA Raíz (self-signed) Hasta 16 años
71
Certificado de la CA Intermedia Hasta 8 años
Certificado Calificado de la OCA Hasta 4 años
Certificado de Firma Calificada para el usuario
Final
Hasta 2 años
Certificado de Autenticación para Usuario Final Hasta 2 años
Certificado Calificado del Responder OCSP Hasta 4 años
La aplicabilidad de algoritmos criptográficos y parámetros estará constantemente supervisada por
la administración. Si un algoritmo o una longitud de Llave no ofrece suficiente seguridad durante
el periodo de validez del Certificado, el Certificado será revocado y una nueva Solicitud de
Certificado será iniciada.
2.10 Datos de Activación
2.10.1 Instalación y Generación de Datos de Activación
Un PIN o frase-clave será utilizado para proteger el acceso a la Llave Privada. Si esta información
debe ser transmitida al Sujeto, deberá ser vía un canal con protección adecuada. El Sujeto deberá
ser notificado del día del envío, método y día de entrega de cualquier dato de activación. Como
parte del método de entrega, el Sujeto deberá aceptar el recibo del token y de los datos de
activación. Adicionalmente, el Sujeto deberá también recibir y reconocer el recibo de información
concerniente al uso y control del modulo criptográfico.
2.10.2 Protección de los Datos de Activación
Los datos de activación deberán ser memorizados, no escritos. Si se escriben, debe ser asegurado
a un mismo nivel en que los datos son protegidos por el modulo criptográfico. Los datos de
activación nunca deben ser compartidos.
Los Sujetos deberán proteger los datos de activación para sus Llaves Privadas, para prevenir
72
perdida, robo, modificación, exhibición no autorizada, o uso no autorizado de dichas Llaves
Privadas.
2.10.3 Otros Aspectos de los Datos de Activación
2.10.3.1 Transmisión de los Datos de Activación
Los Sujetos deberán proteger los datos de activación para sus Llaves Privadas utilizando métodos
de protección contra la perdida, robo, modificación, exhibición no autorizada o uso no autorizado
de dichas Llaves Privadas.
2.10.3.2 Destrucción de los Datos de Activación
Los datos de activación de Llaves privadas de la OCA de la CNBS deberán ser de removidos
utilizando métodos que protejan contra la perdida, robo, modificación, exhibición no autorizada o
uso no autorizado de la Llave Privada, protegida por esos datos de activación. Después de que el
periodo de retención del registro, descrito en la Sección 5.5.2 expira, la CA deberá decomisar los
datos de activación mediante destrucción física o sobre-escritura.
2.11 Certificados y Perfiles CRL
Todos los Certificados Digitales emitidos por el Servicio de Digitalización de la CNBS cumplen con
los perfiles CRL y los Certificados Digitales descritos en RFC 3280.
2.11.1 Perfiles de Certificado
2.11.1.1 Perfil Operacional del OCA 1
OCA 1 del Servicio de Certificación de la
CNBS – Firma de la Política CA
X.509 V1 Standard Critico Atributo Contenido
Versión V3
Numero Serial Asignada automáticamente por la CA de
Certificación
Algoritmo de Firma Sha1WithRSAEncryption
73
OCA 1 del Servicio de Certificación de la
CNBS – Firma de la Política CA
X.509 V1 Standard Critico Atributo Contenido
Nombre Único del
Emisor
CN= CNBSPSI(PCA)
OU= CNBS
O= CNBS-
C= HN
Valido No Antes Issuing Date
Valido No Después Issuing Date + 6 años
Nombre Único del
Sujeto
CN= CNBSPSI(CA1)
OU= CNBS
O= CNBS-
C=HN
RSA Llave Publica 2048 bit
Key store HSM de la OCA
Extensiones X.509 V3
Identificador de Llave
Autoridad
No Identificador de
Llave
Sha1 hash el IssuerPublicKey
Identificador de Llave
Sujeto
No identificador de
Llave
Sha1 hash of SubjectPublicKey
Uso de Llave Si keyCertSign (RFC 3280)
crlSign (RFC3280)
Políticas de Certificado No certPolicyID 1.3.6.1.4.1.25177.1.1.2
CPSuri http://
BasicConstraints Yes ca True
Acceso de Información
Autoridad
No accessMethod OCA
accessLocation ldap://e
accessMethod OCSP
accessLocation http://ocsp.e-me.lv/responder.eme
CRLDistributionPoint No distributionPoint ldap://e
http://
Algoritmo de Huella
Digital
Sha1
Huella Digital Huella Digital de Certificado
Versión CA
Nombre de la Plantilla
del Certificado
Nombre de Certificado
74
2.11.1.2 Perfil Operacional del OCA 2
OCA 2 del Servicio de Certificación de la
CNBS – Firma de la Política CA
X.509 V1 Standard Critico Atributo Contenido
Versión V3
Numero Serial Asignado automáticamente por la CA de
Certificación
Algoritmo de Firma Sha1WithRSAEncryption
Nombre Único del
Emisor
CN= CNBSPSI(PCA)
OU= CNBS
O= CNBS-
C=HN
Valido No Antes Día de Emisión
Valido No Después Día de emisión + 6 años
Nombre Único del
Sujeto
CN= CNBSSI(CA2)
OU= CNBS
O= CNBS-
C=HN
RSA Llave Publica 2048 bit
Key store HSM de la OCA
Extensiones X.509 V3
Identificador de Llave
Autoridad
No Identificador de
Llave
Sha1 hash of IssuerPublicKey
Sujeto Identificador de
Llave
No Identificador de
Llave
Sha1 hash of SubjectPublicKey
Uso de Llave Si keyCertSign (RFC 3280)
crlSign (RFC3280)
CertificatePolicies No certPolicyID 1.3.6.1.4.1.25177.1.1.2
CPSuri http://
UserNotice
BasicConstraints Si ca True
Acceso de Información
Autoridad
No accessMethod OCA
accessLocation ldap://
accessMethod OCSP
accessLocation http://ocsp.e-me.lv/responder.eme
CRLDistributionPoint No distributionPoint ldap://
Algoritmo de Huella
Digital
Sha1
Huella Digital Huella digital de Certificado
Versión CA
Nombre de la Plantilla Nombre de Certificado
75
OCA 2 del Servicio de Certificación de la
CNBS – Firma de la Política CA
X.509 V1 Standard Critico Atributo Contenido
del Certificado
2.11.1.3 Perfil del Certificado de Firma Calificada Emitido por el OCA 1
Certificado de Firma del sujeto del Servicio de
Certificación de la CNBS
OCA1 firmado
X.509 V1 Standard Critico Atributo Contenido
Versión V3
Numero Serial Asignado automáticamente por la CA de
Certificación
Algoritmo de Firma Sha1WithRSAEncryption
Nombre Único del
Emisor
CN= CNBSSI(CA1)
OU= CNBS
O= CNBS-
C=HN
Valido No Antes Día de emisión
Valido No Después Día de emisión + 2 años
Nombre Único del
Sujeto
SER= <unique ID Number (personal code or other
system generated unique ID)>
givenName = <given name>
surName = <surname>
optional: [OU= <Organizational Unit>]
optional: [O= <Organization>]
C= <country>
RSA Llave Publica 2048 bit
Key store Token
X.509 V3 Extensions
Identificador de Llave
Autoridad
No Identificador de
Llave
Sha1 hash of IssuerPublicKey
Uso de Llave Si nonRepudiation (RFC3280)
QCStatements No statementId Id-etsi-pcs-QcCompliance (0.4.0.1862.1.1)
CertificatePolicies No certPolicyID 1.3.6.1.4.1.25177.1.1.2
CPSuri http://
UserNotice
BasicConstraints Si ca Falso
SubjectAltName No Rfc822Name Optional: [Email address of the Subject]
Acceso de Información
Autoridad
No accessMethod OCA
76
Certificado de Firma del sujeto del Servicio de
Certificación de la CNBS
OCA1 firmado
X.509 V1 Standard Critico Atributo Contenido
accessLocation ldap://
accessMethod Ocsp
accessLocation http://
CRLDistributionPoint No distributionPoint ldap://e
Algoritmo de Huella
Digital
Sha1
Huella Digital Huella Digital de Certificado
Versión CA
Nombre de la Plantilla
del Certificado
Nombre Certificado
Identificador de Llave
Sujeto
No Identificador de
Llave
Sha1 hash of SubjectPublicKey
Uso de Llave extendida Secure Email (OID 1.3.6.1.5.5.7.3.4)
Políticas de aplicación [1] Application Certificate Policy:
Policy Identifier = Secure Email
2.11.1.4 Perfil del Certificado de Firma Calificada Emitido por el OCA 2
Certificado de Firma del sujeto del Servicio de
Certificación de la CNBS
OCA2 firmado
X.509 V1 Standard Critico Atributo Contenido
Versión V3
Numero Serial Asignado automáticamente por la CA de
Certificación
Algoritmo de Firma Sha1WithRSAEncryption
Nombre Único del
Emisor
CN= CNBSSI(CA2)
OU= CNBS
O= CNBS-
C=HN
Valido No Antes Día de emisión
Valido No Después Día de emisión + 2 años
Nombre Único del
Sujeto
SER= <unique ID Number (personal code or other
system generated unique ID)>
givenName = <given name>
surName = <surname>
optional: [OU= <Organizational Unit>]
optional: [O= <Organization>]
77
Certificado de Firma del sujeto del Servicio de
Certificación de la CNBS
OCA2 firmado
X.509 V1 Standard Critico Atributo Contenido
C= <country>
RSA Llave Publica 2048 bit
Key store Token
X.509 V3 Extensions
Identificador de Llave
Autoridad
No Identificador de
Llave
Sha1 hash of IssuerPublicKey
Uso de Llave Si nonRepudiation (RFC3280)
QCStatements No statementId Id-etsi-pcs-QcCompliance (0.4.0.1862.1.1)
CertificatePolicies No certPolicyID 1.3.6.1.4.1.25177.1.1.2
CPSuri http://www.e-me.lv/repository
BasicConstraints Si ca Falso
SubjectAltName No Rfc822Name Optional: [Email address of the Subject]
Acceso de Información
Autoridad
No accessMethod OCA
accessLocation ldap://
accessMethod Ocsp
accessLocation http://
CRLDistributionPoint No distributionPoint ldap://
Algoritmo de Huella
Digital
Sha1
Huella Digital Huella Digital de Certificado
Versión CA
Nombre de la Plantilla
del Certificado
Nombre Certificado
Identificador de Llave
Sujeto
No Identificador de
Llave
Sha1 hash of SubjectPublicKey
Uso de Llave extendida Secure Email (OID 1.3.6.1.5.5.7.3.4)
Políticas de aplicación [1] Application Certificate Policy:
Policy Identifier = Secure Email
78
2.11.1.5 Perfil del Certificado de Autenticación del Sujeto Emitido por el OCA 1
Certificado de Autenticación del sujeto del
Servicio de Certificación de la CNBS
OCA1 firmado
X.509 V1 Standard Critico Atributo Contenido
Versión V3
Numero Serial Asignado automáticamente por la CA de
Certificación
Algoritmo de Firma Sha1WithRSAEncryption
Nombre Único del
Emisor
CN= CNBSSI(CA1)
OU= CNBS
O= CNBS-
C=HN
Valido No Antes Día de emisión
Valido No Después Día de emisión + 2 años
Nombre Único del
Sujeto
SER= <unique ID Number (personal code or other
system generated unique ID)>
givenName = <given name>
surName = <surname>
optional: [OU= <Organizational Unit>]
optional: [O= <Organization>]
C= <country>
RSA Llave Publica 1024 bit
Key store Token
X.509 V3 Extensions
Identificador de Llave
Autoridad
No Identificador de
Llave
Sha1 hash of IssuerPublicKey
Uso de Llave Si digitalSignature (RFC3280)
CertificatePolicies No certPolicyID 1.3.6.1.4.1.25177.1.1.1
CPSuri http://
UserNotice
BasicConstraints Si ca Falso
SubjectAltName No Rfc822Name Optional: [Email address of the Subject]
Acceso de Información
Autoridad
No accessMethod OCA
accessLocation
accessMethod
accessLocation
CRLDistributionPoint No distributionPoint
Algoritmo de Huella
Digital
Sha1
Huella Digital Huella Digital de Certificado
Versión CA
79
Certificado de Autenticación del sujeto del
Servicio de Certificación de la CNBS
OCA1 firmado
X.509 V1 Standard Critico Atributo Contenido
Nombre de la Plantilla
del Certificado
Nombre Certificado
Identificador de Llave
Sujeto
No Identificador de
Llave
Sha1 hash of SubjectPublicKey
Uso de Llave extendida Secure Email (OID 1.3.6.1.5.5.7.3.4)
Políticas de aplicación [1] Application Certificate Policy:
Policy Identifier = Secure Email
Certificados utilizados para aplicaciones pueden requerir que un propósito particular sea
indicado para que el Certificado sea aceptable para esa aplicación. Si un CA incluye usos de
llave extendidos para satisfacer dichas aplicaciones, pero no desea restringir los usos de las
llaves, la CA puede incluir keyPurposeID y anyExtendedKeyUsage. Si la llave
anyExtendedKeyUsage está presente, la extensión no debería ser crítica.
2.11.1.6 Perfil del Certificado de Autenticación del Sujeto Emitido por el OCA 2
Certificado de Autenticación del sujeto del
Servicio de Certificación de la CNBS
OCA 2 firmado
X.509 V1 Standard Critico Atributo Contenido
Versión V3
Numero Serial Asignado automáticamente por la CA de
Certificación
Algoritmo de Firma Sha1WithRSAEncryption
Nombre Único del
Emisor
CN= CNBSSI(CA2)
OU= CNBS
O= CNBS-
C=HN
Valido No Antes Día de emisión
Valido No Después Día de emisión + 2 años
Nombre Único del
Sujeto
SER= <unique ID Number (personal code or other
system generated unique ID)>
givenName = <given name>
surName = <surname>
optional: [OU= <Organizational Unit>]
80
Certificado de Autenticación del sujeto del
Servicio de Certificación de la CNBS
OCA 2 firmado
X.509 V1 Standard Critico Atributo Contenido
optional: [O= <Organization>]
C= <country>
RSA Llave Publica 1024 bit
Key store Token
X.509 V3 Extensions
Identificador de Llave
Autoridad
No Identificador de
Llave
Sha1 hash of IssuerPublicKey
Uso de Llave Si digitalSignature (RFC3280)
CertificatePolicies No certPolicyID 1.3.6.1.4.1.25177.1.1.2
CPSuri http://
UserNotice ‘’
BasicConstraints Si ca Falso
SubjectAltName No Rfc822Name Optional: [Email address of the Subject]
Acceso de Información
Autoridad
No accessMethod OCA
accessLocation ldap://
accessMethod Ocsp
accessLocation
CRLDistributionPoint No distributionPoint ldap://
http://
Algoritmo de Huella
Digital
Sha1
Huella Digital Huella Digital de Certificado
Versión CA
Nombre de la Plantilla
del Certificado
Nombre Certificado
Identificador de Llave
Sujeto
No Identificador de
Llave
Sha1 hash of SubjectPublicKey
Uso de Llave extendida Secure Email (OID 1.3.6.1.5.5.7.3.4)
Políticas de aplicación [1] Application Certificate Policy:
Policy Identifier = Secure Email
81
2.11.2 Perfiles de los CRL
2.11.2.1 Perfil del CRL del OCA 1
CRL del OCA 1 del Servicio de Certificación de la CNBS
OCA 1 firmado
CRL Standard Atributo Contenido
Version V2
Algoritmo de Firma Sha1WithRSAEncryption
Nombre único del Emisor CN= CNBSSI(CA1)
OU= CNBS
O= CNBS-
C=HN
Valido No Antes Issuing Date
Próxima Actualización Issuing Date + 10 days
Número del CRL Allocated automatically by certifying CA
CRL más reciente ldap://
http://
Identificador de Llave de
Autoridad
Identificador
de Llave
Sha1 hash of IssuerPublicKey
Versión de la CA Version of CA Certificate
2.11.2.2 Perfil del CRL del OCA 2
CRL del OCA 2 del Servicio de Certificación de la CNBS
OCA 2 firmado
CRL Standard Atributo Contenido
Version V2
Algoritmo de Firma Sha1WithRSAEncryption
Nombre único del Emisor CN= CNBSSI(CA2)
OU= CNBS
O= CNBS-
C=HN
Valido No Antes Issuing Date
Próxima Actualización Issuing Date + 10 days
Número del CRL Allocated automatically by certifying CA
CRL más reciente ldap://
http://
Identificador de Llave de
Autoridad
Identificador
de Llave
Sha1 hash of IssuerPublicKey
82
CRL del OCA 2 del Servicio de Certificación de la CNBS
OCA 2 firmado
CRL Standard Atributo Contenido
Versión de la CA Version of CA Certificate
2.11.2.3 Perfil del CRL Delta del OCA 1
CRL Delta del OCA 1 del Servicio de Certificación de la
CNBS
OCA 1 firmado
CRL Standard Atributo Contenido
Version V2
Algoritmo de Firma Sha1WithRSAEncryption
Nombre único del Emisor CN= CNBSSI(CA1)
OU= CNBS
O= CNBS-
C=HN
Valido No Antes Issuing Date
Próxima Actualización Issuing Date + 1 days
Número del CRL Allocated automatically by certifying CA
Indicador del CRL Delta CRL, sobre el cual el CRL Delta se encuentra basado
Identificador de Llave de
Autoridad
Identificador
de Llave
Sha1 hash of IssuerPublicKey
Versión de la CA Version of CA Certificate
2.11.2.4 Perfil del CRL Delta del OCA 2
CRL Delta del OCA 2 del Servicio de Certificación de la
CNBS
OCA 2 firmado
CRL Standard Atributo Contenido
Version V2
Algoritmo de Firma Sha1WithRSAEncryption
Nombre único del Emisor CN= CNBSSI(CA2)
OU= CNBS
O= CNBS-
C=HN
Valido No Antes Issuing Date
Próxima Actualización Issuing Date + 1 days
Número del CRL Allocated automatically by certifying CA
Indicador del CRL Delta CRL, sobre el cual el CRL Delta se encuentra basado
Identificador de Llave de Identificador Sha1 hash of IssuerPublicKey
83
CRL Delta del OCA 2 del Servicio de Certificación de la
CNBS
OCA 2 firmado
CRL Standard Atributo Contenido
Autoridad de Llave
Versión de la CA Version of CA Certificate
84
3 Firma Biométrica en la CNBS
La implementación de Firma Biométrica en la CNBS, en virtud de los altos estándares de seguridad
que provee en la identificación inequívoca de un individuo, persigue operar los siguientes cambios
en el desarrollo de las siguientes actividades:
1. Cambiar la forma de envío de los documentos, de forma manuscrita a digital, utilizando la
firma biométrica en los documentos requeridos por la Comisión Nacional de Bancos y
Seguros a las Instituciones miembros de Interconexión Financiera.
2. Sustituir el uso de papel para todas las comunicaciones emitidas por la CNBS hacia las
Instituciones Miembros de Interconexión Financiera.
3. Incorporar el uso de Firmas Biométricas, en lugar de la firma manuscrita en toda la
documentación administrada al interno de la CNBS, a fin de poder migrar a una
administración de documentos digitalizada.
3.1 Componentes de la Firma Biométrica de la CNBS
3.1.1 Componentes de la Firma Biométrica en la Institución (miembro de
Interconexión Financiera)
3.1.1.1 El Oficial de Registro de Firma Electrónica
Corresponden al ORFE ya descrito en el apartado 1.7.1.
Dentro de la Firma Biométrica, sus funciones principales serán las siguientes:
a. Administración de las Firmas Biométricas de los usuarios de su Institución.
b. Servir como persona de contacto con la CNBS para la administración de Firmas
Biométricas de los usuarios de su Institución.
c. Realizar copias de respaldo regularmente en caso de que sean necesarios para
propósitos de recuperación o para uso en una maquina de respaldo. La No-
Repudiación no está en riesgo, ya que la maquina primaria y la de respaldo representan
85
a la misma entidad lógica.
3.1.1.2 Aplicación de Firma Biométrica
La Aplicación de Firma Biométrica (BSA) es el software utilizado por los Oficiales de Registro de
Firma Electrónica (ORFE) para administrar el proceso de registro de las firmas biométricas de los
usuarios finales.
Así mismo, algunos módulos de la BSA pueden proveer a los usuarios finales las herramientas para
la elaboración, diseño, envío, recepción y monitoreo de documentos firmados biométricamente.
3.1.2 Componentes de la Firma Biométrica en la CNBS (Locales) y Remotos
La Aplicación de Registro Local del usuario final y las funciones criptográficas interactúan a través
de los siguientes componentes:
a. Autoridad de Registro
b. Aplicación de Firma Biométrica
c. Motor de Procesamiento de Firma Biométrica
d. El Directorio de la CNBS
e. Administradores y Oficiales de la IFE
f. Sitio Web de la IFE
3.1.2.1 Autoridad de Registro
3.1.2.1.1 Autoridad de Registro y Cadena de Confianza
Entiéndase que esta autoridad de registro es la misma ya descrita el apartado 2.1.2.1.1.
3.1.2.1.2 Proceso de Registro
a. Al igual que en lo descrito en el numeral 2.1.2.1.2, a la CNBS corresponderá registrar a la
Institución y a los Oficiales de Registro de Firma Electrónica de la misma.
86
La Institución es registrada en el Directorio Activo de la CNBS.
La CNBS inscribe los ORFE, basada en la recolección de datos en la Forma de
Seguridad de la CNBS. La CNBS configurará el Directorio activo de la CNBS con los
nombres de los dos primeros ORFE tal como se especifican en la Forma de
Seguridad de la CNBS, a los cuales se les asignan claves secretas.
b. Una vez que los ORFE se han certificado a sí mismos utilizando las claves secretas, pueden
proceder a registrar a los usuarios finales de la Institución.
Utilizando la BSA, los ORFE definen los usuarios finales en el Directorio de la CNBS. Los
usuarios finales registrados son por tanto configurados para registrar la firma biométrica
de los Oficiales de Registro de Firma Electrónica.
La Autoridad de Registro acepta las solicitudes solamente si las mismas se encuentran dentro de
las potestades de los ORFE. Adicionalmente, la Autoridad de Registro verifica los aspectos
siguientes:
a. El ORFE se ha identificado con las credenciales correctas.
b. La solicitud del ORFE tiene una firma valida.
c. El ORFE tienen efectivamente la responsabilidad de la Administración de Firmas
Biométricas.
3.1.2.1.3 Funciones de la Autoridad de Registro
Por tanto, las funciones de una RA en el ámbito de Firma Biométrica son las siguientes:
a. Identificación y autenticación de los ORFE’s y los usuarios finales
b. Registro de ORFE’s y usuarios finales
c. Reenvío de datos revisados y completos a la CNBS para la identificación y
verificación de la Firma Biométrica registrada.
d. Apoyo en el Registro de Firmas Biométricas.
e. Seguimiento al ciclo de vida de una Firma Biométrica.
f. Validación de las solicitudes de suspensión y revocación de Firma Biométrica.
87
Todas las solicitudes de la Autoridad de Registro (RA) tendrán la hora de entrega sellada y
registrada como evidencia. La Administración de Firmas Biométricas y cualquier otra tarea de
aplicación de negocios podrán ser combinadas en una sola persona. El ORFE también tendrá la
función de contacto, en caso de necesitar contactar a la CNBS debido a que la administración de
la firma biométrica en línea no sea posible.
De lo anterior se desprende que existirán subsidiarias de la RA (es decir ORFE’s), utilizadas para los
propósitos antes mencionados en las siguientes ubicaciones:
a. Instituciones
b. CNBS
3.1.2.1.4 Composición de la Autoridad de Registro (RA)
La Autoridad de Registro de la CNBS estará compuesta por:
d. El personal del Departamento Legal y el personal técnico en sistemas asignado por la
División de Seguridad Informática de la CNBS (ORFE’s de la CNBS) para efectos de
suscripciones al servicio PKI y registro de la Institución y los primeros dos ORFE.
e. Aplicación BSA conectada en línea con la Instituciones usuarias de la IFE para registrar
y gestionar la firma biométrica de los usuarios finales.
3.1.2.2 Aplicación de Firma Biométrica
3.1.2.2.1 Infraestructura
Corresponde a la ya descrita en el numeral 3.1.1.2
3.1.2.2.2 Conectividad
El cliente estará conectado a la aplicación de la CNBS utilizando la red de Interconexión Financiera
de la CNBS (extranet), utilizando un browser para cargar y descargar archivos. Usuarios de la CNBS
tendrán acceso a aplicaciones locales utilizando una red local (intranet).
En el diseño de la CNBS, todos los servidores que participaran en los servicios de firma biométrica
estarán conectados en la red extranet.
88
3.1.2.2.3 Protección de Red para la Aplicación
El equipo utilizado para hospedar los aplicativos de la Firma biométrica deberá ser instalado en
segmentos aislados dedicados, protegidos con un Firewall y un Reverse Proxy.
3.6.1.1 Motor de Procesamiento de Firma Biométrica
Cada firma es analizada por el motor de procesamiento de firma biométrica y convertida en una
plantilla. Estas plantillas son luego procesadas para formar el perfil de la firma del usuario. El
perfil es una estructura sólida que contiene información sobre los parámetros dinámicos de la
firma y no es afectada por factores externos al usuario. La base de datos del perfil de firma solo
puede ser administrada por un sistema administrador autorizado por dicho motor de
procesamiento de firma, a fin de asegurar una gestión integral del mismo. El ORFE a través de la
BSA podrá realizar una serie de operaciones por cada perfil de usuario, incluyendo el registro,
suspensión temporal y borrado del perfil de usuario (entendiéndose que este último no tendrá
lugar en términos físicos reales, pues podríamos hablar más bien de una suspensión permanente).
Cada vez que un usuario utiliza la Aplicación de Firma Biométrica para firmar, el motor de
procesamiento de firma compara la firma realizada con el perfil previamente registrado para dicho
usuario. Cada vez que un usuario aplica su firma a través de la Aplicación de Firma Biométrica, el
motor de procesamiento de firma continúa aprendiendo y afina el perfil del usuario. Esto permite
que el sistema brinde seguimiento y se adapte a los cambios graduales que la firma manuscrita
sufre con el tiempo.
3.6.1.2 El Directorio Activo de la CNBS
Considerando que el Directorio Activo al que se refiere este apartado corresponde al mismo sobre
el cual ya se desarrollaron disposiciones en la sección 2.1.2.3, se deberán seguir las disposiciones
ya indicadas. Siendo el único requerimiento adicional la correcta incorporación del correo
electrónico proporcionado por Interconexión Financiera a dicho Directorio Activo por parte de los
89
ORFE’s de cada Institución.
3.6.1.3 Administradores y Oficiales de Infraestructura de Firma Electrónica (IFE)
Personal asignado por la Gerencia de Informática de la CNBS, como se indica en el apartado 1.7.2,
cuyas funciones específicas en relación a Firma Biométrica serán las siguientes:
Instalar, configurar y dar mantenimiento a los equipos del Sistema de Firma
Biométrica.
Proveer los dispositivos de Firma Biométrica.
Apoyar en las labores de capacitación a los Oficiales de Registro de Firma
Electrónica de las Instituciones.
Velar por el correcto registro, suspensión temporal y suspensión permanente de las
Firmas Biométricas acorde con las normas establecidas por la CNBS a tal efecto.
Realizar respaldos y recuperación conforme lo establecido por el manual de
procedimientos de Firma Biométrica.
Proveer servicios de soporte e información a los usuarios de la IFE.
Atender y procesar las solicitudes de suspensión de Firmas Biométricas.
3.6.1.4 Sitio Web IFE
Las generalidades del Sitio Web de la IFE ya han sido expuestas en el apartado 1.7.3. El sitio web
IFE proveerá de manera adicional acceso a la siguiente información y servicios de PKI:
Acceso a la Aplicación de Firma Biométrica.
Acceso a documentos directamente relacionados a la operación de la Firma Biométrica y el
software descargable para el uso de dichas firmas.
El sitio web también puede contener servicios adicionales provistos por la CNBS.
90
3.2 Firma Biométrica
3.2.1 Firma Biométrica
La Firma biométrica es el dato electrónico que resulta de la captación de la firma manuscrita a
través de dispositivos electrónicos. Dicha firma biométrica, al igual que la firma manuscrita
identifica irrevocablemente al propietario. Es una garantía que el firmante corresponde a la
persona dueña de la firma. La firma biométrica está compuesta por:
a. Aspectos Dinámicos, tales como la presión, la dirección, la velocidad y los cambios
en la velocidad de la firma.
b. Aspectos Estáticos, son aquellos tradicionales que a través de la historia han sido
reconocidos para identificar una firma: forma y tamaño.
La firma biométrica es almacenada en las Bases de Datos de la CNBS.
3.2.2 Usos de la Firma Biométrica
En este caso, los usuarios de la firma biométrica son los propietarios personales de la firma
utilizada, es decir, nadie puede en nombre de otra persona plasmar la rúbrica de una firma ajena.
Las Firmas Biométricas serán utilizadas para:
a. Autenticación de un Usuario Final a un alto nivel de seguridad en la aplicación de
Firma Biométrica.
b. Firma de documentos intercambiados entre la CNBS y las Instituciones usuarias de
la Infraestructura de Firma Electrónica.
3.2.3 Usuarios de la Firma Biométrica
Los Usuarios de la Firma Biométrica serán todos aquellos que la CNBS designe. Salvo modificación
del presente Manual, los usuarios autorizados deberán ser los siguientes:
a. Comisionados de la CNBS.
b. Secretario General de la CNBS.
91
c. Superintendentes de la CNBS
d. Gerente de las Institución usuaria de la IFE.
e. Contador General de la Institución usuaria de la IFE.
f. Auditor de la Institución usuaria de la IFE.
g. Cualquier otra persona autorizada por la CNBS para firmar en el intercambio de
documentos realizado entre la misma y las Instituciones usuarias de la IFE.
La Firma Biométrica será emitida únicamente a nombre de Individuos, aún cuando su firma
implique la representación de una Institución o una dependencia de esta, la asociación de dicha
firma se realizará a nivel de responsabilidad individual.
3.3 Consideraciones sobre el Repositorio y la Verificación de Firmas
Biométricas
3.3.1 Servicio del Directorio
Es responsabilidad del ORFE de cada Institución mantener actualizada la Unidad Organizativa de su
Institución, así como administrar los usuarios de firma biométrica, su información y el registro de
los mismos en los grupos correspondientes, tal como lo establecen las Guías elaboradas para tal
fin. Es importante que la información sobre el correo electrónico creado para los Servicios de
Interconexión Financiera se encuentre asociado en el perfil del usuario en el Directorio Activo.
3.3.2 Validación de la Firma Biométrica
Haciendo uso del motor de procesamiento de Firma Biométrica, la Aplicación de Firma Biométrica
y la Red de Interconexión Financiera, la IFE ofrece una validación inmediata de la firma biométrica
que un usuario ha ingresado en un momento dado. Intento de firmas de un usuario, que resulten
en una acción manifiesta de usurpación serán rechazadas y debidamente almacenado dicho
intento en la bitácora de transacciones, los cuales serán objeto de revisión periódica y puestos a la
disposición de auditoría.
92
3.3.3 Controles de Acceso sobre el Directorio y demás aplicaciones de Firma
Biométrica
La CNBS ha implementado medidas de seguridad físicas y lógicas para prevenir que personas no
autorizadas puedan adicionar, borrar o modificar las entradas del repositorio y demás aplicaciones
y bases de datos utilizadas para la Administración de la Firma Biométrica.
3.4 Identificación y autenticación del Suscriptor
3.4.1 Nombre
El nombre consignado y asociado a la Firma Biométrica corresponderá al asignado en el Directorio
Activo. Por tanto es necesario que dichos nombres o seudónimos sean asignados según las
instrucciones ya estipuladas para tal fin en la Red de Interconexión Financiera, en el sentido que
posteriormente se tenga evidencia de la asociación existente entre el nombre y el firmante a la
que la firma pertenece.
3.4.2 Validación de la Identidad Inicial
El Oficial de la IFE de la CNBS y el ORFE de cada Institución actuando en nombre de esta, asegura
que los Sujetos son debidamente identificados y autenticados, y que las formas de solicitud de
registro de Firma Biométrica presentadas están completas, precisas y debidamente autorizadas.
El Oficial de la IFE de la CNBS y el ORFE registra toda la información utilizada para verificar la
identidad de los Sujetos y, si es aplicable, cualquier atributo especifico del Sujeto, incluyendo
cualquier número de referencia en la documentación utilizada para verificación, y cualquier
limitación en su validez.
3.4.2.1 Autenticación de Identidad Individual
La autenticación de la identidad individual está basada en la presencia personal (física) del
93
Solicitante en la RA. El Solicitante debe de identificarse a sí mismo con un documento de
identificación valido emitido por la entidad financiera y por la institución emisora de documentos
de identificación debidamente autorizada, por ejemplo: pasaporte vigente o tarjeta de identidad
de la República de Honduras, así como carnet de empleado.
3.4.2.2 Validación de Autoridad
Cuando un servicio de la IFE incluye el nombre de un individuo como un representante autorizado
de la organización, el empleo de ese individuo y su autoridad de actuar en representación de la
organización también debe ser confirmado en forma impresa en papel.
El ORFE requerirá evidencia escrita impresa en papel del Solicitante de firma biométrica para
confirmar la información estipulada arriba (ya sea proveyendo una forma firmada impresa en
papel por un representante autorizado de la organización asociada o mediante la firma impresa en
papel de la Solicitud sometida, por un representante autorizado de la organización asociada).
3.4.2.3 Verificación de Información
La información sometida por el Sujeto es verificada contra el Registro Residente de la CNBS. El
resultado de la verificación y corrección del proceso de validación de identidad inicial completo es
revisado por una segunda función de confianza autorizada por la IFE de la CNBS.
3.4.3 Solicitudes para cambios de estatus de certificados
La IFE de la CNBS proveerá servicios para suspensión, terminación de suspensión y revocación de
firmas biométricas.
La suspensión de operación de una firma biométrica es el reconocimiento de la firma biométrica
como temporalmente invalida. La operación de una firma biométrica inválida puede ser
reactivada (terminación de la suspensión). La revocación de un certificado es el reconocimiento
94
de certificados como permanentemente inválido.
3.4.3.1 Solicitud de Suspensión de Firma Biométrica de un Usuario Final
Personas o entes organizacionales autorizados para solicitar una suspensión de firma biométrica
pueden someter el requerimiento mediante:
a. Correo Electrónico al ORFE de su Institución
El ORFE de cada Institución deberá proveer a todos los usuarios finales de su Institución el
correo electrónico Oficial de la IFE al que pueda ser localizado, el que deberá revisar de
manera periódica a fin de atender a tiempo completo (24 horas / 7 días a la semana). El
correo desde el cual el Usuario haga la solicitud, también deberá ser el correo Oficial de la
IFE.
b. Presencia física ante el ORFE de su Institución.
Todo usuario del sistema deberá tener conocimiento de la ubicación física de la oficina del
ORFE.
Para solicitudes de suspensión de una firma biométrica, el solicitante debe identificarse a si mismo
mediante un documento de identificación valido.
Para suspensión vía correo electrónico, la clave secreta (contraseña) de suspensión de firma
biométrica es necesaria. La clave de Suspensión es determinada por el Sujeto durante la Solicitud
de firma biométrica.
Asimismo, el solicitante deberá especificar la siguiente información:
Nombre y Apellido del Sujeto;
Numero de contrato del Suscriptor;
Numero de contrato General (en caso de existir);
Razón de Suspensión.
95
3.4.3.2 Solicitud de Revocación de Firma Biométrica de un Usuario Final
Personas o entes autorizados para solicitar la revocación de una Firma Biométrica pueden
someter el requerimiento mediante
a. Correo Electrónico al ORFE de su Institución
El ORFE de cada Institución deberá proveer a todos los usuarios finales de su Institución un
correo electrónico Oficial de la IFE en el que pueda ser localizado, el que deberá revisar de
manera periódica a fin de atender a tiempo completo (24 horas / 7 días a la semana). Vale
la pena mencionar que el correo desde el cual el Usuario haga la solicitud, también deberá
ser el correo Oficial de la IFE.
b. Presencia física ante el ORFE de su Institución.
Todo usuario del sistema deberá tener conocimiento de la ubicación física de la oficina del
ORFE.
Para solicitudes de revocación de un Certificado, el solicitante debe identificarse a si mismo
mediante un documento de identificación valido.
Asimismo, el solicitante deberá especificar la siguiente información:
Nombre y Apellido del Sujeto;
Numero del contrato del Suscriptor;
Numero de contrato General (en caso de existir);
Razón de Revocación.
3.4.3.3 Terminación de la Suspensión de Firma Biométrica de un Usuario Final
Personas o entidades organizacionales autorizadas para solicitar la terminación de la suspensión
de una firma biométrica pueden someter la solicitud al ORFE de su Institución de forma presencial.
Para solicitudes de terminación de la suspensión de una firma biométrica, el solicitante debe
96
identificarse a si mismo mediante un documento de identificación valido.
Asimismo, el solicitante deberá especificar la siguiente información:
Nombre y Apellido del Sujeto;
Numero de contrato del Suscriptor;
Numero de contrato General (en caso de existir);
Razón por la cual se termina la Suspensión.
3.5 Requerimientos Operacionales del Ciclo de Vida de una Firma
Biométrica
Este apartado es utilizado para especificar las disposiciones impuestas a los Sujetos, Suscriptores,
u otros participantes con respecto al ciclo de vida de una Firma Biométrica.
3.5.1 Solicitud de Registro de Firma Biométrica
3.5.1.1 ¿Quién puede someter una Solicitud de Registro de Firma Biométrica?
Toda persona de una Institución miembro de Interconexión Financiera, cuyos datos estén
disponibles en los Registros de la Institución a la que pertenecen y cuyo perfil sea acorde a los
autorizados por la CNBS, está habilitado para aplicar a Firmas Biométricas. El ORFE de cada
Institución somete las Aplicaciones de Firma Biométrica a la Aplicación de Firma Biométrica en
nombre del Solicitante, una vez aceptada la forma de Solicitud ha sido llenada por el Solicitante.
3.5.2 Proceso de Solicitud de Registro de Firma Biométrica
Este sub apartado es utilizado para describir el procedimiento para procesar Solicitudes de
Registro de Firma Biométrica. El ORFE de la Institución realiza procedimientos de identificación y
autenticación para validar la Solicitud de Registro de Firma Biométrica. Siguiendo estos pasos, el
ORFE aprueba o rechazan la Solicitud de Registro de Firma Biométrica.
97
3.5.2.1 Presentación de Solicitud de Registro de Firma Biométrica
Todos los datos requeridos serán almacenados en una base de datos de la CNBS y archivados
electrónicamente en concordancia con las mejores prácticas de almacenamiento de Datos
Personales en forma electrónica.
Data Fuente Propósito
Nombre, nombre dado Documento de identificación Firma Biométrica (si un
seudónimo no es utilizado)
Seudónimo Forma de solicitud Firma Biométrica
Número de Identificación
Personal
Documento de identificación Firma Biométrica
Lugar y Fecha de
nacimiento
Documento de identificación Identificación y autenticación
para solicitud, revocación y
suspensión
Dirección y detalles de
contacto
Forma de Solicitud Administrador de Relación
con cliente (mantenido
confidencial en base de datos)
Tipo de Documento de
Identificación
Documento de identificación Identificación y autenticación
para solicitud, revocación y
suspensión
Fecha de emisión de
documento de ID
Documento de identificación Validación de Documento de
ID
Documento de ID valido
hasta
Documento de identificación Validación de Documento de
ID
Emisor de documento de
ID y país emisor
Documento of identificación Validación de Documento de
ID
Tipo de Certificado
(Sujeto o entidad jurídica)
Forma de Solicitud Administrador de Relación
con cliente (mantenido
confidencial en base de datos)
Nombre Organización Forma de Solicitud Certificado
98
Unidad Organizacional Forma de Solicitud Certificado
Número De Registro
Organizacional
Forma de Solicitud Administrador de Relación
con cliente (mantenido
confidencial en base de datos)
Dirección de la
Organización y detalles de
contacto
Forma de Solicitud Administrador de Relación
con cliente (mantenido
confidencial en base de datos)
Correo electrónico
provisto por Sujeto
Forma de Solicitud Administrador de Relación
con cliente (mantenido
confidencial en base de datos)
Pregunta de seguridad de
suspensión
Forma de Solicitud Identificación vía correo para
suspensión
Frase clave (contraseña)
de suspensión
Forma de Solicitud Identificación vía correo para
suspensión
Perfil de Usuario Forma de Solicitud Definición del tipo de usuario
que será: Administrador,
creador y/o firmante.
Punto de servicio de
cliente – entrega de tableta
de firma
Forma de Solicitud CRM
El ORFE debe ejecutar el procedimiento de validación de identidad inicial tal como se describe en
el numeral 3.4.2.
La forma de la Solicitud debe estar firmada por el Sujeto indicando que los datos ahí consignados
corresponden a su persona. Así mismo, que en dicha solicitud autoriza al ORFE para que gestione
en su nombre la Solicitud de Registro de Firma Biométrica y realice todas las verificaciones
pertinentes.
3.5.2.2 Aprobación o Denegación de la Solicitud de Registro de Firma Biométrica
El ORFE debidamente autorizado de cada Institución acepta o rechaza la Solicitud utilizando datos
de la Base de Datos de la Institución a la que el usuario pertenece (3.4.2.3), tomando en
consideración lo siguiente:
99
Si el Solicitante ha proveído información completa, suficiente y verdadera de su persona en
la Solicitud de Certificación; y
Si la ejecución del proceso de Solicitud es conforme a este Manual.
El ORFE deberá rechazar una Solicitud de Certificación en los siguientes casos:
Documento de identificación no es válido; o
El Solicitante no tiene autorización para solicitar la emisión de Certificado (3.5.1.1);
Si la información de la Sección 3.4.2 concerniente a Identificación y autenticación de toda
la información requerida del sujeto no puede ser completada; o
La inexistencia de registro de datos en la Institución a la que el Sujeto pertenece o los datos
no son consistentes con la forma de Solicitud de Certificación; o
La Forma de la Solicitud no está firmada por el Solicitante u ORFE.
Después de una verificación positiva de la Solicitud, el ORFE identifica por sí mismo con sus
credenciales y envía un requerimiento a la CNBS a través de la plataforma tecnológica para
tal fin.
Después de la validación realizada por el ORFE, el mismo debe firmar la Forma de la Solicitud
indicando su aprobación o denegación de la solicitud, consignando la razón de la denegación.
2.5.2.3 Tiempo para procesar una Solicitud de Registro de Firma Biométrica
El tiempo estipulado para procesar una Solicitud de Registro de Firma Biométrica no debe exceder
de 48 horas después de recibir la documentación completa por parte del Sujeto.
Una Solicitud de Registro de Firma Biométrica permanece activa hasta que es rechazada o
revocada.
100
3.5.3 Proceso de Registro de la Firma Biométrica
Después de presentada y aprobada la Solicitud de Registro de Firma Electrónica, el Sujeto debe
ingresar junto al ORFE al aplicativo para el Registro de firma. Una vez ahí, el Sujeto deberá
registrar su firma. Hecho esto el ORFE debe informar al Usuario sobre el Uso y cuidado que debe
dar a la tableta de firma recibida, así mismo deberá indicar al Usuario donde encontrar dicha
información para una posterior consulta. Por consiguiente, el Sujeto es informado de las
precauciones de seguridad necesarias para firmas calificadas y su significado legal, lo cual debe
constar en un documento firmado por el Usuario, el cual será denominado contrato de Uso de
Firma Biométrica de la Infraestructura de Firma Electrónica de la CNBS.
3.5.3.1 Conducción Constitutiva del Registro de la Firma Biométrica
El Sujeto debe mostrarse en persona ante el ORFE, asimismo identificarse a través de un
documento de ID. Luego ambos proceden a registrar la firma utilizando el aplicativo provisto para
dicho fin. Posteriormente el Usuario confirma la lectura del material de información provisto y
firma un Acuerdo de Uso de Firma Biométrica de la IFE de la CNBS. La tableta de firma es
entregada al Sujeto.
Procedimiento para aceptación del Registro de Firma Biométrica por el Sujeto:
a. El Sujeto se presente personalmente.
b. Identificación de Sujeto (de acuerdo a numeral 3.4.2.1);
c. El ORFE de manera conjunta con el Usuario procede a registrar la firma biométrica del
Sujeto.
d. El ORFE instruye al Sujeto sobre el Uso de la Firma Biométrica y el cuidado que debe tener
sobre la misma y la tableta de firma.
e. El Sujeto acepta y recibe la tableta de firma;
f. Mediante la firma del contrato de Uso de Firma Biométrica de la IFE de la CNBS, el sujeto
confirma haber recibido instrucciones y haber leído material de información acerca del uso
de la Firma Biométrica y la tableta de firma;
101
g. El ORFE entrega una copia del Acuerdo de Uso de Firma Biométrica de la IFE de la CNBS al
Usuario.
h. Todos los documentos serán agregados al archivo del Sujeto y se enviará una copia al
Oficial de la IFE de la CNBS.
3.5.4 Suspensión y Revocación de Firmas Biométricas
Toda solicitud de suspensión y revocación requieren ser validas. Tal validez deberá ser
determinada por su cumplimiento o no-cumplimiento con los procedimientos de este Manual, en
cual incluye referencias a la autoridad de la persona que puede hacer la solicitud.
3.5.4.1 ¿Quién puede solicitar una suspensión o una revocación de una Firma
Biométrica?
Las siguientes personas o entidades están autorizadas para iniciar la suspensión o revocación de
Firmas Biométricas emitidas bajo los términos y condiciones de este Manual:
Sujeto;
Organización o dependencia autorizado (por ejemplo, la División de Recursos
Humanos que indique que el Sujeto estará temporalmente fuera del servicio de la
Institución);
La CNBS (quien puede ejecutar la suspensión o revocación del Certificado basado
en circunstancias establecidas en los numerales 3.5.4.2.1 y 5.5.4.3.1)
La revocación es realizada por el ORFE basado en una solicitud legalmente autorizada.
3.5.4.2 Suspensión
3.5.4.2.1 Circunstancias para la Suspensión
La CNBS suspenderá sin retardo alguno una Firma Biométrica en los siguientes casos:
1. Una solicitud de suspensión elegible es recibida; y
102
2. Validez de una Orden Judicial o una Regulación de la CNBS pertinente a la suspensión de la
Firma Biométrica.
La suspensión de Firmas Biométricas ocurre inmediatamente después de la solicitud de
suspensión.
3.5.4.2.2 Procedimiento para la Solicitud de Suspensión
La solicitud para la suspensión de una firma Biométrica procederá de la siguiente manera:
La persona solicitante somete una solicitud de suspensión al ORFE.
El ORFE se asegura de que la Solicitud de Suspensión está debidamente formulada;
El ORFE se asegura que la persona solicitante está debidamente identificada,
autenticada y autorizada
El ORFE se autentica por si mismo utilizando sus credenciales de acceso;
El ORFE procesa la suspensión;
El ORFE informa sin demora al Oficial de la IFE de la CNBS sobre la Suspensión
La CNBS informa al Sujeto y/o Suscriptor vía correo electrónico sobre la suspensión.
3.5.4.2.3 Límites en el Período de Suspensión
No hay límites en relación al período de Suspensión.
3.5.4.2.4 Terminación de la Suspensión
Una solicitud para la terminación de una suspensión solo será aceptada en forma escrita e impresa
firmada por el Sujeto.
3.5.4.3 Revocación
3.5.4.3.1 Circunstancias para la Revocación de una Firma Biométrica
La Revocación de una Firma Biométrica ocurre de manera inmediata a una Solicitud de Revocación
de Firma valida recibida por el ORFE de una Institución miembro de Interconexión Financiera, en
concordancia con la Sección 2.5.4.3.2 de este Manual. La acción de Revocación deberá tomar lugar
103
dentro de un periodo no mayor a 24 horas desde la recepción de una solicitud de revocación
valida en una o más de las siguientes circunstancias:
La afiliación contractual entre la Institución Miembro de interconexión financiera y
el Sujeto ha sido terminada;
El Sujeto ha sido trasladado dentro de la misma Institución a una Unidad
(departamento o división) donde no requiere utilizar los Servicios de Firma
Biométrica.
La relación entre la Institución y la CNBS ha finalizado.
El Sujeto propietario de la Firma Biométrica no cumple con las obligaciones
materiales del contrato con el Servicio de Infraestructura de Firma Electrónica de la
CNBS, o los aplicables de cualquier Manual de la IFE, o el presente Manual;
El ORFE o la IFE de la CNBS recibe información oficial que el Sujeto o Suscriptor han
proveído información falsa a la CNBS con el propósito de recibir la Firma
Biométrica;
Cumplimiento de una Orden Judicial pertinente a la revocación de una Firma
Biométrica;
Si existe la sospecha probable de que los algoritmos, parámetros y dispositivos
utilizados para la producción y aplicación de la Firma Biométrica no son confiables
y no garantizan la seguridad contra falsificación de las firmas producidas;
En caso de terminación de la IFE de la CNBS
Cualquier otra circunstancia material que requiera investigación para asegurar la
seguridad, integridad o confiabilidad de los Servicios de la IFE de la CNBS.
3.5.4.3.2 Procedimiento para realizar una Solicitud de Revocación de una Firma Biométrica
Una persona que solicite la revocación de una Firma Biométrica requiere comunicar dicha solicitud
al respectivo ORFE de su Institución (en caso de que no sea el mismo el solicitante), quien a su vez
iniciará la revocación de la Firma Biométrica de manera diligente. El procedimiento es como a
continuación se describe:
La persona solicitante somete una Solicitud de Revocación;
104
El ORFE se asegura que la Solicitud de Revocación está debidamente llenada;
El ORFE se asegura que la persona solicitante está debidamente identificada,
autenticada y autorizada;
El ORFE se autentica a sí mismo (utilizando sus credenciales de acceso);
El ORFE procesa la revocación;
El ORFE informa sin demora al Oficial de la IFE de la CNBS sobre la Revocación
La CNBS informa al Sujeto y/o Suscriptor vía correo electrónico sobre la revocación.
4. Instalación, Administración y Controles Operacionales
La IFE de la CNBS implementa las Regulaciones de Seguridad basadas en el Estándar de Seguridad
de Información ISO 27002: 2005 (antes 17799:2005) el cual recomienda los requerimientos de
Seguridad de este Manual. El cumplimiento de estas normas está incluido en los requerimientos
de auditoría independiente del Servicio de Certificación de la CNBS descritos en la Sección 4.4.
4.1 Controles de Seguridad Física
La IFE de la CNBS utiliza sistemas confiables y productos que están protegidos contra modificación
y aseguran la seguridad técnica y criptográfica de los procesos soportados por ellos.
La IFE de la CNBS implementa Regulaciones y Procedimientos de Seguridad Física, los cuales
soportan los requerimientos de seguridad de este Manual. Los procedimientos y Regulaciones de
Seguridad Física contienen información de seguridad sensitiva y solo están disponible una vez
acordado con la IFE de la CNBS. Un resumen de los requerimientos se describe a continuación.
4.1.1 Ubicación y Construcción
La IFE de la CNBS se desarrolla en el interior de una ambiente protegido físicamente que detiene,
previene y detecta el uso no autorizado de acceso, o exhibición de información sensitiva y
sistemas abiertos o encubiertos.
105
La IFE de la CNBS mantendrá instalaciones de recuperación de desastres para sus operaciones. Las
instalaciones de recuperación de desastres del Servicio de Certificación y Firma Biométrica de la
CNBS estarán protegidas por múltiples niveles de seguridad física comparables a los de las
instalaciones primarias de la IFE de la CNBS.
4.1.2 Acceso Físico
Los sistemas de la IFE de la CNBS están protegidos por un mínimo de tres niveles de seguridad
física, requiriéndose el acceso al nivel inferior antes de tener acceso a los niveles superiores.
Privilegios de acceso físico son restringidos progresivamente en cada nivel.
La protección provista es conmensurable con los riesgos identificados. La CNBS asegura que el
acceso físico a los servicios críticos está controlado y los riesgos físicos a sus recursos están
minimizados.
Una clara descripción del ambiente físico de la IFE de la CNBS está disponible. Esto incluye:
Zonas de seguridad implementadas y sus propiedades de protección (preventivo,
represivo, detective y correctivo);
La relación con los recurso críticos de seguridad;
Cuáles miembros del personal de la IFE de la CNBS tienen acceso a determinadas zonas.
Es implementada una protección adecuada (preventivo, represivo, detective y correctivo)
contra incendios, humo, fallas de energía eléctrica, agua, tormentas, etc., basado en un
documento de análisis de riesgo.
En el lugar se encuentran Sistemas de control de acceso.
Códigos de Acceso a zonas de alta seguridad son cambiados regularmente.
Mecanismos y procedimientos son implementados para asegurar que cualquier persona
que entre en el área físicamente segura siempre esté en compañía de una persona
autorizada.
106
La responsabilidad de mantener la descripción anterior, análisis de riesgo, e inventario está
asignada al Administrador IFE de la CNBS. La revisión periódica de lo anteriormente descrito
es una tarea administrativa.
4.1.3 Energía Eléctrica y Aire Acondicionado
Las instalaciones seguras de la IFE de la CNBS están equipadas con sistemas primarios y de
respaldo:
Sistemas de energía eléctrica asegurados de manera continua e ininterrumpida. Así como
Sistemas de ventilación, aire acondicionado y control de humedad relativa.
4.1.4 Exposición al agua
La IFE de la CNBS ha tomado precauciones razonables para minimizar el impacto de exposición al
agua de los sistemas informáticos.
4.1.5 Prevención y Protección de Incendios
La IFE de la CNBS cuenta con las medidas de seguridad necesarias para prevenir y controlar el
fuego u otras exposiciones dañinas a las llamas o al humo en caso de incendio.
4.1.6 Dispositivos de Almacenamiento
Todos los dispositivos que contengan software de producción, datos, archivos o información de
respaldo estarán almacenados en el interior de las instalaciones de la IFE de la CNBS o en una
instalación de almacenaje externo con controles de acceso físico y lógicos apropiados diseñados
para limitar el acceso a personal autorizado y proteger dichos medios de daños accidentales
(agua, fuego y electromagnético).
107
4.1.7 Eliminación de Residuos
Las impresiones en papel de documentos sensibles y materiales son triturados antes de su
eliminación. Los medios utilizados para recolectar o transmitir información sensitiva deberán ser
alterados hasta volverse ilegibles antes de ser desechados. Los dispositivos criptográficos serán
físicamente destruidos o alterados en concordancia con los lineamientos del fabricante previo a
su desecho.
4.1.8 Respaldo Externo
La IFE de la CNBS realiza respaldos de rutina de sistemas de datos críticos, datos de registro de
auditoría y otra información sensitiva. El respaldo externo de medios se encuentra almacenado de
una manera físicamente segura utilizando las instalaciones de recuperación de la IFE de la CNBS.
4.2 Procedimientos de Control
4.2.1 Roles de Confianza
Todas las actividades críticas y sensitivas de la IFE de la CNBS son combinadas en roles descritos en
la Descripción del IFE de la CNBS. Los Roles de Confianza generalmente incluyen funciones que
involucran las siguientes responsabilidades:
Oficiales de Registro de Firma Electrónica: Es el Responsable de operar los sistemas
confiables de la CA y la firma biométrica en el día a día. Aprueban la generación,
revocación y suspensión de los Certificados y Firmas Biométricas de uso propio de la CNBS.
Adicionalmente es el encargado de suministrar los dispositivos al Sujeto;
Administrador IFE: Es el responsable de administrar la implementación de prácticas de
seguridad. Autorizados para instalar, configurar y mantener los sistemas confiables de la
CA y de la firma biométrica. Así mismo es el responsable de finalizar los procedimientos de
suspensión y revocación. Autorizado para realizar respaldo y recuperación de sistema;
Auditores de Sistema: Es responsable para ver archivos y auditar registros de la los
108
sistemas confiables de CA y la firma biométrica.
La IFE de la CNBS considera las categorías de personal identificados en esta sección como
personas de confianza que gozan de una función de confidencialidad.
Funciones y responsabilidades de confianza incluyen requerimientos para:
Implementar y actuar en concordancia con la política de seguridad de información de la
Institución;
Proteger los recursos de accesos no-autorizados, exhibición, modificación, destrucción o
interferencia;
Ejecutar procesos o actividades de seguridad particulares.
Asegurar que la responsabilidad sea asignada a cada individuo por sus acciones; y
Reportar eventos de seguridad o eventos potenciales u otros riesgos de seguridad para la
Institución.
4.2.2 Número de Personas requeridas por Tarea
La IFE de la CNBS establece, mantiene y ejecuta procedimientos de control para asegurar la
segregación de funciones basadas en responsabilidad de tarea y para asegurar que múltiples
Personas de Confianza son requeridas para realizar tareas sensitivas.
Las siguientes actividades requieren como mínimo dos personas de confianza que tengan acceso
físico o lógico al dispositivo o a la ubicación:
Acceso lógico y físico al HSM, Sistema de tokens, Sistema de Tabletas, tokens y Tabletas.
Acceso físico a archivos de datos.
Acceso lógico a sistemas críticos, sensitivos o centrales de la IFE de la CNBS y sus sistemas
de respaldo.
109
4.2.3 Identificación y Autenticación para cada Tarea
La identificación y autenticación del personal toma lugar por la admisión a áreas de seguridad
relevante y por acceso a sistemas críticos por medio de tokens. En los sistemas de control las
autorizaciones de los usuarios son administrados por roles.
4.2.4 Roles que requieren la separación de Funciones
La Descripción de la Organización regula que la asignación de personas a los roles sea
mutuamente excluyente. Los siguientes principios constituyen la base:
Los Roles de Liderazgo no pueden tomar control de las tareas operacionales o
administrativas.
Los Roles de Asesoramiento y Vigilancia (en particular auditoría interna y externa) no
pueden tomar control de tareas administrativas u operacionales; y
Los Roles de Administración no pueden tomar control de tareas operacionales.
Exclusiones adicionales aplican para la separación de las siguientes responsabilidades sensitivas de
los Servicios de Certificación:
Personas que administran los derechos de acceso a las instalaciones de la IFE de la CNBS,
no pueden hacerse cargo de otras tareas administrativas;
La administración de los sistemas productivos debe tomar lugar por medio de otras
personas distintas a las que se desempeñan en los componentes de la red;
4.3 Controles de Personal
Para todo el personal que tenga interés en ser Personal de Confianza para realizar funciones en la
IFE de la CNBS, previamente debe someterse a la verificación de la identidad, la cual es realizada a
través de la presencia física de dicho personal y mediante una revisión de documentos
reconocidos de identificación, como ser el pasaportes o tarjeta de identidad y la Declaración
Jurada de confidencialidad perpetua. La identidad se confirma adicionalmente a través del
110
procedimiento de revisión de antecedentes descrito en la Sección (2.4.2 y 3.4.2) .
La IFE de la CNBS asegura que el personal ha obtenido la confianza, aprobación y asignación por
parte de la Gerencia de Informática antes de que dicho personal:
Obtenga el acceso a los dispositivos de acceso y a las instalaciones requeridas; y
Emita las credenciales electrónicas para acceder y realizar funciones específicas en lFE de
la CNBS u otros sistemas de IT.
4.3.1 Calificaciones, Experiencia y Requerimientos de Separación
La descripción de Puestos bien definidos son utilizados para documentar las funciones de
seguridad y otros Roles de Confianza y Responsabilidad, las cuales son comunicadas claramente a
los candidatos durante el proceso de asignación.
4.3.2 Procedimientos de Revisión de Antecedentes
La IFE de la CNBS conducirá una investigación apropiada de todo el personal que sirve en
funciones de Confianza (previo a su contratación y periódicamente posteriormente cuando sea
necesario), para verificar su confiabilidad y capacidad en concordancia con los requerimientos de
este Manual y la practicas de personal de la CNBS o su equivalente.
El personal que falle en una investigación inicial o periódica no continuará en servicio en un Rol de
Confianza determinado.
4.3.3 Requerimientos de Entrenamiento
La IFE de la CNBS debe asegurar permanentemente que el personal que realice funciones
gerenciales con respecto a la operación IFE reciba amplio entrenamiento en:
111
a) Conciencia sobre la seguridad;
b) Los principios y mecanismos de seguridad de la OCA y la RA
c) Todas las versiones en uso del software en el sistema de emisión de CA (OCA);
d) Los principios y mecanismos de seguridad de la Firma Biométrica
e) Todas las versiones en uso de software para la administración de firmas biométricas
f) Todas las funciones que se espera que desempeñen; y
g) Procedimientos de continuidad de negocios y recuperación de desastres.
4.3.4 Frecuencia de Re-entrenamiento y Requisitos
Los requerimientos de la Sección 4.3.3 ser mantendrán vigentes para acomodar los cambios en los
servicios de la IFE. Cursos de actualización se llevarán a cabo según sea necesario y se revisarán
estos requerimientos al menos una vez al año.
4.3.5 Frecuencia de la Rotación de Personal y Secuencia
No hay estipulaciones.
4.3.6 Sanciones por Acciones No Autorizadas
La IFE de la CNBS establece, mantiene y aplica las Normas de Personal de la CNBS como parte de
las Normas de Seguridad de la Información de la CNBS, para la disciplina del personal en caso de
realizar acciones no-autorizadas. Acciones disciplinarias incluyen medidas que van hasta la
terminación de la relación laboral con causa justificada.
La frecuencia y el daño causado por las acciones no autorizadas servirán de medida para
determinar la acción disciplinaria a aplicar a cada caso concreto.
112
4.3.7 Documentación suministrada al Personal
La IFE de la CNBS deberá brindar a su personal (incluyendo Personal de Confianza) el
entrenamiento requerido y todo lo necesario para realizar sus funciones y responsabilidades de
manera correcta y satisfactoria.
4.4 Procedimientos de Registros de Auditoria
Todas las bitácoras incluyen los siguientes elementos:
Día y hora de entrada;
Serial o número de secuencia de entrada (para entradas de bitácora automáticas)
Tipo de entrada;
Origen de la entrada (ej. Terminal, puerto, ubicación, cliente, etc.); y
Identidad de la entidad que realiza la entrada de la bitácora.
4.4.1 Tipos de Eventos Registrados
4.4.1.1 Datos de Registro
Toda información de Registro (mostrada en la sección 2.5.2.1) es registrada, incluyendo la
siguiente:
Tipos de documento(s) presentados por el Solicitante para soporte de su registro;
Registro de datos de identificación únicos, números o una combinación de ambos (por
ejemplo, número de tarjeta de Identidad o pasaporte) documentos de identificación;
Ubicación de almacenaje de copias de aplicaciones y documentos de identificación,
incluyendo el Acuerdo de Suscriptor firmado;
Cualquier elección especifica en el Acuerdo de Suscripción (por ejemplo, Consentimiento
para publicación del Certificado)
Identidad de la entidad que acepta la Solicitud; y
Nombre de la CA receptora y Autoridad de Registro que somete la solicitud de Certificación
o de firma biométrica.
113
4.4.1.2 Certificados y Firmas Biométricas
La Gerencia de Informática de la CNBS registra todos los eventos relacionados con el ciclo de vida
de los Certificados y las Firmas Biométricas.
4.4.1.3 Administración de SSCD
La Gerencia de Informática de la CNBS registra todos los eventos relacionados con el ciclo de vida
de las llaves generadas, incluyendo cualquier llave de Sujeto generada por la CA; así mismo
registra todos los eventos relacionados con el ciclo de vida, incluyendo la preparación, distribución
y disposición de los SSCDs (relacionado a los tokens los y HSMs)
4.4.1.4 Administración de Revocación
La IFE de la CNBS registra todas las solicitudes y reportes relacionados con la suspensión,
revocación y terminación de los Certificados o de las Firmas Biométricas, así como la acción
resultante de dichas solicitudes.
4.4.2 Frecuencia del Registro de Procesamiento
Los Registros de auditoría son revisados por personal de la IFE semanalmente y todos los eventos
significativos son explicados en un resumen de registro de auditoría. Dichas revisiones involucran
la verificación de que los registros no han sido alterados, y luego inspeccionando brevemente
todas las entradas en los registros, con una investigación más a fondo de cualquier alerta o
irregularidad en los registros. Las acciones tomadas para continuar estas revisiones deben ser
documentadas.
4.4.3 Períodos de Retención de los Registros de Auditoría
Los registros de auditoría serán retenidos in situ por lo menos dos meses después de su
procesamiento y seguidamente archivado en concordancia con la Sección 4.5.2
114
4.4.4 Protección de los Registros de Auditoría
Los registros de Auditoria son protegidos con un sistema de registro de auditoría electrónica que
incluye mecanismos para proteger los archivos de bitácoras de lectura no autorizada,
modificación, eliminación u otra alteración. El sistema de registro de auditoría también incluye
mecanismos para estampar hora (time-stamp) en las entradas. Información de auditoría manual
está protegida de lectura no autorizada, modificación y destrucción.
4.4.5 Procedimiento de Respaldo de los Registros de Auditoría
Respaldos incrementales de registros de auditoría son creados diariamente y respaldos enteros
son realizados semanalmente.
4.4.6 Sistema de Recolección de Auditoría (Interno vs. Externo)
Datos auditados automáticamente son generados y registrados a un nivel de aplicación, red y de
sistema operativo. Datos auditados generados manualmente son registrados por el Personal de
Confianza de la IFE de la CNBS.
4.4.7 Notificación a los Sujetos de los Eventos Causados
Cuando un evento es registrado por el sistema de recolección de auditoría, una notificación no es
requerida para los individuos, organización, mecanismo o Aplicación que causó el evento.
Durante las evaluaciones de vulnerabilidad continua, la relevancia de seguridad de los eventos
registrados será evaluada y las medidas necesarias serán tomadas.
4.4.8 Evaluaciones de Vulnerabilidad
Los eventos en el proceso de auditoría son registrados, en parte, para monitorear las
vulnerabilidades del sistema. Evaluaciones de vulnerabilidad de seguridad son realizadas,
repasadas y revisadas. Las mismas se encuentran basadas en datos registrados automáticamente
en tiempo real y son realizadas a diario, semanal y anualmente.
115
4.5 Archivo de Registros
4.5.1 Tipos de Registros Archivados
Los Registros de la IFE de la CNBS concernientes a la operación de sus servicios son archivados y
retenidos por un periodo mínimo estipulado en Sección 4.5.2 Todos los registros físicos e
información de identificación deberán ser archivados por la entidad que directamente provee los
servicios al Suscriptor (es decir, ORFE de las Instituciones y los Oficiales de Registro de la CNBS). En
todos los casos, los registros pueden ser archivados en papel o forma electrónica.
Documentos impresos serán archivados en la Secretaria General, los archivos electrónicos en la
Gerencia de Informática, de la CNBS.
4.5.2 Periodo de Retención de Archivos
Los Registros de archivos impresos en papel y archivos electrónicos serán mantenidos por un
periodo de por lo menos cinco (5) años. Dicho periodo puede ser extendido con respecto a
registros específicos e información en base a solicitud especial de cualquier interesado .
4.5.3 Protección de Archivos
Los archivos electrónicos están localizados en ubicaciones separadas (Datacenter de respaldo del
Servicio de la IFE de la CNBS) y protegido por sistemas de control de acceso. Ninguna persona
puede modificar o destruir el material archivado electrónicamente, y acceso a ellos se encuentra
estrictamente restringido.
Medios conteniendo los datos archivados y las aplicaciones requeridas para procesar los archivos
de datos serán mantenidos para asegurar que los archivos de datos puedan ser accedidos por el
periodo de tiempo establecido en la sección 5.5.2
116
4.5.4 Procedimientos de Respaldo de Archivos
Se cuenta con procedimientos de respaldo adecuados (ya sea por replicación de la base de datos
al sitio secundario del Servicio de la IFE de la CNBS o por respaldo fuera de línea), a fin de que en el
caso de pérdida o destrucción de los archivos primarios, un conjunto completo de copias se
encuentre disponible en un corto periodo de tiempo.
4.5.5 Requerimientos para el Marcaje de Tiempo de los archivos (Time-Stamping)
Archivos
Las entradas de base de datos contienen información de fecha y hora precisas. Dicha información
de hora no necesita estar basada en criptografía.
4.5.6 Sistema de Recolección de Archivos (Interno o Externo)
La IFE de la CNBS utiliza un sistema de recolección archivos internos.
4.5.7 Procedimiento para Obtener y Verificar Información del Archivo
Solamente personal de confianza autorizado será capaz de obtener acceso al archivo. La integridad
de la información se verificará cuando se restablezca.
4.6 Compromiso y Recuperación de Desastres
4.6.1 Procedimientos de Manejo de Incidentes y Compromiso
Respaldos de la siguiente información: Datos de Aplicación de Certificados, datos de auditoría, y
registros de base de datos para todos los Certificados y firmas biométricas emitidos, de la IFE será
mantenida en un almacenaje externo y puesta a disposición en caso de un compromiso o desastre.
Respaldos de las Llaves privadas de la CA serán generados y mantenidos de acuerdo a la Sección
2.8.3.
117
Los procedimientos para el manejo de los incidentes de seguridad de información y por
compromiso de las Llaves Privadas de la CA de la CNBS se encuentran documentadas en el Plan de
Recuperación de Desastres interno de la IFE de la CNBS. El Plan de Recuperación de Desastres
interno de la IFE de la CNBS describe los procedimientos y responsabilidades para el manejo de
este tipo de incidentes. El objetivo del Plan de Recuperación de Desastres es la recuperación
inmediata de la disponibilidad y seguridad continua de los Servicios de la IFE. Los fundamentos de
estos procedimientos se encuentran especificados en las siguientes secciones.
4.6.2 Recuperación después de la corrupción de Recursos Computacionales
Después de un compromiso, asumido o real, de los recursos, software o desastre de datos,
procedimientos de recuperación serán empleados (en concordancia con la Sección 3.11.4)
4.6.3 Procedimientos de Llave Privada comprometida
Si la Llave Privada de la OCA de la CNBS es comprometida o hay sospecha de compromiso, la
OCA de la CNBS deberá por lo menos:
Informar a los Sujetos, CA´s con certificación cruzada y a las Partes Dependientes.
Terminar los servicios de Certificación y Distribución de LRCs para los Certificados y CRLs
emitidos utilizando la Llave Privada comprometida.
Si una Llave Privada es comprometida o se sospecha que ha sido comprometida, la RA deberá por
lo menos, informar a la CA y solicitar la revocación del Certificado de la RA.
Si la Llave Privada de un Sujeto está comprometida o se sospecha que ha sido comprometida, el
Sujeto deberá por lo menos, informar a las Partes Dependientes y solicitar la revocación de su
Certificado.
118
4.6.4 Capacidades de Continuidad del Negocio después de un Desastre
La Alta Disponibilidad de los servicios de la IFE de la CNBS está garantizado con la implementación
de la instalación hot-standby del sistema de información.
En el caso de corrupción o pérdida de recursos computacionales, software o datos, la IFE de la
CNBS tiene preparado un Plan de Continuidad de Negocio y recuperación de Desastre. El Plan
establece y hace operacional una instalación localizada en una zona específica que es capaz de
proveer servicios de la IFE en concordancia con este Manual.
El restablecimiento de servicios críticos como Revocación/Suspensión de Certificados, Validación
de Certificados y firmas biométricas, así como Publicación de CRLs puede ser realizado con una
escala de tiempo de cuatro horas máximo. Funcionalidad total será provista dentro de setenta y
dos (72) horas. Este plan incluye una prueba de disponibilidad completa y periódica para tal
instalación. Dicho plan será referenciado con una documentación apropiada y disponible a las
partes interesadas para su inspección.
4.7 Terminación de la IFE
En el caso que sea necesario para la IFE de la CNBS cesar operaciones, la CNBS notificará a los
Suscriptores, Partes Dependientes y otras entidades de dicha terminación previa a la terminación
de la CA y los servicios de firma biométrica. Cuando la terminación de la CA o del servidor de
firmas biométricas sea requerida, la CNBS desarrollará un plan de terminación para minimizar la
interrupción a los clientes, suscriptores y partes dependientes. Los siguientes factores serán
considerados:
Publicación de notificación por la terminación a las partes afectadas, tales como
Suscriptores y Partes Dependientes;
Revocación de los Certificados emitidos por la OCA de la CNBS;
Revocación de las Firmas Biométricas;
119
Preservación de los archivos y registros de la CA por los periodos de tiempo
requeridos en este Manual;
Continuación de Servicios de Soporte de Clientes y continuación de Suscriptores;
Continuación de servicios de revocación, tales como la emisión de CRLs o el
mantenimiento de los servicios de revisión de estatus en línea.
Disposición de la Llave Privada de la CA y el hardware – tokens conteniendo dicha
Llave Privada;
Provisiones necesarias para la transición de los servicios del CA a un sucesor CA; y
Asegurar la confidencialidad de los datos personales.
5 Auditoría de Cumplimiento y otras Evaluaciones
Una evaluación de Seguridad para la Infraestructura de Firma Electrónica es realizada, tanto para
los Servicios de Certificación de la CNBS como para los Servicios de Firma Biométrica.
El cumplimiento de los Servicios de la IFE de la CNBS a este Manual serán revisados para cambios
significativos anualmente, la primera vez se realiza una re-evaluación completa después de tres
años y luego cada cuatro años.
Los tópicos cubiertos por la auditoria de cumplimiento anual incluirán:
a. Seguridad física
b. Evaluación tecnológica
c. Administración de Servicios de CA y RA (incluyendo controles ambientales de la
CA, operaciones de Administración de Llaves, controles CA de
Infraestructura/Administración y Administración de ciclo de vida de Certificado)
d. Administración de los Servicios de Firma Biométrica
e. Revisión de personal
f. Manuales y Guías de la IFE relevantes
g. Contratos
h. Consideraciones de protección de datos y privacidad
120
i. Documentos de Planificación de recuperación de desastres
El auditor DEBE SER externo a los Servicios de la IFE de la CNBS y no deberá tener ninguna
relación jerárquica con la IFE de la CNBS.
Excepciones significativas o deficiencias identificadas durante la auditoria de cumplimiento
resultarán en la determinación de acciones a tomar. Esta determinación es hecha por la
administración de la IFE de la CNBS con aportaciones del auditor. La administración de la IFE de la
CNBS es la responsable de desarrollar e implementar un plan de acción correctivo.
Una copia del reporte de auditoría será encontrada en el sitio web IFE de la CNBS.
121
6 Consideraciones Legales
6.1 Confidencialidad en la Información de la Institución
6.1.1 Tipos de Información de Carácter confidencial
6.1.1.1 Documentación Operacional y de Configuración
La IFE de la CNBS mantiene un número de documentos internos confidenciales que detallan la
operación y configuración del Sistema de Firmas Electrónicas y su Servicio de Validación de dichas
firmas. Estos documentos son de carácter confidencial y no deberán ser divulgados, salvo ciertas
excepciones requeridas debido a propósitos de consultoría y auditoria.
6.1.1.2 Información de Auditoría
Toda la información de auditorías recibidas por la CNBS respecto a la IFE de la CNBS deberán ser
tratados como información confidencial, con la excepción de un número limitado de resúmenes
de dichas auditorias las cuales podrán ser publicadas por la IFE de la CNBS, bajo condición de
confidencialidad o disposición de autoridad basada en ley. Es decir, que podrán darse a conocer
conforme a órdenes judiciales u otros procedimientos establecidos en ley.
6.1.1.3 Confidencialidad de la Información Personal
Toda la información personal recabada o utilizada por la IFE de la CNBS es hecha en cumplimiento
con la Inspección de estado de Datos de la CNBS y se mantiene confidencial en cumplimiento con
la regulación de la CNBS.
122
6.1.2 Tipos de Información No considerados de Carácter confidencial
6.1.2.1 Certificados e Información del Estado de los Certificados
Todos los certificados emitidos por la OCA de la CNBS para uso público estarán disponibles
públicamente. En todos los casos, la información del estatus de todos los certificados emitidos
dentro del Servicio de Certificación de la CNBS deberá estar a la disposición de cualquiera que
cuente con acceso a: los Servicios de Validación de Certificados de acuerdo con este Manual, las
Normas de los Certificados u otro documento relevante (ej. Contrato de parte dependiente).
6.1.2.2 Documentación del Servicio de Certificación de la CNBS
Los siguientes documentos de la IFE de la CNBS estarán disponibles al público y no serán
considerados información confidencial:
Normas aprobadas para la IFE y Manuales para las prácticas la IFE, como el presente
Manual.
Otros documentos aprobados para su publicación por la IFE de la CNBS
6.1.3 Revelación de Información de Revocación de Certificados
La razón por la cual se ha revocado un certificado o una firma biométrica de la CNBS puede ser
hecho público.
La información acerca de la revocación o validación de los certificados y firmas biométricas estará
disponible a través de la utilización del Responder-OCSP y el Listado de Revocación de Certificado
(CRLs). Los servicios de validación del Servicio de Firma Electrónica de la CNBS mostrarán si un
certificado requerido o una firma biométrica es válida, está revocado o si el Servicio de Validación
desconoce el estatus del Certificado o la Firma Biométrica. Ninguna otra información será
publicada.
123
6.1.4 Entrega de Información a Autoridades Legales
Ningún documento o archivo conservado por la IFE de la CNBS será entregado a ninguna persona
o institución de orden público o privada excepto cuando:
Exista una orden o requerimiento judicial constituido legalmente
Cuando el requirente se encuentre debidamente constituido e identificado, y
Cuando se cumpla con los demás procedimientos legales.
6.1.5 Entrega de Información como parte de Evidencia documental o con Fines de
Investigación forense
En general, ningún documento o archivo confidencial almacenado por la IFE de la CNBS será
entregado a ninguna persona excepto cuando:
Exista un solicitud judicial constituida debidamente (ej. aquel que cumpla con los
procedimientos legales) para la producción de la información; y
La persona que somete la solicitud debe estar autorizada para hacerlo y debe estar
debidamente identificada.
La IFE de la CNBS estará obligada a entregar información como evidencia documentada impresa en
papel o con fines de investigación de cualquier parte de la IFE de la CNBS en cualquier lugar donde
se han seguido los procedimientos legales apropiados. Se podrá establecer un procedimiento
eficiente dentro de la IFE de la CNBS para dicho propósito, el cual deberá estar sujeto a la ley
aplicable y a la aprobación de la autoridad correspondiente.
124
6.2 Privacidad de la Información Personal
Toda la información personal almacenada o utilizada por la IFE de la CNBS está protegida.
Información personal será exhibida a una tercera persona solo en el caso que sea ordenada por
una orden judicial.
6.2.1 Información de Carácter Confidencial
Toda la información personal recabada o utilizada por la IFE de la CNBS se realiza en cumplimiento
de la Inspección de estado de Datos de la CNBS y se basa en la distinción suministrada en este
Manual.
La información de Registro tiene el carácter de información confidencial excepto cuando exista un
consentimiento expreso por parte de la entidad a la cual se refiere la información.
En el caso que la CNBS cese de proveer los servicios de Firma Electrónica, como parte del
procedimiento de terminación, se requerirá transferir la información personal y cualquier otra
información correspondiente al cumplimiento de los Servicios de Firma Electrónica a otra
Autoridad emisora de Firmas Electrónicas local o cualquier otra entidad designada por la CNBS o
las autoridades competentes. En todos los casos, el almacenamiento y disponibilidad de dicha
información con el fin de mantener el Servicio de Firmas Electrónicas a los usuarios deberán ser
satisfechos.
6.2.2 Información considerada No Confidencial
Con sujeción a las leyes locales, la Información del estatus del Certificado y los Certificados
deberán ser exhibidos por cualquier razón que resulte relevante para el uso de dicha información
y el estatus del certificado de acuerdo al consentimiento otorgado por el usuario Final a través del
Contrato de Suscripción u otras autorizaciones. Excepto en el caso que exista una declaración
expresa, al momento de la aceptación del certificado, el usuario final puede autorizar al Servicio
125
de Certificación de la CNBS para publicar la información contenida en el Certificado emitido, así
como cualquier otra información requerida para provisión de los Servicios de Certificación.
6.2.3 Responsabilidad para la Protección de Información Confidencial
Todas las entidades de la IFE de la CNBS que reciban información privada deberán asegurar la
misma, de cualquier exhibición a terceras personas y deberá cumplir en todo momento con las
normas y leyes de confidencialidad establecidas.
6.2.4 Notificación y Consentimiento para el Uso de Información Confidencial
Excepto en los casos estipulados en este Manual, la información confidencial no será utilizada sin
el consentimiento de la parte a quien la información se refiere.
6.2.5 Divulgación relativa a los Procesos Judiciales o Administrativos
La IFE de la CNBS deberá estar autorizado para revelar información confidencial sí, con buena fe,
cree que:
La exhibición de la información resulta necesaria en respuesta a una citación u orden
judicial; y
La exhibición es necesaria en respuesta a un procedimiento judicial, administrativo o de
cualquier índole legal durante el periodo de investigación en una acción jurisdiccional, tal
como ser citaciones, interrogatorios, requerimientos para su admisión y requerimientos
para la preparación de documentos.
6.2.6 Otras Circunstancias para la Divulgación de Información
Sin estipulación.
126
6.3 Derechos de Propiedad Intelectual
Todos los derechos de propiedad intelectual, incluyendo los derechos de autor en todos los
certificados, firmas biométricas, CRLs, Mensajes de estado del Certificados OCSP, Directorios de
Certificado, Directorios de Firmas Biométricas pertenecen y permanecen en propiedad de la IFE de
la CNBS.
6.4 Límites de Responsabilidad y Renuncia
La IFE de la CNBS deberá proveer Servicios de Firma Electrónica de acuerdo a este Manual. Las
únicas garantías brindadas por el Manual de la CNBS en la operación de la IFE de la CNBS se
establecen en el Uso de los Certificados y el Uso de las Firmas Biométricas. Cualquier otra garantía
(establecida en la ley u otro) están excluidas, incluyendo cualquier garantía:
Respecto a la precisión y confiabilidad de la información contenida en certificados y/o
firmas biométricas que no esté provista por y/o verificada por la IFE de la CNBS;
Que se desvíe de este Manual; y
Respecto a los asuntos fuera del control razonable del la IFE de la CNBS.
La IFE de la CNBS no es responsable por cualquier tipo de daños (incluyendo daños especiales,
derivados, incidentales, indirectos o punibles), sin importar si han sido notificados de ellos (o su
probabilidad), o si son o no razonablemente previsibles, derivados de:
Transacciones subyacentes entre Usuarios Finales y partes dependientes;
Uso o apoyo en los certificados, llaves de criptografía, firmas digitales, firmas biométricas o
lo Servicios de Certificación en maneras que no se adecuan con los fines permitidos por
este Manual;
Productos y/o servicios provenientes de terceras partes (incluyendo hardware y software);
Incumplimiento por la IFE de la CNBS con la legislación de Protección de Información, la
legislación de Protección a la Persona o cualquier otra legislación o regulación requerida; y
Cualquier pérdida o daño indirecto o derivado, perdida de ganancias, perdida de buena
127
voluntad, perdida de ahorros anticipados, pérdida de ingresos, perdida de negocios,
interrupción de negocios o perdida de información.
En ningún caso la IFE de la CNBS será responsable por cualquier tipo de daño. Sin embargo, para
subsanar el daño, se reserva el derecho de aplicar las sanciones correspondientes a los infractores
o iniciar los procesos legales en los casos que así corresponda.
6.5 Sanciones
6.5.1 Causales de Sanciones
Hasta el límite permitido por el Reglamento de Sanciones a ser aplicadas a las Instituciones del
Sistema Financiero y a otros Sujetos Sancionables, se aplicarán sanciones por:
Incumplimiento de la Parte dependiente de cumplir con las obligaciones
correspondientes;
Confianza de la Parte dependiente en un certificado o firma biométrica que no es
razonable bajo las circunstancias; o
Falla de la Parte Dependiente de verificar el estado de dicho certificado o firma
biométrica para determinar si el mismo ha expirado o ha sido revocado.
El contrato aplicable podrá incluir obligaciones sujetas a sanciones adicionales.
6.6 Vigencia y Terminación
6.6.1 Vigencia
El presente Manual entrará en vigencia a partir de la fecha de su, aceptación y firma en el contrato
pertinente.
128
6.6.2 Terminación
Este Manual a medida que sea reformado deberá mantenerse en vigencia hasta que sea
reemplazado por una versión nueva.
6.7 Reformas
6.7.1 Procedimientos para la Reforma del presente Manual
Para el mantenimiento y aprobación de este Manual, se debe definir un procedimiento interno
con la debida participación de los niveles administrativos. Lo que hará posible que este Manual
refleje las prácticas actualizadas del Servicio de la IFE de la CNBS.
6.7.2 Mecanismos de Notificación
La actualización de este Manual será brindada en la página web del Sitio Web de la IFE de la CNBS.
6.7.3 Cambios en OID
En caso de una actualización de este Manual, se asignará un nuevo OID solo si existiesen
diferencias significativas con la versión anterior. La decisión para la asignación de un nuevo OID es
parte del proceso de actualización de esta Manual.
6.8 Procedimiento para la Resolución de Disputas
6.8.1 Jerarquía del Manual de Prácticas
En la posibilidad de que surja un conflicto entre este Manual y otras políticas, planes, acuerdos,
contratos o procedimientos, donde el objeto del conflicto sea entre este Manual y:
Un contrato del suscriptor, este Manual prevalecerá;
Un contrato con Parte Dependiente, este Manual prevalecerá; y
129
Cualquier política, plan, procedimientos u otra práctica operacional o de documentación,
este Manual prevalecerá.
6.8.2 Procedimiento
En caso de surgir una disputa fuera o en conexión con estas prácticas, y/o contratos relacionados,
antes de iniciar un trámite legal, las partes en disputa deberán de forma interna conciliar dicha
disputa o diferencias por medio de una negociación hecha en base a la buena fe.
Si las partes son incapaces de resolver dicha disputa por medio de la negociación, dentro del
término de un mes desde que surgió la disputa, las partes acordarán someterse a los tribunales de
justicia de Honduras, conforme a las Leyes del país.
Independientemente de las medidas adoptadas por las partes para la resolución de la disputa, de
conformidad con el presente Manual, la IFE de la CNBS conservará su derecho a solicitar medidas
cautelares en el caso de la efectiva o presunta violación material del presente Manual o cualquier
otra circunstancia relacionada con la disputa que pueda afectar total o parcialmente la seguridad
de los Servicios de la IFE de la CNBS.
6.8.3 Legislación Aplicable
Este Manual será regido e interpretado conforme a las Normas Reguladoras de Firmas Electrónicas
Administradas por la Comisión Nacional de Bancos y Seguros.
130
7 Tabla de Acrónimos y Definiciones
7.1 Acrónimos
AD Directorio Activo (Active Directory)
CA Autoridad de Certificación (Certification Authority)
CN Nombre Común (Common Name)
CNBS Commision de Nacional de la Bancos y Seguros
CP Politica de Certificación (Certification Policy)
CRL Listado de Revocación de Certificados (Certificate Revocation List)
CRM Customer Relationship Management
CSP Proveedor de Servicio de Certificación (Certification Service Provider)
DC Componente de Dominio (Domain Component)
DN Nombre Único (Distinguished Name)
FIPS Estándares de Procesamiento de Información Federal de los Estados Unidos (United State Federal Information Processing Standards).
I&A Identificación y Autenticación (Identification and Authentication)
IFE Infraestructura de Firma Electrónica
ISO Organización Internacional para la Estandarización (International Organization for Standardization)
O Organización
OCA Autoridad Certificadora Operacional
OCSP Protocolo del Estado del Certificado en Línea (Online Certificate Status protocol)
OID Identificador de Objeto (Object Identifier)
ORFE Oficial de Registro de Firma Electrónica
OU Unidad Organizacional (Organizational Unit)
PIN Número de Identificación Personal (Personal Identification Number)
PKCS Estándar Criptográfico de Llave Pública (Public-Key Cryptography Standard)
PKI Infraestructura de Llave Pública (Public Key Infrastructure)
RA Autoridad de Registro (Registration Authority)
RAA Aplicación de la Autoridad de Registro (Registration Authority Application)
131
RFC Solicitud de comentarios (Request for Comments)
RSA Un algoritmo específico de Llave Pública
SSCD Dispositivo Seguro de Creación de Firma (Secure Signature Creation Device)
SSL Protocolo de Capa de Conexión Segura (Secure Sesion Layer)
URL Localizador uniforme de Recursos (Uniform Resource Locator)
7.2 Definiciones
Definición Descripción
AES128,256 AES (por su significado en ingles Advanced
Encryption Standard), es un algoritmo
criptográfico aprobado para la protección de
datos electrónicos. El algoritmo AES es capaz de
utilizar llaves criptográficas de 128, 192 y 256
bits.
BCH Banco Central de Honduras
CA Es una entidad de confianza, responsable de
emitir y revocar los certificados digitales o
certificados, utilizados en la firma electrónica o
el no repudio de transacciones, para lo cual se
emplea la criptografía de clave pública.
Jurídicamente es un caso particular de
Prestador de Servicios de Certificación.
Certificado Digital Es un documento digital mediante el cual un
tercero confiable (una autoridad de
certificación) garantiza la vinculación entre la
identidad de un sujeto o entidad y su Llave
132
(clave) pública.
Cifrado El cifrado es el proceso de convertir el texto
plano (o en claro) en un galimatías ilegible,
denominado texto cifrado o criptograma.
CNBS Comisión Nacional de Bancos y Seguros
CP Política de Certificación. Un conjunto de reglas
que indican la aplicabilidad de un Certificado a
una comunidad Particular y/o Clase de
Solicitud con requerimientos de seguridad en
común.
Criptografía Es el arte o ciencia de cifrar y descifrar
información utilizando técnicas que hagan
posible el intercambio de mensajes de manera
segura que solo puedan ser leídos por las
personas a quienes van dirigidos.
Criptografía de Llave Publica
(reversible)
Un algoritmo criptográfico asimétrico que utiliza
dos llaves relacionadas, una pública y una
privada; tiene la propiedad que, dada la llave
pública, es computacionalmente imposible
derivar la llave privada.
Criptografía de Llave Pública reversible es un
algoritmo criptográfico asimétrico en donde los
datos cifrados con la llave pública solo pueden
ser descifrados utilizando la llave privada y
viceversa, datos cifrados utilizando la llave
privada solo pueden ser descifrados utilizando
la llave pública.
133
CRL Listado de Revocación de Certificados. Una lista
mantenida por la CA de los Certificados que ha
emitido y que han sido revocados antes de
Fecha de su expiración natural.
Directorio Activo Directorio Activo es un servicio de directorio
utilizado para guardar información relativa a los
recursos de red de un dominio.
Dominio Grupo Lógico de computadoras que comparte
una base de datos central, dicha base de datos
central es el Directorio Activo.
Entidad Un elemento autónomo al interior del Servicio
de Certificación. Este puede ser CA, RA o una
entidad final.
Entidad Legal (o jurídica) Un grupo o área geográfica que tiene
reconocimiento legal, por ejemplo: una
corporación, un sindicato, un estado o nación.
FIPS Estándares de Procesamiento de Información
Federal (por sus siglas en inglés Federal
Information Processing Standards)
Firma Biométrica Captación de la firma escrita a través de
dispositivos electrónicos, asegurando la
identidad del firmante, predestinada por tanto
a ser usada en la firma de contratos,
documentos, recibos y protocolos.
Firma Digital (Firma Electrónica) Es un método criptográfico que asocia la
identidad de una persona o de un equipo
informático al mensaje o documento. El cual
134
cuando es debidamente implementado provee
los siguientes servicios:
1. Autenticación de Origen
2. Integridad de datos
3. No-repudiación de Firmante
Firmante
Corresponde a la entidad que genera una Firma
Digital sobre los datos.
HSM Modulo de Seguridad de Hardware (por sus
siglas en Inglés Hardware Security Module), que
suministra un entorno seguro para el
almacenamiento y custodia de datos cifrados.
IC Circuito integrado (por sus siglas en inglés
Integrated circuit)
Institución Institución miembro de Interconexión
Financiera.
IPSEC IPsec (abreviatura de Internet Protocol security)
es un conjunto de protocolos cuya función es
asegurar las comunicaciones sobre el Protocolo
de Internet (IP) autenticando y/o cifrando cada
paquete IP en un flujo de datos. IPsec también
incluye protocolos para el establecimiento de
claves de cifrado.
Llave (Clave) Criptográfica Es una secuencia de números o letras mediante
la cual en criptografía:
1. Se transforma del texto plano en texto
cifrado o viceversa.
2. Verificación o autenticación de que alguien
135
está autorizado para acceder a un servicio o un
sistema informático.
3. Firma digital de documentos.
Llave Pública La parte pública de un par de llaves asimétricas
utilizadas para el cifrado de llave pública
técnicas. La llave pública se utiliza normalmente
para la verificación de las firmas digitales o para
cifrar los mensajes que se envían al propietario
de la llave privada.
Llave Privada En un criptosistema asimétrico (o de llave
pública), dentro del par de llaves que le
conforman, corresponde a la llave que
pertenece a una entidad y que solo es del
conocimiento de dicha entidad.
Material de Llaves Los datos (por ejemplo: llaves, certificados y
vectores de inicialización) necesarios para
establecer y mantener relaciones de llaves
criptográficas.
Mensaje Los datos a ser firmados.
Modulo Criptográfico Es el conjunto conformado por hardware,
software, firmware, o una combinación de los
mismos, para implementar procesos o lógica
criptográfica, incluyendo algoritmos
criptográficos.
Navegador Un navegador web (del inglés, web browser) es
una aplicación software que permite al usuario
recuperar y visualizar documentos de
136
hipertexto, comúnmente descritos en HTML,
desde servidores web de todo el mundo a
través de Internet.
No repudiación (No-repudio)
Es una manera de garantizar que el generador
de un mensaje no pueda negar posteriormente
el envío del mismo.
Tableta o Pad La Tableta para la firma biométrica, es un
dispositivo capaz de registrar el trazado de la
firma escrita y todos sus aspectos, tales como
tiempo, presión y trazado.
Par de Llaves Cuando es utilizado en el contexto de
criptografía de llave pública, incluye: una llave
pública y su correspondiente llave privada.
Parte Dependiente Repositorio de un Certificado que actúa en
dependencia de un Certificado y/o Firma Digital
verificada utilizando ese Certificado.
PKI Infraestructura de Llave (Clave) Pública.
Conjunto completo de organizaciones,
practicas, procesos, plataformas de servidores,
software y estaciones de trabajo empleados con
el propósito de administrar políticas,
Certificados y Llaves.
RA Autoridad de Registro. Entidad que ha recibido
de la CA la responsabilidad de identificar y
autenticar Sujetos y de verificar su autoridad
para actuar en nombre de un sujeto. La RA no
firma ni emite Certificados.
137
Re-Llave Es el Acto de reemplazar un Certificado expirado
mediante la emisión de un par de Llaves nuevo.
Repositorio Un sistema para almacenar y distribuir
Certificados u otra información relevante a
Certificados.
Repudiación La negación de una entidad de haber
participado parcial o totalmente en una
comunicación.
Servidor En informática, un servidor es una computadora
que, formando parte de una red, provee
servicios a otras denominadas clientes
Servidor de Firmas Es un servidor en el cual se almacenan y se
administran las firmas recopiladas con el
respectivo software.
SSL Secure Sockets Layer -Protocolo de Capa de
Conexión Segura- (SSL) es un protocolo
criptográfico que proporciona comunicaciones
seguras por una red, comúnmente Internet.
SSL VPN Un SSL VPN (por sus siglas en inglés Secure
Sockets Layer virtual private network) es una
clase de VPN que puede ser utilizada con un
Navegador web. En contraste con el IPsec VPN
tradicional, un SSL VPN no requiere la
instalación de un software especial en la
computadora del usuario final.
TI (Tecnologías de Informática) se encargan del
diseño, desarrollo, fomento, mantenimiento y
138
administración de la información por medio de
sistemas informáticos, para información,
comunicación o ambos.
Token Un token de seguridad (también token de
autenticación o token criptográfico) es un
dispositivo electrónico que se le da a un usuario
autorizado de un servicio computarizado para
facilitar el proceso de autenticación.
Usuario Final Un Sujeto, Parte Dependiente o sistema TI (que
no sea CA o RA) que utiliza las llaves y
Certificados creados por el Proveedor de
Servicios de Certificación.
Verificador Es la entidad que verifica la autenticidad de una
Firma Digital.
VPN La Red Privada Virtual (RPV), en inglés Virtual
Private Network (VPN), es una tecnología de red
que permite una extensión de la red local sobre
una red pública o no controlada, como por
ejemplo Internet.
X.500 El servicio de directorio X.500 es una forma de
estándar para desarrollar un directorio
electrónico de personas en una organización, de
manera tal que puedan ser parte de un
directorio global disponible para cualquiera en
el mundo con acceso a Internet. Como
directorio en algunas ocasiones es denominado
Directorio Global de Páginas Blancas.
139
