CERTIFICACIÓN ELECTRÓNICA

2014 De Uso Público

Certificado Electrónico (CE)

Es un documento electrónico emitido por un Proveedor de Servicios de Certificación (PSC), que vincula a un usuario (signatario) con su clave pública y privada.

Se rigen por estándares internacionales, con la finalidad de unificar criterios. El estándar más utilizado es el X.509 V3, que define la estructura de los certificados y tiene una serie de campos básicos, entre los cuales están:

De Uso Público

Conjunto de datos que vincula de manera única un mensaje de datos al usuario. La Ley de Mensajes de Datos y Firmas Electrónicas le otorga validez jurídica y eficacia probatoria, igual a una firma autógrafa. Permite garantizar las siguientes propiedades:

- Autenticación: permite identificar a la persona que realiza la transacción, es decir, permite la verificación de la autoridad firmante para estar seguro de que fue él y no otro autor del documento.

- Integridad: garantiza que el contenido del documento no ha variado desde el momento en que se firmó.

- No repudio: garantiza que quien envía el mensaje, no pueda negar el envío del mismo.

- Cifrado: permite aumentar la seguridad de un mensaje o de un archivo mediante la codificación : permite aumentar la seguridad de un mensaje o de un archivo mediante la codificación del contenido con la clave pública, de manera que sólo pueda leerlo la persona que cuente con la del contenido con la clave pública, de manera que sólo pueda leerlo la persona que cuente con la clave de privada para descodificarlo.clave de privada para descodificarlo.

Firma Electrónica (FE)

De Uso Público

Firma Manuscrita vs Firma Electrónica

-----BEGIN SIGNATURE-----

iQEcBAEBAgAGBQJJ7yDzAAoJEDQH1+Ez+65mgygIAOX9+oOFYuBrFPzQ3LScdFQWpOVvuvgoo3LsIGEoEymjrfi8jRKrA0i8/1vTVgN993TKFHljvcRzENrs8lE+nxb2wl/d14omtlHhr6A/lD5+TwduFg5yeWvDQuV/SShYs/nL47z/lmxiNZ53jlO0KBqNoPbPrGsUB+CTSn7fdQnmfBqHx2T/2v5qpV8z0+PD5nPukJPboRT/23Ac59+sic5AoFAjWpn8sngml5MsF1gx8M+k0ER3F+NLcejqr17NrjhrSqt9yw4EfDrRc9knS5tG9VZnaocZL1E2Kyu6gmI+qq6bMfx45BEUO0t5DSU8FfU5RQu7zwjpoW+Ss==HY0Q

-----END SIGNATURE-----

De Uso Público

Ejemplos de uso de la Certificación Electrónica- Firma electrónica y/o cifrado de correos electrónicos (LibreOffice, Acrobat Reader, Microsoft Word,

Mozilla Thunderbird, Microsoft Outlook, entre otros).

- Autenticación en linea.

- Conexión segura para transferencia de datos.

- Aplicaciones del sector Bancario.

- Comercio electrónico.

- Notificaciones electrónicas.

- Pasaporte electrónico y Cédula de Identidad electrónica.

De Uso Público

¿Cómo obtener un Certificado Electrónico?

Los certificados electrónicos son emitidos por los Proveedores de Servicios de Certificación (PSC) acreditados ante SUSCERTE. En el portal web de cada PSC se encuentra información y recaudos requeridos para la solicitud de emisión de certificados electrónicos.

Proyecto de nuevos Proveedores de Servicios de Certificación por acreditarSe encuentran en fase de elaboración de la documentación y adecuación de plataforma, para cumplir con recaudos exigidos por SUSCERTE para solicitar la Acreditación como PSC.

Su principal función como PSC es emitir certificados electrónicos de uso interno, con el fin de utilizar la firma electrónica en documentos, correo electrónicos, entre otros.

De Uso Público

Principal Marco legal en Certificación Electrónica

Decreto con Fuerza de Ley Sobre Mensajes de Datos y Firmas Electrónicas, ley N° 1.204 de fecha 10 de febrero de 2001 y publicado en la Gaceta Oficial N° 37.148 de fecha 28 de febrero de 2001.

Reglamento Parcial del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas Publicado en la Gaceta Oficial N° 38.086 del 14 de Diciembre de 2004, bajo el Decreto No 3.335 de Diciembre de 2004.

La Ley de Infogobierno fue publicada en Gaceta Oficial N° 40.274, de fecha 17 de octubre 2013.

Ley de Interoperabilidad publicada en Gaceta Oficial N° 39.945 del 15 de junio de 2012

De Uso Público

Principal Marco legal y Normativo de Certificación Electrónica

Ley Sobre Mensajes de Datos y Firmas Electrónicas

- Valor jurídico a la Firma Electrónica (FE) y Mensajes de Datos.

- Se crea SUSCERTE como ente rector en materia de Certificación Electrónica (CE).

- Competencias de SUSCERTE.

- Servicios de los PSC.

- Contenido de los CE

- Tasas y sanciones por incumplimiento de las obligaciones del PSC.

De Uso Público

Principal Marco legal y Normativo de Certificación Electrónica

Reglamento Parcial del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas

- Recaudos para solicitud de acreditación del PSC (ampliada en la Norma 27).

- Inspecciones al PSC.

- Garantía emitida por entidad bancaria o aseguradora para cubrir daños y perjuicios a signatarios y

terceros de buena fe, atribuibles al PSC.

- Duración de la acreditación y renovación es de un (1) año.

- Obligaciones del PSC.

- Envío de reporte de las actividades del PSC a SUSCERTE.

- Registro de Auditores.

- Cumplimiento de los requisitos técnicos.

De Uso Público

De Uso Público

Ley Inforgobierno

- Responsable del desarrollo, implementación, ejecución y seguimiento al Sistema Nacional de Seguridad Informática

- Supervisar y exigir los certificados de homologación o sellos de certificación por modelo o versión de los equipos o aplicación con soporte criptográfico

Ley de Interoperabilidad

Dictar las normas técnicas en materia de Seguridad de la Información.

Normas en Certificación Electrónica relacionadas con el Registro de AuditoresNorma 27. Guía para la acreditación o renovación de Proveedores de Servicios de Certificación y para la incorporación de AC subordinadas y/o AR externas.

Norma 32. Infraestructura Nacional de Certificación: Estructura, Certificados y Lista de Certificados Revocados.

Norma 40. Guía de Estándares Tecnológicos y Lineamientos de Seguridad para la Acreditación y Renovación como PSC.

Norma 42. Guía para la Gestión y Permanencia en el Registro De Auditores.

Norma 43. Procedimiento para la Realización de la Auditoría a los Solicitantes a Proveedores de Servicios De Certificación.

Norma 45. Guía Modelo de Informe de Auditoría.

Norma 47. Código de Ética para Auditores.De Uso Público

De Uso Público

Principal Marco legal y Normativo de Certificación Electrónica

Norma 27. Guía para la acreditación o renovación de Proveedores de Servicios de Certificación y para la incorporación de AC subordinadas y/o AR externas.

1.- Solicitud de Recaudos*

2.- Informe de Auditoría

(Auditores Registradosante SUSCERTE)

3.- Plan de Remediación

(Observaciones de la auditoría)

4.- Entrega de Recaudos

(Legal, Económico, Financiero,

Técnico y Auditoría)

5.- Verificación de Recaudos

(Observaciones de losRecaudos)

6.- Inspección*(Observaciones

de la inspección)

7.- Notificación de Aprobación

8.- Consignación de Garantías

9.- AcreditaciónY renovaciónse publica en Gaceta

Oficial*

10.- Ceremonia de Emisión del

CE del PSC*(Acreditación)

* Aplica para las solicitudes de acreditación por primera vez

Norma 27. Recaudos para solicitud de acreditación o renovación del PSC

De Uso Público

Recaudos Privado Público

LegalRIF, contratos de servicios relacionados con CE, modelo de contrato con los signatarios, Cédula de Identidad o Pasaporte de los representantes legales.

Actas Constitutivas y Estatutos Sociales; y Actas de Asambleas.

Gaceta Oficial del decreto de creación y Gaceta Oficial del representante legal.

Económico Financieros

Estados Financieros y Proyecto Económico.

ISLR, Balance de Apertura (Empresas recién constituidas), Carta de intención para financiamiento (cuando se requiera) y referencias bancarias.

Apartado presupuestario con certificación presupuestaria.

Técnicos

INFRAESTRUCTURA DE CLAVE PÚBLICA: Estructura del CE de la AC, estructura de la LCR, Registro de acceso público y Modelo de confianza.SEGURIDAD: Evaluación de riesgos, Política de seguridad de la información, Plan de continuidad del negocio y recuperación ante desastres, Plan de Seguridad de la información, Plan de Administración de Claves Criptográficas, Documento de la Implementación de seguridad física y ambiental.PLATAFORMA TECNOLÓGICA: Evaluación de la plataforma Tecnológica.POLÍTICAS DE CERTIFICACIÓN: DPC, PC's, Modelo y Manual de Operación de la AC y AR. MODELO ORGANIZACIONAL: Estructura organizativa y Evaluación del personal.

Auditoría Informe de Auditoría Técnico, elaborado por un auditor inscrito en el Registro de Auditores de SUSCERTE y de acuerdo a la Norma 045. “Guía modelo de informe de auditoría”, con los anexos o documentación probatoria de los hallazgos

De Uso Público

Norma 32. Infraestructura Nacional de Certificación: Estructura, Certificados y Lista de Certificados Revocados

Estructura de campos del Certificado de la AC Principal del PSC Arquitectura Jerárquica de la Infraestructura Nacional de Certificación Electrónica

Autoridad de Certificación Raízdel Estado Venezolano

SUSCERTE

AC Principal delProveedor de Servicios

de CertificaciónPSC 1

AC Principal delProveedor de Servicios

de CertificaciónPSC..n

AC Principal delProveedor de Servicios

de CertificaciónPSC 2

AC Subordinada 1

AC Subordinada 2

AC Subordinada..n

Nivel 1

Nivel 2

Nivel 3

De Uso Público

Norma 40. Guía de Estándares Tecnológicos y Lineamientos de Seguridad para la Acreditación y Renovación como PSC

Documentación Estándares

-Infraestructura de Clave Pública: Estructura del CE de la AC, Estructura de la LCR, Registro de acceso público y Modelo de confianza.

-Seguridad: Evaluación de riesgos, Política de seguridad de la información, Plan de continuidad del negocio y recuperación ante desastres, Plan de Seguridad de la información, Plan de Administración de Claves Criptográficas, Documento de la Implementación de seguridad física y ambiental).

-Plataforma Tecnológica: Evaluación de la plataforma Tecnológica.

-Políticas De Certificación: DPC, PC's; Modelo y Manual de Operación de la AC y AR.

-Modelo Organizacional: Estructura organizativa y Evaluación del personal.

- ISO 27002:2013 Tecnología de la Información. Técnicas de Seguridad – Sistema de Gestión de la Información- ISO 15408:2009 Common Criteria for Information Technology Security Evaluation.- ISO 9594-8:2005 Information Tecnology – Open Systems Interconnection – The Directory: Public key and Attribute Certificate Frameworks.- FIPS PUB 140-2: Security Requirements for Cryptographic Modules.- ETSI TS 102 042: “Policy requirements for certification authorities issuing public key certificates”.- RFC 3280, Internet X.509 Public Key Infrastructure Certificate and Certificate. Revocation List (CRL).- ITU-T Rec. X.509 Tecnología de la información. Interconexión de sistemas abiertos – El directorio – Marco de autenticación. - ITU-T Rec. X.690 / ISO 8825-1:2008. ASN.1 Basic Encoding Rules- RFC 2559 Internet X.509 Public Key Infrastructure. - RFC 3647 Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework.- NIST SP800-18, Guide for Developing Security Plans for Information Technology Systems.- NIST SP800-26 Self Assessmen Guide IT System Review.

La Norma 40 es una guía de los aspectos que deben ser revisados en el área tecnológica, seguridad y confianza del solicitante, los cuales permitirán definir un criterio preciso sobre su capacidad para lograr y mantener en el tiempo la acreditación como PSC.

De Uso Público

* Recaudos para la solicitud de inscripción en el registro de auditores:

a) Solicitud ante el registro de auditores (Planilla de Solicitud).

b) Copia de la Cédula de Identidad.

c) Resumen Curricular.

d) Títulos Académicos, debidamente registrados.

e) Carnet del respectivo colegio profesional (si lo hubiere).

f) Experiencia profesional: Constancias de trabajo, documentos y referencias que avalan el ejercicio profesional.

g) Experiencia en auditorías: Copias de constancias emitidas por las organizaciones auditadas, donde se

especifique fecha, duración, alcance, norma de referencia y persona contacto (correo-e y teléfono).

h) Formación: Copias de certificados, diplomas, seminarios, conferencias, foros, talleres

i) Copia de certificaciones obtenidas.

1.- Solicitud de Recaudosa SUSCERTE

2.- Entrega Recaudos*

3.- Entrevista de panel

4.- Evaluación(Conocimiento en leyes,

normas y estándaresen PKI)

5.- SUSCERTE Notifica

decisión de solicitud

Norma 42. Guía para la Gestión del Registro De Auditores:

De Uso Público

Norma 43. Procedimiento para la Realización de la Auditoría a los Solicitantes a Proveedores de Servicios De Certificación.

- Plan de Auditoría.

- Emplear la RPLSMDFE, normas, modelos, guías, listas de chequeo de auditoría,

manuales de evaluación, disposiciones que se dicten por SUSCERTE y apoyarse en

los estándares internacionales de TIC.

- Notificar a SUSCERTE el cronograma de las actividades convenidas con el PSC.

- Tiempo máximo de la auditoría es de 30 días hábiles.

- Auditoría para verificar: la existencia, eficacia y cumplimiento de las normas,

políticas, planes y procedimientos de seguridad relacionados con Tecnología de

Información y Comunicación (TIC), para minimizar los riesgos y determinar el

cumplimiento de las garantías de calidad y sus niveles de servicios asociados.

De Uso Público

Estructura del informe de auditoría: Ficha de identificación del auditor, Contenido, Resumen ejecutivo, Informe, Introducción, Objetivo, Criterios de revisión, Análisis situacional, Observaciones, Conclusiones y recomendaciones, Observaciones finales, Anexos.

- Articulo 1. Los auditores están obligados con el Código de Conducta según los

siguientes Principios de Auditoría: Integridad, Objetividad, Confidencialidad, y

Competencia.

- Articulo 2. El incumplimiento será motivo de sanción (suspensión o retiro del

registro de auditores).

- Articulo 3. Las conductas no contempladas, pero consideradas inaceptable, pueden

acarrear acciones disciplinarias.

- Articulo 4. Neutralidad Política.

Estructura del informe de auditoría: Ficha de identificación del auditor, Contenido, Resumen ejecutivo, Informe, Introducción, Objetivo, Criterios de revisión, Análisis situacional, Observaciones, Conclusiones y recomendaciones, Observaciones finales, Anexos.

- Articulo 1. Los auditores están obligados con el Código de Conducta según los

siguientes Principios de Auditoría: Integridad, Objetividad, Confidencialidad, y

Competencia.

- Articulo 2. El incumplimiento será motivo de sanción (suspensión o retiro del

registro de auditores).

- Articulo 3. Las conductas no contempladas, pero consideradas inaceptable, pueden

acarrear acciones disciplinarias.

- Articulo 4. Neutralidad Política.

Norma 47. Código de Ética para Auditores.Norma 47. Código de Ética para Auditores.

Norma 45. Guía Modelo de Informe de Auditoría.

De Uso Público

ContactoContacto:

http://www.suscerte.gob.ve

ra@suscerte.gob.ve

@suscerte