TEXTO PAGINA: 47
Pág. 235313 NORMAS LEGALES Lima, miércoles 18 de diciembre de 2002 En el marco de la Infraestructura Oficial de Firma Digital, la certificación otorgada a una persona natural o jurídica puede ser solicitada por entidades relacionadas a ella, a fin de que las relaciones que mantienen entre sí se desarrollen en observan- cia de la Ley Nº 27269. En tales casos las entidades que solici- ten la certificación deberán informar a los futuros titulares de las mismas sobre los servicios de certificación digital contrata- dos a su favor. Los titulares de la certificación podrán requerir mayor información a la Entidad de Certificación emisora y po- drán ampliar el ámbito de aplicación de la certificación inicial- mente otorgada a efecto de emplearla en cualquiera de las re- laciones jurídicas que mantenga. Artículo 2º.- Requisitos de orden técnico que deben observar las Entidades de Certificación.- Para efectos del cumplimiento de los requisitos previstos en el artículo 11º del Reglamento de la Ley de Firmas Digitales, las enti- dades que postulen deben observar los parámetros seña- lados en la Guía anexa a las presentes Disposiciones. Artículo 3º.- Naturaleza de los servicios de Interme- diación Digital.- La intermediación digital prevista en el Reglamento como un servicio de valor agregado involucra servicios de micrograbación cuya prestación está sujeta al cumplimiento de la legislación en dicha materia. Las enti- dades de certificación que prevean su prestación deben observar la legislación citada o en su defecto involucrar la participación de entidades certificadas para la prestación de servicios de micrograbación o almacenamiento de mi- croformas, en este último caso mantienen la responsabili- dad por los servicios subcontratados. Artículo 4º.- Respaldo Financiero.- Las entidades de cer- tificación y de verificación y registro deben contar con recursos propios para la prestación de sus servicios, o estar en condi- ciones de garantizar la continuidad de los mismos. Ambas en- tidades, deben contar con una cobertura de seguros para cu- brir los daños que eventualmente se generen por la prestación de sus servicios. Dicha información debe ser comunicada a los usuarios en forma previa a la prestación de los servicios. Artículo 5º.- Plazos del procedimiento de acredita- ción.- El procedimiento de acreditación de Entidades de Certificación no podrá exceder los 120 días útiles de con- formidad con la Ley Nº 27809. Los plazos de cada una de las etapas de evaluación previstas a lo largo del procedi- miento, son las que ha continuación se señalan: a) Admisión: 10 días útiles. b) Selección y designación del equipo auditor: 20 días útiles. c) Evaluación documentaria: 20 días útiles. d) Subsanación de observaciones: 30 días útiles. e) Evaluación de campo: 20 días útiles. f) Subsanación de observaciones: 10 días útiles. GUÍA DE REQUISITOS PARA LA ACREDITACIÓN DE ORGANISMOS DE CERTIFICACIÓN Las entidades que soliciten su acreditación como Or- ganismos de Certificación de Firmas Digitales en el marco de la Ley Nº 27269 y su Reglamento deberán contar con soluciones e infraestructura que soporten las múltiples políticas técnicas futuras, además de las ya existentes, así como los requisitos que se detallan en la presente Guía, los mismos que deben ser implementados en el país. Los solicitantes deberán contar con: a) Dominios de confianza en el país, que permitan veri- ficar los sistemas en que se soporta la prestación de los servicios de certificación digital. b) Política de Confidencialidad, que esté de acuerdo a la normatividad de manejo de información de terceros vi- gente en el país. c) Políticas de Integridad, Autenticación y No repudio, deberán contar con los procedimientos y mecanismos ne- cesarios fijados en la Ley. d) Políticas y Normas de Monitoreo, Reporte y Audito- ría de los servicios de PKI, deberán contar con un detalla- do documento sobre Seguridad y Disponibilidad de los ser- vicios brindados. 1. Requisitos de Funcionalidad. Las entidades de certificación deberán contar con los siguientes requisitos, para tal efecto deben adoptar el estándar X.509 en su ver- sión actualizada u otro estándar compatible a éste como base de los servicios de certificación digital:1.1. Políticas y procedimientos para la administración del ciclo de vida de las claves, las mismas que deberán involucrar: a) Políticas y normas de recuperación de las claves b) Políticas y Normas de generación de las claves c) Políticas y Normas de distribución, revocación, sus- pensión, repudio y archivo (almacenamiento) de las claves 1.2. Estructura de Manejo de los Certificados sujeta a mecanismos de auditoría periódicos, entendiendo por di- cha estructura un sistema que involucra políticas, procedi- mientos, personal y el soporte técnico para: a) La administración y control de claves (creación y mantenimiento, habilidad para enlazar las claves con un nombre, habilidad para preguntar que claves se enlazan a un nombre). Estas políticas no deben estar basadas en la identidad individual. La certificación del enlace entre una llave pública y un nombre del directorio será obligatorio. La certificación del enlace entre los atributos adicionales y un nombre del directorio serán discrecionales. b) El soporte concurrente de múltiples políticas, enten- dido como la capacidad del certificado para interactuar en diferentes sectores, tales como el financiero y tributario, considerando las restricciones que cada uno de estos im- pone. c) El Intercambio entre certificados (interoperabilidad técnica) d) Permitir la transferencia de certificados de una enti- dad de certificación a otra (en el caso de inoperatividad de la entidad que los emitió inicialmente), a fin de garantizar la continuidad del servicio. e) Permitir la certificación cruzada entre distintos orga- nismos de certificación f) Superar los problemas de interoperabilidad que se presenten - en caso de que los caminos de la certificación sean contradictorios o múltiples - a través de arbitrajes téc- nicos para permitir la aceptabilidad de certificados mediante los dispositivos correspondientes, en función a la platafor- ma de generación utilizada. g) Separar los servicios de certificación de los siste- mas de almacenamiento de los datos obtenidos en la pres- tación del servicio, sin que ello perjudique la posibilidad de controlar el flujo de información desde el repositorio de datos hacia el sistema de certificación (requerimiento transac- cional) 1.3. Una Estructura de Seguridad entendiendo por ella a un sistema que involucra políticas, procedimientos, per- sonal y soporte técnico con el objeto de: a) Proteger la confidencialidad, integridad y disponibili- dad de los servicios de certificación. b) Garantizar servicios de no repudio tecnológico1 para mantener la operatividad del certificado, c) Impedir que el sistema de certificación implementa- do permita revocar sus propias acciones d) Evitar que los usuarios del servicio de certificación puedan revocar tecnológicamente sus propias acciones 1.4. En caso de incorporar servicios de valor agregado de fechado y hora (time stamping), deben contar con un proveedor para tal servicio, el mismo que debe estar dis- ponible dentro de una red abierta, accesible desde cual- quier plataforma tecnológica. El prestador del servicio de time stamping debe contar con personería jurídica en el país. En todo caso el certificador es responsable por la aptitud de los servicios subcontratados. 1.5. Procedimientos estructurados sobre la base de estándares internacionales para la integración de los ser- vicios de certificación prestados dentro de la Infraestructu- ra Oficial de Firma Digital, con Certificados y datos asocia- dos provenientes de Infraestructuras Oficiales extranjeras o infraestructuras nacionales no oficiales, que presenten diferencias culturales tales como las barreras idiomáticas; 1No repudio tecnológico.- Entendido como el servicio que permite la operativi- dad del certificado aún en casos adversos, tales como vencimiento del certificadoPREPUBLICACIÓN