Norma Legal Oficial del día 05 de noviembre del año 2003 (05/11/2003)
Si dese vizualizar el documento entero como pdf click aqui.
TEXTO DE LA PÁGINA 42
Pag. 254452
NORMAS LEGALES
MORDAZA, miercoles 5 de noviembre de 2003
a) Proveer mecanismos de seguridad y proteccion de calidad de los protocolos que permitan la interoperacion entre aplicaciones del sistema, empleados por los usuarios de los servicios de certificacion. b) Administrar y controlar el nivel de seguridad de la informacion definido por la Entidad de Certificacion. c) Encapsular los datos, autenticar el origen, proteger los datos y definir credenciales y privilegios de transporte dentro de un servicio simple de certificacion digital10 . d) Aplicar mecanismos de seguridad basados en politicas administrativas de informacion de la Entidad de Certificacion. 2.5. Componentes del Protocolo de Seguridad 11 . Los protocolos reconocidos se encuentran publicados en la pagina web del Indecopi y se actualizan periodicamente. La Entidad de certificacion debera establecer un perfil para cada protocolo. 2.6. Componentes de Servicio de la Politica de seguridad.12 Los protocolos reconocidos se encuentran publicados en la pagina web del Indecopi y se actualizan periodicamente. Novena.- Reconocimiento de servicios de certificacion prestados en el extranjero.- De acuerdo a lo dispuesto en el Articulo 48º del Reglamento, el reconocimiento de certificaciones emitidas por entidades de certificacion que operan en el extranjero requiere la acreditacion previa de dichas entidades para lo cual deben seguir el procedimiento de acreditacion regular poniendo a disposicion de la Comision de Reglamentos Tecnicos y Comerciales, la documentacion prevista en el articulo 38 del Reglamento, a traves de una empresa que represente sus servicios en el pais. De contar con la acreditacion en su MORDAZA de origen u otros mecanismos de auditoria con respecto a sus servicios, la entidad de certificacion debe presentar documentacion que acredite tal situacion asi como las condiciones acreditadas o auditadas, ello a fin de acogerse al reconocimiento de evaluaciones previsto en los articulos 41º y 42º del Reglamento. Las entidades de certificacion extranjeras que operen a traves de representantes nacionales deben mantener las mismas politicas y niveles de seguridad previstos en sus paises de origen para la clase de certificados comprendida en la IOFD, asi como las mismas condiciones y coberturas de seguros para cubrir los danos que eventualmente se generen por la prestacion de sus servicios. Decima.- Equivalencia de niveles de seguridad.- Las entidades de certificacion que utilicen servicios de entidades extranjeras, deben garantizar que dichos servicios mantengan los niveles de seguridad previstos en el MORDAZA de origen para la clase de certificados comprendida en la IOFD. Decimo Primera.- Certificados Digitales de uso limitado.- Los Certificados Digitales emitidos en el MORDAZA de la Infraestructura Oficial de Firma Digital para su empleo en ambitos cerrados pueden ser empleados para la generacion de firmas digitales en otros ambitos bastando para ello la aceptacion de los destinatarios. Decimo Segunda.- Entidades de registro/verificacion.- Conforme al articulo 20º del Reglamento, el MORDAZA de certificacion se inicia con la participacion de entidades de registro/verificacion, en tal sentido para efectos de su acreditacion las entidades de registro/verificacion deben declarar la relacion existente con una Entidad de Certificacion acreditada o reconocida en el MORDAZA, documentando la vigencia de dicha relacion por un periodo no menor a la acreditacion solicitada. Asimismo las entidades de registro/verificacion deben contar con mecanismos que permitan una comunicacion ininterrumpida con la Entidad de Certificacion, para garantizar la atencion oportuna de solicitudes de certificacion, asi como la actualizacion de informacion o la cancelacion de la certificacion. Decimo Tercera.- Procedimientos y requisitos que deben observar las Entidades de Verificacion/Registro.De acuerdo a los articulos 32º y 33º las entidades de verificacion acreditadas deben contar con registros que demuestren la presencia de la persona natural o el representante de la persona juridica solicitante de la certificacion.
No es admisible, tomando en cuenta la naturaleza de los certificados digitales previstos en la Ley y el Reglamento, la atencion de solicitudes de certificacion por medio de correos electronicos u otros medios que no garanticen la identidad del solicitante. Asimismo las entidades de verificacion/registro deben contar con ambientes de trabajo seguros para custodiar la informacion proporcionada por los solicitantes o titulares de la certificacion, y con medidas de seguridad que eviten su reproduccion por parte del personal que tenga acceso a dicha informacion. La entidad de registro o verificacion debe contar con Procedimientos que le permitan: a) Atender las solicitudes de certificacion verificando la veracidad de la informacion proporcionada por el solicitante de la certificacion digital incluyendo la verificacion de la capacidad de ejercicio de derechos civiles tratandose de las personas naturales, o la existencia de la persona juridica y la vigencia de poderes de ser el caso. Para ello debe mantenerse contacto con las bases de datos nacionales de identificacion y registro civil y de registros publicos tratandose de personas juridicas. b) Informar a los solicitantes el procedimiento a traves del cual se genera la clave privada asi como las condiciones establecidas para la utilizacion del certificado digital y la generacion de firmas digitales, precisando que el incumplimiento de estas condiciones puede motivar la invalidez de las firmas digitales generadas. Los procedimientos deben incluir el tratamiento o condiciones para la generacion de firmas a traves de agentes automatizados, de ser el caso. c) Remitir las solicitudes aprobadas a la Entidad de Certificacion, informando al usuario de dicha aprobacion asi como la oportunidad en que se le emitira el certificado digital. d) Actualizar la informacion proveida a la entidad de certificacion respecto a los titulares del certificado y las firmas digitales. e) Asegurar que la informacion proporcionada por los solicitantes no se emplee para fines distintos de la certificacion. f) Contar con personal que posea la educacion necesaria, adiestramiento actualizado asi como el perfil y la experiencia para las funciones que les son asignadas. Decimo Cuarta.- Respaldo Economico y Financiero.- Las entidades de certificacion, y de verificacion/registro deben contar con recursos propios para la prestacion de sus servicios, o estar en condiciones de garantizar la continuidad de los mismos. Asimismo, deben contar con una cobertura de seguros para cubrir los danos que eventualmente se generen por la prestacion de sus servicios, ya MORDAZA en sus clientes directos o terceros. Dicha informacion debe ser comunicada a los usuarios en forma previa a la prestacion de los servicios. La Comision de Reglamentos Tecnicos y Comerciales establecera en funcion al desarrollo del MORDAZA, valores y porcentajes minimos asegurables, los mismos que podran ser reajustados semestralmente. Los servicios de valor anadido requieren en cada caso coberturas de seguros adicionales. Decimo Quinta.- Sistemas de gestion.- Las entidades de certificacion y de verificacion/registro deben contar sistemas de gestion de calidad aplicadas a sus servicios. Especificamente en el caso de Entidades de certificacion, su estructura debe ser tal que proporcione confianza con respecto a sus certificaciones, para tal efecto conjuntamente con su Manual de Procedimiento deben presentar su Organigrama estructural y funcional.
10 11
12
Todos aquellos que no tienen que ver con sistemas cruzados. Los protocolos seguros proveen proteccion a los datos transferidos entre usuarios de MORDAZA de comunicacion, no requiriendo el uso reiterado de los servicios de seguridad. Estos servicios permiten administrar la informacion de usuarios, privilegios y politicas de control de acceso a los recursos, realizando decisiones de control de acceso basadas en esta informacion.