TEXTO PAGINA: 42
/G50/GE1/G67/G2E/G20 /G32/G35/G34/G34/G35/G32 /G4E/G4F/G52/G4D/G41/G53/G20/G4C/G45/G47/G41/G4C/G45/G53 Lima, miércoles 5 de noviembre de 2003 a) Proveer mecanismos de seguridad y protección de calidad de los protocolos que permitan la interoperación entre aplicaciones del sistema, empleados por los usua- rios de los servicios de certificación. b) Administrar y controlar el nivel de seguridad de la información definido por la Entidad de Certificación. c) Encapsular los datos, autenticar el origen, proteger los datos y definir credenciales y privilegios de transporte dentro de un servicio simple de certificación digital10. d) Aplicar mecanismos de seguridad basados en políti- cas administrativas de información de la Entidad de Certi- ficación. 2.5. Componentes del Protocolo de Seguridad 11. Los protocolos reconocidos se encuentran publicados en la página web del Indecopi y se actualizan periódicamente.La Entidad de certificación deberá establecer un perfil para cada protocolo. 2.6. Componentes de Servicio de la Política de seguri- dad. 12 Los protocolos reconocidos se encuentran publicados en la página web del Indecopi y se actualizan periódica-mente. Novena.- Reconocimiento de servicios de certifica- ción prestados en el extranjero.- De acuerdo a lo dis- puesto en el Artículo 48º del Reglamento, el reconocimien- to de certificaciones emitidas por entidades de certifica-ción que operan en el extranjero requiere la acreditación previa de dichas entidades para lo cual deben seguir el procedimiento de acreditación regular poniendo a disposi-ción de la Comisión de Reglamentos Técnicos y Comer- ciales, la documentación prevista en el artículo 38 del Re- glamento, a través de una empresa que represente susservicios en el país. De contar con la acreditación en su país de origen u otros mecanismos de auditoría con respecto a sus servi-cios, la entidad de certificación debe presentar documen- tación que acredite tal situación así como las condiciones acreditadas o auditadas, ello a fin de acogerse al reconoci-miento de evaluaciones previsto en los artículos 41º y 42º del Reglamento. Las entidades de certificación extranjeras que operen a través de representantes nacionales deben mantener las mismas políticas y niveles de seguridad previstos en sus países de origen para la clase de certificados comprendi-da en la IOFD, así como las mismas condiciones y cober- turas de seguros para cubrir los daños que eventualmente se generen por la prestación de sus servicios. Décima.- Equivalencia de niveles de seguridad.- Las entidades de certificación que utilicen servicios de entida-des extranjeras, deben garantizar que dichos servicios mantengan los niveles de seguridad previstos en el país de origen para la clase de certificados comprendida en laIOFD. Décimo Primera.- Certificados Digitales de uso li- mitado.- Los Certificados Digitales emitidos en el marco de la Infraestructura Oficial de Firma Digital para su em- pleo en ámbitos cerrados pueden ser empleados para lageneración de firmas digitales en otros ámbitos bastando para ello la aceptación de los destinatarios. Décimo Segunda.- Entidades de registro/verifica- ción.- Conforme al artículo 20º del Reglamento, el proceso de certificación se inicia con la participación de entidadesde registro/verificación, en tal sentido para efectos de su acreditación las entidades de registro/verificación deben declarar la relación existente con una Entidad de Certifica-ción acreditada o reconocida en el país, documentando la vigencia de dicha relación por un período no menor a la acreditación solicitada. Asimismo las entidades de regis-tro/verificación deben contar con mecanismos que permi- tan una comunicación ininterrumpida con la Entidad de Cer- tificación, para garantizar la atención oportuna de solicitu-des de certificación, así como la actualización de informa- ción o la cancelación de la certificación. Décimo Tercera.- Procedimientos y requisitos que deben observar las Entidades de Verificación/Registro.- De acuerdo a los artículos 32º y 33º las entidades de veri-ficación acreditadas deben contar con registros que de- muestren la presencia de la persona natural o el represen- tante de la persona jurídica solicitante de la certificación.No es admisible, tomando en cuenta la naturaleza de los certificados digitales previstos en la Ley y el Reglamento, la atención de solicitudes de certificación por medio de correos electrónicos u otros medios que no garanticen laidentidad del solicitante. Asimismo las entidades de verificación/registro deben contar con ambientes de trabajo seguros para custodiar lainformación proporcionada por los solicitantes o titulares de la certificación, y con medidas de seguridad que eviten su reproducción por parte del personal que tenga acceso adicha información. La entidad de registro o verificación debe contar con Procedimientos que le permitan: a) Atender las solicitudes de certificación verificando la veracidad de la información proporcionada por el solicitan-te de la certificación digital incluyendo la verificación de la capacidad de ejercicio de derechos civiles tratándose de las personas naturales, o la existencia de la persona jurídi-ca y la vigencia de poderes de ser el caso. Para ello debe mantenerse contacto con las bases de datos nacionales de identificación y registro civil y de registros públicos tra-tándose de personas jurídicas. b) Informar a los solicitantes el procedimiento a través del cual se genera la clave privada así como las condicio-nes establecidas para la utilización del certificado digital y la generación de firmas digitales, precisando que el incum- plimiento de estas condiciones puede motivar la invalidezde las firmas digitales generadas. Los procedimientos de- ben incluir el tratamiento o condiciones para la generación de firmas a través de agentes automatizados, de ser elcaso. c) Remitir las solicitudes aprobadas a la Entidad de Certificación, informando al usuario de dicha aprobaciónasí como la oportunidad en que se le emitirá el certificado digital. d) Actualizar la información proveída a la entidad de certificación respecto a los titulares del certificado y las firmas digitales. e) Asegurar que la información proporcionada por los solicitantes no se emplee para fines distintos de la certifi- cación. f) Contar con personal que posea la educación necesa- ria, adiestramiento actualizado así como el perfil y la expe- riencia para las funciones que les son asignadas. Décimo Cuarta.- Respaldo Económico y Financie- ro.- Las entidades de certificación, y de verificación/regis- tro deben contar con recursos propios para la prestaciónde sus servicios, o estar en condiciones de garantizar la continuidad de los mismos. Asimismo, deben contar con una cobertura de seguros para cubrir los daños que even-tualmente se generen por la prestación de sus servicios, ya sean en sus clientes directos o terceros. Dicha informa- ción debe ser comunicada a los usuarios en forma previa ala prestación de los servicios. La Comisión de Reglamentos Técnicos y Comerciales establecerá en función al desarrollo del mercado, valores yporcentajes mínimos asegurables, los mismos que podrán ser reajustados semestralmente. Los servicios de valor añadido requieren en cada caso coberturas de segurosadicionales. Décimo Quinta.- Sistemas de gestión.- Las entida- des de certificación y de verificación/registro deben contar sistemas de gestión de calidad aplicadas a sus servicios. Específicamente en el caso de Entidades de certifica- ción, su estructura debe ser tal que proporcione confianza con respecto a sus certificaciones, para tal efecto conjun- tamente con su Manual de Procedimiento deben presentarsu Organigrama estructural y funcional. 10Todos aquellos que no tienen que ver con sistemas cruzados. 11Los protocolos seguros proveen protección a los datos transferidos entre usuarios de canales de comunicación, no requiriendo el uso reiterado de losservicios de seguridad. 12Estos servicios permiten administrar la información de usuarios, privilegiosy políticas de control de acceso a los recursos, realizando decisiones decontrol de acceso basadas en esta información.