Autor Coloriuris S.L.
Versión 2.0.2
Estado del documento Aprobado
Fecha de emisión 13-10-2015
OID (Object Identifier) 1.3.6.1.4.1.37799.0.3.1.2.0
Documento PDF: Descargar
CONTENIDO
1 Las políticas y declaración de prácticas de Coloriuris Prestador de Servicios de Confianza
1.6.- Administración y publicidad
2 Políticas de los servicios de CIPSC
2.1.1.- Responsable de Administración de Políticas de Coloriuris
2.1.2.- Autoridades prestadoras de los servicios de confianza de CIPSC
2.1.2.2.- Autoridad de certificación (AC) y Autoridad de certificación v3 (ACv3)
2.1.2.3.- Autoridad de sellado de tiempo (TSACI)
2.1.2.4.- Autoridad para los servicios relativos a los documentos electrónicos (ASD)
2.1.3.- Autoridades de registro
2.2.- Firmantes y partes usuarias
2.2.1.- Firmantes y creadores de sellos
2.2.3.- Aceptación de las Políticas y declaración de prácticas
2.2.4.- Verificación de las evidencias
2.3.2.- Obligaciones de los firmantes y creadores de sellos
2.3.3.- Obligaciones de las partes usuarias
2.4.- Responsabilidad de CIPSC
2.5.- Datos personales y confidencialidad
2.5.1.- Protección de datos de carácter personal
2.5.2.- Información confidencial
2.8.- Reclamaciones y jurisdicción
2.8.1.- Comunicación de las reclamaciones
3.2.- El ciclo de vida de los certificados
3.2.1.- Solicitud de certificados
3.2.2.- Tramitación de la solicitud de certificados.
3.2.3.- Emisión de certificados
3.2.4.- Aceptación de certificados
3.2.5.- Uso del par de claves y del certificado.
3.2.6. Renovación de certificados.
3.2.8. Modificación de certificados.
3.2.9. Revocación y suspensión de certificados.
3.2.9.1. Circunstancias para la revocación
3.2.9.2. Entidad que puede solicitar la revocación
3.2.9.3. Procedimiento de solicitud de revocación
3.2.9.4. Periodo de gracia de la solicitud de revocación
3.2.9.5. Circunstancias para la suspensión
3.2.9.6. Entidad que puede solicitar la suspensión
3.2.9.7. Procedimiento para la solicitud de suspensión
3.2.9.8. Límites del período de suspensión
3.2.9.9. Frecuencia de emisión de CRLs
3.2.9.10. Requisitos de comprobación de estado de certificados
3.2.9.11. Otras formas de divulgación de información de revocación disponibles
3.2.9.12. Requisitos especiales de renovación de claves comprometidas
3.2.10. Servicios de comprobación de estado de certificados.
3.2.10.1 Características operativas
3.2.10.2 Disponibilidad del servicio
3.2.11. Finalización de la suscripción
3.2.12. Depósito y recuperación de claves
3.3.- Controles de seguridad física, de procedimiento y de personal
3.3.1.- Controles de seguridad física
3.3.1.1.- Localización y construcción de las instalaciones
3.3.1.3.- Electricidad y aire acondicionado
3.3.1.5.- Prevención y protección de incendios
3.3.1.6.- Almacenamiento de soportes
3.3.1.7.- Tratamiento de residuos
3.3.1.8.- Copia de respaldo fuera de las instalaciones
3.3.2.- Controles de procedimientos
3.3.2.2.- Número de personas por tarea
3.3.2.3.- Identificación y autenticación para cada rol
3.3.2.4.- Separación de tareas en los diferentes roles
3.3.3.1.- Requisitos de historial, calificaciones, experiencia y autenticación
3.3.3.2.- Procedimientos de investigación de historial
3.3.3.3.- Requisitos de formación
3.3.3.4.- Requisitos y frecuencia de actualización formativa
3.3.3.5.- Secuencia y frecuencia de rotación laboral
3.3.3.6.- Sanciones para acciones no autorizadas
3.3.3.7.- Requisitos de contratación de personal
3.3.3.8.- Suministro de documentación al personal
3.3.4.- Procedimientos de log y auditoría
3.3.4.1.- Tipo de eventos registrados
3.3.4.2.- Frecuencia de procesamiento de logs
3.3.4.3.- Periodo de retención del log
3.3.4.5.- Procedimiento de backup del log
3.3.4.7.- Notificación de la acción causante de los logs
3.3.4.8.- Análisis de vulnerabilidades
3.3.5.- Archivado de registros
3.3.5.1.- Tipo de registros archivados
3.3.5.2.- Periodo de retención del archivo
3.3.5.3.- Protección del archivo
3.3.5.4.- Procedimientos de backup del archivo
3.3.5.5.- Requisitos para el sellado de tiempo de los registros
3.3.5.7.- Procedimientos para obtener y verificar la información del archivo
3.3.7.1.- Procedimientos de gestión de incidencias
3.3.7.2.- Plan de actuación ante datos y software corruptos
3.3.7.3.- Procedimiento ante compromiso de la clave privada
3.3.7.4.- Continuidad de negocio después de un desastre
3.3.8.- Terminación de la AC o AR
3.3.8.1.- Entidad de Certificación
3.4.- Controles de seguridad técnica
3.4.1.- Generación e instalación del par de claves
3.4.1.1.- Generación del par de claves
3.4.1.2.- Distribución de la clave privada al firmante o creador de sello
3.4.1.3.- Distribución de la clave pública al emisor del certificado
3.4.1.4.- Distribución de las claves públicas de las autoridades prestadoras de servicios
3.4.1.6.- Algoritmos de firma de certificados
3.4.1.7.- Usos admitidos de las claves (KeyUsage field X.509v3)
3.4.2.- Protección de la clave privada
3.4.2.1.- Estándares de módulos criptográficos
3.4.2.2.- Control por más de una persona (n de m) sobre la clave privada
3.4.2.3.- Custodia de la clave privada
3.4.2.4.- Copia de respaldo de la clave privada
3.4.2.5.- Archivado de la clave privada
3.4.2.6.- Trasferencia de la clave privada a o desde el módulo criptográfico
3.4.2.7.- Almacenamiento de la clave privada en el módulo criptográfico
3.4.2.8.- Método de activación de la clave privada
3.4.2.9.- Método de desactivación de la clave privada
3.4.2.10.- Método de destrucción de la clave privada
3.4.2.11.- Calificación del módulo criptográfico
3.4.3.- Otros aspectos de gestión del par de claves
3.4.3.1.- Archivo de la clave pública
3.4.3.2.- Periodos de utilización de las claves pública y privada
3.4.4.1.- Generación e instalación de datos de activación
3.4.4.2.- Protección de datos de activación
3.4.4.3.- Otros aspectos de los datos de activación
3.4.5.- Controles de seguridad informática
3.4.5.1.- Requisitos técnicos específicos de seguridad informática
3.4.5.2.- Evaluación del nivel de seguridad informática
3.4.6.- Controles técnicos del ciclo de vida
3.4.6.1.- Controles de desarrollo de sistemas
3.4.6.2.- Controles de gestión de la seguridad
3.4.7.- Controles de seguridad de red
4 Servicios de firma electrónica
4.1.- Declaración básica del servicio de confianza de CIPSC
4.2.- Política para la prestación de los servicios de certificación
4.2.1.2.- Clases de certificados
4.2.1.5.- Publicación y conservación de los certificados
4.2.1.6.- Registro de información y conservación de firmas
4.2.2.- Certificados de firma electrónica para persona física
4.2.2.1.- Ámbito de aplicación y usos
4.2.2.4.- Longitud de la clave
4.2.2.5.- Perfiles del certificado
4.2.3.- Certificados de firma electrónica para persona jurídica
4.2.3.1.- Ámbito de aplicación y usos
4.2.3.4.- Longitud de la clave
4.2.3.5.- Perfiles del certificado
4.3.- Declaración de prácticas
4.3.4.- Certificado raíz y sellos de la AC
4.3.4.2.- Certificado para la emisión de certificados de firma electrónica de persona física
4.3.4.4.- Certificado para la emisión de certificados de firma electrónica de persona jurídica
5 Servicios de sello electrónico
5.1.- Declaración básica del servicio de confianza de CIPSC
5.2.- Política para la prestación de los servicios de certificación
5.2.1.2.- Clases de certificados
5.2.1.5.- Publicación y conservación de los certificados
5.2.1.6.- Registro de información y conservación de sellos electrónicos
5.2.2.- Certificado de sello electrónico
5.2.2.1.- Ámbito de aplicación y usos
5.2.2.4.- Longitud de la clave
5.2.2.5.- Perfil del certificado
5.3.- Declaración de prácticas
5.3.4.- Certificado raíz y sellos de la AC
5.3.4.2.- Certificado para la emisión de sellos electrónicos
6 Servicio de sellado de tiempo (Autoridad de Sellado de Tiempo de Coloriuris – TSACI)
6.1.- Declaración básica del servicio de sellado de tiempo de CIPSC
6.2.- Política para la prestación del servicio de sellado de tiempo
6.2.5.- Usos de los sellos de tiempo
6.2.7.- Registro de información referente a la operación de los servicios de sellado de tiempo
6.3.- Declaración de prácticas
6.3.2.- Disponibilidad del servicio
6.3.3.- Ciclo de vida de las claves
6.3.5.- Sincronización del reloj con UTC
6.3.6.- Certificado raíz y sellos de TSACI
6.3.6.2.- Certificados para la emisión de sellos de tiempo
7 Política para la prestación del servicio de entrega electrónica certificada (EEC)
7.1.- Declaración básica del servicio de entrega electrónica certificada
7.2.3.- Usos del servicio de entrega electrónica certificada
7.2.5.- Registro de información referente al servicio de entrega electrónica certificada
7.3.- Realización del servicio de entrega electrónica certificada
7.3.2.- Disponibilidad del servicio
7.3.3.- Entrega electrónica certificada
7.4.- El certificado de firma de EEC
8 Autoridad para los servicios relativos a los documentos electrónicos (ASD)
8.1.- Declaración básica de los servicios relativos a los documentos electrónicos
8.2.- Política para la prestación de los servicios relativos a los documentos electrónicos
8.2.3.- Usos de los servicios relativos a los documentos electrónicos
8.3.- Declaración de prácticas
8.3.1.- Acceso a los servicios
8.3.2.- Disponibilidad de los servicios
8.3.3.- Documentos electrónicos auténticos
8.3.4.- Registro de documentos electrónicos
8.3.5.- Archivo de documentos electrónicos
8.3.6.- Emisión de copias de los documentos electrónicos archivados
8.3.8.- Certificado raíz y sellos de la ASD
8.3.8.2.- Certificados para la prestación de servicios relativos a los documentos electrónicos
Anexo II – Certificados de CIPSC
[AC] Certificado raíz de la Autoridad de Certificación
[AC] Certificado Subautoridad de Emisión de certificados para persona física
[AC] Certificado Subautoridad de Emisión de certificados para persona jurídica
[AC] Certificado raíz de la Autoridad de Certificación v3
[AC] Certificado de Emisión de certificados de sello electrónico para persona jurídica
[TSA] Certificado raíz de la Autoridad de Sellado de Tiempo
[TSA] Certificado de emisión de sellos de tiempo para servicios de Coloriuris
[TSA] Certificado de emisión de sellos de tiempo para las partes usuarias