Coloriuris Prestador de Servicios de Confianza

Política y prácticas

Autor Coloriuris S.L.

Versión 2.0.2

Estado del documento Aprobado

Fecha de emisión 13-10-2015

OID (Object Identifier) 1.3.6.1.4.1.37799.0.3.1.2.0

Documento PDF: Descargar

CONTENIDO

1 Las políticas y declaración de prácticas de Coloriuris Prestador de Servicios de Confianza

1.1.- Finalidad

1.2.- Estructura

1.3.- Alcance

1.4.- Ámbito de aplicación

1.5.- Identificación

1.6.- Administración y publicidad

1.6.1.- Validez

1.6.2.- Modificaciones

1.6.3.- Publicidad

1.6.4.- Datos de contacto

2 Políticas de los servicios de CIPSC

2.1.- Estructura de CIPSC

2.1.1.- Responsable de Administración de Políticas de Coloriuris

2.1.2.- Autoridades prestadoras de los servicios de confianza de CIPSC

2.1.2.1.- Aspectos comunes

2.1.2.2.- Autoridad de certificación (AC) y Autoridad de certificación v3 (ACv3)

2.1.2.3.- Autoridad de sellado de tiempo (TSACI)

2.1.2.4.- Autoridad para los servicios relativos a los documentos electrónicos (ASD)

2.1.3.- Autoridades de registro

2.2.- Firmantes y partes usuarias

2.2.1.- Firmantes y creadores de sellos

2.2.2.- Partes usuarias

2.2.3.- Aceptación de las Políticas y declaración de prácticas

2.2.4.- Verificación de las evidencias

2.3.- Obligaciones

2.3.1.- Coloriuris

2.3.2.- Obligaciones de los firmantes y creadores de sellos

2.3.3.- Obligaciones de las partes usuarias

2.4.- Responsabilidad de CIPSC

2.5.- Datos personales y confidencialidad

2.5.1.- Protección de datos de carácter personal

2.5.2.- Información confidencial

2.5.3.- Deber de secreto

2.6.- Auditorías

2.7.- Tarifas

2.8.- Reclamaciones y jurisdicción

2.8.1.- Comunicación de las reclamaciones

2.8.2.- Jurisdicción

3 Declaración de prácticas

3.1.- Introducción

3.2.- El ciclo de vida de los certificados

3.2.1.- Solicitud de certificados

3.2.2.- Tramitación de la solicitud de certificados.

3.2.3.- Emisión de certificados

3.2.4.- Aceptación de certificados

3.2.5.- Uso del par de claves y del certificado.

3.2.6. Renovación de certificados.

3.2.7. Renovación de claves

3.2.8. Modificación de certificados.

3.2.9. Revocación y suspensión de certificados.

3.2.9.1. Circunstancias para la revocación

3.2.9.2. Entidad que puede solicitar la revocación

3.2.9.3. Procedimiento de solicitud de revocación

3.2.9.4. Periodo de gracia de la solicitud de revocación

3.2.9.5. Circunstancias para la suspensión

3.2.9.6. Entidad que puede solicitar la suspensión

3.2.9.7. Procedimiento para la solicitud de suspensión

3.2.9.8. Límites del período de suspensión

3.2.9.9. Frecuencia de emisión de CRLs

3.2.9.10. Requisitos de comprobación de estado de certificados

3.2.9.11. Otras formas de divulgación de información de revocación disponibles

3.2.9.12. Requisitos especiales de renovación de claves comprometidas

3.2.10. Servicios de comprobación de estado de certificados.

3.2.10.1 Características operativas

3.2.10.2 Disponibilidad del servicio

3.2.11. Finalización de la suscripción

3.2.12. Depósito y recuperación de claves

3.3.- Controles de seguridad física, de procedimiento y de personal

3.3.1.- Controles de seguridad física

3.3.1.1.- Localización y construcción de las instalaciones

3.3.1.2.- Acceso físico

3.3.1.3.- Electricidad y aire acondicionado

3.3.1.4.- Exposición al agua

3.3.1.5.- Prevención y protección de incendios

3.3.1.6.- Almacenamiento de soportes

3.3.1.7.- Tratamiento de residuos

3.3.1.8.- Copia de respaldo fuera de las instalaciones

3.3.2.- Controles de procedimientos

3.3.2.1.- Funciones fiables

3.3.2.2.- Número de personas por tarea

3.3.2.3.- Identificación y autenticación para cada rol

3.3.2.4.- Separación de tareas en los diferentes roles

3.3.3.- Controles de personal

3.3.3.1.- Requisitos de historial, calificaciones, experiencia y autenticación

3.3.3.2.- Procedimientos de investigación de historial

3.3.3.3.- Requisitos de formación

3.3.3.4.- Requisitos y frecuencia de actualización formativa

3.3.3.5.- Secuencia y frecuencia de rotación laboral

3.3.3.6.- Sanciones para acciones no autorizadas

3.3.3.7.- Requisitos de contratación de personal

3.3.3.8.- Suministro de documentación al personal

3.3.4.- Procedimientos de log y auditoría

3.3.4.1.- Tipo de eventos registrados

3.3.4.2.- Frecuencia de procesamiento de logs

3.3.4.3.- Periodo de retención del log

3.3.4.4.- Protección del log

3.3.4.5.- Procedimiento de backup del log

3.3.4.6.- Recolección de logs

3.3.4.7.- Notificación de la acción causante de los logs

3.3.4.8.- Análisis de vulnerabilidades

3.3.5.- Archivado de registros

3.3.5.1.- Tipo de registros archivados

3.3.5.2.- Periodo de retención del archivo

3.3.5.3.- Protección del archivo

3.3.5.4.- Procedimientos de backup del archivo

3.3.5.5.- Requisitos para el sellado de tiempo de los registros

3.3.5.6.- Sistema de archivo

3.3.5.7.- Procedimientos para obtener y verificar la información del archivo

3.3.6.- Cambio de claves

3.3.7.- Plan de contingencias

3.3.7.1.- Procedimientos de gestión de incidencias

3.3.7.2.- Plan de actuación ante datos y software corruptos

3.3.7.3.- Procedimiento ante compromiso de la clave privada

3.3.7.4.- Continuidad de negocio después de un desastre

3.3.8.- Terminación de la AC o AR

3.3.8.1.- Entidad de Certificación

3.3.8.2.- Entidad de Registro

3.4.- Controles de seguridad técnica

3.4.1.- Generación e instalación del par de claves

3.4.1.1.- Generación del par de claves

3.4.1.2.- Distribución de la clave privada al firmante o creador de sello

3.4.1.3.- Distribución de la clave pública al emisor del certificado

3.4.1.4.- Distribución de las claves públicas de las autoridades prestadoras de servicios

3.4.1.5.- Tamaños de claves

3.4.1.6.- Algoritmos de firma de certificados

3.4.1.7.- Usos admitidos de las claves (KeyUsage field X.509v3)

3.4.2.- Protección de la clave privada

3.4.2.1.- Estándares de módulos criptográficos

3.4.2.2.- Control por más de una persona (n de m) sobre la clave privada

3.4.2.3.- Custodia de la clave privada

3.4.2.4.- Copia de respaldo de la clave privada

3.4.2.5.- Archivado de la clave privada

3.4.2.6.- Trasferencia de la clave privada a o desde el módulo criptográfico

3.4.2.7.- Almacenamiento de la clave privada en el módulo criptográfico

3.4.2.8.- Método de activación de la clave privada

3.4.2.9.- Método de desactivación de la clave privada

3.4.2.10.- Método de destrucción de la clave privada

3.4.2.11.- Calificación del módulo criptográfico

3.4.3.- Otros aspectos de gestión del par de claves

3.4.3.1.- Archivo de la clave pública

3.4.3.2.- Periodos de utilización de las claves pública y privada

3.4.4.- Datos de activación

3.4.4.1.- Generación e instalación de datos de activación

3.4.4.2.- Protección de datos de activación

3.4.4.3.- Otros aspectos de los datos de activación

3.4.5.- Controles de seguridad informática

3.4.5.1.- Requisitos técnicos específicos de seguridad informática

3.4.5.2.- Evaluación del nivel de seguridad informática

3.4.6.- Controles técnicos del ciclo de vida

3.4.6.1.- Controles de desarrollo de sistemas

3.4.6.2.- Controles de gestión de la seguridad

3.4.7.- Controles de seguridad de red

3.4.8.- Fuente de tiempo

4 Servicios de firma electrónica

4.1.- Declaración básica del servicio de confianza de CIPSC

4.2.- Política para la prestación de los servicios de certificación

4.2.1.- Aspectos generales

4.2.1.1.- Finalidad y alcance

4.2.1.2.- Clases de certificados

4.2.1.3.- Comunidad

4.2.1.4.- Obligaciones

4.2.1.5.- Publicación y conservación de los certificados

4.2.1.6.- Registro de información y conservación de firmas

4.2.2.- Certificados de firma electrónica para persona física

4.2.2.1.- Ámbito de aplicación y usos

4.2.2.2.- Contenido

4.2.2.3.- Periodo de validez

4.2.2.4.- Longitud de la clave

4.2.2.5.- Perfiles del certificado

4.2.2.6.- Perfil de CRL

4.2.3.- Certificados de firma electrónica para persona jurídica

4.2.3.1.- Ámbito de aplicación y usos

4.2.3.2.- Contenido

4.2.3.3.- Periodo de validez

4.2.3.4.- Longitud de la clave

4.2.3.5.- Perfiles del certificado

4.2.3.6.- Perfil de CRL

4.3.- Declaración de prácticas

4.3.1.- Generación y emisión

4.3.2.- Renovación

4.3.3.- Revocación

4.3.4.- Certificado raíz y sellos de la AC

4.3.4.1.- Certificado raíz

4.3.4.2.- Certificado para la emisión de certificados de firma electrónica de persona física

4.3.4.4.- Certificado para la emisión de certificados de firma electrónica de persona jurídica

5 Servicios de sello electrónico

5.1.- Declaración básica del servicio de confianza de CIPSC

5.2.- Política para la prestación de los servicios de certificación

5.2.1.- Aspectos generales

5.2.1.1.- Finalidad y alcance

5.2.1.2.- Clases de certificados

5.2.1.3.- Comunidad

5.2.1.4.- Obligaciones

5.2.1.5.- Publicación y conservación de los certificados

5.2.1.6.- Registro de información y conservación de sellos electrónicos

5.2.2.- Certificado de sello electrónico

5.2.2.1.- Ámbito de aplicación y usos

5.2.2.2.- Contenido

5.2.2.3.- Periodo de validez

5.2.2.4.- Longitud de la clave

5.2.2.5.- Perfil del certificado

5.2.2.6.- Perfil de CRL

5.3.- Declaración de prácticas

5.3.1.- Generación y emisión

5.3.2.- Renovación

5.3.3.- Revocación

5.3.4.- Certificado raíz y sellos de la AC

5.3.4.1.- Certificado raíz

5.3.4.2.- Certificado para la emisión de sellos electrónicos

6 Servicio de sellado de tiempo (Autoridad de Sellado de Tiempo de Coloriuris – TSACI)

6.1.- Declaración básica del servicio de sellado de tiempo de CIPSC

6.2.- Política para la prestación del servicio de sellado de tiempo

6.2.1.- Introducción

6.2.2.- Versiones

6.2.3.- Precisión

6.2.4.- Comunidad de usuarios

6.2.5.- Usos de los sellos de tiempo

6.2.6.- Obligaciones

6.2.7.- Registro de información referente a la operación de los servicios de sellado de tiempo

6.3.- Declaración de prácticas

6.3.1.- Acceso al servicio

6.3.2.- Disponibilidad del servicio

6.3.3.- Ciclo de vida de las claves

6.3.4.- Sello de tiempo

6.3.5.- Sincronización del reloj con UTC

6.3.6.- Certificado raíz y sellos de TSACI

6.3.6.1.- Certificado raíz

6.3.6.2.- Certificados para la emisión de sellos de tiempo

7 Política para la prestación del servicio de entrega electrónica certificada (EEC)

7.1.- Declaración básica del servicio de entrega electrónica certificada

7.2.- Aspectos generales

7.2.1.- Introducción

7.2.2.- Comunidad de usuarios

7.2.3.- Usos del servicio de entrega electrónica certificada

7.2.4.- Obligaciones

7.2.5.- Registro de información referente al servicio de entrega electrónica certificada

7.3.- Realización del servicio de entrega electrónica certificada

7.3.1.- Acceso al servicio

7.3.2.- Disponibilidad del servicio

7.3.3.- Entrega electrónica certificada

7.4.- El certificado de firma de EEC

7.4.1.- Formato

8 Autoridad para los servicios relativos a los documentos electrónicos (ASD)

8.1.- Declaración básica de los servicios relativos a los documentos electrónicos

8.2.- Política para la prestación de los servicios relativos a los documentos electrónicos

8.2.1.- Introducción

8.2.2.- Comunidad de usuarios

8.2.3.- Usos de los servicios relativos a los documentos electrónicos

8.2.4.- Obligaciones

8.2.5.- Registro de información referente a la operación de los servicios de autenticación de documentos

8.3.- Declaración de prácticas

8.3.1.- Acceso a los servicios

8.3.2.- Disponibilidad de los servicios

8.3.3.- Documentos electrónicos auténticos

8.3.4.- Registro de documentos electrónicos

8.3.5.- Archivo de documentos electrónicos

8.3.6.- Emisión de copias de los documentos electrónicos archivados

8.3.7.- Emisión de imágenes de los documentos electrónicos con código de verificación y acceso al punto de verificación

8.3.8.- Certificado raíz y sellos de la ASD

8.3.8.1.- Certificado raíz

8.3.8.2.- Certificados para la prestación de servicios relativos a los documentos electrónicos

Anexo I

Acrónimos utilizados

Definiciones

Normativa

Estándares

Anexo II – Certificados de CIPSC

[AC] Certificado raíz de la Autoridad de Certificación

[AC] Certificado Subautoridad de Emisión de certificados para persona física

[AC] Certificado Subautoridad de Emisión de certificados para persona jurídica

[AC] Certificado raíz de la Autoridad de Certificación v3

[AC] Certificado de Emisión de certificados de sello electrónico para persona jurídica

[ASD] Certificado raíz de la Autoridad de Certificación para servicios relativos a documentos electrónicos

[TSA] Certificado raíz de la Autoridad de Sellado de Tiempo

[TSA] Certificado de emisión de sellos de tiempo para servicios de Coloriuris

[TSA] Certificado de emisión de sellos de tiempo para las partes usuarias

Anexo III