Auditoría
CERTIFICACIÓN ELECTRÓNICA 2014 De Uso Público Certificado Electrónico (CE) Es un documento electrónico emitido por un Proveedor de Servicios de Certificación (PSC), que vincula a un usuario (signatario) con su clave pública y privada. Se rigen por estándares internacionales, con la finalidad de unificar criterios. El estándar más utilizado es el X.509 V3, que define la estructura de los certificados y tiene una serie de campos básicos, entre los cuales están: De Uso Público Firma Electrónica (FE) Conjunto de datos que vincula de manera única un mensaje de datos al usuario. La Ley de Mensajes de Datos y Firmas Electrónicas le otorga validez jurídica y eficacia probatoria, igual a una firma autógrafa. Permite garantizar las siguientes propiedades: - Autenticación: permite identificar a la persona que realiza la transacción, es decir, permite la verificación de la autoridad firmante para estar seguro de que fue él y no otro autor del documento. - Integridad: garantiza que el contenido del documento no ha variado desde el momento en que se firmó. - No repudio: garantiza que quien envía el mensaje, no pueda negar el envío del mismo. - Cifrado: permite aumentar la seguridad de un mensaje o de un archivo mediante la codificación del contenido con la clave pública, de manera que sólo pueda leerlo la persona que cuente con la clave de privada para descodificarlo. De Uso Público Firma Manuscrita vs Firma Electrónica -----BEGIN SIGNATURE----iQEcBAEBAgAGBQJJ7yDzAAoJEDQH1+Ez+65mgygIAOX9+oOFYuBrFPzQ 3LScdFQWpOVvuvgoo3LsIGEoEymjrfi8jRKrA0i8/1vTVgN993TKFHljvcRzE Nrs8lE+nxb2wl/d14omtlHhr6A/lD5+TwduFg5yeWvDQuV/SShYs/nL47z/lmxiN Z53jlO0KBqNoPbPrGsUB+CTSn7fdQnmfBqHx2T/2v5qpV8z0+PD5nPukJPbo RT/23Ac59+sic5AoFAjWpn8sngml5MsF1gx8M+k0ER3F+NLcejqr17NrjhrSqt9 yw4EfDrRc9knS5tG9VZnaocZL1E2Kyu6gmI+qq6bMfx45BEUO0t5DSU8FfU5 RQu7zwjpoW+Ss==HY0Q -----END SIGNATURE----- De Uso Público Ejemplos de uso de la Certificación Electrónica - Firma electrónica y/o cifrado de correos electrónicos (LibreOffice, Acrobat Reader, Microsoft Word, Mozilla Thunderbird, Microsoft Outlook, entre otros). - Autenticación en linea. - Conexión segura para transferencia de datos. - Aplicaciones del sector Bancario. - Comercio electrónico. - Notificaciones electrónicas. - Pasaporte electrónico y Cédula de Identidad electrónica. De Uso Público ¿Cómo obtener un Certificado Electrónico? Los certificados electrónicos son emitidos por los Proveedores de Servicios de Certificación (PSC) acreditados ante SUSCERTE. En el portal web de cada PSC se encuentra información y recaudos requeridos para la solicitud de emisión de certificados electrónicos. Proyecto de nuevos Proveedores de Servicios de Certificación por acreditar Se encuentran en fase de elaboración de la documentación y adecuación de plataforma, para cumplir con recaudos exigidos por SUSCERTE para solicitar la Acreditación como PSC. Su principal función como PSC es emitir certificados electrónicos de uso interno, con el fin de utilizar la firma electrónica en documentos, correo electrónicos, entre otros. De Uso Público Principal Marco legal en Certificación Electrónica Decreto con Fuerza de Ley Sobre Mensajes de Datos y Firmas Electrónicas, ley N° 1.204 de fecha 10 de febrero de 2001 y publicado en la Gaceta Oficial N° 37.148 de fecha 28 de febrero de 2001. Reglamento Parcial del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas Publicado en la Gaceta Oficial N° 38.086 del 14 de Diciembre de 2004, bajo el Decreto No 3.335 de Diciembre de 2004. La Ley de Infogobierno fue publicada en Gaceta Oficial N° 40.274, de fecha 17 de octubre 2013. Ley de Interoperabilidad publicada en Gaceta Oficial N° 39.945 del 15 de junio de 2012 De Uso Público Principal Marco legal y Normativo de Certificación Electrónica Ley Sobre Mensajes de Datos y Firmas Electrónicas - Valor jurídico a la Firma Electrónica (FE) y Mensajes de Datos. - Se crea SUSCERTE como ente rector en materia de Certificación Electrónica (CE). - Competencias de SUSCERTE. - Servicios de los PSC. - Contenido de los CE - Tasas y sanciones por incumplimiento de las obligaciones del PSC. De Uso Público Principal Marco legal y Normativo de Certificación Electrónica Reglamento Parcial del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas - Recaudos para solicitud de acreditación del PSC (ampliada en la Norma 27). - Inspecciones al PSC. - Garantía emitida por entidad bancaria o aseguradora para cubrir daños y perjuicios a signatarios y terceros de buena fe, atribuibles al PSC. - Duración de la acreditación y renovación es de un (1) año. - Obligaciones del PSC. - Envío de reporte de las actividades del PSC a SUSCERTE. - Registro de Auditores. - Cumplimiento de los requisitos técnicos. De Uso Público Ley Inforgobierno - Responsable del desarrollo, implementación, ejecución y seguimiento al Sistema Nacional de Seguridad Informática - Supervisar y exigir los certificados de homologación o sellos de certificación por modelo o versión de los equipos o aplicación con soporte criptográfico Ley de Interoperabilidad Dictar las normas técnicas en materia de Seguridad de la Información. De Uso Público Normas en Certificación Electrónica relacionadas con el Registro de Auditores Norma 27. Guía para la acreditación o renovación de Proveedores de Servicios de Certificación y para la incorporación de AC subordinadas y/o AR externas. Norma 32. Infraestructura Nacional de Certificación: Estructura, Certificados y Lista de Certificados Revocados. Norma 40. Guía de Estándares Tecnológicos y Lineamientos de Seguridad para la Acreditación y Renovación como PSC. Norma 42. Guía para la Gestión y Permanencia en el Registro De Auditores. Norma 43. Procedimiento para la Realización de la Auditoría a los Solicitantes a Proveedores de Servicios De Certificación. Norma 45. Guía Modelo de Informe de Auditoría. Norma 47. Código de Ética para Auditores. De Uso Público Principal Marco legal y Normativo de Certificación Electrónica Norma 27. Guía para la acreditación o renovación de Proveedores de Servicios de Certificación y para la incorporación de AC subordinadas y/o AR externas. 1.- Solicitud de Recaudos* 6.- Inspección* (Observaciones de la inspección) 2.- Informe de Auditoría 3.- Plan de Remediación (Auditores Registrados ante SUSCERTE) (Observaciones de la auditoría) 7.- Notificación 8.- Consignación de Aprobación de Garantías 4.- Entrega de Recaudos (Legal, Económico, Financiero, Técnico y Auditoría) 9.- Acreditación Y renovación se publica en Gaceta Oficial* 5.- Verificación de Recaudos (Observaciones de los Recaudos) 10.- Ceremonia de Emisión del CE del PSC* (Acreditación) * Aplica para las solicitudes de acreditación por primera vez De Uso Público Norma 27. Recaudos para solicitud de acreditación o renovación del PSC Recaudos Legal Privado RIF, contratos de servicios relacionados con CE, modelo de contrato con los signatarios, Cédula de Identidad o Pasaporte de los representantes legales. Actas Constitutivas y Estatutos Sociales; y Actas de Asambleas. Económico Estados Financieros y Proyecto Económico. Financieros ISLR, Balance de Apertura (Empresas recién constituidas), Carta de intención para financiamiento (cuando se requiera) y referencias bancarias. Técnicos Auditoría Público Gaceta Oficial del decreto de creación y Gaceta Oficial del representante legal. Apartado presupuestario con certificación presupuestaria. INFRAESTRUCTURA DE CLAVE PÚBLICA: Estructura del CE de la AC, estructura de la LCR, Registro de acceso público y Modelo de confianza. SEGURIDAD: Evaluación de riesgos, Política de seguridad de la información, Plan de continuidad del negocio y recuperación ante desastres, Plan de Seguridad de la información, Plan de Administración de Claves Criptográficas, Documento de la Implementación de seguridad física y ambiental. PLATAFORMA TECNOLÓGICA: Evaluación de la plataforma Tecnológica. POLÍTICAS DE CERTIFICACIÓN: DPC, PC's, Modelo y Manual de Operación de la AC y AR. MODELO ORGANIZACIONAL: Estructura organizativa y Evaluación del personal. Informe de Auditoría Técnico, elaborado por un auditor inscrito en el Registro de Auditores de SUSCERTE y de acuerdo a la Norma 045. “Guía modelo de informe de auditoría”, con los anexos o documentación probatoria de los hallazgos De Uso Público Norma 32. Infraestructura Nacional de Certificación: Estructura, Certificados y Lista de Certificados Revocados Estructura de campos del Certificado de la AC Principal del PSC Arquitectura Jerárquica de la Infraestructura Nacional de Certificación Electrónica Autoridad de Certificación Raíz del Estado Venezolano SUSCERTE Nivel 1 Nivel 2 AC Principal del Proveedor de Servicios de Certificación PSC 1 AC Principal del Proveedor de Servicios de Certificación PSC 2 AC Principal del Proveedor de Servicios de Certificación PSC..n Nivel 3 AC Subordinada 1 AC Subordinada 2 AC Subordinada..n De Uso Público Norma 40. Guía de Estándares Tecnológicos y Lineamientos de Seguridad para la Acreditación y Renovación como PSC La Norma 40 es una guía de los aspectos que deben ser revisados en el área tecnológica, seguridad y confianza del solicitante, los cuales permitirán definir un criterio preciso sobre su capacidad para lograr y mantener en el tiempo la acreditación como PSC. Documentación Estándares -Infraestructura de Clave Pública: Estructura del CE de la AC, Estructura de la LCR, Registro de acceso público y Modelo de confianza. - ISO 27002:2013 Tecnología de la Información. Técnicas de Seguridad – Sistema de Gestión de la Información - ISO 15408:2009 Common Criteria for Information Technology Security Evaluation. - ISO 9594-8:2005 Information Tecnology – Open Systems Interconnection – The Directory: Public key and Attribute Certificate Frameworks. - FIPS PUB 140-2: Security Requirements for Cryptographic Modules. - ETSI TS 102 042: “Policy requirements for certification authorities issuing public key certificates”. - RFC 3280, Internet X.509 Public Key Infrastructure Certificate and Certificate. Revocation List (CRL). - ITU-T Rec. X.509 Tecnología de la información. Interconexión de sistemas abiertos – El directorio – Marco de autenticación. - ITU-T Rec. X.690 / ISO 8825-1:2008. ASN.1 Basic Encoding Rules - RFC 2559 Internet X.509 Public Key Infrastructure. - RFC 3647 Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework. - NIST SP800-18, Guide for Developing Security Plans for Information Technology Systems. - NIST SP800-26 Self Assessmen Guide IT System Review. -Seguridad: Evaluación de riesgos, Política de seguridad de la información, Plan de continuidad del negocio y recuperación ante desastres, Plan de Seguridad de la información, Plan de Administración de Claves Criptográficas, Documento de la Implementación de seguridad física y ambiental). -Plataforma Tecnológica: Evaluación de la plataforma Tecnológica. -Políticas De Certificación: DPC, PC's; Modelo y Manual de Operación de la AC y AR. -Modelo Organizacional: Estructura organizativa y Evaluación del personal. De Uso Público Norma 42. Guía para la Gestión del Registro De Auditores: 1.- Solicitud de Recaudos a SUSCERTE 2.- Entrega Recaudos* 3.- Entrevista de panel 4.- Evaluación (Conocimiento en leyes, normas y estándares en PKI) 5.- SUSCERTE Notifica decisión de solicitud * Recaudos para la solicitud de inscripción en el registro de auditores: a) Solicitud ante el registro de auditores (Planilla de Solicitud). b) Copia de la Cédula de Identidad. c) Resumen Curricular. d) Títulos Académicos, debidamente registrados. e) Carnet del respectivo colegio profesional (si lo hubiere). f) Experiencia profesional: Constancias de trabajo, documentos y referencias que avalan el ejercicio profesional. g) Experiencia en auditorías: Copias de constancias emitidas por las organizaciones auditadas, donde se especifique fecha, duración, alcance, norma de referencia y persona contacto (correo-e y teléfono). h) Formación: Copias de certificados, diplomas, seminarios, conferencias, foros, talleres i) Copia de certificaciones obtenidas. De Uso Público Norma 43. Procedimiento para la Realización de la Auditoría a los Solicitantes a Proveedores de Servicios De Certificación. - Plan de Auditoría. - Emplear la RPLSMDFE, normas, modelos, guías, listas de chequeo de auditoría, manuales de evaluación, disposiciones que se dicten por SUSCERTE y apoyarse en los estándares internacionales de TIC. - Notificar a SUSCERTE el cronograma de las actividades convenidas con el PSC. - Tiempo máximo de la auditoría es de 30 días hábiles. - Auditoría para verificar: la existencia, eficacia y cumplimiento de las normas, políticas, planes y procedimientos de seguridad relacionados con Tecnología de Información y Comunicación (TIC), para minimizar los riesgos y determinar el cumplimiento de las garantías de calidad y sus niveles de servicios asociados. De Uso Público Norma 45. Guía Modelo de Informe de Auditoría. Estructura del informe de auditoría: Ficha de identificación del auditor, Contenido, Resumen ejecutivo, Informe, Introducción, Objetivo, Criterios de revisión, Análisis situacional, Observaciones, Conclusiones y recomendaciones, Observaciones finales, Anexos. Norma 47. Código de Ética para Auditores. - Articulo 1. Los auditores están obligados con el Código de Conducta según los siguientes Principios de Auditoría: Integridad, Objetividad, Confidencialidad, y Competencia. - Articulo 2. El incumplimiento será motivo de sanción (suspensión o retiro del registro de auditores). - Articulo 3. Las conductas no contempladas, pero consideradas inaceptable, pueden acarrear acciones disciplinarias. - Articulo 4. Neutralidad Política. De Uso Público Contacto: Contacto http://www.suscerte.gob.ve [email protected] @suscerte De Uso Público
© Copyright 2024