Auditoría

CERTIFICACIÓN
ELECTRÓNICA
2014
De Uso Público
Certificado Electrónico (CE)
Es un documento electrónico emitido por un Proveedor de Servicios de Certificación
(PSC), que vincula a un usuario (signatario) con su clave pública y privada.
Se rigen por estándares internacionales, con la finalidad de unificar criterios. El estándar
más utilizado es el X.509 V3, que define la estructura de los certificados y tiene una
serie de campos básicos, entre los cuales están:
De Uso Público
Firma Electrónica (FE)
Conjunto de datos que vincula de manera única un mensaje de datos al usuario. La Ley
de Mensajes de Datos y Firmas Electrónicas le otorga validez jurídica y eficacia
probatoria, igual a una firma autógrafa. Permite garantizar las siguientes propiedades:
- Autenticación: permite identificar a la persona que realiza la transacción, es decir, permite la
verificación de la autoridad firmante para estar seguro de que fue él y no otro autor del
documento.
- Integridad: garantiza que el contenido del documento no ha variado desde el momento en que
se firmó.
- No repudio: garantiza que quien envía el mensaje, no pueda negar el envío del mismo.
- Cifrado: permite aumentar la seguridad de un mensaje o de un archivo mediante la codificación
del contenido con la clave pública, de manera que sólo pueda leerlo la persona que cuente con la
clave de privada para descodificarlo.
De Uso Público
Firma Manuscrita vs Firma Electrónica
-----BEGIN SIGNATURE----iQEcBAEBAgAGBQJJ7yDzAAoJEDQH1+Ez+65mgygIAOX9+oOFYuBrFPzQ
3LScdFQWpOVvuvgoo3LsIGEoEymjrfi8jRKrA0i8/1vTVgN993TKFHljvcRzE
Nrs8lE+nxb2wl/d14omtlHhr6A/lD5+TwduFg5yeWvDQuV/SShYs/nL47z/lmxiN
Z53jlO0KBqNoPbPrGsUB+CTSn7fdQnmfBqHx2T/2v5qpV8z0+PD5nPukJPbo
RT/23Ac59+sic5AoFAjWpn8sngml5MsF1gx8M+k0ER3F+NLcejqr17NrjhrSqt9
yw4EfDrRc9knS5tG9VZnaocZL1E2Kyu6gmI+qq6bMfx45BEUO0t5DSU8FfU5
RQu7zwjpoW+Ss==HY0Q
-----END SIGNATURE-----
De Uso Público
Ejemplos de uso de la Certificación Electrónica
- Firma electrónica y/o cifrado de correos electrónicos (LibreOffice, Acrobat Reader, Microsoft Word,
Mozilla Thunderbird, Microsoft Outlook, entre otros).
- Autenticación en linea.
- Conexión segura para transferencia de datos.
- Aplicaciones del sector Bancario.
- Comercio electrónico.
- Notificaciones electrónicas.
- Pasaporte electrónico y Cédula de Identidad electrónica.
De Uso Público
¿Cómo obtener un Certificado Electrónico?
Los certificados electrónicos son emitidos por los Proveedores de Servicios de
Certificación (PSC) acreditados ante SUSCERTE. En el portal web de cada PSC
se encuentra información y recaudos requeridos para la solicitud de emisión de
certificados electrónicos.
Proyecto de nuevos Proveedores de Servicios de Certificación
por acreditar
Se encuentran en fase de elaboración de la documentación y adecuación de plataforma,
para cumplir con recaudos exigidos por SUSCERTE para solicitar la Acreditación como
PSC.
Su principal función como PSC es emitir certificados electrónicos de uso interno, con el fin
de utilizar la firma electrónica en documentos, correo electrónicos, entre otros.
De Uso Público
Principal Marco legal en Certificación Electrónica
Decreto con Fuerza de Ley Sobre Mensajes de Datos y Firmas Electrónicas,
ley N° 1.204 de fecha 10 de febrero de 2001 y publicado en la Gaceta Oficial
N° 37.148 de fecha 28 de febrero de 2001.
Reglamento Parcial del Decreto Ley Sobre Mensajes de Datos y Firmas
Electrónicas Publicado en la Gaceta Oficial N° 38.086 del 14 de Diciembre de
2004, bajo el Decreto No 3.335 de Diciembre de 2004.
La Ley de Infogobierno fue publicada en Gaceta Oficial N° 40.274, de
fecha 17 de octubre 2013.
Ley de Interoperabilidad publicada en Gaceta Oficial N° 39.945 del 15
de junio de 2012
De Uso Público
Principal Marco legal y Normativo de Certificación Electrónica
Ley Sobre Mensajes de Datos y Firmas Electrónicas
- Valor jurídico a la Firma Electrónica (FE) y Mensajes de Datos.
- Se crea SUSCERTE como ente rector en materia de Certificación Electrónica (CE).
- Competencias de SUSCERTE.
- Servicios de los PSC.
- Contenido de los CE
- Tasas y sanciones por incumplimiento de las obligaciones del PSC.
De Uso Público
Principal Marco legal y Normativo de Certificación Electrónica
Reglamento Parcial del Decreto Ley Sobre Mensajes de Datos y Firmas
Electrónicas
- Recaudos para solicitud de acreditación del PSC (ampliada en la Norma 27).
- Inspecciones al PSC.
- Garantía emitida por entidad bancaria o aseguradora para cubrir daños y perjuicios a signatarios y
terceros de buena fe, atribuibles al PSC.
- Duración de la acreditación y renovación es de un (1) año.
- Obligaciones del PSC.
- Envío de reporte de las actividades del PSC a SUSCERTE.
- Registro de Auditores.
- Cumplimiento de los requisitos técnicos.
De Uso Público
Ley Inforgobierno
- Responsable del desarrollo, implementación, ejecución y seguimiento al Sistema
Nacional de Seguridad Informática
- Supervisar y exigir los certificados de homologación o sellos de certificación por
modelo o versión de los equipos o aplicación con soporte criptográfico
Ley de Interoperabilidad
Dictar las normas técnicas en materia de Seguridad de la Información.
De Uso Público
Normas en Certificación Electrónica relacionadas con el
Registro de Auditores
Norma 27. Guía para la acreditación o renovación de Proveedores de
Servicios de Certificación y para la incorporación de AC subordinadas y/o AR
externas.
Norma 32. Infraestructura Nacional de Certificación: Estructura, Certificados y
Lista de Certificados Revocados.
Norma 40. Guía de Estándares Tecnológicos y Lineamientos de Seguridad
para la Acreditación y Renovación como PSC.
Norma 42. Guía para la Gestión y Permanencia en el Registro De Auditores.
Norma 43. Procedimiento para la Realización de la Auditoría a los Solicitantes
a Proveedores de Servicios De Certificación.
Norma 45. Guía Modelo de Informe de Auditoría.
Norma 47. Código de Ética para Auditores.
De Uso Público
Principal Marco legal y Normativo de Certificación Electrónica
Norma 27. Guía para la acreditación o renovación de Proveedores de Servicios de
Certificación y para la incorporación de AC subordinadas y/o AR externas.
1.- Solicitud
de Recaudos*
6.- Inspección*
(Observaciones
de la inspección)
2.- Informe de
Auditoría
3.- Plan de
Remediación
(Auditores Registrados
ante SUSCERTE)
(Observaciones
de la auditoría)
7.- Notificación 8.- Consignación
de Aprobación
de Garantías
4.- Entrega de
Recaudos
(Legal, Económico,
Financiero,
Técnico y Auditoría)
9.- Acreditación
Y renovación
se publica
en Gaceta
Oficial*
5.- Verificación
de Recaudos
(Observaciones de los
Recaudos)
10.- Ceremonia
de Emisión del
CE del PSC*
(Acreditación)
* Aplica para las solicitudes de acreditación por primera vez
De Uso Público
Norma 27. Recaudos para solicitud de acreditación o
renovación del PSC
Recaudos
Legal
Privado
RIF, contratos de servicios relacionados con CE, modelo de contrato con los
signatarios, Cédula de Identidad o Pasaporte de los representantes legales.
Actas Constitutivas y Estatutos Sociales;
y Actas de Asambleas.
Económico Estados Financieros y Proyecto Económico.
Financieros
ISLR, Balance de Apertura (Empresas
recién constituidas), Carta de intención
para financiamiento (cuando se requiera)
y referencias bancarias.
Técnicos
Auditoría
Público
Gaceta Oficial del decreto de creación y
Gaceta Oficial del representante legal.
Apartado presupuestario con certificación
presupuestaria.
INFRAESTRUCTURA DE CLAVE PÚBLICA: Estructura del CE de la AC, estructura
de la LCR, Registro de acceso público y Modelo de confianza.
SEGURIDAD: Evaluación de riesgos, Política de seguridad de la información, Plan de
continuidad del negocio y recuperación ante desastres, Plan de Seguridad de la
información, Plan de Administración de Claves Criptográficas, Documento de la
Implementación de seguridad física y ambiental.
PLATAFORMA TECNOLÓGICA: Evaluación de la plataforma Tecnológica.
POLÍTICAS DE CERTIFICACIÓN: DPC, PC's, Modelo y Manual de Operación de la
AC y AR.
MODELO ORGANIZACIONAL: Estructura organizativa y Evaluación del personal.
Informe de Auditoría Técnico, elaborado por un auditor inscrito en el Registro de
Auditores de SUSCERTE y de acuerdo a la Norma 045. “Guía modelo de informe de
auditoría”, con los anexos o documentación probatoria de los hallazgos
De Uso Público
Norma 32. Infraestructura Nacional de Certificación: Estructura,
Certificados y Lista de Certificados Revocados
Estructura de campos del Certificado de la AC Principal del PSC
Arquitectura Jerárquica de la Infraestructura Nacional de
Certificación Electrónica
Autoridad de Certificación Raíz
del Estado Venezolano
SUSCERTE
Nivel 1
Nivel 2
AC Principal del
Proveedor de Servicios
de Certificación
PSC 1
AC Principal del
Proveedor de Servicios
de Certificación
PSC 2
AC Principal del
Proveedor de Servicios
de Certificación
PSC..n
Nivel 3
AC
Subordinada 1
AC
Subordinada 2
AC
Subordinada..n
De Uso Público
Norma 40. Guía de Estándares Tecnológicos y Lineamientos de Seguridad
para la Acreditación y Renovación como PSC
La Norma 40 es una guía de los aspectos que deben ser revisados en el área tecnológica, seguridad y confianza del
solicitante, los cuales permitirán definir un criterio preciso sobre su capacidad para lograr y mantener en el tiempo la
acreditación como PSC.
Documentación
Estándares
-Infraestructura de Clave Pública: Estructura del CE
de la AC, Estructura de la LCR, Registro de acceso
público y Modelo de confianza.
- ISO 27002:2013 Tecnología de la Información. Técnicas de
Seguridad – Sistema de Gestión de la Información
- ISO 15408:2009 Common Criteria for Information Technology
Security Evaluation.
- ISO 9594-8:2005 Information Tecnology – Open Systems
Interconnection – The Directory: Public key and Attribute
Certificate Frameworks.
- FIPS PUB 140-2: Security Requirements for Cryptographic
Modules.
- ETSI TS 102 042: “Policy requirements for certification
authorities issuing public key certificates”.
- RFC 3280, Internet X.509 Public Key Infrastructure Certificate
and Certificate. Revocation List (CRL).
- ITU-T Rec. X.509 Tecnología de la información. Interconexión
de sistemas abiertos – El directorio – Marco de autenticación.
- ITU-T Rec. X.690 / ISO 8825-1:2008. ASN.1 Basic Encoding
Rules
- RFC 2559 Internet X.509 Public Key Infrastructure.
- RFC 3647 Internet X.509 Public Key Infrastructure Certificate
Policy and Certification Practices Framework.
- NIST SP800-18, Guide for Developing Security Plans for
Information Technology Systems.
- NIST SP800-26 Self Assessmen Guide IT System Review.
-Seguridad: Evaluación de riesgos, Política de
seguridad de la información, Plan de continuidad del
negocio y
recuperación ante desastres, Plan de
Seguridad de la información, Plan de Administración de
Claves Criptográficas, Documento de la Implementación
de seguridad física y ambiental).
-Plataforma Tecnológica: Evaluación de la plataforma
Tecnológica.
-Políticas De Certificación: DPC, PC's; Modelo y
Manual de Operación de la AC y AR.
-Modelo Organizacional: Estructura organizativa y
Evaluación del personal.
De Uso Público
Norma 42. Guía para la Gestión del Registro De Auditores:
1.- Solicitud
de Recaudos
a SUSCERTE
2.- Entrega
Recaudos*
3.- Entrevista
de panel
4.- Evaluación
(Conocimiento en leyes,
normas y estándares
en PKI)
5.- SUSCERTE
Notifica
decisión
de solicitud
* Recaudos para la solicitud de inscripción en el registro de auditores:
a) Solicitud ante el registro de auditores (Planilla de Solicitud).
b) Copia de la Cédula de Identidad.
c) Resumen Curricular.
d) Títulos Académicos, debidamente registrados.
e) Carnet del respectivo colegio profesional (si lo hubiere).
f) Experiencia profesional: Constancias de trabajo, documentos y referencias que avalan el ejercicio profesional.
g) Experiencia en auditorías: Copias de constancias emitidas por las organizaciones auditadas, donde se
especifique fecha, duración, alcance, norma de referencia y persona contacto (correo-e y teléfono).
h) Formación: Copias de certificados, diplomas, seminarios, conferencias, foros, talleres
i) Copia de certificaciones obtenidas.
De Uso Público
Norma 43. Procedimiento para la Realización de la Auditoría a los
Solicitantes a Proveedores de Servicios De Certificación.
- Plan de Auditoría.
- Emplear la RPLSMDFE, normas, modelos, guías, listas de chequeo de auditoría,
manuales de evaluación, disposiciones que se dicten por SUSCERTE y apoyarse en
los estándares internacionales de TIC.
- Notificar a SUSCERTE el cronograma de las actividades convenidas con el PSC.
- Tiempo máximo de la auditoría es de 30 días hábiles.
- Auditoría para verificar: la existencia, eficacia y cumplimiento de las normas,
políticas, planes y procedimientos de seguridad relacionados con Tecnología de
Información y Comunicación (TIC), para minimizar los riesgos y determinar el
cumplimiento de las garantías de calidad y sus niveles de servicios asociados.
De Uso Público
Norma 45. Guía Modelo de Informe de Auditoría.
Estructura del informe de auditoría: Ficha de identificación del auditor, Contenido,
Resumen ejecutivo, Informe, Introducción, Objetivo, Criterios de revisión, Análisis
situacional, Observaciones, Conclusiones y recomendaciones, Observaciones
finales, Anexos.
Norma 47. Código de Ética para Auditores.
- Articulo 1. Los auditores están obligados con el Código de Conducta según los
siguientes Principios de Auditoría: Integridad, Objetividad, Confidencialidad, y
Competencia.
- Articulo 2. El incumplimiento será motivo de sanción (suspensión o retiro del
registro de auditores).
- Articulo 3. Las conductas no contempladas, pero consideradas inaceptable, pueden
acarrear acciones disciplinarias.
- Articulo 4. Neutralidad Política.
De Uso Público
Contacto:
Contacto
http://www.suscerte.gob.ve
[email protected]
@suscerte
De Uso Público