declaraciÓn de prÁcticas de certificaciÓn de la …

MAPFRE

| Tecnologías de la Información Sistemas de Producción

Página 1 de 34

DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN DE LA ENTIDAD

CERTIFICADORA PRIVADA CORPORATIVA DEL SISTEMA

MAPFRE

MAPFRE


Página 2 de 34

1 INTRODUCCIÓN.......................................................................................6

1.1 DESCRIPCIÓN GENERAL........................................................................6 1.2 IDENTIFICACIÓN................................................................................6 1.3 COMUNIDAD DE USUARIOS Y APLICABILIDAD ...............................................7

1.3.1 AUTORIDADES DE CERTIFICACION ......................................................7 1.3.2 AUTORIDAD DE REGISTRO ...............................................................7 1.3.3 USUARIOS FINALES .......................................................................8 1.3.4 PARTES QUE CONFÍAN ....................................................................8 1.3.5 APLICABILIDAD............................................................................8

1.4 INFORMACIÓN DE CONTACTO .................................................................9 2 DISPOSICIONES GENERALES ...................................................................... 10

2.1 OBLIGACIONES ............................................................................... 10 2.1.1 OBLIGACIONES DE LA AUTORIDAD DE CERTIFICACION ............................. 10 2.1.2 OBLIGACIONES DE LA ENTIDAD DE REGISTRO....................................... 10 2.1.3 OBLIGACIONES DEL SUSCRIPTOR ..................................................... 11 2.1.4 OBLIGACIONES DE LA PARTE QUE CONFÍA ........................................... 12

2.2 RESPONSABILIDAD [ASESORIA JURÍDICA?]............................................... 12 2.2.1 GARANTÍAS Y LIMITACIONES DE LAS GARANTÍAS ................................... 12 2.2.2 EXENCIÓN Y LIMITACIONES DE RESPONSABILIDAD ................................. 12 2.2.3 OTROS TÉRMINOS Y CONDICIONES ................................................... 12

2.3 RESPONSABILIDAD FINANCIERA ............................................................ 12 2.3.1 INDEMNIZACIÓN POR LAS PARTES QUE CONFÍAN.................................... 12 2.3.2 RELACIONES FIDUCIARIAS ............................................................. 12

2.4 INTERPRETACIÓN Y APLICACIÓN ............................................................ 12 2.4.1 LEGISLACIÓN APLICABLE ............................................................... 12 2.4.2 SEPARACIÓN, SUPERVIVENCIA, FUSIÓN, NOTIFICACIÓN ........................... 13 2.4.3 PROCEDIMIENTOS DE RESOLUCIÓN DE LITIGIOS.................................... 13

2.5 HONORARIOS ................................................................................. 13 2.6 PUBLICACIÓN Y DEPÓSITO................................................................... 13

2.6.1 PUBLICACIÓN DE INFORMACIÓN DE LA AUTORIDAD DE CERTIFICACION.......... 13 2.6.2 FRECUENCIA DE PUBLICACIÓN......................................................... 13 2.6.3 CONTROLES DE ACCESO................................................................ 13 2.6.4 DEPÓSITOS .............................................................................. 13

2.7 AUDITORIA DE CUMPLIMIENTO [POR DEFINIR]............................................ 14 2.7.1 FRECUENCIA DE LA AUDITORÍA DE CUMPLIMIENTO ................................. 14 2.7.2 IDENTIDAD/CUALIFICACIÓN DEL AUDITOR DE LA CA............................... 14 2.7.3 RELACIÓN DEL AUDITOR CON LA CA AUDITADA..................................... 14 2.7.4 ASPECTOS AUDITADOS ................................................................. 14 2.7.5 ACCIONES EMPRENDIDAS COMO RESULTADO DE LA AUDITORÍA................... 14 2.7.6 COMUNICACIÓN DE LOS RESULTADOS................................................ 14

2.8 POLÍTICA DE CONFIDENCIALIDAD .......................................................... 14 2.8.1 INFORMACIÓN PRIVADA ................................................................ 14 2.8.2 INFORMACIÓN PÚBLICA................................................................. 15

2.9 DERECHOS DE PROPIEDAD INTELECTUAL .................................................. 15 3 IDENTIFICACIÓN Y AUTENTICACIÓN.............................................................. 16

MAPFRE


Página 3 de 34

3.1 REGISTRO INICIAL............................................................................ 16 3.1.1 TIPOS DE NOMBRES..................................................................... 16 3.1.2 NECESIDAD DE NOMBRES SIGNIFICATIVOS .......................................... 16 3.1.3 REGLAS DE INTERPRETACIÓN DE DISTINTAS FORMAS DE NOMBRES .............. 16 3.1.4 EXCLUSIVIDAD DE LOS NOMBRES ..................................................... 16 3.1.5 RESOLUCIÓN DE CONFLICTOS RELACIONADOS CON LOS NOMBRES ............... 17 3.1.6 RECONOCIMIENTO, AUTENTICACIÓN Y ROLES DE LAS MARCAS COMERCIALES ..17 3.1.7 MÉTODO PARA DEMOSTRAR LA POSESIÓN DE CLAVES PRIVADAS ................. 17 3.1.8 COMPROBACIÓN DE LA IDENTIDAD EN CERTIFICADOS DE SERVIDOR ............. 17 3.1.9 COMPROBACIÓN DE LA IDENTIDAD INDIVIDUAL ..................................... 17 3.1.10 COMPROBACION DE LA ENTIDAD EN CERTIFICADOS DE FIRMA DE CODIGO.... 17 3.1.11 COMPROBACION DE LA IDENTIDAD EN CERTIFICADOS DE FIRMA JURIDICA.... 17 3.1.12 COMPROBACIÓN DE LA IDENTIDAD EN CERTIFICADOS DE CONTROLADOR DE DOMINO 18 3.1.13 AUTENTICACIÓN DE DISPOSITIVOS O APLICACIONES............................ 18

3.2 CAMBIO DE CLAVE RUTINARIO .............................................................. 18 3.3 CAMBIO DE CLAVE TRAS LA REVOCACIÓN ................................................. 18 3.4 PETICIÓN DE REVOCACIÓN .................................................................. 18

4 REQUISITOS DE UTILIZACIÓN..................................................................... 19 4.1 SOLICITUD DE CERTIFICADOS .............................................................. 19 4.2 EMISIÓN DE CERTIFICADOS ................................................................. 20 4.3 ACEPTACIÓN DE CERTIFICADOS ............................................................ 20 4.4 SUSPENSIÓN Y REVOCACIÓN DE CERTIFICADOS.......................................... 21

4.4.1 CIRCUNSTANCIAS DE REVOCACIÓN ................................................... 21 4.4.2 QUIÉN PUEDE SOLICITAR LA REVOCACIÓN........................................... 21 4.4.3 PROCEDIMIENTO PARA LA PETICIÓN DE REVOCACIÓN [POR IMPLEMENTAR] [DEBERÁ REVISARSE CUANDO SE APLIQUE] .................................................... 21 4.4.4 PERIODO DE GRACIA DE LA PETICIÓN DE REVOCACIÓN ............................ 21 4.4.5 CIRCUNSTANCIAS DE SUSPENSIÓN ................................................... 21 4.4.6 QUIÉN PUEDE SOLICITAR LA SUSPENSIÓN ........................................... 21 4.4.7 PROCEDIMIENTO PARA LA PETICIÓN DE SUSPENSIÓN .............................. 22 4.4.8 LÍMITES PARA EL PERIODO DE SUSPENSIÓN ......................................... 22 4.4.9 FRECUENCIA DE EMISIÓN DE CRL .................................................... 22 4.4.10 REQUISITOS DE COMPROBACIÓN DE LA CRL ..................................... 22 4.4.11 COMPROBACIÓN DE ESTADO/REVOCACIÓN EN LÍNEA ............................ 22 4.4.12 REQUISITOS DE LA COMPROBACIÓN DE LA REVOCACIÓN EN LÍNEA ............ 22 4.4.13 OTRAS FORMAS DE ANUNCIAR LA REVOCACIÓN .................................. 22 4.4.14 REQUISITOS DE COMPROBACIÓN DE OTRAS FORMAS DE ANUNCIAR LA REVOCACIÓN........................................................................................ 22 4.4.15 . REQUISITOS ESPECIALES POR VIOLACIÓN DE LA SEGURIDAD DE LA CLAVE .22

4.5 PROCEDIMIENTOS DE AUDITORÍA DE SEGURIDAD ........................................ 23 4.5.1 TIPOS DE EVENTOS REGISTRADOS.................................................... 23 4.5.2 TRATAMIENTO DEL REGISTRO DE AUDITORIA ........................................ 23 4.5.3 PROTECCIÓN DEL REGISTRO DE AUDITORIA ......................................... 23 4.5.4 PERDIODO DE RETENCION DEL REGISTRO DE AUDITORIA .......................... 23 4.5.5 PROCEDIMIENTOS DE COPIA DE SEGURIDAD DEL REGISTRO DE AUDITORIA..... 23 4.5.6 EVALUACIÓN DE LA VULNERABILIDAD ................................................ 23

4.6 ARCHIVOS DE REGISTRO..................................................................... 24 4.6.1 EVENTOS REGISTRADOS................................................................ 24

MAPFRE


Página 4 de 34

4.6.2 PERIODO DE RETENCION DEL ARCHIVO............................................... 24 4.6.3 PROTECCIÓN DEL ARCHIVO ............................................................ 24 4.6.4 PROCEDIMIENTOS DE COPIA DE SEGURIDAD DEL ARCHIVO........................ 24 4.6.5 PROCEDIMIENTOS PARA OBTENER Y VERIFICAR LA INFORMACIÓN DEL ARCHIVO 24

4.7 CAMBIOS DE CLAVE........................................................................... 24 4.8 RECUPERACIÓN TRAS VIOLACIÓN DE LA SEGURIDAD Y CATÁSTROFES ................. 24 4.9 CESE DE LA AUTORIDAD DE CERTIFICACIÓN .............................................. 24

5 CONTORLES DE SEGURIDAD FÍSICA Y DE PERSONAL ........................................... 25 5.1 CONTROLES DE SEGURIDAD FÍSICA ........................................................ 25

5.1.1 UBICACIÓN Y DISEÑO DE LAS INSTALACIONES ...................................... 25 5.1.2 ACCESO FÍSICO ......................................................................... 25 5.1.3 ELECTRICIDAD Y AIRE ACONDICIONADO ............................................. 25 5.1.4 EXPOSICIÓN AL AGUA .................................................................. 25 5.1.5 PREVENCIÓN Y PROTECCIÓN CONTRA INCENDIOS................................... 25 5.1.6 ALMACENAMIENTO DE LOS SOPORTES DE DATOS ................................... 25 5.1.7 COPIA DE SEGURIDAD FUERA DE LA INSTALACIÓN.................................. 26

5.2 CONTROLES DE PROCEDIMIENTOS.......................................................... 26 5.2.1 ROLES EN LOS QUE SE CONFÍA ........................................................ 26 5.2.2 NÚMERO DE PERSONAS NECESARIAS POR TAREA ................................... 26 5.2.3 IDENTIFICACIÓN Y AUTENTICACIÓN PARA CADA ROL ............................... 26

5.3 26 5.4 CONTROLES DE SEGURIDAD DEL PERSONAL............................................... 26

5.4.1 REQUISITOS DE HISTORIAL, CUALIFICACIONES, EXPERIENCIA Y ACREDITACIÓN26 5.4.2 PROCEDIMIENTOS DE VERIFICACIÓN DEL HISTORIAL............................... 26 5.4.3 REQUISITOS DE FORMACIÓN .......................................................... 26 5.4.4 FRECUENCIA Y REQUISITOS DE NUEVA FORMACIÓN ................................ 27 5.4.5 ROTACIÓN DE LOS PUESTOS DE TRABAJO............................................ 27 5.4.6 SANCIONES POR ACCIONES NO AUTORIZADAS ...................................... 27 5.4.7 PERSONAL CONTRATADO ............................................................... 27 5.4.8 DOCUMENTACIÓN PARA EL PERSONAL ................................................ 27

6 CONTROLES DE SEGURIDAD TÉCNICA............................................................ 28 6.1 GENERACIÓN E INSTALACIÓN DEL PAR DE CLAVES ....................................... 28

6.1.1 GENERACIÓN DEL PAR DE CLAVES .................................................... 28 6.1.2 ENTREGA DE CLAVES PRIVADAS ....................................................... 28 6.1.3 ENTREGA DE CLAVE PÚBLICA AL EMISOR DEL CERTIFICADO ....................... 28 6.1.4 ENTREGA DE LA CLAVE PÚBLICA DE LA AUTORIDAD DE CERTIFICACION.......... 28 6.1.5 TAMAÑOS DE CLAVE ASIMÉTRICOS.................................................... 28 6.1.6 GENERACIÓN DE PARÁMETROS DE CLAVE PÚBLICA ................................. 28 6.1.7 VERIFICACIÓN DE LA CALIDAD DE LOS PARÁMETROS............................... 29 6.1.8 GENERACIÓN DE CLAVES DE HARDWARE/SOFTWARE ............................... 29 6.1.9 FINALIDAD DEL USO DE LA CLAVE..................................................... 29

6.2 PROTECCIÓN DE LA CLAVE PRIVADA........................................................ 29 6.2.1 NORMAS QUE CUMPLE EL MÓDULO CRIPTOGRÁFICO ................................ 29 6.2.2 CONTROL POR MÚLTIPLES PERSONAS DE LA CLAVE PRIVADA ...................... 29 6.2.3 CUSTODIA DE LA CLAVE PRIVADA ..................................................... 29 6.2.4 COPIA DE SEGURIDAD DE LA CLAVE PRIVADA ....................................... 29 6.2.5 ARCHIVO DE LA CLAVE PRIVADA....................................................... 30 6.2.6 INTRODUCCIÓN DE LA CLAVE PRIVADA EN EL MÓDULO CRIPTOGRÁFICO ......... 30

MAPFRE


Página 5 de 34

6.2.7 MÉTODO PARA ACTIVAR LA CLAVE PRIVADA ......................................... 30 6.2.8 MÉTODO PARA DESACTIVAR LA CLAVE PRIVADA..................................... 30 6.2.9 MÉTODO PARA DESTRUIR LA CLAVE PRIVADA........................................ 30

6.3 OTROS ASPECTOS DE LA GESTIÓN DEL PAR DE CLAVES.................................. 30 6.3.1 PERIODOS DE USO PARA LAS CLAVES PÚBLICA Y PRIVADA......................... 30

6.4 DATOS DE ACTIVACIÓN ...................................................................... 30 6.4.1 GENERACIÓN E INSTALACIÓN DE LOS DATOS DE ACTIVACIÓN .................... 30 6.4.2 PROTECCIÓN DE LOS DATOS DE ACTIVACIÓN........................................ 31 6.4.3 OTROS ASPECTOS DE LOS DATOS DE ACTIVACIÓN.................................. 31

6.5 CONTROLES DE SEGURIDAD INFORMÁTICA................................................ 31 6.5.1 REQUISITOS TÉCNICOS ESPECÍFICOS DE SEGURIDAD INFORMÁTICA ............. 31 6.5.2 CLASIFICACIÓN DE SEGURIDAD INFORMÁTICA ...................................... 31

6.6 CONTROLES DE SEGURIDAD DEL CICLO DE VIDA ......................................... 31 6.6.1 CONTROLES DE DESARROLLO DEL SISTEMA ......................................... 31 6.6.2 CONTROLES DE GESTIÓN DE LA SEGURIDAD ........................................ 31

6.7 CONTROLES DE SEGURIDAD DE LA RED.................................................... 32 6.8 CONTROLES DE INGENIERÍA DEL MÓDULO CRIPTOGRÁFICO ............................. 32

7 PERFILES DE CERTIFICADOS Y LISTAS DE REVOCACIÓN ....................................... 33 7.1 PERFILES DE CERTIFICADOS ................................................................ 33

7.1.1 NÚMERO DE VERSIÓN................................................................... 33 7.1.2 EXTENSIONES DE CERTIFICADOS...................................................... 33 7.1.3 OIDS ...................................................................................... 33 7.1.4 FORMATO DE NOMBRES................................................................. 33 7.1.5 RESTRICCIONES DE NOMBRES ......................................................... 33 7.1.6 USO DE EXTENSIONES DE LIMITACIONES DE POLÍTICAS ........................... 33 7.1.7 TRATAMIENTO DE SEMÁNTICA PARA LA POLÍTICA DE CERTIFICACIÓN CRÍTICA ..33

7.2 PERFIL DE LISTAS DE REVOCACIÓN ........................................................ 33 7.2.1 NÚMERO DE VERSIÓN................................................................... 33 7.2.2 EXTENSIONES DE CRL Y ENTRADAS DE CRL ........................................ 33

8 ADMINISTRACIÓN DE LAS ESPECIFICACIONES .................................................. 34 8.1 PROCEDIMIENTOS DE CAMBIO DE ESPECIFICACIONES ................................... 34 8.2 PUBLICACIÓN Y NOTIFICACIÓN ............................................................. 34 8.3 PROCEDIMIENTOS DE APROBACIÓN DE LA DECLARACIÓN ............................... 34

MAPFRE


Página 6 de 34

1 INTRODUCCIÓN

El Sistema MAPFRE ha implementado una infraestructura de clave pública de ámbito privado corporativo que le permite proporcionar seguridad a algunas transacciones electrónicas circunscritas al mismo. El objetivo del presente documento es describir las prácticas de certificación que se han puesto en práctica, para garantizar la fiabilidad de la CA a la hora de emitir certificados de clave pública a los suscriptores del servicio. Las líneas generales están basadas en la RFC 2527, que aporta las consideraciones principales a tener en cuenta a la hora de elaborar una declaración de prácticas de certificación de una infraestructura de PKI de cualquier ámbito.

1.1 DESCRIPCIÓN GENERAL

La declaración de prácticas de certificación de la Entidad Certificadora Privada Corporativa del Sistema MAPFRE describe la creación, la gestión y el uso de certificados de clave pública X.509 versión 3, en aplicaciones que requieran la comunicación segura entre sistemas informáticos interconectados y aplicaciones que exijan la integridad y confidencialidad de la información electrónica. Las aplicaciones y sistemas informáticos son del ámbito corporativo y presta servicios a personal de las distintas entidades del Sistema MAPFRE o algúna empresa colaboradora. La declaración se ajusta a las recomendaciones que establece la Internet Engineering Task Force en el documento “Public Key Infrastructure X.509 (IETF PKIX) Part 4 Certificate Policy and Certification Practice Statement Framework”, referenciado como RFC 2527. La autoridad de certificación del Sistema MAPFRE es responsable de la creación y gestión de certificados X.509 en el ámbito descrito.

1.2 IDENTIFICACIÓN

El presente documento es la “Declaración de Prácticas de Certificación de la Entidad Certificadora Corporativa del Sistema MAPFRE”. Está complementado por el “Procedimiento de Gestión de Gestión de Certificación Digital”, donde se describen los perfiles de certificado que provee la entidad certificadora, su formato y cual es el procedimiento que regula su obtención.

MAPFRE


Página 7 de 34

1.3 COMUNIDAD DE USUARIOS Y APLICABILIDAD

La Entidad Certificadora Privada Corporativa se ha establecido para proveer de servicios de certificación digital a las entidades del Sistema MAPFRE.

1.3.1 AUTORIDADES DE CERTIFICACION Las entidades de certificación son entidades autorizadas, desde un punto de vista general están autorizadas a realizar las siguientes operaciones:

• Crear y firmar certificados digitales. • Distribuir los certificados a los solicitantes. • Distribuir información del estado de los certificados. [No operativo] • Proveer un repositorio donde se almacenen tanto los certificados como su

estado.

En la estructura de clave pública del Sistema MAPFRE existen dos entidades de certificación:

• La Entidad Certificadora Raíz, que emite certificados sólo de entidades certificadoras, y que está dispuesta para aportar flexibilidad a la propia infraestructura de modo que se puedan independizar determinados roles en caso de que se requiera.

• La Entidad Certificadora Privada Corporativa, que emite: − Certificados digitales de servidor. − Certificados digitales de identidad personal. − Certificados digitales de Firma de código. − Certificados digitales de identidad de cliente y de servidor. − Certificados digitales de Entidad Jurídica. − Certificados digitales de identidad de controladores de dominio de AD.

Los oficiales de la autoridad de certificación son las personas que se encargan de buen funcionamiento general de esta, incluyendo el servidor que la alberga, y el software que provee los servicios de certificación digital. Cuando lo aconsejan las recomendaciones, esta declaración de prácticas de certificación distingue los distintos usuarios y roles que acceden a las funciones de autoridad de certificación. Cuando esta distinción no es necesaria, se entiende como autoridad de certificación a esta como un todo, incluyendo el software y sus operaciones.

1.3.2 AUTORIDAD DE REGISTRO

La autoridad de registro se encarga de la identificación de los solicitantes de los servicios de certificación digital que provee la entidad certificadora, y de completar el protocolo que establece el procedimiento de certificación digital para la obtención de un certificado digital.

La autoridad de registro se encarga de:

• Comprobar la identidad administrativa de los solicitantes de certificados.

MAPFRE


Página 8 de 34

• Comprobar si es correcto el sujeto del certificado, en función de cada tipo de certificado solicitado.

• Revisar los registros de auditoria e informar de eventos anormales. • Realizar la emisión de los certificados y hacérselos llegar a los solicitantes. • Revocar certificados. • Comprobar la correcta publicación del estado de los certificados [Cuando

se active esta opción]

Dado el ámbito corporativo de los servicios de certificación, la identidad de los solicitantes se conoce por la relación diaria en el trabajo con los solicitantes, o bien por una colaboración puntual en un proyecto o puesta en marcha de un servicio que requieren el uso de certificados digitales.

1.3.3 USUARIOS FINALES

Son usuarios finales de la Entidad Certificadora Privada Corporativa:

• Los técnicos de sistemas de entidades del Sistema MAPFRE que requieren disponer servicios con niveles de seguridad que implican comprobar la identidad del servidor o servidores que lo albergan (SSL, VPN site-to-site).

• Los usuarios de la aplicación Wauditmap, que requiere que presenten un certificado digital como mecanismo de comprobación de credenciales.

• Las entidades del Sistema MAPFRE que quieran implementar los servicios de firma jurídica.

• Los grupos de desarrollo de las distintas entidades del Sistema MAPFRE que quieran implementar mecanismos de firma de código, para aumentar la seguridad en la ejecución de aplicaciones.

• Los usuarios de la infraestructura de VPN corporativa. • Los técnicos de sistemas del Área de Servicios Corporativos del Área de

Tecnologías de la Información, que administran los controladores de dominio corporativos.

1.3.4 PARTES QUE CONFÍAN Se considera una parte que confía, a toda entidad (usuario o servicio) que incorpore la jerarquía de certificación del Sistema MAPFRE en su contenedor de entidades certificadoras de confianza. Esto incluye a entidades pertenecientes a otras empresas y que requieren del uso de servicios del Sistema MAPFRE. La jerarquía de certificación del Sistema MAPFRE comprende al los certificados de la Entidad Certificadora Raíz y de la Entidad Certificadora Privada Corporativa. También se consideran partes que confían, a los usuarios finales de los servicios de certificación que proveen las autoridades de certificación.

1.3.5 APLICABILIDAD Las prácticas descritas en la presente declaración de prácticas de certificación, se aplican a la Entidad Certificadora Raíz y a sus administradores, a la Entidad Certificadora Privada Corporativa y a sus administradores, a las autoridades de registro, al depósito que almacena los certificados emitidos y su estado, a los usuarios finales y a las partes que confían.

MAPFRE


Página 9 de 34

Estas prácticas son adecuadas para la certificación en usos tales como autenticación y autorización electrónicas, y la integridad de los datos. Son adecuadas siempre en ámbito privado del Sistema MAPFRE.

1.4 INFORMACIÓN DE CONTACTO

El Departamento de Seguridad del Área de Tecnologías de la Información administra esta declaración de prácticas de certificación. A continuación se describe la información de contacto:

Sr. Lionel Güitta Abellán Departamento de Seguridad Área de Tecnologías de la Información Sistema MAPFRE Ctra. Pozuelo-Majadahonda, 52 28220- Majadahonda- Madrid

MAPFRE


Página 10 de 34

2 DISPOSICIONES GENERALES

2.1 OBLIGACIONES

2.1.1 OBLIGACIONES DE LA AUTORIDAD DE CERTIFICACION La Entidad Certificadora Privada Corporativa cumplirá lo descrito en la presente declaración de prácticas de certificación, así como cualquier instrucción de seguridad emitida por las distintas áreas competentes en materias de seguridad, dentro del Sistema MAPFRE. Son obligaciones de la Entidad Certificadora Privada Corporativa:

• Elaborar, mantener y publicar una Declaración de prácticas de certificación.

• Prestar servicios de autoridad de certificación conforme con las prácticas descritas en la presente declaración.

• Prestar servicios de servidor en los periodos definidos como laborales, considerando que no se trata de una garantía de disponibilidad al 100 % , ya que puede verse disminuida por actividades de mantenimiento o reparación del sistema o por factores ajenos al control de la autoridad de certificación).

• Emitir certificados digitales conforme con las prácticas recogidas en la presente declaración y con el Procedimiento de Gestión de Certificación Digital.

• Revocar los certificados previa recepción de una solicitud válida para ello, de conformidad con las prácticas recogidas en este documento.

• Emitir y hacer públicas CRL [y ARL] periódicamente de acuerdo con la presente declaración. [No Activado]

• Notificar a terceros (por ejemplo, a partes que confían) la emisión o revocación de certificados publicando las CRL en un repositorio público.

• Garantizar que la comunidad de suscriptores y las autoridades de registro conocen y cumplen la presente declaración, mediante su publicación y la del Procedimiento de Gestión de Certificación Digital.

• La Entidad Certificadora Privada Corporativa notifica los derechos y obligaciones de un suscriptor y de la parte que confía de acuerdo con el presente documento, mediante su publicación y la publicación del Procedimiento de Gestión de Certificación Digital.

• La Entidad Certificadora Privada Corporativa protege sus claves privadas de conformidad con lo establecido en esta declaración.

• La clave de firma de Entidad Certificadora Privada Corporativa sirve para firmar los certificados y las listas de revocación.

2.1.2 OBLIGACIONES DE LA ENTIDAD DE REGISTRO La autoridad de registro en el dominio de la Entidad Certificadora Privada Corporativa está obligadas a adecuarse a lo establecido en esta declaración de prácticas de certificación y en el Procedimiento de Gestión de Certificación Digital.

MAPFRE


Página 11 de 34

La autoridad de registro está obligada a:

• Prestar los servicios de autoridad de registro durante la jornada laboral. • Garantizar que los servicios de la autoridad de registro se ajustan a lo

establecido para las prácticas correspondientes en el presente documento y el Procedimiento de Gestión de Certificación Digital.

• Responder de las operaciones realizadas en nombre de la autoridad de certificación.

• Cuando la autoridad de registro accede al servidor de la CA para procesar una solicitud de certificado, está certificando que ha comprobado la identidad del suscriptor de conformidad con las prácticas descritas en las secciones 3 y 4 de la presente declaración.

• Encargarse del tratamiento de las solicitudes de emisión y revocación de certificados.

• Notificar la emisión o denegación del certificado, haciendo llegar el certificado al emisor en el primer caso, o indicando la causa en el último de los supuestos.

2.1.3 OBLIGACIONES DEL SUSCRIPTOR Se consideran suscriptores en el ámbito de la Entidad Certificadora Privada Corporativa a los usuarios finales y a las partes que confían. En su calidad de suscriptores, están obligados a:

• Garantizar en todo momento la autenticidad de la información que proporcionen a la de la Entidad Certificadora Privada Corporativa y a la autoridad de registro, en los certificados y otros datos de identificación.

• Usar los certificados exclusivamente para cada uno de los ámbitos para los que se define cada tipo de certificado.

• Proteger las claves privadas almacenándolas de forma segura y a eliminar la clave privada, cuando se finalice el uso del ordenador donde se encuentre almacenada

• Informar a la autoridad de registro de cualquier cambio en los datos incluidos en un certificado o en una petición de solicitud de certificado.

• Informar a la autoridad de registro, en el menor tiempo posible de la posibilidad de que se haya visto comprometida la seguridad de las claves privadas.

• Tomar todas las precauciones razonables para impedir la pérdida, difusión, modificación o uso no autorizado de sus claves privadas.

El uso de las claves privadas por parte de los usuarios finales se limita al ámbito privado corporativo del Sistema MAPFRE y en sus relaciones con otras empresas con las que trabaja, y únicamente con los fines que describe en el Procedimiento de Gestión de Certificación Digital y de acuerdo con este documento.

MAPFRE


Página 12 de 34

2.1.4 OBLIGACIONES DE LA PARTE QUE CONFÍA Se consideran entidades finales en el ámbito de la Entidad Certificadora Privada Corporativa a los usuarios finales, como a las partes que confían. Como partes que confían estén obligadas a:

• Confiar en los certificados emitidos por la Entidad Certificadora Privada Corporativa del Sistema MAPFRE, sólo cuando se usan con un fín apropiado en cada caso, de acuerdo con el Procedimiento de Gestión de Certificación Digital y la presente declaración.

• Verificar los certificados y las listas de revocación de acuerdo con el procedimiento de validación especificado en la recomendación UIT X.509 Tecnología de la información - Interconexión de sistemas abiertos.

• Confiar en los certificados y utilizarlos únicamente si se establece una cadena de certificación válida entre la parte que confía y el sujeto del certificado.

• Las partes que confían son responsables de validar la firma de la Entidad Certificadora Privada Corporativa, así como la fecha de expiración de un certificado antes de utilizar la clave pública asociada.

• En la firma de código debe verificar la firma digital del suscriptor antes de aceptar datos firmados digitalmente. Deben verificar, también la firma digital de la lista de revocación para garantizar su autenticidad.

2.2 RESPONSABILIDAD [ASESORIA JURÍDICA?]

2.2.1 GARANTÍAS Y LIMITACIONES DE LAS GARANTÍAS [Sin establecer.]

2.2.2 EXENCIÓN Y LIMITACIONES DE RESPONSABILIDAD [Sin establecer.]

2.2.3 OTROS TÉRMINOS Y CONDICIONES [Sin establecer.]

2.3 RESPONSABILIDAD FINANCIERA

2.3.1 INDEMNIZACIÓN POR LAS PARTES QUE CONFÍAN [Sin establecer.]

2.3.2 RELACIONES FIDUCIARIAS [Sin establecer.]

2.4 INTERPRETACIÓN Y APLICACIÓN

2.4.1 LEGISLACIÓN APLICABLE [Sin establecer.]

MAPFRE


Página 13 de 34

2.4.2 SEPARACIÓN, SUPERVIVENCIA, FUSIÓN, NOTIFICACIÓN Estos eventos pueden dar lugar a cambios en el ámbito de aplicación, la gestión o el funcionamiento de la Entidad Certificadora Privada Corporativa, que puede hacer necesario modificar el Procedimiento de Gestión de Certificación Digital y la propia declaración de prácticas de certificación. Cualquier cambio se hará de acuerdo con los requisitos administrativos establecidos en el punto 8 del documento

2.4.3 PROCEDIMIENTOS DE RESOLUCIÓN DE LITIGIOS [Sin establecer.]

2.5 HONORARIOS

[Sin establecer.]

2.6 PUBLICACIÓN Y DEPÓSITO

2.6.1 PUBLICACIÓN DE INFORMACIÓN DE LA AUTORIDAD DE CERTIFICACION La Entidad Certificadora Privada Corporativa publicará:

• Los certificados de la Entidad Certificadora Raíz y la Entidad Certificadora Privada Corporativa en un repositorio público.

• El Procedimiento de Gestión de Certificación Digital en un repositorio público.

• La Declaración de Prácticas de Certificación en un repositorio público. • La lista de revocación de certificados más reciente en un repositorio

público.

2.6.2 FRECUENCIA DE PUBLICACIÓN Las listas de revocación de certificados se publican según los criterios que se describen en el punto 4.4 de este documento.

2.6.3 CONTROLES DE ACCESO La presente declaración, el Procedimiento de Gestión de Certificación, y las listas de revocación de certificados, pueden obtenerse para lectura del repositorio público donde se encuentra publicado.

2.6.4 DEPÓSITOS Falta por definir la ubicación donde se depositarán los elementos descritos en los puntos anteriores. Se ha solicitado su ubicación en el Portal Corporativo.

MAPFRE


Página 14 de 34

2.7 AUDITORIA DE CUMPLIMIENTO [POR DEFINIR]

2.7.1 FRECUENCIA DE LA AUDITORÍA DE CUMPLIMIENTO [Sin establecer.]

2.7.2 IDENTIDAD/CUALIFICACIÓN DEL AUDITOR DE LA CA [Sin establecer.]

2.7.3 RELACIÓN DEL AUDITOR CON LA CA AUDITADA [Sin establecer.]

2.7.4 ASPECTOS AUDITADOS La auditoria de cumplimiento revisará el grado de cumplimiento, por parte de Entidad Certificadora Privada Corporativa y de la autoridad de registro, de las prácticas declaradas en este documento. Tendrá en cuenta:

• Los procedimientos de identificación de los suscriptores. • Los controles de seguridad, de procedimientos y de personal. • Los controles de seguridad lógica.

2.7.5 ACCIONES EMPRENDIDAS COMO RESULTADO DE LA AUDITORÍA [Sin establecer.]

2.7.6 COMUNICACIÓN DE LOS RESULTADOS [Sin establecer.]

2.8 POLÍTICA DE CONFIDENCIALIDAD

2.8.1 INFORMACIÓN PRIVADA Se considera información confidencial, y por tanto información que no se puede distribuir, la clave privada de cada usuario final. A esta clave privada solo tiene acceso este, y nunca debe abandonar el contenedor de claves que proporcione el sistema operativo del sistema desde el que utilice los servicios de certificación digital, salvo en el caso de los certificados de firma de código, y de usuario que accede a Wauditmap, para los que la entidad de registro proporciona el par de claves y el certificado firmado. Se considera información confidencial los datos contenidos en los registros de auditoria de la autoridad de certificación, fuera del ámbito del Sistema MAPFRE. Estos registros no estarán a disposición pública.

MAPFRE


Página 15 de 34

2.8.2 INFORMACIÓN PÚBLICA Se considera información pública la información contenida en los certificados, y el las listas de revocación de certificados. También se considera público el contenido del Procedimiento de Gestión de la Certificación Digital, y esta Declaración de Prácticas de Certificación.

2.9 DERECHOS DE PROPIEDAD INTELECTUAL

Los certificados emitidos, las listas de revocación emitidas por la Entidad Certificadora Privada Corporativa son propiedad del Sistema MAPFRE. Son también propiedad de esta empresa los procedimientos y políticas de operación de la jerarquía de certificación, las claves de las entidades certificadoras que la conforman.

MAPFRE


Página 16 de 34

3 IDENTIFICACIÓN Y AUTENTICACIÓN

3.1 REGISTRO INICIAL

3.1.1 TIPOS DE NOMBRES Los nombres utilizados en los campos relevantes, utilizados en los distintos certificados emitidos por la Entidad Certificadora Privada Corporativa, serán cadenas de texto simple. Para todos los certificados se establecerán los nombres según la siguiente convención:

O = MAPFRE

OU = <Entidad del Sistema MAPFRE que lo solicita>

C = <Código ISO del país donde está ubicado el servicio>

L = <Localidad donde está ubicado el servicio>

S = <Provincia donde está ubicado el servicio>

E = <Dirección de correo electrónico del solicitante>

El CN del certificado variará en función del tipo de certificado emitido. Así tendrá los valores:

FQDN que se utiliza para acceder al servicio, en los certificados de servidor, y los certificados de cliente/servidor.

Nombre y Apellidos de la persona que presenta el certificado de usuario.

Nombre de departamento responsable del código firmado por un certificado de firma de código.

Nombre de la entidad del Sistema MAPFRE que implementa el sistema de firma jurídica.

Nombre de máquina obtenido del directorio de infraestructura, en los certificados de controlador de dominio.

3.1.2 NECESIDAD DE NOMBRES SIGNIFICATIVOS

Todos los nombres tienen que ser lo suficientemente descriptivos como para reconocer sin dudas al suscriptor del certificado.

3.1.3 REGLAS DE INTERPRETACIÓN DE DISTINTAS FORMAS DE NOMBRES [Sin establecer.]

3.1.4 EXCLUSIVIDAD DE LOS NOMBRES [Sin establecer.]

MAPFRE


Página 17 de 34

3.1.5 RESOLUCIÓN DE CONFLICTOS RELACIONADOS CON LOS NOMBRES Los conflictos relacionados con los nombres serán arbitrados por el Departamento de Seguridad del Área de Producción del Área de Tecnologías de la Información del Sistema MAPFRE.

3.1.6 RECONOCIMIENTO, AUTENTICACIÓN Y ROLES DE LAS MARCAS COMERCIALES

[Sin establecer.]

3.1.7 MÉTODO PARA DEMOSTRAR LA POSESIÓN DE CLAVES PRIVADAS La prueba de la posesión de una clave privada se entrega automáticamente a través de un protocolo de comunicaciones seguras.

3.1.8 COMPROBACIÓN DE LA IDENTIDAD EN CERTIFICADOS DE SERVIDOR Los certificados de servidor son solicitados por los técnicos de sistemas de las distintas entidades del Sistema MAPFRE, a la autoridad de registro. Estas personas son conocidas por la relación diaria en la actividad laboral, por parte de la autoridad de registro. No se considera necesario establecer ningún mecanismo de seguridad adicional, pues el suscriptor es conocido.

3.1.9 COMPROBACIÓN DE LA IDENTIDAD INDIVIDUAL Los usuarios de la aplicación Wauditmap, generalmente auditores, son los usuarios finales de los certificados de usuario emitidos por la Entidad Certificadora del Sistema MAPFRE. Estos certificados son solicitados por el soporte informático de este departamento, también conocido por la relación laboral diaria. No se considera necesario establecer ningún mecanismo de seguridad adicional, pues el intermediario con el suscriptor es conocido.

3.1.10 COMPROBACION DE LA ENTIDAD EN CERTIFICADOS DE FIRMA DE CODIGO Es el responsable del departamento de desarrollo que quiere implementar mecanismos de firma de código, o bien el departamento de desarrollo del Área de Tecnología del Área de Tecnologías de la Información quien solicitan un certificado digital de firma de código a la entidad de registro. Estas personas son conocidas por la relación diaria en la actividad laboral, por parte de la autoridad de registro. No se considera necesario establecer ningún mecanismo de seguridad adicional, pues el suscriptor es conocido.

3.1.11 COMPROBACION DE LA IDENTIDAD EN CERTIFICADOS DE FIRMA JURIDICA

En la generación de la petición de certificado en la plataforma de firma jurídica corporativa se encuentran presentes:

• El responsable del servicio, en calidad de suscriptor y como generador de la petición del certificado digital.

• El responsable de seguridad de la entidad que solicita el certificado y que implementa los servicios de la plataforma de firma jurídica.

MAPFRE


Página 18 de 34

• El responsable del Departamento de Seguridad del Área de tecnologías de la información del Sistema MAPFRE.

• La autoridad de registro, que recoge la petición de certificado y al devuelve firmada por la Entidad certificadora Privada Corporativa.

3.1.12 COMPROBACIÓN DE LA IDENTIDAD EN CERTIFICADOS DE CONTROLADOR DE

DOMINO La emisión, recogida y renovación de este tipo de certificados los hace de forma automática el propio controlador de dominio de directorio activo. Se consideran suficientes los mecanismos de control de acceso que implementa el propio directorio para asegurar que el suscriptor es legítimo.

3.1.13 AUTENTICACIÓN DE DISPOSITIVOS O APLICACIONES

[Sin establecer.]

3.2 CAMBIO DE CLAVE RUTINARIO

El cambio de clave de un certificado implica la creación de un nuevo certificado con el mismo sujeto, una nueva clave pública, y posiblemente, un periodo de validez distinto. Este procedimiento de se aplica cada vez que el certificado del usuario deja de ser válido y es idéntico al procedimiento de Registro inicial.

3.3 CAMBIO DE CLAVE TRAS LA REVOCACIÓN

En el caso de los suscriptores cuyos certificados hayan sido revocados, se deberá aplicar el mismo procedimiento que para el cambio de clave rutinario.

3.4 PETICIÓN DE REVOCACIÓN

La revocación se describe en el punto 4.4. del presente documento.

MAPFRE


Página 19 de 34

4 REQUISITOS DE UTILIZACIÓN

4.1 SOLICITUD DE CERTIFICADOS

Los certificados digitales serán solicitados a la autoridad de registro, por parte los suscriptores de los servicios de certificación de la Entidad Certificadora Privada Corporativa, salvo en el caso de los certificados de controlador de dominio que son solicitados, automáticamente a la autoridad de certificación. Se considera suscriptor:

• Al técnico de sistemas de la entidad del Sistema MAPFRE que solicita un certificado de firma de código.

• Al responsable del soporte informático del Área Funcional de Auditoria del Sistema MAPFRE que solicita los certificados que identifican a las personas que acceden a Wauditmap.

• Al responsable del departamento de desarrollo de la entidad del Sistema MAPFRE que solicita un certificado de firma de código.

• Al responsable del departamento de desarrollo del Área de Tecnología del Área Funcional de Tecnologías de la Información que intermedia en la petición de un certificado de firma de código.

• La responsable de la entidad del Sistema MAPFRE de la plataforma de firma jurídica.

• Al controlador de dominio del árbol de directorio de infraestructura corporativo, que solicita automáticamente un certificado a la autoridad de certificación.

Los suscriptores de los certificados de servidor enviarán un mensaje de correo electrónico a la autoridad de registro, que contenga la petición del certificado en formato PKCS10 y generada por el sistema donde va a instalarse de forma definitiva, con las herramientas que apliquen en cada caso. Los suscriptores del los certificados de firma jurídica entregarán en un soporte físico a la autoridad de registro la solicitud del certificado en formato PKCS10 y generada por le proveedor criptográfico hardware de la plataforma de firma jurídica. El suscriptor de los certificados de acceso a Wauditoria, entregará, a la autoridad de registro, un fichero CSV sin cabeceras con una línea por certificado solicitado con los siguientes los campos “Empresa;Apellidos;Nombre;Email” separados por punto y coma. Los suscriptores de los certificados de firma de código solicitarán vía correo electrónico, su certificado indicando el nombre del departamento que se establecerá como asunto del certificado. La autoridad de registro comprobará la identidad de los solicitantes, según los criterios que se establecen en los puntos 3.1.8-3.1.12 del presente documento.

MAPFRE


Página 20 de 34

La autoridad de registro comprobará, también que los valores en los atributos corresponden con los establecidos en cada perfil de certificado definido, según se establece en la presente declaración y en el Procedimiento de Gestión de la Certificación Digital. La autoridad de registro rechazará o aceptará la petición de certificado, y comunicará vía correo electrónico las causas del rechazo. Se considera implícita la aceptación, cuando se envía el certificado emitido al solicitante.

4.2 EMISIÓN DE CERTIFICADOS

En este punto se describe el procedimiento general de emisión de un certificado digital por parte de la Entidad Certificadora Privada Corporativa:

1. El suscriptor envía una petición de certificado a la autoridad de registro, según los criterios que se describen en el punto anterior.

2. La autoridad hace una comprobación administrativa de la identidad del suscriptor, y comprueba que los datos y el formato de la petición son correctas.

3. La autoridad de registro entrega a la autoridad de certificación la petición de certificado, vía la página web que provee esta última, o con la utilidad en modo comando que cumple con la misma función.

4. La autoridad de certificación firma la petición y devuelve el certificado resultante de la operación a la autoridad de registro., en la misma operación.

5. La autoridad de registro devuelve el certificado firmado por la autoridad de certificación, al solicitante.

6. En el caso de la emisión de los certificados de firma de código, es la propia autoridad de registro la que genera el par de claves y la petición de certificado que entrega a la autoridad de certificación. En este caso la autoridad de registro envía al solicitante, el certificado, junto con las claves en un fichero PKCS12, protegido con contraseña.

7. En el caso de la emisión de certificados de validación de usuarios de Wauditoría, es un “script” el que genera el par de claves en el contenedor de claves la máquina desde la que se hace la petición, el que genera la petición de certificación, el que lo recoge una vez firmado, y el que entrega certificado y el par de claves en un fichero PKCS12 protegido por contraseña, al usuario final vía correo electrónico.

8. Es el propio usuario final el que solicita y recoge firmado el certificado de la entidad de registro, si se trata de la emisión de certificados de controlador de dominio.

4.3 ACEPTACIÓN DE CERTIFICADOS

El mero hecho de recibir el certificado firmado por la Entidad Certificadora Privada Corporativa, implica la aceptación por parte del suscriptor de sus responsabilidades relacionadas con el uso del certificado

MAPFRE


Página 21 de 34

4.4 SUSPENSIÓN Y REVOCACIÓN DE CERTIFICADOS

4.4.1 CIRCUNSTANCIAS DE REVOCACIÓN Los certificados digitales emitidos por la Entidad Certificadora Privada Corporativa son revocados cuando se considera que no son fiables por algún motivo. Puede tratarse de certificados para suscriptores, para la autoridad de registro o para la entidad de certificación. Pueden motivar este hecho:

• La suspensión de la actividad. • El compromiso de la seguridad de las claves privadas y/o de las

contraseñas que la protegen. • Que se finalice la relación laboral con el Sistema MAPFRE de una

persona que posee un certificado de validación de usuario. • Incumplimiento por parte del solicitante de sus obligaciones de

conformidad con el presente documento y con las políticas de certificación correspondientes.

4.4.2 QUIÉN PUEDE SOLICITAR LA REVOCACIÓN

Podrán solicitar la revocación de un certificado digital emitido por la Entidad Certificadora Privada:

• El poseedor del certificado. • Los persona que hizo la petición de ese certificado. • Los superiores del poseedor del certificado. • El responsable del departamento de Seguridad del Área Funcional de

Tecnologías de la Información del Sistema MAPFRE. • El responsable de seguridad de la entidad en la que trabaja el poseedor

del certificado.

4.4.3 PROCEDIMIENTO PARA LA PETICIÓN DE REVOCACIÓN [POR IMPLEMENTAR]

[DEBERÁ REVISARSE CUANDO SE APLIQUE]

La petición de revocación de un certificado digital emitido por la Entidad Certificadora Privada Corporativa, se hará mediante comunicación vía correo electrónico dirigida a la autoridad de registro, por parte de laguna de las personas que cumplan con los criterios que se establecen en el punto anterior.

4.4.4 PERIODO DE GRACIA DE LA PETICIÓN DE REVOCACIÓN

[Sin establecer.]

4.4.5 CIRCUNSTANCIAS DE SUSPENSIÓN

[Sin establecer.]

4.4.6 QUIÉN PUEDE SOLICITAR LA SUSPENSIÓN

[Sin establecer.]

MAPFRE


Página 22 de 34

4.4.7 PROCEDIMIENTO PARA LA PETICIÓN DE SUSPENSIÓN Sin establecer.

4.4.8 LÍMITES PARA EL PERIODO DE SUSPENSIÓN

[Sin establecer.]

4.4.9 FRECUENCIA DE EMISIÓN DE CRL

La Entidad Certificadora Privada Corporativa publicada cada siete días la lista de revocación de certificados.

Pueden publicarse en intervalos más cortos, en casos excepcionales, ejecutando la publicación bajo demanda.

4.4.10 REQUISITOS DE COMPROBACIÓN DE LA CRL Los certificados emitidos por la Entidad Certificadora Privada Corporativa incluyen, en al atributo “CRL Distribution Point” la URL donde pueden obtenerse las listas de revocación de certificados. Se deja a la elección de las entidades que confían, la comprobación de las listas de revocación, y de la validez de estas. Pudiendo decidir que acción tomar, incluso, cuando es inviable obtenerla, o se considera antigua.

4.4.11 COMPROBACIÓN DE ESTADO/REVOCACIÓN EN LÍNEA No se establecen mecanismos que permitan la consulta del estado de los certificados emitidos en línea.

4.4.12 REQUISITOS DE LA COMPROBACIÓN DE LA REVOCACIÓN EN LÍNEA

[Sin establecer.]

4.4.13 OTRAS FORMAS DE ANUNCIAR LA REVOCACIÓN

[Sin establecer.]

4.4.14 REQUISITOS DE COMPROBACIÓN DE OTRAS FORMAS DE ANUNCIAR LA

REVOCACIÓN

[Sin establecer.]

4.4.15 . REQUISITOS ESPECIALES POR VIOLACIÓN DE LA SEGURIDAD DE LA CLAVE

[Sin establecer.]

MAPFRE


Página 23 de 34

4.5 PROCEDIMIENTOS DE AUDITORÍA DE SEGURIDAD

4.5.1 TIPOS DE EVENTOS REGISTRADOS La Entidad Certificadora Privada Corporativa almacena en el registro de auditoria del sistema, los siguientes eventos:

• Inicios de sesión • Mantenimiento de cuentas del sistema • Acceso a objetos del sistema (procesos, etc.). • Uso de privilegios. • Seguimiento de procesos • Eventos propios del sistema (inicios, paradas, etc..) • Cambios en la política de auditoria. • Operaciones de copia de seguridad y recuperación del repositorio de

certificados. • Emisión y mantenimiento de certificados. • Revocación de certificados. • Publicación de listas de revocación. • Almacenamiento y recuperación de claves. • Inicios y paradas del servicio que proporciona la funcionalidad de

autoridad de certificación.

4.5.2 TRATAMIENTO DEL REGISTRO DE AUDITORIA Los oficiales de la Entidad Certificadora Privada Corporativa procesan, con una periodicidad semanal los registros de auditoria. Cualquier anomalía detectada se pondrá en conocimiento del Departamento de Seguridad del Área de Tecnologías de la Información.

4.5.3 PROTECCIÓN DEL REGISTRO DE AUDITORIA Los ficheros de auditoria están protegidos por los mecanismos de seguridad que proporciona el sistema operativo en el que se ejecuta el software que proporciona los servicios de certificación.

4.5.4 PERDIODO DE RETENCION DEL REGISTRO DE AUDITORIA

Los registros de auditoria se mantienen hasta que los sobrescribe el propio sistema operativo, cuando alcanza su tamaño máximo.

4.5.5 PROCEDIMIENTOS DE COPIA DE SEGURIDAD DEL REGISTRO DE AUDITORIA

[Sin establecer.]

4.5.6 EVALUACIÓN DE LA VULNERABILIDAD La evaluación de las vulnerabilidades que aparezcan, se harán junto con el Departamento de Seguridad del Área de Tecnologías de la Información.

MAPFRE


Página 24 de 34

4.6 ARCHIVOS DE REGISTRO

4.6.1 EVENTOS REGISTRADOS

[Sin establecer.]

4.6.2 PERIODO DE RETENCION DEL ARCHIVO

[Sin establecer.]

4.6.3 PROTECCIÓN DEL ARCHIVO

[Sin establecer.]

4.6.4 PROCEDIMIENTOS DE COPIA DE SEGURIDAD DEL ARCHIVO

[Sin establecer.]

4.6.5 PROCEDIMIENTOS PARA OBTENER Y VERIFICAR LA INFORMACIÓN DEL ARCHIVO

[Sin establecer.]

4.7 CAMBIOS DE CLAVE

Los cambios de las claves de la Entidad Certificadora Privada Corporativa se harán en función de lo establecido en los puntos 3.2 y 3.2 de la presente declaración.

4.8 RECUPERACIÓN TRAS VIOLACIÓN DE LA SEGURIDAD Y CATÁSTROFES

Se mantiene en lugar seguro una copia del par de claves de la Entidad Certificadora Privada Corporativa. En caso de desastre se podrá reconstruir el servicio, incluso en una ubicación remota. En caso de que sea comprometida la seguridad de la Entidad Certificadora Privada Corporativa, se valorará la situación con el Departamento de Seguridad del Área de Tecnologías de la Información, y se determinará la mejor solución para cada caso.

4.9 CESE DE LA AUTORIDAD DE CERTIFICACIÓN

En el caso de que cese la actividad de la Entidad Certificadora Privada Corporativa, se notificará, con antelación suficiente, a los suscriptores del servicio, y a las entidades que confían. Todos los certificados emitidos serán revocados.

MAPFRE


Página 25 de 34

5 CONTORLES DE SEGURIDAD FÍSICA Y DE PERSONAL

5.1 CONTROLES DE SEGURIDAD FÍSICA

5.1.1 UBICACIÓN Y DISEÑO DE LAS INSTALACIONES La Entidad Certificadora Privada Corporativa está ubicada en un centro de proceso de datos en el edificio de la Sede Social del Sistema MAPFRE ubicado en M-II, con acceso restringido solo a personal autorizado. Las instalaciones cuentan con vigilancia electrónica las 24 horas del día y los 7 días de la semana. Se mantienen registros electrónicos del acceso físico al dentro de procedo de datos.

5.1.2 ACCESO FÍSICO EL acceso físico al centro de proceso de datos está protegido por un sistema de control de acceso electrónico en dos niveles. Solo se permite el acceso a cada nivel a las personas autorizadas. Las personas se identifican con la tarjeta de empleado ante el sistema de control de acceso electrónico. Solo se permite acceso físico a la Entidad Certificadora Privada Corporativa, a los oficiales de la autoridad de certificación, y a los administradores de sistemas que la mantienen, aunque no se implementan mecanismos que lo regulen.

5.1.3 ELECTRICIDAD Y AIRE ACONDICIONADO El centro de proceso de datos donde se ubica la Entidad Certificadora Privada Corporativa, posee suministro eléctrico y acondicionamiento suficientes para crear un entorno adecuado de funcionamiento.

5.1.4 EXPOSICIÓN AL AGUA

[Sin establecer.]

5.1.5 PREVENCIÓN Y PROTECCIÓN CONTRA INCENDIOS

[Sin establecer.]

5.1.6 ALMACENAMIENTO DE LOS SOPORTES DE DATOS

[Sin establecer.]

MAPFRE


Página 26 de 34

5.1.7 COPIA DE SEGURIDAD FUERA DE LA INSTALACIÓN

[Sin establecer.]

5.2 CONTROLES DE PROCEDIMIENTOS

5.2.1 ROLES EN LOS QUE SE CONFÍA

[Sin establecer.]

[Hacer la definición de roles de acuerdo con la guía de operaciones de PKI]

5.2.2 NÚMERO DE PERSONAS NECESARIAS POR TAREA Solo se requiere, como norma general una persona para hcer cualquier tipo de tare, salvo APRA la recuperación ante desastres que puede requerir del responsable del Departamento de Seguridad del Area de Tecnologías de la Información para que proporcione el par de claves almacenado en lugar seguro.

5.2.3 IDENTIFICACIÓN Y AUTENTICACIÓN PARA CADA ROL Todas las personas que asumen uno de los roles definidos en el punto 5.2., son empleados del Sistema MAPFRE y trabajan en algún departamento del Área de tecnologías de la Información. Cuando se asigna un rol determinado a una persona, se le asignan los permisos necesarios para cumplir con las tareas asignadas a ese rol.

5.3

5.4 CONTROLES DE SEGURIDAD DEL PERSONAL

5.4.1 REQUISITOS DE HISTORIAL, CUALIFICACIONES, EXPERIENCIA Y ACREDITACIÓN

[Sin establecer.]

5.4.2 PROCEDIMIENTOS DE VERIFICACIÓN DEL HISTORIAL

[Sin establecer.]

5.4.3 REQUISITOS DE FORMACIÓN Todo personal al que se le asigne un rol de los definidos, conocerá el contenido de esta declaración de prácticas de certificación y será formado convenientemente, de acuerdo con las tareas que realice. Deberá conocer también el contenido del Procedimiento de Gestión de Certificación Digital.

MAPFRE


Página 27 de 34

5.4.4 FRECUENCIA Y REQUISITOS DE NUEVA FORMACIÓN Cualquier cambio que afecte a la forma en la que se realicen las tareas de cada rol, serán debidamente comunicados. Se proporcionará formación específica si los cambios lo requieren.

5.4.5 ROTACIÓN DE LOS PUESTOS DE TRABAJO

[Sin establecer.]

5.4.6 SANCIONES POR ACCIONES NO AUTORIZADAS

[Sin establecer.]

5.4.7 PERSONAL CONTRATADO El personal contratado recibirá la formación y los permisos necesarios para cumplimentar las tareas definidas en cada caso.

5.4.8 DOCUMENTACIÓN PARA EL PERSONAL Todas las personas a las que se les asigne un rol de los especificados para la Entidad Certificadora Privada Corporativa, recibirán una copia de:

• La Declaración de Prácticas de Certificación de la Entidad Certificadora Privada Corporativa.

• El Procedimiento de Gestión de Certificación Digital.

MAPFRE


Página 28 de 34

6 CONTROLES DE SEGURIDAD TÉCNICA

6.1 GENERACIÓN E INSTALACIÓN DEL PAR DE CLAVES

6.1.1 GENERACIÓN DEL PAR DE CLAVES El par de claves de la Entidad Certificadora Privada Corporativa han sido generados por de forma automática por el proveedor criptográfico del sistema operativo en el que se ejecuta la autoridad de certificación.

6.1.2 ENTREGA DE CLAVES PRIVADAS Se han entregado dos copias del par de claves al responsable del Departamento de Seguridad del Área de Tecnologías de la Información, para su custodia y uso en una posible recuperación del servicio, después de un desastre. Para los certificados en los que la clave privada sea generada por la autoridad de certificación, esta se entregará junto con la clave pública y su certificado asociado, en un fichero PKCS12 protegido con una contraseña. Cuando la clave privada sea generada por el suscriptor, no requiere ser entregada.

6.1.3 ENTREGA DE CLAVE PÚBLICA AL EMISOR DEL CERTIFICADO Los solicitantes de certificado incluirán su clave privada en la petición de certificado, generada en formato PKCS10, vía correo electrónico.

6.1.4 ENTREGA DE LA CLAVE PÚBLICA DE LA AUTORIDAD DE CERTIFICACION La clave pública de la Entidad Certificadora Privada Corporativa está disponible públicamente para su uso por parte de los suscriptores del servicio, de los empleados del Sistema MAPFRE y de las partes que confían.

6.1.5 TAMAÑOS DE CLAVE ASIMÉTRICOS Se establece un tamaño de clave mínimo de 1024 bit. Este puede ser mayor en función de los requisitos de algún servicio o aplicación.

6.1.6 GENERACIÓN DE PARÁMETROS DE CLAVE PÚBLICA

[Sin establecer.]

MAPFRE


Página 29 de 34

6.1.7 VERIFICACIÓN DE LA CALIDAD DE LOS PARÁMETROS

[Sin establecer.]

6.1.8 GENERACIÓN DE CLAVES DE HARDWARE/SOFTWARE Las claves de la Entidad Certificadora Privada Corporativa han sido generadas por le proveedor criptográfico del sistema operativo que proporciona el servicio. Se almacenan en el contenedor de este. Las claves asociadas a un determinado certificado digital serán generadas por el proveedor criptográfico que determine el suscriptor del certificado en cada caso.

6.1.9 FINALIDAD DEL USO DE LA CLAVE El par de claves de firma digital se usa para aportar autenticación, integridad, y soporte para servicios de no repudio. El par de claves de cifrado se usa para proteger una clave simétrica empleada para cifrar datos, aportando confidencialidad. La clave privada de la Entidad Certificadora Privada Corporativa se utiliza para la firma de los certificados que emite.

6.2 PROTECCIÓN DE LA CLAVE PRIVADA

6.2.1 NORMAS QUE CUMPLE EL MÓDULO CRIPTOGRÁFICO

[Sin establecer.]

6.2.2 CONTROL POR MÚLTIPLES PERSONAS DE LA CLAVE PRIVADA

[Sin establecer.]

6.2.3 CUSTODIA DE LA CLAVE PRIVADA

El Departamento de Seguridad del Área de Tecnologías de la Información custodias dos copias del par de claves de la Entidad Certificadora Privada Corporativa. No se custodian las claves privadas de ninguno de los suscriptores.

6.2.4 COPIA DE SEGURIDAD DE LA CLAVE PRIVADA

El Departamento de Seguridad del Área de Tecnologías de la Información custodias dos copias del par de claves de la Entidad Certificadora Privada Corporativa. El hecho de custodiar la clave les hace poseer dos copias de seguridad de la clave privada. No se mantiene copia de seguridad de ninguno de los suscriptores

MAPFRE


Página 30 de 34

6.2.5 ARCHIVO DE LA CLAVE PRIVADA

[Sin establecer.]

6.2.6 INTRODUCCIÓN DE LA CLAVE PRIVADA EN EL MÓDULO CRIPTOGRÁFICO La clave privada de la Entidad Certificadora Privada Corporativa y la clave privada de cada suscriptor del suscriptor son generadas por proveedor criptográfico que aplique en cada caso criptográfico, y no son introducidas, salvo cuando la autoridad de certificación proporciona el par de claves. En este caso es el propio suscriptor el que introduce la clave al importar el fichero que las contiene.

6.2.7 MÉTODO PARA ACTIVAR LA CLAVE PRIVADA

[Sin establecer.]

6.2.8 MÉTODO PARA DESACTIVAR LA CLAVE PRIVADA

[Sin establecer.]

6.2.9 MÉTODO PARA DESTRUIR LA CLAVE PRIVADA

[Sin establecer.]

6.3 OTROS ASPECTOS DE LA GESTIÓN DEL PAR DE CLAVES

6.3.1. Archivo de la clave pública Se mantiene una copia de la clave pública asociada a cada certificado emitido, en el contenedor de la Entidad Certificadora Privada Corporativa. Para la propia Entidad Certificadora Privada Corporativa se cumple lo establecedlo en el punto 6.2 de la presente declaración.

6.3.1 PERIODOS DE USO PARA LAS CLAVES PÚBLICA Y PRIVADA El par de claves de la Entidad Certificadora Privada Corporativa tiene un periodo de validez de 18 años. Las claves y certificados de los suscriptores tienen una validez de un año.

6.4 DATOS DE ACTIVACIÓN

6.4.1 GENERACIÓN E INSTALACIÓN DE LOS DATOS DE ACTIVACIÓN

[Sin establecer.][Plataforma de firma jurídica?]

MAPFRE


Página 31 de 34

6.4.2 PROTECCIÓN DE LOS DATOS DE ACTIVACIÓN

[Sin establecer.] [Plataforma de firma jurídica?]

6.4.3 OTROS ASPECTOS DE LOS DATOS DE ACTIVACIÓN

[Sin establecer.]

6.5 CONTROLES DE SEGURIDAD INFORMÁTICA

6.5.1 REQUISITOS TÉCNICOS ESPECÍFICOS DE SEGURIDAD INFORMÁTICA El sistema operativo que alberga a la Entidad Certificadora Privada Corporativa proporciona:

• Control del acceso a los servicios de la autoridad de certificación. • Uso de mecanismos de seguridad para la seguridad de la base de

datos y de la comunicación de la sesión. • Archivo de historial y datos de auditoria de la autoridad de

certificación. • Auditoria de eventos relacionados con la seguridad • Mecanismos de recuperación de claves y del sistema de la

autoridad de certificación Cada personas cuenta con los permisos necesarios para poder realizar únicamente las tareas que específica su rol. Las cuentas no son compartidas.

6.5.2 CLASIFICACIÓN DE SEGURIDAD INFORMÁTICA

[Sin establecer.]

6.6 CONTROLES DE SEGURIDAD DEL CICLO DE VIDA

6.6.1 CONTROLES DE DESARROLLO DEL SISTEMA

[Sin establecer.]

6.6.2 CONTROLES DE GESTIÓN DE LA SEGURIDAD El equipo que alberga la Entidad Certificadora Privada Corporativa sólo se usa para administrar la infraestructura de gestión de claves. No tiene instalados aplicaciones ni componentes de software que no formen parte de la configuración de la propia entidad certificadora. .

MAPFRE


Página 32 de 34

6.7 CONTROLES DE SEGURIDAD DE LA RED

Los accesos a través de la red son autentificados por le sistema operativo de la entidad certificadora, y son proporcionados mediante protocolos que cifran las comunicaciones.

6.8 CONTROLES DE INGENIERÍA DEL MÓDULO CRIPTOGRÁFICO

[Sin establecer.]

MAPFRE


Página 33 de 34

7 PERFILES DE CERTIFICADOS Y LISTAS DE REVOCACIÓN

7.1 PERFILES DE CERTIFICADOS

7.1.1 NÚMERO DE VERSIÓN

7.1.2 EXTENSIONES DE CERTIFICADOS

7.1.3 OIDS

7.1.4 FORMATO DE NOMBRES

7.1.5 RESTRICCIONES DE NOMBRES

7.1.6 USO DE EXTENSIONES DE LIMITACIONES DE POLÍTICAS

7.1.7 TRATAMIENTO DE SEMÁNTICA PARA LA POLÍTICA DE CERTIFICACIÓN CRÍTICA

7.2 PERFIL DE LISTAS DE REVOCACIÓN

7.2.1 NÚMERO DE VERSIÓN

7.2.2 EXTENSIONES DE CRL Y ENTRADAS DE CRL

MAPFRE


Página 34 de 34

8 ADMINISTRACIÓN DE LAS ESPECIFICACIONES

8.1 PROCEDIMIENTOS DE CAMBIO DE ESPECIFICACIONES

8.2 PUBLICACIÓN Y NOTIFICACIÓN

8.3 PROCEDIMIENTOS DE APROBACIÓN DE LA DECLARACIÓN

declaraciÓn de prÁcticas de certificaciÓn de la …

Documents