declaración de prácticas de certificación (dpc) de la ...€¦ · 6.5.1 requisitos técnicos...

Declaración de Prácticas de Certificación (DPC) dela CAEDICOM COLOMBIA

Redactada según RFC 3647 y CEA 4-1-10 versión 01 de ONAC

Declaración de Prácticas de Certificación (DPC) de la CAEDICOM COLOMBIA

Título del documento: Declaración de Prácticas de Certificación (DPC) de la CAEDICOM COLOMBIA

Asunto: Redactada según RFC 3647 y CEA 4-1-10 versión 01 de ONAC

Nombre del fichero: CAEDICOMCO_DPC_DeclaracionPracticasCertificacion.odt

Versión: 1.3

Estado: APROBADO

Fecha: 06/06/18

Autor: Antonio García González

OID: 1.3.6.1.4.1.30051.2.3.1.2

Revisión, Aprobación

Revisado por: Raul Santisteban Fecha: 06/06/18

Aprobado por: José Vilata Fecha: 25/06/18

Historial de cambios

Versión Fecha Descripción de la acción Páginas

1.0 03/09/15 inicial 83

1.1 14/10/16 Revisión de nomenclatura, cambio de terminología para ajuste a los localismos de Colombia y su legislación.

84

1.2 08/03/17 Cambios para acreditación de ONAC 87

1.3 06/06/18 Referencias a las tarifas y modelos de contratos incluidos en las PcsEspecificación de los servicios de Generación de Firmas Digitales y Generación de Firmas Digitales para Documentos de Facturación ElectrónicaInclusión de la referencia al procedimiento para la actualización de la información contenida en los certificadosRevisión de los eventos registrados en los procedimientos de manejo de incidentes y de la información publicada referente a los planes de continuidad de servicio.

89

Declaración de Prácticas de Certificación (DPC) de la CAEDICOM COLOMBIA | | 2


Índice de contenido

1 INTRODUCCIÓN ............................................................................................................................................... 8 1.1 PRESENTACIÓN ............................................................................................................................................................... 8

1.2 NOMBRE DEL DOCUMENTO E IDENTIFICACIÓN ................................................................................................. 10

1.3 PARTICIPANTES DE LA PKI, COMUNIDAD DE USUARIOS CERTIFICADOS .................................................. 11

1.3.1 Autoridades de Certificación .................................................................................................................................... 11

1.3.2 Autoridades de Registro ........................................................................................................................................... 13

1.3.3 Usuarios finales ........................................................................................................................................................ 14

1.3.4 Proveedores críticos ................................................................................................................................................. 15

1.4 USO DE LOS CERTIFICADOS .................................................................................................................................... 15

1.4.1 Usos típicos de los certificados ................................................................................................................................. 15

1.4.2 Usos prohibidos ........................................................................................................................................................ 16

1.4.3 Fiabilidad de la firma digital a lo largo del tiempo .................................................................................................... 16

1.5 POLITICA DE MANEJO DE LOS CERTIFICADOS .................................................................................................. 17

1.5.1 Organización responsable ....................................................................................................................................... 17

1.5.2 Persona de Contacto ............................................................................................................................................... 17

1.5.3 Competencia para determinar la adecuación de las Prácticas con las diferentes Políticas de Certificado. ........... 18

1.5.4 Procedimiento para la actualización de la información contenida en los certificados (actualización de DPC y PC)

............................................................................................................................................................................................. 18

1.5.5 Tipos de certificados (según políticas de certificación) y servicios ofrecidos ........................................................... 18

1.6 DEFINICIONES Y ACRÓNIMOS .................................................................................................................................. 19

1.6.1 Definiciones .............................................................................................................................................................. 19

1.6.2 Acrónimos ................................................................................................................................................................. 23

2 PUBLICACIÓN DE INFORMACIÓN Y REPOSITORIO DE CERTIFICADOS ................................................. 25 2.1 REPOSITORIOS .............................................................................................................................................................. 25

2.2 PUBLICACIÓN ................................................................................................................................................................. 25

2.3 FRECUENCIA DE ACTUALIZACIONES ..................................................................................................................... 26

2.4 CONTROLES DE ACCESO AL REPOSITORIO DE CERTIFICADOS. ................................................................. 26

3 IDENTIFICACIÓN Y AUTENTICACIÓN DE LOS TITULARES DE LOS CERTIFICADOS .............................. 27 3.1 REGISTRO DE NOMBRES ........................................................................................................................................... 27

3.1.1 Tipos de nombres ...................................................................................................................................................... 27

3.1.2 Significado de los nombres ...................................................................................................................................... 27

3.1.3 Interpretación de formatos de nombres ................................................................................................................... 27

3.1.4 Unicidad de los nombres .......................................................................................................................................... 27

3.1.5 Resolución de conflictos relativos a nombres .......................................................................................................... 27

3.1.6 Reconocimiento, autenticación y función de las marcas registradas. ..................................................................... 28

3.2 VALIDACIÓN DE LA IDENTIDAD INICIAL ................................................................................................................. 28

3.2.1 Métodos de prueba de posesión de la clave privada. ............................................................................................. 28

3.2.2 Autenticación de la identidad de un individuo. ......................................................................................................... 28

3.2.3 Autenticación de la identidad de una organización. ................................................................................................. 29

3.3 IDENTIFICACIÓN Y AUTENTICACIÓN DE LAS SOLICITUDES DE RENOVACION DE CLAVE. .................. 30

3.3.1 Identificación y autenticación de las solicitudes de renovación rutinarias. .............................................................. 30

3.3.2 Identificación y autenticación de las solicitudes de renovación de clave después de una revocación – Clave no

comprometida. ..................................................................................................................................................................... 30

3.4 IDENTIFICACIÓN Y AUTENTICACIÓN DE LAS SOLICITUDES DE REVOCACIÓN ........................................ 31

4 EL CICLO DE VIDA DE LOS CERTIFICADOS. ............................................................................................... 32 4.1 SOLICITUD DE CERTIFICADOS ................................................................................................................................. 32

4.2 REVISIÓN DE LA SOLICITUD DE CERTIFICADOS ................................................................................................ 32



4.3 EMISIÓN DE CERTIFICADOS ..................................................................................................................................... 33

4.4 ACEPTACIÓN DE CERTIFICADOS ............................................................................................................................. 34

4.5 USO DEL PAR DE CLAVES Y DEL CERTIFICADO. ................................................................................................ 35

4.6 RENOVACIÓN DE CERTIFICADOS ............................................................................................................................ 35

4.7 RENOVACIÓN DE CLAVES .......................................................................................................................................... 35

4.8 MODIFICACIÓN DE CERTIFICADOS. ....................................................................................................................... 35

4.9 REVOCACIÓN Y SUSPENSIÓN DE CERTIFICADOS. ........................................................................................... 35

4.9.1 Circunstancias para la revocación ........................................................................................................................... 36

4.9.2 Entidad que puede solicitar la revocación ............................................................................................................... 36

4.9.3 Procedimiento de solicitud de revocación ................................................................................................................ 36

4.9.4 Periodo de gracia de la solicitud de revocación ...................................................................................................... 37

4.9.5 Circunstancias para la suspensión .......................................................................................................................... 37

4.9.6 Entidad que puede solicitar la suspensión ............................................................................................................... 37

4.9.7 Procedimiento para la solicitud de suspensión ........................................................................................................ 37

4.9.8 Límites del período de suspensión .......................................................................................................................... 38

4.9.9 Frecuencia de emisión de CRLs .............................................................................................................................. 38

4.9.10 Requisitos de comprobación de Estados de Certificados ..................................................................................... 38

4.9.11 Otras formas de información de los certificados revocados ................................................................................... 38

4.9.12 Requisitos especiales de renovación de claves comprometidas ........................................................................... 38

4.10 SERVICIOS DE COMPROBACIÓN DE ESTADO DE CERTIFICADOS. ............................................................ 38

4.10.1 Características operativas ....................................................................................................................................... 38

4.10.2 Disponibilidad del servicio ....................................................................................................................................... 39

4.11 FINALIZACIÓN DE LA SUSCRIPCIÓN. ................................................................................................................... 39

4.12 DEPÓSITO Y RECUPERACIÓN DE CLAVES. ....................................................................................................... 39

4.13 CADUCIDAD DE CERTIFICADO DE LA CA. .......................................................................................................... 39

5 CONTROLES DE SEGURIDAD FÍSICA, DE GESTIÓN Y DE OPERACIONES ............................................. 40 5.1 CONTROLES DE SEGURIDAD FÍSICA ..................................................................................................................... 40

5.1.1 Ubicación y construcción ......................................................................................................................................... 40

5.1.2 Acceso físico ............................................................................................................................................................ 40

5.1.3 Alimentación eléctrica y aire acondicionado ............................................................................................................ 41

5.1.4 Exposición al agua ................................................................................................................................................... 41

5.1.5 Protección y prevención de incendios ..................................................................................................................... 41

5.1.6 Sistema de almacenamiento .................................................................................................................................... 41

5.1.7 Eliminación de residuos ........................................................................................................................................... 41

5.1.8 Backup remoto ......................................................................................................................................................... 41

5.2 CONTROLES DE PROCEDIMIENTOS ...................................................................................................................... 42

5.2.1 Roles de confianza ................................................................................................................................................... 42

5.2.2 Número de personas requeridas por tarea ............................................................................................................... 43

5.2.3 Identificación y autenticación para cada rol .............................................................................................................. 43

5.3 CONTROLES DE SEGURIDAD DE PERSONAL ...................................................................................................... 44

5.3.1 Requerimientos de antecedentes, calificación, experiencia, y acreditación ........................................................... 44

5.3.2 Procedimientos de comprobación de antecedentes ................................................................................................ 45

5.3.3 Requerimientos de formación .................................................................................................................................. 45

5.3.4 Requerimientos y frecuencia de actualización de la formación ............................................................................... 45

5.3.5 Frecuencia y secuencia de rotación de tareas ........................................................................................................ 46

5.3.6 Sanciones por acciones no autorizadas .................................................................................................................. 46

5.3.7 Requerimientos de contratación de personal .......................................................................................................... 46

5.3.8 Documentación proporcionada al personal ............................................................................................................. 46

5.3.9 Controles periódicos de cumplimiento ..................................................................................................................... 46



5.3.10 Finalización de los contratos. .................................................................................................................................. 47

5.4 PROCEDIMIENTOS DE CONTROL DE SEGURIDAD ............................................................................................. 47

5.4.1 Tipos de eventos registrados ................................................................................................................................... 47

5.4.2 Frecuencia de procesado de logs ............................................................................................................................ 48

5.4.3 Periodo de retención para los logs de auditoría ...................................................................................................... 48

5.4.4 Protección de los logs de auditoría .......................................................................................................................... 49

5.4.5 Procedimientos de backup de los logs de auditoría ................................................................................................ 49

5.4.6 Sistema de recogida de información de auditoría (interno vs externo) ................................................................... 49

5.4.7 Notificación al sujeto causa del evento .................................................................................................................... 49

5.4.8 Análisis de vulnerabilidades ..................................................................................................................................... 49

5.5 ARCHIVO DE INFORMACIONES Y REGISTROS .................................................................................................... 50

5.5.1 Tipo de informaciones y eventos registrados .......................................................................................................... 50

5.5.2 Periodo de retención para el archivo. ...................................................................................................................... 50

5.5.3 Protección del archivo. ............................................................................................................................................. 50

5.5.4 Procedimientos de backup del archivo. ................................................................................................................... 51

5.5.5 Requerimientos para el estampado cronológico de los registros. ........................................................................... 51

5.5.6 Sistema de recogida de información de auditoría (interno vs externo). .................................................................. 51

5.5.7 Procedimientos para obtener y verificar información archivada .............................................................................. 51

5.6 CAMBIO DE CLAVE DE LA AC .................................................................................................................................... 51

5.7 CONTINUIDAD DE LOS SERVICIOS DE CERTIFICACIÓN .................................................................................. 52

5.7.1 Alteración de los recursos hardware, software y/o datos ........................................................................................ 52

5.7.2 La clave pública de un suscriptor/entidad se revoca ............................................................................................... 52

5.7.3 La clave de un suscriptor/entidad se compromete .................................................................................................. 53

5.7.4 Instalación de seguridad después de un desastre natural u otro tipo de desastre ................................................. 53

5.8 CESE DE UNA CA .......................................................................................................................................................... 53

6 CONTROLES DE SEGURIDAD TÉCNICA ..................................................................................................... 55 6.1 GENERACIÓN E INSTALACIÓN DEL PAR DE CLAVES ........................................................................................ 55

6.1.1 Generación del par de claves ................................................................................................................................... 55

6.1.2 Entrega de la clave privada a la entidad .................................................................................................................. 55

6.1.3 Entrega de la clave publica al emisor del certificado ............................................................................................... 55

6.1.4 Entrega de la clave pública de la CA a los usuarios ................................................................................................ 55

6.1.5 Tamaño de las claves ............................................................................................................................................... 55

6.1.6 Parámetros de generación de la clave pública ........................................................................................................ 56

6.1.7 Comprobación de la calidad de los parámetros ...................................................................................................... 56

6.1.8 Hardware/software de generación de claves ........................................................................................................... 56

6.1.9 Fines del uso de la clave .......................................................................................................................................... 56

6.2 PROTECCIÓN DE LA CLAVE PRIVADA .................................................................................................................... 57

6.2.1 Estándares para los módulos criptográficos ............................................................................................................. 57

6.2.2 Control multipersona de la clave privada ................................................................................................................. 57

6.2.3 Custodia de la clave privada .................................................................................................................................... 57

6.2.4 Copia de seguridad de la clave privada ................................................................................................................... 57

6.2.5 Archivo de la clave privada. ...................................................................................................................................... 58

6.2.6 Introducción de la clave privada en el módulo criptográfico. .................................................................................... 58

6.2.7 Método de activación de la clave privada. ................................................................................................................ 58

6.2.8 Método de desactivación de la clave privada .......................................................................................................... 58

6.2.9 Método de destrucción de la clave privada ............................................................................................................. 58

6.2.10 Clasificación de los módulos criptográficos ............................................................................................................ 58

6.3 OTROS ASPECTOS DE LA GESTIÓN DEL PAR DE CLAVES. ............................................................................. 59

6.3.1 Archivo de la clave pública ....................................................................................................................................... 59

6.3.2 Periodo de uso para las claves públicas y privadas ................................................................................................ 59



6.4 DATOS DE ACTIVACIÓN ............................................................................................................................................... 59

6.4.1 Generación y activación de los datos de activación ................................................................................................ 59

6.4.2 Protección de los datos de activación ...................................................................................................................... 59

6.4.3 Otros aspectos de los datos de activación .............................................................................................................. 59

6.5 CONTROLES DE SEGURIDAD INFORMÁTICA ....................................................................................................... 59

6.5.1 Requisitos técnicos específicos de seguridad informática ....................................................................................... 59

6.5.2 Evaluación del nivel de seguridad informática ......................................................................................................... 60

6.6 CONTROLES DE SEGURIDAD DEL CICLO DE VIDA. ........................................................................................... 60

6.6.1 Controles de desarrollo de sistemas ........................................................................................................................ 60

6.6.2 Controles de gestión de seguridad .......................................................................................................................... 61

6.7 CONTROLES DE SEGURIDAD DE LA RED ............................................................................................................. 61

6.8 CONTROLES DE INGENIERÍA DE LOS MÓDULOS CRIPTOGRÁFICOS .......................................................... 61

7 PERFILES DE CERTIFICADOS Y LISTAS DE CERTIFICADOS REVOCADOS ............................................ 62 7.1 PERFIL DE CERTIFICADO ........................................................................................................................................... 62

7.1.1 Número de versión .................................................................................................................................................... 62

7.1.2 Extensiones del certificado ...................................................................................................................................... 62

7.1.3 Identificadores de objeto (OID) de los algoritmos .................................................................................................... 62

7.1.4 Formatos de nombres .............................................................................................................................................. 62

7.1.5 Restricciones de los nombres .................................................................................................................................. 62

7.1.6 Identificador de objeto (OID) de la Política de Certificado ....................................................................................... 63

7.1.7 Uso de la extensión “Policy Constraints” ................................................................................................................. 63

7.1.8 Sintaxis y semántica de los cualificadores de política ............................................................................................. 63

7.1.9 Tratamiento semántico para la extensión crítica “Certificate Policy” ........................................................................ 63

7.2 Perfil de CRL ................................................................................................................................................................... 63

7.2.1 Número de versión ................................................................................................................................................... 63

7.2.2 CRL y extensiones ................................................................................................................................................... 63

7.3 LISTAS DE CERTIFICADOS REVOCADOS .............................................................................................................. 63

7.3.1 Limite Temporal de los certificados en las CRLs ...................................................................................................... 63

7.4 PERFIL DE OCSP ........................................................................................................................................................... 64

7.4.1 Perfil del certificado OCSP responder ...................................................................................................................... 64

7.4.2 Número de versión ................................................................................................................................................... 64

7.4.3 Formatos de nombres .............................................................................................................................................. 64

7.4.4 Identificador de objeto (OID) de la Política de Certificado ....................................................................................... 64

7.4.5 Extensiones y campos del certificado ...................................................................................................................... 64

7.4.6 Formato peticiones OCSP ....................................................................................................................................... 66

7.4.7 Formato de las respuestas ....................................................................................................................................... 66

8 AUDITORÍA DE CONFORMIDAD .................................................................................................................... 68 8.1 FRECUENCIA DE LOS CONTROLES DE CONFORMIDAD PARA CADA ENTIDAD ........................................ 68

8.2 IDENTIFICACION/CUALIFICACIÓN DEL AUDITOR ............................................................................................... 68

8.3 RELACION ENTRE EL AUDITOR Y LA ENTIDAD AUDITADA .............................................................................. 68

8.4 ASPECTOS CUBIERTOS POR EL CONTROL DE CONFORMIDAD ................................................................... 68

8.5 ACCIONES A TOMAR COMO RESULTADO DE UNA DEFICIENCIA. .................................................................. 69

8.6 COMUNICACIÓN DE RESULTADOS .......................................................................................................................... 69

9 REQUISITOS COMERCIALES Y LEGALES ................................................................................................... 70 9.1 TARIFAS Y MODELOS DE CONTRATO ..................................................................................................................... 70

9.1.1 Tarifas de emisión de certificado o renovación ......................................................................................................... 70

9.1.2 Tarifas de acceso a los certificados .......................................................................................................................... 70

9.1.3 Tarifas de acceso a la información de estado o revocación .................................................................................... 70

9.1.4 Tarifas de otros servicios como información de políticas ......................................................................................... 70



9.1.5 Política de reintegros ............................................................................................................................................... 70

9.2 CAPACIDAD FINANCIERA ........................................................................................................................................... 70

9.2.1 Indemnización a los terceros que confían en los certificados emitidos por la CAEDICOM. .................................... 70

9.2.2 Relaciones fiduciarias .............................................................................................................................................. 71

9.2.3 Procesos administrativos ......................................................................................................................................... 71

9.3 POLÍTICA DE CONFIDENCIALIDAD .......................................................................................................................... 71

9.3.1 Información confidencial. ......................................................................................................................................... 71

9.3.2 Información no confidencial ..................................................................................................................................... 72

9.3.3 Divulgación de información de revocación de certificados ...................................................................................... 72

9.4 PROTECCIÓN DE DATOS PERSONALES ................................................................................................................ 72

9.4.1 Plan de Protección de Datos Personales. ................................................................................................................ 72

9.4.2 Procedimientos de protección de confidencialidad de la información. ..................................................................... 73

9.4.3 Información considerada privada. ............................................................................................................................ 73

9.4.4 Información no considerada privada. ....................................................................................................................... 73

9.4.5 Responsabilidades. .................................................................................................................................................. 74

9.4.6 Prestación del consentimiento en el uso de los datos personales. ......................................................................... 75

9.4.7 Comunicación de la información a autoridades administrativas y/o judiciales. ....................................................... 75

9.4.8 Otros supuestos de divulgación de la información. ................................................................................................. 75

9.5 OBLIGACIONES Y RESPONSABILIDAD CIVIL ....................................................................................................... 75

9.5.1 Obligaciones de la Entidad de Certificación Digital ................................................................................................. 75

9.5.2 Obligaciones de la Autoridad de Registro ................................................................................................................ 78

9.5.3 Obligaciones de los suscriptores ............................................................................................................................. 80

9.5.4 Obligaciones de la parte confiante en los certificados emitidos por la CAEDICOM ............................................... 82

9.5.5 Obligaciones del repositorio ..................................................................................................................................... 82

9.6 RENUNCIAS DE GARANTÍAS ..................................................................................................................................... 82

9.7 LIMITACIONES DE RESPONSABILIDAD .................................................................................................................. 83

9.7.1 Garantías y limitaciones de garantías ...................................................................................................................... 83

9.7.2 Deslinde de responsabilidades ................................................................................................................................ 83

9.7.3 Limitaciones de pérdidas ......................................................................................................................................... 83

9.8 PLAZO Y FINALIZACIÓN. ............................................................................................................................................. 83

9.8.1 Plazo. ........................................................................................................................................................................ 83

9.8.2 Finalización. ............................................................................................................................................................. 84

9.9 NOTIFICACIONES .......................................................................................................................................................... 84

9.10 MODIFICACIONES. ...................................................................................................................................................... 84

9.10.1 Procedimientos de especificación de cambios ....................................................................................................... 84

9.10.2 Procedimientos de publicación y notificación. ........................................................................................................ 85

9.10.3 Procedimientos de aprobación de la Declaración de Prácticas de Certificación ................................................... 85

9.11 RESOLUCIÓN DE CONFLICTOS. ............................................................................................................................ 86

9.11.1 Resolución extrajudicial de conflictos. .................................................................................................................... 86

9.11.2 Jurisdicción competente. ......................................................................................................................................... 86

9.12 LEGISLACIÓN APLICABLE ........................................................................................................................................ 86

9.13 CONFORMIDAD CON LA LEY APLICABLE ............................................................................................................ 86

9.14 DERECHOS DE PROPIEDAD INTELECTUAL ....................................................................................................... 87

10 PETICIONES, QUEJAS, RECLAMOS, SUGERENCIAS, DENUNCIAS Y APELACIONES .......................... 88 10.1 Procedimiento de Tratamiento de los Reclamos y Apelaciones ......................................................................... 89



1 INTRODUCCIÓN

1.1 PRESENTACIÓN

El presente documento se considera como la preceptiva Declaración de Prácticas deCertificación (DPC) de la CAEDICOM COLOMBIA.

CAEDICOM Colombia es una Entidad de Certificación Digital Abierta de carácteresencialmente Empresarial, que tiene como propósito fundamental proporcionar lasherramientas necesarias para que los empresarios y demás usuarios de Internet delpaís puedan realizar Negocios Electrónicos con seguridad Jurídica.

CAEDICOM no contempla entidades recíprocas, en los términos del artículo 43 de laLey 527 de 1999. Por tanto los certificados de firmas digitales emitidos por entidadesde certificación extranjeras, no serán reconocidos en los mismos términos ycondiciones exigidos en la ley para la emisión de certificados por parte deCAEDICOM Colombia.

EDICOM SAS presta servicios de certificación de CAEDICOM COLOMBIA acorde alarticulo 30 de la Ley 527 de 1999, su modificación por el articulo 161 del DecretoNacional 019 de 2012, del decreto 333 de 2014 y los demás reglamentos que losmodifiquen o complementen. Los servicios de certificación prestados son destinadosa personas naturales o a personas jurídicas (colectivamente llamados suscriptores).

EDICOM SAS en virtud del artículo 7 del decreto 333 de 2014 presenta la siguienteinformación pública:

Domincio social: Calle 26 # 59-51 of 308 Torre Argos, Ciudad EmpresarialSarmiento Angulo

CP 111051 Bogotá DC

NIT: 900680995-4

Url. http://www.edicomgroup.com/es_CO/home.html

Tel. +57 1 7953970 Comercial Colombia

[email protected]

Registro Mercantil No. 02393355

EDICOM SAS posee un Certificado de Existencia y Representación Legal de laCalmara de Comercio activo.

CAEDICOM como Entidad de Certificación Digital cumple los requisitos indicadospor el Organismo Nacional de Acreditaciones de Colombia en el documento CEA-4.1-10 Versión 01 “Criterios específicos de acreditación. Entidades de CertificaciónDigital”

Declaración de Prácticas de Certificación (DPC) de la CAEDICOM COLOMBIA | 1 INTRODUCCIÓN | 8

mailto:[email protected]


Los tipos de certificado y servicios de certificación que CAEDICOM ofrece son lossiguientes:

- Certificado de Firma para Persona Natural.

- Certificado de Firma para Persona Jurídica.

- Generación de Firmas Digitales para Documentos de Facturación Electrónica.

- Generación de Firmas Digitales.

- Servicio de Estampado Cronológico.

- Servicio de Registro, Custodia y Conservación de mensajes de datos ydocumentos electrónicos.

La presente Declaración de Prácticas de Certificación constituye el compendiogeneral de normas aplicables a toda actividad certificadora de la CAEDICOMCOLOMBIA en tanto que Entidad de Certificación Digital y está redactada siguiendolas especificaciones del RFC 3647 “Internet X.509 Public Key InfrastructureCertificate Policy and Certification Practices Framework” propuesto por NetworkWorking Group y completada con aspectos exigidos en:

RFC 3647 “Internet X.509 Public Key Infrastructure Certificate Policy andCertification Practices Framework”

CEA-4.1-10 Versión 01 “Criterios específicos de acreditación. Entidades deCertificación Digital”.

Para cada servicio y tipo de certificado CAEDICOM presenta en su webhttps://acedicom.edicomgroup.com una política para cada uno de sus servicios decertificación digital, que, como normas complementarias y específicas, prevaleceránsobre la presente Declaración de Prácticas de Certificación en lo que se refiera acada tipo de certificado o servicio de certificación.

Los requisitos de los servicios de certificación digital se especifican en la presenteDPC así como en las diferentes políticas de certificado o del servicio, así como losrequisitos internos de la ECD.


https://acedicom.edicomgroup.com/


La presente Declaración de Prácticas de Certificación (DPC) detalla las normas ycondiciones generales de los servicios de certificación que presta la CAEDICOMCOLOMBIA, con su certificado raíz valido hasta el 22 de Mayo de 2024 10:20:00GMT, y cuyo serial se identifica con el número hexadecimal 9b8a99cabe69802 enrelación con la gestión de los datos de creación y verificación de firma y de loscertificados digitales, las condiciones aplicables a la solicitud, expedición, uso,suspensión y extinción de la vigencia de los certificados, las medidas de seguridadtécnicas y organizativas, los perfiles y los mecanismos de información sobre lavigencia de los certificados y, en su caso, la existencia de procedimientos decoordinación con los registros públicos correspondientes que permitan el intercambiode información de manera inmediata sobre la vigencia de los poderes indicados enlos certificados y que deban figurar preceptivamente inscritos en dichos registros.

La arquitectura general, a nivel jerárquico, de la PKI EDICOM es la siguiente:

Un primer nivel (0) en el que se ubica la CA raíz que representa el punto deconfianza de todo el sistema y que permitirá, que todas la personas naturales ojurídicas, públicas o privadas, reconozcan la eficacia de los certificados de EDICOMpara firma digital.

Un segundo nivel (1), constituido por la CA subordinada de la CA Raíz que emitirálos certificados de identidad y firma de los suscriptores.

1.2 NOMBRE DEL DOCUMENTO E IDENTIFICACIÓN

Nombre del documento Declaración de Prácticas de Certificación(DPC) de la CAEDICOM COLOMBIA

Versión del documento 1.3

Estado del documento Vigente

OID (Object Identifier) 1.3.6.1.4.1.30051.2.3.1.2


Nivel 0

Nivel 1

CAEDICOMRoot

CAEDICOM COLOMBIA


Fecha de emisión 21/02/17

Fecha de expiración No aplicable.

Localización http://acedicom.edicomgroup.com

1.3 PARTICIPANTES DE LA PKI, COMUNIDAD DEUSUARIOS CERTIFICADOS

Esta declaración de prácticas de certificación regula una comunidad de usuarios,que obtienen certificados o servicios de certificación para diversas relacionesadministrativas y privadas, de acuerdo con las leyes y normas existentes.

1.3.1 AUTORIDADES DE CERTIFICACIÓN

La Entidad de Certificación Digital es EDICOM SAS.

En la presente Declaración de Prácticas de Certificación, se utilizará el acrónimo“CAEDICOM” para designar en su conjunto a las Autoridades de Certificación queintegran la CAEDICOM COLOMBIA. Las funciones de la CAEDICOM estánatribuidas al Departamento de Sistemas de EDICOM.

Las Autoridades de Certificación que componen CAEDICOM son:

•“CAEDICOM Root" como Autoridad de Certificación de primer nivel. Su función es lade establecer la raíz del modelo de confianza de la Infraestructura de Clave Públicao PKI. Esta CA no emite certificados para entidades finales. Esta Autoridad deCertificación de primer nivel se auto-firma. Sus datos más relevantes son:

Campo Contenido I C T

Versión v3 S F

Serial Number FB:71:26:58:AD:99:E5 S F

Signature Algorithm SHA256withRSAEncryption S F

Issuer Distinguished Name

CN=CAEDICOM Root, O=EDICOM, C=ES S F

ValidezDesde 21/05/2014 11:06:35 GMT

Hasta 21/05/2034 10:20:00 GMTS F

Subject Public Key InfoTipo de clave: RSA

Longitud de clave: 4096 bitsS F

Subject DN S D

CommonName (CN) CAEDICOM Root S D



Organization (O) EDICOM S D

Country (C) ES S D

SubjectKeyIdentifier14:CD:2A:59:78:63:AB:61:19:E8:B8:3D:A1:E0:5A:C0:75:E7:F9:CB

S D

AuthorityKeyIdentifierKeyId: (El mismo que SubjectKeyIdentifier porque elcertificado es autofirmado)

S F

BasicConstraints S X F

CA True S X F

pathLength - (Sin límite) N

KeyUsage Certificate Sign, CRL Sign S X F

Huella digital (SHA1) 02 93 C2 02 78 EA F8 70 10 D7 E3 7C 17 59 E2 4B F5 01 F2 20

Leyenda empleada en las tablas:

I = Incluída. Posibles valores: S=Siempre, O=Opcionalmente, C=Condicionalmente

C = Crítica. Si se marca la casilla, indica que es crítica.

T = Tipo. Posibles valores: D = Dinámica, F = Fijada. Fijada quiere decir que el valor es el mismo para todos loscertificados de este tipo.

•CAEDICOM: CA subordinada de CAEDICOM Root. Su función es la emisión decertificados de entidad final para los suscriptores de CAEDICOM. Sus datos másrelevantes son:

Campo Contenido I C T

Versión v3 S F

Serial Number 09B8A99CABE69802 S F

Signature Algorithm SHA256withRSAEncryption S F

Issuer Distinguished Name

CN=CAEDICOM Root, O=EDICOM, C=ES S F

ValidezDesde 17/08/2015 11:51:23 GMT

Hasta 22/05/2024 12:20:00 GMTS F

Subject Public Key InfoTipo de clave: RSA

Longitud de clave: 4096 bitsS F

Subject DN S F

CommonName (CN)CAEDICOM Colombia

S F

Organization (O)EDICOM S F



Country (C)CO S F

SerialNumber (SN)NIT900680995-4

Locality (L)

Calle 26 #59-51 Oficina 308 Torre Argos - CiudadEmpresarial Sarmiento Angulo - Bogotá

Subject Alternative Name

RFC822Name:[email protected] S F

SubjectKeyIdentifier

D1:C9:62:FC:4A:E7:C3:89:3B:9A:4D:E9:2B:EA:C1:72:72:BF:67:10

Identificador de la clave pública del certificado

S D

AuthorityKeyIdentifier

KeyId:14:CD:2A:59:78:63:AB:61:19:E8:B8:3D:A1:E0:5A:C0:75:E7:F9:CB

Perteneciente a CAEDICOM Root

S F

BasicConstraints S X F

CA True S X F

pathLength 0 S

KeyUsage DigitalSignature, Certificate Sign, CRL Sign S X F

Certificate Policies S F

policyIdentifier 1.3.6.1.4.1.30051.2.3.1.1 S F

CPSuri http://acedicom.edicomgroup.com S F

CRLDistributionPoints S F

distributionPoint http://acedicom.edicomgroup.com/caedicomroot.crl S F

Authoritity Information Access

S F

CAIssuers http://acedicom.edicomgroup.com/certs/caedicomroot.cer S F

accessMethod OCSP S F

AccessLocation http://ocsp.edicomgroup.com/caedicomroot S F

Huella digital (SHA1) 3D E1 BC D7 8B 7F 71 D4 7E 12 02 35 C5 B9 9C 5C 88 46 0A6A

1.3.2 AUTORIDADES DE REGISTRO



Las Autoridades de Registro son aquellas personas naturales o jurídicas a las que laCAEDICOM encomienda la identificación y comprobación de las circunstanciaspersonales de los suscriptores de servicios de certificación. A tal efecto, lasAutoridades de Registro se encargarán de garantizar que la solicitud del servicio decertificación contiene información veraz y completa del Solicitante, y que la misma seajusta a los requisitos exigidos en la correspondiente Política.

La Autoridad de Registro es la delegacion EDICOM SAS de Colombia.

Las funciones de estas Autoridades de Registro, que actúan por cuenta de laCAEDICOM, se extienden a:

Comprobar la identidad y cualesquiera circunstancias personales de los solicitantesde servicios de certificación relevantes para el fin propio de éstos.

Informar con carácter previo a prestación del servicio de certificación a la personaque lo solicite, de los límites de uso y las condiciones precisas para utilización delservicio

1.3.3 USUARIOS FINALES

Las Entidades finales o Usuarios son las personas naturales o jurídicas que tienencapacidad para solicitar y obtener un servicio de certificación en las condiciones quese establecen en la presente Declaración de Prácticas de Certificación y en lasPolíticas de Certificación vigentes para cada servicio de certificación.

A los efectos de la presente Declaración de Prácticas de Certificación, y de lasPolíticas de Certificación que la desarrollan, son Entidades finales del sistema decertificación de la ACEDICOM, las siguientes:

- Solicitantes

- Suscriptores

- Terceros de confianza

Solicitantes

Solicitante es la persona natural que, en nombre propio o en representación detercero, y previa identificación, solicita la emisión de un Servicio de CertificaciónDigital.

Suscriptores

Tendrá la condición de suscriptor el grupo de usuarios que pueden solicitar laprestación de servicios de certificación de CAEDICOM y se encuentra definido ylimitado por cada Política de Certificación.

De forma genérica, y sin perjuicio de lo establecido por la Política de Certificaciónaplicable en cada caso, se establece que los posibles suscriptores son el conjuntode clientes de los servicios y aplicaciones de EDICOM.



Partes confiantes

Tendrán la consideración de partes confiantes o terceros de confianza, todasaquellas personas que, de forma voluntaria, confían en los servicios de certificaciónemitidos por la CAEDICOM.

1.3.4 PROVEEDORES CRÍTICOS

Para el soporte de su contratación y del cumplimiento de los requisitos solicitadostanto administrativos como técnicos de CAEDICOM se consideran comoproveedores críticos los Centros de Procesamiento de Datos (CPD)

Los CDP de EDICOM SAS los proporcionan los siguientes proveedores:

• EDICOM con domicilio social en C. Charles Robert Darwin 8, Parquetecnológico de Paterna Valencia ESPAÑA. Con NIT número B96490867.

• COLT Technology Services, S.A.U. España C/Telémaco 5 28027 MadridESPAÑA Con NIT número A81626905.

EDICOM SAS declara que todos los proveedores críticos cumplen con los requisitosde acreditación contemplados en el documento CEA-4.1-10 como soporte de sucontratación y del cumplimiento de los requisitos solicitados tanto administrativoscomo técnicos.

Es responsabilidad de EDICOM SAS informar a sus proveedores que hace extensivoel cumplimiento de los requisitos del documento CEA-4.1-10 cuando lescorresponda.

1.4 USO DE LOS CERTIFICADOS

Esta sección lista las aplicaciones para las que puede utilizarse cada tipo decertificado en los servicios de certificación, estableciendo limitaciones y prohíbealgunas aplicaciones de los certificados.

1.4.1 USOS TÍPICOS DE LOS CERTIFICADOS

Las Políticas de Certificación correspondientes a cada tipo de servicio decertificación en concreto prestado por la CAEDICOM constituyen los documentos enlos que se determinan los usos y limitaciones de cada certificado empleado, aunqueen este apartado se describe por su especial relevancia el uso principal de loscertificados CAEDICOM .

El propósito principal de los certificados emitidos por CAEDICOM es permitir alsuscriptor firmar documentos. Este certificado permite sustituir la firma manuscritapor la digital en las relaciones del suscriptor con terceros, asimismo también seemplearán para aportar seguridad en determinadas aplicaciones de almacenamientocertificado.

El uso de estos certificados proporcionan las siguientes garantías:



No repudio de origen

Asegura que el documento proviene del firmante de quien dice provenir. Estacaracterística se obtiene mediante la firma digital realizada por medio delCertificado de Firma. El receptor de un mensaje firmado digitalmente podráverificar el certificado empleado para esa firma utilizando el servicio de validación deCAEDICOM. De esta forma garantiza que el documento proviene de un determinadosujeto firmante.

Integridad

Con el empleo del Certificado de Firma, se permite comprobar que el documentono ha sido modificado por ningún agente externo a la comunicación. Para garantizarla integridad, la criptografía ofrece soluciones basadas en funciones decaracterísticas especiales, denominadas funciones resumen (hash), que se utilizansiempre que se realiza una firma digital. El uso de este sistema permite comprobarque un mensaje firmado no ha sido alterado entre el envío y la recepción.

1.4.2 USOS PROHIBIDOS

Los Certificados emitidos por CAEDICOM se utilizarán únicamente conforme a lafunción y finalidad que tengan establecida en la presente Declaración de Prácticasde Certificación y en las correspondientes Políticas de Certificación, y con arreglo ala normativa vigente.

La contratación de los certificados de la CAEDICOM admite solamente el uso delcertificado en el ámbito de actividad del sujeto titular o de la entidad a la que estávinculado, de acuerdo con la finalidad del tipo de Certificado solicitado. Una vezemitido el Certificado, el sujeto titular no podrá , salvo acuerdo específico entre laspartes, hacer uso con fines comerciales del mismo. Se entiende por uso comercialdel certificado, cualquier actuación mediante la cual el sujeto titular ofrece a terceraspartes ajenas al presente contrato, a título oneroso o gratuito, servicios querequieren el uso del certificado contratado.

En todo caso, los certificados CAEDICOM no se han diseñado, no se puedendestinar y no se autoriza su uso o reventa como equipos de control de situacionespeligrosas o para usos que requieran actuaciones a prueba de errores, como elfuncionamiento de instalaciones nucleares, sistemas de navegación ocomunicaciones aéreas, o sistemas de control de armamento, donde un errorpudiera directamente comportar la muerte, lesiones personales o dañosmedioambientales severos.

1.4.3 FIABILIDAD DE LA FIRMA DIGITAL A LO LARGO DEL TIEMPO

Para garantizar la fiabilidad de una firma digital a lo largo del tiempo, esta deberá sercomplementada con la información del estado del certificado asociado en elmomento en que la misma se produjo y/o información no repudiable incorporando unsello de tiempo, así como los certificados que conforman la cadena de confianza.



Esto implica que si queremos tener una firma que pueda ser validada a lo largo deltiempo, la firma digital que se genera debe incluir evidencias de su validez para queno pueda ser repudiada. Para este tipo de firmas deberá existir un servicio quemantenga dichas evidencias, y será necesario solicitar la actualización de las firmasantes de que las claves y el material criptográfico asociado sean vulnerables.

La generación de una firma longeva debe incluir los siguientes elementos:

Estampa de tiempo: Se ha de incluir en la firma un sello de tiempo emitido por unaTercera Parte de Confianza, TSA (Autoridad de Estampado Cronológico). Laestampa de tiempo asegura que tanto los datos originales del documento como lainformación del estado de los certificados, se generaron antes de una determinadafecha. El formato de la estampa de tiempo debe seguir el estándar definido en laRFC3161.

Información de revocación: La firma ha de incluir un elemento que asegura que elcertificado de firma es válido. Este elemento será generado por una Tercera Parte deConfianza, en este caso por la CAEDICOM.

Es necesario que con posterioridad las firmas puedan renovarse (refirmado) yactualizar los elementos de confianza (estampas de tiempo) para dotar a las firmasdigitales de validez a lo largo del tiempo, logrando garantizar su fiabilidad.

1.5 POLITICA DE MANEJO DE LOS CERTIFICADOS

1.5.1 ORGANIZACIÓN RESPONSABLE

Nombre Dirección Técnica de EDICOM

Dirección de email [email protected]

Dirección C/ Charles Robert Darwin,8 – Parque Tecnológico, 46980Paterna (Valencia) ESPAÑA

Número de teléfono +34·902 119 229

Número de fax +34·96 348 16 88

1.5.2 PERSONA DE CONTACTO

Nombre Departamento sistemas EDICOM

Dirección de email [email protected]

Dirección C/ Charles Robert Darwin,8 – Parque Tecnológico, 46980Paterna (Valencia) ESPAÑA

Número de teléfono +34·902 119 229

Número de fax +34·96 348 16 88



1.5.3 COMPETENCIA PARA DETERMINAR LA ADECUACIÓN DE LAS PRÁCTICAS CON LAS DIFERENTES POLÍTICAS DE CERTIFICADO.

La Dirección Técnica de EDICOM es el órgano competente para determinar laadecuación de esta DPC a las distintas Políticas de Certificación de la Autoridad deCertificación de EDICOM.

1.5.4 PROCEDIMIENTO PARA LA ACTUALIZACIÓN DE LA INFORMACIÓN CONTENIDA EN LOS CERTIFICADOS (ACTUALIZACIÓN DE DPC Y PC)

El sistema documental y de organización de CAEDICOM garantiza, mediante laexistencia y la aplicación de los correspondientes procedimientos, el correctomantenimiento de la Declaración de Prácticas de Certificación y de lasespecificaciones de servicio relacionadas con ella.

Los cambios en la información contenida en los certificados se realizan siguiendo elProcedimiento de Gestión del Cambio de CAEDICOM que garantizan que cualquiercambio en la información contenida en los certificados sea valorado, aprobado,implementado y revisado de manera controlada.

Las modificaciones finales de la política son aprobadas por el Director Técnico deCAEDICOM, después de comprobar el cumplimiento de los requisitos establecidosen las secciones correspondientes de esta DPC.

1.5.5 TIPOS DE CERTIFICADOS (SEGÚN POLÍTICAS DE CERTIFICACIÓN) Y SERVICIOS OFRECIDOS

- Certificado de Firma para Persona Natural:

Política de Certificado para Certificados de Firma para Persona Natural

- Certificado de Firma para Persona Jurídica:

Política de Certificado para Certificados de Firma para Persona Juridica

- Generación de Firmas Digitales.

Política de Generación de Firmas Digitales

- Generación de Firmas Digitales para Documentos de Facturación Electrónica.

Política de Generación de Firmas Digitales para Documentos de Facturación Electrónic a

- Servicio de Estampado Cronológico.

Política de Estampado Cronológico (Timestamping)

- Servicio de Registro, Custodia y Conservación de mensajes de datos ydocumentos electrónicos.


https://acedicom.edicomgroup.com/co/CAEDICOMCO_PC_PoliticaEstampadoCronologico.pdf

https://acedicom.edicomgroup.com/co/CAEDICOMCO_PC_PoliticaGeneracionFirmasDigitalesFacturacionElectronica.pdf




https://acedicom.edicomgroup.com/co/CAEDICOMCO_PC_PoliticaGeneracionFirmasDigitales.pdf

https://acedicom.edicomgroup.com/co/CAEDICOMCO_PC_PoliticaCertificadoFirmaPersJuridica.pdf

https://acedicom.edicomgroup.com/co/CAEDICOMCO_PC_PoliticaCertificadoFirmaPersNatural.pdf


Política de Registro, Custodia y Conservación de mensajes de datos y documentoselectrónicos

1.6 DEFINICIONES Y ACRÓNIMOS

1.6.1 DEFINICIONES

A los efectos de determinar el alcance de los conceptos que son utilizados en lapresente Declaración de Prácticas de Certificación, y en las distintas Políticas deCertificado, deberá entenderse:

Apelación: solicitud, presentada por una entidad de certificación digital, parareconsiderar cualquier decisión adversa tomada por el Organismo de Acreditacióncon relación a su estado de acreditación.

Autoridad de Certificación o Entidad de Certificación Digital: De acuerdo con loindicado en la Ley 527 de 1999, Artículo 2, Literal d, es aquella persona natural ojurídica que, autorizada conforme a dicha Ley, está facultada para emitir certificadosdigitales en relación con las firmas digitales de las personas, ofrecer o facilitar losservicios de registro y estampado cronológico de la transmisión y recepción demensajes de datos, así como cumplir otras funciones relativas a las comunicacionesbasadas en las firmas digitales. En la presente Declaración de Prácticas deCertificación, se corresponderá con las Autoridades de Certificación pertenecientes ala jerarquía de CAEDICOM.

Autoridad de Registro (RA): Persona jurídica, con excepción de los notariospúblicos, o parte interna de las ECD necesariamente independiente de su CA, queacorde con la normatividad vigente, es la encargada de recibir las solicitudesrelacionadas con certificación digital, para registrar las peticiones que hagan lossolicitantes para obtener un certificado, comprobar la veracidad y corrección de losdatos que aportan los usuarios en las peticiones y enviar las peticiones que cumplenlos requisitos a una CA para que sean procesadas.

Firma Digital: Se entenderá como un valor numérico que se adhiere a un mensajede datos

CA raíz: Autoridad certificadora de primer nivel, base de confianza. En la presenteDPC, se corresponderá con CAEDICOM Root.

CA subordinada: Autoridad certificadora de segundo nivel o más niveles. En lapresente DPC, se corresponderá con CAEDICOM.

Cadena de certificación: lista de certificados que contiene al menos un certificado yel certificado raíz de CAEDICOM.

Centro de procesamiento de datos: ubicación donde se concentran los recursosnecesarios para el procesamiento de la información.


https://acedicom.edicomgroup.com/co/CAEDICOMCO_PC_PoliticaRegistroCustodiayConservacion.pdf

https://acedicom.edicomgroup.com/co/CAEDICOMCO_PC_PoliticaRegistroCustodiayConservacion.pdf


Certificado digital: mensaje de datos electrónico firmado por la entidad decertificación digital, el cual identifica tanto a la entidad de certificación que lo expide,como al suscriptor y contiene la llave pública de éste último. En la presenteDeclaración de Prácticas de Certificación, cuando se haga referencia a certificado seentenderá realizada a un Certificado emitido por CAEDICOM.

Certificado raíz: Certificado cuyo suscriptor es CAEDICOM y pertenece a lajerarquía de CAEDICOM como Entidad de Certificación Digital, y que contiene losdatos de verificación de firma de dicha Autoridad firmado con los datos de creaciónde firma de la misma como Entidad de Certificación Digital.

Cliente: En los servicios de certificación digital, el término cliente identifica a lapersona natural o jurídica con la cual la ECD establece una relación comercial.

Datos de Creación de Firma (Llave privada): son valores numéricos únicos que,utilizados conjuntamente con un procedimiento matemático conocido, sirven paragenerar la firma digital de un mensaje de datos.

Datos de Creación de Firma (Llave privada): son valores numéricos únicos que,utilizados conjuntamente con un procedimiento matemático conocido, sirven paragenerar la firma digital de un mensaje de datos.

Declaración de Prácticas de Certificación (DPC): Es el documento en el que constade manera detallada los procedimientos que aplica CAEDICOM para la prestaciónde sus servicios. Una declaración de las prácticas que CAEDICOM emplea paraemitir, gestionar, revocar y renovar certificados sin y con cambio de claves.

Denuncia: Participación o declaración oficial del estado ilegal, irregular oinconveniente de algo.

Dispositivo seguro de creación de Firma: instrumento que sirve para aplicar losdatos de creación de firma cumpliendo con los requisitos de firma digital.

Directorio de Certificados: repositorio de información que sigue el estándar X.500del ITU-T.

Documento electrónico: conjunto de registros lógicos almacenado en soportesusceptible de ser leído por equipos electrónicos de procesamiento de datos, quecontiene información.

Entidad de certificación abierta: la que ofrece al público en general, serviciospropios de las ECD, tales que: su uso no se limita al intercambio de mensajes entrela entidad y el suscriptor, y recibe remuneración.

Entidad de certificación cerrada: entidad que ofrece servicios propios de lasentidades de certificación solo para el intercambio de mensajes entre la entidad y elsuscriptor, sin exigir remuneración por ello.



Estampado cronológico: (Time stamping). Mensaje de datos firmado digitalmente ycon sello de tiempo por una TSA que vincula a otro mensaje de datos con unmomento de tiempo concreto, el cual permite establecer con una prueba que estosdatos existían en ese momento y que no sufrieron ninguna modificación a partirdelmomento en que se realizó el estampado. Se basa en las especificacionesRequest For Comments: 3161 – “Internet X.509 Public Key Infrastructure Time–Stamp Protocol (TSP)”.

Firma Digital: Se entenderá como un valor numérico que se adhiere a un mensajede datos y que, utilizando un procedimiento matemático reconocido, vinculado a laclave del iniciador y al texto del mensaje permite determinar que este valor se haobtenido exclusivamente con la clave del iniciador y que el mensaje inicial no ha sidomodificado después de efectuada la transformación.

Función hash: es una operación que se realiza sobre un conjunto de datos decualquier tamaño, de forma que el resultado obtenido es otro conjunto de datos detamaño fijo, independientemente del tamaño original, y que tiene la propiedad deestar asociado unívocamente a los datos iniciales, es decir, es imposible encontrardos mensajes distintos que generen el mismo resultado al aplicar la Función hash.

Hash o Huella digital: resultado de tamaño fijo que se obtiene tras aplicar unafunción hash a un mensaje y que cumple la propiedad de estar asociadounívocamente a los datos iniciales.

Infraestructura de Claves Públicas (PKI, public key infrastucture): infraestructuraque soporta la emisión y gestión de claves y certificados para los servicios deautenticación, cifrado, integridad, o no repudio.

Listas de Revocación de Certificados o Listas de Certificados Revocados: listadonde figuran exclusivamente las relaciones de certificados revocados osuspendidos (no los caducados).

Módulo Criptográfico Hardware de Seguridad (HSM): módulo hardware utilizadopara realizar funciones criptográficas y almacenar claves en modo seguro.

Número de serie de Certificado: valor entero y único que está asociadoinequívocamente con un certificado expedido por CAEDICOM.

OCSP (Online Certificate Status Protocol): protocolo informático que permite lacomprobación del estado de un certificado en el momento en que éste es utilizado.

OCSP Responder: servidor informático que responde, siguiendo el protocolo OCSP,a las peticiones OCSP con el estado del certificado por el que se consulta.

OID (Object Identifier): valor que consiste en un número único de identificaciónasignado en base a estándares internacionales y comúnmente utilizado paraidentificar documentos, sistemas, equipos, etc., con la finalidad, entre otras cosas,de conocer el origen, la titularidad y la antigüedad del objeto identificado.



Petición. Solicitud o requerimiento de una acción. Se enmarca dentro del Derechode Petición consagrado en el Código Contencioso Administrativo, en el cual se dictaun procedimiento especial e independiente. Las peticiones se deben resolver dentrode los 15 días siguientes a la fecha de recibo.

Petición OCSP: petición de consulta de estado de un certificado a OCSPResponder siguiendo el protocolo OCSP.

PIN: (Personal Identification Number) número específico sólo conocido por lapersona que tiene que acceder a un recurso que se encuentra protegido por estemecanismo.

PKCS#10 (Certification Request Syntax Standard): estándar desarrollado por RSALabs, y aceptado internacionalmente como estándar, que define la sintaxis de unapetición de certificado.

Quejas: expresión de insatisfacción, diferente de la apelación, presentada por unapersona u organización a una ECD o a un organismo de acreditación, relacionadacon las actividades de uno de los dos, para la cual se espera respuesta.

Políticas de Certificado (PC): Es el conjunto de reglas que indica los requisitos deun certificado en una comunidad y/o clase en particular, en el marco de los requisitoslegales, reglamentarios, y con requisitos de seguridad comunes.

Recertificación: Revocación de un certificado de usuario para a continuaciónproporcionar al usuario la emisión de un nuevo certificado de las mismascaracterísticas del revocado, no necesariamente firmado con la misma CA queemitió el certificado revocado.

Reclamos. Oposiciones que se formulan a una actuación considerada injusta.Exigencia de los derechos del usuario, relacionados con la prestación de losservicios que se ofrecen al cliente interno como externo.

Repositorio: sistema de información utilizado para almacenar y recuperarcertificados u otra información relacionada con los mismos.

Revocación: Para este documento, es el proceso por el cual se inhabilita elCertificado Digital emitido y se da por terminado su periodo de validez de uso a partirde la fecha de revocación; al presentarse alguna de las causas establecidas en laDPC.

SHA-1: Secure Hash Algorithm (algoritmo seguro de resumen –hash-). Desarrolladopor el NIST y revisado en 1994 (SHA-1). El algoritmo consiste en tomar mensajes demenos de 264 bits y generar un resumen de 160 bits de longitud. La probabilidad deencontrar dos mensajes distintos que produzcan un mismo resumen esprácticamente nula. Por este motivo se usa para asegurar la Integridad de losdocumentos durante el proceso de Firma digital.

Solicitante: persona natural o jurídica que con el propósito de obtener servicios decertificación digital de una ECD, demuestra el cumplimiento de los requisitosestablecidos en la DPC y PC de éstas, para acceder al servicio de certificacióndigital.



Sugerencia: Comunicación de una idea o propuesta para mejorar el servicio o lagestión de la entidad.

Suscriptor: A los efectos de la presente DPC, el suscriptor de los certificados deCAEDICOM, persona natural o jurídica a cuyo nombre se expide un certificadodigital. Tendrá la condición de suscriptor el titular del certificado.

Tarjeta criptográfica o token USB: tarjeta o dispositivo utilizado por el suscriptor paraalmacenar claves privadas de firma y descifrado, para generar firmas digitales ydescifrar mensajes de datos. Tiene la consideración de dispositivo seguro decreación de firma y permite la generación de firma digital y han recibido la lavalidación como unidades conformes con el Nivel 3 de la norma FIPS 140-2.

Terceras partes confiantes o partes confiantes: aquellas personas que depositan suconfianza en un certificado de CAEDICOM, comprobando la validez y vigencia delcertificado según lo descrito en esta Declaración de Prácticas de Certificación y enlas Políticas de Certificado asociadas a cada tipo de certificado.

X.500: estándar desarrollado por la UIT que define las recomendaciones deldirectorio. Se corresponde con el estándar ISO/IEC 9594-1: 1993. Da lugar a la seriede recomendaciones siguientes: X.501, X.509, X.511, X.518, X.519, X.520, X.521 yX.525.

X.509v3: estándar desarrollado por la UIT, que define el formato electrónico básicopara certificados digitales.

1.6.2 ACRÓNIMOS

CAEDICOM Autoridad de Certificación EDICOM

CA Certification Authority

CEA Criterios Específicos de Acreditación

CRL Certificate Revocation List

CPD Centro de Procesamiento de Datos

DPC Certification Practice Statement. Declaración de Prácticas deCertificación

FIPS Federal Information Processing Standards

HSM Hardware security module

IETF Internet Engineering Task Force

KAM Key Account Manager

OID Object identifier



OCSP On-line Certificate Status Protocol

OPRU Operador de Punto de Registro

PC Certificate Policy. Políticas de Certificado.

PKI Public Key Infrastructure

PKIEDICOM PKI de EDICOM

RA Registration Authority

RFC Request For Comment

Sub CA Subordinate Certification Authority



2 PUBLICACIÓN DE INFORMACIÓN Y REPOSITORIO DECERTIFICADOS

2.1 REPOSITORIOS

El servicio de repositorio de la CAEDICOM estará disponible durante las 24 horasdel día, los 7 días de la semana, y en caso de interrupción por causa de fuerzamayor, el servicio se restablecerá en el menor tiempo posible.

Entendiendo por disponibilidad, la capacidad de acceder al servicio por parte dequien lo demanda, con independencia de la rapidez o ritmo al que posteriormenteéste sea prestado. En ningún caso esta disponibilidad, podrá ser inferior a un 99,9%,medido en el periodo de un mes.

EDICOM se reserva hasta un máximo de 8 horas mensuales fuera del horarioprimario y en el momento de mínima actividad, para efectuar tareas demantenimiento, backups del sistema,etc. Este tiempo quedará excluido a efecto delos cálculos de nivel de servicio. Se considera horario primario todo el periodo salvoDomingos de 05:00UTC a 15:00UTC.

Si existe un mal funcionamiento de los sistemas que operan los Servicios, EDICOMinformará al Cliente tan pronto como razonablemente pueda sobre el problema y eltiempo previsto para el suministro normal. EDICOM proporcionará al Clienterecursos del centro de atención a usuarios y hará todo lo posible para rectificar elproblema en el menor tiempo posible.

En caso de desastres, se actuará según lo estipulado en el punto 5.7.

El repositorio de CAEDICOM no contiene ninguna información de naturalezaconfidencial y no utiliza ningún otro repositorio operado por ninguna organizacióndistinta a CAEDICOM.

2.2 PUBLICACIÓN

La presente DPC es pública y se encuentra disponible en el sitio web de CAEDICOMhttp://acedicom.edicomgroup.com, en formato PDF.

Las Políticas de Certificación de CAEDICOM son públicas y se encuentrandisponibles en el sitio de web de CAEDICOM http://acedicom.edicomgroup.com, enformato PDF.

El certificado de la AC de CAEDICOM es público y se encuentra disponible en elrepositorio de CAEDICOM, en formato X.509 v3. También se encuentra enhttp://acedicom.edicomgroup.com.

La lista de certificados revocados por CAEDICOM es pública y se encuentradisponible, en formato CRL v2. También se encuentra enhttp://acedicom.edicomgroup.com.

Declaración de Prácticas de Certificación (DPC) de la CAEDICOM COLOMBIA | 2 PUBLICACIÓN DEINFORMACIÓN Y REPOSITORIO DE CERTIFICADOS | 25


CAEDICOM informa a los consumidores y al público en la página webhttp://acedicom.edicomgroup.com, las actividades y servicios acreditados atendiendoa lo establecido en el documento R-AC-1.4-03 de ONAC.

EDICOM SAS informa a los consumidores y al público en la página webhttp://www.edicomgroup.com de la información general de la entidad.

2.3 FRECUENCIA DE ACTUALIZACIONES

La DPC y las Políticas de Certificación se publicarán cada vez que seanmodificadas.

La AC añadirá los certificados revocados a la CRL pertinente dentro del periodo detiempo estipulado en el punto 4.9.9 Frecuencia de emisión de CRLs.

2.4 CONTROLES DE ACCESO AL REPOSITORIO DECERTIFICADOS.

El acceso a lectura de la información del repositorio de CAEDICOM y de su sitio webes libre.

Sólo CAEDICOM está autorizada a modificar, sustituir o eliminar información de surepositorio y sitio web. En este sentido, la CAEDICOM utiliza los medios de controladecuados a fin de restringir la capacidad de escritura o modificación de estoselementos.

Declaración de Prácticas de Certificación (DPC) de la CAEDICOM COLOMBIA | 2 PUBLICACIÓN DEINFORMACIÓN Y REPOSITORIO DE CERTIFICADOS | 26

http://edicomgroup.com/


3 IDENTIFICACIÓN Y AUTENTICACIÓN DE LOSTITULARES DE LOS CERTIFICADOS

3.1 REGISTRO DE NOMBRES

En esta sección se establecen requisitos relativos a los procedimientos deidentificación y autenticación que se utilizan durante el registro de suscriptores, quetiene que realizarse con anterioridad a la emisión y entrega de certificados.

3.1.1 TIPOS DE NOMBRES

El campo Subject DN (Distinguished Name) contiene toda la información deidentificación de la entidad para la que se emite el certificado, ya sea personajurídica, natural, o cualquier otro tipo. Dicha información debe identificar de formaúnica a un certificado emitido por una misma CA para los certificados cualificados,es decir: no deben existir dos certificados emitidos por una misma CA cuyo Subjectsea idéntico.

3.1.2 SIGNIFICADO DE LOS NOMBRES

Las reglas definidas en el apartado anterior, garantizan que los nombres distintivos(DN) de los certificados son suficientemente significativos para vincular la clavepública con una identidad.

3.1.3 INTERPRETACIÓN DE FORMATOS DE NOMBRES

Las reglas utilizadas por CAEDICOM para interpretar los nombres distintivos de loscertificados que emite son las contenidas en la ISO/IEC 9595 (X.500) DistinguishedName (DN).

3.1.4 UNICIDAD DE LOS NOMBRES

Los nombres distintivos para los certificados cualificados deben ser únicos y noinducirán a ambigüedad.

El DN de los certificados no puede estar repetido. La utilización del número del CIFde la empresa y del NIF del solicitante garantiza la unicidad del DN. En caso de queun titular tenga varios certificados se les pondrá sufijo “_2”, “_3”, etc., para mantenerla unicidad.

Las Políticas de Certificado pueden disponer la sustitución de este mecanismo deunicidad.

3.1.5 RESOLUCIÓN DE CONFLICTOS RELATIVOS A NOMBRES

Declaración de Prácticas de Certificación (DPC) de la CAEDICOM COLOMBIA | 3 IDENTIFICACIÓN YAUTENTICACIÓN DE LOS TITULARES DE LOS CERTIFICADOS | 27


La inclusión en un certificado de un nombre no implica la existencia de ningúnderecho sobre el mismo y lo es sin perjuicio del mejor derecho que pudieren ostentarterceros.

La CAEDICOM no actúa como árbitro o mediador, ni resuelve ninguna disputarelativa a la titularidad de nombres de personas u organizaciones, nombres dedominio, marcas o nombres comerciales, etc.

La CAEDICOM se reserva el derecho de rehusar una solicitud de certificado porcausa de conflicto sobre el nombre.

3.1.6 RECONOCIMIENTO, AUTENTICACIÓN Y FUNCIÓN DE LAS MARCAS REGISTRADAS.

CAEDICOM no puede garantizar que los nombres incluidos en los certificadoscontendrán las marcas o derechos de propiedad intelectual solicitados.

CAEDICOM no verificará de forma automática la marca o los derechos de propiedadintelectual del nombre que aparece en los certificados, el nombre del dominio ocualquier otro campo del certificado. CAEDICOM puede rechazar o suspendercualquier certificado sin responsabilidad alguna en caso de disputa.

3.2 VALIDACIÓN DE LA IDENTIDAD INICIAL

La CA se asegurará para las políticas que así lo requieran de que los suscriptores ylos sujetos titulares son debidamente identificados y autenticados; y que los datosasociados a la solicitud de certificado del sujeto son completos y precisos.

3.2.1 MÉTODOS DE PRUEBA DE POSESIÓN DE LA CLAVE PRIVADA.

Habrá que atenerse a lo establecido en cada caso en la Política de Certificadoaplicable para cada solicitud.

3.2.2 AUTENTICACIÓN DE LA IDENTIDAD DE UN INDIVIDUO.

El proceso de identificación individual se define por la Política de Certificadoaplicable a cada tipo de certificado, como norma general podrá emplearse lapresentación en persona ante el Operador de Registro.

Se acreditará mediante la muestra de un documento oficial de identidad válido y envigor como Cédula de Ciudadanía o Pasaporte y se comprobará explícitamente lafecha y el lugar de nacimiento.

También se podrá prescindir de la presencia física del suscriptor si la acreditación deidentidad y los datos que figuran en la solicitud de expedición de un certificado hansido legitimados por un poder notarial amplio y suficiente que contenga una cláusulaespecial para solicitar el certificado de persona natural a la CAEDICOM.



3.2.3 AUTENTICACIÓN DE LA IDENTIDAD DE UNA ORGANIZACIÓN.

En el caso de certificados digitales, la autenticación de la identidad de unaorganización o entidad se realizará mediante la presentación ante el Operador deRegistro habilitado para la emisión de este tipo de certificados por parte del firmantedel certificado de entidad (representante legal o apoderado de representante legalcon poder notarial como se especifica a continuación en la documentación aaportar), una vez acreditada su identidad y la extensión y vigencia de sus facultadesde representación sobre esa entidad.

El Operador de Registro de CAEDICOM comprobará los datos relativos a laconstitución y persona jurídica y a la extensión y vigencia de las facultades derepresentación o representación voluntaria del firmante registradas en el Certificadode Existencia y Representación Legal expedido por la respectiva Cámara deComercio.

La documentación que se requiere para realizar las comprobaciones varía enfunción del tipo de entidad para la que se solicite el certificado. Por ello, y concarácter general, se aportará la siguiente documentación:

Para solicitar un certificado digital de una sociedad mercantil o cualquier sociedadde inscripción obligatoria en el Registro Mercantil, se deberá aportar Certificado deExistencia y Representación Legal de la empresa solicitante, expedido por laCalmara de comercio durante los 30 días anteriores a la fecha de presentación delcertificado en la CAEDICOM. Si la representación es voluntaria, se requerirá elpoder notarial amplio y suficiente que contenga una cláusula especial para solicitarel certificado de persona jurídica a la CAEDICOM, siempre y cuando elRepresentante Legal esté facultado para otorgar el respectivo PODER, facultad queestará debidamente registrada en el Certificado de Existencia y RepresentaciónLegal de la empresa solicitante.

En todo caso el solicitante deberá acompañar la documentación del “CONTRATODE PRESTACION DE SERVICIOS DE CERTIFICACION DIGITAL” que podrádescargarse en el sitio web de CAEDICOM http://acedicom.edicomgroup.com.

La CAEDICOM guardará copia de la documentación presentada por el solicitante.

Efectuadas todas estas comprobaciones se expide el certificado en el sistemainformático enviándo digitalmente un request de forma segura a la CAEDICOM.

En el caso que una Política de Certificado considere necesaria otro procedimiento deautenticación de la identidad de una organización, dicha política será la responsabledel establecimiento de los métodos necesarios para la verificación de la mencionadaidentidad.



CAEDICOM se reserva el derecho de exigir requisitos adicionales a los estipuladosen esta Declaración de Prácticas de Certificación, cuando así lo considere necesariopara la verificación de la identidad de las personas naturales o jurídicas o para unadecuado cumplimiento de los servicios de certificación digital.

CAEDICOM es libre de solicitar nuevamente cualquier documentación quepreviamente haya sido recibida con el fin de verificar su validez y vigencia.

3.3 IDENTIFICACIÓN Y AUTENTICACIÓN DE LASSOLICITUDES DE RENOVACION DE CLAVE.

3.3.1 IDENTIFICACIÓN Y AUTENTICACIÓN DE LAS SOLICITUDES DE RENOVACIÓN RUTINARIAS.

La identificación y autenticación para la renovación del certificado se puede realizarutilizando las técnicas para la autenticación e identificación inicial o utilizandosolicitudes firmadas digitalmente mediante el certificado original que se pretenderenovar, siempre que este no haya vencido ni se haya procedido a su revocación.Existen, por tanto, dos mecanismos alternativos para la renovación:

Formularios web firmados en el Área “Gestión de Certificados” disponible enhttp://acedicom.edicomgroup.com.

Presentación personal en cualquier Autoridad de Registro de CAEDICOM, con losdocumentos de identificación suficientes (ver apartado 3.2.2 y 3.2.3 de esta DPC).

Asimismo, la renovación del certificado mediante solicitudes firmadas digitalmenteexigirá que haya transcurrido un período de tiempo desde la identificación personalmenor a los dos años.

3.3.2 IDENTIFICACIÓN Y AUTENTICACIÓN DE LAS SOLICITUDES DE RENOVACIÓN DE CLAVE DESPUÉS DE UNA REVOCACIÓN – CLAVE NO COMPROMETIDA.

La política de identificación y autenticación para la renovación de un certificadodespués de una revocación sin compromiso de la clave será la misma que para elregistro inicial, tal como se describe en este mismo documento en el punto 3.2 deforma que se garantice de manera fiable e inequívoca la identidad del solicitante y laautenticidad de la solicitud.



3.4 IDENTIFICACIÓN Y AUTENTICACIÓN DE LASSOLICITUDES DE REVOCACIÓN

El proceso de solicitud de revocación viene definido por la Política de Certificadoaplicable a cada tipo de certificado. La política de identificación para las solicitudesde revocación podrá ser la misma que para el registro inicial. La política deautenticación aceptará solicitudes de revocación firmadas digitalmente por el sujetotitular del certificado.

CAEDICOM o cualquiera de las entidades que la componen pueden solicitar deoficio la revocación de un certificado si tuvieran el conocimiento o sospecha delcompromiso de la clave privada del firmante, o cualquier otro hecho querecomendará emprender dicha acción.

El procedimiento general de revocación se describe en esta Política en el punto4.9.3. En cualquier caso, las distintas Políticas de Certificado pueden definir otraspolíticas de identificación menos severas así como también pueden definir lacreación de una contraseña de revocación en el momento del registro del certificado.



4 EL CICLO DE VIDA DE LOS CERTIFICADOS.

Las especificaciones contenidas en este apartado lo son sin perjuicio de lasestipulaciones previstas en cada una de las distintas Políticas de Certificado para losdistintos tipos de certificados emitidos por la CAEDICOM.

4.1 SOLICITUD DE CERTIFICADOS

El punto de contacto para obtener servicios de CAEDICOM es el número telefónicodel departamento comercial de EDICOM SAS:

+57 1 7953970

o mediante el formulario de contacto que se encuentra en la web de EDICOM SAS

http://www.edicomgroup.com/

Un Key Account Manager tiene la responsabilidad de gestionar ese contactotelefónico y llevar a cabo la captura de los datos del cliente necesarios para laprestación del servicio de certificación digital, que incluyen:

- Tipo de certificado o servicio de certificación requerido- Datos generales del cliente o del contacto principal- Datos de facturación- Especificaciones del servicio a contratar

El Key Account Manager tiene la responsabilidad de informar al cliente de ladocumentación necesaria para validar su identidad ante el Operador de Registropara la emisión de certificados según se indica en el punto 3.2.

Los datos se introducen en la herramienta de Gestión Comercial del departamentoComercial de EDICOM SAS en el estado de ‘Cliente Potencial’

Finalizada la solicitud de información, el Key Account Manager procede con lacreación y envío del contrato para su posterior aceptación por parte del cliente. A larecepción del contrato firmado, se procede a la creación de la tarea técnica endonde quedan detallados todas las características del servicio contratado. La tareatécnica queda asociada a una ficha de cliente quedando de este modo vinculadaspara su posterior revisión en la fase de revisión de la solicitud.

De este modo, la tarea y el servicio pasan al estado “Pendiente de Revisión” yquedan por tanto en espera de ser revisados.

4.2 REVISIÓN DE LA SOLICITUD DE CERTIFICADOS

El departamento de pre-venta tiene la responsabilidad de revisar la tarea técnicapara asegurar la calidad de la misma. El objetivo de esta revisión consiste encorroborar que la información introducida por el KAM es correcta, descriptiva yacorde al servicio de certificación digital a ofrecer. Entre otros se revisa:

Declaración de Prácticas de Certificación (DPC) de la CAEDICOM COLOMBIA | 4 EL CICLO DE VIDA DE LOSCERTIFICADOS. | 32

http://www.edicomgroup.com/es_CO/auxiliar/contact.html


• El tipo de certificado solicitado corresponde con lo solicitado por el suscriptor.

• La información solicitada y disponible del cliente es suficiente.

• El alcance del servicio está delimitado y es correcto de acuerdo a losrequerimientos.

• Que el solicitante ha firmado de el documento de Contrato de Prestación deServicios de Certificación.

• No hay ausencia de información.

Llegados a este punto, en caso de detectarse errores o falta de calidad en lainformación suministrada, la tarea y por tanto la solicitud del servicio serán devueltosal estado “Intervención comercial” quedando por tanto responsable el KAM deproceder de nuevo con la correcta grabación o solicitud de información restantenecesaria.

Si por el contrario la tarea es considerada correcta, continúa el flujo hacia la fase dedecisión, pasando a un estado interno “Pendiente de realización”.

4.3 EMISIÓN DE CERTIFICADOS

Finalizada la revisión se procede a la creación del certificado. Para garantizar laimparcialidad en el proceso, la revisión de la solicitud y la toma de decisión de laemisión del certificado la realizan personas con diferentes roles, por tanto elOperador de Registro no puede ser un Key Account Manager.

El Operador de Registro tiene las siguientes responsabilidades y realiza lassiguientes acciones:

• Toma de decisión sobre la emisión del certificado basada en los siguientescriterios

◦ Imparcialidad.

◦ No discriminación.

◦ Equidad.

◦ Criterios relacionados específicamente con el alcance de la certificación.

• Autenticación de la identidad del suscriptor de forma presencial o remota talcomo se describe en el punto 3.2.

• Verificación los documentos acreditativos de su representación así como suinscripción en el correspondiente registro público, conforme a la ley 594 de2000 General de Archivos de Colombia como se describe en el punto 3.2

• Emisión del certificado.

• Entrega de la documentación formal asociada al suscriptor, que incluirá:



◦ El nombre y la dirección de CAEDICOM

◦ La fecha en que se expide el certificado.

◦ El nombre y la dirección del suscriptor.

◦ El alcance de la certificación digital (tipo de certificado).

◦ El término o la fecha de expiración del certificado.

◦ Toda otra información exigida para el servicio de certificación.

◦ Firma del operador de registro.

El operador de registro de CAEDICOM no es responsable de la monitorización,investigación o confirmación de la exactitud de la información contenida en elcertificado con posterioridad a su emisión. En el caso de recibir información sobre lainexactitud o la no aplicabilidad actual de la información contenida en el certificado,este puede ser revocado.

CAEDICOM se reserva el derecho de negar la expedición de un certificado digital aun solicitante, a su propia discreción, por lo que no podrá exigírsele responsabilidadalguna por este motivo.

Cuando la CAEDICOM emita un certificado de acuerdo con una solicitud decertificación válida, notificará a la Entidad de Registro que remitió la solicitud yguardará el mismo en el repositorio de CAEDICOM.

La CAEDICOM:

• Utiliza un procedimiento de generación de certificados que vincula de formasegura el certificado con la información de registro, incluyendo la clavepública certificada.

• Protege la confidencialidad e integridad de los datos de registro.

• Toma medidas contra la falsificación de certificados.

Todo lo especificado en este apartado queda supeditado a lo estipulado por lasdistintas Políticas de Certificado para la emisión de cada tipo de certificados.

4.4 ACEPTACIÓN DE CERTIFICADOS

La aceptación de los certificados por parte de los firmantes se produce en elmomento de la firma del “CONTRATO DE PRESTACION DE SERVICIOS DECERTIFICACION DIGITAL” asociado a cada Política de Certificado. La aceptacióndel contrato implica el conocimiento y aceptación por parte del sujeto titular de laPolítica de Certificado asociada.



4.5 USO DEL PAR DE CLAVES Y DEL CERTIFICADO.

Los certificados CAEDICOM, según se estipula en sus políticas específicas, soncertificados de firma digital para el ámbito general, destinados a personas naturaleso a entidades jurídicas que necesiten relacionarse con las Administraciones públicasy otras instituciones o empresas privadas principalmente en el ámbito delIntercambio Electrónico de Datos y/o proveerse de sistemas de almacenamiento delarga duración.

Los Terceros de Confianza sólo pueden depositar su confianza en los certificadospara aquello que establece esta DPC y de acuerdo con lo establecido en el campo‘Key Usage’ del certificado.

En todo caso, los certificados CAEDICOM no se han diseñado, no se puedendestinar y no se autoriza su uso o reventa como equipos de control de situacionespeligrosas o para usos que requieran actuaciones a prueba de errores, como elfuncionamiento de instalaciones nucleares, sistemas de navegación ocomunicaciones aéreas, o sistemas de control de armamento, donde un errorpudiera directamente comportar la muerte, lesiones personales o dañosmedioambientales severos.

4.6 RENOVACIÓN DE CERTIFICADOS

El suscriptor deberá cumplir nuevamente con el proceso de acreditación parasolicitar la renovación de un certificado. Por tal motivo, el procedimiento de solicitudpara la renovación de un certificado es el mismo que el de acreditación.

El periodo de renovación del certificado se debe iniciar 70 días antes de la fecha decaducidad del certificado. La validación de la identidad y autenticación para larenovación se explican el apartado 3.3

4.7 RENOVACIÓN DE CLAVES

La renovación de claves implica necesariamente la renovación de certificado y no sepueden llevar a cabo como procesos separados.

4.8 MODIFICACIÓN DE CERTIFICADOS.

Todas las circunstancias que obligarían a efectuar modificaciones en los certificadosemitidos a un suscriptor por variación de los datos contenidos en el mismo, tambiénobligarían al cambio del soporte físico por lo se tratarán como una renovación delsoporte por variación de datos, siendo de aplicación los apartados anteriores.

4.9 REVOCACIÓN Y SUSPENSIÓN DE CERTIFICADOS.

Seguidamente se informa de aspectos a tener en cuenta para la revocación ysuspensión de certificados.



4.9.1 CIRCUNSTANCIAS PARA LA REVOCACIÓN

Un certificado se revoca cuando:

Compromiso de claves (Key Compromise): El firmante del certificado o sus claves olas claves de sus certificados se han comprometido por:

El robo, pérdida, revelación, modificación, u otro compromiso o sospecha decompromiso de la clave privada del usuario.

El mal uso deliberado de claves y certificados, o la falta de observación de losrequerimientos operacionales del acuerdo de subscripción, la PC asociada o de lapresente DPC.

Reemplazo (Superseded): Se produce la emisión defectuosa de un certificadodebido a:

- Que no se ha satisfecho un prerrequisito material para la emisión del certificado.

- Que un factor fundamental en el certificado se sepa o crea razonablemente quepuede ser falso.

- Un error de entrada de datos u otro error de proceso.

Cambio de la afiliación (AffiliationChanged): La información contenida en uncertificado o utilizada para realizar su solicitud se convierte en inexacta, por ejemplocuando el dueño de un certificado cambia su nombre.

Una solicitud de revocación válida se recibe de un usuario final.

●Una solicitud de revocación válida se recibe de una tercera parte autorizada, porejemplo una orden judicial.

El certificado de una CA superior en la jerarquía de confianza del certificado esrevocado.

Cese de actividad (CessationOfOperation): Cese en la actividad de la Entidad deCertificación Digital

4.9.2 ENTIDAD QUE PUEDE SOLICITAR LA REVOCACIÓN

La revocación de un certificado se puede instar tanto por el sujeto titular del mismocomo por parte de CAEDICOM.

Los sujetos titulares de certificados pueden solicitar su revocación por cualquiercausa y deben solicitarla bajo las condiciones especificadas en el siguienteapartado.

4.9.3 PROCEDIMIENTO DE SOLICITUD DE REVOCACIÓN



El procedimiento para la solicitud de la revocación de cada tipo de certificado sedefinirá en la Política de Certificado correspondiente.

De forma general, y sin perjuicio de lo definido en las Políticas de Certificado:

El punto de contacto para solicitar una revocación de un certificado de CAEDICOMes el número telefónico del departamento comercial de EDICOM SAS:

+57 1 7953970

o mediante el envío de una de solicitud de revocación de certificados de la web deCAEDICOM http://acedicom.edicomgroup.com a la direcció[email protected].

Se aceptarán solicitudes de revocación remotas si están firmadas digitalmente conun certificado de CAEDICOM o de algún otra Entidad de Certificación Digital queexpida Certificados cualificados, y presencial si se cumplen los requisitos deidentificación del usuario establecidos para el registro inicial.

Aceptada la solicitud de revocación, el Operador de Registro procederá a revocar elcertificado en la Autoridad de Registro.

Una solicitud de revocación tanto si se realiza en papel o de forma electrónica debecontener la información que se describe en el formulario de solicitud de revocación,recogido en cada una de las Políticas de Certificado. No obstante CAEDICOM secompromete a publicar inmediatamente mediante OCSP el nuevo estado delcertificado en cuanto se constaten los motivos de la revocación solicitada. Asímismo, el certificado será incluido en las listas CRL publicadas por CAEDICOM en elpróximo ciclo de renovación de CRL, cuya periodicidad es de 24 horas.

Se informará a los suscriptores de los cambios de estado en sus certificados através de un correo electrónico.

4.9.4 PERIODO DE GRACIA DE LA SOLICITUD DE REVOCACIÓN

La revocación se realizará de forma inmediata al procesamiento de cada solicitudverificada como válida. Por tanto no existe ningún periodo de gracia asociado a esteproceso.

4.9.5 CIRCUNSTANCIAS PARA LA SUSPENSIÓN

No aplica

4.9.6 ENTIDAD QUE PUEDE SOLICITAR LA SUSPENSIÓN

No aplica

4.9.7 PROCEDIMIENTO PARA LA SOLICITUD DE SUSPENSIÓN



No aplica

4.9.8 LÍMITES DEL PERÍODO DE SUSPENSIÓN

No aplica

4.9.9 FRECUENCIA DE EMISIÓN DE CRLS

CAEDICOM publicará una nueva CRL en su repositorio en intervalos de máximo 24horas para las CA subordinadas y de 90 días para la Root, aunque no se hayanproducido modificaciones en la misma (cambios de estado de certificados) durante elcitado periodo. Este periodo tampoco se ve afectado en caso de revocaciones decertificados, que ya obtienen respuesta inmediata en la publicación mediante OCSP.

Las CRLs se generan y se firman con la clave de la CA.

4.9.10 REQUISITOS DE COMPROBACIÓN DE ESTADOS DE CERTIFICADOS

La verificación de las revocaciones es obligatoria para cada uso de los certificadosde identidad pública. El procedimiento ordinario de comprobación de la validez de uncertificado será la consulta a los Servicios de Validación de CAEDICOM, los cualesmediante protocolo OCSP indicarán el estado del certificado.

También contempla la CAEDICOM la publicación de CRLs.

Se informará a los suscriptores de los cambios de estado en sus certificados através de un correo electrónico.

4.9.11 OTRAS FORMAS DE INFORMACIÓN DE LOS CERTIFICADOS REVOCADOS

La CAEDICOM puede establecer en el futuro otras formas para informar sobre larevocación de los certificados.

4.9.12 REQUISITOS ESPECIALES DE RENOVACIÓN DE CLAVES COMPROMETIDAS

No hay ninguna variación en las cláusulas anteriores cuando la revocación seadebida al compromiso de la clave privada.

4.10 SERVICIOS DE COMPROBACIÓN DE ESTADO DECERTIFICADOS.

4.10.1 CARACTERÍSTICAS OPERATIVAS



Para la validación de certificados la CAEDICOM dispone de Servicios de Validaciónen línea, además de la publicación de CRLs, que proporcionan información sobre elestado de los certificados emitidos por la jerarquía de certificación del CAEDICOM.Se trata de un servicio de validación en línea que implementa el Online CertificateStatus Protocol siguiendo la RFC 2560. Mediante el uso de ese protocolo sedetermina el estado actual de un certificado digital sin requerir las CRLs. Un clientede OCSP envía una petición sobre el estado del certificado al servicio de validación,el cual, tras consultar su base de datos, ofrece una respuesta sobre el estado delcertificado vía HTTP.

Para hacer uso del Servicio de validación en línea es responsabilidad del Tercero deConfianza disponer de un Cliente OCSP que cumpla la RFC 2560.

4.10.2 DISPONIBILIDAD DEL SERVICIO

La misma descrita en el apartado 2.1 correspondiente a los Repositorios.

4.11 FINALIZACIÓN DE LA SUSCRIPCIÓN.

La suscripción finaliza con la expiración o revocación del certificado.

4.12 DEPÓSITO Y RECUPERACIÓN DE CLAVES.

La CAEDICOM puede emitir en función de su soporte certificados de dos tipos:Sobre dispositivo seguro o de Software. Únicamente para el primer caso, elhardware soporte de los certificados emitidos por CAEDICOM está certificadoCWA14169 o FIPS 140-2 nivel 3. Los datos de creación de firma (las clavesprivadas) se generan dentro del hardware y no pueden ser exportadas en ningúncaso. Sólo en el caso de dispositivo HSM centralizado se hace el depósito de lasclaves privadas por parte de la CAEDICOM pero sólo tiene acceso a las mismas elpropio usuario mediante los correspondientes datos de activación que sólo élconoce.

Los detalles particulares se recogen en las Políticas de Certificado asociadas a cadatipo de certificado.

4.13 CADUCIDAD DE CERTIFICADO DE LA CA.

En la práctica no se emiten certificados cuya validez exceda la de la entidad de CAde la que dependen. De esta forma se asegura que siempre caducará antes elcertificado de firmante que el de la CA.

El nuevo certificado generado se firmará con el nuevo certificado de la CA. De estaforma no es necesario notificar a los firmantes de la necesidad de recertificación encaso de caducidad del certificado de la CA.

La caducidad de los certificados emitidos por CAEDICOM se especifica en lacorrespondiente Politica de Certificado asociada.



5 CONTROLES DE SEGURIDAD FÍSICA, DE GESTIÓN YDE OPERACIONES

5.1 CONTROLES DE SEGURIDAD FÍSICA

La CAEDICOM ofrece a sus suscriptores el más alto nivel de seguridad física para larealización de las tareas imprescindibles en la generación y gestión de loscertificados.

De esta forma dispone de instalaciones con diversos perímetros de seguridadalrededor de los servicios de generación de certificados, de los dispositivoscriptográficos y de la gestión de revocación.

Así la CAEDICOM controla la seguridad física y ambiental de las instalaciones y lossistemas que se encuentran en dichas instalaciones, con las siguientes medidas:

Controles de acceso físico

Protección ante desastres naturales

Medidas de protección ante incendios

Fallo de los sistemas de soporte (energía eléctrica, telecomunicaciones, etc)

Inundaciones

Protección antirrobo

Conformidad y entrada no autorizada

Recuperación del desastre

Salida no autorizada de equipamientos, informaciones, soportes y aplicacionesrelativas a componentes utilizados para los servicios de la CAEDICOM.

5.1.1 UBICACIÓN Y CONSTRUCCIÓN

Los sistemas de información de la CAEDICOM se ubican en Centros de Proceso deDatos con unos niveles de protección y solidez de la construcción adecuado y convigilancia durante las 24 horas al día, los 7 días a la semana.

5.1.2 ACCESO FÍSICO

Los Centros de Proceso de Datos de la CAEDICOM disponen de diversosperímetros de seguridad, con diferentes requerimientos de seguridad yautorizaciones. Entre los equipos que protegen los perímetros de seguridad seencuentran sistemas de control de acceso físico por combinación y biométricos,sistemas de vigilancia (cámarás, sensores, grabación, detección de intrusos...).

Declaración de Prácticas de Certificación (DPC) de la CAEDICOM COLOMBIA | 5 CONTROLES DESEGURIDAD FÍSICA, DE GESTIÓN Y DE OPERACIONES | 40


5.1.3 ALIMENTACIÓN ELÉCTRICA Y AIRE ACONDICIONADO

Las instalaciones disponen de sistemas de alimentación ininterrumpida con unapotencia suficiente para mantener de forma autónoma la red eléctrica durante losperíodos de apagado controlado del sistema y para proteger a los equipos frente afluctuaciones eléctricas que los pudieran dañar.

El apagado de los equipos sólo se producirá en caso de fallo de los sistemas degeneración autónoma de alimentación.

El sistema de acondicionamiento ambiental está compuesto por varios equiposindependientes con capacidad para mantener niveles de temperatura dentro de losmárgenes de operación óptimos de los sistemas.

5.1.4 EXPOSICIÓN AL AGUA

La ubicación actual y el diseño de la sala informática de la CAEDICOM garantiza lainexistencia de peligro por inundación, aunque se han diseñado los procedimientosnecesarios para poder detectar presencia de agua en la sala.

5.1.5 PROTECCIÓN Y PREVENCIÓN DE INCENDIOS

Los Centros de Proceso de Datos de la CAEDICOM disponen de sistemasautomatizados para la detección y extinción de incendios.

5.1.6 SISTEMA DE ALMACENAMIENTO

Los soportes de información sensible se almacenan de forma segura en armariosignífugos y cajas fuertes, según el tipo de soporte y la clasificación de la informaciónen ellos contenida.

Estos armarios se encuentran en diversas dependencias para eliminar riesgosasociados a una única ubicación. El acceso a estos soportes está restringido apersonal autorizado.

5.1.7 ELIMINACIÓN DE RESIDUOS

La eliminación de soportes mágneticos, ópticos e información en papel se realiza deforma segura siguiendo procedimientos establecidos para este fin, adoptandoprocesos de formateo, borrado permanente, de destrucción o triturado en función deltipo soporte a tratar.

5.1.8 BACKUP REMOTO



Diariamente se realizan copias de backup remotas, siendo almacenadas en el centroprincipal y en las dependencias del Centro de Proceso de Datos de respaldo, dondelas operaciones de la CAEDICOM continuarían en caso de incidente grave o caídadel Centro de Proceso de Datos principal. El centro de proceso de datos de respaldoestá ubicado a 15 kilómetros del centro principal.

5.2 CONTROLES DE PROCEDIMIENTOS

Los sistemas de información y los servicios de la CAEDICOM se operan de formasegura, siguiendo procedimientos preestablecidos.

Por razones de seguridad, la información relativa a los controles de procedimiento seconsidera materia confidencial y solo se explican de forma resumida.

5.2.1 ROLES DE CONFIANZA

Las personas que tengan que ocupar estos sitios son formalmente nominados por laalta dirección de EDICOM.

Las funciones de toma de toma de datos y revisión de las solicitudes incluyen:

Key Account Manager

El ejecutivo de cuentas es el encargado de recibir la solicitud de emisión decertificado digital, y de la toma de datos del suscriptor del certificado.

Comercial Pre-Venta

El comercial Pre-venta es el responsable de la revisión de la solicitud y de ladocumentación de dicha revisión.

Las funciones fiables incluyen:

Operadores de Registro

Comprobarán la identidad del subscriptor del certificado. Si todo es correcto crearánla solicitud de emisión de certificado a la AC mediante la aplicación correspondiente.La autenticación en ese formulario será mediante smartcard o token USBexclusivamente sobre los equipos autorizados a tal efecto.

Esta operación de solicitud de emisión de certificado se quedará como “pendiente” ydeberá ser aprobada por otro Operador de Registro diferente al que ha creado lasolicitud.

Administrador de sistemas

No tendrán acceso a las claves de la CA.

No tendrán acceso a los logs de la CA. Se evitará mediante propiedades del usuariodel software de CA.



Se autentificarán via smartcard o token USB con el software de CA y no admitiráeste software otro método alternativo de autentificación.

Custodio de claves de acceso al HSM

Serán los encargados de custodiar las claves sobre tarjeta que permitendesbloquear el uso de las claves de la CA en el HSM.

Operador de sistemas.

Las funciones serán de backup y de operación en general. Este rol no esincompatible con el de administrador de sistemas.

Auditor del sistema

Autorizado a ver logs de CA y auditarlos. Los logs los verá a través de la interfazweb que ofrece la CA. Autenticación a través de smartcard o token.

Sólo tendrá acceso a los logs este Rol.

El Auditor debe encargarse de:

-Comprobar el seguimiento de incidencias y eventos

-Comprobar la protección de los sistemas (explotación de vulnerabilidades, logs deacceso, usuarios, etc.).

-Comprobar alarmas y elementos de seguridad física

Responsable de Seguridad

Responsable de la definición y verificación de todos los procedimientos de seguridadtanto física como informática.

Deberá encargarse de:

-Constatar la existencia de toda la documentación requerida y enumerada

-Comprobar la coherencia de la documentación con los procedimientos, activosinventariados, etc.

5.2.2 NÚMERO DE PERSONAS REQUERIDAS POR TAREA

Se requieren al menos dos personas para la activación de claves de los dispositivoscriptográficos hardware de generación y almacenamiento de claves de Autoridad deCertificación. La modificación de los parámetros de configuración de la CA implica laautenticación por parte de dos personas autorizadas y con suficientes privilegios.

5.2.3 IDENTIFICACIÓN Y AUTENTICACIÓN PARA CADA ROL



Todos los usuarios fiables de CAEDICOM se identifican mediante técnicas deacceso basadas en usuario y password que pueden ser sustituidos por dispositivoshardware de identificación.

La autenticación se complementa con las correspondientes autorizaciones paraacceder a determinados activos de información o sistemas de CAEDICOM.

Se utilizan en la medida de lo posible sistemas de autenticación multifactor ymultipersona para acceso a los recursos críticos.

5.3 CONTROLES DE SEGURIDAD DE PERSONAL

La CAEDICOM tiene en cuenta, en cuanto a los controles de personal, los siguientesaspectos:

-Se mantiene confidencialidad de la información, poniendo los medios necesarios ymanteniendo una actitud adecuada en el desarrollo de sus funciones y, fuera delámbito laboral en aquello referente a la seguridad de las infraestructuras.

-Se es diligente y responsable en el tratamiento, mantenimiento y custodia de losactivos de la infraestructura identificados en la política, en los planes de seguridad oen este documento.

-No se revela información no pública fuera del ámbito de la infraestructura, ni seextraen soportes de información a niveles de seguridad inferiores.

-Se reporta al Responsable de Seguridad, lo más pronto posible, cualquier incidenteque se considere que afecta a la seguridad de la infraestructura, o limitar la calidaddel servicio.

-Se utilizan los activos de la infraestructura para las finalidades que les han sidoencomendadas.

-Se exigen manuales o guías de usuario de los sistemas que utiliza, que permitendesarrollar su función correctamente.

-Se exige documentación escrita que marque sus funciones y medidas de seguridada las que está sometido.

-El responsable de seguridad vela porque el punto anterior sea ejecutado,proveyendo a los responsables de área toda la información que fuera necesaria.

-No se instalan en ninguno de los sistemas de la infraestructura, software o hardwareque no sea expresamente autorizado por escrito por el responsable de sistemas.

-No se accede voluntariamente, ni se elimina o altera información no destinada a supersona o perfil profesional.

5.3.1 REQUERIMIENTOS DE ANTECEDENTES, CALIFICACIÓN, EXPERIENCIA, Y ACREDITACIÓN



La Autoridad de Certificación requiere que todo el personal que desarrolla tareas ensus instalaciones tenga la suficiente calificación y experiencia en entornos similares.

Todo el personal debe cumplir los requerimientos de seguridad de la organización ydeben poseer:

-Conocimientos y formación sobre entornos de certificación digital.

-Formación básica sobre seguridad en sistemas de información.

-Formación especifica para su puesto.

-Titulo académico o experiencia en la industria equivalente

Los roles de confianza deben estar libres de conflictos de intereses.

La calificación y la experiencia pueden suplirse mediante una formación yentrenamiento apropiados.

5.3.2 PROCEDIMIENTOS DE COMPROBACIÓN DE ANTECEDENTES

Mediante la comprobación de la información suministrada en la Hoja de Vida delpersonal y si resulta necesario solicitando referencias a terceros.

5.3.3 REQUERIMIENTOS DE FORMACIÓN

El personal de la Autoridad de Certificación está sujeto a un plan de formaciónespecífico para el desarrollo de su función dentro de la organización.

Dicho plan de formación incluye los siguientes aspectos:

1. Formación en los aspectos legales básicos relativos a la prestación de serviciosde certificación.

2. Formación en seguridad de los sistemas de información.

3. Servicios proporcionados por la Autoridad de Certificación.

4. Conceptos básicos sobre PKI.

5. Declaración de Prácticas de Certificación y las Políticas de Certificado pertinentes.

6. Gestión de incidentes.

5.3.4 REQUERIMIENTOS Y FRECUENCIA DE ACTUALIZACIÓN DE LA FORMACIÓN

Ante cambios tecnológicos del entorno, introducción de nuevas herramientas omodificación de procedimientos operativos, se llevará a cabo la formación adecuadapara el personal afectado.



Ante cambios en la Declaración de Prácticas de Certificación, Políticas deCertificado u otros documentos relevantes, se llevarán a cabo sesiones formativas.

5.3.5 FRECUENCIA Y SECUENCIA DE ROTACIÓN DE TAREAS

No se ha definido ningún plan de rotación en la asignación de sus tareas para elpersonal de la Autoridad de Certificación.

5.3.6 SANCIONES POR ACCIONES NO AUTORIZADAS

En el caso de ejecutar una acción no autorizada con respecto a la operación de laAutoridad de Certificación se tomarán medidas disciplinarias. Se consideraránacciones no autorizadas las que contravengan la Declaración de Prácticas deCertificación o las Políticas de Certificado pertinentes tanto de forma negligentecomo malintencionada.

Si se produce alguna infracción, la Autoridad de Certificación suspenderá el accesode las personas involucradas a todos los sistemas de información de la Autoridad deCertificación de forma inmediata al conocimiento del hecho.

Adicionalmente, en función de la gravedad de las infracciones, se aplicarán accionesdisciplinarias que contemplan la suspensión y el despido de la persona responsablede la acción dañosa.

5.3.7 REQUERIMIENTOS DE CONTRATACIÓN DE PERSONAL

Todo el personal de la Autoridad de Certificación está sujeto al deber de secretomediante la firma del acuerdo de confidencialidad al incorporarse a su puesto. Endicho acuerdo, además, se obliga a desarrollar sus tareas de acuerdo con estaDeclaración de Prácticas de Certificación, la Política de Seguridad de la Informaciónde la CAEDICOM y los procedimientos aprobados de la CAEDICOM.

5.3.8 DOCUMENTACIÓN PROPORCIONADA AL PERSONAL

La CAEDICOM suministra la documentación que estrictamente necesite su personalen cada momento, con el fin que sea suficientemente competente de acuerdo con loestablecido en la sección correspondiente de esta política.

5.3.9 CONTROLES PERIÓDICOS DE CUMPLIMIENTO

El control de que el personal posee los conocimientos necesarios se lleva a cabo alfinalizar las sesiones formativas y discrecionalmente, por parte del examinadorencargado de impartir estos cursos.

Anualmente, el Responsable de Seguridad llevará a cabo una revisión de laadecuación de las autorizaciones otorgadas a los efectivos privilegios concedidos alos empleados.



5.3.10 FINALIZACIÓN DE LOS CONTRATOS.

Requerimientos de contratación de personal

En caso de finalización de la relación laboral del personal que desarrolla susfunciones en la CAEDICOM, el Responsable de Seguridad procederá a llevar a cabolas acciones o comprobaciones que se detallan en los puntos siguientes, biendirectamente o dando instrucciones para ello al pntemplan la suspensión y eldespido de la persona responsable de la acción dañosa.

Requerimientos de contratación de personalersonal adecuado.

Acceso a ubicaciones de la organización

Se deberá suprimir los privilegios de acceso del individuo a las instalaciones de laorganización cuyo acceso sea restringido.

Acceso a los Sistemas de Información

Se deberán suprimir los privilegios de acceso del individuo a los Sistemas deInformación de la organización, con especial atención a los privilegios deadministración y a los de acceso remoto.

Acceso a la documentación

Supresión de acceso a toda información, a excepción de la considerada PÚBLICA.

Información al resto de la organización

Se deberá informar al resto de la organización claramente de la marcha de individuoy de su perdida de privilegios. De este modo se pretende minimizar la posibilidad deataques de “ingeniería social” por parte del mismo.

5.4 PROCEDIMIENTOS DE CONTROL DE SEGURIDAD

5.4.1 TIPOS DE EVENTOS REGISTRADOS

CAEDICOM registra todos los eventos relacionados con:

Intentos exitosos o fracasados de cambiar los parámetros de seguridad delsistema operativo.

Arranque y parada de aplicaciones.

Intentos exitosos o fracasados de inicio y fin de sesión.

Intentos exitosos o fracasados de crear, modificar o borrar cuentas del sistema.

Intentos exitosos o fracasados de crear, modificar o borrar usuarios del sistemaautorizados.



Intentos exitosos o fracasados de solicitar, generar, firmar, emitir o revocar clavesy certificados.

Intentos exitosos o fracasados de reactivaciones y renovaciones de certificados

Intentos exitosos o fracasados de generar, firmar o emitir una CRL.

Intentos exitosos o fracasados de crear, modificar o borrar información de lostitulares de certificados.

Intentos exitosos o fracasados de acceso a las instalaciones por parte depersonal autorizado

Backup, archivo y restauración.

Cambios en la configuración del sistema.

Actualizaciones de software y hardware.

Mantenimiento del sistema.

Cambios de personal

Compromiso de la seguridad de la llave privada de la entidad de certificación.

Cuando el sistema de seguridad de la entidad de certificación ha sido vulnerado.

Fallas en el sistema de la entidad de certificación que comprometan la prestacióndel servicio.

Pérdida de vigencia de los sistemas de cifrado por no ofrecer el nivel deseguridad contratado por el suscriptor.

Cualquier otro evento o incidente de seguridad de la información.

5.4.2 FRECUENCIA DE PROCESADO DE LOGS

Los registros de auditoría se examinan al menos una vez a la semana en búsquedade actividad sospechosa o no habitual. El procesamiento de los registros deauditoría consiste en una revisión de los registros que incluye la verificación queestos no han sido manipulados, una breve inspección de todas las entradas deregistro y una investigación más profunda de cualquier alerta o irregularidad en losregistros. Las acciones realizadas a partir de la revisión de auditoría también debenque estar documentadas.

5.4.3 PERIODO DE RETENCIÓN PARA LOS LOGS DE AUDITORÍA

CAEDICOM retendrá todos los registros de auditoría generados por el sistema porun periodo mínimo desde la fecha de su creación de cuatro (4) semanas para lospertenecientes a auditorías diarias, un (1) año para las mensuales y quince (15)años para los de auditorias anuales.



Destacar que los registros de auditorías anuales contienen todos los registrosgenerados al menos durante el último año, sin excepción, ya que las copias de losregistros se realizan siempre completas, nunca incrementales, y el procedimiento deconsolidación asegura que en todo momento se tiene un año de registros en lossistemas.

5.4.4 PROTECCIÓN DE LOS LOGS DE AUDITORÍA

Los archivos de registro, tanto manuales como electrónicos, se protegen de lecturas,modificaciones, borrados o cualquier otro tipo de manipulación no autorizada usandocontroles de acceso lógico y físico.

5.4.5 PROCEDIMIENTOS DE BACKUP DE LOS LOGS DE AUDITORÍA

Se generan copias de soporte completas de registro de auditoría diariamente,protegidas criptográficamente para evitar su manipulación.

5.4.6 SISTEMA DE RECOGIDA DE INFORMACIÓN DE AUDITORÍA (INTERNO VS EXTERNO)

El sistema de recolección de auditorías de los sistemas de información de laCAEDICOM es una combinación de procesos automáticos y manuales ejecutadospor los sistemas operativos, las aplicaciones de la CAEDICOM, y por el personal quelas opera.

5.4.7 NOTIFICACIÓN AL SUJETO CAUSA DEL EVENTO

No estipulado.

5.4.8 ANÁLISIS DE VULNERABILIDADES

Se establece la realización de, al menos, un análisis anual de vulnerabilidades y deseguridad perimetral. Es responsabilidad de los coordinadores de los equipos deanálisis el informar a la CAEDICOM, a través del Responsable de Seguridad, decualquier problema que impida la realización de las auditorias, o la entrega de ladocumentación resultante. Es responsabilidad de la CAEDICOM informar a losequipos auditores de la suspensión de los análisis.

Los análisis de seguridad implican el inicio de las tareas precisas para corregir lasvulnerabilidades detectadas y la emisión de un contra-informe por parte de laCAEDICOM.



5.5 ARCHIVO DE INFORMACIONES Y REGISTROS

La CAEDICOM garantiza que toda la información relativa a los certificados seguarda durante quince (15) años desde el inicio del procedimiento de registro.

5.5.1 TIPO DE INFORMACIONES Y EVENTOS REGISTRADOS

Las informaciones y eventos registrados son:

- Los registros de auditoría especificados en el punto 5.4 de esta Declaración dePrácticas de Certificación.

- Los soportes de backup de los servidores que componen la infraestructura deCAEDICOM incluyendo las copias de seguridad encriptadas de las claves de la CA.

- Documentación relativa al ciclo de vida de los certificados, entre la que seencuentra:

Contrato de certificación

Copia de la documentación de identificación aportada por el solicitante delcertificado

Ubicación de la Autoridad de Registro donde se emitió el certificado

Identidad del operador de Registro donde se emitió el certificado

Fecha de la última identificación cara a cara del suscriptor

- Acuerdos de confidencialidad

- Convenios suscritos por la CAEDICOM

- Autorizaciones de acceso a los Sistemas de Información (autorización de operadorde Punto de Registro de Usuario, entre otras).

5.5.2 PERIODO DE RETENCIÓN PARA EL ARCHIVO.

Toda la información y documentación relativa al ciclo de vida de los certificadosemitidos por CAEDICOM se conserva durante un periodo de quince (15) años.

5.5.3 PROTECCIÓN DEL ARCHIVO.

El acceso al archivo se encuentra restringido a personal autorizado.

Asimismo los eventos relativos a los certificados emitidos por CAEDICOM seencuentra protegida criptográficamente para evitar las manipulaciones en sucontenido.



5.5.4 PROCEDIMIENTOS DE BACKUP DEL ARCHIVO.

Se realizan dos copias diarias de los archivos que componen los archivos a retener.

Cada una de las copias se almacena en cajas fuertes ignífugas diferentes.

5.5.5 REQUERIMIENTOS PARA EL ESTAMPADO CRONOLÓGICO DE LOS REGISTROS.

Los sistemas de CAEDICOM realizan el registro del instante de tiempo en los que serealizan. El tiempo de los sistemas proviene de una fuente fiable de hora. Todos lossistemas de CAEDICOM sincronizan su instante de tiempo con esta fuente. Lasfuentes de tiempos utilizadas, basadas en el protocolo NTP (Network Time Protocol)se autocalibran por distintos caminos, utilizando como referencia la Hora Legal de laRepública de Colombia tomada directamente de los patrones de referencia delLaboratorio de Tiempo y Frecuencia del Instituto de Metrología.

5.5.6 SISTEMA DE RECOGIDA DE INFORMACIÓN DE AUDITORÍA (INTERNO VS EXTERNO).

El sistema de recogida de información es interno a la entidad CAEDICOM.

5.5.7 PROCEDIMIENTOS PARA OBTENER Y VERIFICAR INFORMACIÓN ARCHIVADA

Sólo el personal autorizado tiene acceso a los archivos físicos de soportes yarchivos informáticos, para llevar a cabo verificaciones de integridad u otras.

De forma automática se realizan comprobaciones de la integridad de los archivoselectrónicos (backups), en tiempo de su generación y tras copiarlo al soporte debackup y se crea una incidencia en el caso de errores o comportamientosimprevistos.

5.6 CAMBIO DE CLAVE DE LA AC

Los procedimientos para proporcionar, en caso de cambio de claves de una AC, lanueva clave pública de AC a los titulares y terceros de confianza de los certificadosde la misma son los mismos que para proporcionar la clave pública en vigor. Enconsecuencia, la nueva clave se publicará en el sitio webhttp://acedicom.edicomgroup.com .

Los procedimientos para proporcionar una nueva clave pública a los usuarios dedicha AC corresponden al procedimiento de renovación recogido en este documento.



5.7 CONTINUIDAD DE LOS SERVICIOS DECERTIFICACIÓN

CAEDICOM tiene establecido un Procedimiento de Gestión de Incidencias deseguridad conforme al estándar ISO 27001 destinado a la gestión de cualquierincidencia que afecte a la confidencialidad, disponibilidad, integridad de lainformación y a la continuidad de la prestación de los servicios.

En el caso de que ocurra algún evento que comprometa la prestación del servicioCAEDICOM tiene establecido y probado el plan de Plan de Continuidad yContingencia encaminado a garantizar la continuidad de los servicios decertificación.

Para el caso de una indisponibilidad de las instalaciones de la Autoridad deCertificación por un periodo superior a seis horas, se procederá a la activación delPlan de Recuperación de Desastres de la CAEDICOM incluido en el Plan deContinuidad.

El Plan de Recuperación de Desastres garantiza que los servicios identificadoscomo críticos por su requerimiento de disponibilidad, estén disponibles en el CPD decontinuidad en menos de 12 horas, tras la activación del Plan.

5.7.1 ALTERACIÓN DE LOS RECURSOS HARDWARE, SOFTWARE Y/O DATOS

Si los recursos hardware, software, y/o datos se alteran o son sospechosos de habersido alterados se detendrá el funcionamiento de los servicios de la CAEDICOMhasta el restablecimiento de un entorno seguro con la incorporación de nuevoscomponentes de eficiencia acreditable. De forma paralela se realizará una auditoríapara identificar la causa de la alteración y asegurar la no reproducción de la misma.

En el caso de verse afectados certificados emitidos, se notificará del hecho a lossuscriptores de los mismos y se procederá a su recertificación.

5.7.2 LA CLAVE PÚBLICA DE UN SUSCRIPTOR/ENTIDAD SE REVOCA

En el caso de la revocación del certificado de un suscriptor de CAEDICOM segenerará y publicará la correspondiente CRL, y se procederá a la generación,certificación y puesta en marcha de un nuevo suscriptor con la misma denominaciónque el eliminado y con un nuevo par de claves.

En el caso que la entidad afectada sea una CA, el certificado revocado de la entidadpermanecerá accesible en el repositorio de CAEDICOM con objeto de continuarpermitiendo la verificación de los certificados emitidos durante su periodo defuncionamiento.

Los suscriptores componentes de CAEDICOM dependientes de la entidad renovadaserán informados del hecho y conminados a solicitar su recertificación por la nuevainstancia de la entidad.



5.7.3 LA CLAVE DE UN SUSCRIPTOR/ENTIDAD SE COMPROMETE

En el caso de compromiso de la clave de un suscriptor o entidad se procederá a surevocación inmediata según lo expuesto en el punto anterior y se informará delhecho al resto de suscriptores o entidades que componen CAEDICOM dependienteso no del suscriptor o entidad afectado.

Los certificados firmados por entidades dependientes de la clave comprometida, enel periodo comprendido entre el compromiso de la clave y la revocación delcertificado correspondiente, serán a su vez revocados, informados sus suscriptores yrecertificados.

5.7.4 INSTALACIÓN DE SEGURIDAD DESPUÉS DE UN DESASTRE NATURAL U OTRO TIPO DE DESASTRE

En caso de desastre natural que afecte a las instalaciones del Centro de Proceso deDatos principal de la CAEDICOM y, por tanto, a los servicios que desde éste seprestan, se activará el Plan de Recuperación de Desastres, garantizándose que losservicios identificados como críticos por su requerimiento de disponibilidad, esténdisponibles en el CPD de continuidad en menos de 12 horas, tras la activación delPlan, y el resto de servicios imprescindibles dentro de plazos razonables yadecuados a su nivel de necesidad y criticidad.

5.8 CESE DE UNA CA

Las causas que pueden producir el cese de la actividad de la Autoridad deCertificación son:

-Compromiso de la clave privada de la CA

-Decisión política por parte de EDICOM

CAEDICOM puede cesar en el ejercicio de actividades, siempre y cuando hayarecibido autorización por parte de la Superintendencia de Industria y Comercio.

En caso de cese de su actividad como Entidad de Certificación Digital, CAEDICOMrealizará, con una antelación mínima de dos meses, las siguientes acciones:

-Informar a todos los suscriptores de sus certificados y extinguir la vigencia de losmismos revocándolos.

-Informar a todas las terceras partes con las que tenga que haya firmado unconvenio de certificación.

-Comunicar a la ONAC el cese de su actividad y el destino que va a dar a loscertificados, así como cualquier otra circunstancia relevante relacionada con el cesede actividad.



-Remitir a la ONAC toda la información relativa a los certificados digitales revocadosasí como información de eventos y logs para que éste se haga cargo de su custodiadurante el resto del periodo comprometido.

-Revocar las autorizaciones para poder ejecutar el proceso de emisión decertificados a todo subcontratado que actúe en nombre o para la CA.

-Destrucción de las claves privadas de la CA

-La CAEDICOM no contempla la transferencia de la gestión de los certificados quetodavía pudieran estar vigentes en el momento del cese de la CA, por lo queextinguirá la vigencia de todos los certificados.



6 CONTROLES DE SEGURIDAD TÉCNICA

La CAEDICOM utiliza sistemas y productos fiables, que están protegidos contra todaalteración y que garantizan la seguridad técnica y criptográfica de los procesos decertificación a los que sirven de soporte.

6.1 GENERACIÓN E INSTALACIÓN DEL PAR DE CLAVES

6.1.1 GENERACIÓN DEL PAR DE CLAVES

Los pares de claves para los componentes internos de la PKI CAEDICOM,concretamente AC Raíz y AC Subordinada, se generan en módulos de hardwarecriptográficos HSM.

Los pares de claves para entidades finales se generan en función de lo estipuladoen la Política de Certificado aplicable.

6.1.2 ENTREGA DE LA CLAVE PRIVADA A LA ENTIDAD

En los casos en los que la generación de las claves no se realice mediante mediosbajo control de la propia entidad final será la Política de Certificado correspondientela que especifique el procedimiento a emplear para realizar la entrega de la claveprivada a las entidades finales.

6.1.3 ENTREGA DE LA CLAVE PUBLICA AL EMISOR DEL CERTIFICADO

Las claves públicas generadas por medios bajo el control de las entidades finales seenvían a CAEDICOM como parte de una solicitud de certificación en formatoPKCS#10, firmado digitalmente con la clave privada correspondiente a la clavepública que se solicita certificar.

6.1.4 ENTREGA DE LA CLAVE PÚBLICA DE LA CA A LOS USUARIOS

Las claves públicas de todas las CA pertenecientes a la jerarquía de confianza deCAEDICOM se pueden descargar del sitio web de CAEDICOMhttp://acedicom.edicomgroup.com.

Se establecen medidas adicionales para confiar en el certificado auto firmado, comola comprobación de la huella pública del certificado (sha).

6.1.5 TAMAÑO DE LAS CLAVES

Las claves de la CAEDICOM Root y subordinada son claves RSA de 4096 bits delongitud.

Declaración de Prácticas de Certificación (DPC) de la CAEDICOM COLOMBIA | 6 CONTROLES DESEGURIDAD TÉCNICA | 55


El tamaño de las claves para cada tipo de certificado emitido por CAEDICOM seestablece en la Política de Certificado que le es de aplicación.

6.1.6 PARÁMETROS DE GENERACIÓN DE LA CLAVE PÚBLICA

Las claves de la CAEDICOM Root y subdordinada se generan utilizando losparámetros definidos en la suite criptográfica especificada en el documento de TS102 176-1 “Electronic Signatures and Infrastructures (ESI); Algorithms andParameters for Secure Electronic Signature”.

Los algoritmos y parámetros de firma utilizados por las Autoridades de CertificaciónCAEDICOM para la firma de certificados digitales y listas de certificados revocadosson los siguientes:

Tipo de clave=RSA 4096bit

Hash function = sha256

Los parámetros de generación de claves para cada tipo de certificado emitido porCAEDICOM vienen definidos por la Política de Certificado que le sea de aplicación.

En ambos casos las claves públicas están codificadas según RFC 3280 y PKCS#1.

6.1.7 COMPROBACIÓN DE LA CALIDAD DE LOS PARÁMETROS

Los procedimientos y medios de comprobación de la calidad de los parámetros degeneración de claves para cada tipo de certificado emitido por CAEDICOM vienendefinidos por la Política de Certificado que le sea de aplicación y en concreto deacuerdo con el informe especial del TS 102 176-1, que indica la calidad de losalgoritmos de firma digital.

6.1.8 HARDWARE/SOFTWARE DE GENERACIÓN DE CLAVES

Los pares de claves de las Entidades de Certificación están generados utilizandohardware criptográfico HSM. El dispositivo HSM utilizado en la CAEDICOM es:

THALES NSHIELD CONNECT 500 con certificación FIPS 140-2 LEVEL 3.

Los dispositivos hardware o software a utilizar en la generación de claves para cadatipo de certificado emitido por CAEDICOM viene definido por la Política deCertificado que le sea de aplicación.

6.1.9 FINES DEL USO DE LA CLAVE



Los fines del uso de la clave para cada tipo de certificado emitido por CAEDICOMvienen definidos por la Política de Certificado que le sea de aplicación.

Todos los certificados emitidos por CAEDICOM contienen las extensiones KEYUSAGE y EXTENDED KEY USAGE definidas por el estándar X.509 v3 para ladefinición y limitación de tales fines.

Ha de tenerse en cuenta que la eficacia de las limitaciones basadas en extensionesde los certificados depende, en ocasiones, de la operatividad de aplicacionesinformáticas que no han sido fabricadas ni controladas por CAEDICOM.

6.2 PROTECCIÓN DE LA CLAVE PRIVADA

6.2.1 ESTÁNDARES PARA LOS MÓDULOS CRIPTOGRÁFICOS

Los módulos utilizados para la creación de claves utilizadas por CA Raíz ySubordinada de CAEDICOM son módulos criptográficos HSM con certificación FIPS140-2 L3.

6.2.2 CONTROL MULTIPERSONA DE LA CLAVE PRIVADA

La clave privada, tanto de la CA Raíz como de AC Subordinada, se encuentra bajocontrol multipersona. Ésta se activa mediante la inicialización del software de CA pormedio de una combinación de operadores de la CA, custodios de las claves deacceso al HSM y administradores de sistemas.

Éste es el único método de activación de dicha clave privada.

Control multipersona: control por más de una persona, normalmente por unsubconjunto ‘k’ de un total de ‘n’ personas. De esta forma, se garantiza que nadietenga el control de forma individual de las actuaciones críticas a la vez que se facilitala disponibilidad de las personas necesarias.

6.2.3 CUSTODIA DE LA CLAVE PRIVADA

Las claves privadas de las Autoridades de Certificación que componen CAEDICOMse encuentran alojadas en dispositivos de hardware criptográfico HSM.

Aunque no está previsto su uso general, se pueden custodiar claves privadas defirma de los suscriptores. En este caso dichas claves se alojarán en dispositivos dehardware criptográfico HSM y las claves de activación de las mismas estarán bajo elcontrol exclusivo de los firmantes.

6.2.4 COPIA DE SEGURIDAD DE LA CLAVE PRIVADA

Las copias de backup de las claves privadas de componentes de CAEDICOM sealmacenan cifradas en archivos seguros ignífugos. Estas copias de seguridad seguardarán por un periodo mínimo de 15 años.



6.2.5 ARCHIVO DE LA CLAVE PRIVADA.

Las copias de backup de las claves privadas de algunos componentes de laCAEDICOM se custodiarán cifradas en archivos seguros ignífugos.

6.2.6 INTRODUCCIÓN DE LA CLAVE PRIVADA EN EL MÓDULO CRIPTOGRÁFICO.

Las claves privadas se crean en el módulo criptográfico en el momento de lacreación de cada una de las entidades de CAEDICOM que hacen uso de dichosmódulos.

6.2.7 MÉTODO DE ACTIVACIÓN DE LA CLAVE PRIVADA.

La clave privada tanto de la CAEDICOM Root como de la subordinada se activamediante la inicialización del software de CA y la activación del hardwarecriptográfico que contiene las claves.

6.2.8 MÉTODO DE DESACTIVACIÓN DE LA CLAVE PRIVADA

Un Administrador puede proceder a la desactivación de la clave de las Autoridadesde Certificación de CAEDICOM mediante la detención del software de CA.

6.2.9 MÉTODO DE DESTRUCCIÓN DE LA CLAVE PRIVADA

Las claves privadas son destruidas en una forma que impida su robo, modificación,divulgación no autorizada o uso no autorizado.

No se contempla la destrucción de HSM, debido a su alto coste. En su lugar seprocederá a las tareas de Inicialización del mismo. Durante el paso del estado“operacional” al de “inicialización” se produce el borrado seguro de las claves en élcontenidas.

Se dispone de un procedimiento operativo de destrucción de las claves de la CA .

En términos generales la destrucción siempre debe ser precedida por unarevocación del certificado asociado a la clave, si éste estuviese todavía vigente.

6.2.10 CLASIFICACIÓN DE LOS MÓDULOS CRIPTOGRÁFICOS

Los módulos utilizados para la creación de claves utilizadas por CAEDICOM Root ysubordinada son módulos criptográficos HSM con certificación FIPS 140-2 L3. Lossistemas software que se emplean son conformes a las normas Common CriteriaEAL4+ y CWA 14167 en lo que respecta a los módulos más críticos.



6.3 OTROS ASPECTOS DE LA GESTIÓN DEL PAR DECLAVES.

6.3.1 ARCHIVO DE LA CLAVE PÚBLICA

La Infraestructura de Clave Pública de CAEDICOM en su vocación de permanenciamantendrá sus archivos por un periodo mínimo de quince años (15).

6.3.2 PERIODO DE USO PARA LAS CLAVES PÚBLICAS Y PRIVADAS

El certificado de CAEDICOM Root tiene una validez de veinte (20) años. El de lasubCA CAEDICOM Colombia de diez (10) años.

El periodo de validez de los certificados de entidades finales vendrá establecido porla Política de Certificado aplicable en cada caso, y en ningún caso superará loscuatro (4) años de validez máxima.

La caducidad producirá automáticamente la invalidación de los Certificados,originando el cese permanente de su operatividad conforme a los usos que le sonpropios y, en consecuencia, de la prestación de los servicios de certificación.

6.4 DATOS DE ACTIVACIÓN

6.4.1 GENERACIÓN Y ACTIVACIÓN DE LOS DATOS DE ACTIVACIÓN

Para la instauración de una Autoridad de Certificación del dominio de CAEDICOMse deben crear tarjetas criptográficas, que servirán para actividades defuncionamiento y recuperación. La AC opera con varios tipos de roles, cada uno consus correspondientes tarjetas criptográficas donde se almacenan los datos deactivación.

6.4.2 PROTECCIÓN DE LOS DATOS DE ACTIVACIÓN

Solo el personal autorizado conoce los PINs y contraseñas para acceder a los datosde activación.

6.4.3 OTROS ASPECTOS DE LOS DATOS DE ACTIVACIÓN

No estipulado.

6.5 CONTROLES DE SEGURIDAD INFORMÁTICA

6.5.1 REQUISITOS TÉCNICOS ESPECÍFICOS DE SEGURIDAD INFORMÁTICA



Se garantiza que el acceso a los sistemas está limitado a individuos debidamenteautorizados. En particular:

-La CAEDICOM garantiza una administración efectiva del nivel de acceso de losusuarios (operadores, administradores, así como de cualquier usuario con accesodirecto al sistema) para mantener la seguridad del sistema, incluyendo la gestión decuentas de usuario, auditoría y modificaciones o denegaciones de acceso oportunas.

-La CAEDICOM garantiza que el acceso a los sistemas de información yaplicaciones se restringe de acuerdo a lo establecido en la política de control deacceso, así como que los sistemas proporcionan los controles de seguridadsuficientes para implementar la segregación de funciones identificada en lasprácticas de la Entidad, incluyendo la separación de funciones de administración delos sistemas de seguridad y de los operadores. En concreto, el uso de programas deutilidades del sistema esta restringido y estrechamente controlado.

-El personal de la Entidad está identificado y reconocido antes de utilizaraplicaciones críticas relacionadas con el ciclo de vida del certificado.

-El personal de la Entidad es responsable y tiene que poder justificar susactividades, por ejemplo mediante un archivo de acontecimientos.

-Tiene que evitarse la posibilidad de revelación de datos sensibles mediante lareutilización de objetos de almacenaje (por ejemplo archivos borrados) que quedenaccesibles a usuarios no autorizados.

-Los sistemas de seguridad y monitorización permiten una rápida detección, registroy actuación ante intentos de acceso irregulares o no autorizados a sus recursos (porejemplo, mediante un sistema de detección de intrusiones, monitorización y alarma).

-El acceso a los depósitos públicos de la información de la CAEDICOM (por ejemplo,certificados o información de estado de revocación) cuenta con un control deaccesos para modificaciones o borrado de datos.

6.5.2 EVALUACIÓN DEL NIVEL DE SEGURIDAD INFORMÁTICA

Las aplicaciones de CA son fiables, de acuerdo con la especificación técnica CENCWA 14167-1 al menos en sus módulos más críticos.

6.6 CONTROLES DE SEGURIDAD DEL CICLO DE VIDA.

6.6.1 CONTROLES DE DESARROLLO DE SISTEMAS

Se realiza una análisis de requisitos de seguridad durante las fases de diseño yespecificación de requisitos de cualquier componente utilizada en las aplicacionesde Autoridad (técnica) de certificación y de Autoridad (técnica) de Registro, paragarantizar que los sistemas son seguros.



Se utilizan procedimientos de control de cambios para las nuevas versiones,actualizaciones y parches de emergencia, de dichos componentes.

6.6.2 CONTROLES DE GESTIÓN DE SEGURIDAD

La CAEDICOM mantiene un inventario de todos los activos informáticos y realizaráuna clasificación de los mismos de acuerdo con sus necesidades de protección,coherente con el análisis de riesgos efectuado.

La configuración de los sistemas se audita de forma periódica, de acuerdo con loestablecido en la sección correspondiente de este documento.

Los sistemas de la CAEDICOM se protegen contra virus y software no autorizado ymalintencionado.

Se realiza un seguimiento de las necesidades de capacidad, y se planificaránprocedimientos para garantizar suficiente disponibilidad electrónica y de almacenajepara los activos informativos.

6.7 CONTROLES DE SEGURIDAD DE LA RED

Se garantiza que el acceso a las diferentes redes de la CAEDICOM es limitado aindividuos debidamente autorizados. En particular:

-Se implementan controles (como por ejemplo cortafuegos) para proteger la redinterna de dominios externos accesibles por terceras partes. Los cortafuegos seconfiguran de forma que se impidan accesos y protocolos que no sean necesariospara la operación de la CAEDICOM.

-Los datos sensibles se protegen cuando se intercambian a través de redes noseguras (incluyendo los datos de registro del suscriptor).

-Se garantiza que los componentes locales de red (como direccionadores) seencuentran ubicados en entornos seguros, así como la auditoría periódica de susconfiguraciones.

6.8 CONTROLES DE INGENIERÍA DE LOS MÓDULOSCRIPTOGRÁFICOS

CAEDICOM utiliza módulos criptográficos hardware y software disponiblescomercialmente desarrollados por terceros.



7 PERFILES DE CERTIFICADOS Y LISTAS DECERTIFICADOS REVOCADOS

7.1 PERFIL DE CERTIFICADO

Los certificados emitidos por el sistema de la CAEDICOM serán conformes con lassiguientes normas:

• RFC 3280: Internet X.509 Public Key Infrastructure - Certificate and CRL Profile,April 2002

• ITU-T Recommendation X.509 (2005): Information Technology – Open SystemsInterconnection - The Directory: Authentication Framework

• ETSI EN 319 412-5 V1.1.1 (2013-01): Extension for Qualified Certificate Profile

• RFC 3739: Internet X.509 Public Key Infrastructure – Qualified Certificate Profile,March 2004 (prevaleciendo en caso de conflicto la ETSI EN 319 )

7.1.1 NÚMERO DE VERSIÓN

CAEDICOM soporta y utiliza certificados X.509 versión 3 (X.509 v3) X.509 es unestándar desarrollado por la Unión Internacional de Telecomunicaciones(organización internacional de las Naciones Unidas para coordinación de serviciosde redes de telecomunicaciones entre Gobiernos y empresas) para lasInfraestructuras de Clave Pública y los Certificados Digitales.

7.1.2 EXTENSIONES DEL CERTIFICADO

El perfil de cada certificado se detalla en cada una de las políticas correspondientes.

7.1.3 IDENTIFICADORES DE OBJETO (OID) DE LOS ALGORITMOS

Identificador de Objeto (OID) de los algoritmos Criptográficos:

-SHA256withRSAEncryption (1.2.840.113549.1.1.11)

7.1.4 FORMATOS DE NOMBRES

Los certificados emitidos por CAEDICOM contienen el distinguished name X.500 delemisor y el sujeto titular del certificado en los campos issuer name y subject namerespectivamente.

7.1.5 RESTRICCIONES DE LOS NOMBRES

Declaración de Prácticas de Certificación (DPC) de la CAEDICOM COLOMBIA | 7 PERFILES DECERTIFICADOS Y LISTAS DE CERTIFICADOS REVOCADOS | 62


Los nombres contenidos en los certificados están restringidos a distinguished namesX.500, únicos y no ambiguos para los certificados cualificados.

7.1.6 IDENTIFICADOR DE OBJETO (OID) DE LA POLÍTICA DE CERTIFICADO

El identificador de objeto definido por CAEDICOM para identificar la presentepráctica de certificación es el siguiente: 1.3.6.1.4.1.30051.2.3.1.2

7.1.7 USO DE LA EXTENSIÓN “POLICY CONSTRAINTS”

No estipulado

7.1.8 SINTAXIS Y SEMÁNTICA DE LOS CUALIFICADORES DE POLÍTICA

No estipulado

7.1.9 TRATAMIENTO SEMÁNTICO PARA LA EXTENSIÓN CRÍTICA “CERTIFICATE POLICY”

La extensión “Certificate Policy” identifica la política que define las prácticas queCAEDICOM asocia explícitamente con el certificado. Adicionalmente la extensiónpuede contener un calificador de la política.

7.2 Perfil de CRL


El formato de las CRLs utilizadas en la presente política es el especificado en laversión 2 (X509 v2).

7.2.2 CRL Y EXTENSIONES

La presente Declaración de Prácticas de Certificación soporta y utiliza CRLsconformes al estándar X.509.

7.3 LISTAS DE CERTIFICADOS REVOCADOS

7.3.1 LIMITE TEMPORAL DE LOS CERTIFICADOS EN LAS CRLS

Los números de serie de los certificados revocados aparecerán en las CRL hastaque alcancen su fecha de expiración.



7.4 PERFIL DE OCSP

7.4.1 PERFIL DEL CERTIFICADO OCSP RESPONDER

El certificado del OCSP responder podrá ser el propio de la CAEDICOM o se podrágenerar uno específico para dicho servicio. En este último caso, los certificados deOCSP responder serán emitidos por la ACEDICOM subordinada y serán conformescon las siguientes normas:

RFC 3280: Internet X.509 Public Key Infrastructure - Certificate and CRL Profile,April 2002

ITU-T Recommendation X.509 (2005): Information Technology – Open SystemsInterconnection - The Directory: Authentication Framework

IETF RFC 2560 Online Certificate Status Protocol – OCSP

El periodo de validez de los mismos será no superior a 2 años. Tal y como contemplala RFC 2560, la AC emisora incluirá en el certificado de OCSP responder laextensión “idpkix-ocsp-nocheck” para indicar que los clientes OCSP deben confiar enel prestador de servicios de validación durante el periodo de vida del certificadoasociado. No obstante, la AC no descarta en un futuro incluir en la extensión AIA delos certificados de OCSP responder información acerca de mecanismos adicionalespara comprobar la validez de dichos certificados.


Los certificados de OCSP Responder utilizarán el estándar X.509 versión 3 (X.509v3)

7.4.3 FORMATOS DE NOMBRES

Los certificados de OCSP Responder contendrán el distinguished name X.500 delemisor y del titular del certificado en los campos issuer name y subject namerespectivamente.

Los nombres contenidos en los certificados están restringidos a ‘DistinguishedNames’ X.500, que son únicos y no ambiguos.

El atributo “C” (countryName) se codificará de acuerdo a “ISO 3166-1-alpha-2 code

elements”, en PrintableString, el resto de atributos se codificarán en UTF8:

7.4.4 IDENTIFICADOR DE OBJETO (OID) DE LA POLÍTICA DE CERTIFICADO

No estipulado

7.4.5 EXTENSIONES Y CAMPOS DEL CERTIFICADO



El perfil del certificado del OCSP responder que emite la PKI CAEDICOM puede serde 2 tipos:

•Caso de certificado OCSP Responder emitido específicamente para este servicio:

CAMPO CONTENIDO CRÍTICA para

extensiones

Campos de X509v1

1. Versión V3

2. Serial Number Número único asignado por la CA

3. Signature Algorithm SHA256withRSAEncryption

4. Issuer Distinguished

Name

CN = CAEDICOM Colombia

SERIALNUMBER = NIT900680995-4

O=EDICOM

L = Calle 26 #59-51 Oficina 308 Torre Argos -Ciudad Empresarial Sarmiento Angulo - Bogotá

C = CO

[email protected]

5.Validez 2 años

6. Subject CN = CAEDICOM Colombia OCSP

SERIALNUMBER = NIT900680995-4

O=EDICOM

L = Calle 26 #59-51 Oficina 308 Torre Argos -Ciudad Empresarial Sarmiento Angulo - Bogotá

C = CO

[email protected]

7. Subject Public Key Info Algoritmo: RSA Encryption

Longitud clave: 2048 bits

Extensiones de X509v3

1. Subject Key Identifier Derivada de utilizar la función de hash SHA-1

sobre la clave pública del sujeto.

NO

2. Authority Key

Identifier

Derivada de utilizar la función de hash SHA-1

sobre la clave pública de la CA emisora.

NO



3. KeyUsage DigitalSignature SI

4.extKeyUsage OCSPSigning

14. OCSPNoCheck Valor NULL como contempla la norma NO

•Caso de firmas las peticiones OCSP con el certificado de la propia Autoridad decertificación subordinada: mirar perfil de certificado del apartado 1.3.1

7.4.6 FORMATO PETICIONES OCSP

Se soporta la extensión Nonce (id-pkix-ocsp-nonce) tal y como contempla la normapara evitar “replay attacks”.

7.4.7 FORMATO DE LAS RESPUESTAS

El OCSP responder del servicio de validación es capaz, al menos, de generarrespuestas de tipo id-pkix-ocsp-basic.

Respecto al estado de los certificados deberá responder como:

“Revoked”, para aquellos certificados emitidos por las CA del dominio decertificación de la CAEDICOM y que consten en las CRLs

“Good”, para aquellos certificados emitidos por las CA del dominio de certificaciónde la CAEDICOM y que no consten en las CRLs. El estado “good” es simplementeuna respuesta “positiva” a la petición OCSP, indica que el certificado no estárevocado pero no implica necesariamente que el certificado fue emitido alguna vez oque se encuentra dentro del periodo de validez.

“Unknown” si la petición corresponde a una CA emisora desconocida

Respecto a la semántica de los campos thisUpdate, nextupdate y producedAt.

“producedAt” deberá contener el instante de tiempo en el que el OCSP respondergenera y firma la respuesta

“thisUpdate”, debe indicar el momento en el que se sabe que el estado indicado enla respuesta es correcto. En el caso de certificados revocados deberá contener elcampo “thisUpdate” de la CRL que se haya utilizado. En el resto de casos se utilizarála fecha local.



“nextUpdate”, debe indicar el instante de tiempo en el que se dispondrá de nuevainformación de revocación. En el caso de certificados revocados deberá contener elcampo “nextUpdate” de la CRL que se ha utilizado, salvo cuando la fecha de“nextUpdate” sea anterior a la fecha local. En el resto de casos no se establecerá elcampo nextUpdate, lo que es equivalente según RFC2560 a indicar que se puededisponer de nueva información de revocación en cualquier momento, con lo que esresponsabilidad del cliente volver a consultar cuando lo estime oportuno.



8 AUDITORÍA DE CONFORMIDAD

8.1 FRECUENCIA DE LOS CONTROLES DECONFORMIDAD PARA CADA ENTIDAD

Se llevará a cabo una auditoría sobre CAEDICOM, al menos una vez al año, paragarantizar la adecuación de su funcionamiento y operativa con las disposicionesincluidas en esta DPC.

Se llevarán a cabo otras auditorías técnicas y de seguridad, entre las que se incluyeuna auditoría de cumplimiento de la legislación de protección de datos de carácterpersonal.

8.2 IDENTIFICACION/CUALIFICACIÓN DEL AUDITOR

El auditor será seleccionado en el momento de la realización de cada auditoría.

Si la CAEDICOM dispone de un departamento de auditoría interna, éste puedeencargarse de realizar la auditoría de conformidad.

En el caso de no poseer este departamento, la CAEDICOM puede acudir a unauditor independiente externo, el cual tiene que demostrar experiencia en seguridadinformática, en seguridad de Sistemas de Información y/o en auditorías deconformidad de Autoridades de Certificación y los elementos relacionados.

8.3 RELACION ENTRE EL AUDITOR Y LA ENTIDADAUDITADA

Al margen de la función de auditoría, el auditor y la parte auditada (CAEDICOM) nodeberán tener ninguna relación, actual o planificada, financiera, legal, o de cualquierotra clase que pueda derivar en un conflicto de intereses.

En cumplimiento de lo establecido en la normativa vigente en nuestro ordenamientosobre protección de datos de carácter personal, y habida cuenta de que para elcumplimiento, por parte del auditor, de los servicios regulados en el contrato serápreciso acceder a los datos de carácter personal de los archivos titularidad de laCAEDICOM, el auditor tendrá la consideración de Encargado de Tratamiento, envirtud de lo previsto en la legislación de protección de datos vigente.

8.4 ASPECTOS CUBIERTOS POR EL CONTROL DECONFORMIDAD

La auditoría determinará la conformidad de los servicios de CAEDICOM con estaDPC y las PC’s aplicables. También determinará los riesgos del no cumplimiento dela adecuación con la operativa definida por esos documentos.

Declaración de Prácticas de Certificación (DPC) de la CAEDICOM COLOMBIA | 8 AUDITORÍA DECONFORMIDAD | 68


Los aspectos cubiertos por una auditoría incluirá, pero no estará limitada a:

- Política de seguridad.

- Seguridad física

- Evaluación tecnológica

- Administración de los servicios de la CA

- DPC y PC’s vigentes

8.5 ACCIONES A TOMAR COMO RESULTADO DE UNADEFICIENCIA.

Una vez recibido el informe de la auditoría de cumplimiento llevada a término, laCAEDICOM discute, con la entidad que ha ejecutado la auditoría las deficienciasencontradas y desarrolla y ejecuta un plan correctivo que soluciona dichasdeficiencias.

Si CAEDICOM auditada es incapaz de desarrollar y/o ejecutar dicho plan o si lasdeficiencias encontradas suponen una amenaza inmediata para la seguridad ointegridad del sistema tiene que realizarse una de las siguientes acciones:

-Revocar la clave de la CAEDICOM, de la forma como se describe en las seccionescorrespondientes de esta política.

-Finalizar la prestación del servicio de la CAEDICOM, de la forma como se describeen la sección correspondiente de esta política.

8.6 COMUNICACIÓN DE RESULTADOS

El auditor comunicará los resultados de la auditoría al Director Técnico de EDICOM,en tanto que responsable máximo de la CAEDICOM, al Responsable de Seguridadde CAEDICOM, así como a los responsables de las distintas áreas en las que sedetecten no conformidades.

Declaración de Prácticas de Certificación (DPC) de la CAEDICOM COLOMBIA | 8 AUDITORÍA DECONFORMIDAD | 69


9 REQUISITOS COMERCIALES Y LEGALES

9.1 TARIFAS Y MODELOS DE CONTRATO

9.1.1 TARIFAS DE EMISIÓN DE CERTIFICADO O RENOVACIÓN

Los modelos de contrato y las tarifas de emisión y revocación de cada certificado seespecifican en el repositorio público de la CAEDICOM:http://acedicom.edicomgroup.com y en cada política de certificado.

9.1.2 TARIFAS DE ACCESO A LOS CERTIFICADOS

El acceso a los certificados emitidos, dada su naturaleza publica, es libre y gratuito ypor tanto no es de aplicación ninguna tarifa sobre los mismos.

9.1.3 TARIFAS DE ACCESO A LA INFORMACIÓN DE ESTADO O REVOCACIÓN

El acceso a la información de estado o revocación de los certificados basado enCRLs es libre y gratuito y por tanto no se le aplica ninguna tarificación. El acceso alservicio OCSP responder, puede tarifarse a criterio de CAEDICOM. En su caso, lastarifas de este servicio se publicarán en el repositorio público de la CAEDICOM:http://acedicom.edicomgroup.com

9.1.4 TARIFAS DE OTROS SERVICIOS COMO INFORMACIÓN DE POLÍTICAS

No se aplicará ninguna tarifa por el servicio de información sobre esta DPC ni lasPolíticas de Certificado administradas por CAEDICOM ni por ningún otro servicioadicional distinto a los “Servicios de firma digital” del que se tenga conocimiento enel momento de la redacción del presente documento.

Esta disposición podrá ser modificada por la Política de Certificado aplicable en cadacaso.

9.1.5 POLÍTICA DE REINTEGROS

Sin estipulación adicional.

9.2 CAPACIDAD FINANCIERA

9.2.1 INDEMNIZACIÓN A LOS TERCEROS QUE CONFÍAN EN LOS CERTIFICADOS EMITIDOS POR LA CAEDICOM.

Declaración de Prácticas de Certificación (DPC) de la CAEDICOM COLOMBIA | 9 REQUISITOSCOMERCIALES Y LEGALES | 70


La CAEDICOM, en su actividad como Entidad de Certificación Digital dispone derecursos económicos suficientes para afrontar el riesgo de la responsabilidad pordaños y perjuicios ante los usuarios de sus servicios y a terceros, no obstante suresponsabilidad en el ejercicio de la actividad de PSC queda garantizada medianteuna Póliza de Responsabilidad Civil con una cobertura 7500 salarios mínimos.

9.2.2 RELACIONES FIDUCIARIAS

CAEDICOM no se desempeña como agente fiduciario ni representante en formaalguna de suscriptores ni de terceros que confían en los certificados emitidos por laCAEDICOM.

9.2.3 PROCESOS ADMINISTRATIVOS

CAEDICOM garantiza la realización de auditorías de los procesos y procedimientosestablecidos de manera regular. Estas auditorías se llevarán a cabo tanto de manerainterna como externa.

9.3 POLÍTICA DE CONFIDENCIALIDAD

9.3.1 INFORMACIÓN CONFIDENCIAL.

Se declara expresamente como información confidencial, que no podrá serdivulgada a terceros, excepto en aquellos supuestos previstos legalmente:

Las claves privadas de las entidades que componen CAEDICOM.

Las claves privadas de sujetos titulares de las que CAEDICOM mantenga encustodia.

Toda información relativa a las operaciones que lleve a cabo CAEDICOM.

Toda información relativa a los parámetros de seguridad, control y procedimientosde auditoría.

Toda la información de carácter personal proporcionada a CAEDICOM durante elproceso de registro de los suscriptores de certificados, con la salvedad de loespecificado por la Política de Certificado aplicable y el contrato de certificación.

La información de negocio suministrada por sus proveedores y otras personas conlas que la CAEDICOM tiene el deber de guardar secreto establecida legal oconvencionalmente.

Planes de continuidad de negocio y de emergencia.

Registros de transacciones, incluyendo los registros completos y los registros deauditoría de las transacciones.

Toda la información clasificada como “CONFIDENCIAL” o “RESTRINGIDA”



9.3.2 INFORMACIÓN NO CONFIDENCIAL

CAEDICOM considera información de acceso público:

La contenida en la Declaración de Prácticas de Certificación aprobada por laCAEDICOM.

La contenida en las diferentes Políticas de Certificado aprobadas por laCAEDICOM.

Los certificados emitidos así como las informaciones contenidas en éstos.

La lista de certificados revocados (CRL)

Toda aquella información que sea calificada como "PÚBLICA".

La DPC y las PC’s de la CAEDICOM no incluirán información calificada comoconfidencial en el punto 9.3.1 del presente documento.

Se permite el acceso a la información no considerada confidencial, sin perjuicio deque se establezcan por la CAEDICOM los controles de seguridad pertinentes con elfin de proteger la autenticidad e integridad de los documentos que albergan lainformación de acceso público e impedir así que personas no autorizadas puedanañadir, modificar o suprimir contenidos.

9.3.3 DIVULGACIÓN DE INFORMACIÓN DE REVOCACIÓN DE CERTIFICADOS

La información relativa a la revocación de certificados se proporciona vía CRL yOCSP.

9.4 PROTECCIÓN DE DATOS PERSONALES

La CAEDICOM dispone de una Política de Protección de Datos Personales,publicada en la web de CAEDICOM, mediante la que se informa sobre la política deprotección de datos de carácter personal de la CAEDICOM, de acuerdo a lalegislación vigente.

9.4.1 PLAN DE PROTECCIÓN DE DATOS PERSONALES.

CAEDICOM ha desarrollado una política de confidencialidad para la protección delos datos personales. La Entidad de Certificación no divulga ni cede datospersonales, excepto en los casos legalmente previstos.

La CAEDICOM dispone de los procedimientos en este documento, que aplica en laprestación de sus servicios, en el que, en cumplimiento de los requisitosestablecidos por las políticas de certificados que gestiona, se detallan los requisitosy obligaciones en relación con la obtención y gestión de los datos personales queobtenga.



9.4.2 PROCEDIMIENTOS DE PROTECCIÓN DE CONFIDENCIALIDAD DE LA INFORMACIÓN.

También se han tomado medidas especiales de seguridad para proteger lainformación privada de los solicitantes de Certificados Digitales durante el registrotales como:

– Carta de confidencialidad de los agentes registradores por la que se obligan ycomprometen a guardar confidencialidad de los datos que manipulan en virtudde su puesto de trabajo.

– Políticas y procedimientos de clasificación de la información que clasifican lainformación recogida como confidencial y por lo tanto sujeta a las medidasinternas de protección de datos personales

– En el sistema de registro se utilizan políticas de contraseñas robustas

– Los datos digitalizados se almacenan en servidores y directoriosespecialmente protegidos mediante permisos concedidos exclusivamente porel equipo administrador

– Los datos en papel se almacenan en archiveros seguros cerrados.

9.4.3 INFORMACIÓN CONSIDERADA PRIVADA.

Se consideran datos de carácter personal cualquier información relativa a personasnaturales identificadas o identificables.

Tanto la información personal que no haya de ser incluida en los certificados como elmecanismo de comprobación del estado de los certificados, se consideraninformación personal de carácter privado.

En cualquier caso, los siguientes datos son considerados como información privada:

- Solicitudes de certificados, aprobadas o denegadas, así como toda otrainformación personal obtenida para la expedición y mantenimiento decertificados.

- Claves privadas generadas y/o almacenadas por la CAEDICOM.

-Toda otra información identificada como “Información privada”

9.4.4 INFORMACIÓN NO CONSIDERADA PRIVADA.

Esta información hace referencia a la información personal que se incluye en loscertificados y en el referido mecanismo de comprobación del estado de loscertificados, de acuerdo con la sección 3.1 de este documento.



Dicha información es incluida en sus certificados y en el mecanismo decomprobación del estado de los certificados.

La información no tiene carácter privado, por imperativo legal (“datos públicos”), perosolo se publica en el depósito si lo consiente el suscriptor.

En todo caso, es considerada no confidencial la siguiente información:

• Los certificados emitidos o en trámite de emisión

• La sujeción del suscriptor a un certificado emitido por la CAEDICOM.

• El nombre y los apellidos del suscriptor del certificado, así como cualesquieraotras circunstancias o datos personales del titular, en el supuesto que seansignificativas en función de la finalidad del certificado, de acuerdo con estedocumento.

• La dirección electrónica del suscriptor del certificado.

• Los usos y límites económicos reseñados en el certificado.

• El periodo de validez del certificado, así como la fecha de emisión delcertificado y la fecha de caducidad.

• El número de serie del certificado.

• Los diferentes estados o situaciones del certificado y la fecha del inicio decada uno de ellos, en concreto: pendiente de generación y/o entrega, válido,revocado, suspendido o caducado y el motivo que provocó el cambio deestado.

• Las listas de revocación de certificados (LRCs), así como el resto deinformaciones de estado de revocación.

• La información contenida en el Depósito de la CAEDICOM.

9.4.5 RESPONSABILIDADES.

CAEDICOM garantiza el cumplimento de sus obligaciones legales como Entidad deCertificación Digital, y en virtud de esto, responderá por los daños y perjuicios quecause en el ejercicio de la actividad por el incumplimiento de las prescripcioneslegales relativas a la protección de datos personales.

CAEDICOM incluye en el documento “Política de Privacidad” publicado en la web dela CAEDICOM su procedimiento de notificación, gestión y respuesta ante lasincidencias relacionadas con los datos personales.

Este procedimiento contiene un registro en el que se hace constar el tipo deincidencia, el momento en que se ha producido, la persona que realiza lanotificación, la persona a quien se comunica la notificación y los efectos que sederivan.



CAEDICOM implanta medidas de identificación y autenticación, así como elnecesario control de acceso del personal a los datos personales, controles quedetallan las secciones 4 y 5 de este documento. Los procedimientos de gestión delos soportes de datos personales y de los backups se definen en las secciones 5.5de este documento.

9.4.6 PRESTACIÓN DEL CONSENTIMIENTO EN EL USO DE LOS DATOS PERSONALES.

Para la prestación del servicio, la CAEDICOM habrá de obtener el consentimiento delos titulares de los datos necesarios para prestación los servicios de certificación. Seentenderá obtenido el consentimiento con la firma del contrato de certificación porparte del usuario.

9.4.7 COMUNICACIÓN DE LA INFORMACIÓN A AUTORIDADES ADMINISTRATIVAS Y/O JUDICIALES.

CAEDICOM sólo podrá comunicar informaciones calificadas como confidencial o quecontengan datos de carácter personal en aquellos supuestos en los que así se lerequiera por la autoridad pública competente y en los supuestos previstoslegalmente.

En concreto, la CAEDICOM está obligada a revelar la identidad de los firmantescuando lo soliciten los órganos judiciales en el ejercicio de las funciones que tenganatribuidas.

9.4.8 OTROS SUPUESTOS DE DIVULGACIÓN DE LA INFORMACIÓN.

CAEDICOM incluye, en la presente política de privacidad, prescripciones parapermitir la divulgación de la información del poseedor de claves, directamente a losmismos o a terceros.

9.5 OBLIGACIONES Y RESPONSABILIDAD CIVIL

9.5.1 OBLIGACIONES DE LA ENTIDAD DE CERTIFICACIÓN DIGITAL

Obligaciones y otros compromisos

La CAEDICOM se obliga a cumplir lo siguiente:

a.La CAEDICOM garantiza bajo su plena responsabilidad, que cumple con todos losrequisitos establecidos en este documento.



b.Enviar copia de cada certificado emitido a la ONAC, de acuerdo a lo establecido enlas reglas de acreditación a las que deberán sujetarse los prestadores decertificación así como copia de cada publicación en la Lista de CertificadosRevocados

c.La CAEDICOM es la única entidad responsable del cumplimiento de losprocedimientos descritos en este documento, incluido cuando una parte o latotalidad de las operaciones son subcontratadas externamente.

d.La CAEDICOM presta sus servicios de certificación de acuerdo con estedocumento, en el que se detallan al menos los contenidos previstos en las reglas deacreditación de los Prestadores de Servicios de Certificación.

e.La CAEDICOM sin discriminación alguna prestará el servicio de certificación digitala cualquier solicitante que cumpla con los requisitos establecidos en esta DPC ynormas legales vigentes, sin embargo CAEDICOM puede declinar la solicitud decertificación digital al solicitante o suscriptor cuando se evidencie participación enactividades ilícitas.

f.Antes de la emisión y entrega del certificado al suscriptor, la CAEDICOM lo informade los siguientes aspectos:

g.Indicación de la política aplicable, con indicación de si los certificados se expidenal público y de la necesidad, en su caso, de utilización de dispositivo seguro decreación de firma.

a)Forma en que se garantiza la responsabilidad patrimonial de la CAEDICOM

b)Si la CAEDICOM es declarada conforme con la Política de Certificado y, en sucaso, de acuerdo con qué sistema. En concreto, la certificación de la Entidad deCertificación Digital y la certificación de los productos de firma digital utilizados.

a.Este requisito se cumple mediante la puesta a su disposición del documento deDeclaración de Prácticas de Certificación de la CAEDICOM así como del documentode la Política de Certificado aplicable al tipo de certificado expedido.

b.La CAEDICOM obliga a los suscriptores y a los verificadores medianteinstrumentos jurídicos apropiados en cada situación.

c.Estos instrumentos jurídicos pueden ser transmitidos digitalmente, están enlenguaje escrito y comprensible, y tienen los siguientes contenidos mínimos:

a)Prescripciones para dar cumplimiento a lo establecido en la presente Política deCertificado.

b)Indicación de la política aplicable, con indicación de si los certificados se expidenal público y de la necesidad de uso del dispositivo seguro de creación de firma.

c)Manifestación que la información contenida en el certificado es correcta, exceptonotificación en contra por el suscriptor.



d)Consentimiento para la publicación del certificado en el depósito y acceso porterceros al mismo.

e)Consentimiento para el almacenaje de la información utilizada para el registro delsuscriptor, para la provisión del dispositivo seguro de creación de firma y para lacesión de dicha información a terceros, en caso de finalización de operaciones de laCAEDICOM sin revocación de certificados válidos.

f)Límites de uso del certificado, incluyendo las establecidas en la sección 4.5 de estedocumento.

g)Información sobre cómo validar un certificado, incluyendo el requisito decomprobar el estado del certificado, y las condiciones en las que se puede confiarrazonablemente en el certificado, que resulta aplicable cuando el suscriptor actúacomo verificador.

h)Limitaciones de responsabilidad aplicables, incluyendo los usos por los que laCAEDICOM acepta o excluye su responsabilidad.

i)Procedimientos aplicables de resolución de disputas.

j)Ley aplicable y jurisdicción competente.

k)La CAEDICOM tiene que identificar al suscriptor del certificado, de acuerdo con loespecificado en el presente documento y, en concreto:

La CAEDICOM comprueba por si misma o por medio de una Entidad de Registro,la identidad y cualquier otras circunstancias personales de los solicitantes de loscertificados, de acuerdo con lo establecido en las reglas de acreditación.

La CAEDICOM cumple el resto de obligaciones contenidas en las reglas deacreditación.

La CAEDICOM asume otras obligaciones incorporadas directamente en elcertificado o incorporadas por referencia.

Nota: La incorporación por referencia se consigue incluyendo en el certificado unidentificador de objeto u otra forma de enlace a un documento, que se consideraincluido de forma íntegra en este documento.

Adicionalmente a lo establecido en la sección correspondiente, el instrumentojurídico que vincula la CAEDICOM y el suscriptor está en lenguaje escrito ycomprensible, y tiene los siguientes contenidos mínimos:

Indicación de que los certificados se expiden al público y de la necesidad, en sucaso, de uso de dispositivo seguro de creación de firma, como se indica en lasección 6.2.8 de este documento.

Certificación de servicios de la CAEDICOM.

Forma en que se garantiza la responsabilidad patrimonial de la CAEDICOM.



Garantías ofrecidas a suscriptores y verificadores

La CAEDICOM, como mínimo, garantiza al suscriptor:

a.El cumplimiento de sus obligaciones legales como Entidad de Certificación Digital,de acuerdo con las reglas de acreditación.

b.Que no haya errores de hecho en las informaciones contenidas en los certificados,conocidos o realizados por la CAEDICOM y, en su caso, por la Entidad de Registro.

c.Que no haya errores de hecho en las informaciones contenidas en los certificados,debidos a falta de diligencia en la gestión de la solicitud de certificado o a la creaciónde éste.

d.Que los certificados cumplan todos los requisitos materiales establecidos en estaDPC.

e.La responsabilidad de la CAEDICOM, con los límites que se establezcan.

f.Que los servicios de revocación y el uso del Depósito cumplen todos los requisitosmateriales establecidos en esta DPC.

La CAEDICOM, como mínimo, garantiza al verificador:

a.Que, en el caso que genere las claves privadas del suscriptor o, en su caso, elposeedor de claves, se mantiene su confidencialidad durante el proceso.

b.El cumplimiento de sus obligaciones legales como Entidad de Certificación Digital,de acuerdo con el reglamento de acreditación.

c.Que la información contenido o incorporada por referencia al certificado escorrecta.

d.En caso de certificados publicados en el Depósito, que el certificado ha sidoemitido al suscriptor identificado en éste y que el certificado ha sido aceptado, deacuerdo con la sección correspondiente del presente documento.

e.Que en la aprobación de la solicitud de certificado y en la emisión del certificado sehan cumplido todos los requisitos materiales establecidos en este documento.

f.La rapidez y seguridad en la prestación de los servicios, en especial de losservicios de revocación y Depósito.

9.5.2 OBLIGACIONES DE LA AUTORIDAD DE REGISTRO

Las personas que operan en las RAs integradas en la jerarquía de CAEDICOM –operadores de Registro – están obligadas a:

Realizar sus operaciones en conformidad con esta DPC.

Realizar sus operaciones de acuerdo con la Política de Certificado que sea deaplicación para el tipo de certificado solicitado en cada ocasión.



Comprobar exhaustivamente la identidad de las personas a las que se les concedeel certificado digital por ellos tramitado, para lo que requerirán la presencia física delsolicitante y la exhibición de un documento nacional de identidad válido, original y envigor. En caso de usuarios extranjeros un documento análogo y oficial de identidad.

No almacenar ni copiar los datos de creación de firma de la persona a la que hayanprestado sus servicios.

Informar, antes de la emisión de un certificado, a la persona que solicite susservicios, de las obligaciones que asume, la forma que debe custodiar los datos decreación de firma, el procedimiento que debe seguir para comunicar la pérdida outilización indebida de los datos o dispositivos de creación y de verificación de firma,de su precio, de las condiciones precisas para la utilización del certificado, de suslimitaciones de uso y de la forma en que garantiza su posible responsabilidadpatrimonial, y de la página web donde puede consultar cualquier información de laCAEDICOM, la DPC y las PC vigentes y anteriores, la legislación aplicable, lascertificaciones obtenidas y los procedimientos aplicables para la resoluciónextrajudicial de los conflictos que pudieran surgir por el ejercicio de la actividad.

Validar y enviar de forma segura a la CA a la que está subordinada la RA unasolicitud de certificación debidamente cumplimentada con la información aportadapor el firmante, y recibir los datos asociados a los certificados emitidos de acuerdocon esa solicitud.

Almacenar de forma segura y hasta el momento de su remisión a la Autoridad deCertificación, tanto la documentación aportada por el firmante como la generada porla propia RA, durante el proceso de registro o revocación

Formalizar el Contrato de Certificación con el firmante según lo establecido por laPolítica de Certificado aplicable.

Solicitar la revocación de un certificado cuando tenga conocimiento o sospecha delcompromiso de una clave privada.

Autentificar las solicitudes de usuarios finales para la renovación o revocación desus certificados, generar solicitudes de renovación o revocación firmadasdigitalmente y enviarlas a su CA superior.

En el caso de la aprobación de una solicitud de certificación notificar al firmante laemisión de sus certificados y la forma de obtenerlo.

En el caso del rechazo de una solicitud de certificación, notificar al solicitante dichorechazo y el motivo del mismo

Mantener bajo su estricto control las herramientas de tramitación de certificadosdigitales y notificar a la CAEDICOM cualquier mal funcionamiento u otraeventualidad que pudiera salirse del comportamiento normal esperado.

Remitir copia firmada del contrato de certificación y de las solicitudes de revocacióna la CAEDICOM.



Recibir y tramitar las solicitudes de revocación presenciales que reciba de manerainmediata, después de haber llevado a cabo una identificación fiable basada en lacédula de ciudadanía.

Colaborar en cuantos aspectos de la operación, auditoría o control del Punto deRegistro de Usuario se le soliciten por parte de la Autoridad de Certificación.

A la más general y amplia obligación de confidencialidad, durante y conposterioridad a la prestación del servicio como Autoridad de Registro, respecto de lainformación recibida por la CAEDICOM y respecto de la información ydocumentación en que se haya concretado el servicio. En el mismo sentido, notransmitir a terceros dicha información, bajo ningún concepto, sin autorizaciónexpresa, escrita y con carácter previo de la CAEDICOM, en cuyo caso trasladará adichos terceros idéntica obligación de confidencialidad.

9.5.3 OBLIGACIONES DE LOS SUSCRIPTORES

Obligaciones y otros compromisos

La CAEDICOM obliga al suscriptor a:

Facilitar a la CAEDICOM información completa y adecuada, en especial por lo querespecta al procedimiento de registro.

Manifestar su consentimiento previo a la emisión de un certificado.

Cumplir las obligaciones que se establecen para el suscriptor en este documento yen la legislación vigente en esta materia.

Utilizar el certificado de acuerdo con lo establecido en la sección correspondiente.

Notificar a la CAEDICOM, sin retrasos injustificables, la pérdida, la alteración, el usono autorizado, el robo o el compromiso de su dispositivo seguro de creación defirma, si aplica.

Notificar a la CAEDICOM y cualquier persona que el suscriptor crea que puedaconfiar en el certificado, sin retrasos injustificables:

a)La pérdida, el robo o el compromiso potencial de su clave privada.

b)La pérdida de control sobre su clave privada, a causa del compromiso de los datosde activación (por ejemplo, el código PIN del dispositivo seguro de creación de firma)o por cualquier otra causa.

c)Las inexactitudes o cambios en el contenido del certificado que conozca o pudieraconocer el suscriptor.



Dejar de utilizar la clave privada transcurrido el periodo indicado en la seccióncorrespondiente.

No monitorizar, manipular o realizar actos de ingeniería reversa sobre laimplantación técnica de la Jerarquía de la CAEDICOM, sin permiso previo porescrito.

No comprometer intencionadamente la seguridad de la Jerarquía de CAEDICOM

Utilizar el par de claves exclusivamente para firmas digitales y conforme acualquiera otras limitaciones que le sean notificadas.

Reconocer que estas firmas digitales son firmas digitales equivalentes a firmasmanuscritas, de acuerdo con la legislación vigente.

Ser especialmente diligente en la custodia de su clave privada y de su dispositivoseguro de creación de firma (si aplica), con el fin de evitar usos no autorizados.

En los casos en los que el sujeto titular genera sus propias claves, se obliga a:

1.Generar sus claves de suscriptor utilizando un algoritmo reconocido comoaceptable para la firma digital reconocida.

2.Crear las claves dentro del dispositivo seguro de creación de firma.

3.Utilizar longitudes y algoritmos de clave reconocidos como aceptables para la firmadigital reconocida.

Notificar a la CA, sin retrasos injustificables, la pérdida, la alteración, el uso noautorizado, el robo o el compromiso de su dispositivo seguro de creación de firma.

Garantías ofrecidas por el sujeto titular

La CAEDICOM obliga al sujeto titular, mediante el correspondiente instrumentojurídico, a garantizar:

a.Que todas las manifestaciones realizadas en la solicitud son correctas.

b.Que todas las informaciones suministradas por el sujeto titular que se encuentrecontenidas en el certificado son correctas.

c.Que el certificado se utiliza exclusivamente para usos legales y autorizados, deacuerdo con la DPC de CAEDICOM.

d.Que cada firma digital creada con la clave privada correspondiente a la clavepública listada en el certificado es la firma digital del suscriptor y que el certificado hasido aceptado y se encuentra operativo (no ha expirado ni ha sido revocado) en elmomento de creación de la firma.



e.Que el sujeto titular es una entidad final y no una Entidad de Certificación, y noutiliza la clave privada correspondiente a la clave pública lista en el certificado parafirmar ningún certificado (o cualquier otro formato de clave pública certificada), niCRL.

f.Que ninguna persona no autorizada ha tenido nunca acceso a la clave privada delsujeto titular.

Protección de la clave privada

La CAEDICOM obliga al sujeto titular, mediante el correspondiente instrumentojurídico, a garantizar que el suscriptor es el único responsable de los dañoscausados por su incumplimiento del deber de proteger la clave privada.

9.5.4 OBLIGACIONES DE LA PARTE CONFIANTE EN LOS CERTIFICADOS EMITIDOS POR LA CAEDICOM

Es obligación de las partes que confíen en los certificados emitidos por CAEDICOM:

Limitar la fiabilidad de los certificados a los usos permitidos de los mismos, enconformidad con lo expresado en las extensiones de los certificado y la Política deCertificado pertinente.

Verificar la validez de los certificados en el momento de realizar o verificar cualquieroperación basada en los mismos.

Asumir su responsabilidad en la correcta verificación de las firmas digitales

Asumir su responsabilidad en la comprobación de la validez, revocación osuspensión de los certificados en que confía.

Tener pleno conocimiento de las garantías y responsabilidades aplicables en laaceptación y uso de los certificados en los que confía, y aceptar sujetarse a lasmismas.

9.5.5 OBLIGACIONES DEL REPOSITORIO

Mantener accesible para los suscriptores el conjunto de certificados emitidos porCAEDICOM

Mantener accesible para los suscriptores la información de los certificados que hansido revocados, en formato CRL.

9.6 RENUNCIAS DE GARANTÍAS

La CAEDICOM puede rechazar todas las garantías del servicio que no seencuentren vinculadas a obligaciones establecidas por la Ley 527 de 1999,especialmente aquellas garantías de adaptación para un propósito particular ogarantía de uso mercantil del certificado.



9.7 LIMITACIONES DE RESPONSABILIDAD

9.7.1 GARANTÍAS Y LIMITACIONES DE GARANTÍAS

La CAEDICOM limita su responsabilidad restringiendo el servicio a la emisión ygestión de certificados y, en su caso, de pares de claves de suscriptores y depósitoscriptográficos (de firma y verificación de firma, así como de cifrado o descifrado)suministrado por la Entidad de Certificación.

La CAEDICOM puede limitar su responsabilidad mediante la inclusión de límites deuso del certificado, y límites de valor de las transacciones para las que puedeutilizarse el certificado.

9.7.2 DESLINDE DE RESPONSABILIDADES

Las Entidades de Registro de CAEDICOM no asumen ninguna responsabilidad encaso de pérdida o perjuicio:

De los servicios que prestan, en caso de guerra, desastres naturales o cualquierotro caso de fuerza mayor.

Ocasionados por el uso de certificados que exceda los límites establecidos por losmismos, la Política de Certificado pertinente y esta DPC.

Ocasionado por el uso indebido o fraudulento de los certificados o CRLs emitidospor CAEDICOM.

Ocasionados al firmante o partes confiantes si el destinatario de los documentosfirmados digitalmente no comprueba ni tiene en cuenta las restricciones que figurenen el certificado en cuanto a sus posibles usos, o cuando no tenga en cuenta lasuspensión o pérdida de vigencia del certificado publicada en la CRL, o cuando noverifique la firma digital

9.7.3 LIMITACIONES DE PÉRDIDAS

A excepción de lo establecido por las disposiciones de la presente DPC, CAEDICOMno asume ningún otro compromiso ni brinda ninguna otra garantía, así comotampoco asumen ninguna otra responsabilidad ante suscriptores o partes confiantes.

9.8 PLAZO Y FINALIZACIÓN.

9.8.1 PLAZO.

La CAEDICOM establece, en sus instrumentos jurídicos con los sujetos titulares ylos verificadores, una cláusula que determina el período de vigencia de la relaciónjurídica en virtud de la que suministran certificados a los suscriptores.



9.8.2 FINALIZACIÓN.

La CAEDICOM establece, en sus instrumentos jurídicos con los sujetos titulares ylos verificadores, una cláusula que determina las consecuencias de la finalización dela relación jurídica en virtud de la que suministran certificados a los suscriptores.

Una vez finalizada la actividad de CA se procederá a realizar los pasos indicados enel apartado 5.8.

9.9 NOTIFICACIONES

Toda notificación, demanda, solicitud o cualquier otra comunicación requerida bajolas practicas descritas en esta DPC se realizará mediante documento o mensajeelectrónico firmado digitalmente de conformidad con esta última o por escritomediante correo certificado dirigido a cualquiera de las direcciones contenidas en elpunto 1.5 Datos de contacto. Las comunicaciones digitales se harán efectivas unavez que las reciba el destinatario al que van dirigidas.

Una finalizada la actividad de CA se procederá a realizar los pasos indicados en elapartado 5.8.

9.10 MODIFICACIONES.

La CAEDICOM puede modificar unilateralmente este documento, sujetándose alsiguiente procedimiento:

La modificación tiene que estar justificada desde el punto de vista técnico y legal.

La modificación propuesta por la CAEDICOM no puede vulnerar las disposicionescontenidas en las Políticas de Certificado establecidas por CAEDICOM.

Se establece un control de modificaciones, para garantizar, en todo caso, que lasespecificaciones resultantes cumplan los requisitos que se intentan cumplir y quedieron pie al cambio.

Se establecen las implicaciones que el cambio de especificaciones tiene sobre elusuario, y se prevé la necesidad de notificarle dichas modificaciones.

9.10.1 PROCEDIMIENTOS DE ESPECIFICACIÓN DE CAMBIOS

La entidad con atribuciones para realizar y aprobar cambios sobre la DPC y las PC’sde la CAEDICOM es la Dirección Técnica de EDICOM, cuyos datos de contacto seencuentran en el apartado 1.5.1. de esta DPC.



En aquellos supuestos en los que se considere por la Dirección Técnica de EDICOMque la modificación de la DPC no reduce materialmente la confianza que unaPolítica de Certificado o su implementación proporcionan, ni altera la aceptabilidadde los certificados que soporta la política para los propósitos para los que se hanusado, se procederá al incremento del número menor de versión del documento,manteniendo el OID asociado. No se considera necesario comunicar este tipo demodificaciones a los titulares de los certificados correspondientes a la PC o DPCmodificada.

En el supuesto de que la Dirección Técnica de EDICOM juzgue que los cambios a laespecificación vigente afecten a la aceptabilidad de los certificados para propósitosespecíficos se procederá al incremento del número mayor de versión del documentoy la puesta a cero del número menor de la misma. También se modificarán los dosúltimos números del de Identificador de Objeto (OID) que lo representa. Este tipo demodificaciones se comunicará a los sujetos titulares de los certificadoscorrespondientes a la PC o DPC modificada mediante el envío de una notificación ala dirección de correo electrónico que el usuario ha facilitado en la emisión delcertificado, con una antelación de al menos 30 días a su publicación.

El usuario puede aceptar las modificaciones o rechazarlas:

En caso de rechazarlas, su certificado, emitido bajo las instrucciones de la anteriorDPC será válido para los propósitos en ella incluidos, pero no para los propósitosespecíficos que se incluyen en la nueva DPC o PC modificada. Si transcurridos 15días desde la notificación al usuario no se tuviera respuesta del mismo, seconsiderará que el usuario no ha aceptado la modificación, aunque puede aceptarlaen cualquier momento posterior.

En caso de aceptarlas, tendrá lugar un procedimiento de generación de un nuevocertificado, en el cual el nuevo certificado solamente se diferenciará del revocado enel OID de la política que le aplica, para reflejar los cambios.

9.10.2 PROCEDIMIENTOS DE PUBLICACIÓN Y NOTIFICACIÓN.

Toda modificación de esta Declaración de Prácticas de Certificación o de losDocumentos de Políticas de Certificado se publicará en el sitio web de laCAEDICOM.

9.10.3 PROCEDIMIENTOS DE APROBACIÓN DE LA DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN

La Dirección Técnica de EDICOM es la entidad competente para acordar laaprobación de la presente Declaración de Prácticas de Certificación, así como de lasPolíticas de Certificado asociadas a cada tipo de certificado.

Asimismo compete a la Dirección Técnica de EDICOM la aprobación y autorizaciónde las modificaciones de dichos documentos.



9.11 RESOLUCIÓN DE CONFLICTOS.

9.11.1 RESOLUCIÓN EXTRAJUDICIAL DE CONFLICTOS.

La CAEDICOM podrá establecer, a través de los instrumentos jurídicos mediante losque se articule su relación con sujetos titulares y verificadores, los procedimientos demediación, arbitraje y resolución de conflictos que se consideren oportunos, todo ellosin perjuicio de la legislación de procedimiento administrativo.

Si las Partes no hubiesen resuelto las discrepancias o controversias conforme alprocedimiento y en el plazo establecido en la cláusula anterior, acudirán a un tribunalde arbitramento que será integrado por un árbitro designado por las Partes decomún acuerdo. Si no se llegare a un acuerdo dentro de los diez (10) días hábilessiguientes a la decisión de una de las Partes de convocar al tribunal de arbitramento,el árbitro será designado por el Centro de Arbitraje y Conciliación de la Cámara deComercio de Bogotá D.C. de las listas que éste tiene para tal efecto. El arbitraje seráen derecho y al mismo le serán de aplicación las normas del citado Centro.

9.11.2 JURISDICCIÓN COMPETENTE.

La CAEDICOM establece, en sus instrumentos jurídicos con sujetos titulares yverificadores, los procedimientos de mediación y resolución de conflictos aplicables.

9.12 LEGISLACIÓN APLICABLE

El funcionamiento y operaciones de CAEDICOM, así como la presente DPC estánregidos por la legislación colombiana vigente en cada momento.

Explícitamente se asumen como de aplicación las siguientes normas:

• Ley 527 de 1999

• Decreto 333 de 2014

• Decreto 19 de 2012

9.13 CONFORMIDAD CON LA LEY APLICABLE

La CAEDICOM declara que la presente DPC cumple con las prescripcionescontenidas en la legislación relacionada en el apartado 9.14.



9.14 DERECHOS DE PROPIEDAD INTELECTUAL

Todos los derechos de propiedad intelectual incluyendo los referidos a certificados yCRL’s emitidos por la CAEDICOM, OIDs, la presente DPC, las Políticas deCertificado que le son de aplicación, así como cualquier otro documento, electrónicoo de cualquier otro tipo, propiedad de CAEDICOM, pertenecen a la CAEDICOM.

El uso de la marca CAEDICOM está reservado a EDICOM SAS. Si un suscriptordesea acreditar que está utilizando los servicios de CAEDICOM mediante el uso dela marca CAEDICOM, puede hacer una solicitud a CAEDICOM mediante los canalesexpuestos en el punto 10. CAEDICOM se reserva el derecho a aceptar o rechazardicha solicitud.

Las claves privadas y las claves públicas son propiedad del usuario,independientemente del medio físico que se emplee para su almacenamiento.

El suscriptor conserva cualquier derecho que pudiere ostentar sobre la marcaproducto o nombre comercial contenido en el certificado.

Para tal efecto, atenderá lo dispuesto en el Código de Comercio, la Decisión 486 de2000, la Decisión 351 de 1993 y demás normas complementarias a estas materias.

El uso de marca de certificación suscribe lo dispuesto en el documento RAC-1.4-03de ONAC (Reglamento de Uso de los Símbolos de Acreditado y/o Asociado). Elsuscriptor no está autorizado a emplear la marca ONAC.



10 PETICIONES, QUEJAS, RECLAMOS, SUGERENCIAS,DENUNCIAS Y APELACIONES

CAEdicom mantiene una clara política de excelencia en todas las actividades que serealizan, incluida la propia prestación del servicio a sus clientes. A pesar de ello,existe la posibilidad de que los clientes a los que se les presta el servicio considerenque el servicio no se ajusta a los parámetros de calidad exigidos y por tanto deseennotificar una reclamo del servicio.

Si Usted o cualquier persona tiene alguna petición, queja, reclamo, sugerencia odenuncia frente a cualquiera de los servicios o actividades de CAEDICOM, puederealizar una petición, queja, reclamo, sugerencia, denuncia, o comunicarse connuestros puntos de registro en:

Edicom SAS

Dirección: Calle 26 # 59-51 of 308 Torre Argos 111051 Bogotá DC

Dirección de correo electrónico: qualitymanager @ edicomgroup .com

Responsable: Coordinador del Servicio al Cliente

Si Usted o cualquier persona tiene alguna apelación frente a cualquiera de lasdecisiones de CAEDICOM, puede realizar apelación mediante el correo electrónico:[email protected].

CAEDICOM brinda soporte técnico a través de una línea de Soporte en Bogotá en elteléfono: +57 1 7953970

La página http://acedicom.edicomgroup.com brinda información adicional sobre losservicios ofrecidos por CAEDICOM, la gestión de certificados que ofreceCAEDICOM, así como documentación adicional referente .

Si se requieren explicaciones sobre la aplicación de la Declaración de Prácticas deCertificación (DPC) o alguna política de certificación (PC) definidas en estedocumento para un servicio de certificación digital especifico, por favor dirigir suconsulta a [email protected].

Declaración de Prácticas de Certificación (DPC) de la CAEDICOM COLOMBIA | 10 PETICIONES, QUEJAS,RECLAMOS, SUGERENCIAS, DENUNCIAS Y APELACIONES | 88


http://acedicom.edicomgroup.com/







10.1 Procedimiento de Tratamiento de los Reclamos yApelaciones

Todos los correos recibidos en la cuenta de [email protected] son registrados en una herramienta de gestiónde reclamos, considerando la identificación del cliente, Fecha de apertura, Personaque recibe el reclamo, Causas, Proyecto relacionado y Descripción del reclamo delcliente.

Como confirmación de este registro, la aplicación genera un identificador del reclamoque la Subdirección Técnica, tras revisar el reclamo, asignara al Responsable delTratamiento del reclamo para que proceda a resolverlo lo antes posible.

Si el problema se ha generado por causa de un producto o servicio prestado por unproveedor, CAEDICOM a través del Responsable del Tratamiento, generará unreclamo al proveedor.

Resolución de los Reclamos

Una vez abierta la reclamo, el Responsable del Tratamiento asignado identifica losmotivos del reclamo y establecen las correcciones inmediatas a adoptar, elresponsable de llevarlas a cabo y los plazos de ejecución acordados con el cliente.

Además, estudian la conveniencia de establecer acciones correctivas para eliminar alargo plazo las causas identificadas que han propiciado la reclamo del cliente.

Las correcciones adoptadas, así como las acciones correctivas que se estánadoptando se comunican al cliente, con la mayor brevedad posible.

CAEDICOM dispone de un control de reclamos abiertos más de 48 horas, enviado lacorrespondiente alarma a la Subdirección Técnica indicando que la reclamo o quejaexcede las 48 horas previstas para la resolución de esta de modo que puedanestablecerse las acciones y recursos necesarios para su tratamiento.

Una vez completado su tratamiento, el Responsable de Tratamiento cierra elreclamo e informa a la Subdirección Técnica, la cual comprueba si se ha solucionadocorrectamente y si las acciones adoptadas han sido efectivas, informando a todaslas personas que han intervenido en la resolución y al cliente, por la vía queconsidere en cada caso más oportuno.

Si existe aceptación de la respuesta de CAEDICOM por parte del cliente el reclamose cierra en la herramienta de gestión de reclamos. De lo contrario, el cliente, através de la cuenta de correo [email protected] puede realizar laapelación en el que se exponga el objeto de la misma y los puntos o cuestiones quela fundamentan.

El Director Técnico, tras revisar la apelación, se pronunciará sobre la viabilidad oinviabilidad de dar curso a la solicitud y en caso favorable asignará un Responsabledel Tratamiento de la apelación para que proceda a resolverla lo antes posible. Tantosi la apelación se resuelve favorablemente como si se rechaza, CAEDICOMinformará al cliente de los motivos de la resolución.

Declaración de Prácticas de Certificación (DPC) de la CAEDICOM COLOMBIA | 10 PETICIONES, QUEJAS,RECLAMOS, SUGERENCIAS, DENUNCIAS Y APELACIONES | 89


declaración de prácticas de certificación (dpc) de la ...€¦ · 6.5.1 requisitos técnicos...

Documents