Modulo 2 firm al e

Instituto Nacional de Administración Pública
AVANZADA
NORMATIVAS
Y MARCO LEGAL

INDICE
A. Ley modelo de CNUDMI sobre comercio electronico 1996 ..................................................... 1
B. Ley modelo de CNUDMI sobre firmas electronicas 2001......................................................... 3
C. La ley para el reconocimiento de las comunicaciones y firmas electrónicas 2008 .................... 5
CAPITULO II ............................................................................................................................ 12
USO DE LAS FIRMAS ELECTRÓNICAS POR LOS ORGANISMOS DEL ESTADO ................................ 12
A. Certificado Digital............................................................................................................... 14
B. Estándar de Certificados X.509............................................................................................ 14
C. Sistema de Gestión de Seguridad de la Información SGSI – ISO/IEC 27001:2005.................... 19
PROCEDIMIENTO PARA LA CERTIFICACION ISO 27001.............................................................. 21
Estándares Autoridad emisora de certificados de firma electrónica avanzada (AC= Autoridad
Certificadora) y de estampado cronológico.............................................................................. 22
Comprobación de la identidad del firmante y de sus datos certificados (Autoridad de Registro)
.............................................................................................................................................. 22
Almacenamiento de los datos de creación de firma del titular (dispositivos Criptográficos, Token.
Smart Card entre otros) .......................................................................................................... 23
ISO 9001 Quality management systems – Requirements.......................................................... 27
ISO/IEC 18014-1:2002 Information technology -- Security techniques -- Time-stamping services.
.............................................................................................................................................. 28
RFC 2560 X.509 Internet PKI Online Certificate Status Protocol - OCSP. June 1999. ................... 29
RFC 5280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List
(CRL) Profile ........................................................................................................................... 29
TIA-942 Telecommunications Infrastructure Standard for Data Centers (Abril 2005)................. 30
WebTrust for Certification Authorities. ................................................................................... 31
Common Criteria EAL 5+ ......................................................................................................... 32
Requisitos Evaluados por parte del RPSC................................................................................. 33
ACTIVIDADES DE LA SEMANA.................................................................................................. 34
BIBLIOGRAFIA......................................................................................................................... 35

A.Ley modelo de CNUDMI
sobre comercio electrónico 1996
Se emite con la finalidad de ofrecer al legislador nacional un conjunto de
reglas aceptables en el ámbito internacional que le permitan eliminar
algunos de esos obstáculos jurídicos con miras a crear un marco jurídico
que permita un desarrollo más seguro de las vías electrónicas de
negociación designadas por el nombre de “comercio electrónico”.
Los principios plasmados en el régimen de la Ley Modelo ayudan a los
usuarios del comercio electrónico a encontrar las soluciones contractuales
requeridas para superar ciertos obstáculos jurídicos que dificulten ese
empleo cada vez mayor del comercio electrónico.
La decisión de la CNUDMI de formular un régimen legal modelo para el
comercio electrónico se debe a que el régimen aplicable en ciertos países
a la comunicación y archivo de información era inadecuado o se había
quedado anticuado, al no haberse previsto en ese régimen las
modalidades propias del comercio electrónico.
En algunos casos, la legislación vigente impone o supone restricciones al
empleo de los modernos medios de comunicación, por ejemplo, por
haberse prescrito el empleo de documentos “originales”, “manuscritos” o
“firmados”.
Si bien unos cuantos países han adoptado reglas especiales para regular
determinados aspectos del comercio electrónico, se hace sentir en todas
partes la ausencia de un régimen general del comercio electrónico. De ello
puede resultar incertidumbre acerca de la naturaleza jurídica y la validez
de la información presentada en otra forma que no sea la de un
documento tradicional sobre papel.
La necesidad de un marco legal seguro y de prácticas eficientes se hace
sentir no sólo en aquellos países en los que se está difundiendo el empleo
del EDI y del correo electrónico sino también en otros muchos países en
los que se ha difundido el empleo del fax, el télex y otras técnicas de
comunicación parecidas.
La Ley Modelo puede ayudar a remediar los inconvenientes que dimanan
del hecho de que un régimen legal interno inadecuado puede obstaculizar
el comercio internacional, al depender una parte importante de ese
comercio de la utilización de las modernas técnicas de comunicación.

La diversidad de los regímenes internos aplicables a esas técnicas de
comunicación y la incertidumbre a que dará lugar esa disparidad pueden
contribuir a limitar el acceso de las empresas a los mercados
internacionales.
La Ley Modelo puede resultar un valioso instrumento, en el ámbito
internacional, para interpretar ciertos convenios y otros instrumentos
internacionales existentes que impongan de hecho algunos obstáculos al
empleo del comercio electrónico, al prescribir, por ejemplo, que se han de
consignar por escrito ciertos documentos o cláusulas contractuales.
Caso de adoptarse la Ley Modelo como regla de interpretación al respecto,
los Estados partes en esos instrumentos internacionales dispondrían de un
medio para reconocer la validez del comercio electrónico sin necesidad de
tener que negociar un protocolo para cada uno de esos instrumentos
internacionales en particular.
Los objetivos de la Ley Modelo, entre los que figuran el de permitir o
facilitar el empleo del comercio electrónico y el de conceder igualdad de
trato a los usuarios de mensajes consignados sobre un soporte informático
que a los usuarios de la documentación consignada sobre papel, son
esenciales para promover la economía y la eficiencia del comercio
internacional.
Al incorporar a su derecho interno los procedimientos prescritos por la Ley
Modelo para todo supuesto en el que las partes opten por emplear
medios electrónicos de comunicación, un Estado estará creando un
entorno legal neutro para todo medio técnicamente viable de
comunicación comercial.
La Ley Modelo está dividida en dos partes, la primera regula el comercio
electrónico en general y la segunda regula el empleo de ese comercio en
determinadas ramas de actividad comercial. Cabe señalar que la segunda
parte de la Ley Modelo, que se ocupa del comercio electrónico en
determinadas esferas consta únicamente del capítulo I, dedicado a la
utilización del comercio electrónico en el transporte de mercancías.
En el futuro tal vez sea preciso regular otras ramas particulares del
comercio electrónico, por lo que se ha de considerar a la Ley Modelo como
un instrumento abierto destinado a ser complementado por futuras
adiciones.
Se recomienda que todo Estado que decida reglamentar más en detalle el
empleo de estas técnicas procure no perder de vista la necesidad de
mantener la encomiable flexibilidad del régimen de la Ley Modelo.

B.Ley modelo de CNUDMI
sobre firmas electrónicas 2001
La Ley Modelo surge del creciente empleo de técnicas de autenticación
electrónica en sustitución de las firmas manuscritas y de otros
procedimientos tradicionales de autenticación ha planteado la necesidad
de crear un marco jurídico específico para reducir la incertidumbre con
respecto a las consecuencias jurídicas que pueden derivarse del empleo de
dichas técnicas modernas “firmas electrónicas”.
El riesgo de que distintos países adopten criterios legislativos diferentes en
relación con las firmas electrónicas exige disposiciones legislativas
uniformes que establezcan las normas básicas de lo que constituye en
esencia un fenómeno internacional, en el que es fundamental la armonía
jurídica y la interoperabilidad técnica.
La Ley Modelo ayuda a los Estados a establecer un marco legislativo
moderno, armonizado y equitativo para abordar de manera más eficaz las
cuestiones relativas a las firmas electrónicas.
Como complemento modesto pero importante de la Ley Modelo de la
CNUDMI sobre Comercio Electrónico, la nueva Ley Modelo ofrece normas
prácticas para comprobar la fiabilidad técnica de las firmas electrónicas.
Ofrece un vínculo entre dicha fiabilidad técnica y la eficacia jurídica que
cabe esperar de una determinada firma electrónica.
La Ley Modelo supone una contribución importante a la Ley Modelo de la
CNUDMI sobre Comercio Electrónico al adoptar un criterio conforme al
cual puede determinarse previamente la eficacia jurídica de una
determinada técnica de creación de una firma electrónica.
La Ley Modelo tiene como finalidad mejorar el entendimiento de las
firmas electrónicas y la seguridad de que puede confiarse en determinadas
técnicas de creación de firma electrónica en operaciones de importancia
jurídica.
Establecer con la flexibilidad conveniente una serie de normas básicas de
conducta para las diversas partes que puedan participar en el empleo de
firmas electrónicas (es decir, firmantes, terceros que actúen confiando en
el certificado y terceros prestadores de servicios), la Ley Modelo puede
ayudar a configurar prácticas comerciales más armoniosas en el
ciberespacio.

Los objetivos de la Ley Modelo, entre los que figuran el de permitir o
facilitar el empleo de firmas electrónicas y el de conceder igualdad de
trato a los usuarios de documentación consignada sobre papel y a los de
información consignada en soporte informático, son fundamentales para
promover la economía y la eficiencia del comercio internacional.
Al incorporar a su derecho interno los procedimientos que se recogen en
la Ley Modelo (y la Ley Modelo de la CNUDMI sobre Comercio Electrónico)
para todo supuesto en que las partes opten por emplear medios
electrónicos de comunicación, el Estado promulgante creará un entorno
jurídico neutro para todo medio técnicamente viable de comunicación
comercial.
Este enfoque neutral con los medios técnicos, utilizado también en la Ley
Modelo de la CNUDMI sobre Comercio Electrónico, tiene la finalidad de
abarcar, en principio, todas las situaciones de hecho en que se genera,
archiva o comunica información, con independencia de cuál sea el soporte
en el que se consigne la información.
Las palabras “entorno jurídico neutro”, utilizadas en la Ley Modelo de la
CNUDMI sobre Comercio Electrónico, reflejan el principio de la no
discriminación entre la información consignada sobre papel y la
información comunicada o archivada electrónicamente.
La nueva Ley Modelo refleja el principio de que no debe discriminarse
ninguna de las diversas técnicas que pueden utilizarse para comunicar o
archivar electrónicamente información, un principio a veces denominado
“de neutralidad tecnológica”.

C.La ley para el reconocimiento de
las comunicaciones y firmas electrónicas 2008
CONTENIDO DE LA LEY
Título I
• Comercio Electrónico en General
• Disposiciones Generales
• Aplicación de los requisitos jurídicos a las Comunicaciones
Electrónicas
• Comunicaciones Electrónicas y Formación de Contratos a través de
Medios Electrónicos
Título II
• Comercio Electrónico en Materias Especificas
Transporte de Mercancías
Título III
• Disposiciones complementarias al comercio electrónico
• Firma Electrónica Avanzada y Prestadores de Servicios de
Certificación
• Registro de Prestadores de Servicios de Certificación
• Disposiciones Varias
A. OBJETO DE LA LEY
Promoción del comercio electrónico, validación y estimulo de las
operaciones efectuadas por medio del fomento de las nuevas tecnologías
de la información y otorgamiento de seguridad jurídica y técnica a las
contrataciones, comunicaciones y firmas electrónicas.
B. ÁMBITO DE APLICACIÓN DE LA LEY
Todo tipo de comunicación electrónica, transacción o acto jurídico, público
o privado, nacional o internacional.
El Estado y sus instituciones quedan expresamente facultados para la
utilización de las comunicaciones y firmas electrónicas. (Gobierno
Electrónico) Se excluye del ámbito de aplicación de la Ley.
a) Obligaciones contraídas por el Estado en Convenios y Tratados
Internacionales
b) Advertencias escritas por disposición legal
c) Disposiciones por causa de muerte
d) Actos jurídicos del Derecho de Familia
e) Ley exige una solemnidad
f) Ley requiera concurrencia personal

C. INTERPRETACIÓN DE LA LEY
Habrá de tenerse en cuenta su origen internacional, la necesidad de
promover la uniformidad de su aplicación y de velar por la observancia de
la buena fe, tanto en el comercio nacional como internacional.
D. COMERCIO ELECTRÓNICO
Toda relación de índole comercial, sea o no contractual, estructurada a
partir de la utilización de una o más comunicaciones electrónicas o de
cualquier medio similar.
Suministro o intercambio de bienes o servicios, Acuerdo de distribución,
Representación o mandato Comercial, Operaciones financieras, Concesión
o explotación de un servicio público, entre otros…
E. INTERCAMBIO ELECTRONICO DE DATOS
Transmisión electrónica de información de una computadora a otra,
estando estructurada la información conforme a alguna norma técnica
convenida para el efecto.
F. MENSAJE DE DATOS
El documento o información generada, enviada, recibida o archivada por
medios electrónicos, magnéticos, ópticos o similares.
G. COMUNICACIÓN ELECTRÓNICA
Toda comunicación que las partes se hagan por medio de mensajes de
datos.
H. DATOS DE CREACIÓN DE FIRMA
Los datos únicos, tales como códigos o claves criptográficas privadas, que
el firmante utiliza para crear la firma electrónica.
I. RECONOCIMIENTO JURIDICO DE UNA COMUNICACIÓN ELECTRÓNICA
No se negarán efectos jurídicos, validez o fuerza obligatoria a una
comunicación o un contrato por la sola razón de que estén en forma de
comunicación electrónica.
Serán admisibles como medios de prueba y gozarán de la debida fuerza
probatoria de conformidad con los criterios reconocidos por la legislación
para la apreciación de la prueba.
J. CERTIFICADO DIGITAL
Es todo mensaje de datos u otro registro que confirme el vínculo entre un
firmante y los datos de creación de la firma, usualmente emitido por un
tercero diferente del originador y el destinatario.

K. CONTENIDO DE UN CERTIFICADO DIGITAL
• Nombre, dirección y domicilio del firmante
• Identificación del firmante nombrado en el certificado
• El nombre, la dirección y el lugar donde realiza actividades el
prestador de servicios de certificación
• La clave pública del usuario en los casos de la tecnología de
criptografía asimétrica
• La metodología para verificar la firma electrónica del firmante
impuesta en la comunicación electrónica
• El número de serie del certificado
• Fecha de emisión y expiración del certificado
L. REVOCACIÓN DE UN CERTIFICADO DIGITAL
1. Por pérdida
2. Clave ha sido expuesta o corre peligro
3. A petición del firmante un tercero en su nombre y representación
4. Por muerte del firmante
5. Por liquidación en caso de personas jurídicas
6. Clave privada o sistema de seguridad del PSC ha sido
comprometido
7. Por cese de actividades del PSC
8. Por orden judicial o de entidad administrativa competente
M. RECONOCIMIENTO DE CERTIFICADOS
EXTRANJEROS Y DE FIRMAS ELECTRÓNICAS
Todo certificado expedido en el extranjero producirá los mismos efectos
jurídicos que el expedido dentro del territorio de la República, si se
presenta un grado de fiabilidad sustancialmente equivalente.
Toda firma electrónica creada o utilizada en el extranjero producirá los
mismos efectos jurídicos.
Los PSC autorizados en el país, podrán homologar Certificados de firma
electrónica emitidos por entidades no establecidas en Guatemala, bajo su
responsabilidad y cumpliendo los requisitos fijados en la ley y el
reglamento o en virtud de convenio internacional ratificado por
Guatemala.
N. ¿QUÉ ES LA FIRMA ELECTRÓNICA?
Son datos consignados en una comunicación electrónica, adjuntados o
lógicamente asociados, que pueden ser utilizados para identificar al
firmante con relación a la comunicación electrónica e indicar que el
firmante aprueba la información recogida en la comunicación electrónica.

O. REQUISITOS QUE DEBE
CUMPLIR UNA FIRMA ELECTRÓNICA AVANZADA
a) Estar vinculada al firmante de manera única
b) Permitir la identificación del firmante
c) Haber sido creada utilizando los medios que el firmante puede
mantener bajo su exclusivo control
d) Estar vinculada a los datos a que se refiere, de modo que cualquier
cambio ulterior de los mismos sea detectable
La firma electrónica avanzada, podrá estar certificada por un Prestador de
Servicios de Certificación, tendrá el mismo valor jurídico que una firma
manuscrita y será admisible como prueba en juicio, valorándose ésta,
según los criterios de apreciación establecidos en las normas procesales.
(Art. 33)
P. PRESTADORES DE SERVICIOS DE CERTIFICACIÓN - PSC -
Son las personas nacionales o extranjeras, públicas o privadas,
domiciliadas en la República de Guatemala, que expiden certificados y
pueden prestar otros servicios relacionados con la firma electrónica, que
previa solicitud sean autorizados por el Registro de Prestadores de
Servicios de Certificación.
Q. CARACTERISTICAS Y REQUERIMIENTOS DE LOS –PSC-
a) Capacidad Económica y Financiera
b) Capacidad Técnica
- generar firmas electrónicas avanzadas,
- emitir certificados sobre la autenticidad de las mismas
- conservación de mensajes de datos
c) Representantes Legales y administradores (con ética y no haber
sido condenados penalmente)
d) Acreditaciones necesarias por los órganos o entidades
correspondientes según la normativa vigente
R. REQUISITOS QUE DEBE CUMPLIR UN –PSC-
a. GUIAS:
• Chequeo de Antecedentes y Requisitos
• Evaluación
• Inspección Periódica
b. MANUALES INTERNOS:
• Guía de Identificación de Normas Técnicas
• Manual de Operaciones

c. SEGURO DE RESPONSABILIDAD CIVIL
$200,000.00 Según el arancel del Registro
d. Documentación que debe presentar el PSC:
• Constancia de RTU
• Documentación Legal Entidad y Representantes Legales
• Antecedentes Comerciales, Penales y Policiacos
• Dirección de dominio y correo electrónico
• Contratos de Servicios
• Políticas de Privacidad
• Manual Técnico de Dispositivos Seguros
• Declaración de Practicas de Certificación
• Políticas de Certificados
• Currículos-Colegiados Activos (personal que ocupan cargos,
funciones y manejan datos sensibles)
• Oficial de Seguridad
e. ACTIVIDADES DE LOS –PSC-
• Emitir certificados de firmas electrónicas avanzadas,
verificación respecto de la alteración entre el envío y recepción
de una comunicación electrónica;
• Ofrecer servicios de creación de firmas electrónicas avanzadas
certificadas, registro y estampado cronológico en la generación,
transmisión y recepción de comunicaciones electrónicas,
archivo y conservación;
• Certificar en los certificados que expidan, las condiciones
profesionales del titular de la firma para efectos de constituir
prueba frente a cualquier entidad pública o privada.
- OBLIGACIONES DE LOS –PSC-
• Emitir certificados
• Implementar los Sistemas de Seguridad
• Garantizar la protección, confidencialidad y debido uso de la
información y prestación permanente del servicio
• Atender las solicitudes y reclamaciones hechas por el firmante
• Suministrar la información que le requieran las entidades
administrativas o judiciales
• Permitir y facilitar la realización de auditorias por parte del
RPSC
• Elaborar los reglamentos que definen las relaciones con el
firmante
• Llevar un registro de certificados

- TERMINO DE CONSERVACIÓN DE LOS REGISTROS
El Prestador de Servicios de Certificación debe conservar la información y
registros de certificados expedidos por el término exigido en la ley que
regule el acto o negocio jurídico en particular, o por 10 años en caso de no
existir dicho término.
La remuneración por los servicios de los prestadores de servicios de
certificación será establecida libremente.
- El REGISTRO DE PRESTADORES
DE SERVICIOS DE CERTIFICACIÓN
Adscrito al Ministerio de Economía ejerce las facultades que legalmente le
han sido asignadas y tiene entre sus funciones autorizar, registrar e
inscribir a los prestadores de servicios de certificación para promover y
facilitar el comercio electrónico a nivel global, regional y nacional,
adoptando instrumentos técnicos y legales para brindar certeza y
seguridad jurídica.
El Registro es el órgano competente del Estado para atribuir competencia
a una persona, órgano o entidad pública o privada, para determinar que
firmas electrónicas cumplen con lo dispuesto en el Art. 33 de la Ley,
dicha determinación deberá ser compatible con las normas y criterios
internacionales reconocidos.
- FUNCIONES -RPSC-
a) Autorizar la actividad de la entidades prestadoras de servicios de
certificación y velar por su funcionamiento
b) Realizar visitas de auditoria, revocar o suspender la autorización
para operar como prestador de servicios de certificación y solicitar
información pertinente
c) Imponer Sanciones a las PSC y Ordenar la revocación de
certificados (Amonestaciones, Multas, Suspender, Prohibir y
Revocar)
d) Velar por la observancia de las disposiciones constitucionales y
legales
Emitir las regulaciones basadas en principios internacionales
reconocidos
- SANCIONES QUE PODRÁ IMPONER –RPSC-
Son aquellas impuestas a los Prestadores de Servicios de Certificación,
como consecuencia del incumplimiento de las obligaciones que les impone
la ley, el reglamento o cualquier otra regulación pertinente, la cual podrá
ser de carácter pecuniario y/o administrativo.
El RPSC deberá llevar un archivo de sanciones impuestas a los PSC que sea
de acceso público por cualquier medio escrito o electrónico.

- SANCIONES QUE PODRÁ IMPONER –RPSC-
• AMONESTACION
• MULTAS
 INSTITUCIONALES hasta 2500.
 PERSONALES hasta 500 salarios mínimos no
agrícolas.
• SUSPENDER todas o algunas actividades del PSC.
• PROHIBIR prestar servicios de certificación.
• REVOCAR definitivamente la autorización para operar como
PSC.
• AMONESTACION: por incumplimiento de obligaciones de
carácter administrativo.
• MULTAS
• SUSPENDER: 1 hasta 3 meses - casos de procedencia Art. 38 del
Reglamento de la LRCYFE.
• PROHIBIR: 1 hasta 5 años – casos de procedencia Art. 39 del
Reglamento de la LRCYFE.
• REVOCAR: casos de procedencia Art. 40 del Reglamento de la
LRCYFE.
- TRÁMITE DE LAS SANCIONES
RPSC determina que PSC ha incumplido sus obligaciones y amerita una
sanción, notificará al PSC de la sanción a imponer corriéndole audiencia
por 5 días.
RPSC con la contestación o sin ella del PSC, deberá emitir resolución en la
que determine la sanción a imponer y enviará el expediente al Ministro
para que imponga la sanción.
Ministro emite resolución 8 días siguientes de recibir la petición del RPSC y
fija plazo al PSC para que haga efectivo el monto de la sanción si esta fuere
de carácter pecuniario no podrá exceder de 20 días (duplicarse).
Ministro notifica resolución al PSC y devuelve expediente al RPSC.
- REGLAMENTO DE LA LEY
Desarrolla los preceptos normativos contenidos en la Ley y las funciones
del Registro de Prestadores de Servicios de Certificación como autoridad
responsable del registro y autorización para operar de los prestadores de
servicios de certificación.

- CONTENIDO REGLAMENTO
Capitulo I
Disposiciones General
Capitulo II
Uso de las firmas electrónicas por los organismos del Estado
Capitulo III
De los Prestadores de Servicios de Certificación
Capitulo IV
De los Certificados de Firma Electrónica
Capitulo V
De la autorización e inspección de los prestadores de servicios de
certificación
Capitulo VI
Derechos y Obligaciones de los Usuarios de Firmas Electrónicas
Capitulo VII
Del Registro de Prestadores de Servicios de Certificación
Capitulo VIII
Procedimiento para la imposición de Sanciones
Capitulo IX
Disposiciones Finales
CAPITULO II
USO DE LAS FIRMAS ELECTRÓNICAS POR LOS ORGANISMOS DEL ESTADO
ACTOS Y CONTRATOS POR PARTE DEL ESTADO
Los órganos del Estado podrán suscribirlos por medio de firma electrónica
y serán validos de la misma manera y producirán los mismos efectos que
los expedidos por escrito y en soporte papel.
Decretos o Resoluciones, Acuerdos de órganos colegiados, Contratos,
Emisión de cualquier otro documento que exprese la voluntad de un
órgano o servicio público de la administración del Estado, todo documento
que revista la naturaleza de instrumento público o aquellos que deban
producir los efectos jurídicos de éstos, deberán suscribirse mediante
FIRMA ELECTRÓNICA AVANZADA.

1. Relación con los organismos del Estado:
Cuando sea necesaria la comprobación de identidad, será necesario el
empleo de la Firma Electrónica Avanzada, podrán relacionarse por medios
electrónicos con los particulares, cuando estos hayan consentido
expresamente en esta forma de comunicación.
2. Contratación del Estado:
Podrán contratar servicios de certificación de firmas con Prestadores de
Servicios de Certificación autorizados por el Registro de Prestadores de
Servicios de Certificación.
3. Documentos Electrónicos utilizados por el Estado:
Repositorio o Archivo Electrónico que garantice la seguridad, integridad y
disponibilidad de la información, bajo la responsabilidad del funcionario a
cargo del mismo. Art. 8 Reglamento de la LRCYFE
4. Regulación:
Cada organismo del Estado podrá regular la forma cómo se garantizará la
publicidad, seguridad, integridad y eficacia en el uso de las firmas
electrónicas y las demás necesarias para la aplicación de las normas
establecidas en la ley o el reglamento. Art. 9 Reglamento de la LRCYFE
5. Arancel del registro de prestadores de servicios de Certificación
a) Análisis del expediente de solicitud (no se restituye) Q. 20,500.00.
b) Autorización e inscripción inicial Q.130, 000.00.
c) Autorización para prestar servicios/actividades Q.75, 000.00 c/u.
d) Membresía Anual por supervisión Q. 25,000.00.
e) Certificaciones Q.150.00 hasta 10 hojas (5.00 por hoja adicional).

A. Certificado Digital
1. ¿Cómo es un Certificado Digital?
Un Certificado Digital con las características de Seguridad necesarias, debe
utilizar las mas modernas y estables metodologías que la Criptografía
pueda ofrecer. Es por ello que internacionalmente se acepta a la
Criptografía Asimétrica como la metodología mas adecuada para la
generación de un Certificado Digital.
Pues bien cuando la Autoridad de Certificación recibe y firma la Clave
Pública del Usuario utilizando su propia Clave Privada (también llamada
Clave Privada Raíz) convierte al Par de Claves en un Certificado Digital.
2. Clases de Certificado Digital
Los certificados pueden ser clasificados según qué medios hayan sido
utilizados para verificar la veracidad de los datos.
Clase 0 : Se utilizan para probar el procedimiento de Firma electrónica
simple. Son gratuitos y pueden bajarse Ejemplo en:
www.certificadodigital.com.ar .
Clase 1 : Certifican que la persona que posee el Certificado es quien dice
ser, y que la dirección de correo electrónico está bajo su control.
Para cerciorarse de la identidad de la persona la Autoridad de Registro
solicita un documento que lo acredite. Firma Electrónica Avanzada.
Periodo de Validez de un Certificado Digital: de 1 a 3 años.
B. Estándar de Certificados X.509
• La primera versión apareció en 1988 y fue publicada como el formato
X.509v1, siendo la propuesta más antigua para una infraestructura de
clave pública (PKI) a nivel mundial. Esto junto con su origen ISO/ITU han
hecho de X.509 el PKI más ampliamente utilizado. Más tarde fue
ampliada en 1993 por la versión 2 únicamente en dos campos,
identificando de forma única el emisor y usuario del certificado. La
versión 3 de X.509 amplia la funcionalidad del estándar X.509
1. X.509. Campos o Estructura
• V: Versión del certificado.
• SN: Número de serie. (para los CRL)
• AI: identificador del algoritmo de firma que sirve única y
exclusivamente para identificar el algoritmo usado para firmar el
paquete X.509.

• CA: Autoridad certificadora (nombre en formato X.500).
• TA: Periodo de validez.
• A: Propietario de la clave pública que se está firmando.
• P: Clave pública más identificador de algoritmo utilizado y más
parámetros si son necesarios.
• Y{I}:Firma digital de Y por I (con clave privada de una unidad
certificadora).
CA<<A>> = CA { V, SN, AI, CA, TA, A, AP }
Donde Y<<X>> es el certificado del usuario X expedido por Y, siendo Y la
autoridad certificadora. De esta forma se puede obtener cualquier X
certificado por cualquier Y.

2. X.509, Versión 3
• El estándar, internacionalmente aceptado, para Certificados Digitales,
es el denominado X.509, en su versión 3.
• Contiene datos del sujeto, como su nombre, dirección, correo
electrónico, etc..
• Con la versión 3 de X.509, sucesora de la versión 2, no hace falta aplicar
restricciones sobre la estructura de las CAs gracias a la definición de las
extensiones de certificados. Se permite que una organización pueda
definir sus propias extensiones para contener información específica
dentro de su entorno de operación. Este tipo de certificados es el que
usa el protocolo de comercio electrónico SET.
• X.509 y X.500 fueron originalmente diseñados a mediados de los años
80, antes del enorme crecimiento de usuarios en Internet. Es por esto
por lo que se diseñaron para operar en un ambiente donde sólo los
computadores se interconectaban intermitentemente entre ellos. Por
eso en las versiones 1 y 2 de X.509 se utilizan CRLs muy simples que no
solucionan el problema de la granularidad de tiempo.
• La versión 3 introduce cambios significativos en el estándar. El cambio
fundamental es el hacer el formato de los certificados y los CRLs
extensible. Ahora los que implementen X.509 pueden definir el
contenido de los certificados como crean conveniente. Además se han
definido extensiones estándares para proveer una funcionalidad
mejorada.

CAMPOS DEL X.509v3

a. Importancia de la seguridad de la Información
1. La Información es un activo invaluable
2. El objetivo principal de los Ciberpiratas son las cuentas y los datos
bancarios (Cuesta Dinero)
3. Genera desprestigio y problemas legales
4. Garantizar la continuidad del negocio y responsabilidad social
b. Principales tipos de amenazas:
• Acceso no autorizado
• Usuarios desleales
• Espionaje industrial
• "Hackers" de computador
• Fraude
• Fuego
• Persecución y observación de empleados clave
• Robo de notebooks

C.Sistema de Gestión de Seguridad
de la Información SGSI – ISO/IEC 27001:2005
Historia y evolución de la norma ISO/IEC 27001
• Febrero de 1998: Primera publicación de la BS 7799-2
• Mayo de 1999: Publicación simultánea de las normas BS 7799-1 y
BS 7799-2
• Septiembre de 2002: La BS 7799-2 es publicada por BSI
• Abril de 2005: Aprobado en la reunión de Viena la serie ISO/IEC
27000
• Octubre de 2005: Publicación de la ISO/IEC 27001
En 2008 la ISO/IEC 27001 inicia el proceso
Esta norma internacional, derivada de la norma británica BS 7799-1, ha
sido el fruto de un consenso entre los países miembros de la ISO
(exceptuando Canadá, Estados Unidos de Norteamérica y Japón quienes
no aceptaban inicialmente adoptar internacionalmente una norma
británica en la materia), que sirve como guía para la implementación de un
Sistema de Gestión de Seguridad de la Información para Organizaciones
públicas, privadas o mixtas, con la finalidad de preservar la
confidencialidad, integridad y disponibilidad de la información importante
que estas posean y que muchas veces es invaluable (información tal que
marque la diferencia entre una organización y su competencia). Hay que
tomar en cuenta que la seguridad de la información no es solo para
Tecnologías de la Información y Comunicación - TICs, se trata de Gestión
en general, involucra Recursos Humanos, Jurídicos, seguridad física entre
otros.
Por ser norma ISO garantiza la mejora continua del SGSI.

Planificar PLAN (establecer el SGSI): Establecer la política, los objetivos,
procesos y procedimientos de seguridad pertinentes para gestionar el
riesgo y mejorar la seguridad de la información, con el fin de entregar
resultados acordes con las políticas y objetivos globales de una
organización.
Hacer DO (implementar y operar el SGSI): Implementar y operar la
política, controles, procesos y procedimientos del SGSI.
Verificar CHECK (hacer seguimiento y revisar el SGSI): Evaluar y, en donde
sea aplicable, medir el desempeño del proceso con respecto a la política y
los objetivos de seguridad y la experiencia práctica, reportando los
resultados a la dirección, para su revisión.
Actuar ACT (mantener y mejorar el SGSI): Emprender acciones
correctivas y preventivas basadas en los resultados de la auditoría interna
del SGSI y la revisión por la dirección, para lograr la mejora continua del
SGSI.
Dominios de control.
• Política de Seguridad.
• Organización de la Seguridad de la Información.
• Gestión de Activos.
• Seguridad Ligada a los Recursos Humanos.
• Seguridad Física y del Ambiente.
• Gestión de Comunicaciones y Operaciones.
• Control de Acceso.
• Adquisición, Desarrollo y Mantenimiento de Sistemas de
Información.
• Gestión de Incidentes de Seguridad de la Información.
• Gestión de Continuidad del Negocio.
• Cumplimiento.
DOCUMENTOS EXIGIDOS POR EL SGSI.
• Declaraciones documentadas de la Política de Seguridad de la
Información.
• Alcance del SGSI.
• Reporte de evaluación de riesgos.
• Plan de tratamiento de riesgos.
• Procedimientos documentados para asegurar la operación y el
control de los procesos en Seguridad de la Información.
• Registros exigidos por la Norma.
• Declaración de aplicabilidad.

PROCEDIMIENTO PARA LA CERTIFICACION ISO 27001
ACTIVIDADES PLAZO
DEFINICIÓN DEL ALCANCE DEL SGSI MES 1
EVALUACIÓN DE RIESGOS EN LAS ÁREAS Y PROCESOS DEL SGSI MES 2 A 4
DIAGNÓSTICO DEL SGSI MES 1 A 2
DECLARACIÓN DE APLICABILIDAD MES 6
IMPLEMENTACIÓN DE LOS CONTROLES DEFINIDOS EN LA
EVALUACIÓN Y TRATAMIENTO DE LOS RIESGOS
MES 3 A 11
SEMINARIO SOBRE CONCIENTIZACIÓN EN SEGURIDAD DE LA
INFORMACIÓN
MES 3 A 7
CURSO SOBRE LAS NORMAS ISO/IEC 27001 Y 27002 MES 2 A 4
DOCUMENTACIÓN DEL SGSI MES 2 A 11
FORMACIÓN DE LAS PERSONAS INVOLUCRADAS EN LA
DOCUMENTACIÓN DEL SGSI.
MES 2 A 8
AUDITORÍA INTERNA DEL SGSI MES 10
IMPLEMENTACIÓN DE ACCIONES PREVENTIVAS Y CORRECTIVAS MES 10 A 11
REVISIÓN DEL SGSI POR LA DIRECCIÓN MES 11
EVALUACION DETALLADA DEL SGSI MES 11

Estándares Autoridad emisora de certificados de firma electrónica
avanzada (AC= Autoridad Certificadora) y de estampado cronológico
Para ofrecer un grado de seguridad reconocido y comparable a nivel
internacional, se recomienda que los PSC, o las entidades en su nombre
delegadas para ofrecer el servicio de Autoridad Certificadora, cumplan
como mínimo en su operación con uno de los siguientes estándares:
ISO/IEC 27001, o WebTrust for Certification Authorities.
La norma ISO/IEC 27001 está diseñada para garantizar la adecuada
selección de los controles de seguridad proporcionados para proteger los
activos de información, y dar confianza a las partes interesadas.
El programa WebTrust ayuda a garantizar que los procedimientos se
siguen en actividades relacionadas con las transacciones de comercio
electrónico, infraestructura de clave pública (PKI), y la criptografía.
Además en estas empresas el hardware criptográfico es vital. Por ello, para
la raíz de la Autoridad Certificadora, y para la Autoridad de Estampado
Cronológico se recomienda el cumplimiento de uno de los dos estándares
internacionales siguientes: FIPS PUB 140-1 o FIPS PUB 140-2;
Ambos estándares especifican los requerimientos de seguridad que deben
ser satisfechos por un módulo criptográfico usado en un sistema de
seguridad que protege información en sistemas computacionales y de
telecomunicaciones. Las normas proveen 4 niveles cualitativos y
crecientes de seguridad para cumplir un amplio rango de aplicaciones
posibles en diferentes ambientes potenciales en los cuales los módulos
criptográficos se pueden usar. Y para la prestación del servicio en
Guatemala se recomienda exigir el cumplimiento como mínimo del Nivel 3
a nivel del hardware criptográfico.
Comprobación de la identidad del firmante y
de sus datos certificados (Autoridad de Registro)
Provisoriamente, para ofrecer un grado de seguridad reconocido y
comparable a nivel internacional, se recomienda que los PSC o las
entidades en su nombre delegadas para ofrecer el servicio de Autoridad
de Registro, estén certificadas en su operación como mínimo con el
estándar ISO 9001.
Dada la amplia gama de usos posibles de dicho estándar, se hace
recomendable que la Autoridad de Registro implemente de manera
complementaria y verificable (no necesariamente certificada), el apego a
la norma ISO/IEC 27001.

Esta provisionalidad permite a las empresas alcanzar un nivel de madurez
necesario para garantizar la seguridad del sistema. la certificación ISO
9001 y la certificación ISO/IEC 27001 serán las que permitan que
continúen con su autorización.
Almacenamiento de los datos de creación de firma del titular
(dispositivos Criptográficos, Token. Smart Card entre otros)
Un tercer pilar en la seguridad del sistema está constituido por el
mecanismo escogido para entregar los datos de creación de firma a un
titular. Para el dispositivo en el cual se entregarán los certificados y datos
privados de firma electrónica ofrecidos por el PSC a sus clientes, o las
entidades en su nombre delegadas para ofrecer el servicio, se recomienda
exigir la certificación de cumplimiento de uno de los dos estándares
internacionales siguientes: FIPS PUB 140-1, Nivel 2 ó 3; o su versión más
reciente: FIPS PUB 140-2: Nivel 2 ó 3.
Verificación del registro público de certificados en línea:
Para cumplir con el requisito de ofrecer medios razonablemente accesibles
para determinar el estado de un certificado, se recomienda que los PSC, o
las entidades en su nombre delegadas para ofrecer información en línea
de sus servicios, tengan implementado el estándar internacional RFC 2560
X.509.
Dicho estándar define el Online Certificate Status Protocol (OCSP) que
permite implementar o usar aplicaciones que determinen el estado de un
certificado en línea, proporcionando información más oportuna que la
opción de listas de revocación, actualizadas con frecuencias típicas de 24
horas.
Servicios asociados al estampado cronológico
delegadas para ofrecer servicios de estampado cronológico, cumplan
como mínimo en su operación con el tener la certificación ISO/IEC 27001.
Dada la amplia gama de usos posibles de dicho estándar, se hace
recomendable que la entidad que ofrezca servicios de estampado
implemente de manera complementaria a ISO/IEC 27001, y verificable por
un auditor externo competente (no necesariamente certificada), el apego
a las normas ETSI TS 102 023, e ISO/IEC 18014; o las respectivas normas
guatemaltecas que las homologuen, respectivamente.

En ETSI TS 102 023 se definen los requisitos de la política en las prácticas
de operación y de administración de las autoridades de estampado
cronológico (TSA) tales que los suscriptores y otras partes puedan tener
confianza en la operación de los servicios de estampado cronológico. En
particular, se recomienda exigir el uso del algoritmo de hash SHA-1 con
RSA y largos de llave de al menos 2048 bits con RSA.
En el segundo, ISO/IEC 18014 se describe el modelo general en el cual se
basan los servicios de estampado cronológico, define los servicios, define
los protocolos básicos, y especifica los protocolos entre las entidades
involucradas.
Conservación de las comunicaciones electrónicas
La Ley contempla la necesidad de contar con servicios de almacenamiento
de comunicaciones electrónicas, lo que posibilita a los PSC autorizados a
ofrecer dicho servicio.
delegadas para ofrecer dicho servicio, cumplan como mínimo con el
estándar ISO/IEC 27001, o su equivalente en norma nacional.
Como esta norma está diseñada para ser apta en diferentes tipos de uso,
debe ser complementada con el estándar TIA-942, o su equivalente en
norma nacional. En él se cubren recomendaciones sobre el espacio físico y
su distribución, el cableado, la disponibilidad, y el entorno.
Además en el estándar TIA-942 se definen cuatro niveles de disponibilidad,
o Tier, y se recomienda que el Data Center opere con nivel Tier 3, e incluso
Tier 4 cuando la información así lo requiera.
Breve descripción de las normas Solicitadas por el RPSC:
• ETSI TS 102 023 V1.2.2 (2008-10) Electronic Signatures and
Infrastructures (ESI); Policy requirements for time-stamping
authorities.
El sistema de estampado cronológico es un proceso seguro que permite
establecer el tiempo de la creación y modificación de un documento,
asociando una fecha y una hora a un documento digital de una manera
criptográficamente fuerte. “Seguro” significa que nadie, ni siquiera el
dueño del documento puede modificarlo una vez que ha sido guardado,
siempre y cuando la integridad del proveedor del servicio de estampado

cronológico no haya sido comprometida. Para lograrlo se requiere
disponer de una infraestructura confiable de estampado cronológico.
El estampado cronológico confiable es otorgado por una tercera parte de
confianza (Trusted Third Party - TTP) que actúa como una autoridad de
estampado cronológico (Timestamping Authority – TSA), y es el único
sistema, reconocido internacionalmente, que permite determinar si una
firma electrónica fue generada con anterioridad al momento de
revocación de un certificado.
El estándar define los requisitos de la política en las prácticas de operación
y de administración de las autoridades de estampado cronológico (TSA)
tales que los suscriptores y otras partes puedan tener confianza en la
operación de los servicios de estampado cronológico. Estos requisitos
están pensados para los servicios de estampado cronológico usados en las
firmas electrónicas pero se pueden aplicar a cualquier caso que requiera
probar que un dato existía antes de un instante particular en el tiempo, y
están basadas en la criptografía de clave pública, certificados de clave
pública y fuentes de tiempo confiables.
En particular, el documento trata los requisitos para una TSA que publica
sellos de tiempo que se sincronizan con la Escala de Tiempo Universal
(Coordinated Universal Time - UTC) y son firmados digitalmente por una
unidad de estampado cronológico (Time Stamping Unit – TSU[1]).
Entre los ámbitos incluidos están las políticas de la TSA respecto del
estampado cronológico, las obligaciones y responsabilidades de las partes
involucradas, las declaraciones de prácticas incluyendo temas como la
gestión del ciclo de vida de las llaves usadas, operación de una TSA, etc.,
respecto de las cuales tanto los suscriptores como las partes que confían
deberían informarse adecuadamente.
Fuente del estándar: http://pda.etsi.org/pda/queryform.asp
FIPS PUB 140-1: Security Requirements for Cryptographic Modules,
(Mayo 2001) y FIPS PUB 140-2: Security Requirements for Cryptographic
Modules (Mayo 2002)
Ambos estándares especifican los requerimientos de seguridad que deben
ser satisfechos por un módulo criptográfico usado en un sistema de
seguridad que protege información en sistemas computacionales y de
telecomunicaciones (incluyendo sistemas de voz). Las normas proveen 4
niveles cualitativos y crecientes de seguridad para cumplir un amplio
rango de aplicaciones posibles en diferentes ambientes potenciales en los
cuales los módulos criptográficos se pueden usar.
Los requisitos de seguridad cubren áreas relacionadas con el diseño básico
y la documentación, interfaces del módulo, roles y servicios autorizados,

seguridad física, seguridad de software, seguridad del sistema operativo,
gestión de llave, algoritmos criptográficos, interferencia electromagnética,
y auto pruebas.
El nivel de seguridad de un módulo criptográfico será elegido para proveer
un nivel de seguridad adecuado a los requisitos de la aplicación y al
ambiente en los cuales el módulo va a ser utilizado y a los servicios de
seguridad que el módulo se supone debe proveer.
Niveles de Seguridad:
Nivel de seguridad 1. Provee el nivel más bajo de seguridad. No se
requieren mecanismos de seguridad física más allá de los requisitos del
equipo de producción estándar. El Nivel 1 permite que las funciones
criptográficas de software sean ejecutadas en un computador personal de
propósito general.
Nivel de seguridad 2. Mejora la seguridad física de un módulo
criptográfico de seguridad de Nivel 1 agregando el requisito de
recubrimientos o sellos que hagan evidente la intromisión, o el de
serraduras resistentes a ser violentadas, obligando a romperlas para
obtener acceso físico a las llaves criptográficas de texto plano y a otros
parámetros críticos de seguridad del módulo. El Nivel 2 provee
autenticación basada en roles, en el cual el módulo debe autenticar que
un operador esté autorizado para asumir un rol específico y ejecutar un
conjunto de servicios correspondientes.
Nivel de seguridad 3. Mejora la seguridad física de los anteriores. El Nivel
3 intenta prevenir que un intruso pueda obtener acceso a parámetros
críticos de seguridad mantenidos dentro del módulo. Por ejemplo, si una
cubierta o sello se retira o una puerta se abre, los parámetros críticos de
seguridad son reducidos a cero. Este nivel provee autenticación por
identidad, donde el modulo debe de identificar la identidad de un
operador y verificar que dicho operador esté autorizado para asumir cierto
rol específico y ejecutar un conjunto de servicios correspondientes.
Además los puertos de datos usados para parámetros críticos de seguridad
deben estar físicamente separados de otros puertos de datos.
Nivel de seguridad 4. Provee el grado más alto de seguridad. La mayoría de
los productos existentes no cumple este nivel por completo, pero sí
algunas características. El Nivel 4 provee un sobre de protección alrededor
del módulo criptográfico. Su propósito es detectar una penetración en el
dispositivo en cualquier dirección. El Nivel 4 también protege a un módulo
criptográfico contra el compromiso de su seguridad debido a condiciones
ambientales o fluctuaciones fuera de los rangos operativos normales del
módulo por tensión eléctrica y la temperatura.

FIPS 140-2 incorpora cambios en la aplicación de estándares y tecnología
desde el desarrollo de FIPS 140-1 así como cambios basados en
comentarios recibidos de vendedores, laboratorios, y la comunidad de
usuarios. NIST estableció un período de transición entre ambos
estándares, sin embargo, indica que todas las validaciones contra el
estándar FIPS 140-1 seguirán siendo reconocidas.
Fuente del estándar: http://csrc.nist.gov/publications/fips/fips140-
2/fips1402.pdf
ISO 9001 Quality management systems –Requirements
ISO 9001 especifica requerimientos para un sistema de gestión de la
calidad donde una organización necesita demostrar su habilidad para
proveer consistentemente productos que cumplen los requisitos del
cliente y de las normativas y regulaciones aplicables, y tiene por objeto
mejorar la satisfacción del cliente a través de la aplicación efectiva del
sistema, incluidos los procesos de mejora continua del sistema y la
garantía de conformidad con el cliente y normativas legales y los requisitos
reglamentarios.
Todos los requisitos de la norma ISO 9001 son genéricos y están
destinadas a ser aplicables a todas las organizaciones,
independientemente del tipo, tamaño y producto. Cuando algún requisito
de la norma ISO 9001 no se puede aplicar debido a la naturaleza de una
organización y su producto, esto puede ser considerado para la exclusión.
Cuando se hacen exclusiones, las reclamaciones de conformidad con la
norma ISO 9001 no son aceptables a menos que estas exclusiones se
limiten a los requisitos de la cláusula 7, y tales exclusiones no afecten a la
capacidad de la organización, o la responsabilidad, para ofrecer productos
que satisfagan a sus clientes y que respondan a las normativas legales y los
requisitos reglamentarios.
Fuente del estándar:
http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.ht
m?csnumber=46486

ISO/IEC 18014-1:2002 Information technology
-- Security techniques -- Time-stamping services.
Es un estándar compuesto por tres partes.
Parte 1: Framework
Identifica el objetivo de una autoridad de estampado cronológico,
describe el modelo general en el cual se basan los servicios de estampado
cronológico, define los servicios de estampado cronológico, define los
protocolos básicos de estampado cronológico, y especifica los protocolos
entre las entidades involucradas.
Parte 2: Mechanisms producing independent tokens
Describe los servicios de estampado cronológico produciendo tokens
independientes, un modelo general para los servicios de estampado
cronológico de este tipo y los componentes básicos usados para construir
el servicio, definiendo las estructuras de datos y los protocolos usados
para interactuar con él.
Actualmente se cubren tres mecanismos independientes: (1) estampado
cronológico usando firma digital, (2) estampado cronológico usando
códigos de autenticación de mensajes, y (3) estampado cronológico
usando archivos.
Parte 3: Mechanisms producing linked tokens
Describe el servicio de estampado cronológico produciendo tokens
ligados, es decir, tokens que están criptográficamente limitados a otros
tokens producidos por estos servicios de estampado cronológico. Describe
un modelo general para los servicios de estampado cronológico de este
tipo y los componentes básicos usados para construir el servicio, define las
estructuras de datos y los protocolos usados para Interactuar con el
servicio de estampado cronológico, así como casos específicos de tales
servicios.
http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.ht
m?csnumber=50678

RFC 2560 X.509 Internet PKI
Online Certificate Status Protocol - OCSP. June 1999.
En lugar de o como complemento a la comprobación de una lista de
certificados revocados (CRL), puede ser necesario obtener información
oportuna acerca del estado de revocación de un certificado. Algunos
ejemplos son la transferencia de fondos de alto valor o de grandes
existencias.
El Online Certificate Status Protocol (OCSP) permite a las aplicaciones
determinar el estado de un certificado. OCSP se puede utilizar para
satisfacer algunas de las necesidades operacionales de proporcionar
información más oportuna sobre la revocación de la que es posible con las
CRL y puede ser utilizado también para obtener más información sobre el
estado del certificado. Un cliente OCSP emite una solicitud de estado a un
OCSP servidor, y suspende la aceptación del certificado en cuestión hasta
obtener la respuesta.
Este protocolo especifica los datos que deben intercambiarse entre una
solicitud de comprobación del estado de un certificado y el servidor que
provee el estado del certificado.
http://www.ietf.org/rfc/rfc2560.txt
RFC 5280 Internet X.509 Public Key Infrastructure
Certificate and Certificate Revocation List (CRL) Profile
Este estándar es parte de una familia de normas para la Infraestructura de
Clave Pública (PKI) X.509 para Internet.
Esta especificación describe los perfiles y la semántica de los certificados y
listas de certificados revocación (CRL).
Se describen los procedimientos para el procesamiento de los caminos de
certificación en Internet. Por último, como anexo se presentan módulos en
formato ASN.1 para todas las estructuras de datos definidas o
referenciadas.
http://www.ietf.org/rfc/rfc5280.txt

TIA-942 Telecommunications Infrastructure
Standard for Data Centers (Abril 2005)
Este estándar especifica los requerimientos mínimos para la
infraestructura de telecomunicaciones de un repositorio de datos (data
center) y para salas de computadores, incluyendo los de empresas
individuales y el hospedaje de múltiples empresas en un mismo
repositorio de datos. La topología propuesta en el documento es aplicable
a cualquier tamaño de data center.
El estándar cubre el espacio del sitio y su distribución; la infraestructura de
cableado; niveles de fiabilidad; y consideraciones del entorno (ambiente).
Respecto de la fiabilidad, el estándar define 4 niveles:
Tier I – Básico. Ofrece 99.671% de disponibilidad, es decir, durante un año
puede quedar indisponible por 28.8 horas. Es susceptible de sufrir
interrupciones en su operación, tanto programadas como imprevistas, y
para realizar mantenciones debe ser apagado por completo.
Tier II – Componentes redundantes. Ofrece 99.741% de disponibilidad, es
decir, durante un año puede quedar indisponible por 22.0 horas. Es menos
susceptible a sufrir interrupciones del servicio, tanto planeadas como
imprevistas. Algunas mantenciones también requieren del apagado
completo del data center.
Tier III – Mantención concurrente. Ofrece 99.982% de disponibilidad, es
decir, durante un año puede quedar indisponible por 1.6 horas. Permite
actividades planificadas sin interrumpir el funcionamiento de las
máquinas, pero situaciones imprevistas todavía pueden afectar la
operación.
Tier IV– Tolerante a fallas. Ofrece 99.995% de disponibilidad, es decir,
durante un año puede quedar indisponible por 0.4 horas. Las actividades
planificas no interrumpen las cargas críticas y el almacenamiento de datos
puede soportar al menos un evento no planificado sin impactos críticos.
http://www.tiaonline.org/standards/

WebTrust for Certification Authorities
Las principales Autoridades Certificadoras (CA) están obligadas a
someterse a una auditoría amplia denominada AICPA/CICA WebTrust
Program for Certification Authorities. Esta auditoría se lleva a cabo por
empresas auditoras públicas y profesionales que están específicamente
autorizados por el Instituto Americano de Contadores Públicos
Certificados (AICPA) y el Canadian Institute of Chartered Accountants
(CICA).
El programa WebTrust de CA ayuda a garantizar que los procedimientos se
siguen en actividades relacionadas con las transacciones de comercio
electrónico, infraestructura de clave pública (PKI), y la criptografía. Para
alcanzar confianza en las transacciones en línea y en el comercio
electrónico, la confidencialidad, autenticación, integridad y no repudiación
son de vital importancia. Estas necesidades se satisfacen mediante el uso
de PKI y certificados SSL. Una autoridad de certificación verifica la
identidad de una organización o entidad y expide un certificado que la
organización puede utilizar para probar su identidad.
El programa WebTrust para Autoridades de Certificación ayuda a asegurar
que la CA sigue adecuadamente su declaración de prácticas de
certificación (CPS), verificando apropiadamente las organizaciones, y
protegiendo adecuadamente sus llaves de certificado.
http://www.webtrust.org/

Common Criteria EAL 5+
Estándar Europeo que se utiliza con el fin de poder certificar un producto
según los Criterios Comunes se deben comprobar, por parte de uno de los
laboratorios independientes aprobados, numerosos parámetros de
seguridad que han sido consensuados y aceptados por 22 países de todo el
mundo. El proceso de evaluación incluye la certificación de que un
producto software específico verifica los siguientes aspectos:
Los requisitos del producto están definidos correctamente.
Los requisitos están implementados correctamente.
El proceso de desarrollo y documentación del producto cumple con ciertos
requisitos previamente establecidos.
Los Criterios Comunes establecen entonces un conjunto de requisitos para
definir las funciones de seguridad de los productos y sistemas de
Tecnologías de la Información y de los criterios para evaluar su seguridad.
El proceso de evaluación, realizado según lo prescrito en los Criterios
Comunes, garantiza que las funciones de seguridad de tales productos y
sistemas reúnen los requisitos declarados. Así, los clientes pueden
especificar la funcionalidad de seguridad de un producto en términos de
perfiles de protección estándares y de forma independiente seleccionar el
nivel de confianza en la evaluación de un conjunto definido desde el EAL1
al EAL7.
EAL 5+ o 5 Plus (diseño verificado y probado semiformalmente):
Permite a los desarrolladores alcanzar una alta garantía en la aplicación de
técnicas de ingeniería de seguridad para un entorno de desarrollo riguroso
y donde el objeto de evaluación es considerado de gran valor para la
protección del alto costo o estimación de esos bienes contra riesgos
significativos. Además, es aplicable para el desarrollo de objetos de
evaluación, destinados a salvaguardar la seguridad informática en
situaciones de alto riesgo donde el valor de los bienes protegidos justifica
los costos adicionales. El análisis en este nivel se apoya en un diseño
modular y en una presentación estructurada de la implementación del
producto. La búsqueda de vulnerabilidades debe mostrar una alta
resistencia a los ataques de penetración.
Permite a un desarrollador alcanzar máxima garantía de ingeniería de
seguridad positiva mediante la aplicación moderada de técnicas de
ingeniería de seguridad. La confianza se apoya, en este caso, en un modelo
formal y una presentación semiformal de la especificación funcional y el
diseño de alto nivel. En Europa para los chips de firma electrónica
utilizados en los pasaportes es obligatorio tenerlo para poder ofrecer este
servicio, también para aplicaciones de pagos en línea.

Requisitos Evaluados por parte del RPSC
R1: La admisibilidad
R2: Aspectos Legales y Comerciales
R3: Servicios Ofrecidos
R4: Estándares
R5: Políticas y Practicas de Certificación
R6: Administración del PSC
Pasos: Fuente: Guia de Evaluación y de Requisitos www.rpsc.gob.gt
Paso 1: Pago del Costo de la Evaluación.
Paso 2: Presentar la Solicitud con la documentación y los requisitos
evaluados anteriormente.
Paso 3: Verificación de la admisibilidad
Paso 4: Evaluación de la Autorización.
Para esta evaluación el RPSC cuenta con 90 días Hábiles según ley para
otorgar la autorización inscripción y registro para ser PSC.

ACTIVIDADES DE LA SEMANA
ACTIVIDAD DURACION FECHA PUNTEO
Foro Temático Módulo II 30 Minutos Martes -
Jueves
5 puntos
Elaborar un ensayo
indicando “Considera que
se ha dado a conocer lo
suficiente el Decreto
47-2008, que haría para
acelerar la implementación
de la herramienta en
Guatemala”
2 Horas Jueves 5 puntos
Cuestionario 30 Minutos Viernes 5 Puntos
Proyecto Final
Llenar la parte 2 del
proyecto Final
(documento a descargar)
30 Minutos Viernes 5 puntos

BIBLIOGRAFIA
“LA LEY PARA EL RECONOCIMIENTO
DE LAS COMUNICACIONES Y FIRMAS ELECTRÓNICAS”
Decreto No. 47-2008 del Congreso de la República
REGLAMENTO DE LA LEY
Acuerdo Gubernativo No. 135-2009
y su reforma en Acuerdo Gubernativo No. 262-2009
ARANCEL DEL REGISTRO
Acuerdo Gubernativo No. 109-2010
y su reforma en Acuerdo Gubernativo No. 460-2011

INSTITUTO NACIONAL
DE ADMINSITRACIÓN PÚBLICA
Boulevard Los Próceres 16-40, zona 10
Ciudad de Guatemala
PBX: (502) 2419-8181
www.inap.gob.gt

Modulo 2 firm al e

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (19)

Destaque

Destaque (17)

Semelhante a Modulo 2 firm al e

Semelhante a Modulo 2 firm al e (20)

Mais de Instituto Nacional de Administración Pública

Mais de Instituto Nacional de Administración Pública (20)

Último

Último (13)

Modulo 2 firm al e