Política de Certificado de la Autoridad de Certificación

Anuncio
Política de Certificado
de la
Autoridad de Certificación Raíz
“WG10 QUALIFIED IDENTIFICATION ROOT CA”
Referencia:
PC PKI WG10 QUALIFIED SAN
Versión:
1.0.2
Fecha:
30/01/2009
Política de Certificado
Información General
Control Documental
Proyecto:
Certificación digital en Universidades
Autoridad de destino:
Santander
Título:
Política de Certificado
Código de referencia:
PC PKI WG10 QUALIFIED
Versión:
1.0.2
Fecha edición:
30/01/2009
Autor:
Santander
Derechos de Uso
Este documento y la información que contiene son propiedad de Banco Santander, S.A., titular del
Copyright.
Este documento tiene carácter público y no podrá ser objeto de reproducción total o parcial,
tratamiento informático ni transmisión de ninguna forma o por cualquier medio, ya sea electrónico,
mecánico, por fotocopia, registro o cualquiera otro, sin permiso previo por escrito de Banco
Santander, S.A.
Asimismo, tampoco podrá ser objeto de préstamo, alquiler o cualquier forma de cesión de uso sin
permiso previo por escrito de Banco Santander, S.A.
El incumplimiento de las limitaciones señaladas por cualquier persona que tenga acceso a este
documento se perseguirá conforme a ley.
Control de Versiones
Versión
Fecha
Autor(es)
Cambios/Comentarios
1.0
3-4-2006
J. Cuesta
Versión Inicial
1.01
15-11-2006
J. Cuesta
Ampliación del uso de los certificados fuera del ámbito
universitario (apartado 3.1).
1.0.2
30-01-2009
J. Cuesta
Adaptación a Requisitos de homologación MICYT
Ref.:
Versión: 1.0.2
Página: 2 de 22
Fecha 30/01/2009
Público
Política de Certificado
Índice
1.
Identificación de la Política........................................................................................................................... 5
1.1
2.
3.
Detalles de contacto.............................................................................................................................. 5
Resumen de la Política .................................................................................................................................. 5
2.1
Breve resumen ...................................................................................................................................... 5
2.2
Estándares y documentos relacionados.............................................................................................. 6
2.3
Aviso importante para los Firmantes ................................................................................................. 6
Disposiciones de la Política de Certificado ................................................................................................... 6
3.1
Comunidad y aplicabilidad ................................................................................................................. 6
3.2
Derechos y obligaciones ....................................................................................................................... 6
3.3
3.4
3.5
3.2.1
Obligaciones ............................................................................................................................... 6
3.2.2
Responsabilidad .......................................................................................................................... 9
3.2.3
Responsabilidad financiera ......................................................................................................... 9
3.2.4
Interpretación y ejecución......................................................................................................... 10
3.2.5
Cuotas ....................................................................................................................................... 10
3.2.6
Publicación y depósito .............................................................................................................. 10
3.2.7
Auditoría de conformidad ......................................................................................................... 11
3.2.8
Confidencialidad....................................................................................................................... 11
3.2.9
Derechos sobre la Propiedad Intelectual ................................................................................... 11
Identificación y autenticación ........................................................................................................... 12
3.3.1
Registro inicial.......................................................................................................................... 12
3.3.2
Renovación ............................................................................................................................... 12
3.3.3
Generación después de la revocación ....................................................................................... 12
3.3.4
Solicitud de revocación............................................................................................................. 12
Requisitos operativos ......................................................................................................................... 12
3.4.1
Solicitud del certificado, autorización, emisión y aceptación ................................................... 12
3.4.2
Revocación del certificado........................................................................................................ 13
3.4.3
Renovación del certificado ....................................................................................................... 13
3.4.4
Procedimientos de auditoría de seguridad................................................................................. 13
3.4.5
Archivo de informaciones......................................................................................................... 13
3.4.6
Reemplazo de las claves ........................................................................................................... 13
3.4.7
Compromiso y recuperación de desastres ................................................................................. 13
3.4.8
Terminación de la Autoridad de Certificación.......................................................................... 13
Controles de seguridad física, de procedimientos y de personal .................................................... 14
3.5.1
Controles de seguridad física .................................................................................................... 14
3.5.2
Controles de procedimientos..................................................................................................... 15
Ref.:
Versión: 1.0.2
Página: 3 de 22
Fecha 30/01/2009
Público
Política de Certificado
3.5.3
3.6
Controles de personal................................................................................................................ 15
Controles de seguridad técnica ......................................................................................................... 17
3.6.1
Generación del par de claves e instalación ............................................................................... 17
3.6.2
Protección de la clave privada .................................................................................................. 17
3.6.3
Datos de activación de firma..................................................................................................... 17
3.7
Perfiles de certificados ....................................................................................................................... 18
3.8
Administración del documento ......................................................................................................... 18
3.8.1
Procedimientos de cambio ........................................................................................................ 18
3.8.2
Políticas de publicación y de notificación................................................................................. 18
3.8.3
Procedimiento de aprobación.................................................................................................... 18
3.8.4
Distribución y comunicación .................................................................................................... 19
Glosario ................................................................................................................................................................ 20
Ref.:
Versión: 1.0.2
Página: 4 de 22
Fecha 30/01/2009
Público
Política de Certificado
1. Identificación de la Política
Nombre
Política de Certificado PKI WG10 QUALIFIED
Calificador
Podrán utilizar este certificado solamente los Firmantes cuya
identidad se haya comprobado y hayan suscrito un Contrato de
Firmante con Santander.
Versión
1.0.2
Situación
En vigor
OID de la Política
1.3.6.1.4.1.6714.1.1.2.1
Fecha de emisión
31/01/2009
Fecha de finalización
No aplica
DPC asociada
DPC PKI WG10 QUALIFIED versión 1.0.2
1.1 Detalles de contacto
Cualquier consulta o comunicación relativa al contenido de este documento debe enviarse a la
dirección de correo electrónico:
certificacion.universitaria@gruposantander.com
2. Resumen de la Política
2.1 Breve resumen
Esta Política de Certificado PKI WG10 QUALIFIED (en adelante, PC PKI WG10 QUALIFIED o Política
de Certificado) se aplica a los servicios de certificación digital que Banco Santander S.A. (en adelante
Santander, o el Banco) preste a una Universidad con quien haya suscrito un Acuerdo para la
prestación de servicios de certificación digital (en adelante, Acuerdo de certificación digital). Estos
servicios utilizan certificados digitales (en adelante, certificados) emitidos por la Autoridad de
Certificación Raíz “WG10 QUALIFIED Identification Root CA” del Banco (en adelante, Autoridad de
Certificación) para proveer autenticación del Firmante y firma digital de documentos y formularios
web.
La emisión de certificados se restringe a las personas físicas que mantengan una determinada
relación con una Universidad y hayan firmado un Contrato de Firmante con Santander.
El Banco lleva a cabo un proceso de registro estricto de los futuros Firmantes que requiere su
personación ante una Oficina de Registro. Por lo tanto, garantiza un nivel alto de confianza en la
asociación de la identidad de la persona física y una clave pública y, consecuentemente, en la
correcta autenticación del Firmante y de la Universidad con la que mantiene una determinada
relación.
Salvo que el Banco y una Universidad acuerden por escrito otra cosa, para confiar en los certificados
es necesario comprobar si se encuentran en vigor, es decir, verificar o validar su vigencia. Pueden
actuar como verificadores una Universidad y cada uno de los Firmantes asociados a la misma.
Ref.:
Versión: 1.0.2
Página: 5 de 22
Fecha 30/01/2009
Público
Política de Certificado
2.2 Estándares y documentos relacionados
La estructura y el contenido de esta PC PKI WG10 QUALIFIED se basan en el documento “Request
for Comments 3647, Internet X.509 Public Key Infrastructure. Certificate Policy and Certification
Practices Framework”. S. Chokhani, W. Ford, R. Sabett, C. Merrill, S. Wu.
2.3 Aviso importante para los Firmantes
Antes de utilizar el certificado, asegúrese de que comprende todo lo dispuesto en este documento.
3. Disposiciones de la Política de Certificado
3.1 Comunidad y aplicabilidad
Esta PC PKI WG10 QUALIFIED se aplica al servicio de validación de certificados prestado por
Santander, basado en el uso de certificados que ofrecen autenticación del firmante y firma digital de
documentos y formularios web.
El Banco emite certificados y presta servicios de certificación digital solamente a las personas físicas
que han aceptado los términos y condiciones de estos servicios al suscribir un Contrato de Firmante.
En dicho Contrato figura expresamente la aceptación de lo dispuesto en esta CP PKI WG10
QUALIFIED.
La Autoridad de Certificación no emite certificados a personas jurídicas, sino únicamente a personas
físicas que mantienen una determinada relación con una Universidad.
Un Firmante puede utilizar su certificado y su clave privada para autenticarse y/o para firmar
digitalmente un mensaje. Por ejemplo, la Universidad u otro Firmante podrán validar la autenticación
y/o la firma digital con la correspondiente clave pública del Firmante, que figura en su certificado. Los
certificados restringen los servicios que ofrecen a los mencionados anteriormente mediante los
campos Key usage, que figuran en el perfil del certificado (Ver Perfil del certificado).
Los términos contenidos en esta PC PKI WG10 QUALIFIED tendrán las definiciones contenidas en el
apartado “Glosario” que aparece al final de este documento.
3.2 Derechos y obligaciones
3.2.1 Obligaciones
3.2.1.1 Obligaciones de la Autoridad de Certificación
La Autoridad de Certificación deberá:
1. Comprobar que sus certificados cumplen los términos y condiciones establecidos en esta PC
PKI WG10 QUALIFIED y en la DPC PKI WG10 QUALIFIED.
2. Generar certificados solamente tras recibir una solicitud de certificado debidamente
autorizada y en el formato correcto.
3. Disponer de un repositorio, accesible desde Internet, donde se publican las distintas CRL.
Además mantendrá operativo un sistema de consultas online del estado de los certificados
según el protocolo estándar OCSP.
Ref.:
Versión: 1.0.2
Página: 6 de 22
Fecha 30/01/2009
Público
Política de Certificado
4. Aprobar la creación de Oficinas de Registro.
5. Emitir certificados cuyos datos sean correctos, de acuerdo con la información conocida en el
momento de emisión y sin errores producidos al introducir los datos en la aplicación.
6. Recibir y procesar solicitudes de revocación.
7. Emitir un nuevo certificado al operador de una Oficina de Registro que sospeche que sus
claves o su certificado puedan estar comprometidos.
8. Previa solicitud por la Universidad, emitir un nuevo certificado a un Firmante que sospeche
que la seguridad de sus claves o de su certificado está comprometida.
9. Notificar simultáneamente a un Firmante la revocación del certificado.
10. Mantener una lista de las claves y Firmantes cuya seguridad está comprometida.
11. Cuando resulte de aplicación, realizar auditorías de cumplimiento tanto de Autoridades de
Certificación subordinadas como de Oficinas de Registro, antes de renovar sus certificados.
3.2.1.2 Obligaciones de la Oficina de Registro
La Oficina de Registro deberá:
1. Cumplir dentro del ámbito de sus operaciones las prácticas definidas en esta PC PKI WG10
QUALIFIED y en la DPC PKI WG10 QUALIFIED.
2. Recibir solicitudes de certificados, comprobar su origen y los datos que se incluirán en el
certificado, y aceptar o rechazar la solicitud.
3. Durante el proceso de registro, generar de forma segura el par de claves que corresponderá
al futuro Firmante.
4. Recordar a los Firmantes sus obligaciones, derivadas de este documento y de la DPC PKI
WG10 QUALIFIED, y suministrarles copias de este documento y de la DPC PKI WG10
QUALIFIED, o informarles de cómo pueden acceder a ellos.
5. Enviar solicitudes de emisión de certificados que cumplan los estándares X.509 y los
requisitos establecidos para la aplicación de certificación digital.
6. Enviar solicitudes de emisión de certificados cuyos datos sean correctos, de acuerdo con la
información conocida en el momento de emisión y sin errores producidos al introducir los
datos en la aplicación.
7. Cuando haya recibido el certificado emitido, deberá almacenar el certificado y la clave privada
en el carnet universitario del Firmante, garantizando que ningún mecanismo bajo control de la
Oficina de Registro captura o almacena la clave privada del Firmante.
8. Antes de finalizar el proceso de registro, ofrecer al Firmante la posibilidad de cambiar en
dicho momento la clave de activación de firma, denominada PIN Universitario.
9. Investigar cualquier sospecha de compromiso que amenace la integridad de la infraestructura
de certificación, que se produzca en un nivel subordinado de su cadena de confianza.
10. Tramitar solicitudes de revocación de certificados de acuerdo con lo establecido en la DPC
PKI WG10 QUALIFIED.
11. Mantener una lista de las claves y de los Firmantes cuya seguridad está comprometida.
12. Mantener registros de su actividad, de acuerdo con los requisitos establecidos en la DPC PKI
WG10 QUALIFIED.
13. De forma periódica, monitorizar el sistema y revisar los logs del sistema.
14. Cuando sea de aplicación, colaborar en las auditorías que realice la Autoridad de
Certificación antes de renovar la autorización de la Oficina de Registro.
Ref.:
Versión: 1.0.2
Página: 7 de 22
Fecha 30/01/2009
Público
Política de Certificado
Cuando las funciones de Oficina de Registro no las asuma un departamento o sucursal de Santander,
la Oficina de Registro deberá contar con la autorización de la Autoridad de Certificación antes de
iniciar sus operaciones.
3.2.1.3 Obligaciones del Firmante
El Firmante deberá:
1. Facilitar a la Autoridad de Certificación información completa y adecuada, conforme a los
requisitos de la DPC PKI WG10 QUALIFIED, en especial, en lo relativo al procedimiento de
registro.
2. Manifestar su consentimiento previo a la emisión de un certificado.
3. Cumplir las obligaciones que se establecen en la DPC PKI WG10 QUALIFIED y en el Contrato de
Firmante.
4. Emplear el certificado de acuerdo con lo establecido en esta PC PKI WG10 QUALIFIED, la DPC
PKI WG10 QUALIFIED y el Contrato de Firmante.
5. Ser razonablemente diligente en la custodia de su clave privada, con el fin de evitar usos no
autorizados, de acuerdo con lo establecido en la DPC PKI WG10 QUALIFIED y el Contrato de
Firmante.
6. Notificar a la Autoridad de Certificación o al personal de una Oficina de Registro, inmediatamente:
ƒ
La pérdida, robo o extravío de su carnet universitario.
ƒ
El compromiso potencial de su clave privada.
ƒ
La pérdida de control sobre su clave privada, debido al compromiso de los datos de
activación (por ejemplo, el PIN universitario) o por cualquier otra causa.
ƒ
Las inexactitudes o cambios en el contenido del certificado que conozca o pudiera
conocer el Firmante.
7. Dejar de utilizar la clave privada transcurrido el plazo de vigencia del certificado.
8. No monitorizar, manipular o realizar actos de ingeniería reversa sobre la implantación técnica de
Santander, sin permiso previo por escrito del CAP PKI WG10 QUALIFIED.
9. No comprometer intencionadamente la seguridad de la Jerarquía de Santander.
3.2.1.4 Obligaciones del Verificador
El Verificador deberá:
1. Antes de confiar en la firma digital de un Firmante, obtener de Santander la Lista de
Certificados Revocados más reciente o utilizar el protocolo OCSP para comprobar el estado
del certificado, y confiará en un certificado solamente si, realizadas estas comprobaciones, el
certificado no ha expirado o no ha sido revocado.
2. Aceptar que todas las transmisiones que se autentiquen con la firma digital creada con la
clave privada del Firmante (remitente de la transmisión) tendrán el mismo efecto, validez legal
y ejecutabilidad que si la transmisión se hubiese realizado por escrito por el Firmante
(remitente de la transmisión), y que el Verificador no discutirá el efecto legal, la validez y
ejecutabilidad de una transmisión exclusivamente porque esté en forma digital en vez de por
escrito.
3. No monitorizar, manipular o realizar actos de ingeniería reversa sobre la implantación técnica
de la Santander, sin permiso previo por escrito del CAP PKI WG10 QUALIFIED.
4. No comprometer intencionadamente la seguridad de la Jerarquía de Santander.
Ref.:
Versión: 1.0.2
Página: 8 de 22
Fecha 30/01/2009
Público
Política de Certificado
3.2.1.5 Obligaciones de depósito
Santander prestará un servicio de depósito que contenga información acerca de los servicios de
certificación digital que ofrece y del estado de validez de los certificados (comprobación de si se han
revocado o no).
Santander prestará el servicio de consulta del estado de validez de los certificados mediante la
emisión periódica de Listas de Revocación de Certificados (LRCs) o bien a través de un sistema de
consultas online del estado de los certificados según el protocolo estándar OCSP, de acuerdo con lo
establecido en la DPC PKI WG10 QUALIFIED.
3.2.2 Responsabilidad
La Autoridad de Certificación responderá por los daños y perjuicios que causen a cualquier persona
en el ejercicio de su actividad cuando incumpla las obligaciones asumidas en este documento y en la
normativa aplicable.
La Autoridad de Certificación responderá de los perjuicios que se causen al Firmante o a terceros de
buena fe por la falta o el retraso en la inclusión en el servicio de consulta sobre la vigencia de los
certificados, de la extinción o dispersión de la vigencia del certificado electrónico.
La Autoridad de Certificación asumirá toda responsabilidad frente a terceros por la actuación de las
personas en las que delegue la gestión de alguna o algunas de las funciones necesarias para la
prestación de los servicios de certificación.
Santander introducirá en el Contrato de Firmante cláusulas de exclusión y cláusulas de limitación de
responsabilidad, de acuerdo con lo permitido por la legislación española.
La Autoridad de Certificación no concede ninguna otra garantía, excepto las contempladas en la DPC
PKI WG10 QUALIFIED, excluyendo especialmente la garantía de adaptabilidad para un propósito
particular o garantía de uso mercantil del certificado.
Además, Santander introduce ciertas medidas para reducir o limitar su responsabilidad en el supuesto
de que fallen las medidas que ha implementado para proteger sus sistemas:
ƒ
Dificultar el mal uso de los sistemas por personal autorizado.
ƒ
Prohibir el acceso a estos sistemas a personas no autorizadas.
Estas medidas incluyen, a título enumerativo:
ƒ
La identificación, en un Plan de Continuidad de Negocio, de los supuestos de contingencia y
de las medidas de recuperación apropiadas.
ƒ
La realización de forma periódica de copias de respaldo de los sistemas.
ƒ
La realización de copias de respaldo del software en uso actualmente y de ciertos archivos de
configuración.
ƒ
El almacenamiento de las copias de respaldo en lugares seguros, dentro y fuera de las
instalaciones.
ƒ
El mantenimiento de cualquier otro material almacenado en otros lugares seguros, necesario
para recuperarse de un desastre.
ƒ
La prueba periódica de las copias de respaldo almacenadas en las instalaciones y fuera de
ellas, para comprobar que se puede recuperar la información en caso de fallo o desastre.
ƒ
La revisión periódica del Plan de Continuidad de Negocio, incluyendo la identificación, el
análisis, la evaluación y la priorización de los riesgos.
3.2.3 Responsabilidad financiera
De acuerdo con la legislación aplicable, la Autoridad de Certificación mantiene recursos financieros
suficientes para mantener sus operaciones y cumplir sus obligaciones. Además, es capaz de asumir
Ref.:
Versión: 1.0.2
Página: 9 de 22
Fecha 30/01/2009
Público
Política de Certificado
el riesgo de su responsabilidad frente a la Universidad, los Firmantes y los Verificadores para lo cual
tiene suscrito un Seguro de Responsabilidad Civil de acuerdo con lo previsto en la normativa vigente.
La Autoridad de Certificación incluye, en el Acuerdo de certificación digital que le vincula con una
Universidad, una cláusula por la cual el Solicitante se compromete a mantener indemne a la
Autoridad de Certificación de todo daño proveniente de cualquier acción u omisión que resulte en
responsabilidad, daño o pérdida, gasto de cualquier tipo, incluyendo los judiciales y de representación
letrada en que pueda incurrir, por la publicación y uso del certificado, cuando concurra alguna de las
siguientes causas:
ƒ
Falsedad o manifestación errónea realizada por el Solicitante del certificado.
ƒ
Error del Solicitante del certificado al facilitar los datos de la solicitud, si en la acción u omisión
medió dolo o negligencia con respecto a la Autoridad de Certificación, la Oficina de Registro o
cualquier persona que confía en el certificado.
La Autoridad de Certificación incluye, en el contrato que le vincula con el Firmante, una cláusula por
la cual el Firmante se compromete a mantener indemne a la Autoridad de Certificación de todo daño
proveniente de cualquier acción u omisión que resulte en responsabilidad, daño o pérdida, gasto de
cualquier tipo, incluyendo los judiciales y de representación letrada en que pueda incurrir, por la
publicación y uso del certificado, cuando concurra alguna de las siguientes causas:
ƒ
Negligencia en la protección de la clave privada, en el empleo de un sistema fiable o en el
mantenimiento de las precauciones necesarias para evitar el compromiso, la pérdida, la
divulgación, la modificación o el uso no autorizado de dicha clave.
ƒ
Empleo por el Firmante de un nombre (incluyendo nombres comunes, dirección de correo
electrónico y nombres de dominio), u otras informaciones en el certificado, que infrinja
derechos de propiedad intelectual o industrial de terceros.
3.2.4 Interpretación y ejecución
La legislación española es la ley aplicable a los servicios que presta la Autoridad de Certificación y
rige los documentos contractuales de los que ésta es parte, en especial la presente PC PKI WG10
QUALIFIED.
La competencia territorial y funcional se determinará en virtud de las reglas de derecho internacional
privado y reglas de derecho procesal que resulten de aplicación.
La Autoridad de Certificación establece, en sus contratos con los Firmantes, los procedimientos de
mediación y resolución de conflictos aplicables.
Las situaciones de discrepancia que se deriven de la utilización de los certificados emitidos por la
Autoridad de Certificación, se resuelven aplicando los mismos criterios de competencia que en los
casos de los documentos firmados manuscritamente.
3.2.5 Cuotas
Santander acordará con cada Universidad, en el Acuerdo de certificación digital, el coste de los
servicios que corresponde soportar a la Universidad.
En el caso de que los servicios a los Firmantes no sean gratuitos, este hecho, junto con el detalle de
las cuotas a pagar, deberá reflejarse en el Contrato de Firmante y en la información previa al registro
que tanto el Banco como la Universidad suministren al futuro Firmante.
3.2.6 Publicación y depósito
La Autoridad de Certificación publica las siguientes informaciones en su depósito:
ƒ
La Política de Certificado PKI WG10 QUALIFIED y, si existieran, subpolíticas de certificados,
con mención, en su caso, de su adhesión a la Política de Certificado PKI WG10 QUALIFIED.
ƒ
La Declaración de Prácticas de Certificación PKI WG10 QUALIFIED.
ƒ
Texto Divulgativo de la DPC PKI WG10 QUALIFIED.
Ref.:
Versión: 1.0.2
Página: 10 de 22
Fecha 30/01/2009
Público
Política de Certificado
Los certificados emitidos por la Autoridad de Certificación incluyen en las extensiones apropiadas del
certificado una referencia a la Política de Certificado PKI WG10 QUALIFIED.
3.2.7 Auditoría de conformidad
La Autoridad de Certificación lleva a cabo una auditoría de conformidad anualmente, además de las
auditorías internas que pueda llevar a cabo bajo su propio criterio o en cualquier momento, a causa
de una sospecha de incumplimiento de alguna medida de seguridad o por un compromiso de claves.
La auditoría de conformidad la puede realizar bien el departamento de auditoría interna del Banco, o
bien la Autoridad de Certificación puede acudir a un auditor independiente, el cual debe demostrar
experiencia en seguridad informática, en seguridad de Sistemas de Información y en auditorías de
conformidad de PKI.
Los detalles de cómo llevar a cabo la auditoría de conformidad se detallarán en la Guía de Auditoría
de la Autoridad de Certificación.
3.2.8 Confidencialidad
Santander recoge cierta información personal del Firmante (por ejemplo: nombre y apellidos, nombre
de la Universidad, dirección de correo electrónico, etc.). El tratamiento de estos datos respeta la
protección de la intimidad del Firmante, de acuerdo con lo establecido por la Ley Orgánica 15/99 de
13 de diciembre de Protección de Datos de Carácter Personal y las normas que la desarrollen. La
información que recoja el Banco se utilizará exclusivamente para soportar las operaciones de la
infraestructura de certificación PKI WG10 QUALIFIED.
De acuerdo con esta PC PKI WG10 QUALIFIED, la información personal que se recoge está dentro
de estas categorías:
ƒ
Información de prueba de la identidad, por ejemplo, archivos del proceso de registro.
ƒ
Información del certificado, por ejemplo, la información necesaria para rellenar un campo en
un certificado digital X.509.
La DPC PKI WG10 QUALIFIED contiene más detalles acerca del tratamiento de la información
confidencial.
3.2.9 Derechos sobre la Propiedad Intelectual
La Autoridad de Certificación ostenta los derechos de propiedad intelectual sobre los certificados que
emita.
La Autoridad de Certificación podrá conceder licencias no exclusivas para reproducir y distribuir
certificados, sin coste alguno, siempre y cuando la reproducción sea íntegra y no altere elemento
alguno del certificado y sea necesaria en relación con firmas digitales y/o sistemas de cifrado dentro
del ámbito de aplicación de la DPC PKI WG10 QUALIFIED, y de acuerdo con el correspondiente
contrato entre la Autoridad de Certificación y la parte que reproduzca y/o distribuya el certificado.
Las mismas reglas resultan de aplicación al uso de información de revocación de certificados.
La DPC PKI WG10 QUALIFIED contiene más detalles acerca de los derechos sobre la Propiedad
Intelectual.
Ref.:
Versión: 1.0.2
Página: 11 de 22
Fecha 30/01/2009
Público
Política de Certificado
3.3 Identificación y autenticación
3.3.1 Registro inicial
La DPC PKI WG10 QUALIFIED asociada con esta PC PKI WG10 QUALIFIED detalla cómo se realiza
el registro inicial de los futuros Firmantes. Antes de emitir un certificado, la Oficina de Registro
comprobará:
ƒ
que la solicitud de emisión del certificado proviene de una persona autorizada en
representación de una Universidad.
ƒ
la identidad del Firmante, de acuerdo con lo establecido en la DPC PKI WG10 QUALIFIED.
ƒ
que los datos del Firmante que se consignen en el certificado son correctos.
ƒ
que el Firmante conoce y ha firmado los documentos contractuales necesarios, de acuerdo
con lo establecido en la DPC PKI WG10 QUALIFIED.
ƒ
que no hay otro certificado vivo con los datos del Firmante.
3.3.2 Renovación
Los pares de claves y los certificados expirarán al mismo tiempo. De acuerdo con la DPC PKI WG10
QUALIFIED, para renovar un certificado se exigirá la generación de un nuevo par de claves.
3.3.3 Generación después de la revocación
Cuando un certificado se haya revocado, no se permitirá generar un nuevo certificado con el par de
claves utilizado para el certificado revocado. Los Firmantes que deseen un nuevo certificado deberán:
1. Solicitar la emisión de un nuevo certificado a su Universidad, cumpliendo lo establecido en la
DPC PKI WG10 QUALIFIED, y
2. Volver a realizar el proceso inicial de registro en una Oficina de Registro.
3.3.4 Solicitud de revocación
De acuerdo con la DPC PKI WG10 QUALIFIED, para revocar un certificado será necesario realizar
una solicitud por escrito y deberá presentarse en una Oficina de Registro. La solicitud debe identificar
la persona que la realiza, el certificado que se quiere revocar, y una causa para la revocación.
La Oficina de Registro deberá comprobar la identidad o la autorización del solicitante, hecho lo cual,
procederá inmediatamente a revocar el certificado.
Así mismo, de acuerdo con la DPC PKI WG10 QUALIFIED, punto 4.8, existen otros motivos que
pueden motivar la revocación de un certificado.
3.4 Requisitos operativos
3.4.1 Solicitud del certificado, autorización, emisión y aceptación
Las solicitudes de emisión de certificados deberán provenir de una Universidad que haya suscrito un
Acuerdo de certificación digital con Santander y deberán dirigirse a una Oficina de Registro.
Cuando el futuro Firmante se presente en una Oficina para iniciar el proceso de registro, se
comprobará la información del Firmante. A continuación, la Oficina generará el par de claves, el
certificado, y se almacenará de forma segura en el carnet universitario del Firmante su clave privada y
Ref.:
Versión: 1.0.2
Página: 12 de 22
Fecha 30/01/2009
Público
Política de Certificado
el certificado. La Oficina recomendará al Firmante que cambie la clave de activación de firma (el PIN
Universitario).
Por último, la firma del Contrato de Firmante por el interesado constituirá la aceptación de su
certificado.
3.4.2 Revocación del certificado
Las causas de revocación de un certificado se definen en la DPC PKI WG10 QUALIFIED y en el
Contrato de Firmante. Desde el momento en que se revoca, el Firmante no podrá utilizar el certificado
ni la clave privada de firma.
Cuando el Firmante haya perdido por cualquier causa o extraviado su carnet universitario, se haya
bloqueado el acceso a los datos que contiene, o se encuentre dañado de forma que impida su uso
normal, la Autoridad de Certificación no podrá emitir un nuevo certificado al Firmante sin que
previamente éste no revoque el contenido en el carnet universitario perdido o dañado.
3.4.3 Renovación del certificado
De acuerdo con la DPC PKI WG10 QUALIFIED, al menos 45 días antes de la fecha en la que expira
el periodo de validez del certificado, la Autoridad de Certificación avisará al Firmante para que tramite
la solicitud de emisión de un nuevo certificado.
3.4.4 Procedimientos de auditoría de seguridad
La Autoridad de Certificación registrará y mantendrá archivos de información sobre las operaciones
de su infraestructura de certificación digital.
En la DPC PKI WG10 QUALIFIED se detallan los requerimientos de la Autoridad de Certificación
relativos a la contabilidad y auditoría.
3.4.5 Archivo de informaciones
La Autoridad de Certificación mantendrá un archivo de los registros que considere importantes o que
legalmente deba custodiar, de acuerdo con lo establecido en la DPC PKI WG10 QUALIFIED.
3.4.6 Reemplazo de las claves
El cambio de las claves no es automático y expiran a la vez que los certificados asociados a ellas.
De acuerdo con lo establecido en la DPC PKI WG10 QUALIFIED, el reemplazo del par de claves
requiere la personación del Firmante en una Oficina de Registro, provisto de su carnet universitario,
donde debe repetir el proceso inicial de registro.
3.4.7 Compromiso y recuperación de desastres
Santander se asegurará de que su infraestructura de certificación digital dispone de procesos
adecuados que garanticen la continuidad de negocio.
De acuerdo con la DPC PKI WG10 QUALIFIED, la Autoridad de Certificación dispondrá de un Plan de
Continuidad de Negocio que contendrá unas medidas que habrán de someterse a prueba y revisarse
regularmente para comprobar que son efectivas y están actualizadas.
3.4.8 Terminación de la Autoridad de Certificación
Cuando sea necesario terminar el servicio de la Autoridad de Certificación, se minimizará en lo
posible su impacto, teniendo en cuenta las circunstancias en las que se produzca. La Autoridad de
Certificación velará por:
1. Ofrecer, con la antelación de dos meses, cuanta información se halle disponible a las
Autoridades de Certificación subordinadas, a las Universidades y a los Firmantes;
Ref.:
Versión: 1.0.2
Página: 13 de 22
Fecha 30/01/2009
Público
Política de Certificado
2. Transferir progresivamente los servicios y los registros de las operaciones a la Autoridad de
Certificación sucesora;
3. Conservar cuantos archivos y registros no se hayan transferido a la Autoridad de Certificación
sucesora.
La Autoridad de Certificación deberá comunicar a la Administración competente, con una antelación
mínima de dos meses, el cese de su actividad y el destino que vaya a dar a los certificados,
especificando, en su caso, si va a transferir la gestión y a quién o si extinguirá su vigencia.
Igualmente comunicará cualquier otra circunstancia relevante que pueda impedir la continuación de
su actividad.
La Autoridad de Certificación remitirá a la Administración competente, con carácter previo al cese
definitivo de su actividad, la información relativa a los certificados electrónicos cuya vigencia haya
sido extinguida para que ésta se haga cargo de su custodia
3.5 Controles de seguridad física, de procedimientos y de
personal
En la DPC PKI WG10 QUALIFIED se detallan los controles de seguridad física, de procedimientos y
de personal que aplica la Autoridad de Certificación para desarrollar su actividad de forma
suficientemente segura.
3.5.1 Controles de seguridad física
La Autoridad de Certificación dispone de instalaciones que protegen físicamente la prestación de, al
menos, los servicios de generación de certificados, de dispositivos criptográficos y de gestión de
revocación, del compromiso causado por acceso no autorizado a los sistemas o a los datos.
La protección física se logra mediante la creación de perímetros de seguridad claramente definidos
en torno a los servicios de generación de certificados, de dispositivos criptográficos y de gestión de
revocación. La parte de las instalaciones compartida con otras organizaciones se encuentra fuera de
estos perímetros.
La Autoridad de Certificación establece controles de seguridad física y ambiental para proteger los
recursos de las instalaciones donde se encuentran los sistemas, los propios sistemas y los
equipamientos empleados para las operaciones. La política de seguridad física y ambiental aplicable
a los servicios de generación de certificados, de dispositivos criptográficos y de gestión de revocación
establecerá prescripciones para las siguientes contingencias:
ƒ
Controles de acceso físico
ƒ
Protección frente a desastres naturales
ƒ
Medidas de protección frente a incendios
ƒ
Fallo de los sistemas de apoyo (energía eléctrica, telecomunicaciones, etc.)
ƒ
Derrumbamiento de la estructura
ƒ
Inundaciones
ƒ
Protección antirrobos
ƒ
Allanamiento y entrada no autorizada
ƒ
Recuperación del desastre
ƒ
Salida no autorizada de equipamientos, informaciones, soportes y aplicaciones relativos a
componentes empleados para los servicios de la Autoridad de Certificación.
Ref.:
Versión: 1.0.2
Página: 14 de 22
Fecha 30/01/2009
Público
Política de Certificado
3.5.1.1 Localización y construcción de las instalaciones
La localización de las instalaciones permite la presencia de fuerzas de seguridad en un plazo de
tiempo razonablemente inmediato desde que una incidencia fuera notificada a las mismas (en el caso
de no contar con presencia física permanente de personal de seguridad de la Autoridad de
Certificación).
El centro de proceso está compuesto por diferentes estancias, cada una con diferente nivel de
seguridad. Todas ellas, están construidas con materiales suficientemente robustos para impedir la
penetración forzada en ellas sin el concurso de herramientas específicas y mediante la inversión de
un considerable esfuerzo y tiempo (lo que, en cualquier caso, sería detectado inmediatamente).
3.5.1.2 Acceso físico
El acceso físico a los equipos de las Autoridades de Certificación está restringido a personal
debidamente acreditado y previamente autorizado.
El sistema de control de accesos regula los permisos según horarios, calendario e identidad del
individuo que accede. Esta identidad debe validarse ante el sistema mediante un doble mecanismo:
presentación de un elemento personal (tarjeta magnética individual) y reconocimiento de parámetros
biométricos (geometría de la palma de la mano) para el caso de personal registrado. Las visitas no
necesitan de ninguno de estos dos controles, pero siempre acceden acompañadas de personal
registrado.
Todo acceso a cualquiera de las áreas del centro queda registrado en un archivo y grabado por un
sistema de video vigilancia.
El acceso físico a las áreas donde tiene lugar la generación y manipulación de hardware y claves
criptográficos de las Autoridades de Certificación, requiere la participación y permanencia continua de
al menos dos personas autorizadas.
3.5.2 Controles de procedimientos
Con el fin de asegurar que una sola persona no puede actuar infringiendo los controles de seguridad
de la infraestructura de certificación digital, en Santander las tareas críticas están compartidas por
diferentes roles y distintas personas. Para las tareas que presentan riesgos de seguridad importantes
se han implementado procedimientos de control dual.
Ninguna persona podrá realizar sola más de una de las siguientes tareas o pares de tareas:
1. Revocación del certificado de la Autoridad de Certificación y de los certificados de los
Firmantes;
2. Acceso a sistemas críticos para operar o para administrarlos;
3. Acceso a soportes de copias de respaldo;
4. Realización de tareas al mismo tiempo en la Oficina de Registro y en la Autoridad de
Certificación;
5. Administración de los cortafuegos o de los servidores bastión, y de los componentes del
sistema objeto de protección;
En la DPC PKI WG10 QUALIFIED se definen los roles y el número de personas necesario para
realizar las tareas antes mencionadas, y cualquier otra que se considere crítica.
3.5.3 Controles de personal
3.5.3.1 Requisitos de historial, calificaciones, experiencia y autorización
Para prestar los servicios de certificación digital, la Autoridad de Certificación emplea personal
cualificado y con la experiencia necesaria en el ámbito de la firma electrónica y de los procedimientos
adecuados de seguridad y gestión.
Ref.:
Versión: 1.0.2
Página: 15 de 22
Fecha 30/01/2009
Público
Política de Certificado
Este requisito se aplica al personal que gestiona la Autoridad de Certificación, especialmente en
relación con procedimientos de personal de seguridad.
La cualificación y la experiencia pueden suplirse mediante una formación y entrenamiento
apropiados.
El personal de los puestos de confianza debe encontrarse libre de intereses personales que entren en
conflicto con el desarrollo de la función que tenga encomendada.
3.5.3.2 Procedimientos de investigación de historial
La Autoridad de Certificación no asignará un puesto de confianza o de gestión a una persona que no
sea idónea para el puesto, especialmente con motivo de haber sido condenada por delito o falta que
afecte a su idoneidad para el puesto. Por esta razón, la Autoridad de Certificación realiza una
investigación sobre los siguientes aspectos:
ƒ
Estudios, incluyendo titulación alegada
ƒ
Trabajos anteriores, hasta cinco años, incluyendo referencias profesionales y comprobación
de que realmente se hizo el trabajo alegado
ƒ
Morosidad
ƒ
Registros de la Seguridad Social
Las razones para rechazar a los candidatos a posiciones de confianza o para tomar medidas contra
quien ya sea persona de confianza incluyen, generalmente, las siguientes:
ƒ
Falsa declaración realizada por el candidato o persona de confianza
ƒ
Referencias personales altamente desfavorables o poco fiables
ƒ
Condenas criminales demostradas
ƒ
Indicios de falta de responsabilidad financiera
Recursos Humanos y el personal de seguridad evalúan los informes que contienen esa información y
determinan las acciones a llevar a cabo, las cuales pueden incluir la cancelación de las ofertas de
empleo hechas a los candidatos a puestos de confianza o la finalización del contrato con la persona
de confianza.
En la solicitud para el puesto de trabajo se informa acerca de la necesidad de someterse a una
investigación previa.
Se debe advertir de que la negativa a someterse a la investigación implicará el rechazo de la solicitud.
La Autoridad de Certificación obtendrá el consentimiento inequívoco del afectado por la investigación
previa y procesará y protegerá todos sus datos personales de acuerdo con la LOPD y el Reglamento
de Medidas de Seguridad de la LORTAD.
La investigación se repite cada tres años.
3.5.3.3 Requisitos de formación
La Autoridad de Certificación forma al personal en puestos de confianza y de gestión, hasta que
alcancen la cualificación necesaria. La formación incluye los siguientes contenidos:
ƒ
Principios y mecanismos de seguridad de la jerarquía de certificación, así como el entorno de
usuario de la persona a formar
ƒ
Versiones de maquinaria y aplicaciones en uso
ƒ
Tareas que debe realizar la persona
ƒ
Gestión y tramitación de incidentes y compromisos de seguridad
ƒ
Procedimientos de continuidad de negocio y de emergencia
Ref.:
Versión: 1.0.2
Página: 16 de 22
Fecha 30/01/2009
Público
Política de Certificado
3.5.3.4 Sanciones para acciones no autorizadas
La Autoridad de Certificación dispone de un sistema sancionador para depurar las responsabilidades
derivadas de acciones no autorizadas.
Las acciones disciplinarias pueden incluir la suspensión y el despido de la persona responsable de la
acción dañosa.
3.5.3.5 Requisitos de contratación de personal
La Autoridad de Certificación puede contratar profesionales para cualquier función, incluso para un
puesto de confianza, en cuyo caso se someten a los mismos controles que los restantes empleados.
En el caso de que el profesional no se someta a tales controles, está constantemente acompañado
por un empleado de confianza.
3.5.3.6 Suministro de documentación al personal
La Autoridad de Certificación suministra la documentación que estrictamente precise su personal en
cada momento, al objeto de que sea suficientemente competente a tenor de lo establecido en esta
política.
3.6 Controles de seguridad técnica
3.6.1 Generación del par de claves e instalación
La Oficina de Registro genera en un entorno seguro el par de claves del Firmante, realizándose este
proceso por el módulo criptográfico del navegador de un equipo informático exclusivamente dedicado
a las tareas competencia de la Oficina. Este software debe cumplir el estándar FIPS 140-1 nivel 1. La
relación de Productos que cumplen este estándar se puede consultar en el registro del NIST (National
Institute of Standars and Technology).
El tamaño de las claves es de, al menos, 1024 bits. Los usos permitidos de las claves se indican en la
extensión del certificado Key Usage y comprenden la firma digital, el cifrado de claves y el cifrado de
mensajes.
Con la clave pública la Oficina realiza la petición de emisión del certificado. Cuando recibe el
certificado, procede a almacenar en el carnet universitario del Firmante la clave privada y el
certificado. Para realizar esta operación se precisa que el Firmante introduzca el PIN Universitario que
permite acceder al directorio donde se almacenará de forma segura la clave privada.
3.6.2 Protección de la clave privada
El acceso a la clave privada del Firmante, almacenada en su carnet universitario, está protegido por
unos datos de activación de firma denominados PIN Universitario. Cualquier uso de la clave privada
requiere previamente que se teclee correctamente dicho PIN Universitario.
El Firmante debe custodiar de forma segura y proteger adecuadamente los datos de activación de
firma (su PIN Universitario).
3.6.3 Datos de activación de firma
Los datos de activación de la clave privada del Firmante (denominados PIN Universitario) se han
generado al crearse el carnet universitario, de forma totalmente independiente de la Autoridad de
Certificación, en un momento anterior a la emisión del certificado.
Ref.:
Versión: 1.0.2
Página: 17 de 22
Fecha 30/01/2009
Público
Política de Certificado
Al terminar el proceso de emisión y aceptación del certificado, el Firmante podrá cambiar su PIN
Universitario, si así lo desea, en la Oficina de Registro.
3.7 Perfiles de certificados
Todos los certificados, tanto de la Autoridad de Certificación como de los Firmantes, cumplen los
estándares desarrollados por IETF-PKIX, de acuerdo con el documento RFC3280. Los perfiles y
extensiones de los certificados se detallan en la DPC PKI WG10 QUALIFIED.
3.8 Administración del documento
3.8.1 Procedimientos de cambio
La Autoridad de Certificación puede modificar de forma unilateral la PC PKI WG10 QUALIFIED,
siempre y cuando cumpla según el siguiente procedimiento:
ƒ
La modificación está justificada desde el punto de vista técnico, legal o comercial debiendo,
por lo tanto, estar avalada por la firma de los miembros del CAP PKI WG10 QUALIFIED,
ƒ
Se contemplan todas las implicaciones técnicas y legales de la nueva versión de
especificaciones,
ƒ
Se establece un control de modificaciones para garantizar, en todo caso, que las
especificaciones resultantes cumplen con los requisitos que se intentan cumplir y que han
dado pie al cambio.
ƒ
Se establecen las implicaciones que el cambio de especificaciones tiene sobre el Solicitante y
el Firmante, contemplando la necesidad de notificarles dichas modificaciones.
3.8.2 Políticas de publicación y de notificación
Todo cambio en las especificaciones o condiciones del servicio se comunica a los usuarios por la
Autoridad de Certificación, a través del depósito.
En todos los casos se hace una referencia explícita a los cambios en la página principal del Web del
servicio.
No se retira la versión anterior del documento objeto del cambio, pero se indica que ha sido sustituida
por la versión nueva.
Al cabo de 15 (quince) días desde la publicación de la nueva versión, se retira la referencia al cambio
de la página principal y se inserta en el depósito.
Las versiones antiguas de la documentación se conservan, por un periodo mínimo de 15 (quince)
años por la Autoridad de Certificación, pudiendo ser consultadas, por causa razonada, por los
interesados.
3.8.3 Procedimiento de aprobación
Santander ha establecido un CAP PKI WG10 QUALIFIED para aprobar, seguir y mantener la
integridad de la infraestructura de políticas. Este Comité se reúne al menos una vez al año, y cada
vez que se convoca de forma extraordinaria, para revisar y aprobar la PC PKI WG10 QUALIFIED, tras
comprobar el cumplimiento de los requisitos establecidos en las secciones anteriores.
Ref.:
Versión: 1.0.2
Página: 18 de 22
Fecha 30/01/2009
Público
Política de Certificado
3.8.4 Distribución y comunicación
Santander distribuirá esta Política de Certificación a todos los Firmantes.
Ref.:
Versión: 1.0.2
Página: 19 de 22
Fecha 30/01/2009
Público
Política de Certificado
Glosario
Acuerdo de certificación digital
Acuerdo firmado entre el Banco y una Universidad donde se regulan los servicios de certificación
digital que el Banco prestará a la Universidad. Es un documento indispensable para que la Autoridad
de Certificación PKI WG10 QUALIFIED pueda prestar sus servicios a una Universidad y sus
Firmantes.
Autoridad de Certificación (AC)
En inglés “Certification Authority”, CA. Es la entidad que emite y revoca los certificados digitales X509
versión 3, en este caso es la Autoridad de Certificación Raíz “WG10 QUALIFIED Identification Root”
de Santander. La Autoridad de Certificación sólo emite y revoca certificados cuando recibe una
petición que comprueba procede de una Oficina de Registro autorizada.
CAP PKI WG10 QUALIFIED
Abreviatura de Comité de Aprobación de Política de la Autoridad de Certificación PKI WG10
QUALIFIED. Es el órgano del Banco encargado de la aprobación y administración de los documentos
DPC PKI WG10 QUALIFIED y PC PKI WG10 QUALIFIED.
En inglés “Policy Approval Authority”, PAA.
Carnet Universitario
Tarjeta con chip donde se almacenan de forma segura la clave privada y el certificado digital del
Firmante. Emitida por el Banco, está personalizada para cada Universidad con la que mantiene un
acuerdo de colaboración. El Firmante necesita llevar su carnet universitario para realizar el proceso
de registro y debe tenerlo cada vez que quiera utilizar su certificado.
Certificado
Certificado digital emitido por la Autoridad de Certificación siguiendo el formato estándar X509 versión
3. El certificado digital es el documento electrónico mediante el cual una Autoridad de Certificación
vincula a la persona identificada en el certificado con la clave pública que figura en él. Todos los
certificados se emiten con un periodo de validez determinado y están firmados digitalmente por la
Autoridad de Certificación que los ha emitido.
DPC PKI WG10 QUALIFIED
Abreviatura de Declaración de Prácticas de Certificación de la Autoridad de Certificación Raíz “WG10
QUALIFIED Identification Root” de Santander. Este documento detalla y describe las prácticas que
sigue la Autoridad de Certificación para emitir y revocar certificados digitales.
En inglés “Certification Practices Statement”, CPS.
Emisor
En inglés “Issuer”. Campo de un certificado digital X509 versión 3 donde se consignan los datos de la
Autoridad de Certificación que ha emitido y firma el certificado.
Firmante
En el caso de la Autoridad de Certificación PKI WG10 QUALIFIED, persona física para quien se ha
solicitado la emisión de un certificado, ha realizado el proceso de registro en una Oficina de Registro
y ha suscrito un Contrato de Firmante con el Banco. El certificado emitido contiene ciertos datos
identificativos del Firmante. Para utilizar el certificado, el Firmante utiliza su clave privada que se
corresponde con la clave pública incluida en el certificado. Para convertirse en Firmante se requiere
que la persona física mantenga una determinada relación con una Universidad que haya suscrito con
el Banco un Acuerdo de certificación digital.
Hoja de Entrega y Aceptación
Ref.:
Versión: 1.0.2
Página: 20 de 22
Fecha 30/01/2009
Público
Política de Certificado
Documento utilizado exclusivamente en el momento de renovar un certificado, donde el Firmante
acepta por escrito su nuevo certificado.
LCRs
Abreviatura de Lista de Certificados Revocados. Se trata de un documento electrónico emitido con
carácter periódico por la Autoridad de Certificación y firmado por ella, donde figuran los datos
identificativos de los certificados que ha revocado. Quien quiera confiar en un certificado debe
consultar la última LCR disponible o bien hacer una consulta online para comprobar que un certificado
continúa en vigor al no haber sido revocado. En inglés se denomina “Certificate Revocation List”,
CRL.
Nombre Diferenciado
En inglés “Distinguished Name”, DN. Sistema para consignar en el campo Sujeto de un certificado los
datos identificativos del Firmante, de forma que los datos que figuran en el certificado identifiquen de
forma inequívoca a ese Firmante dentro del conjunto de todos los certificados en vigor que ha emitido
la Autoridad de Certificación.
OCSP
El servicio OCSP (Online Certificate Status Protocol) permite utilizar un protocolo estándar para
realizar consultas online al servidor de la Autoridad de Certificación sobre el estado de un certificado.
Las consultas se realizan en base al número de serie y al Firmante del certificado. La dirección del
servidor OCSP vendrá reflejada en la extensión “Acceso a la información de autorización” del
certificado. Este servicio se prestará bajo las condiciones suscritas en los acuerdos firmados entre el
Banco y la Universidad.
Oficina de Registro
En inglés “Registration Authority”, RA. Entidad en la que la Autoridad de Certificación delega la
realización del proceso de registro de los Firmantes para la emisión inicial de un certificado y para su
renovación, junto con la tramitación de las solicitudes de revocación y las funciones de información y
enlace con los Firmantes y las Universidades. Las Oficinas de Registro de la Autoridad de
Certificación PKI WG10 QUALIFIED pueden ser tanto departamentos o sucursales de Santander,
como departamentos u oficinas de una Universidad, siempre que previamente así lo hayan acordado
el Banco y la Universidad.
OID
Abreviatura en inglés de “Object Identifier”, identificador de objeto. Es una cadena de números,
asignada por un organismo internacional, que identifica de forma única a un objeto. En el caso de la
certificación digital, los OIDs se utilizan para identificar las Políticas de Certificado. La Autoridad de
Certificación PKI WG10 QUALIFIED incluye el OID correspondiente a la PC PKI WG10 QUALIFIED
en uno de los campos del certificado.
PC PKI WG10 QUALIFIED
Abreviatura de Política de Certificado de la Autoridad de Certificación Raíz “WG10 QUALIFIED
Identification Root” de Santander. Este documento detalla y describe el ámbito en el que puede
utilizarse un certificado, junto con los usos permitidos y prohibidos del certificado. Cada Política de
Certificado se identifica con un OID único, número que figura en uno de los campos del certificado.
En inglés “Certificate Policy”, CP.
PIN Universitario
El PIN (abreviatura en inglés de “Personal Identification Number”, número de identificación personal)
es una clave numérica que protege el acceso a determinada información del titular almacenada en un
carnet universitario. En el caso de la certificación digital, este PIN protege el acceso para lectura y
escritura a la clave privada del Firmante. El titular puede cambiar este PIN cuando quiera, y siempre
se le dará la opción de hacerlo como último paso del proceso de registro del Firmante.
Solicitante
Es la persona u organización que solicita a una Oficina de Registro la emisión de un certificado. En el
caso de la Autoridad de Certificación PKI WG10 QUALIFIED, solamente las Universidades que
Ref.:
Versión: 1.0.2
Página: 21 de 22
Fecha 30/01/2009
Público
Política de Certificado
tengan en vigor un Acuerdo de certificación digital con el Banco pueden solicitar válidamente
certificados.
Sujeto
En inglés “Subject”. Campo de un certificado digital X509 versión 3 donde se consignan ciertos datos
que identifican a la persona que va a utilizar el certificado, cuya clave pública se incluye en el
certificado. En el caso de la Autoridad de Certificación PKI WG10 QUALIFIED, en este campo figuran
ciertos datos identificativos del Firmante.
Texto Divulgativo de Política
En inglés “Policy Disclosure Statement”, PDS. Las Declaraciones de Prácticas de Certificación (DPC)
suelen ser textos largos y prolijos, difíciles de leer por los usuarios de los certificados. Por esta razón,
la Autoridad de Certificación suele preparar un resumen de su DPC centrado en los aspectos que
atañen directamente al titular del certificado (proceso de registro, operativa a seguir,
responsabilidades que asume, etc.), que se pone a disposición del futuro titular antes de que firme
cualquier contrato con la Autoridad de Certificación. En el caso de la DPC PKI WG10 QUALIFIED,
este texto es un resumen del documento que la Oficina de Registro pone a disposición de los futuros
Firmantes antes de que inicien el proceso de registro.
Ref.:
Versión: 1.0.2
Página: 22 de 22
Fecha 30/01/2009
Público
Descargar