Módulo 2 firma electrónica avanzada

Módulo2•Módulo2•Módulo2•Módulo2•Módulo2•
Guatemala, octubre 2016
Normativas y marco
legal en torno a
Firma Electrónica Avanzada
Dirección de Formación y Capacitación
CURSO VIRTUAL
INSTITUTO NACIONAL
DE ADMINISTRACIÓN PÚBLICA

Curso Virtual: Firma Electrónica2

Módulo 2: Normativas y marco legal en torno a Firma Electrónica Avanzada 3
MÓDULO 2
Normativas y marco
legal en torno a

Índice
7 NORMATIVAS Y MARCO LEGAL EN
TORNO A FIRMA ELECTRÓNICA
AVANZADA
7 A. Ley modelo de CNUDMI sobre
comercio electronico 1996 1
9 B. Ley modelo de CNUDMI sobre
firmas electronicas 2001
10 C. La ley para el reconocimiento de las
comunicaciones y firmas electrónicas
2008
20 USO DE LAS FIRMAS ELECTRÓNICAS
POR LOS ORGANISMOS DEL ESTADO
22 A. Certificado Digital
23 B. Estándar de Certificados X.509
27 C. Sistema de Gestión de Seguridad
de la Información SGSI – ISO/IEC
27001:2005
29 PROCEDIMIENTO PARA LA
CERTIFICACION ISO 27001
30 Estándares Autoridad emisora de
certificados de firma electrónica
avanzada (AC= Autoridad
Certificadora) y de estampado
cronológico
30 Comprobación de la identidad del
firmante y de sus datos certificados
(Autoridad de Registro)

31 Almacenamiento de los datos
de creación de firma del titular
(dispositivos Criptográficos, Token.
Smart Card entre otros)
35 ISO 9001 Quality management systems
– Requirements
36 ISO/IEC 18014-1:2002 Information
technology -- Security techniques --
Time-stamping services
37 RFC 2560 X.509 Internet PKI Online
Certificate Status Protocol - OCSP.
June 1999
38 RFC 5280 Internet X.509 Public
Key Infrastructure Certificate and
Certificate Revocation List (CRL)
Profile
39 TIA-942 Telecommunications
Infrastructure Standard for Data
Centers (Abril 2005)
40 WebTrust for Certification Authorities
41 Common Criteria EAL 5+
42 Requisitos Evaluados por parte del
RPSC
43 ACTIVIDADES DE LA SEMANA
44 BIBLIOGRAFIA

Normativas y marco legal en torno
a Firma Electrónica Avanzada
A. Ley modelo de CNUDMI sobre comercio
electronico 1996
Se emite con la finalidad de ofrecer al legislador nacional un conjunto
de reglas aceptables en el ámbito internacional que le permitan eliminar
algunos de esos obstáculos jurídicos con miras a crear un marco jurídico
que permita un desarrollo más seguro de las vías electrónicas de
negociación designadas por el nombre de “comercio electrónico”.
Los principios plasmados en el régimen de la Ley Modelo ayudan
a los usuarios del comercio electrónico a encontrar las soluciones
contractuales requeridas para superar ciertos obstáculos jurídicos que
dificulten ese empleo cada vez mayor del comercio electrónico.
La decisión de la CNUDMI de formular un régimen legal modelo para
el comercio electrónico se debe a que el régimen aplicable en ciertos
países a la comunicación y archivo de información era inadecuado o
se había quedado anticuado, al no haberse previsto en ese régimen las
modalidades propias del comercio electrónico.
En algunos casos, la legislación vigente impone o supone restricciones
al empleo de los modernos medios de comunicación, por ejemplo, por
haberse prescrito el empleo de documentos “originales”, “manuscritos”
o “firmados”.
Si bien unos cuantos países han adoptado reglas especiales para regular
determinados aspectos del comercio electrónico, se hace sentir en todas
partes la ausencia de un régimen general del comercio electrónico. De
ello puede resultar incertidumbre acerca de la naturaleza jurídica y la
validez de la información presentada en otra forma que no sea la de un
documento tradicional sobre papel.
La necesidad de un marco legal seguro y de prácticas eficientes se
hace sentir no sólo en aquellos países en los que se está difundiendo el
empleo del EDI y del correo electrónico sino también en otros muchos
países en los que se ha difundido el empleo del fax, el télex y otras
técnicas de comunicación parecidas.

La Ley Modelo puede ayudar a remediar los inconvenientes que
dimanan del hecho de que un régimen legal interno inadecuado
puede obstaculizar el comercio internacional, al depender una parte
importante de ese comercio de la utilización de las modernas técnicas
de comunicación.
La diversidad de los regímenes internos aplicables a esas técnicas
de comunicación y la incertidumbre a que dará lugar esa disparidad
pueden contribuir a limitar el acceso de las empresas a los mercados
internacionales.
La Ley Modelo puede resultar un valioso instrumento, en el ámbito
internacional, para interpretar ciertos convenios y otros instrumentos
internacionales existentes que impongan de hecho algunos obstáculos
al empleo del comercio electrónico, al prescribir, por ejemplo, que se han
de consignar por escrito ciertos documentos o cláusulas contractuales.
Caso de adoptarse la Ley Modelo como regla de interpretación al
respecto, los Estados partes en esos instrumentos internacionales
dispondrían de un medio para reconocer la validez del comercio
electrónico sin necesidad de tener que negociar un protocolo para cada
uno de esos instrumentos internacionales en particular.
Los objetivos de la Ley Modelo, entre los que figuran el de permitir o
facilitar el empleo del comercio electrónico y el de conceder igualdad
de trato a los usuarios de mensajes consignados sobre un soporte
informático que a los usuarios de la documentación consignada sobre
papel, son esenciales para promover la economía y la eficiencia del
comercio internacional.
Al incorporar a su derecho interno los procedimientos prescritos por la
Ley Modelo para todo supuesto en el que las partes opten por emplear
medios electrónicos de comunicación, un Estado estará creando
un entorno legal neutro para todo medio técnicamente viable de
comunicación comercial.
La Ley Modelo está dividida en dos partes, la primera regula el comercio
electrónico en general y la segunda regula el empleo de ese comercio
en determinadas ramas de actividad comercial. Cabe señalar que la
segunda parte de la Ley Modelo, que se ocupa del comercio electrónico
en determinadas esferas consta únicamente del capítulo I, dedicado a
la utilización del comercio electrónico en el transporte de mercancías.
En el futuro tal vez sea preciso regular otras ramas particulares del
comercio electrónico, por lo que se ha de considerar a la Ley Modelo
como un instrumento abierto destinado a ser complementado por
futuras adiciones.
Se recomienda que todo Estado que decida reglamentar más en detalle
el empleo de estas técnicas procure no perder de vista la necesidad de
mantener la encomiable flexibilidad del régimen de la Ley Modelo.

B. Ley modelo de CNUDMI sobre firmas
electronicas 2001
La Ley Modelo surge del creciente empleo de técnicas de autenticación
electrónica en sustitución de las firmas manuscritas y de otros
procedimientos tradicionales de autenticación ha planteado la necesidad
de crear un marco jurídico específico para reducir la incertidumbre con
respecto a las consecuencias jurídicas que pueden derivarse del empleo
de dichas técnicas modernas “firmas electrónicas”.
El riesgo de que distintos países adopten criterios legislativos diferentes
en relación con las firmas electrónicas exige disposiciones legislativas
uniformes que establezcan las normas básicas de lo que constituye en
esencia un fenómeno internacional, en el que es fundamental la armonía
jurídica y la interoperabilidad técnica.
La Ley Modelo ayuda a los Estados a establecer un marco legislativo
moderno, armonizado y equitativo para abordar de manera más eficaz
las cuestiones relativas a las firmas electrónicas.
Como complemento modesto pero importante de la Ley Modelo de
la CNUDMI sobre Comercio Electrónico, la nueva Ley Modelo ofrece
normas prácticas para comprobar la fiabilidad técnica de las firmas
electrónicas.
Ofrece un vínculo entre dicha fiabilidad técnica y la eficacia jurídica que
cabe esperar de una determinada firma electrónica.
La Ley Modelo supone una contribución importante a la Ley Modelo de
la CNUDMI sobre Comercio Electrónico al adoptar un criterio conforme
al cual puede determinarse previamente la eficacia jurídica de una
determinada técnica de creación de una firma electrónica.
La Ley Modelo tiene como finalidad mejorar el entendimiento de
las firmas electrónicas y la seguridad de que puede confiarse en
determinadas técnicas de creación de firma electrónica en operaciones
de importancia jurídica.
Establecer con la flexibilidad conveniente una serie de normas básicas de
conducta para las diversas partes que puedan participar en el empleo de
firmas electrónicas (es decir, firmantes, terceros que actúen confiando
en el certificado y terceros prestadores de servicios), la Ley Modelo
puede ayudar a configurar prácticas comerciales más armoniosas en el
ciberespacio.
Los objetivos de la Ley Modelo, entre los que figuran el de permitir o
facilitar el empleo de firmas electrónicas y el de conceder igualdad de
trato a los usuarios de documentación consignada sobre papel y a los
de información consignada en soporte informático, son fundamentales
para promover la economía y la eficiencia del comercio internacional.

Al incorporar a su derecho interno los procedimientos que se recogen
en la Ley Modelo (y la Ley Modelo de la CNUDMI sobre Comercio
Electrónico) para todo supuesto en que las partes opten por emplear
medios electrónicos de comunicación, el Estado promulgante creará
un entorno jurídico neutro para todo medio técnicamente viable de
comunicación comercial.
Este enfoque neutral con los medios técnicos, utilizado también en la
Ley Modelo de la CNUDMI sobre Comercio Electrónico, tiene la finalidad
de abarcar, en principio, todas las situaciones de hecho en que se
genera, archiva o comunica información, con independencia de cuál sea
el soporte en el que se consigne la información.
Las palabras “entorno jurídico neutro”, utilizadas en la Ley Modelo
de la CNUDMI sobre Comercio Electrónico, reflejan el principio de la
no discriminación entre la información consignada sobre papel y la
información comunicada o archivada electrónicamente.
La nueva Ley Modelo refleja el principio de que no debe discriminarse
ninguna de las diversas técnicas que pueden utilizarse para comunicar o
archivar electrónicamente información, un principio a veces denominado
“de neutralidad tecnológica”.
C. La ley para el reconocimiento de las
comunicaciones y firmas electrónicas 2008
CONTENIDO DE LA LEY
Titulo I
• Comercio Electrónico en General
• Disposiciones Generales
• Aplicación de los requisitos jurídicos a las Comunicaciones
Electrónicas
• Comunicaciones Electrónicas y Formación de Contratos a través
de Medios Electrónicos
Titulo II
• Comercio Electrónico en Materias Especificas
Transporte de Mercancías
Titulo III
• Disposiciones complementarias al comercio electrónico
• Firma Electrónica Avanzada y Prestadores de Servicios de
Certificación

• Registro de Prestadores de Servicios de Certificación
• Disposiciones Varias
A. OBJETO DE LA LEY
Promoción del comercio electrónico, validación y estimulo de las
operaciones efectuadas por medio del fomento de las nuevas tecnologías
de la información y otorgamiento de seguridad jurídica y técnica a las
contrataciones, comunicaciones y firmas electrónicas.
B. ÁMBITO DE APLICACIÓN DE LA LEY
Todo tipo de comunicación electrónica, transacción o acto jurídico,
público o privado, nacional o internacional.
El Estado y sus instituciones quedan expresamente facultados para
la utilización de las comunicaciones y firmas electrónicas. (Gobierno
Electrónico)
Se excluye del ámbito de aplicación de la Ley
a) Obligaciones contraídas por el Estado en Convenios y Tratados
Internacionales
b) Advertencias escritas por disposición legal
c) Disposiciones por causa de muerte
d) Actos jurídicos del Derecho de Familia
e) Ley exige una solemnidad
f) Ley requiera concurrencia personal
C. INTERPRETACIÓN DE LA LEY
Habrá de tenerse en cuenta su origen internacional, la necesidad de
promover la uniformidad de su aplicación y de velar por la observancia
de la buena fe, tanto en el comercio nacional como internacional.
D. COMERCIO ELECTRÓNICO
Toda relación de índole comercial, sea o no contractual, estructurada a
partir de la utilización de una o más comunicaciones electrónicas o de
cualquier medio similar.

Suministro o intercambio de bienes o servicios, Acuerdo de distribución,
Representación o mandato Comercial, Operaciones financieras,
Concesión o explotación de un servicio público, entre otros…
E. INTERCAMBIO ELECTRONICO DE DATOS
Transmisión electrónica de información de una computadora a otra,
estando estructurada la información conforme a alguna norma técnica
convenida para el efecto.
F. MENSAJE DE DATOS
El documento o información generada, enviada, recibida o archivada
por medios electrónicos, magnéticos, ópticos o similares.
G. COMUNICACIÓN ELECTRÓNICA
Toda comunicación que las partes se hagan por medio de mensajes de
datos.
H. DATOS DE CREACIÓN DE FIRMA
Los datos únicos, tales como códigos o claves criptográficas privadas,
que el firmante utiliza para crear la firma electrónica.
I. RECONOCIMIENTO JURIDICO DE UNA COMUNICACIÓN ELECTRÓNICA
No se negarán efectos jurídicos, validez o fuerza obligatoria a una
comunicación o un contrato por la sola razón de que estén en forma de
comunicación electrónica.
Serán admisibles como medios de prueba y gozarán de la debida
fuerza probatoria de conformidad con los criterios reconocidos por la
legislación para la apreciación de la prueba.
J. CERTIFICADO DIGITAL
Es todo mensaje de datos u otro registro que confirme el vínculo entre
un firmante y los datos de creación de la firma, usualmente emitido por
un tercero diferente del originador y el destinatario.

K. CONTENIDO DE UN CERTIFICADO DIGITAL
• Nombre, dirección y domicilio del firmante
• Identificación del firmante nombrado en el certificado
• El nombre, la dirección y el lugar donde realiza actividades el
prestador de servicios de certificación
• La clave pública del usuario en los casos de la tecnología de
criptografía asimétrica
• La metodología para verificar la firma electrónica del firmante
impuesta en la comunicación electrónica
• El número de serie del certificado
• Fecha de emisión y expiración del certificado
L. REVOCACIÓN DE UN CERTIFICADO DIGITAL
1. Por pérdida
2. Clave ha sido expuesta o corre peligro
3. A petición del firmante un tercero en su nombre y representación
4. Por muerte del firmante
5. Por liquidación en caso de personas jurídicas
6. Clave privada o sistema de seguridad del PSC ha sido
comprometido
7. Por cese de actividades del PSC
8. Por orden judicial o de entidad administrativa competente
M. RECONOCIMIENTO DE CERTIFICADOS EXTRANJEROS Y DE
FIRMAS ELECTRÓNICAS
Todo certificado expedido en el extranjero producirá los mismos efectos
jurídicos que el expedido dentro del territorio de la República, si se
presenta un grado de fiabilidad sustancialmente equivalente.
Toda firma electrónica creada o utilizada en el extranjero producirá los
mismos efectos jurídicos.
Los PSC autorizados en el país, podrán homologar Certificados de
firma electrónica emitidos por entidades no establecidas en Guatemala,
bajo su responsabilidad y cumpliendo los requisitos fijados en la ley
y el reglamento o en virtud de convenio internacional ratificado por
Guatemala.

N. ¿QUE ES LA FIRMA ELECTRÓNICA?
Son datos consignados en una comunicación electrónica, adjuntados
o lógicamente asociados, que pueden ser utilizados para identificar
al firmante con relación a la comunicación electrónica e indicar que
el firmante aprueba la información recogida en la comunicación
electrónica.
O.REQUISITOSQUEDEBECUMPLIRUNAFIRMAELECTRÓNICAAVANZADA
a) Estar vinculada al firmante de manera única
b) Permitir la identificación del firmante
c) Haber sido creada utilizando los medios que el firmante puede
mantener bajo su exclusivo control
d) Estar vinculada a los datos a que se refiere, de modo que cualquier
cambio ulterior de los mismos sea detectable
La firma electrónica avanzada, podrá estar certificada por un Prestador
de Servicios de Certificación, tendrá el mismo valor jurídico que una
firma manuscrita y será admisible como prueba en juicio, valorándose
ésta, según los criterios de apreciación establecidos en las normas
procesales. (Art. 33)
P. PRESTADORES DE SERVICIOS DE CERTIFICACIÓN - PSC -
Son las personas nacionales o extranjeras, públicas o privadas,
domiciliadas en la República de Guatemala, que expiden certificados
y pueden prestar otros servicios relacionados con la firma electrónica,
que previa solicitud sean autorizados por el Registro de Prestadores de
Servicios de Certificación.
Q. CARACTERISTICAS Y REQUERIMIENTOS DE LOS –PSC-
a) Capacidad Económica y Financiera
b) Capacidad Técnica
- generar firmas electrónicas avanzadas,
- emitir certificados sobre la autenticidad de las mismas
- conservación de mensajes de datos
c) Representantes Legales y administradores (con ética y no haber
sido condenados penalmente)

d) Acreditaciones necesarias por los órganos o entidades
correspondientes según la normativa vigente
R. REQUISITOS QUE DEBE CUMPLIR UN –PSC-
a. GUIAS:
• Chequeo de Antecedentes y Requisitos
• Evaluación
• Inspección Periódica
b. MANUALES INTERNOS:
• Guía de Identificación de Normas Técnicas
• Manual de Operaciones
c. SEGURO DE RESPONSABILIDAD CIVIL $ 200,000.00 Según el
arancel del Registro
d. Documentación que debe presentar el PSC:
• Constancia de RTU
• Documentación Legal Entidad y Representantes Legales
• Antecedentes Comerciales, Penales y Policiacos
• Dirección de dominio y correo electrónico
• Contratos de Servicios
• Políticas de Privacidad
• Manual Técnico de Dispositivos Seguros
• Declaración de Practicas de Certificación
• Políticas de Certificados
• Currículos-Colegiados Activos (personal que ocupan
cargos, funciones y manejan datos sensibles)
• Oficial de Seguridad

e. ACTIVIDADES DE LOS –PSC-
Ø Emitir certificados de firmas electrónicas avanzadas,
verificación respecto de la alteración entre el envío y recepción
de una comunicación electrónica;
Ø Ofrecer servicios de creación de firmas electrónicas
avanzadas certificadas, registro y estampado cronológico en
la generación, transmisión y recepción de comunicaciones
electrónicas, archivo y conservación;
Ø Certificar en los certificados que expidan, las condiciones
profesionales del titular de la firma para efectos de constituir
prueba frente a cualquier entidad pública o privada.
- OBLIGACIONES DE LOS –PSC-
Ø Emitir certificados
Ø Implementar los Sistemas de Seguridad
Ø Garantizar la protección, confidencialidad y debido uso de la
información y prestación permanente del servicio
Ø Atender las solicitudes y reclamaciones hechas por el firmante
Ø Suministrar la información que le requieran las entidades
administrativas o judiciales
Ø Permitir y facilitar la realización de auditorias por parte del
RPSC
Ø Elaborar los reglamentos que definen las relaciones con el
firmante
Ø Llevar un registro de certificados
- TERMINO DE CONSERVACIÓN DE LOS REGISTROS
El Prestador de Servicios de Certificación debe conservar la información
y registros de certificados expedidos por el término exigido en la ley
que regule el acto o negocio jurídico en particular, o por 10 años en
caso de no existir dicho término.
La remuneración por los servicios de los prestadores de servicios de
certificación será establecida libremente.

- El REGISTRO DE PRESTADORES DE SERVICIOS
DE CERTIFICACIÓN
Adscrito al Ministerio de Economía ejerce las facultades que legalmente
le han sido asignadas y tiene entre sus funciones autorizar, registrar e
inscribir a los prestadores de servicios de certificación para promover
y facilitar el comercio electrónico a nivel global, regional y nacional,
adoptando instrumentos técnicos y legales para brindar certeza y
seguridad jurídica.
ElRegistroeselórganocompetentedelEstadoparaatribuircompetencia
a una persona, órgano o entidad pública o privada, para determinar que
firmas electrónicas cumplen con lo dispuesto en el Art. 33 de la Ley,
dicha determinación deberá ser compatible con las normas y criterios
internacionales reconocidos.
- FUNCIONES -RPSC-
a) Autorizar la actividad de la entidades prestadoras de servicios de
certificación y velar por su funcionamiento
b) Realizar visitas de auditoria, revocar o suspender la autorización
para operar como prestador de servicios de certificación y
solicitar información pertinente
c) Imponer Sanciones a las PSC y Ordenar la revocación de
certificados (Amonestaciones, Multas, Suspender, Prohibir y
Revocar)
d) Velar por la observancia de las disposiciones constitucionales y
legales
Emitir las regulaciones basadas en principios internacionales
reconocidos
- SANCIONES QUE PODRÁ IMPONER –RPSC-
Son aquellas impuestas a los Prestadores de Servicios de Certificación,
como consecuencia del incumplimiento de las obligaciones que les
impone la ley, el reglamento o cualquier otra regulación pertinente, la
cual podrá ser de carácter pecuniario y/o administrativo.
El RPSC deberá llevar un archivo de sanciones impuestas a los PSC que
sea de acceso público por cualquier medio escrito o electrónico.

- SANCIONES QUE PODRÁ IMPONER –RPSC-
Ø AMONESTACION
Ø MULTAS
§ INSTITUCIONALES hasta 2500
§ PERSONALES hasta 500 salarios mínimos no
agrícolas
Ø SUSPENDER todas o algunas actividades del PSC
Ø PROHIBIR prestar servicios de certificación
Ø REVOCAR definitivamente la autorización para operar como PSC
Ø AMONESTACION: por incumplimiento de obligaciones de
carácter administrativo.
Ø MULTAS
Ø SUSPENDER: 1 hasta 3 meses - casos de procedencia Art. 38 del
Reglamento de la LRCYFE
Ø PROHIBIR: 1 hasta 5 años – casos de procedencia Art. 39 del
Reglamento de la LRCYFE
Ø REVOCAR: casos de procedencia Art. 40 del Reglamento de la
LRCYFE
- TRÁMITE DE LAS SANCIONES
RPSC determina que PSC ha incumplido sus obligaciones y amerita una
sanción, notificará al PSC de la sanción a imponer corriéndole audiencia
por 5 días.
RPSC con la contestación o sin ella del PSC, deberá emitir resolución
en la que determine la sanción a imponer y enviará el expediente al
Ministro para que imponga la sanción.
Ministro emite resolución 8 días siguientes de recibir la petición del RPSC
y fija plazo al PSC para que haga efectivo el monto de la sanción si esta
fuere de carácter pecuniario no podrá exceder de 20 días (duplicarse).
Ministro notifica resolución al PSC y devuelve expediente al RPSC.
- REGLAMENTO DE LA LEY
Desarrolla los preceptos normativos contenidos en la Ley y las funciones
del Registro de Prestadores de Servicios de Certificación como autoridad

responsable del registro y autorización para operar de los prestadores
de servicios de certificación.
- CONTENIDO REGLAMENTO
Capitulo I
Disposiciones General
Capitulo II
Uso de las firmas electrónicas por los organismos del Estado
Capitulo III
De los Prestadores de Servicios de Certificación
Capitulo IV
De los Certificados de Firma Electrónica
Capitulo V
De la autorización e inspección de los prestadores de servicios de
certificación
Capitulo VI
Derechos y Obligaciones de los Usuarios de Firmas Electrónicas
Capitulo VII
Del Registro de Prestadores de Servicios de Certificación
Capitulo VIII
Procedimiento para la imposición de Sanciones
Capitulo IX
Disposiciones Finales

Uso de las Firmas Electrónicas por los
Organismos del Estado
ACTOS Y CONTRATOS POR PARTE DEL ESTADO
Los órganos del Estado podrán suscribirlos por medio de firma
electrónica y serán validos de la misma manera y producirán los mismos
efectos que los expedidos por escrito y en soporte papel.
Decretos o Resoluciones, Acuerdos de órganos colegiados, Contratos,
Emisión de cualquier otro documento que exprese la voluntad de
un órgano o servicio público de la administración del Estado, todo
documento que revista la naturaleza de instrumento público o aquellos
que deban producir los efectos jurídicos de éstos, deberán suscribirse
mediante FIRMA ELECTRÓNICA AVANZADA.
1. Relación con los organismos del Estado:
Cuando sea necesaria la comprobación de identidad, será necesario
el empleo de la Firma Electrónica Avanzada, podrán relacionarse por
medios electrónicos con los particulares, cuando estos hayan consentido
expresamente en esta forma de comunicación.
2. Contratación del Estado:
Podrán contratar servicios de certificación de firmas con Prestadores
de Servicios de Certificación autorizados por el Registro de Prestadores
de Servicios de Certificación.
3. Documentos Electrónicos utilizados por el Estado:
Repositorio o Archivo Electrónico que garantice la seguridad, integridad
y disponibilidad de la información, bajo la responsabilidad del funcionario
a cargo del mismo. Art. 8 Reglamento de la LRCYFE

4. Regulación:
Cada organismo del Estado podrá regular la forma cómo se garantizará
la publicidad, seguridad, integridad y eficacia en el uso de las firmas
electrónicas y las demás necesarias para la aplicación de las normas
establecidas en la ley o el reglamento. Art. 9 Reglamento de la LRCYFE
5. ARANCEL DEL REGISTRO DE PRESTADORES DE SERVICIOS
DE CERTIFICACION
a)Análisis del expediente de solicitud (no se restituye) Q. 20,500.00
b)Autorización e inscripción inicial Q. 130,000.00
c) Autorización para prestar servicios/actividadesQ. 75,000.00 c/u
d) Membresía Anual por supervisión Q. 25,000.00
e) Certificaciones Q. 150.00 hasta 10 hojas
Q. 5.00 por hoja adicional

A. Certificado Digital
1. ¿Cómo es un Certificado Digital?
Un Certificado Digital con las características de Seguridad necesarias,
debe utilizar las mas modernas y estables metodologías que la
Criptografía pueda ofrecer. Es por ello que internacionalmente se acepta
a la Criptografía Asimétrica como la metodología mas adecuada para la
generación de un Certificado Digital.
Pues bien cuando la Autoridad de Certificación recibe y firma la Clave
Pública del Usuario utilizando su propia Clave Privada (también llamada
Clave Privada Raíz) convierte al Par de Claves en un Certificado Digital.
2. Clases de Certificado Digital
Los certificados pueden ser clasificados según qué medios hayan sido
utilizados para verificar la veracidad de los datos.
Clase 0 : Se utilizan para probar el procedimiento de Firma
electrónica simple. Son gratuitos y pueden bajarse Ejemplo en: www.
certificadodigital.com.ar .
Clase 1 : Certifican que la persona que posee el Certificado es quien
dice ser, y que la dirección de correo electrónico está bajo su control.
Para cerciorarse de la identidad de la persona la Autoridad de Registro
solicita un documento que lo acredite. Firma Electrónica Avanzada.
Periodo de Validez de un Certificado Digital: de 1 a 3 años.

B. Estándar de Certificados X.509
• La primera versión apareció en 1988 y fue publicada como el
formato X.509v1, siendo la propuesta más antigua para una
infraestructura de clave pública (PKI) a nivel mundial. Esto
junto con su origen ISO/ITU han hecho de X.509 el PKI más
ampliamente utilizado. Más tarde fue ampliada en 1993 por la
versión 2 únicamente en dos campos, identificando de forma
única el emisor y usuario del certificado. La versión 3 de X.509
amplia la funcionalidad del estándar X.509
1. X.509. Campos o Estructura
• V: Versión del certificado.
• SN: Número de serie. (para los CRL)
• AI: identificador del algoritmo de firma que sirve única y
exclusivamente para identificar el algoritmo usado para firmar el
paquete X.509.
• CA: Autoridad certificadora (nombre en formato X.500).
• TA
: Periodo de validez.
• A: Propietario de la clave pública que se está firmando.
• P: Clave pública más identificador de algoritmo utilizado y más
parámetros si son necesarios.
• Y{I}:Firma digital de Y por I (con clave privada de una unidad
certificadora).

CA<<A>> = CA { V, SN, AI, CA, TA
, A, AP }
Donde Y<<X>> es el certificado del usuario X expedido por Y, siendo Y
la autoridad certificadora. De esta forma se puede obtener cualquier X
certificado por cualquier Y.
2. X.509, Versión 3
• El estándar, internacionalmente aceptado, para Certificados
Digitales, es el denominado X.509, en su versión 3.
• Contiene datos del sujeto, como su nombre, dirección, correo
electrónico, etc..
• Con la versión 3 de X.509, sucesora de la versión 2, no hace
falta aplicar restricciones sobre la estructura de las CAs gracias
a la definición de las extensiones de certificados. Se permite

que una organización pueda definir sus propias extensiones
para contener información específica dentro de su entorno de
operación. Este tipo de certificados es el que usa el protocolo de
comercio electrónico SET.
• X.509 y X.500 fueron originalmente diseñados a mediados
de los años 80, antes del enorme crecimiento de usuarios en
Internet. Es por esto por lo que se diseñaron para operar en
un ambiente donde sólo los computadores se interconectaban
intermitentemente entre ellos. Por eso en las versiones 1 y 2
de X.509 se utilizan CRLs muy simples que no solucionan el
problema de la granularidad de tiempo.
• La versión 3 introduce cambios significativos en el estándar. El
cambio fundamental es el hacer el formato de los certificados y
los CRLs extensible. Ahora los que implementen X.509 pueden
definir el contenido de los certificados como crean conveniente.
Además se han definido extensiones estándares para proveer
una funcionalidad mejorada.
CAMPOS DEL X.509v3

a. Importancia de la seguridad de la Información
1. La Información es un activo invaluable
2. El objetivo principal de los Ciberpiratas son las cuentas y los
datos bancarios (Cuesta Dinero)
3. Genera desprestigio y problemas legales
4. Garantizar la continuidad del negocio y responsabilidad social
b. Principales tipos de amenazas:
• Acceso no autorizado
• Usuarios desleales
• Espionaje industrial
• “Hackers” de computador
• Fraude
• Fuego
• Persecución y observación de empleados clave
• Robo de notebooks

C. Sistema de Gestión de Seguridad de la
Información SGSI – ISO/IEC 27001:2005
Historia y evolución de la norma ISO/IEC 27001
• Febrero de 1998: Primera publicación de la BS 7799-2
• Mayo de 1999: Publicación simultánea de las normas BS 7799-1 y
BS 7799-2
• Septiembre de 2002: La BS 7799-2 es publicada por BSI
• Abril de 2005: Aprobado en la reunión de Viena la serie ISO/IEC
27000
• Octubre de 2005: Publicación de la ISO/IEC 27001
• En 2008 la ISO/IEC 27001 inicia el proceso
Estanormainternacional,derivadadelanormabritánicaBS7799-1,hasido
el fruto de un consenso entre los países miembros de la ISO (exceptuando
Canadá, Estados Unidos de Norteamérica y Japón quienes no aceptaban
inicialmente adoptar internacionalmente una norma británica en la
materia), que sirve como guía para la implementación de un Sistema de
Gestión de Seguridad de la Información para Organizaciones públicas,
privadas o mixtas, con la finalidad de preservar la confidencialidad,
integridad y disponibilidad de la información importante que estas
posean y que muchas veces es invaluable (información tal que marque
la diferencia entre una organización y su competencia). Hay que
tomar en cuenta que la seguridad de la información no es solo para
Tecnologías de la Información y Comunicación - TICs, se trata de
Gestión en general, involucra Recursos Humanos, Jurídicos, seguridad
física entre otros.
Por ser norma ISO garantiza la mejora continua del SGSI.

Planificar PLAN (establecer el SGSI): Establecer la política, los
objetivos, procesos y procedimientos de seguridad pertinentes para
gestionar el riesgo y mejorar la seguridad de la información, con el fin
de entregar resultados acordes con las políticas y objetivos globales de
una organización.
Hacer DO (implementar y operar el SGSI): Implementar y operar la
política, controles, procesos y procedimientos del SGSI.
Verificar CHECK (hacer seguimiento y revisar el SGSI): Evaluar y, en
donde sea aplicable, medir el desempeño del proceso con respecto
a la política y los objetivos de seguridad y la experiencia práctica,
reportando los resultados a la dirección, para su revisión.
Actuar ACT (mantener y mejorar el SGSI): Emprender acciones
correctivas y preventivas basadas en los resultados de la auditoría
interna del SGSI y la revisión por la dirección, para lograr la mejora
continua del SGSI.
Dominios de control.
Ø Política de Seguridad.
Ø Organización de la Seguridad de la Información.
Ø Gestión de Activos.
Ø Seguridad Ligada a los Recursos Humanos.
Ø Seguridad Física y del Ambiente.
Ø Gestión de Comunicaciones y Operaciones.
Ø Control de Acceso.
Ø Adquisición, Desarrollo y Mantenimiento de Sistemas de
Información.
Ø Gestión de Incidentes de Seguridad de la Información.
Ø Gestión de Continuidad del Negocio.
Ø Cumplimiento.
DOCUMENTOS EXIGIDOS POR EL SGSI.
• Declaraciones documentadas de la Política de Seguridad de la
Información.
• Alcance del SGSI.

• Reporte de evaluación de riesgos.
• Plan de tratamiento de riesgos.
• Procedimientos documentados para asegurar la operación y el
control de los procesos en Seguridad de la Información.
• Registros exigidos por la Norma.
• Declaración de aplicabilidad.
PROCEDIMIENTO PARA
LA CERTIFICACION ISO 27001
ACTIVIDADES PLAZO
DEFINICIÓN DEL ALCANCE DEL SGSI MES 1
EVALUACIÓN DE RIESGOS EN LAS ÁREAS Y PROCESOS DEL
SGSI
MES 2 A 4
DIAGNÓSTICO DEL SGSI MES 1 A 2
DECLARACIÓN DE APLICABILIDAD MES 6
IMPLEMENTACIÓN DE LOS CONTROLES DEFINIDOS EN LA
EVALUACIÓN Y TRATAMIENTO DE LOS RIESGOS
MES 3 A 11
SEMINARIO SOBRE CONCIENTIZACIÓN EN SEGURIDAD DE
LA INFORMACIÓN
MES 3 A 7
CURSO SOBRE LAS NORMAS ISO/IEC 27001 Y 27002 MES 2 A 4
DOCUMENTACIÓN DEL SGSI MES 2 A 11
FORMACIÓN DE LAS PERSONAS INVOLUCRADAS EN LA DO-
CUMENTACIÓN DEL SGSI.
MES 2 A 8
AUDITORÍA INTERNA DEL SGSI MES 10
IMPLEMENTACIÓN DE ACCIONES PREVENTIVAS Y CORREC-
TIVAS
MES 10 A 11
REVISIÓN DEL SGSI POR LA DIRECCIÓN MES 11
EVALUACION DETALLADA DEL SGSI MES 11

Estándares Autoridad emisora de certificados
de firma electrónica avanzada (AC= Autoridad
Certificadora) y de estampado cronológico
Para ofrecer un grado de seguridad reconocido y comparable a nivel
internacional, se recomienda que los PSC, o las entidades en su nombre
delegadas para ofrecer el servicio de Autoridad Certificadora, cumplan
como mínimo en su operación con uno de los siguientes estándares:
ISO/IEC 27001, o WebTrust for Certification Authorities.
La norma ISO/IEC 27001 está diseñada para garantizar la adecuada
selección de los controles de seguridad proporcionados para proteger
los activos de información, y dar confianza a las partes interesadas.
El programa WebTrust ayuda a garantizar que los procedimientos se
siguen en actividades relacionadas con las transacciones de comercio
electrónico, infraestructura de clave pública (PKI), y la criptografía.
Además en estas empresas el hardware criptográfico es vital. Por
ello, para la raíz de la Autoridad Certificadora, y para la Autoridad de
Estampado Cronológico se recomienda el cumplimiento de uno de los
dos estándares internacionales siguientes: FIPS PUB 140-1 o FIPS PUB
140-2;
Ambos estándares especifican los requerimientos de seguridad que
deben ser satisfechos por un módulo criptográfico usado en un sistema
de seguridad que protege información en sistemas computacionales
y de telecomunicaciones. Las normas proveen 4 niveles cualitativos y
crecientes de seguridad para cumplir un amplio rango de aplicaciones
posibles en diferentes ambientes potenciales en los cuales los módulos
criptográficos se pueden usar. Y para la prestación del servicio en
Guatemala se recomienda exigir el cumplimiento como mínimo del
Nivel 3 a nivel del hardware criptográfico.
Comprobación de la identidad del firmante y
desusdatoscertificados (AutoridaddeRegistro)
Provisoriamente, para ofrecer un grado de seguridad reconocido
y comparable a nivel internacional, se recomienda que los PSC o las
entidades en su nombre delegadas para ofrecer el servicio de Autoridad
de Registro, estén certificadas en su operación como mínimo con el
estándar ISO 9001.
Dada la amplia gama de usos posibles de dicho estándar, se hace
recomendable que la Autoridad de Registro implemente de manera
complementaria y verificable (no necesariamente certificada), el apego
a la norma ISO/IEC 27001

Esta provisionalidad permite a las empresas alcanzar un nivel de madurez
necesario para garantizar la seguridad del sistema. la certificación
ISO 9001 y la certificación ISO/IEC 27001 serán las que permitan que
continúen con su autorización.
Almacenamiento de los datos de creación de
firma del titular (dispositivos Criptográficos,
Token. Smart Card entre otros)
Un tercer pilar en la seguridad del sistema está constituido por el
mecanismo escogido para entregar los datos de creación de firma a
un titular. Para el dispositivo en el cual se entregarán los certificados y
datos privados de firma electrónica ofrecidos por el PSC a sus clientes,
o las entidades en su nombre delegadas para ofrecer el servicio, se
recomienda exigir la certificación de cumplimiento de uno de los dos
estándares internacionales siguientes: FIPS PUB 140-1, Nivel 2 ó 3; o su
versión más reciente: FIPS PUB 140-2: Nivel 2 ó 3.
Verificación del registro público de certificados en línea:
Para cumplir con el requisito de ofrecer medios razonablemente
accesibles para determinar el estado de un certificado, se recomienda
que los PSC, o las entidades en su nombre delegadas para ofrecer
información en línea de sus servicios, tengan implementado el estándar
internacional RFC 2560 X.509.
Dicho estándar define el Online Certificate Status Protocol (OCSP) que
permite implementar o usar aplicaciones que determinen el estado de
un certificado en línea, proporcionando información más oportuna que
la opción de listas de revocación, actualizadas con frecuencias típicas
de 24 horas.
Servicios asociados al estampado cronológico
delegadas para ofrecer servicios de estampado cronológico, cumplan
como mínimo en su operación con el tener la certificación ISO/IEC
27001.
Dada la amplia gama de usos posibles de dicho estándar, se hace
recomendable que la entidad que ofrezca servicios de estampado
implemente de manera complementaria a ISO/IEC 27001, y verificable
por un auditor externo competente (no necesariamente certificada), el
apego a las normas ETSI TS 102 023, e ISO/IEC 18014; o las respectivas
normas guatemaltecas que las homologuen, respectivamente.

En ETSI TS 102 023 se definen los requisitos de la política en las prácticas
de operación y de administración de las autoridades de estampado
cronológico (TSA) tales que los suscriptores y otras partes puedan tener
confianza en la operación de los servicios de estampado cronológico.
En particular, se recomienda exigir el uso del algoritmo de hash SHA-1
con RSA y largos de llave de al menos 2048 bits con RSA.
En el segundo, ISO/IEC 18014 se describe el modelo general en el cual
se basan los servicios de estampado cronológico, define los servicios,
define los protocolos básicos, y especifica los protocolos entre las
entidades involucradas.
Conservación de las comunicaciones electrónicas
LaLeycontemplalanecesidaddecontarconserviciosdealmacenamiento
de comunicaciones electrónicas, lo que posibilita a los PSC autorizados
a ofrecer dicho servicio.
delegadas para ofrecer dicho servicio, cumplan como mínimo con el
estándar ISO/IEC 27001, o su equivalente en norma nacional.
Como esta norma está diseñada para ser apta en diferentes tipos de
uso, debe ser complementada con el estándar TIA-942, o su equivalente
en norma nacional. En él se cubren recomendaciones sobre el espacio
físico y su distribución, el cableado, la disponibilidad, y el entorno.
Además en el estándar TIA-942 se definen cuatro niveles de
disponibilidad, o Tier, y se recomienda que el Data Center opere con
nivel Tier 3, e incluso Tier 4 cuando la información así lo requiera.
Breve descripción de las normas Solicitadas por el RPSC:
• ETSI TS 102 023 V1.2.2 (2008-10) Electronic Signatures and
Infrastructures (ESI); Policy requirements for time-stamping
authorities.
El sistema de estampado cronológico es un proceso seguro que permite
establecer el tiempo de la creación y modificación de un documento,
asociando una fecha y una hora a un documento digital de una manera
criptográficamente fuerte. “Seguro” significa que nadie, ni siquiera el
dueño del documento puede modificarlo una vez que ha sido guardado,
siempre y cuando la integridad del proveedor del servicio de estampado
cronológico no haya sido comprometida. Para lograrlo se requiere
disponer de una infraestructura confiable de estampado cronológico.
El estampado cronológico confiable es otorgado por una tercera parte
de confianza (Trusted Third Party - TTP) que actúa como una autoridad
de estampado cronológico (Timestamping Authority – TSA), y es el
único sistema, reconocido internacionalmente, que permite determinar

si una firma electrónica fue generada con anterioridad al momento de
revocación de un certificado.
Elestándardefinelosrequisitosdelapolíticaenlasprácticasdeoperación
y de administración de las autoridades de estampado cronológico (TSA)
tales que los suscriptores y otras partes puedan tener confianza en la
operación de los servicios de estampado cronológico. Estos requisitos
están pensados para los servicios de estampado cronológico usados
en las firmas electrónicas pero se pueden aplicar a cualquier caso que
requiera probar que un dato existía antes de un instante particular en el
tiempo, y están basadas en la criptografía de clave pública, certificados
de clave pública y fuentes de tiempo confiables.
En particular, el documento trata los requisitos para una TSA que publica
sellos de tiempo que se sincronizan con la Escala de Tiempo Universal
(Coordinated Universal Time - UTC) y son firmados digitalmente por
una unidad de estampado cronológico (Time Stamping Unit – TSU[1]).
Entre los ámbitos incluidos están las políticas de la TSA respecto del
estampado cronológico, las obligaciones y responsabilidades de las
partes involucradas, las declaraciones de prácticas incluyendo temas
como la gestión del ciclo de vida de las llaves usadas, operación de una
TSA, etc., respecto de as cuales tanto los suscriptores como las partes
que confían deberían informarse adecuadamente.
Fuente del estándar: http://pda.etsi.org/pda/queryform.asp
FIPS PUB 140-1: Security Requirements for Cryptographic Modules,
(Mayo 2001) y FIPS PUB 140-2: Security Requirements for
Cryptographic Modules (Mayo 2002)
Ambos estándares especifican los requerimientos de seguridad que
deben ser satisfechos por un módulo criptográfico usado en un sistema
de seguridad que protege información en sistemas computacionales
y de telecomunicaciones (incluyendo sistemas de voz). Las normas
proveen 4 niveles cualitativos y crecientes de seguridad para cumplir
un amplio rango de aplicaciones posibles en diferentes ambientes
potenciales en los cuales los módulos criptográficos se pueden usar.
Los requisitos de seguridad cubren áreas relacionadas con el diseño
básico y la documentación, interfaces del módulo, roles y servicios
autorizados, seguridad física, seguridad de software, seguridad
del sistema operativo, gestión de llave, algoritmos criptográficos,
interferencia electromagnética, y auto pruebas.
El nivel de seguridad de un módulo criptográfico será elegido para
proveer un nivel de seguridad adecuado a los requisitos de la aplicación
y al ambiente en los cuales el módulo va a ser utilizado y a los servicios
de seguridad que el módulo se supone debe proveer.

Niveles de Seguridad:
Nivel de seguridad 1. Provee el nivel más bajo de seguridad. No se
requieren mecanismos de seguridad física más allá de los requisitos del
equipo de producción estándar. El Nivel 1 permite que las funciones
criptográficas de software sean ejecutadas en un computador personal
de propósito general.
Nivel de seguridad 2. Mejora la seguridad física de un módulo
criptográfico de seguridad de Nivel 1 agregando el requisito de
recubrimientos o sellos que hagan evidente la intromisión, o el de
serraduras resistentes a ser violentadas, obligando a romperlas para
obtener acceso físico a las llaves criptográficas de texto plano y a
otros parámetros críticos de seguridad del módulo. El Nivel 2 provee
autenticación basada en roles, en el cual el módulo debe autenticar que
un operador esté autorizado para asumir un rol específico y ejecutar un
conjunto de servicios correspondientes.
Nivel de seguridad 3. Mejora la seguridad física de los anteriores. El Nivel
3 intenta prevenir que un intruso pueda obtener acceso a parámetros
críticos de seguridad mantenidos dentro del módulo. Por ejemplo, si una
cubierta o sello se retira o una puerta se abre, los parámetros críticos
de seguridad son reducidos a cero. Este nivel proveee autenticación
por identidad, donde el modulo debe de identificar la identidad de un
operador y verificar que dicho operador esté autorizado para asumir
cierto rol específico y ejecutar un conjunto de servicios correspondientes.
Además los puertos de datos usados para parámetros críticos de
seguridad deben estar físicamente separados de otros puertos de
datos.
Nivel de seguridad 4. Provee el grado más alto de seguridad. La mayoría
de los productos existentes no cumple este nivel por completo, pero
sí algunas características. El Nivel 4 provee un sobre de protección
alrededor del módulo criptográfico. Su propósito es detectar una
penetración en el dispositivo en cualquier dirección. El Nivel 4 también
protege a un módulo criptográfico contra el compromiso de su seguridad
debido a condiciones ambientales o fluctuaciones fuera de los rangos
operativos normales del módulo por tensión eléctrica y la temperatura.
FIPS 140-2 incorpora cambios en la aplicación de estándares y
tecnología desde el desarrollo de FIPS 140-1 así como cambios basados
en comentarios recibidos de vendedores, laboratorios, y la comunidad
de usuarios. NIST estableció un período de transición entre ambos
estándares, sin embargo, indica que todas las validaciones contra el
estándar FIPS 140-1 seguirán siendo reconocidas.
Fuente del estándar: http://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdf


ISO 9001 Quality management systems –
Requirements
ISO 9001 especifica requerimientos para un sistema de gestión de la
calidad donde una organización necesita demostrar su habilidad para
proveer consistentemente productos que cumplen los requisitos del
cliente y de las normativas y regulaciones aplicables, y tiene por objeto
mejorar la satisfacción del cliente a través de la aplicación efectiva
del sistema, incluidos los procesos de mejora continua del sistema y
la garantía de conformidad con el cliente y normativas legales y los
requisitos reglamentarios.
TodoslosrequisitosdelanormaISO9001songenéricosyestándestinadas
a ser aplicables a todas las organizaciones, independientemente del
tipo, tamaño y producto. Cuando algún requisito de la norma ISO 9001
no se puede aplicar debido a la naturaleza de una organización y su
producto, esto puede ser considerado para la exclusión. Cuando se
hacen exclusiones, las reclamaciones de conformidad con la norma ISO
9001 no son aceptables a menos que estas exclusiones se limiten a los
requisitos de la cláusula 7, y tales exclusiones no afecten a la capacidad
de la organización, o la responsabilidad, para ofrecer productos que
satisfagan a sus clientes y que respondan a las normativas legales y los
requisitos reglamentarios.
Fuente del estándar: http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.
htm?csnumber=46486

ISO/IEC 18014-1:2002 Information technology
-- Security techniques -- Time-stamping
services.
Es un estándar compuesto por tres partes.
Parte 1: Framework
Identifica el objetivo de una autoridad de estampado cronológico,
describe el modelo general en el cual se basan los servicios de
estampado cronológico, define los servicios de estampado cronológico,
define los protocolos básicos de estampado cronológico, y especifica
los protocolos entre las entidades involucradas.
Parte 2: Mechanisms producing independent tokens
Describe los servicios de estampado cronológico produciendo tokens
independientes, un modelo general para los servicios de estampado
cronológico de este tipo y los componentes básicos usados para
construir el servicio, definiendo las estructuras de datos y los protocolos
usados para interactuar con él.
Actualmente se cubren tres mecanismos independientes: (1) estampado
cronológico usando firma digital, (2) estampado cronológico usando
códigos de autenticación de mensajes, y (3) estampado cronológico
usando archivos.
Parte 3: Mechanisms producing linked tokens
Describe el servicio de estampado cronológico produciendo tokens
ligados, es decir, tokens que están criptográficamente limitados a otros
tokens producidos por estos servicios de estampado cronológico.
Describe un modelo general para los servicios de estampado cronológico
de este tipo y los componentes básicos usados para construir el servicio,
define las estructuras de datos y los protocolos usados para Interactuar
con el servicio de estampado cronológico, así como casos específicos
de tales servicios.
Fuente del estándar:
http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=50678

RFC 2560 X.509 Internet PKI Online Certificate
Status Protocol - OCSP. June 1999.
En lugar de o como complemento a la comprobación de una lista de
certificados revocados (CRL), puede ser necesario obtener información
oportuna acerca del estado de revocación de un certificado. Algunos
ejemplos son la transferencia de fondos de alto valor o de grandes
existencias.
El Online Certificate Status Protocol (OCSP) permite a las aplicaciones
determinar el estado de un certificado. OCSP se puede utilizar para
satisfacer algunas de las necesidades operacionales de proporcionar
información más oportuna sobre la revocación de la que es posible con
las CRL y puede ser utilizado también para obtener más información
sobre el estado del certificado. Un cliente OCSP emite una solicitud de
estado a un OCSP servidor, y suspende la aceptación del certificado en
cuestión hasta obtener la respuesta.
Este protocolo especifica los datos que deben intercambiarse entre una
solicitud de comprobación del estado de un certificado y el servidor
que provee el estado del certificado.
http://www.ietf.org/rfc/rfc2560.txt

RFC 5280 Internet X.509 Public Key
Infrastructure Certificate and Certificate
Revocation List (CRL) Profile
Este estándar es parte de una familia de normas para la Infraestructura
de Clave Pública (PKI) X.509 para Internet.
Esta especificación describe los perfiles y la semántica de los certificados
y listas de certificados revocación (CRL).
Se describen los procedimientos para el procesamiento de los caminos
de certificación en Internet. Por último, como anexo se presentan
módulos en formato ASN.1 para todas las estructuras de datos definidas
o referenciadas.
http://www.ietf.org/rfc/rfc5280.txt

TIA-942 Telecommunications Infrastructure
Standard for Data Centers (Abril 2005)
Esteestándarespecificalosrequerimientosmínimosparalainfraestructura
de telecomunicaciones de un repositorio de datos (data center) y para
salas de computadores, incluyendo los de empresas individuales y el
hospedaje de múltiples empresas en un mismo repositorio de datos. La
topología propuesta en el documento es aplicable a cualquier tamaño
de data center.
El estándar cubre el espacio del sitio y su distribución; la infraestructura
de cableado; niveles de fiabilidad; y consideraciones del entorno
(ambiente).
Respecto de la fiabilidad, el estándar define 4 niveles:
Tier I – Básico. Ofrece 99.671% de disponibilidad, es decir, durante un
año puede quedar indisponible por 28.8 horas. Es susceptible de sufrir
interrupciones en su operación, tanto programadas como imprevistas, y
para realizar mantenciones debe ser apagado por completo.
Tier II – Componentes redundantes. Ofrece 99.741% de disponibilidad,
es decir, durante un año puede quedar indisponible por 22.0 horas. Es
menos susceptible a sufrir interrupciones del servicio, tanto planeadas
como imprevistas. Algunas mantenciones también requieren del
apagado completo del data center.
Tier III – Mantención concurrente. Ofrece 99.982% de disponibilidad,
es decir, durante un año puede quedar indisponible por 1.6 horas.
Permite actividades planificadas sin interrumpir el funcionamiento de
las máquinas, pero situaciones imprevistas todavía pueden afectar la
operación.
Tier IV– Tolerante a fallas. Ofrece 99.995% de disponibilidad, es decir,
durante un año puede quedar indisponible por 0.4 horas. Las actividades
planificas no interrumpen las cargas críticas y el almacenamiento de
datos puede soportar al menos un evento no planificado sin impactos
críticos.
http://www.tiaonline.org/standards/

WebTrust for Certification Authorities.
Las principales Autoridades Certificadoras (CA) están obligadas a
someterse a una auditoría amplia denominada AICPA/CICA WebTrust
Program for Certification Authorities. Esta auditoría se lleva a cabo por
empresas auditoras públicas y profesionales que están específicamente
autorizados por el Instituto Americano de Contadores Públicos
Certificados (AICPA) y el Canadian Institute of Chartered Accountants
(CICA).
El programa WebTrust de CA ayuda a garantizar que los procedimientos
se siguen en actividades relacionadas con las transacciones de
comercio electrónico, infraestructura de clave pública (PKI), y la
criptografía. Para alcanzar confianza en las transacciones en línea y en
el comercio electrónico, la confidencialidad, autenticación, integridad
y no repudiación son de vital importancia. Estas necesidades se
satisfacen mediante el uso de PKI y certificados SSL. Una autoridad
de certificación verifica la identidad de una organización o entidad y
expide un certificado que la organización puede utilizar para probar su
identidad.
El programa WebTrust para Autoridades de Certificación ayuda a
asegurar que la CA sigue adecuadamente su declaración de prácticas
de certificación (CPS), verificando apropiadamente las organizaciones,
y protegiendo adecuadamente sus llaves de certificado.
http://www.webtrust.org/

Common Criteria EAL 5+
Estándar Europeo que se utiliza con el fin de poder certificar un producto
según los Criterios Comunes se deben comprobar, por parte de uno de
los laboratorios independientes aprobados, numerosos parámetros de
seguridad que han sido consensuados y aceptados por 22 países de
todo el mundo. El proceso de evaluación incluye la certificación de que
un producto software específico verifica los siguientes aspectos:
Los requisitos del producto están definidos correctamente.
Los requisitos están implementados correctamente.
El proceso de desarrollo y documentación del producto cumple con
ciertos requisitos previamente establecidos.
Los Criterios Comunes establecen entonces un conjunto de requisitos
para definir las funciones de seguridad de los productos y sistemas de
Tecnologías de la Información y de los criterios para evaluar su seguridad.
El proceso de evaluación, realizado según lo prescrito en los Criterios
Comunes, garantiza que las funciones de seguridad de tales productos
y sistemas reúnen los requisitos declarados. Así, los clientes pueden
especificar la funcionalidad de seguridad de un producto en términos de
perfiles de protección estándares y de forma independiente seleccionar
el nivel de confianza en la evaluación de un conjunto definido desde el
EAL1 al EAL7.
EAL 5+ o 5 Plus (diseño verificado y probado semiformalmente):
Permite a los desarrolladores alcanzar una alta garantía en la aplicación
de técnicas de ingeniería de seguridad para un entorno de desarrollo
riguroso y donde el objeto de evaluación es considerado de gran
valor para la protección del alto costo o estimación de esos bienes
contra riesgos significativos. Además, es aplicable para el desarrollo
de objetos de evaluación, destinados a salvaguardar la seguridad
informática en situaciones de alto riesgo donde el valor de los bienes
protegidos justifica los costos adicionales. El análisis en este nivel se
apoya en un diseño modular y en una presentación estructurada de la
implementación del producto. La búsqueda de vulnerabilidades debe
mostrar una alta resistencia a los ataques de penetración.
Permite a un desarrollador alcanzar máxima garantía de ingeniería
de seguridad positiva mediante la aplicación moderada de técnicas
de ingeniería de seguridad. La confianza se apoya, en este caso, en
un modelo formal y una presentación semiformal de la especificación
funcional y el diseño de alto nivel. En Europa para los chips de firma
electrónica utilizados en los pasaportes es obligatorio tenerlo para
poder ofrecer este servicio, también para aplicaciones de pagos en
línea.

Requisitos Evaluados por parte del RPSC
R1: La admisibilidad
R2: Aspectos Legales y Comerciales
R3: Servicios Ofrecidos
R4: Estandáres
R5: Politicas y Practicas de Certificación
R6: Administración del PSC
Pasos: Fuente: Guia de Evaluación y de Requisitos www.rpsc.gob.gt
Paso 1: Pago del Costo de la Evaluación.
Paso 2: Presentar la Solicitud con la documentación y los requisitos
evaluados anteriormente.
Paso 3: Verificación de la admisibilidad
Paso 4: Evaluación de la Autorización.
Para esta evaluación el RPSC cuenta con 90 días Hábiles según ley para
otorgar la autorización inscripción y registro para ser PSC.

ACTIVIDADES DE LA SEMANA
No. Actividades Recursos
Tiempo
estimado
Fecha Punteo
1 Foro Temático Módulo II
Foro del Aula
Virtual
30
minutos
Martes
a Jueves
5 puntos
2.
Elaborar un ensayo indicando
“Considera que se ha dado
a conocer lo suficiente el Decreto
47-2008, que haría para acelerar
la implementación en Guatemala”
Aula Virtual
2
Horas
Jueves 5 puntos
3. Cuestionario Aula Virtual
30
minutos
Viernes 5 puntos
4.
ProyectoFinal
Llenarlaparte2delproyectoFinal
(documentoadescargar)
Aula Virtual
30
minutos
Viernes 5 puntos

BIBLIOGRAFIA
“LA LEY PARA EL RECONOCIMIENTO DE LAS COMUNICACIONES Y
FIRMAS ELECTRÓNICAS”
Decreto No. 47-2008 del Congreso de la República
REGLAMENTO DE LA LEY
Acuerdo Gubernativo No. 135-2009
y su reforma en Acuerdo Gubernativo No. 262-2009
ARANCEL DEL REGISTRO
Acuerdo Gubernativo No. 109-2010
y su reforma en Acuerdo Gubernativo No. 460-2011

Guatemala, octubre 2016
Normativas y marco legal
en torno a
Dirección de Formación y Capacitación
CURSO VIRTUAL

Módulo 2 firma electrónica avanzada

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (19)

Destacado

Destacado (20)

Similar a Módulo 2 firma electrónica avanzada

Similar a Módulo 2 firma electrónica avanzada (20)

Más de Instituto Nacional de Administración Pública

Más de Instituto Nacional de Administración Pública (20)

Último

Último (12)

Módulo 2 firma electrónica avanzada