Guía CFE

Guía de Acreditación de
Prestador de Servicios de Valor

Añadido SVA
Versión x.x
Guía de Acreditación de
Proveedor de Servicios de Valor Añadido
Rev: 2016
Infraestructura Oficial de Firma
Electrónica (IOFE) - PERÚ Aprobado:
ÍNDICE GENERAL
1. PREÁMBULO................................................................................................................................. 4
OBJETIVO .......................................................................................................... 4
PÚBLICO AL QUE VA DIRIGIDO ..................................................................................... 4
2. DEFINICIONES/TERMINOLOGÍA ................................................................................................. 5
3. ACRÓNIMOS ............................................................................................................................... 16
4. ARQUITECTURA JERÁRQUICA DE CERTIFICACIÓN DEL ESTADO PERUANO Y

MECANISMO DE INTEROPERABILIDAD........................................................................................... 18
5. LINEAMIENTOS DE LA POLITICA DE SEGURIDAD DE LA INFRAESTRUCTURA OFICIAL

DE FIRMA ELECTRÓNICA - IOFE ...................................................................................................... 19
I. MARCO LEGISLATIVO/LEGAL ............................................................................ 20

II: MARCO DE POLÍTICAS .................................................................................... 22
III: MARCO OPERACIONAL (RELATIVOS A LAS OPERACIONES DE SVAS) ...................... 22
IV: NIVELES DE SEGURIDAD DE PKI ...................................................................... 24
6. LISTA DE SERVICIOS DE CONFIANZA – TSL ......................................................................... 26
7. MODALIDAD DE SERVICIOS DE VALOR AÑADIDO ............................................................... 26
8. PROCEDIMIENTO DE ACREDITACIÓN .................................................................................... 26
8.1. PASO 1: SOLICITUD INICIAL ................................................................................... 27
8.2. PASO 2 : EVALUACIÓN DE CONTENIDO LEGAL .................................................. 30
8.3. PASO 3: EVALUACIÓN DE LA IMPLEMENTACIÓN DE LA DECLARACIÓN EN

LOS DOCUMENTOS DPSVA, LA POLÍTICA Y PLAN DE PRIVACIDAD, LA POLÍTICA DE
SEGURIDAD Y LOS REQUERIMIENTOS DE USABILIDAD.............................................................. 31
8.4. PASO 4: RESOLUCIÓN ............................................................................................. 33
8.5. PASO 5: PUBLICIDAD DE RESULTADOS: ............................................................. 33
9. PROCEDIMIENTO DE LA EVALUACIÓN DE SEGUIMIENTO .................................................. 34
9.1. PASO 1: NOTIFICACIÓN: .......................................................................................... 34
9.2. PASO 2: EVALUACIÓN: ............................................................................................ 34
9.3. PASO 3: RESULTADO: ............................................................................................. 34
-2-
Rev: 2016
10. PROCEDIMIENTO DE ACTUALIZACIÓN .................................................................................. 35
10.1. PASO 1: SOLICITUD: ................................................................................................ 35
10.2. PASO 2: EVALUACIÓN: ............................................................................................ 35
10.3. PASO 3: RESULTADO: ............................................................................................. 35
ANEXO I: MARCO DE LA POLÍTICA DE PRESTACIÓN DE SERVICIOS DE VALOR AÑADIDO...36
ANEXO II: REGLAMENTO DE LEY 27269........................................................................................ 113
ANEXO III: POLÍTICA DE SEGURIDAD. ........................................................................................... 114
ANEXO IV: CONTROLES DE SEGURIDAD INFORMACIÓN REFERENCIAL NO APLICABLE A LA

EVALUACIÓN ………………………………………………………………………………………………115
ANEXO V: PRIVACIDAD ................................................................................................................... 116
ANEXO VI: REGLAMENTO GENERAL. ........................................................................................... 121
ANEXO VII: REGLAMENTO ESPECÍFICO. ...................................................................................... 122
ANEXO VIII: MEMORIA DESCRIPTIVA. ........................................................................................... 123
ANEXO IX: FICHA DE SOLICITUD. .................................................................................................. 124
ANEXO X: ESTÁNDARES RECONOCIDOS ..................................................................................... 125
ANEXO XI: USABILIDAD ................................................................................................................... 134
ANEXO XII: PERFILES DE LOS ACREDITADOS ............................................................................ 135
-3-
Rev: 2016
1. PREÁMBULO
Objetivo
El presente documento establece los procedimientos y criterios que deben cumplir

los Prestadores de Servicios de Valor Añadido (SVA) para lograr su acreditación
ante INDECOPI.
El Instituto Nacional de Defensa de la Competencia y de la Protección de la

Propiedad Intelectual – INDECOPI, designado como la Autoridad Administrativa
Competente (AAC) por la legislación vigente, establece en el presente documento
los requisitos y pautas que buscan asegurar que el Prestador de Servicios de Valor
Añadido (SVA) que pretenda operar dentro de la Infraestructura Oficial de Firma
Electrónica (IOFE) cumpla determinados niveles de seguridad e interoperabilidad a
efectos de poder obtener la correspondiente acreditación.
En tal sentido, los criterios establecidos se basan en estándares internacionalmente

aceptados y en los principios acordados en la denominada Declaración de Lima,
suscrita en el Sexto Meeting Ministerial del APEC llevado a cabo en Lima del 1° al 3
de julio del año 2005, en virtud a la cual se aprueban los Lineamientos para la
Infraestructura de Clave Pública (PKI) –Public Key Infrastructure Guidelines-;
tomando asimismo en consideración los principios establecidos en la Norma Marco
sobre Privacidad aprobado en el Décimo Sexto Meeting Ministerial del APEC llevado
a cabo en Santiago de Chile del 17 al 18 de noviembre del año 2004.
Público al que va dirigido
El presente documento, emitido bajo la autoridad del INDECOPI en calidad de AAC,

pretende ser empleado por los Prestadores del Servicio de Valor Añadido a través de
sus delegados: Oficiales de TI (Information Technology Officials), Gerentes de
Registro, Responsable de Privacidad, etc.; a efectos que estos prestadores de
servicios de certificación digital puedan identificar los requisitos necesarios que
deben cumplir.
-4-
Rev: 2016
2. DEFINICIONES/TERMINOLOGÍA
 Acreditación: Es el acto a través del cual la Autoridad Administrativa

Competente, previo cumplimiento de las exigencias establecidas en la Ley, el
Reglamento y las disposiciones dictadas por ella, faculta a las entidades
solicitantes reguladas en el presente Reglamento a prestar los servicios
solicitados en el marco de la Infraestructura Oficial de Firma Electrónica.
 Acuse de Recibo.- Son los procedimientos que registran la recepción y
validación de la Notificación Electrónica Personal recibida en el domicilio
electrónico, de modo tal que impide rechazar el envío y da certeza al
remitente de que el envío y la recepción han tenido lugar en una fecha y hora
determinada a través del sello de tiempo electrónico.
 Agente automatizado: Son los procesos y equipos programados para atender
requerimientos predefinidos y dar una respuesta automática sin intervención
humana, en dicha fase.
 Ancho de banda.- Especifica la cantidad de información que se puede enviar
a través de una conexión de red en un período de tiempo dado (generalmente
un segundo). El ancho de banda se indica generalmente en bites por
segundo (bps), kilobits por segundo (Kbps), o megabits por segundo (Mbps).
Cuánto más elevado el ancho de la banda de una red, mayor es su aptitud
para transmitir un mayor caudal de información.
 Archivo.- Es el conjunto organizado de documentos producidos o recibidos
por una entidad en el ejercicio de las funciones propias de su fi n, y que están
destinados al servicio.
 Archivo Electrónico.- Es el conjunto de registros que guardan relación.
También es la organización de dichos registros.
 Aplicabilidad o propósito de un certificado: se refiere al rango de aplicaciones
en las que se puede utilizar un certificado digital dentro de una comunidad.
 Autenticación: proceso técnico que permite determinar la identidad de la
persona que firma electrónicamente, en función del mensaje firmado por éste
y al cual se le vincula. Este proceso no otorga certificación notarial ni fe
pública.
 Autoridad Administrativa Competente.- Es el organismo público responsable
de acreditar a las Entidades de Certificación, a las Entidades de Registro o
Verificación y a los Prestadores de Servicios de Valor Añadido, públicos y
privados, de reconocer los estándares tecnológicos aplicables en la
Infraestructura Oficial de Firma Electrónica, de supervisar dicha
Infraestructura, y las otras funciones señaladas en el presente Reglamento o
aquellas que requiera en el transcurso de sus operaciones. Dicha
-5-
Rev: 2016
responsabilidad recae en el Instituto Nacional de Defensa de la Competencia

y de la Protección de la Propiedad Intelectual - INDECOPI.
 Canal seguro.- Es el conducto virtual o físicamente independiente a través del
cual se pueden transferir datos garantizando una transmisión confidencial y
confiable, protegiéndolos de ser interceptados o manipulados por terceros.
 Certificación Cruzada.- Es el acto por el cual una Entidad de Certificación
acreditada reconoce la validez de un certificado emitido por otra, sea
nacional, extranjera o internacional, previa autorización de la Autoridad
Administrativa Competente; y asume tal certificado como si fuera de propia
emisión, bajo su responsabilidad.
 Certificado Digital.- Es el documento credencial electrónico generado y
firmado digitalmente por una Entidad de Certificación que vincula un par de
claves con una persona natural o jurídica confirmando su identidad. El ciclo
de vida de un certificado digital podría comprender:
o La suspensión consiste en inhabilitar la validez de un certificado digital
por un periodo de tiempo establecido en el momento de la solicitud de
suspensión, dicho periodo no puede superar la fecha de expiración del
certificado digital.
o La modificación de la información contenida en un certificado sin la re-
emisión de sus claves.
o La re-emisión consiste en generar un nuevo par de claves y un nuevo
certificado, correspondiente a una nueva clave pública pero
manteniendo la mayor parte de la información del suscriptor contenida
en el certificado a expirar.
 Clave privada: Es una de las claves de un sistema de criptografía asimétrica
que se emplea para generar una firma digital sobre un documento electrónico
y es mantenida en reserva por el titular de la firma digital.
 Clave pública: Es la otra clave en un sistema de criptografía asimétrica que
es usada por el destinatario de un documento electrónico para verificar la
firma digital puesta en dicho documento. La clave pública puede ser conocida
por cualquier persona.
 Código de verificación o resumen (hash).- Es la secuencia de bits de longitud
fija obtenida como resultado de procesar un documento electrónico con un
algoritmo, de tal manera que:
o El documento electrónico produzca siempre el mismo código de
verificación (resumen) cada vez que se le aplique dicho algoritmo.
o Sea improbable a través de medios técnicos, que el documento
electrónico pueda ser derivado o reconstruido a partir del código de
verificación (resumen) producido por el algoritmo.
-6-
Rev: 2016
o Sea improbable por medios técnicos, se pueda encontrar dos

documentos electrónicos que produzcan el mismo código de
verificación (resumen) al usar el mismo algoritmo.
 Criptografía asimétrica: Es la rama de las matemáticas aplicadas que se
ocupa de transformar documentos electrónicos en formas aparentemente
ininteligibles y devolverlas a su forma original, las cuales se basan en el
empleo de funciones algorítmicas para generar dos “claves” diferentes pero
matemáticamente relacionadas entre sí. Una de esas claves se utiliza para
crear una firma numérica o transformar datos en una forma aparentemente
ininteligible (clave privada), y la otra para verificar una firma numérica o
devolver el documento electrónico a su forma original (clave pública). Las
claves están matemáticamente relacionadas, de tal modo que cualquiera de
ellas implica la existencia de la otra, pero la posibilidad de acceder a la clave
privada a partir de la pública es técnicamente ínfima.
 Declaración de prácticas de certificación (CPS): Es el documento oficialmente
presentado por una Entidad de Certificación a la Autoridad Administrativa
Competente, mediante el cual define sus Prácticas de Certificación.
 Declaración de prácticas de registro o verificación (RPS): Documento
oficialmente presentado por una Entidad de Registro o Verificación a la
Autoridad Administrativa Competente, mediante el cual define sus Prácticas
de Registro o Verificación.
 Declaración de Prácticas de Valor Añadido.- Documento oficialmente
presentado por una Entidad de Registro o Verificación a la Autoridad
Administrativa Competente, mediante el cual define las prácticas y
procedimientos que emplea en la prestación de sus servicios.
 Depósito de certificados: Es el sistema de almacenamiento y recuperación de
certificados, así como de la información relativa a éstos, disponible por
medios telemáticos.
 Destinatario: Es la persona designada por el iniciador para recibir un
documento electrónico, siempre y cuando no actúe a título de intermediario.
 Dirección de correo electrónico.- Es el conjunto de palabras que identifican a
una persona que puede enviar y recibir correo. Cada dirección es única y
pertenece siempre a la misma persona.
 Dirección oficial de correo electrónico.- Es la dirección de correo electrónico
del ciudadano, reconocido por el Gobierno Peruano para la realización
confiable y segura de las notificaciones electrónicas personales requeridas en
los procesos públicos.
 Esta dirección recibirá los mensajes de correo electrónico que sirvan para
informar al usuario acerca de cada notificación o acuse de recibo que haya
sido remitida a cualquiera de sus domicilios electrónicos. A diferencia del
domicilio electrónico, esta dirección centraliza todas las comunicaciones que
-7-
Rev: 2016
sirven para informar al usuario que se ha realizado una actualización de los

documentos almacenados en sus domicilios electrónicos. Su lectura es de
uso obligatorio.
 Documento: Es cualquier escrito público o privado, los impresos, fotocopias,
facsímil o fax, planos, cuadros, dibujos, fotografías, radiografías, cintas
cinematográficas, microformas tanto en la modalidad de microfilm como en la
modalidad de soportes informáticos, y otras reproducciones de audio o video,
la telemática en general y demás objetos que recojan, contengan o
representen algún hecho, o una actividad humana o su resultado.
Los documentos pueden ser archivados a través de medios electrónicos,
ópticos o cualquier otro similar.
 Documento electrónico.- Es la unidad básica estructurada de información
registrada, publicada o no, susceptible de ser generada, clasificada,
gestionada, transmitida, procesada o conservada por una persona o una
organización de acuerdo a sus requisitos funcionales, utilizando sistemas
informáticos.
 Documento oficial de identidad.- Es el documento oficial que sirve para
acreditar la identidad de una persona natural, que puede ser:
o Documento Nacional de Identidad (DNI);
o Carné de extranjería actualizado, para las personas naturales
extranjeras domiciliadas en el país; o,
o Pasaporte, si se trata de personas naturales extranjeras no residentes.
 Domicilio electrónico.- Está conformado por la dirección electrónica que
constituye la residencia habitual de una persona dentro de un Sistema de
Intermediación Digital, para la tramitación confiable y segura de las
notificaciones, acuses de recibo y demás documentos requeridos en sus
procedimientos. En el caso de una persona jurídica el domicilio electrónico se
asocia a sus integrantes.
Para estos efectos, se empleará el domicilio electrónico como equivalente

funcional del domicilio habitual de las personas naturales o jurídicas. En este
domicilio se almacenarán los documentos y expedientes electrónicos
correspondientes a los procedimientos y trámites realizados en el respectivo
Sistema de Intermediación Digital. El acceso a este domicilio se realiza
empleando un certificado digital de autenticación.
 Entidad de certificación (EC): Es la persona jurídica pública o privada que
presta indistintamente servicios de producción, emisión, gestión, cancelación
u otros servicios inherentes a la certificación digital. Asimismo, puede asumir
las funciones de registro o verificación.
-8-
Rev: 2016
 Entidad de certificación extranjera: Es la Entidad de Certificación que no se

encuentra domiciliada en el país, ni inscrita en los Registros Públicos del
Perú, conforme a la legislación de la materia.
 Entidades de la Administración Pública: Es el organismo público que ha
recibido del poder político la competencia y los medios necesarios para la
satisfacción de los intereses generales de los ciudadanos y la industria.
 Entidad de Registro o Verificación (ER): Es la persona jurídica, con excepción
de los notarios públicos, encargada del levantamiento de datos, la
comprobación de éstos respecto a un solicitante de un certificado digital, la
aceptación y autorización de las solicitudes para la emisión de un certificado
digital, así como de la aceptación y autorización de las solicitudes de
cancelación de certificados digitales. Las personas encargadas de ejercer la
citada función serán supervisadas y reguladas por la normatividad vigente.
 Entidad final.- Es el suscriptor de un certificado digital.
 Estándares técnicos internacionales: Son los requisitos de orden técnico y de
uso internacional que deben observarse en la emisión de certificados digitales
y en las prácticas de certificación.
 Estándares técnicos nacionales: Son los estándares técnicos aprobados
mediante Normas Técnicas Peruanas por la Comisión de Normalización y
Fiscalización de Barreras Comerciales no Arancelarias del INDECOPI, en su
calidad de Organismo Nacional de Normalización.
 Equivalencia funcional.- Principio por el cual los actos jurídicos realizados por
medios electrónicos que cumplan con las disposiciones legales vigentes
poseen la misma validez y eficacia jurídica que los actos realizados por
medios convencionales, pudiéndolos sustituir para todos los efectos legales.
De conformidad con lo establecido en la Ley y su Reglamento, los
documentos firmados digitalmente pueden ser presentados y admitidos como
prueba en toda clase de procesos judiciales y procedimientos administrativos.
 Expediente electrónico.- El expediente electrónico se constituye en los
trámites o procedimientos administrativos en la entidad que agrupa una serie
de documentos o anexos identificados como archivos, sobre los cuales
interactúan los usuarios internos o externos a la entidad que tengan los
perfiles de accesos o permisos autorizados.
 Firmware: es un bloque de instrucciones de programa para propósitos
específicos, grabado en una memoria tipo ROM, que establece la lógica de
más bajo nivel que controla los circuitos electrónicos de un dispositivo de
cualquier tipo. Funcionalmente, el firmware es la interfaz entre las órdenes
externas que recibe el dispositivo y su electrónica, ya que es el encargado de
controlar a ésta última para ejecutar correctamente dichas órdenes externas.
-9-
Rev: 2016
 Gobierno Electrónico.- Es el uso de las Tecnologías de Información y

Comunicación para redefinir la relación del gobierno con los ciudadanos y la
industria, mejorar la gestión y los servicios, garantizar la transparencia y la
participación, y facilitar el acceso seguro a la información pública, apoyando
la integración y el desarrollo de los distintos sectores.
 Hardware: es un neologismo proveniente del inglés, definido por la RAE como
el conjunto de los componentes que integran la parte material de una
computadora; sin embargo, es utilizado en una forma más amplia,
generalmente para describir componentes físicos de una tecnología.
 Identificador de objeto OID.- Es una cadena de números, formalmente
definida usando el estándar ASN.1 (ITU-T Rec. X.660 | ISO/IEC 9834 series),
que identifica de forma única a un objeto. En el caso de la certificación digital,
los OIDs se utilizan para identificar a los distintos objetos en los que ésta se
enmarca (por ejemplo, componentes de los Nombres Diferenciados, CPS,
etc.).
 Infraestructura Oficial de Firma Electrónica (IOFE): Sistema confiable,
acreditado, regulado y supervisado por la Autoridad Administrativa
Competente, provisto de instrumentos legales y técnicos que permiten
generar firmas digitales y proporcionar diversos niveles de seguridad respecto
de:
1. La integridad de los documentos electrónicos;
2. La identidad de su autor, lo que es regulado conforme a Ley.
El sistema incluye la generación de firmas digitales, en la que participan
entidades de certificación y entidades de registro o verificación acreditadas
ante la Autoridad Administrativa Competente incluyendo a la Entidad de
Certificación Nacional para el Estado Peruano, las Entidades de Certificación
para el Estado Peruano, las Entidades de Registro o Verificación para el
Estado Peruano y los Prestadores de Servicios de Valor Añadido para el
Estado Peruano.
 Integridad: Es la característica que indica que un documento electrónico no
ha sido alterado desde la transmisión por el iniciador hasta su recepción por
el destinatario.
 Interoperabilidad.- Según el OASIS Forum Group la interoperabilidad puede
definirse en tres áreas:
o Interoperabilidad a nivel de componentes: consiste en la interacción
entre sistemas que soportan o consumen directamente servicios
relacionados con PKI.
o Interoperabilidad a nivel de aplicación: consiste en la compatibilidad
entre aplicaciones que se comunican entre sí.
o Interoperabilidad entre dominios o infraestructuras PKI: consiste en la
interacción de distintos sistemas de certificación PKI (dominios,
- 10 -
Rev: 2016
infraestructuras), estableciendo relaciones de confianza que permiten

el reconocimiento indistinto de los certificados digitales por parte de los
terceros que confían.
 Ley.- Ley Nº 27269 - Ley de Firmas y Certificados Digitales, modificada por la
Ley Nº 27310.
 Lista de Certificados Digitales Cancelados.- Es aquella en la que se deberá
incorporar todos los certificados cancelados por la entidad de certificación de
acuerdo con lo establecido en el presente Reglamento.
 Mecanismos de firma digital.- Es un programa informático configurado o un
aparato informático configurado que sirve para aplicar los datos de creación
de firma digital.
Dichos mecanismos varían según el nivel de seguridad que se les aplique.
 Medios electrónicos.- Son los sistemas informáticos o computacionales a
través de los cuales se puede generar, procesar, transmitir y archivar de
documentos electrónicos.
 Medios electrónicos seguros.- Son los medios electrónicos que emplean
firmas y certificados digitales emitidos por Prestadores de Servicios de
Certificación Digital acreditados, donde el intercambio de información se
realiza a través de canales seguros.
 Medios telemáticos: Es el conjunto de bienes y elementos técnicos
informáticos que en unión con las telecomunicaciones permiten la
generación, procesamiento, transmisión, comunicación y archivo de datos e
información.
 Mensaje de datos: es la información generada, enviada, recibida, archivada o
comunicada por medios electrónicos, ópticos o similares, como pudieran ser,
entre otros, el intercambio electrónico de datos (EDI por sus siglas en inglés),
el correo electrónico, el telegrama, el télex o el telefax entre otros.
 Neutralidad tecnológica: Es el principio de no discriminación entre la
información consignada sobre papel y la información comunicada o archivada
electrónicamente; asimismo, implica la no discriminación, preferencia o
restricción de ninguna de las diversas técnicas o tecnologías que pueden
utilizarse para firmar, generar, comunicar, almacenar o archivar
electrónicamente información.
 Niveles de seguridad: Son los diversos niveles de garantía que ofrecen las
variedades de firmas digitales, cuyos beneficios y riesgos deben ser
evaluados por la persona, empresa o institución que piensa optar por una
modalidad de firma digital para enviar o recibir documentos electrónicos.
 No repudio.- Es la imposibilidad para una persona de desdecirse de sus actos
cuando ha plasmado su voluntad en un documento y lo ha firmado en forma
manuscrita o digitalmente con un certificado emitido por una Entidad de
- 11 -
Rev: 2016
Certificación acreditada en cooperación de una Entidad de Registro o

Verificación acreditada, salvo que la misma entidad tenga ambas calidades,
empleando un software de firmas digitales acreditado, y siempre que cumpla
con lo previsto en la legislación civil.
En el ámbito del artículo 2º de la Ley de Firmas y Certificados Digitales, el no
repudio hace referencia a la vinculación de un individuo (o institución) con el
documento electrónico, de tal manera que no puede negar su vinculación con
él ni reclamar supuestas modificaciones de tal documento (falsificación).
 Nombre Diferenciado X.501: Es un sistema estándar diseñado para consignar
en el campo sujeto de un certificado digital los datos de identificación del
titular del certificado, de manera que éstos se asocien de forma inequívoca
con ese titular dentro del conjunto de todos los certificados en vigor que ha
emitido la Entidad de Certificación. En inglés se denomina “Distinguished
Name”.
 Norma Marco sobre Privacidad.- Es la norma basada en la normativa
aprobada en la 16º Reunión Ministerial del APEC, que fuera llevada a cabo
en Santiago de Chile el 17 y 18 de noviembre de 2004, la cual forma parte
integrante de las Guías de Acreditación aprobadas por la Autoridad
Administrativa Competente.
 Notificación electrónica personal.- En virtud del principio de equivalencia
funcional, la notificación electrónica personal de los actos administrativos se
realizará en el domicilio electrónico o en la dirección oficial de correo
electrónico de las personas por cualquier medio electrónico, siempre que
permita confirmar la recepción, integridad, fecha y hora en que se produce. Si
la notificación fuera recibida en día u hora inhábil, ésta surtirá efectos al
primer día hábil siguiente a dicha recepción.
 Par de claves: Es un sistema de criptografía asimétrica, comprende una clave
privada y su correspondiente clave pública, ambas asociadas
matemáticamente.
 Políticas de Certificación (CP): Documento oficialmente presentado por una
entidad de certificación a la Autoridad Administrativa Competente, mediante
el cual establece, entre otras cosas, los tipos de certificados digitales que
podrán ser emitidos, cómo se deben emitir y gestionar los certificados, y los
respectivos derechos y responsabilidades de las Entidades de Certificación.
Para el caso de una Entidad de Certificación Raíz, la Política de Certificación
incluye las directrices para la gestión del Sistema de Certificación de las
Entidades de Certificación vinculadas.
 Práctica: Es el modo o método que particularmente observa alguien en sus
operaciones.
 Prácticas de Certificación: Son las prácticas utilizadas para aplicar las
directrices de la política establecida en la Política de Certificación respectiva.
- 12 -
Rev: 2016
 Prácticas específicas de Certificación: Son las prácticas que completan todos

los aspectos específicos para un tipo de certificado que no están definidos en
la Declaración de Prácticas de Certificación respectiva.
 Prácticas de Registro o Verificación: Son las prácticas que establecen las
actividades y requerimientos de seguridad y privacidad correspondientes al
Sistema de Registro o Verificación de una Entidad de Registro o Verificación.
 Prestador de Servicios de Certificación: Es toda entidad pública o privada que
indistintamente brinda servicios en la modalidad de Entidad de Certificación,
Entidad de Registro o Verificación o Prestador de Servicios de Valor Añadido.
 Prestador de Servicios de Valor Añadido: Es la entidad pública o privada que
brinda servicios que incluyen la firma digital y el uso de los certificados
digitales. El presente Reglamento presenta dos modalidades:
o Prestadores de Servicio de Valor Añadido que realizan procedimientos
sin firma digital de usuarios finales, los cuales se caracterizan por
brindar servicios de valor añadido, como Sellado de Tiempo que no
requieren en ninguna etapa de la firma digital del usuario final en
documento alguno.
o Prestadores de Servicio de Valor Añadido que realizan procedimientos
con firma digital de usuarios finales, los cuales se caracterizan por
brindar servicios de valor añadido como el sistema de intermediación
electrónico, en donde se requiere en determinada etapa de operación
del procedimiento la firma digital por parte del usuario final en algún
tipo de documento.
 Prestador de Servicios de Valor Añadido para el Estado Peruano.- Es la
Entidad pública que brinda servicios de valor añadido, con el fin de permitir la
realización de las transacciones públicas de los ciudadanos a través de
medios electrónicos que garantizan la integridad y el no repudio de la
información (Sistema de Intermediación Digital) y/o registran la fecha y hora
cierta (Sello de Tiempo).
 Reconocimiento de Servicios de Certificación Prestados en el Extranjero: Es
el proceso a través del cual la Autoridad Administrativa Competente, acredita,
equipara y reconoce oficialmente a las entidades de certificación extranjeras.
 Registro.- En términos informáticos, es un conjunto de datos relacionados
entre sí, que constituyen una unidad de información en una base de datos.
 Reglamento.- El presente documento, denominado Reglamento de la Ley Nº
27269 - Ley de Firmas y Certificados Digitales, modificada por la Ley Nº
27310.
 Servicio de Valor Añadido: Son los servicios complementarios de la firma
digital brindados dentro o fuera de la Infraestructura Oficial de Firma
Electrónica que permiten grabar, almacenar, conservar cualquier información
remitida por medios electrónicos que certifican los datos de envío y
- 13 -
Rev: 2016
recepción, su fecha y hora, el no repudio en origen y de recepción. El servicio

de intermediación electrónico dentro de la Infraestructura Oficial de Firma
Electrónica es brindado por persona natural o jurídica acreditada ante la
Autoridad Administrativa Competente.
 Servicio OCSP (Protocolo del estado en línea del certificado, por sus siglas
en inglés): Es el servicio que permite utilizar un protocolo estándar para
realizar consultas en línea (on line) al servidor de la Autoridad de Certificación
sobre el estado de un certificado.
 Sistema de Intermediación Digital: Es el sistema WEB que permite la
transmisión y almacenamiento de información, garantizando el no repudio,
confidencialidad e integridad de las transacciones a través del uso de
componentes de firma digital, autenticación y canales seguros.
 Sistema de Intermediación Electrónico: Es el sistema WEB que permite la
confidencialidad e integridad de las transacciones a través del uso de
componentes de firma electrónica, autenticación y canales seguros.
 Sistema Web (“World Wide Web”): Sistema de documentos electrónicos
enlazados y accesibles a través de Internet. Mediante un navegador Web, un
usuario visualiza páginas Web que pueden contener texto, imágenes, vídeos
u otros contenidos multimedia, y navega a través de ellas usando
hiperenlaces.
 Suscriptor: Es la persona natural responsable de la generación y uso de la
clave privada, a quien se le vincula de manera exclusiva con un documento
electrónico firmado digitalmente utilizando su clave privada. En el caso que el
titular del certificado digital sea una persona natural, sobre ella recaerá la
responsabilidad de suscriptor. En el caso que una persona jurídica sea el
titular de un certificado digital, la responsabilidad de suscriptor recaerá sobre
el representante legal designado por esta entidad. Si el certificado está
designado para ser usado por un agente automatizado, la titularidad del
certificado y de las firmas digitales generadas a partir de dicho certificado
corresponderán a la persona jurídica. La atribución de responsabilidad de
suscriptor, para tales efectos, corresponde a la misma persona jurídica.
 Tercero que confía o tercer usuario.- Se refiere a las personas naturales,
equipos, servicios o cualquier otro ente que actúa basado en la confianza
sobre la validez de un certificado y/o verifica alguna firma digital en la que se
utilizó dicho certificado.
 Titular.- Es la persona natural o jurídica a quien se le atribuye de manera
exclusiva un certificado digital.
 Usabilidad.- En el contexto de la certificación digital, el término Usabilidad se
aplica a todos los documentos, información y sistemas de ayuda necesarios
que deben ponerse a disposición de los usuarios para asegurar la aceptación
- 14 -
Rev: 2016
y comprensión de las tecnologías, aplicaciones informáticas, sistemas y

servicios de certificación digital de manera efectiva, eficiente y satisfactoria.
 Usuario final.- En líneas generales, es toda persona que solicita cualquier tipo
de servicio por parte de un Prestador de Servicios de Certificación Digital
acreditado.
 Voto electrónico.- Sistema de votación que utiliza una combinación de
procedimientos, componentes de hardware y software, y red de
comunicaciones que permiten automatizar los procesos de identificación del
elector, emisión del voto, conteo de votos, emisión de reportes y/o
presentación de resultados de un proceso electoral, referéndum y otras
consultas populares. El voto electrónico se puede clasificar en:
a) Presencial: cuando los procesos de votación se dan en ambientes o
lugares debidamente supervisados por las autoridades electorales; y
b) No presencial: cuando los procesos de identificación del elector y
emisión del voto se dan desde cualquier ubicación geográfica o
ambiente que el elector elija y disponga de los accesos apropiados.
 WebTrust.- Certificación otorgada a prestadores de servicios de certificación
digital - PSC, específicamente a las Entidades Certificadoras - EC, que de
manera consistente cumplen con estándares establecidos por el Instituto
Canadiense de Contadores Colegiados (CICA por sus siglas en inglés - ver
Cica.ca) y el Instituto Americano de Contadores Públicos Colegiados
(AICPA).
Los estándares mencionados se refieren a áreas como privacidad, seguridad,
integridad de las transacciones, disponibilidad, confidencialidad y no repudio.
- 15 -
Rev: 2016
3. ACRÓNIMOS
AAC Autoridad Administrativa Competente (CNB del INDECOPI)

CC Common Criteria
CEN Comité Europeo de Normalización
CP Políticas de Certificación
CPS Declaración de Prácticas de Certificación de una EC
CRL o LCR Certificate Revocation List (Lista de Certificados Revocados)
CFE Comisión Transitoria para la Gestión de la Infraestructura Oficial de
Firma Electrónica
CWA CEN Workshop Agreements
EAL Evaluation Assurance Level
EC Entidad de Certificación
ECEP Entidad de Certificación para el Estado Peruano
ECERNEP Entidad de Certificación Nacional para el Estado Peruano
ER Entidad de Registro o Verificación
EREP Entidad de Registro para el Estado Peruano
ETSI European Telecommunications Standards Institute
FBCA Federal Bridge Certification Authority
FIPS Federal Information Processing Standards
IEC International Electrotechnical Commission
IETF Internet Engineering Task Force
IOFE Infraestructura Oficial de Firma Electrónica
ISO International Organization for Standardization
NTP Norma Técnica Peruana
OCSP Online Certificate Status Protocol
(Protocolo del estado en línea del certificado)
OID Identificador de Objeto
PKI Public Key Infrastructure (Infraestructura de Clave Pública)
PSC Prestador de Servicios de Certificación Digital
Prestador de Servicios de Criptográficos
RFC Request for Comment
RPS Declaración de Prácticas de Registro o Verificación de una ER
SHA Secure Hash Algorithm
SVA Prestador de Servicios de Valor Añadido
(por ejemplo TimeStamping)
- 16 -
Rev: 2016
TSL Lista de Estado de Servicio de Confianza

VAPS Declaración de Prácticas de Valor Añadido
- 17 -
Rev: 2016
4. ARQUITECTURA JERÁRQUICA DE CERTIFICACIÓN DEL

ESTADO PERUANO Y MECANISMO DE INTEROPERABILIDAD
Por mandato del artículo 57º del Reglamento de la Ley de Firmas y Certificados
Digitales, aprobado por el Decreto Supremo Nº 052-2008-PCM, el Instituto de
Defensa de la Competencia y de la Protección de la Propiedad Intelectual
(INDECOPI) ha sido designado como Autoridad Administrativa Competente (AAC)
teniendo como principal función la implantación y buen funcionamiento de la
Infraestructura Oficial de Firma Electrónica (IOFE) para lograr eficiencia, eficacia y
transparencia en la gestión pública y para promover su uso en el comercio
electrónico.
En esta misma línea, en la Quinta Disposición Complementaria Final de la Ley

30224, Ley que crea el Sistema Nacional para la Calidad y el Instituto Nacional de
Calidad que asigna al Indecopi la función de administrar la Infraestructura Oficial de
Firma Electrónica (IOFE), conforme a la normativa de la materia.
En base a lo anteriormente dicho se presenta el siguiente esquema:
- 18 -
Rev: 2016
TSL
El mecanismo de interoperabilidad utilizado con el propósito de proveer, de modo
ordenado, la información del estado de los Proveedores de Servicios de Certificación
(PSCs) acreditados y supervisados por INDECOPI –y por tanto autorizados a operar
en el marco de la IOFE– es la TSL, Lista de Estado de Servicio de Confianza.
La TSL consiste en una lista “blanca” que contiene la relación de los PSCs
acreditados y es elaborada siguiendo el estándar ETSI TS102 231. Dicha lista es
firmada digitalmente por INDECOPI a efectos de asegurar su integridad y estará
disponible para que las aplicaciones de software puedan procesarla.
5. LINEAMIENTOS DE LA POLITICA DE SEGURIDAD DE LA

INFRAESTRUCTURA OFICIAL DE FIRMA ELECTRÓNICA - IOFE
Estos lineamientos se estructuran conforme al marco legislativo peruano que

comprende: la Ley N° 27269 - Ley de Firmas y Certificados Digitales, modificada por
la Ley N° 27310 y su Reglamento (aprobado por Decreto Supremo N° 052-2008-
PCM).
Asimismo incorporan los lineamientos establecidos por los “Principios rectores para
esquemas de autenticación electrónica basados en PKI”, que fueran suscritos por el
Perú en su condición de economía miembro del APEC (Asia-Pacific Economic
Cooperation, en español Cooperación Económica del Asia-Pacífico) mediante la
denominada Declaración de Lima, siendo la intención de estas políticas, “facilitar la
aceptación transnacional de Entidades de Certificación (EC) extranjeras y el
establecimiento de acuerdos de reconocimiento transnacional para tales efectos”.
Igualmente, se toman en consideración los principios establecidos en la Norma

Marco sobre Privacidad del APEC, los mismos que tiene como objeto principal el
reconocimiento de “… la importancia del desarrollo de protecciones a la privacidad
efectivas que eviten las barreras para el flujo de información, aseguren el
intercambio comercial continuo y el crecimiento económico de la región del APEC”.
- 19 -
Rev: 2016
Por otro lado, se tomó en consideración para efectos del presente documento, el
hecho que es de consenso general y además es recogido por la legislación vigente1,
que no basta un único nivel de seguridad2 para todas las aplicaciones de PKI.
Ciertas transacciones son menos críticas o implican alguna operación de bajo valor
monetario y pueden soportar un nivel de mayor riesgo comparado con otras que
requieren de un mayor nivel de seguridad.
En tal sentido, se recogen estas diferencias y se presentan tres niveles: Medio (M),
Medio Alto (M+) y Alto (A) de seguridad, descritos en las sub-secciones siguientes.
La presente Guía de Acreditación sólo se refiere a los dos primeros niveles de
seguridad para certificados de usuario finales.
Finalmente, a través del presente documento, se establece la interoperabilidad y

equivalencia de condiciones de seguridad entre los especificados por APEC –en la
Declaración de Lima– y el nivel de seguridad medio (M) y medio alto (M+), para
efectos de la implementación de la política de seguridad de la IOFE, los mismos que
se consignan a continuación:
I. MARCO LEGISLATIVO/LEGAL
 Los presentes lineamientos son conformes al marco legal estipulado.

 Tal marco permite y propugna la aceptación de servicios generados en otras
jurisdicciones.
 Dicho marco dota de efectos legales a los documentos y firmas electrónicas,
así como a las operaciones realizadas tanto por SVAs nacionales como
extranjeras, y facilita la predictibilidad legal a nivel transnacional.
 El referido marco no determina el empleo de ningún tipo de tecnología en
particular. Propugna más bien la neutralidad tecnológica, la adopción
1
En el Glosario de Términos recogido en la Octava Disposición Final del Reglamento de la Ley de Firmas y
certificados digitales, se establece la definición de Niveles de Seguridad que se transcribe a continuación:
“Octava Disposición Final.- Glosario de Términos (…)
Niveles de seguridad: son los diversos niveles de garantía que ofrecen las variables de firma electrónica cuyos
beneficios y riesgos deben ser evaluados por la persona, empresa o institución que piensa optar por una
modalidad de firma electrónica para enviar o recibir mensajes de datos o documentos electrónicos.”
2
El nivel de seguridad asociado con un certificado de clave pública es una aserción del grado de confianza que
un usuario puede tener razonablemente en el vínculo de la clave pública de un suscriptor con el nombre y los
atributos consignados en el certificado.
- 20 -
Rev: 2016
permanente de los estándares del mercado, el desarrollo de la tecnología

existente y la introducción de nueva tecnología.
- 21 -
Rev: 2016
II: MARCO DE POLÍTICAS
 Los requerimientos para el establecimiento de SVAs sirven para generar la

confianza pública y la confidencialidad.
 La implementación de estándares ampliamente aceptados –ver anexo 10– y
de gestión en esquemas PKI permiten la adecuada implementación de los
SVAs y su reconocimiento.
III: MARCO OPERACIONAL (RELATIVOS A LAS OPERACIONES DE SVAs)
General
 El empleo del estándar X.509 y el RFC 3647, que actualiza la versión
correspondiente al RFC 2527, para la Declaración de Prácticas de Valor
Añadido (DPSVA) propugna el proceso de reconocimiento transnacional.
Manejo de claves
 No se permite el empleo de los depósitos de claves privadas de backup (Key
Escrow) para las claves de firma digital pues minan la confianza en el uso del
sistema e impiden el reconocimiento transnacional de certificados3 (ver anexo
10).
 Se genera confianza en el sistema y se propugna el reconocimiento
transnacional de los certificados cuando se adoptan las buenas prácticas
internacionales referidas a la distinción entre los certificados asignados para
procesos de cifrado (confidencialidad), de autenticación y de firma digital (no
repudio).
 En caso que la clave privada utilizada por el agente automatizado del SVA se
vea comprometida y deba revocarse el certificado, el SVA deberá suspender
sus funciones hasta obtener un nuevo certificado vigente para dicho agente
automatizado.
3
Se refiere a la interoperabilidad legal y técnica dentro de la Infraestructura de Clave Pública (PKI) por parte de
los países miembros del APEC en función al cumplimiento de disposiciones y estándares internacionales. Esto
implica el reconocimiento mutuo de documentos electrónicos firmados digitalmente.
- 22 -
Rev: 2016
Ingeniería criptográfica
 Se propugna la interoperabilidad y el reconocimiento transnacional de los
certificados mediante el uso de algoritmos criptográficos de reconocimiento
internacional de tamaño y seguridad criptográfica suficiente.
 Se incrementa la seguridad y se propugna el reconocimiento transnacional de
certificados al asegurar que las claves criptográficas y los algoritmos sean lo
suficientemente seguros para proteger de ataques el resultado criptográfico
durante el tiempo de duración del certificado.
 Se propugna el reconocimiento transnacional de los certificados mediante la
realización de los procesos criptográficos con dispositivos certificados de
conformidad con el estándar FIPS 140-24 o la certificación ISO-IEC 15408
(Common Criteria Nivel EAL4+) u otro equivalente.
Estándares de Directorio
Se promueve la confianza del usuario y se propugna el reconocimiento transnacional
de certificados mediante:
 El uso de estándares internacionales y más comúnmente aceptados, tales

como el X.500 Directory Service o LDPA (Lightweight Directory Access
Protocol) v3 que facilita la interoperabilidad de las aplicaciones, sistemas y
operaciones de PKI.
 El uso de buenas prácticas internacionales para la seguridad del personal,
seguridad de control y control de seguridad física de conformidad con el
estándar NTP-ISO/IEC 17799 (BS 7799 parte I) o ISO/IEC 27001 (BS 7799
parte II).
 El uso de guías para los sistemas e integridad del software y control que
cumplen con FIPS, ISO-IEC 15408 Common Criteria o estándares
reconocidos equivalentes.
 El establecimiento de políticas de archivo que aseguren la retención del
material relevante por una duración mínima suficiente (mínimo de 10 años).
 El uso del sellado de tiempo (estándares de Time Stamp RFC 3161 y RFC
3628) y mecanismos de seguridad para prevenir cualquier cambio intencional
en los documentos archivados, tales como el uso de resúmenes (hashes).
4
Nivel de Seguridad 3 para el caso de los módulos criptográficos de las ECs y Nivel de Seguridad 2 para el caso
de los módulos criptográficos de las ERs y los SVAs.
- 23 -
Rev: 2016
Lineamientos de gestión
Se promueve la confianza del usuario y se propugna el reconocimiento transnacional
de certificados mediante:
 El establecimiento de planes de continuidad en el negocio y recuperación de

desastres.
 El establecimiento de provisiones o guías en la eventualidad que un SVA deje
de funcionar.
 El empleo de auditorías/evaluaciones de conformidad realizadas por una
tercera parte independiente, como parte de una buena práctica de seguridad
para la acreditación o licenciamiento 5.
IV: NIVELES DE SEGURIDAD DE PKI
La IOFE define los siguientes niveles de seguridad en los que pueden brindarse los
servicios de certificación digital, respecto de las aplicaciones de software de firma
digital:
Aspecto Nivel de Nivel de Nivel de
seguridad medio seguridad medio - Seguridad Alto
alto
Tipo de Trámites con el Intercambio de Intercambio de

información que Estado en las documentos y información crítica
se puede proteger transacciones transacciones clasificada o de
económicas de monetarias de alto seguridad
monto bajo o riesgo. nacional.
medio y para el Trámites con el
intercambio de Estado en las
documentos de transacciones
riesgo bajo o económicas de alto
medio. monto y alto
riesgo.
5
Documento disponible en inglés en: http://www.apectel29.gov.hk/download/estg_20.doc
- 24 -
Rev: 2016
Requerimientos Auditoria de  Auditoria de  Auditoria de

Software de Software de
de acreditación Software de Firma Firma Digital Firma Digital
Digital para para Servicios y para Servicios y
servicios y Sistemas de Sistemas de
Intermediación Intermediación
Sistemas de
Digital. Digital.
Intermediación  ISO 27001 u  ISO 27001 u
Digital otro equivalente otro equivalente
para Servicios para Servicios
de de
Intermediación Intermediación
Digital Digital
 CMMI nivel 2
(mínimo), ISO CMMI nivel 3
9001 u otra (mínimo), ISO
certificación
ISO referida a 9001 u otra
la calidad en el certificación ISO
Ciclo de Vida referida a la
del Desarrollo
calidad en el Ciclo
de Software
para Sistemas de Vida del
de Desarrollo de
Intermediación Software para
Digital.
Sistemas de
Intermediación
Digital.
Alcance
Los niveles de seguridad integran diversos aspectos relativos a la IOFE. Se exige
que todos ellos ostenten un nivel de seguridad mínimo, de modo que en conjunto
brinden una garantía sobre su uso.
Dispositivos criptográficos: tanto el hardware (chip) como el firmware (sistema

operativo) deben de cumplir con certificaciones de seguridad:
 Nivel de Seguridad Medio:
FIPS 140-2 Nivel de Seguridad 1 (mínimo) o Common Criteria EAL4

 Nivel de Seguridad Medio Alto
FIPS 140-2 Nivel de Seguridad 2 (mínimo) o Common Criteria EAL4+

 Nivel de Seguridad Alto
- 25 -
Rev: 2016
FIPS 140-2 Nivel de Seguridad 3 (mínimo) o Common Criteria EAL4+
6. LISTA DE SERVICIOS DE CONFIANZA – TSL
La TSL consiste en una lista “blanca” que contiene la relación de los PSC
acreditados y es elaborada siguiendo el estándar ETSI TS 102 231. Dicha lista es
firmada digitalmente por el INDECOPI a efectos de asegurar su integridad y estará
disponible para su consulta por parte de los terceros que confían.
7. MODALIDAD DE SERVICIOS DE VALOR AÑADIDO
Los prestadores de servicios de Valor Añadido pueden adoptar cualquiera de las

siguientes modalidades:
o Autoridad de Sellado de Tiempo

o Sistemas de Intermediación Digital
o Servicios de Intermediación Digital
8. PROCEDIMIENTO DE ACREDITACIÓN
Para efectos de la presente Guía de Acreditación, el mencionado procedimiento está
compuesto de las fases que se resumen en la tabla siguiente:
- 26 -
Rev: 2016
El plazo total del procedimiento de acreditación será de 120 días hábiles.
8.1. Paso 1: Solicitud inicial
Presentación de la documentación requerida por la SVA a efectos de obtener la

correspondiente acreditación:
1. Solicitud dirigida al Secretario Técnico de la Comisión Transitoria para la

Gestión de la Infraestructura Oficial de Firma Electrónica (CFE) del
INDECOPI, mediante el formato adjunto en el Anexo IX, solicitando lo
siguiente:
i. Acreditación como SVA que realiza procedimientos sin firma digital de
usuarios finales (autoridad de Sellado de Tiempo);
ii. Acreditación como SVA que realiza procedimientos con firma digital de
usuarios finales (Sistemas o servicios de Intermediación Digital);
iii. Renovación de la acreditación;
iv. Acreditación por homologación
v. Actualización.
2. Documentos que evidencien la existencia y vigencia de la persona jurídica:

i. Documento de vigencia emitido por los Registros Públicos o mediante
la especificación de la norma legal de la creación de la persona
jurídica.
ii. En el caso de empresas constituidas en el extranjero, se acreditará su
existencia y vigencia mediante un certificado de vigencia de la
sociedad u otro documento equivalente expedido por la autoridad
competente en su país de origen.
iii. En el caso de las entidades y empresas del Estado, deberán acreditar
la existencia de una oficina, gerencia o dependencia interna a la cual
se le otorgan las funciones como prestador de servicios de certificación
digital.
3. Adjuntar los poderes en virtud a los cuales los representantes legales se

encuentran facultados para solicitar la acreditación o autorización. Sobre el
particular deberá tenerse en cuenta lo siguiente:
i. En el caso de personas jurídicas constituidas en el país: el documento
que acredite la representación, deberán constar las facultades
conferidas al representante, bastando para tales efectos la
presentación de la copia del poder respectivo.
- 27 -
Rev: 2016
ii. En el caso de personas jurídicas constituidas en el extranjero: los

correspondientes poderes deberán ser legalizados por un funcionario
consular peruano y de encontrarse redactados en idioma extranjero,
será necesario que sean traducidos, debiendo el responsable de la
traducción suscribir el correspondiente documento.
iii. En el caso de instituciones del Estado, deberá acreditarse el
nombramiento de la persona encargada de dirigir la oficina, gerencia o
dependencia interna encargada de la certificación digital. Debiéndose
asimismo acreditarse las facultades de este funcionario.
4. Memoria descriptiva de la empresa o entidad estatal.
5. Organigrama estructural y funcional de la PSVA.
6. Los documentos a que se refieren los puntos 4 y 5 serán elaborados en el

formato denominado: Memoria descriptiva y organigrama estructural y
funcional en formato adjunto en el Anexo VIII de la presente Guía de
Acreditación.
7. Documentos que acrediten domicilio en el país. Este hecho quedará

acreditado con el comprobante de inscripción de la persona jurídica en el
Registro Único de Contribuyentes (R.U.C.), la misma que debe figurar con la
condición de “habida”. En su defecto, se podrá acompañar cualquier otra
documentación que sirva para acreditar la condición de domiciliado en el
país, la misma que será materia de evaluación por parte de la CFE.
8. Declaración jurada de contar con infraestructura e instalaciones necesarias,
según el nivel de seguridad solicitado. Esta declaración jurada se encuentra
incluida en el anexo IX.
9. Declaración de Practicas de Servicios de Valor Añadido (DPSVA) conforme al

anexo I. La Política de Privacidad y el Plan de Privacidad, debe establecer el
tipo de datos personales que puedan ser recolectados y cómo serán
utilizados, protegidos, recuperados/corregidores de conformidad con la
Norma Merco sobre Privacidad presentada en el anexo V, en caso fuera
aplicable.
10. En el caso que cualesquiera de los elementos que conforman el sistema de

gestión señalado sean administrados por un tercero, la entidad solicitante,
deberá demostrar su vinculación con aquél, asegurando la viabilidad de sus
servicios bajo dichas condiciones y la disponibilidad de estos elementos para
la evaluación y supervisión que el INDECOPI considere necesarias. En este
- 28 -
Rev: 2016
caso, el INDECOPI tiene derecho a precisar los términos bajo los cuales se
rigen este tipo de servicios de certificación digital. Esta vinculación podrá ser
demostrada a través de contrato, acuerdo, convenio de outsourcing o
cualquier otro documento con valor legal dentro del ordenamiento jurídico
peruano.
11. Declaración jurada de aceptación de la visita comprobatoria del INDECOPI.

Esta declaración jurada se encuentra incluida en el anexo IX.
12. Documentación que acredite la contratación de seguros o garantías bancarias

para salvaguardar las actividades de certificación.
13. Documentación que acredite contar con respaldo económico. Para tales
efectos la PSVA solicitante deberá presentar estados financieros (balance
general, estado de ganancias y pérdidas y notas contables), con una
antigüedad no mayor a dos meses del cierre contable del mes anterior a la
presentación de la solicitud, acreditando solvencia económica.
Nota: Los estados financieros antes señalados deberán ser individuales (no
consolidados) y encontrarse auditados. Si una empresa presentara estados
financieros con pérdidas acumuladas de ejercicios anteriores, para acreditar
solvencia económica deberá capitalizar dicha pérdida o realizar nuevos
aportes en cuantía que compense el desmedro y mostrar el nuevo capital
suscrito y pagado e inscrito en Registros Públicos.
Este requisito no será exigible para los SVA públicos.
14. Constancia de pago de los derechos administrativos. Este pago será

efectuado en las oficinas del INDECOPI.
15. En el caso de un PSVA que realiza procedimientos con firma digital de

usuarios finales, deberá acompañarse el documento en el que conste la
acreditación por parte de la CFE del software de firma empleado.
16. En el caso de un PSVA, que como parte de su servicio ofrezca certificados

digitales de autenticación, de uso exclusivo dentro de los servicios brindados,
deberá presentar el respectivo contrato con la Entidad de Certificación
Emisora, reconocida por la IOFE.
- 29 -
Rev: 2016
8.2. Paso 2 : Evaluación de contenido legal
Establecer la idoneidad de la documentación presentada por la PSVA solicitante

para efectos de la acreditación:
17. La CFE realizará una verificación preliminar de índole formal, con relación a
la solicitud y los recaudos acompañados a la misma.
18. En caso se haya cumplido de manera defectuosa o se haya omitido alguno

de los requisitos exigidos, otorgará un plazo máximo de cinco (05) días útiles
para la subsanación de estas observaciones. Transcurrido este plazo sin la
subsanación correspondiente, se declarará la inadmisibilidad de la solicitud y
la conclusión del procedimiento.
19. Una vez presentados los documentos necesarios para levantar las
observaciones formuladas, la CFE luego de la evaluación correspondiente,
emitirá la resolución de admisibilidad en la cual designará al Comité
Evaluador encargado de la evaluación técnica a la solicitante. En caso el
PSVA solicitante tuviera algún tipo de observación a los miembros
designados del Comité, deberá proceder conforme a los lineamientos
establecidos para tales efectos en el Reglamento General de Acreditación -
Prestadores de Servicios de Certificación Digital.
20. Luego de emitida la resolución de admisibilidad, la CFE procederá a realizar

un análisis legal detallado de la documentación presentada y pronunciarse
sobre su procedencia. El plazo para esta evaluación es de diez (10) días
útiles. En esta etapa no se evaluará la documentación técnica contenida en el
documento DPSVA, por cuanto la misma será materia de evolución en el
Paso 3 referido a la evaluación técnica del PSVA solicitante.
21. En caso existan observaciones a la documentación presentada, otorgará al

solicitante un plazo de diez (10) días hábiles para el levantamiento de las
mismas.
22. Si se cumple con subsanar las observaciones dentro del plazo establecido, la
CFE declarará la conformidad de la documentación presentada y se
procederá a la etapa siguiente del procedimiento de acreditación. En esta
misma resolución se citará al designado representante técnico del PSVA
solicitante a efectos de realizar las coordinaciones necesarias para la etapa
de evaluación técnica.
- 30 -
Rev: 2016
23. Si no se levantan las observaciones formuladas dentro del plazo establecido,

se declarará la improcedencia de la solicitud y la conclusión del
procedimiento.
24. En todos los supuestos antes señalados la CFE deberá fundamentar

claramente su decisión. En caso de no encontrarse conforme con la decisión
emitida, el solicitante tiene un plazo de quince (15) días útiles, para efectos
de interponer los recursos impugnatorios que considere pertinentes. Con la
resolución que se emita en esta segunda instancia, quedará agotada la vía
administrativa.
8.3. Paso 3: Evaluación de la implementación de la

declaración en los documentos DPSVA, la Política y Plan de
Privacidad, la Política de seguridad y los requerimientos de
usabilidad.
En esta etapa se examinarán los documentos DPSVA, la Política y el Plan de

Privacidad y la Política de Seguridad del PSVA, y establecer su equivalencia con el
Marco de la Política de prestación de Servicios de Valor Añadido (anexo I), la Norma
Marco sobre Privacidad (anexo V), respectivamente. Asimismo, se verificará el
cumplimiento de los requerimientos de Usabilidad establecidos en el anexo XI.
Actividades:
25. En esta etapa corresponde a la PSVA solicitante la presentación los

documentos correspondientes a la Política de Privacidad, al Plan de
Privacidad y a la Política de Seguridad.
26. Los requerimientos de seguridad son aquellos comprendidos en la sección

Gestión de Seguridad descritos en el Anexo I. En caso que exista una
certificación de seguridad ISO 27001 o BS 7799-II vigente cuyo alcance cubra
las operaciones críticas del PSVA, no será necesaria la presentación de
evidencias de cumplimiento de aquellos controles que ya hayan sido
considerados en las evaluaciones ISO 27001 o BS 7799-II.
En caso que la PSVA solicitante subcontrate la totalidad de la infraestructura
tecnológica (incluyendo todos los procesos del sistema de gestión) utilizada
también por un PSVA acreditada, se deberá sustentar este hecho, pudiendo
emplear la documentación de la Política de Seguridad –correspondiente a la
infraestructura tecnológica referida– presentada por dicha PSVA acreditada.
En caso de incorporar modificaciones, éstas deberán ser sustentadas
mediante las auditorías correspondientes.
- 31 -
Rev: 2016
27. La Política de Privacidad y el Plan de Privacidad, debe establecer el tipo de

datos personales que pueden ser recolectados y cómo serán utilizados,
protegidos, recuperados/corregidos de conformidad con la Norma Marco
sobre Privacidad presentada en el anexo V.
28. El Comité Evaluador procederá a la evaluación de cumplimiento de los

documentos DPSVA, la Política de Privacidad, el Plan de Privacidad, la
Política de Seguridad y los requerimientos de Usabilidad del PSVA –
conforme a lo establecido en el anexo XI de la presente Guía de Acreditación.
29. El Comité Evaluador, una vez realizada la correspondiente evaluación, emitirá

un informe que cuando menos contendrá lo siguiente:
 Grado de cumplimiento de los requisitos técnicos requeridos para la
acreditación.
 Reporte de las no conformidades y observaciones detectadas durante
la evaluación.
 Otra información que el Comité considere importante consignar.
30. En todos los supuestos antes señalados el Comité Evaluador deberá

fundamentar claramente su informe. De considerarlo pertinente, el Comité
podrá determinar dentro del plazo de evaluación técnica, la necesidad de
realizar una visita comprobatoria al PSVA. Este hecho debidamente
fundamentado, se pondrá en conocimiento del PSVA solicitante y correrá por
cuenta de la misma los gastos que puedan generarse por esta evaluación.
31. En caso de presentarse no conformidades, la PSVA solicitante tiene un plazo

de cinco (05) días de culminada la evaluación técnica para presentar a la
CFE las propuestas de acciones correctivas que considere pertinentes y los
plazos para su ejecución, los cuales no pueden ser superiores a un (1) mes.
32. La verificación del levantamiento de no conformidades se realizará mediante

una evaluación complementaria dentro de los términos establecidos por el
Reglamento General de Acreditación – Prestadores de Servicios de
Certificación Digital.
33. La PSVA solicitante podrá solicitar la suspensión del procedimiento a efectos

de implementar las medidas técnicas necesarias para superar las
observaciones formuladas. En este caso, el procedimiento se reactivará con
la presentación de la documentación que acredite la subsanación de las
observaciones formuladas y se procederá a la evaluación complementaria a
- 32 -
Rev: 2016
que se refiere el Reglamento General de Acreditación – Prestadores de

Servicios de Certificación digital.
8.4. Paso 4: Resolución
La CFE decidirá si se permite el ingreso a la IOFE de la PSVA solicitante, por

medio de la correspondiente resolución de acreditación.
Actividades:
El INDECOPI con los resultados obtenidos en las dos fases anteriores,

procederá a resolver en cualquiera de los sentidos siguientes:
 Otorgar la acreditación a la SVA solicitante.

 Denegar la acreditación a la SVA solicitante.
A partir de la fecha de la resolución, el PSVA acreditado ingresará a la IOFE,

será inscrita en el registro de prestadores de servicios de certificaciones
digital que mantiene para tales efectos la CFE y se encontrará obligada al
pago del aporte por supervisión y control anual, asimismo a partir de la fecha
el Indecopi procederá a incorporar el PSVA acreditado a la TSL
correspondiente
En caso de no encontrarse conforme con la decisión emitida, el solicitante

tiene un plazo de quince (15) días útiles posteriores a la recepción de la
decisión, para efectos de interponer los recursos impugnatorios que
considere pertinentes. Con la resolución que se emita en esta segunda
instancia quedará agotada la vía administrativa.
8.5. Paso 5: Publicidad de resultados:
INDECOPI publicara la acreditación y estado de un PSC a través de un directorio

en su página WEB, estableciendo un Repositorio de certificados o claves públicas
de las entidades acreditadas para la emisión de certificados, incluyendo los
certificados cruzados a la emisión de certificados para certificación cruzada.
- 33 -
Rev: 2016
9. PROCEDIMIENTO DE LA EVALUACIÓN DE SEGUIMIENTO
Cada año, dentro del plazo de vigencia de la acreditación, el Prestador de Servicios

de Certificación Digital deberá someterse a una evaluación de seguimiento.
9.1. Paso 1: Notificación:
La CFE notificará a los Prestadores de Servicios de Certificación Digital

acreditados acerca del cumplimiento de un nuevo año de vigencia y la necesidad
de efectuar el proceso de evaluación de seguimiento.
9.2. Paso 2: Evaluación:
El PSC tendrá un plazo de 30 (treinta) días para tramitar la evaluación por parte
de un auditor independiente seleccionado por el Indecopi.
El auditor no deberá haber laborado para el PSC, ni deberá haber tenido ninguna
relación comercial con el mismo, ni de efectos de auditoría en el mismo alcance
de evaluación, en los últimos 2 años calendario.
El alcance de la evaluación debe comprender:

 La verificación de los controles de seguridad de los certificados digitales
de firma durante todo su ciclo de vida (conforme sea aplicable).
 Los registros de auditoria de los procesos de firma y sello de tiempo
(conforme sea aplicable).
 Control de acceso de usuarios y administración.
 El mantenimiento de la certificación ISO 27001 (si fuera aplicable)
9.3. Paso 3: Resultado:
En caso que la evaluación no sea realizada en el plazo establecido, el PSC será

suspendido y retirado del registro público que mantiene el Indecopi, hasta que
sea efectuada la evaluación.
En el caso que el resultado de la evaluación refleje el incumplimiento por parte
del PSC, este perderá el estado de acreditado y deberá ser sometido a:
 Una suspensión del proceso de acreditación por un plazo establecido por

la AAC.
- 34 -
Rev: 2016
 Una investigación para determinar el impacto del incumplimiento sobre los

suscriptores y terceros que confían.
 Otras medidas que determine la AAC.
10. PROCEDIMIENTO DE ACTUALIZACIÓN
Si un PSC acreditado desea extender el alcance de los servicios que brinda, dentro
de la clasificación determinada (EC, ER, SVA o SW), podrá solicitar al Indecopi una
evaluación de actualización del alcance del estado de acreditación, la cual no
deberá exceder el plazo máximo de 120 días hábiles.
10.1. Paso 1: Solicitud:

El PSC debe enviar al INDECOPI su correspondiente solicitud indicando el
alcance a actualizar.
10.2. Paso 2: Evaluación:

El PSC se someterá a la evaluación por parte de un auditor independiente
seleccionado de una lista presentada por el INDECOPI.
El auditor evaluará la actualización del documento DPSVA y su respectiva
implementación. Todos los controles aplicables al nuevo alcance deberán ser
verificados.
10.3. Paso 3: Resultado:

En el caso que el resultado de la evaluación refleje el cumplimiento de lo
declarado por parte del PSC, la AAC emitirá la resolución correspondiente.
- 35 -
Rev: 2016
ANEXO I:
MARCO DE LA POLÍTICA DE PRESTACIÓN DE SERVICIOS DE

VALOR AÑADIDO
1. Declaración e implementación de las Prácticas
Los Prestadores de servicios de Valor Añadido deben elaborar y establecer como

documento normativo su respectiva Declaración de Prácticas –DPSVA, mediante el
cual la entidad deberá declarar los procedimientos y controles que adopta en cada
etapa de los servicios y sistemas que brinda a sus clientes. El documento Política de
Servicios de Valor Añadido también puede ser definido respecto de las prácticas y
especificaciones de los servicios específicos de valor añadido. Sin embargo, este
documento puede ir contenido en la DPSVA o disgregado según los diferentes
productos a variaciones de SVA que en PSVA puede tener.
Los controles establecidos en el documento DPSVA y/o la Política de Sellado de

Tiempo y su contenido, deben estar de acuerdo con lo establecido por la Autoridad
Administrativa Competente, en el presente documento. Las evaluaciones realizadas
por la Autoridad Administrativa Competente velarán porque los controles
implementados por la entidad que solicita la acreditación sean conformes a los
requerimientos expresados en el presente documento y a lo declarado por la entidad
en su respectiva DPSVA.
En las siguientes secciones se describen los requerimientos que deben ser

implementados en los procedimientos y operación de los Prestadores de Servicios
de Valor Añadido, según el tipo de servicio que brindan, y que deben ser declarados
en su documento DPSVA.
- 36 -
Rev: 2016
Gestión del documento
Explicación preliminar: Puesto que el documento Declaración de Prácticas de Valor

Añadido es un documento normativo, que implica una obligación frente a los clientes
del SVA, este documento debe ser adecuadamente gestionado a fin de mantener su
autenticidad, vigencia, actualización y publicación.
No Requerimiento Detalle
1 Nombre e El documento de declaración

identificación deberá tener un código
del documento identificador, el cual deberá ser
colocado de manera visible en la
carátula del documento
2 Control de El documento deberá mostrar en

versiones la carátula, el control de versiones
respectivo.
3 Organización Se debe indicar el nombre o

que administra razón social de la entidad o
los documentos empresa que administra y es
del SVA autora bajo responsabilidad ante
el proceso de acreditación de la
AAC, de la elaboración de los
documentos normativos del SVA.
4 Persona de Indicar los datos de contacto o

contacto canal de comunicación por el cual
los terceros que confían y los
titulares y los suscriptores de los
certificados puedan referir sus
consultas.
5 Frecuencia de El SVA deberá indicar la

publicación frecuencia con la cual es
actualizado y publicado el
documento. La vigencia máxima
de un documento DPSVA es de 1
año desde el logro de su
acreditación, luego este
reconocimiento debe ser validado
anualmente por las revisiones de
- 37 -
Rev: 2016
supervisión que realiza la AAC.
En caso de actualizaciones
mayores estas deben ser
presentadas a la AAC antes de
realizar la modificación del
documento.
Una actualización mayor es

aquella que afecta a los procesos
de registro o verificación de
identidad.
6 Publicación y El PSVA debe publicar su DPSVA

difusión del al entrar en operación con el
documento logro de la acreditación, a través
de un medio público que permita
su constante consulta por parte
de titulares, suscriptores y
Alcance de aplicación del documento
Explicación preliminar: El campo de usuarios que pueden ser afectos a los servicios
de la Entidad de Registro debe ser definido.
7 Participantes El PSVA deberá definir el campo Por ejemplo: Pueden

de participantes o usuarios de los definirse limitaciones
servicios que brinda, describiendo espaciales, profesionales,
los tipos de titulares y terceros etc., como limitar el campo
que son afectos al presente de usuarios a ciudadanos
documento. peruanos, al departamento
de lima, o a un grupo
profesional específico como
los asociados al colegio de
ingenieros, o los
exportadores afiliados a la
VUCE, etc.
8 Aplicabilidad El PSVA deberá definir, si
- 38 -
Rev: 2016
existen, los límites el campo de

aplicabilidad o uso de los
servicios que brinda.
9 Conformidad El PSVA debe ser evaluado

periódicamente para evidenciar
que sus operaciones y controles
son conformes con los
documentos normativos como la
DSPVA o la Política de Servicios
de Valor Añadido.
2. AUTORIDAD DE SELLADO DE TIEMPO
Las Autoridades de Sellado de Tiempo son un tipo de SVA cuyos servicios permiten
validar la fecha y hora cierta en el que se realiza una transacción electrónica. La
confiabilidad de los servicios de la TSA se basa en la seguridad, integridad y
confiabilidad de la clave privada con la que se firman los sellos de tiempo y la
exactitud de la fecha y hora en función de la sincronización con una fuente de
tiempo confiable. El marco de evaluación de los controles definidos para la
Autoridad de Sellado de Tiempo está basado en la RFC 3628: Policy Requirements
for Time-Stamping Authorities (TSAs), cuya equivalencia funcional en la
Communidad Europea se define en el estándar ETSI 102 023
Las TSA deben ser evaluadas respecto del cumplimiento de los requerimientos
descritos en las secciones 8 y 9 del presente documento. El cumplimiento de la
sección 9 puede ser sustentado mediante una sesión de auditoría mediante la
evaluación de los controles, registros y documentos normativos o mediante los
informes de auditoría independiente, emitida por un agente autorizado o reconocido
internacionalmente, que cubran los siguientes alcances:
 RFC 3628 o
 ETSI 102 023 o
 Webtrust for Certificate Authority + ISO 27001, siempre que las certificaciones
en conjunto incluyan en su alcance la evaluación de las fuentes de tiempo
confiable y la protección de la clave de firma de la TSA.
 Webtrust for Certificate Authority o ETSI 101 456, siempre que las
certificación incluya en su alcance la evaluación de las fuentes de tiempo
- 39 -
Rev: 2016
confiable y la protección de la clave de firma de la TSA y los controles de

seguridad de la infraestructura de la TSA.
2.1. Definición de Responsabilidades
Responsabilidades
Explicación preliminar: Se deben definir las responsabilidades de las partes.
En otros países se desarrolla

la Política de Sellado de
Tiempo en lugar de la
La TSA debe implementar DPSVA.
un documento normativo El PSC puede presentar la
Política de Sellado
10 conforme a los Política de sellado de tiempo,
de Tiempo
requerimientos descritos en o la de Prácticas de Valor
las secciones 8 y 9 del Añadido (DPSVA), o ambas.
presente documento. Lo que se debe asegurar es
que se cubran todos los
temas exigidos a la Autoridad
de Sellado de Tiempo.
La TSA deberá definir sus
Responsabilidades responsabilidades en
11 y obligaciones de relación con los usuarios de
la TSA los sellos de tiempo y los
• Documento donde se
establece la estructura de la
TSA, especificando las
subcontrataciones o
La TSA deberá definir las
Responsabilidades tercerizaciones existentes y
responsabilidades de los
y obligaciones del especificando sus
12 suscriptores, usuarios de
suscriptor responsabilidades y
los sellos de tiempo. obligaciones
• Documento donde se
establecen los términos y
condiciones de uso de los
servicios de sellado de tiempo
Responsabilidades La TSA deberá definir las Documento donde se
13 de los Terceros responsabilidades de los establece el análisis de riesgo
que confían terceros que confían, y la planificación
- 40 -
Rev: 2016
incluyendo: correspondiente
 Verificar que el sello

de tiempo ha sido
correctamente
firmado, y que la
clave privada
utilizada para firmar
el sello de tiempo no
debe haber sido
comprometida hasta
el momento de la
verificación.
 Tomar en cuenta
cualquier limitación
en el uso de los
sellos de tiempo
considerados en la
Política de Sellado
de Tiempo o en la
DPSVA
 Tomar en cuenta
cualquier otra
precaución prescrita
en los acuerdos u
otra parte.
La TSA puede declarar o

limitar cualquier
Limitaciones de responsabilidad excepto
14
Responsabilidad aquellas que sean
estipuladas en las
Regulación vigente.
El PSVA debe definir donde

el cliente puede ser
informado sobre los
procedimientos para la
resolución de disputas con
sus clientes, indicando los
Resolución de
15 datos de contacto o
disputas
dirección a donde pueden
dirigirse los reclamos, Estos
procedimientos pueden ser
establecidos en los
contratos de prestación de
los servicios con los clientes
- 41 -
Rev: 2016
de la PSVA o publicados en
el documentos PSVA
2.2. Gestión del ciclo de vida de las claves
Gestión del ciclo de vida de las claves
Explicación preliminar: El PSVA debe proteger la clave privada que emplea para
firmar los sellos de tiempo a fin de evitar su compromiso.
a) La Generación de las Ejemplos de evidencias que

claves de firma de la deben ser requeridas:
Unidad de Sello de
tiempo deberá ser  Acta y procedimiento de
realizada en un generación u otro
ambiente asegurado documento donde se
físicamente, por especifican las
personal que ocupa condiciones técnicas y
roles de confianza, procedimientos
bajo al menos, control vinculados a la
de acceso de dos generación de la clave
personas. El personal TSU, así como la
Generación de autorizado para identificación del
16 realizar estas personal de confianza
las claves de la
TSA funciones debe estar encargado y su
limitado para realizar nombramiento
esta tarea conforme a  Documento donde se
los procedimientos del identifican los módulos
PSVA. criptográficos
b) La generación de la empleados y la
clave de firma de la evidencia de las
Unidad de Sello de certificaciones de
Tiempo deberá ser seguridad
realizada en un correspondientes
módulo criptográfico  Documentación o
que: evidencia donde se
 Cumpla con los especifiquen el algoritmo
- 42 -
Rev: 2016
requerimientos de generación de las

FIPS 140-2 nivel 3 claves de la TSU, el
o superior (para tamaño de la clave y los
claves generadas algoritmos de firma, los
antes del año cuales deben ser
2003, estos reconocidos por la IOFE
módulos podrán  Documento donde se
cumplir la especifiquen los roles de
certificación FIPS confianza participantes,
140-1 nivel 3 o las responsabilidades y
superior) o su debida asignación
 Cumpla los  Inspección visual del
requerimientos ambiente físico seguro
identificados en el donde se genera la
CEN Workshop clave de la TSU
Agreement 14167-
2 (CWA 14167-2) o
 En un sistema
confiable
asegurado con
Common Criteria
EAL4 o superior,
conforme al ISO
15408 o
equivalente,
determinado en
función de cumplir
los requerimientos
del presente
documento y en
base a un análisis
de riesgo
considerando las
medidas de
seguridad física y
no técnicas.
c) El algoritmo de
generación, la longitud
de la clave firma y el
algoritmo de firma
usado para firmar los
sellos de tiempo
deberán ser
reconocidos por la
IOFE.
La lista de estándares
criptográficos
- 43 -
Rev: 2016
recomendados se lista
en el estándar ETSI
TS 102 176 -1, a
excepción de los
algoritmos de
generación de claves
RSA 1024 y los HASH
MD5 y SHA-1.
La TSA debe asegurar que la Ejemplos de evidencias que

clave privada de firma deben ser requeridas:
permanece confidencial y
que se mantiene su  Acta y procedimiento de
integridad protección para el
almacenamiento de las
a) La clave de firma de la copias de respaldo fuera
Unidad de Sello de del módulo criptográfico
Tiempo deberá ser  Inspección visual del
protegida en un módulo criptográfico que
módulo criptográfico está interconectado en
que: el sistema de producción
 Cumpla con los de los sellos de tiempo.
requerimientos
FIPS 140-2 nivel 3
o superior (para
claves generadas
Protección de la antes del año
17 clave privada de 2003, estos
la TSU módulos podrán
cumplir la
certificación FIPS
140-1 nivel 3 o
superior) o
 Cumpla los
requerimientos
identificados en el
CEN Workshop
Agreement 14167-
2 (CWA 14167-2) o
 En un sistema
confiable
asegurado con
Common Criteria
EAL4 o superior,
conforme al ISO
15408 o
- 44 -
Rev: 2016
equivalente,
determinado en
función de cumplir
los requerimientos
del presente
documento y en
base a un análisis
de riesgo
considerando las
medidas de
seguridad física y
no técnicas.
b) Si se realiza un
respaldo de la clave
de firma de la Unidad
de Sello de tiempo,
esta deberá ser
copiada, almacenada
y recuperada sólo por
personal que ocupa
roles de confianza,
usando al menos,
control de acceso de
dos personas. El
personal autorizado
para realizar estas
funciones debe estar
limitado para realizar
esta tarea conforme a
los procedimientos del
PSVA.
c) Cualquier copia de la
TSU deberá ser
protegida por la clave
secreta del módulo
criptográfico antes de
ser almacenada fuera
del dispositivo
Ejemplos de evidencias:
La clave pública de firma de  Procedimiento de
la TSU debe ser disponible distribución de la clave
Distribución de
para los terceros que confían pública de la TSU
18 la clave pública
en un certificado de clave  Certificado digital que
TSU
pública. contiene la clave pública
de la TSU
El certificado puede ser  Certificación que
- 45 -
Rev: 2016
emitido por la misma entidad ampara la seguridad del

que opera la TSA o por otra certificado digital
EC reconocida por la IOFE.
El certificado de la Unidad de
sello de tiempo debe ser
emitido por una EC bajo una
política que provea un nivel
de seguridad equivalente o
superior a la Política de
Sellado de Tiempo.
Este certificado deberá ser

reconocido por la IOFE
El tiempo de vigencia del Ejemplos de evidencias:
certificado de la TSU no • Documentación donde se
debe ser mayor que el especifiquen las características
Re-emisión de
19 periodo de vigencia de los técnicas referidas a la re-
la clave del TSU
algoritmos y tamaños de emisión de la clave de la TSU
claves, conforme al
reconocimiento de la IOFE.
La TSA debe asegurar que la Ejemplos de evidencias:
clave privada de firma de la
TSU no son usadas luego de  Procedimiento de
expirado su ciclo de vida: gestión de la clave de la
a) Se deben establecer TSU luego de su
procedimientos expiración o revocación:
técnicos u  Emisión de una nueva
operacionales para clave
asegurar que son  Destrucción de la clave
generadas y utilizadas expirada o revocada,
nuevas claves incluyendo cualquier
Término del b) La clave privada de copia
20
ciclo de vida de firma, o cualquier  Impedimento de emisión
la clave privada parte de la clave debe de sello de tiempo
del TSU ser destruida de tal
modo que no pueda
ser recuperada
c) El sistema de
generación de sellos
de tiempos debe
rechazar cualquier
intento de emitir sellos
de tiempo si la clave
privada de firma ha
expirado o se
encuentra revocada.
- 46 -
Rev: 2016
2.3. Ciclo de vida del módulo criptográfico usado para firma sellos de tiempo
Ciclo de vida del módulo criptográfico
Explicación preliminar: El PSVA debe proteger el módulo criptográfico donde se

almacena su clave privada, a fin de evitar su compromiso.
a) El hardware del Ejemplos de evidencias

módulo criptográfico  Procedimiento de
no debe ser gestión del módulo
manipulado durante criptográfico
su transporte Pruebas de
b) El hardware del aseguramiento de
módulo criptográfico correcto funcionamiento
no debe ser del equipo
manipulado durante Registros de borrado de
su almacenamiento claves privadas de la
c) La instalación, TSU antes de que el
activación y equipo sea desechado
duplicación de la clave
de firma de la TSU en
Gestión del ciclo el hardware del
de vida del módulo criptográfico
módulo deberá ser realizado
21 criptográfico solo por personal que
usado para ocupa roles de
firmar los sellos confianza, usando al
de tiempo menos un control de
acceso de dos
personas en un
ambiente físico
seguro.
d) El hardware de firma
de sellos de tiempo
funciona
correctamente
e) Las claves de firma de
la TSU que son
almacenadas en un
módulo criptográfico
son borradas antes de
que el dispositivo sea
- 47 -
Rev: 2016
retirado
2.4. Sello de Tiempo
Sello de tiempo
Explicación preliminar: El sello de tiempo debe contener ciertos datos que permitirán
su verificación y vinculación con la TSA.
El sello de tiempo:
 Debe incluir un
identificador de la
política de sellado de
tiempo
 Debe tener un único
identificador
 El valor de tiempo debe
ser trazable a al menos
una fuente de tiempo
confiable reconocida por
Sellado de el Bureau International
22
Tiempo des Poids et Mesures
(BIPM)
 El tiempo definido debe
ser sincronizado con la
fuente de tiempo
confiable dentro de la
exactitud definida en la
Política de Sellado de
tiempo, así como dentro
de la exactitud definida
en el mismo sello de
tiempo
 Si el tiempo provisto se
- 48 -
Rev: 2016
encuentra fuera de la
exactitud definida el sello
de tiempo no debe ser
emitido
 Debe incluir un resumen
de los datos firmados
(por ejemplo, hash)
 El sello de tiempo debe
ser firmado por una
clave generada para
este propósito
 Debe incluir, si fuera
aplicable:
o un identificador
para el país en
el cual la TSA
es establecida
o Debe incluir un
identificador
para la TSA
o Debe incluir un
identificador
para la TSU
que emite los
sellos de
tiempo
2.5. Sincronización del reloj con el UTC
Sincronización del reloj
Explicación preliminar: El PSVA debe mantener la sincronización del reloj de la TSU

con la UTC.
 La calibración de los Ejemplos de evidencias:

relojes de la TSU debe
ser mantenida de modo  Verificación del sello de
Sincronización que no supere la tiempo
23
con la UTC exactitud declarada  Verificación de la fuente
 Los relojes deben ser de tiempo confiable
protegidos contra  Documentos de
amenazas como calibración del reloj o
- 49 -
Rev: 2016
cambios no autorizados documentación del

que afecten la servidor de tiempo
calibración  Procedimientos de
 La TSA deberá asegurar contingencia
que si el tiempo indicado  Procedimiento de
en el sello de tiempo gestión del reloj de la
excede la sincronización TSU:
con la UTC, esto será • Mantener el reloj
detectado. Los terceros dentro de la precisión
de confianza deben ser declarada
notificados. • Protección del reloj
 La TSA deberá asegurar contra amenazas luego
que la sincronización del de la calibración
reloj es mantenida • Aseguramiento de la
cuando un salto de sincronización del reloj
segundo es definido por ante un cambio en el
la autoridad respectiva. tiempo notificado por
El cambio debe tener en una autoridad
cuenta que el salto de competente
segundo debe ocurrir
durante el último minuto
del último día de su
planificación. Un registro
de este cambio debe ser
mantenido.
2.6. Gestión de la seguridad
Gestión de la seguridad
Explicación preliminar: El PSVA debe implementar los controles necesarios para

asegurar la información en sus operaciones
Organización de Debe existir un responsable

24 la seguridad de de organizar y dirigir la
la información seguridad de la información
- 50 -
Rev: 2016
Se debe implementar y
establecer una Política de
seguridad cuyo alcance
cubra todas las operaciones
Política de críticas del SVA
25 seguridad de la
información El PSVA deberá asegurar la
publicación de esta política y
comunicación a todos los
empleados que participan de
las operaciones del SVA.
Los riesgos de seguridad
deben ser evaluados
periódicamente y los
Gestión de
26 controles a ser
riesgos
implementados deben ser
conformes a las amenazas y
riesgos detectados.
Los procedimientos
27 Documentación operativos y de seguridad
deben ser documentados.
 La seguridad debe ser
mantenida cuando las
funciones son
tercerizadas a otra
organización o entidad. El
PSVA es responsable de
los servicios que brinda,
incluyendo los que son
realizados por terceros
proveedores
 Las responsabilidades de
Seguridad en el
terceros deben ser
28 trato con
definidas y deben
terceros
hacerse arreglos para
asegurar que los terceros
cumplen todos los
controles requeridos
 El PSVA deberá
mantener la
responsabilidad de
declarar las prácticas
relevantes de
tercerización a todas las
partes interesadas
- 51 -
Rev: 2016
El PSVA deberá mantener un Ejemplo de evidencia:

inventario de todos los Documento donde se establece
activos críticos, asignando la clasificación y gestión de
Clasificación y
una clasificación de sus activos
29 gestión de
requerimientos de
activos
protección, de manera
consistente con el análisis de
riesgos
a) El PSVA deberá emplear
personal que posea
conocimiento
especializado,
experiencia y
calificaciones necesarias
para ofrecer los servicios,
de acuerdo a las
funciones que debe
cumplir cada rol
b) Los roles y
responsabilidades
referidas al cumplimiento
de la Política de
Seguridad, deben ser
documentados en las
Seguridad del descripciones de las
30
personal funciones de cada rol.
Los roles de confianza,
de los cuales dependen
las operaciones del SVA
deberán ser identificados.
c) Las funciones del

personal del SVA
(temporal y permanente)
deberán definidas
considerando los criterios
de separación de
derechos y mínimo
privilegio
d) El personal deberá
ejecutar sus funciones y
procedimientos en
- 52 -
Rev: 2016
función de los
procedimientos y la
Política de Seguridad.
e) El personal gerencial
debe tener conocimiento
de las tecnologías
relacionadas a los
servicios del SVA, como
firma digital, gestión de
certificados digitales, sello
de tiempo, mecanismos
de sincronización de
relojes con la UTC,
conocimientos de los
procedimientos y
responsabilidades de
seguridad para la gestión
de personal, experiencia
en seguridad de la
información y evaluación
de riesgos.
f) Todo el personal en roles

de confianza debe ser
libre de conflicto de
interés que pueda
perjudicar la imparcialidad
de las operaciones del
SVA
g) Los roles de confianza

deben incluir las
siguientes
responsabilidades:
 Oficiales de
seguridad:
Responsables de
administrar la
implementación de las
prácticas de seguridad
 Administradores de
sistemas: Autorizados
a instalar, configurar y
mantener la integridad
de los sistemas del
- 53 -
Rev: 2016
SVA
 Operadores de
sistemas:
Responsable de
operar la integridad de
los sistemas en el día
a día. Autorizados
para ejecutar sistemas
de respaldo y
recuperación.
 Auditores de sistemas:
Autorizados a ver
archivos y logs de los
sistemas del SVA
h) El personal debe ser
formalmente asignado a
cumplir los roles de
confianza, por parte del
responsable gerencial de
la seguridad
i) El PSVA no deberá
asignar en roles de
confianza o
administración a cualquier
persona que es conocida
por tener una
participación en un
crimen serio u otra ofensa
la cual afecta su
idoneidad para su puesto.
El personal no deberá
tener acceso a funciones
de confianza hasta
completar todas las
verificaciones necesarias.
a) Los medios de Ejemplos de evidencias:
administración de los
sistemas del SVA Inspección visual de la
deberán ser operados en implementación de:
un ambiente protegido • Acceso físico limitado
Seguridad física con controles físicos de apropiadamente a individuos
31
y del entorno acceso para proteger de autorizados
acceso no autorizado a • Operación de medios de
los sistemas y datos procesamiento desde ambiente
b) Se deben definir con protección física
perímetros de seguridad • Controles contra pérdida,
que protejan las daños o compromiso de los
- 54 -
Rev: 2016
operaciones y sistemas activos de información, así

críticos del SVA. Las como interrupción de las
partes compartidas con actividades del negocio
otras organizaciones • Controles contra compromiso
deberán ser afuera de o robo de información y sus
este perímetro. medios de procesamiento
c) Controles de seguridad • Controles de seguridad
física y ambiental deben ambientales (controles contra
ser implementados para incendio, regulación de
proteger los medios que humedad, temperatura)
alojan los recursos
informáticos, los recursos
informáticos, y los medios
usados para soportar su
operación. Estos deben
incluir: protección de
acceso físico, protección
contra desastres
naturales, detección y
protección contra
incendios, contingencia
en cortes de energías y
comunicaciones, colapso
de la estructura, aniego,
protección contra robo,
ruptura, recuperación en
caso de desastres,
conforme a los resultados
del análisis de riesgos.
d) Se deben implementar
controles que impidan el
retiro no autorizado de
equipos, información,
medios de
almacenamiento,
software relativo a los
servicios críticos del SVA.
a) La integridad de los
componentes
informáticos y la
información deben ser
Gestión de protegidos contra virus,
32
operaciones software malicioso o no
autorizado.
b) Se deben implementar y
ejecutar procedimientos
de reporte y respuestas a
- 55 -
Rev: 2016
incidentes de seguridad y
mal funcionamiento de las
operaciones del SVA
c) Los medios de
almacenamiento usados
en los sistemas críticos
del SVA deben ser
protegidos contra
modificación o acceso no
autorizados
d) Se deben establecer
procedimientos para
todos los roles de
confianza y
administrativos que
impactan en la provisión
de servicios del SVA.
e) Se deben implementar
procedimientos para
asegurar la adecuada
planificación de activos y
nuevos sistemas a fin de
evitar incompatibilidades
con otros sistemas y
vulnerabilidades de
seguridad
f) La limpieza de los
ambientes debe ser
adecuada para no dañar
los equipos, y el personal
debe ser supervisado
para evitar robos de
medios de
almacenamiento e
información
Todos los medios deben ser

manejados de manera
segura conforme a la
clasificación de activos. Los
Manejo de
medios de almacenamiento
33 medios y
que contienen datos
seguridad
sensibles deben ser
eliminados de manera
segura cuando ya no sean
requeridos.
- 56 -
Rev: 2016
Las demandas de capacidad

de los sistemas deben ser
monitoreadas y deben
realizarse proyecciones de la
Planificación del
34 demanda futura a fin de
sistema
asegurar la disponibilidad de
los sistemas de
procesamiento y
almacenamiento.
El PSVA debe actuar de Ejemplos de evidencias:
manera oportuna y Reportes de incidentes,
coordinada para responder informes de seguimiento y
Reporte y de manera rápida a los solución
35 respuesta a incidentes y limitar el impacto Estadísticas de incidentes
incidentes de los vacíos de seguridad. reportados y atendidos
Todos los incidentes deben
ser reportados tan pronto
como sea posible.
 Debe definirse una
política de acceso en
redes
 Las redes deben ser
protegidas de acceso no
autorizado,
 Se debe separar la zona
de constante acceso con
la red interna de
procesamiento y
almacenamiento de
información crítica. De
acuerdo a los diferentes
niveles de seguridad,
Seguridad en
36 deben separarse las
redes
redes de datos de los
sistemas de
procesamiento central del
SVA
 El acceso a dominios de
redes internas del SVA
deben ser protegidos de
acceso o autorizado
incluyendo a suscriptores
y terceros que confían.
Los firewalls deben ser
configurados para
prevenir todos los
protocolos y accesos no
- 57 -
Rev: 2016
requeridos para la
operación del SVA
 Deben implementarse
sistemas de detección de
intrusos para prevenir
accesos de código
malicioso o no autorizado
 La continuidad y
seguridad de las
operaciones debe ser
monitoreada.
 Los registros de auditoría

y los reportes de eventos
sobre errores y
advertencias en el
funcionamiento de los
sistemas del SVA deben
37 Monitoreo
ser monitoreados
 Medios de monitoreo y
alarmas deben ser
implementados para
detectar, registrar y
actuar oportunamente
sobre accesos no
autorizados o intentos
irregulares de acceso a
recursos.
Se debe evaluar las
vulnerabilidades y riesgos de
seguridad relacionados al
intercambio de datos y
Intercambio de
38 software, y estos deben ser
datos y software
manejados de manera
apropiada de acuerdo a su
impacto sobre las
operaciones del SVA
El SVA debe asegurar que el
acceso a los sistemas es
limitado a individuos
Gestión de
autorizados apropiadamente:
39 accesos a los
 Se debe realizar una
sistemas
efectiva
administración de
accesos de usuarios
- 58 -
Rev: 2016
(operadores,
administradores y
auditors), a sistemas
que mantienen la
seguridad del SVA.
Esta gestión debe
incluir una asignación
de cuentas de usuario,
auditoria, modificación
o remoción oportuna
de acceso.
 El personal debe ser
apropiadamente
identificado y
autenticado antes de
tener acceso a
aplicaciones críticas
del SVA
 El personal debe ser
controlado respecto
de las acciones que
realiza en los sistemas
del SVA, mediante
registros de auditoria.
Ejemplo de evidencia:
La información crítica y Procedimiento de gestión del
sensible, que es archivada archivo.
debe ser protegida contra
40 Archivo
daño ambiental o intencional,
así como acceso de lectura y
modificación no autorizadas.
Se debe realizar un análisis Ejemplos de evidencias:

de los requerimientos de Documento donde se establece
seguridad que deben ser el análisis de requerimientos de
cubiertos en las etapas de seguridad en la etapa de
Desarrollo y
diseño y especificación de diseño y especificación de
mantenimiento
41 los proyectos de desarrollo requerimientos de todo
de sistemas
de sistemas del SVA, para proyecto de desarrollo
confiables
asegurar que dichos realizado por o en nombre de
requerimientos son la TSA
considerados en los sistemas
críticos
Se debe implementar Ejemplo de evidencias:
Control de
42 procedimientos de control de Procedimientos de control de
cambios
cambios para poner en cambios
- 59 -
Rev: 2016
producción modificaciones o
parches de emergencia de
aplicaciones críticas de
software del SVA, a fin de
evitar posteriores fallas o
incompatibilidad con otros
sistemas.
2.7. Compromiso de los servicios de la TSA o TSU
Compromiso de la TSA
Explicación preliminar: El PSVA debe adoptar los procedimientos de contingencia

necesarios en caso de compromiso de sus servicios.
La TSA debe implementar un

plan de recuperación de
desastres que considere los
casos:
 Sospecha de
compromiso de la
Recuperación clave privada de firma
43
de desastres del TSU o
 La pérdida de
calibración del reloj,
los cuales pueden
afectar los sellos de
tiempo que ha sido
emitidos.
En el caso de compromiso
de las operaciones de la
TSA, por sospecha de
compromiso de la clave
privada de firma o pérdida de
44 Notificación la calibración de los sellos de
tiempo, la TSA debe hacer
disponible a todos los
suscriptores y terceros que
confían una descripción del
compromiso ocurrido
- 60 -
Rev: 2016
En caso de compromiso de la
En el caso de compromiso
clave privada de firma, no se
de las operaciones de la
podrán emitir sellos de tiempo
TSA, por sospecha de
hasta que sea emitida una
compromiso de la clave
nueva clave y se garantice su
privada de firma o pérdida de
Interrupción de seguridad.
45 la calibración de los sellos de
operaciones
tiempo, no deberán ser
En caso de pérdida de la
emitidos sellos de tiempo
calibración del reloj, no se
hasta que se logre recuperar
podrán emitir sellos de tiempo
las operaciones del
hasta que se haya recuperado
compromiso
la calibración.
En el caso de compromiso Ejemplos de evidencias:
de las operaciones de la  Procedimiento de
TSA, por sospecha de gestión del término de
compromiso de la clave los servicios de la TSA:
privada de firma o pérdida de  Comunicación a
la calibración de los sellos de suscriptores y terceros
tiempo, la TSA deberá poner que confían
a disponibilidad de todos los  Terminar las
Mecanismos de suscriptores y terceros que autorizaciones de los
verificación para confían información sobre el subcontratados
46
terceros que mecanismo que puede ser  Transferencia de
confían usado para identificar los obligaciones a un
sellos de tiempo que han tercero confiable
sido comprometidos, a  Destrucción de las
menos que afecte una claves privadas de las
brecha de privacidad de los TSU
usuarios de los sellos de  Revocación de los
tiempo o genere una brecha certificados digitales de
en la seguridad de los las TSU
servicios de la TSA.
2.8. Término de la organización que administra la TSA
Término de la TSA
Explicación preliminar: El SVA debe adoptar las medidas necesarias para que su
finalización no afecte de manera significativa a los suscriptores y terceros que confían.
- 61 -
Rev: 2016
a) La TSA debe poner a Acuerdos para cubrir los costos

disponibilidad de los mínimos, en caso se declare la
suscriptores y terceros quiebra u otras razones que le
que confían la impidan cubrir los costos
información concerniente
a su terminación
b) La TSA deberá terminar
con las autorizaciones de
todos los subcontratistas
que actúan en nombre de
la TSA, en el proceso de
emisión de los sellos de
tiempo
c) La TSA deberá transferir
sus obligaciones a una
parte confiable para
mantener los archivos de
los log de eventos y
registros de auditorías
Preparación
necesarios para
47 antes del
demostrar la correcta
término
operación de la TSA por
un periodo razonable
d) La TSA deberá transferir
sus obligaciones a una
parte confiable para
mantener disponible su
clave pública o sus
certificados a los terceros
que confían por un
periodo razonable de
tiempo
e) Las claves privadas de
TSU incluyendo las
copias de respaldo
deberán ser destruidos de
tal manera que la clave
privada no pueda ser
recuperada
La TSA deberá tener un

arreglo para cubrir los costos
que implica implementar
Capacidad
48 estos requerimientos
financiera
mínimos en caso que la TSA
quiebre financieramente o
por otras razones que
- 62 -
Rev: 2016
inhabiliten su capacidad de
cubrir los costos por sí
misma.
La TSA deberá adoptar los
Revocación del
pasos necesarios para
49 certificado de la
revocar los certificados de la
TSA
TSU
2.9. Registros de información concerniente a la operación de los servicios de

sellado de tiempo
Registros de auditoría
Explicación preliminar: El PSVA debe registrar los eventos que sean necesarios
como evidencia legal de la confiabilidad de los servicios brindados.
La TSA debe declarar los

Eventos
50 tipos de eventos y datos que
registrados
serán registrados
La confidencialidad e
integridad los registros
vigentes y los archivados
concernientes a la operación
de los servicios de sellos de
tiempo debe ser mantenida.
Protección de Los eventos deben ser

51
los registros registrados en un modo que
ellos no puedan ser borrados
o destruidos dentro del
periodo de tiempo que son
requeridos como evidencia
(excepto si son transferidos a
de largo plazo).
Los registros concernientes a
la operación de los servicios
Archivo de de sello de tiempo deberán
52
registros ser archivados de manera
completa y confidencial en
concordancia con la DPSVA
- 63 -
Rev: 2016
Debe ser registrado el tiempo

preciso en el que ocurren
Eventos
53 eventos significativos en los
significativos
ambientes, gestión de claves
o sincronización del reloj.
Registros concernientes a la
operación de sellos de
tiempo deberán ser
disponibles si es requerido
Evidencias
54 para propósitos de proveer
legales
evidencia de la correcta
operación de los servicios de
sello de tiempo para
propósitos legales
Los registros concernientes a
los sellos de tiempo deberán
Archivo luego ser mantenidos por un
55 de expiración de periodo de tiempo después
la TSA de la expiración de la
vigencia de las claves de
firma de la TSU
Cualquier información que es
registrada acerca de los
suscriptores deberá ser
guardada de manera
56 Privacidad
confidencial excepto si se
obtiene el consentimiento del
suscriptor para su
publicación
Se deben registrar eventos
Gestión de la
57 relacionados al ciclo de vida
clave de la TSU
de la clave privada de la TSU
Se deben registrar todos los
eventos relacionados a la
sincronización de los relojes
del TSU a la UTC. Esto
deberá incluir información
concerniente a la re-
Registros de
calibración normal o
58 Sincronización
sincronización de los relojes
del reloj
usados en el sello de tiempo
Se deben registrar todos los

eventos relacionados con la
pérdida de sincronización de
los relojes con la UTC
- 64 -
Rev: 2016
2.10. Auditoria
Auditoría
Explicación preliminar: El PSVA debe ser auditada anualmente por la AAC, respecto
de la correcta operación de los servicios de registro.
59 Auditoría de Los registros deben ser revisados

registros como parte de la auditoría de la
AAC, de manera anual.
60 Auditoría del El archivo debe ser revisados

archivo como parte de la auditoría de la
61 Auditoría de los Los procedimientos y controles

procedimientos implementados deben ser
y controles auditados por la AAC de manera
anual.
62 Auditor El auditor debe:

 Ser autorizado por el
INDECOPI.
 Ser independiente del
PSVA, y no haber
realizado trabajos para
ella dentro de los 2 años
anteriores a la ejecución
de la auditoría.
- 65 -
Rev: 2016
2.11. Otros aspectos legales de la operación de la TSA
Aspectos legales de la operación del TSA
Explicación preliminar:
63 Políticas de El PSVA debe declarar, si fuera

reembolso aplicable, políticas de reembolso,
incluyendo los siguientes casos,
indicar donde el cliente puede ser
informado respecto, de las
políticas de reembolso del
servicio.
64 Cobertura de El monto mínimo de la póliza es

seguro de de $ 35 000. 00 dólares
responsabilidad americanos.
civil
El PSVA debe publicar las
garantías financieras que ofrece
a los terceros que confían en
caso de ocurrir suplantación de
identidad por fallos en la
operación del SVA.
65 Información El PSVA debe mantener de

confidencial y/o manera confidencial la siguiente
privada información:
 Material comercialmente
reservado de los PSCs, de
los suscriptores de la
empresa y de las terceros
que confían, incluyendo
términos contractuales,
planes de negocio y
propiedad intelectual;
 Información que puede
permitir a partes no
autorizadas establecer la
existencia o naturaleza de
las relaciones entre los
- 66 -
Rev: 2016
suscriptores de empresa y
los terceros que confían;
 Información que pueda
autorizadas la
construcción de un perfil
de las actividades de los
suscriptores, titulares o
 Se debe asegurar la
reserva de toda
información que mantiene,
la cual pudiera perjudicar
la normal realización de
sus operaciones.
Se permite la publicación de
información respecto a la
revocación o suspensión de un
certificado, sin revelar la causal
que motivó dicha revocación o
suspensión.
La publicación puede estar
limitada a suscriptores legítimos,
titulares o terceros que confían.
66 Información no Se debe permitir la publicación de

privada certificados (siempre que el
suscriptor lo autorice en el
contrato del suscriptor) e
información de estado de
certificados, así como de
información en relación a la
revocación de un certificado sin
revelar la razón de dicha
revocación.

- 67 -
Rev: 2016
67 Derechos de De ser aplicable, el SVA debe

Propiedad declarar cláusulas contractuales
intelectual de respecto de obligaciones y
derechos relacionados a la
propiedad intelectual.
68 Notificaciones y El PSVA debe declarar los

comunicaciones mecanismos de comunicación
entre con sus clientes, en orden de
participantes realizar comunicaciones con valor
legal.
69 Conformidad El PSVA debe declarar la ley

con la Ley aplicable que debe ser cumplida
aplicable por los participantes.
70 Exención de En caso de existir, el PSVA debe

garantías declarar los casos de exención
de garantías aplicables
71 Indemnizaciones En caso de existir, el PSVA debe

declarar las indemnizaciones
aplicables
72 Fuerza mayor En caso de existir, el PSVA debe

declarar en algún documento
normativo, las cláusulas de
fuerza mayor que sean
aplicables.
3. SISTEMAS DE INTERMEDIACIÓN DIGITAL
Una característica importante de este SVA, es que se trata de productos de software

y/o hardware y no servicios, por lo que se asume que no se realiza un
almacenamiento de datos, ni se almacena o protege una clave privada.
Los SVA tipo Sistemas de Intermediación Digital deben ser evaluados respecto del
cumplimiento de los requerimientos descritos en la secciones 8 y 10 del presente
documento.
- 68 -
Rev: 2016
Responsabilidades
El PSVA deberá definir sus

Responsabilidades
responsabilidades en
1 y obligaciones del
relación con los usuarios de
PSVA
los sistemas del SVA
El PSVA deberá definir las
Responsabilidades responsabilidades de los
y obligaciones del suscriptores, usuarios de los
2
suscriptor sistemas de intermediación
digital

terceros que confían,
incluyendo:
 Verificar la validez de
los certificados
digitales de los
documentos o
información
procesada por los
Responsabilidades
sistemas de
3 de los Terceros
intermediación digital
que confían
 Tomar en cuenta
en el uso de los
sistemas
considerados en la
DPSVA
 Tomar en cuenta
cualquier otra
en los acuerdos u
otra parte.
- 69 -
Rev: 2016

limitar cualquier
responsabilidad excepto
4 Responsabilidades
aquellas que sean
estipuladas en la regulación
vigente.
El PSVA debe establecer

Resolución de
5 sus clientes, indicando los
disputas
datos de contacto o
dirigirse los reclamos.
3.2. Módulo criptográfico
Módulo criptográfico
Explicación preliminar: En caso que los sistemas se integren a un módulo

criptográfico, éste deberá cumplir con requerimientos que garanticen la seguridad de
la clave privada que los suscriptores utilizarán.
El modulo criptográfico debe

cumplir con la certificación
 FIPS 140-2 (para

claves generales
antes del año 2003,
estos módulos podrán
cumplir la certificación
FIPS 140-1) o
Certificaciones
6  Cumplan los
de Seguridad
requerimientos
identificados en el
CEN Workshop
Agreement 1167-2
(CWA 14167-2) o
 En un sistema
confiable asegurado
con Common Criteria
EAL4 o superior,
- 70 -
Rev: 2016
conforme al ISO
15408 o equivalente,
determinado en
función de cumplir los
requerimientos del
presente documento y
en base a un análisis
de riesgo
considerando las
medidas de seguridad
física y técnicas.
3.3. Autenticación
Autenticación
Explicación preliminar: En caso que los sistemas contemplen funciones de

validación de identidad de sus usuarios mediante un certificado digital, deberán
verificar la validez del mismo antes de autorizar su acceso.
El sistema deberá verificar

que el certificado
corresponde a una Entidad
Validación de la
de Certificación reconocida
7 confiabilidad de
por la IOFE, de no ser
la raíz
exitosa la verificación, el
sistema no debe permitir el
acceso.
El sistema deberá verificar La autenticidad de la CRL se
que tanto el certificado del verifica mediante la verificación
usuario final así como los de la firma, buscando que haya
certificados que componen la sido realizada por la EC que
cadena de certificación no se emitió la CRL.
Validación del encuentran revocados.
8 estado de Esta verificación puede ser
revocación mediante los mecanismos
CRL u OCSP.
En caso de ser CRL, se

deberá verificar la vigencia y
autenticidad de la CRL.
- 71 -
Rev: 2016

que tanto el certificado del
usuario final así como los
Validación del certificados que componen la
9 estado de cadena de certificación se
vigencia encuentran vigentes, es
decir, que su periodo de vida
no ha expirado.

que el certificado del usuario
Validación del final tiene como propósito
10
propósito autenticación, conforme a la
RFC 5280.
3.4. Cifrado
Cifrado
Explicación preliminar: En caso que los sistemas realicen funciones de cifrado con
certificados digitales, se deberá proteger la clave privada empleada en los procesos
de cifrado
Al momento de descifrar la
información, el sistema no
deberá copiar la clave
Protección de la privada sin cifrar fuera del
11
clave privada módulo criptográfico. La
clave privada siempre debe
mantenerse dentro del
módulo criptográfico.
12 Validación de la El sistema deberá verificar
confiabilidad de que el certificado
la raíz corresponde a una Entidad
acceso.
- 72 -
Rev: 2016
13 Validación del El sistema deberá verificar La autenticidad de la CRL se

estado de que tanto el certificado del verifica mediante la verificación
revocación usuario final así como los de la firma, buscando que haya
encuentran revocados.
Esta verificación puede ser

mediante los mecanismos
CRL u OCSP.

14 Validación del El sistema deberá verificar
estado de que tanto el certificado del
vigencia usuario final así como los
certificados que componen la
cadena de certificación se
encuentran vigentes, es
no ha expirado.

propósito que el certificado del usuario
final tiene como propósito de
cifrado o cifrado de clave,
conforme a la RFC 5280.
3.5. Canales SSL
Cifrado
Explicación preliminar: En caso que los sistemas implementen canales seguros SSL
- 73 -
Rev: 2016
16
acceso.

CRL u OCSP.

no ha expirado.

cifrado de clave, conforme a
la RFC 5280.
- 74 -
Rev: 2016
3.6. Consulta de sellos de tiempo
Cifrado
Explicación preliminar: En caso que los sistemas realicen peticiones de sellos de

tiempo, deben cumplir requisitos que garanticen su confiabilidad
Formato de El formato de petición debe

21
petición ser conforme a la RFC 3161.

confiabilidad de que el certificado con el que
la raíz se firma el sello de tiempo
por la IOFE.

estado de que el certificado con el que
revocación se firman los sellos de
tiempo no se encuentra
revocado.

vigencia se firman los sellos de
expirado.
- 75 -
Rev: 2016
25 Validación de la El sistema deberá verificar la

firma firma del sello de tiempo para
corroborar que los datos son
íntegros

Organización de Debe existir un responsable

26 la seguridad de de organizar y dirigir la
la información seguridad de la información
Política de críticas del SVA
27 seguridad de la
información El PSVA deberá asegurar la
publicación de esta Política y
comunicación a todos los
empleados que participan de
las operaciones del SVA.
funciones son
tercerizadas a otra
Seguridad en el organización o entidad. El
28 trato con PSVA es responsable de
terceros los servicios que brinda,
incluyendo los que son
realizados por terceros
proveedores
- 76 -
Rev: 2016
 Las responsabilidades de
terceros deben ser
definidas y deben
asegurar que los terceros
cumplen todos los
controles requeridos
 El PSVA deberá
mantener la
responsabilidad de
relevantes de
partes interesadas
a) El PSVA deberá
emplear personal que
posea conocimiento
especializado,
experiencia y
calificaciones
necesarias para
ofrecer los servicios,
de acuerdo a las
funciones que debe
cumplir cada rol
b) Los roles y
responsabilidades
referidas al cumplimiento
Seguridad del
29 de la Política de
personal
Seguridad, deben ser
documentados en las
descripciones de las
funciones de cada rol.
Los roles de confianza,
de los cuales dependen
deberán ser identificados.
c) Las funciones del

personal del SVA
deberán definidas
considerando los criterios
de separación de
- 77 -
Rev: 2016
derechos y mínimo
privilegio
d) El personal deberá
procedimientos en
función de los
procedimientos y la
e) El personal gerencial
de las tecnologías
relacionadas a los
certificados digitales, sello
de tiempo, mecanismos
de sincronización de
relojes con la UTC,
procedimientos y
seguridad para la gestión
de personal, experiencia
en seguridad de la
de riesgos.
f) Todo el personal en roles

de confianza debe ser
libre de conflicto de
interés que pueda
perjudicar la imparcialidad
SVA
g) Los roles de confianza

deben incluir las
siguientes
responsabilidades:
 Oficiales de
seguridad:
Responsables de
administrar la
implementación de las
- 78 -
Rev: 2016
prácticas de seguridad
sistemas: Autorizados
a instalar, configurar y
mantener la integridad
de los sistemas del
SVA
 Operadores de
sistemas:
Responsable de
operar la integridad de
los sistemas en el día
a día. Autorizados
para ejecutar sistemas
de respaldo y
recuperación.
 Auditores de sistemas:
Autorizados a ver
archivos y logs de los
sistemas del SVA
h) El personal debe ser
responsable gerencial de
la seguridad
i) El PSVA no deberá
asignar en roles de
confianza o
administración a cualquier
persona que es conocida
por tener una
participación en un
crimen serio u otra ofensa
la cual afecta su
idoneidad para su puesto.
El personal no deberá
tener acceso a funciones
de confianza hasta
completar todas las
verificaciones necesarias.
En caso que el sistema se
encuentre integrado a un
Gestión de
sistema de gestión de
30 accesos a los
usuarios, este deberá cumplir
sistemas
lo siguiente:
 Permitir la asignación
- 79 -
Rev: 2016
de cuentas de usuario
para controlar los
accesos a los
sistemas, permitir la
modificación o
remoción oportuna de
accesos.
 Diferenciar las
cuentas de
administración de las
cuentas de usuario.
 El sistema debe
permitir controlar al
personal respecto de
las acciones críticas
que realiza en los
sistemas del SVA,
generando registros
de auditoria.
cubiertos en las etapas de seguridad en la etapa de
Desarrollo y
diseño y especificación de diseño y especificación de
mantenimiento
31 los proyectos de desarrollo requerimientos de todo
de sistemas
de sistemas del SVA, para proyecto de desarrollo
confiables
asegurar que dichos realizado por o en nombre del
requerimientos son PSVA
considerados en los sistemas
críticos
3.8. Término de la organización que administra el SVA
Término del SVA
Explicación preliminar: El SVA debe adoptar las medidas necesarias para que su
a) El PSVA debe poner a Acuerdos para cubrir los costos

Preparación disponibilidad de los mínimos, en caso se declare la
32 antes del suscriptores y terceros quiebra u otras razones que le
término que confían la impidan cubrir los costos
- 80 -
Rev: 2016
a su terminación
b) El PSVA deberá terminar
con las autorizaciones de
todos los subcontratistas
que actúan en nombre del
PSVA
c) Asegurar el cumplimiento
o compensación por los
servicios comprometidos
de soporte o garantía
3.9. Registros de auditoría
Explicación preliminar: El sistema debe permitir registrar los eventos críticos
El PSVA debe declarar los

tipos de eventos y datos que
serán registrados.
Los eventos que deben ser
Eventos
33 registrados deben ser
registrados
relacionados a las
transacciones de
autenticación y generación
de firma digital.
Los eventos deben ser
registrados en un modo que
Protección de
34 periodo de tiempo que son
los registros
de largo plazo).
Deben ser registradas las
Eventos solicitudes o transacciones
35
significativos de firma digital, autenticación
o cifrado
3.10. Auditoría
- 81 -
Rev: 2016
Auditoría

37 Auditoría del El archivo debe ser revisado


anual.

INDECOPI.
PSVA, y no haber
de la auditoría.
3.11. Otro aspectos Legales de la operación del PSC
Aspectos legales de la operación del PSC
- 82 -
Rev: 2016

indicar donde el cliente puede ser
informado respecto, de las
políticas de reembolso del
servicio.

civil
operación del SVA.

planes de negocio y
autorizadas la
- 83 -
Rev: 2016

reserva de toda
sus operaciones.
suspensión.

revocación.

67 Derechos de De ser aplicable, el SVA debe


legal.
- 84 -
Rev: 2016



aplicables

aplicables.
4. Servicios de Intermediación Digital
Los Servicios de Intermediación Digital son servicios web que permiten la

confidencialidad e integridad de las transacciones a través del uso de componentes
de firma digital, autenticación y canales seguros.
Una característica importante de esta SVA, es que se trata de servicios, por lo que
se asume que se realiza un almacenamiento de datos, y puede involucrar la gestión
de claves privadas de servidor.
Los SVA tipo Servicios de intermediación digital deben ser evaluados respecto del
cumplimiento de los requerimientos descritos en la secciones 8 y 11 del presente
documento.
- 85 -
Rev: 2016
Responsabilidades
El PSVA deberá definir sus

Responsabilidades
responsabilidades en
1 y obligaciones del
relación con los usuarios de
PSVA
los sistemas del PSVA
Responsabilidades responsabilidades de los
y obligaciones del suscriptores, usuarios de los
2
suscriptor sistemas de intermediación
Digital

terceros que confían,
incluyendo:
 Verificar la validez de
los certificados
digitales de los
documentos o
información
procesada por los
Responsabilidades sistemas de
3 de los Terceros intermediación
que confían electrónica
 Tomar en cuenta
en el uso de los
sistemas
considerados en la
DPSVA
 Tomar en cuenta
cualquier otra
en los acuerdos u
otra parte.
- 86 -
Rev: 2016

limitar cualquier
Limitaciones de responsabilidad excepto
4
Responsabilidad aquellas que sean
estipuladas en la regulación
vigente.
El PSVA debe establecer

Resolución de
5 sus clientes, indicando los
disputas
datos de contacto o
dirigirse los reclamos.
4.2. Gestión del ciclo de vida de las claves
Gestión del ciclo de vida de las claves
Explicación preliminar: El PSVA debe proteger la clave privada que emplea para
realizar firmas de sistemas automatizados a fin de evitar su compromiso.
a) La Generación de las Ejemplos de evidencias que

claves de firma del deben ser requeridas:
sistema automatizado
deberá ser realizada  Acta y procedimiento de
en un ambiente generación u otro
asegurado documento donde se
físicamente, por especifican las
personal que ocupa condiciones técnicas y
roles de confianza, procedimientos
6 Generación de bajo al menos, control vinculados a la
las claves de acceso de dos generación de la clave,
personas. El personal así como la
autorizado para identificación del
realizar estas personal de confianza
funciones debe estar encargado y su
limitado para realizar nombramiento
esta tarea conforme a  Documento donde se
los procedimientos del identifican los módulos
SVA. criptográficos
b) La generación de la empleados y la
- 87 -
Rev: 2016
clave de firma del evidencia de las

sistema automatizado certificaciones de
deberá ser realizada seguridad
en un módulo correspondientes
criptográfico que:  Documentación o
 Cumpla con los evidencia donde se
requerimientos especifiquen el algoritmo
FIPS 140-2 (para de generación de las
claves generadas claves, el tamaño de la
antes del año clave y los algoritmos de
2003, estos firma, los cuales deben
módulos podrán ser reconocidos por la
cumplir la IOFE
certificación FIPS  Documento donde se
140-1) o especifiquen los roles de
 Cumpla los confianza participantes,
requerimientos las responsabilidades y
identificados en el su debida asignación
CEN Workshop  Inspección visual del
Agreement 14167- ambiente físico seguro
2 (CWA 14167-2) o donde se genera la
 En un sistema clave
confiable
asegurado con
Common Criteria
EAL4 o superior,
conforme al ISO
15408 o
equivalente,
determinado en
función de cumplir
los requerimientos
del presente
documento y en
base a un análisis
de riesgo
considerando las
medidas de
seguridad física y
no técnicas.
c) El algoritmo de
generación, la longitud
de la clave firma y el
algoritmo de firma
usado para firmar los
sellos de tiempo
deberán ser
- 88 -
Rev: 2016
reconocidos por la
IOFE.
El PSVA debe asegurar que Ejemplos de evidencias que

la clave privada de firma deben ser requeridas:
permanece confidencial y
que se mantiene su  Acta y procedimiento de
integridad protección para el
almacenamiento de las
d) La clave de firma del copias de respaldo fuera
sistema automatizado del módulo criptográfico
deberá ser protegida  Inspección visual del
en un módulo módulo criptográfico que
criptográfico que: está interconectado en
 Cumpla con los el sistema de producción
requerimientos de los sellos de tiempo.
FIPS 140-2 (para
claves generadas
antes del año
2003, estos
módulos podrán
Protección de la
7 cumplir la
clave privada
certificación FIPS
140) o
 Cumpla los
requerimientos
identificados en el
CEN Workshop
Agreement 14167-
2 (CWA 14167-2) o
 En un sistema
confiable
asegurado con
Common Criteria
EAL4 o superior,
conforme al ISO
15408 o
equivalente,
determinado en
función de cumplir
- 89 -
Rev: 2016
los requerimientos
del presente
documento y en
base a un análisis
de riesgo
considerando las
medidas de
seguridad física y
no técnicas.
e) Si se realiza un
respaldo de la clave
de firma, esta deberá
ser copiada,
almacenada y
recuperada sólo por
personal que ocupa
roles de confianza,
usando al menos,
dos personas. El
personal autorizado
para realizar estas
funciones debe estar
limitado para realizar
esta tarea conforme a
los procedimientos del
SVA.
f) Cualquier copia de la
clave deberá ser
protegida por la clave
secreta del módulo
criptográfico antes de
ser almacenada fuera
del dispositivo
Ejemplos de evidencias:
La clave pública de firma  Procedimiento de
debe ser disponible para los distribución de la clave
terceros que confían en un pública
certificado de clave pública.  Certificado digital que
Distribución de contiene la clave pública
8
la clave publica El certificado puede ser  Certificación que
emitido por la misma entidad ampara la seguridad del
que opera el SVA o por otra certificado digital
EC reconocida por la IOFE.
El certificado debe ser
- 90 -
Rev: 2016
emitido por una EC bajo una

política que provea un nivel
de seguridad equivalente o
superior a la DPSVA.
Este certificado deberá ser

reconocido por la IOFE
El tiempo de vigencia del Ejemplos de evidencias:
certificado no debe ser • Documentación donde se
mayor que el periodo de especifiquen las características
Re-emisión de
9 vigencia de los algoritmos y técnicas referidas a la re-
la clave
tamaños de claves, conforme emisión de la clave
al reconocimiento de la
IOFE.
El PSVA debe asegurar que Ejemplos de evidencias:
la clave privada no son
usadas luego de expirado su  Procedimiento de
ciclo de vida: gestión de la clave luego
d) Se deben establecer de su expiración o
procedimientos revocación:
técnicos u  Emisión de una nueva
operacionales para clave
asegurar que son  Destrucción de la clave
generadas y utilizadas expirada o revocada,
nuevas claves incluyendo cualquier
e) La clave privada de copia
Término del
10 ciclo de vida de
firma, o cualquier  Impedimento de emisión
parte de la clave debe de sello de tiempo
la clave privada
ser destruida de tal
modo que no pueda
ser recuperada
f) El sistema de
generación de sellos
de tiempos debe
rechazar cualquier
intento de emitir sellos
de tiempo si la clave
privada de firma ha
expirado o se
encuentra revocada.
4.3. Ciclo de vida del módulo criptográfico
Ciclo de vida del módulo criptográfico
- 91 -
Rev: 2016
Explicación preliminar: El PSVA debe proteger el módulo criptográfico donde se

almacena su clave privada, a fin de evitar su compromiso.
a) El hardware del Ejemplos de evidencias

módulo criptográfico  Procedimiento de
no debe ser gestión del módulo
manipulado durante criptográfico
su transporte Pruebas de
b) El hardware del aseguramiento de
módulo criptográfico correcto funcionamiento
no debe ser del equipo
manipulado durante Registros de borrado de
su almacenamiento claves privadas antes de
c) La instalación, que el equipo sea
activación y desechado
duplicación de la clave
de firma en el
hardware del módulo
criptográfico deberá
Gestión del ciclo
ser realizado solo por
de vida del
11 personal que ocupa
módulo
roles de confianza,
criptográfico
usando al menos un
dos personas en un
ambiente físico
seguro.
d) El hardware de firma
de sellos de tiempo
funciona
correctamente
e) Las claves de firma
que son almacenadas
en un módulo
criptográfico son
borradas antes de que
el dispositivo sea
retirado
4.4. Autenticación
- 92 -
Rev: 2016
Autenticación
Explicación preliminar: En caso que los sistemas contemplen funciones de

validación de identidad de sus usuarios mediante un certificado digital, deberán
verificar la validez del mismo antes de autorizar su acceso.

que el certificado
Validación de la
12 confiabilidad de
la raíz
acceso.
El sistema deberá verificar La autenticidad de la CRL se
que tanto el certificado del verifica mediante la verificación
usuario final así como los de la firma, buscando que haya
Validación del encuentran revocados.
13 estado de Esta verificación puede ser
revocación mediante los mecanismos
CRL u OCSP.

que tanto el certificado del
usuario final así como los
Validación del certificados que componen la
14 estado de cadena de certificación se
vigencia encuentran vigentes, es
no ha expirado.

que el certificado del usuario
Validación del final tiene como propósito
15
propósito autenticación, conforme a la
RFC 5280.
- 93 -
Rev: 2016
4.5. Cifrado
Cifrado
Explicación preliminar: En caso que los sistemas realicen funciones de cifrado con
certificados digitales, se deberá proteger la clave privada empleada en los procesos
de cifrado
16
acceso.

CRL u OCSP.

- 94 -
Rev: 2016

no ha expirado.

cifrado o cifrado de clave,
conforme a la RFC 5280.
4.6. Canales SSL
Cifrado
Explicación preliminar: En caso que los sistemas implementen canales seguros SSL
21
acceso.
- 95 -
Rev: 2016


CRL u OCSP.

no ha expirado.

cifrado de clave, conforme a
la RFC 5280.
4.7. Petición de sellos de tiempo
Petición de sellos de tiempo
Explicación preliminar: En caso que los sistemas realicen peticiones de sellos de

tiempo, deben cumplir requisitos que garanticen su confiabilidad
- 96 -
Rev: 2016
Formato de El formato de petición debe

26
petición ser conforme a la RFC 3161.

confiabilidad de que el certificado con el que
la raíz se firma el sello de tiempo
por la IOFE.

revocación se firman los sellos de
revocado.

vigencia se firman los sellos de
expirado.
30 Validación de la El sistema deberá verificar la

firma firma del sello de tiempo para
corroborar que los datos son
íntegros
- 97 -
Rev: 2016

Organización
Debe existir un responsable
de la seguridad
31 de organizar y dirigir la
de la
seguridad de la información
información
críticas del SVA
Política de
32 seguridad de la
El PSVA deberá asegurar la
información
publicación de esta Política
y comunicación a todos los
empleados que participan
SVA.
funciones son
tercerizadas a otra
organización o entidad.
El PSVA es responsable
de los servicios que
brinda, incluyendo los
que son realizados por
terceros proveedores
Seguridad en el  Las responsabilidades

33 trato con de terceros deben ser
terceros definidas y deben
asegurar que los
terceros cumplen todos
los controles requeridos
 El PSVA deberá
mantener la
responsabilidad de
relevantes de
- 98 -
Rev: 2016
partes interesadas
j) El PSVA deberá
emplear personal
que posea
conocimiento
especializado,
experiencia y
calificaciones
necesarias para
ofrecer los servicios,
de acuerdo a las
funciones que debe
cumplir cada rol
k) Los roles y
responsabilidades
referidas al
cumplimiento de la
Política de Seguridad,
deben ser
documentados en las
descripciones de las
funciones de cada rol.
Seguridad del Los roles de confianza,
34
personal de los cuales dependen
deberán ser
identificados.
l) Las funciones del

personal del SVA
deberán definidas
considerando los
criterios de separación
de derechos y mínimo
privilegio
m) El personal deberá
procedimientos en
función de los
procedimientos y la
n) El personal gerencial
- 99 -
Rev: 2016
de las tecnologías
relacionadas a los
certificados digitales,
sello de tiempo,
mecanismos de
sincronización de relojes
con la UTC,
procedimientos y
seguridad para la
gestión de personal,
experiencia en
seguridad de la
de riesgos.
o) Todo el personal en
roles de confianza debe
ser libre de conflicto de
interés que pueda
perjudicar la
imparcialidad de las
operaciones del SVA
p) Los roles de confianza

deben incluir las
siguientes
responsabilidades:
 Oficiales de
seguridad:
Responsables de
administrar la
implementación de
las prácticas de
seguridad
sistemas:
Autorizados a
instalar, configurar y
mantener la
integridad de los
sistemas del SVA
 Operadores de
- 100 -
Rev: 2016
sistemas:
Responsable de
operar la integridad
de los sistemas en el
día a día.
Autorizados para
ejecutar sistemas de
respaldo y
recuperación.
 Auditores de
sistemas:
Autorizados a ver
archivos y logs de
los sistemas del SVA
q) El personal debe ser
responsable gerencial
de la seguridad
r) El PSVA no deberá
asignar en roles de
confianza o
administración a
cualquier persona que
es conocida por tener
una participación en un
crimen serio u otra
ofensa la cual afecta su
idoneidad para su
puesto. El personal no
deberá tener acceso a
funciones de confianza
hasta completar todas
las verificaciones
necesarias.
e) Los medios de Ejemplos de evidencias:
administración de los
sistemas del SVA Inspección visual de la
deberán ser operados implementación de:
Seguridad en un ambiente • Acceso físico limitado
35 física y del protegido con controles apropiadamente a individuos
entorno físicos de acceso para autorizados
proteger de acceso no • Operación de medios de
autorizado a los procesamiento desde ambiente
sistemas y datos con protección física
f) Se deben definir • Controles contra pérdida, daños
- 101 -
Rev: 2016
perímetros de seguridad o compromiso de los activos de

que protejan las información, así como
operaciones y sistemas interrupción de las actividades
críticos del SVA. Las del negocio
partes compartidas con • Controles contra compromiso o
otras organizaciones robo de información y sus
deberán ser afuera de medios de procesamiento
este perímetro. • Controles de seguridad
g) Controles de seguridad ambientales (controles contra
física y ambiental deben incendio, regulación de
ser implementados para humedad, temperatura)
proteger los medios que
alojan los recursos
informáticos, los
recursos informáticos, y
los medios usados para
soportar su operación.
Estos deben incluir:
protección de acceso
físico, protección contra
desastres naturales,
detección y protección
contra incendios,
contingencia en cortes
de energías y
comunicaciones,
colapso de la estructura,
aniego, protección
contra robo, ruptura,
recuperación en caso de
desastres, conforme a
los resultados del
análisis de riesgos.
Se deben implementar
controles que impidan el
retiro no autorizado de
equipos, información,
medios de almacenamiento,
software relativo a los
servicios críticos del SVA.
g) La integridad de los
componentes
informáticos y la
Gestión de
36 información deben ser Gestión de operaciones
operaciones
protegidos contra virus,
software malicioso o no
autorizado.
- 102 -
Rev: 2016
h) Se deben implementar y
ejecutar procedimientos
de reporte y respuestas
a incidentes de
seguridad y mal
funcionamiento de las
operaciones del SVA
i) Los medios de
almacenamiento usados
en los sistemas críticos
del SVA deben ser
protegidos contra
modificación o acceso
no autorizados
j) Se deben establecer
procedimientos para
todos los roles de
confianza y
administrativos que
impactan en la provisión
de servicios del SVA.
k) Se deben implementar
procedimientos para
asegurar la adecuada
planificación de activos
y nuevos sistemas a fin
de evitar
incompatibilidades con
otros sistemas y
vulnerabilidades de
seguridad
l) La limpieza de los
ambientes debe ser
adecuada para no dañar
los equipos, y el
personal debe ser
supervisado para evitar
robos de medios de
almacenamiento e
información
Todos los medios deben

ser manejados de manera
Manejo de
segura conforme a la
37 medios y
clasificación de activos. Los
seguridad
que contienen datos
- 103 -
Rev: 2016
sensibles deben ser

eliminados de manera
segura cuando ya no sean
requeridos.
Las demandas de
capacidad de los sistemas
deben ser monitoreadas y
deben realizarse
Planificación proyecciones de la
38
del sistema demanda futura a fin de
asegurar la disponibilidad
de los sistemas de
procesamiento y
almacenamiento.
El PSVA debe actuar de Ejemplos de evidencias:
manera oportuna y Reportes de incidentes, informes
coordinada para responder de seguimiento y solución
de manera rápida a los Estadísticas de incidentes
Reporte y
incidentes y limitar el reportados y atendidos
39 respuesta a
impacto de los vacíos de
incidentes
seguridad. Todos los
incidentes deben ser
reportados tan pronto como
sea posible.
 Debe definirse una
política de acceso en
redes
 Las redes deben ser
protegidas de acceso no
autorizado,
 Se debe separar la zona
de constante acceso
con la red interna de
procesamiento y
almacenamiento de
Seguridad en
40 información crítica. De
redes
acuerdo a los diferentes
niveles de seguridad,
deben separarse las
redes de datos de los
sistemas de
procesamiento central
del SVA
 El acceso a dominios
de redes internas del
SVA deben ser
protegidos de acceso o
- 104 -
Rev: 2016
autorizado incluyendo a
suscriptores y terceros
que confían. Los
firewalls deben ser
configurados para
prevenir todos los
protocolos y accesos no
requeridos para la
operación del SVA
Deben implementarse
sistemas de detección de
intrusos para prevenir
accesos de código
malicioso o no autorizado
 La continuidad y
seguridad de las
operaciones debe ser
monitoreada.
 Los registros de
auditoría y los reportes
de eventos sobre
errores y advertencias
en el funcionamiento de
41 Monitoreo los sistemas del SVA
deben ser monitoreados
Medios de monitoreo y
alarmas deben ser
implementados para
detectar, registrar y actuar
oportunamente sobre
accesos no autorizados o
intentos irregulares de
acceso a recursos.
Se debe evaluar las
vulnerabilidades y riesgos
de seguridad relacionados
Intercambio de al intercambio de datos y
42 datos y software, y estos deben ser
software manejados de manera
apropiada de acuerdo a su
impacto sobre las
operaciones del SVA
Gestión de En caso que el sistema se
43 accesos a los encuentre integrado a un
sistemas sistema de gestión de
- 105 -
Rev: 2016
usuarios, este deberá

cumplir lo siguiente:
 Permitir la
asignación de
cuentas de usuario
para controlar los
accesos a los
sistemas, permitir la
modificación o
remoción oportuna
de accesos.
 Diferenciar las
cuentas de
administración de las
cuentas de usuario.
 El sistema debe
permitir controlar al
personal respecto de
las acciones críticas
que realiza en los
sistemas del SVA,
generando registros
de auditoria.
La información crítica y Ejemplo de evidencia:
sensible, que es archivada Procedimiento de gestión del
debe ser protegida contra archivo.
daño ambiental o
44 Archivo
intencional, así como
acceso de lectura y
modificación no
autorizados.
cubiertos en las etapas de seguridad en la etapa de diseño
Desarrollo y
diseño y especificación de y especificación de
mantenimiento
45 los proyectos de desarrollo requerimientos de todo proyecto
de sistemas
de sistemas del SVA, para de desarrollo realizado por o en
confiables
asegurar que dichos nombre del PSVA
requerimientos son
considerados en los
sistemas críticos
Se debe implementar Ejemplo de evidencias:
procedimientos de control Procedimientos de control de
Control de
46 de cambios para poner en cambios
cambios
producción modificaciones
o parches de emergencia
- 106 -
Rev: 2016
de aplicaciones críticas de
software del SVA, a fin de
evitar posteriores fallas o
incompatibilidad con otros
sistemas.
4.9. Término de la organización que administra el SVA
Término del PSVA
Explicación preliminar: El PSVA debe adoptar las medidas necesarias para que su
a) El PSVA debe poner a Acuerdos para cubrir los costos

disponibilidad de los mínimos, en caso se declare la
suscriptores y terceros quiebra u otras razones que le
que confían la impidan cubrir los costos
a su terminación
b) El PSVA deberá terminar
Preparación con las autorizaciones de
47 antes del todos los subcontratistas
término que actúan en nombre del
PSVA,
c) Asegurar el cumplimiento
o compensación por los
servicios comprometidos
de soporte o garantía
4.10. Registros de auditoría
Explicación preliminar: El sistema debe permitir registrar los eventos críticos
Eventos El PSVA debe declarar los

48
registrados tipos de eventos y datos que
- 107 -
Rev: 2016
serán registrados. Los

eventos que deben ser
registrados deben ser
relacionados a las
transacciones de
autenticación y generación
de firma digital.
Los eventos deben ser
registrados en un modo que
Protección de
49 periodo de tiempo que son
los registros
de largo plazo).
Deben ser registradas las
Eventos solicitudes o transacciones
50
significativos de firma digital, autenticación
o cifrado
4.11. Auditoria
Auditoría

52 Auditoría del El archivo debe ser revisado


anual.
- 108 -
Rev: 2016

INDECOPI.
PSVA, y no haber
de la auditoría.
4.12. Certificados de autenticación
Certificados de autenticación
Explicación preliminar: Conforme al D.S. 052-2008-PCM, el PSVA puede emitir

certificados de autenticación para ser utilizados por sus usuarios en la operación de los
servicios de valor añadido.
55 Certificados Para emitir los certificados, la

PSVA debe utilizar los servicios
de una EC acreditada o
reconocida por la IOFE
56 Solicitud de Las solicitudes de emisión,

emisión, revocación, re-emisión,
revocación, re- suspensión o modificación deben
emisión, ser realizadas a través de una
suspensión o Entidad de Registro o de un
modificación Canal Seguro de Registro y
Distribución de Certificados
Digitales acreditados por la AAC.
57 Gestión de los Al retirarse una persona del

certificados campo de usuarios de los
digitales de servicios de valor añadido, su
persona jurídica certificado digital debe ser
revocado o suspendido en
función del periodo de tiempo
definido para su retiro.
- 109 -
Rev: 2016
Ninguna persona jurídica podrá

guardar claves privadas de sus
suscriptores, a menos que pueda
garantizar que en ningún
momento la clave privada podrá
ser usada sin la autorización
exclusiva del suscriptor.
La persona jurídica no podrá

guardar copias de las claves
privadas de los suscriptores en
formatos .PFX o PKCS#7
4.13. Aspectos legales de la Operación SVA
Aspectos legales de la operación del SVA


civil
operación del SVA.

- 110 -
Rev: 2016
planes de negocio y
autorizadas la
reserva de toda
sus operaciones.
suspensión.

- 111 -
Rev: 2016

revocación.

62 Derechos de De ser aplicable, el PSVA debe


legal.
64 Procedimiento El PSVA debe establecer

de resolución de contractualmente y en la DPSVA
disputas los procedimientos para
solucionar disputas con sus
clientes



aplicables

aplicables.
- 112 -
Rev: 2016
ANEXO II: REGLAMENTO DE LEY 27269 D.S. 052-2008-PCM

REGLAMENTO DE LA LEY DE FIRMAS Y CERTIFICADOS
DIGITALES
- 113 -
Rev: 2016
ANEXO III: POLÍTICA DE SEGURIDAD

DOCUMENTO ESTÁNDAR DE UNA POLÍTICA DE SEGURIDAD
(Se mantiene la versión aprobada el 23-02-2007)
- 114 -
Rev: 2016
ANEXO IV
CONTROLES DE SEGURIDAD
(Información referencial no aplicable a la evaluación)
- 115 -
Rev: 2016
ANEXO V: PRIVACIDAD
NORMA MARCO DE PRIVACIDAD
- 116 -
Rev: 2016
Los controles de evaluación para la protección de la Privacidad de Datos personales

están basados en la Norma Marco de Privacidad de APEC: documento APEC
Privacy Framework6.
El PSC deberá implementar las medidas necesarias para proteger la privacidad de

los datos personales de los usuarios de sus servicios, incluyendo:
1) Designar a un Oficial de Privacidad, quien será el primer contacto frente a

incidentes de privacidad;
2) Publicar en su página WEB la Política de Privacidad y el Plan de Privacidad y
los datos de contacto del Responsable de Privacidad;
3) Implementar el Plan de privacidad de acuerdo a lo estipulado en el mismo
documento, sujeto a las existentes obligaciones contractuales, licencias u
otros arreglos de outsourcing;
4) Revisar y actualizar la Política de Privacidad y el Plan de Privacidad al menos
una vez por año;
5) Elaborar y publicar en su página WEB una declaración de privacidad y
seguridad;
Los documentos Política y Plan de Privacidad deben estar conformes con los
principios de privacidad descritos a continuación:
No Tema Principio
1 Prevenir el daño Evaluar el riesgo al que la información personal se

encuentra expuesta, e implementar medidas
preventivas para reducir el impacto por el daño
ocasionado, de manera proporcional a la
probabilidad y severidad de los daños a los que se
encuentra expuesta la información personal
durante su recolección, uso o transferencia.
6
http://www.apec.org/Groups/Committee-on-Trade-and-Investment/~/media/Files/Groups/ECSG/05_ecsg_privacyframewk.ashx
- 117 -
Rev: 2016
2 Notificación de Los controladores de información personal

prácticas deberían proveer declaraciones claras y accesibles
sobre sus prácticas y políticas respecto de la
información personal que debe incluir:
- El hecho que la información personal es
colectada
- Los propósitos por los cuales la información
personal es colectada
- Los tipos de personas u organizaciones a los
cuales la información personal puede ser revelada
- La identidad y ubicación del controlador de la
información personal, incluyendo información para
contactarlo acerca de sus prácticas y manejos de
la información personal
- Las opciones y medios que los controladores
ofrecen a los individuos para limitar el uso y
revelación, y el acceso correcto a su información
personal.
Todos los pasos que deben ser tomados para

asegurar que la notificación ha sido provista antes
o en el momento de la recolección de información
personal.
Puede no ser apropiado para los controladores de

información personal notificar respecto de la
recolección de información disponible
públicamente.
3 Limitaciones de la La recolección de información personal debería

recolección estar limitada a información que es relevante para
propósitos de recolección, mediante medios
legales y confiables, si es apropiado, con
notificaciones o consentimiento del individuo
concerniente.
4 Uso de La información personal colectada debería ser

información usada sólo dentro de los propósitos de recolección
personal y otros compatibles relacionados, excepto:
- Aquellos que son recolectados con el
consentimiento de los individuos propietarios de la
información personal
- Cuando sea necesario para proveer un servicio o
producto solicitado por el individuo, o
- Por autoridad de la Ley u otro instrumento legal,
proclamaciones y pronunciamientos de efecto
- 118 -
Rev: 2016
legal.
5 Selección de Si fuere apropiado, los individuos deberían ser

opciones provistos con mecanismos claros, comprensibles,
prominentes, accesibles y asequibles para ejecutar
selecciones en función de la recolección, uso y
revelación de su información personal. Puede no
ser apropiado para los controladores de
información personal proveer estos mecanismos
cuando se recolecte información públicamente
disponible
6 Integridad de La información personal debería ser exacta,

información completa y actualizada para la extensión necesaria
personal para el propósito de uso.
7 Salvaguardas de Los controladores deberían proteger la

seguridad información personal con controles contra riesgos,
tales como pérdida o accesos no autorizados, o
destrucción no autorizada, uso modificación o
revelación u otros mal uso no autorizado. Tales
salvaguardas deberían ser proporcionales a la
probabilidad y severidad del daño, la sensibilidad
de la información y el contexto en el cual es
desarrollado, y debería ser sujeto a revisiones y
evaluaciones periódicas.
- 119 -
Rev: 2016
8 Acceso y Los individuos deberían ser habilitados para:

corrección a) Obtener la confirmación si el controlador
mantiene información personal del individuo
b) Ha comunicado al individuo sobre su
información personal, luego de haber reunido
pruebas suficientes de su identidad:
i) dentro de un tiempo razonable
ii) bajo un cargo, si hubiera alguno, no excesivo
iii) en una manera razonable
iv) en una forma que es generalmente
entendible; y,
c) impugnar la exactitud de la información
relacionada al individuo, y si fuera posible y
apropiado, tener la información rectificada,
completa, modificada o borrada.
Tales accesos y oportunidades de corrección

debería ser provista excepto si:
i) la carga o gastos de hacerlo no sería razonable
o sería desproporcional al riesgo para la privacidad
del individuo en el caso en cuestión
ii) la información no debería ser revelada debido a
razones legales o seguridad o para proteger
información comercial confidencial, o
iii) la privacidad de la información de otras
personas, diferentes al individuo, podrían ser
violadas.
Si una solicitud bajo (a) o (b) o una impugnación

bajo (c) es denegada, el individuo debería ser
provisto con razones sobre el porqué y tener la
capacidad de impugnar tal denegación
9 Rendición de El controlador debería ser sometido a una

cuentas rendición de cuentas por el cumplimiento con las
medidas que debe implementar para dar efecto a
los principios estipulados en el presente
documento. Cuando la información personal ha de
ser transferida a otra persona u organización, sea
de ámbito nacional o internacional, el controlador
debería obtener el consentimiento del individuo o
ejecutar la debida diligencia y tomar pasos
razonables para asegurar que la persona u
organización receptora protegerá la información de
manera consistente con estos principios.
- 120 -
Rev: 2016
ANEXO VI
REGLAMENTO GENERAL DE ACREDITACIÓN
- 121 -
Rev: 2016
ANEXO VII: REGLAMENTO ESPECIFICO

REGLAMENTO ESPECÍFICO DE ACREDITACIÓN DE PRESTADOR
DE SERVICIOS DE VALOR AÑADIDO (SVA)
- 122 -
Rev: 2016
ANEXO VIII: MEMORIA DESCRIPTIVA

MEMORIA DESCRIPTIVA Y ORGANIGRAMA ESTRUCTURAL Y
FUNCIONAL
- 123 -
Rev: 2016
ANEXO IX
FICHA DE SOLICITUD DE ACREDITACIÓN
- 124 -
Rev: 2016
ANEXO X
ESTANDARES RECONOCIDOS PAR LA ACREDITACIÓN
- 125 -
Rev: 2016
Los estándares criptográficos recomendados se listan en el estándar ETSI TS

102 176 -1, a excepción de los algoritmos de generación de claves RSA 1024,
HASH MD5 y SHA-17.
7
Recomendación publicada por el National Institute of Standards and Technology
(http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-131Ar1.pdf)
- 126 -
Rev: 2016
Estándar Propósito
EC/PKI
RFC 3280, RFC 3279 Certificados de firma
RFC 5280, RFC 3279, Lista de Certificados Revocados

RFC 4325, RFC 4630,
RFC 4055, RFC 4491,
RFC 5480, RFC 5758
RFC 2560 Respuesta OCSP
RFC 3280, RFC 3279 Certificados de Entidad de Certificación
RFC 3161, TS 101 861 Peticiones de Sellos de tiempo
RFC 3161, TS 101 861, Certificados de Unidades de Sellado de tiempo

RFC 5816
RFC 3280, RFC 3279 Certificados auto-firmados para certificados de TSU

(unidades de sellado de tiempo)
RFC 3280, RFC 3279 Certificado de atributos
RFC 3281 Certificado de autoridad de atributos
- 127 -
Rev: 2016
sha 224 Algoritmos de resumen, para la identificación de

documentos firmados.
sha 384
sha 512
sha 256
RSA 2048, RSA 4096, Generación de claves asimétricas.

DSA, ECDSA
ETSI TS 102 778 Formato de firma electrónica avanzada en PDF - PAdES
ETSI TS 101 733 Formato de firma electrónica avanzada - CAdES
ETSI TS 101 903 Formato de firma electrónica avanzada en XML - XAdES
DSA, FIPS 186-4 Algoritmo de firma digital
RSA, FIPS 186-3 Algoritmo de firma digital RSA
ECDSA, FIPS 186-3 Algoritmo de firma digital de Curvas Elípticas
ETSI TS 102 918 Associated Signature Containers
EN 419211-2-2014 Perfiles de protección para dispositivos de creación de

firma segura – Parte 2: Dispositivos con generación de
clave

firma segura – Parte 3: Dispositivos con importación de
clave
- 128 -
Rev: 2016

firma segura – Parte 4: Extensión para dispositivos con
generación de claves y canal seguro para la aplicación
de creación de firma
ETSI TS 102 176-1 Algoritmos y parámetros para firmas electrónicas seguras

Parte 1: Funciones de Hash y algoritmos asimétricos
ETSI TS 102 023 Requerimientos de política para autoridades de sellado

de tiempo
ETSI TS 101 861 Perfil del sello de tiempo
ETSI TR 102 038 Formato XML para políticas de firma
ETSI TR 102 041 Reporte de políticas de firma
ETSI TR 102 045 Política de firma para modelo de negocio extendido
ETSI TR 102 272 Formato ASN.1 para políticas de firma
IETF RFC 2560, X.509 Protocolo de Estado de Certificado en Línea - OCSP
IETF RFC 3125 Políticas de firma electrónica
RFC 5652, RFC 4853, Sintaxis del mensaje criptográfico (CMS)

RFC 3852
ITU-T Recommendation Abstract Syntax Notation ONE (ASN.1).

X.680
- 129 -
Rev: 2016
ETSI TS 101862, IETF Perfil de certificados cualificados

RFC 3739, RFC 3279,
RFC 5756
ETSI TS 102280 x.509 Perfil de certificados emitidos para personas naturales

v.3
IETF RFC 4055 Algoritmos e identificadores adicionales para Criptografía

RSA para el uso en la Internet X.509 Certificado de
Infraestructura de la Clave pública y Perfil de Lista de
Certificados Revocados (CRL)
SP 800-102 Recomendación para las líneas de tiempo de la firma

digital
RFC 3647 Sistema básico de Política de Certificados y Prácticas de

Certificación X.509 para PKI
PKCS#1 Estándar criptográfico RSA
PKCS#3 Estándar Diffie-Hellman para el acuerdo de claves
PKCS#6 Estándar de sintaxis de extensiones de certificado
PKCS#7 Estándar de sintaxis de mensaje criptográfico
PKCS#8 Estándar de sintaxis de información de clave privada
PKCS#9 Tipo de atributos seleccionados
PKCS#10 Estándar de petición de certificado
- 130 -
Rev: 2016
PKCS#11 Interface de token criptográfico
PKCS#12 Estándar de sintaxis de intercambio de información

personal
PKCS#13 Estándar de criptografía de curvas elípticas
PKCS#15 Estándar de formato de información de token

criptográfico
TSL
ETSI TS 102 231 Proveedor de información sobre confianza de servicios
ETSI TS 101 456 Políticas para AC que expiden certificados reconocidos
ETSI TR 102 040 Armonización internacional de políticas para las AC que

expiden certificados
Tarjetas Inteligentes
EN 14890-2:2009, Interface para tarjetas inteligentes como dispositivos de

ISO/IEC 15946 series, creación segura de firma digital
ISO/IEC 7816-4:2005,
7816-8:2004, 7816-
9:2004
Ceritificaciones
ISO 20000 Gestión de tecnología
- 131 -
Rev: 2016
Webtrust Certificación de evaluación de Entidades de Certificación
CMMI Estándar que define procesos de calidad en el ciclo de

vida de desarrollo de software
Common Criteria EAL Seguridad de las aplicaciones de software
ISO 27001 Sistemas de gestión de seguridad de la información
ISO 21188 Infraestructura de llave pública para servicios financieros

- Estructura de prácticas y políticas
ISO 27002 Tecnología de la información - Código de prácticas para

la gestión de la seguridad de la información
ISO 9000 Estándar que define procesos de calidad
HSM
FIPS 140-2 Seguridad de módulos criptográficos
Aplicaciones Web
OWASP Top Ten, Seguridad de Aplicaciones Web

OWASP Testing Project
(*) A efectos de los procedimientos de acreditación y seguimiento; debe tomarse en cuenta

que las últimas versiones de los estándares utilizados serán los vigentes.
- 132 -
Rev: 2016
ANEXO XI: USABILIDAD

ESTANDARES RECONOCIDOS PAR LA ACREDITACIÓN
Para permitir el uso de los servicios de valor añadido, para el caso de servicios que
sean brindados a la ciudadanía, se deben implementar medidas que colaboren con
la usabilidad de las herramientas de firma digital.
No Tema Requerimientos
1 Documentación Brindar manuales de usuario, administración, instalación.
2 Preguntas Poner a disponibilidad del usuario listas de preguntas

frecuentes frecuentes, las cuales deben ser actualizadas
periódicamente
3 Recepción de Permitir al usuario contactarse con la Entidad o Empresa

sugerencias y permitir al usuario dar sugerencias que permitan
mejorar la presentación de la información y
desenvolvimiento de los procesos que conforman el
sistema.
4 Soporte Poner a disponibilidad del usuario un punto de contacto

(dirección electrónica o número telefónico) con el equipo
de soporte.
5 Mensajes de Brindar a los usuarios una descripción de los pasos

ayuda principales o de mayor complejidad para realizar los
pasos del proceso.
6 Mensajes de En los casos que se esté ejecutando una función sensible

advertencia en términos de seguridad, las aplicaciones deben
presentar mensajes de advertencia
7 Calidad de los Los mensajes deben ser precisos, inteligibles e

mensajes insistentes, para facilitar su comprensión y reducir la
posibilidad de que el usuario ignore el mensaje.
- 133 -
Rev: 2016
ANEXO XII
PERFILES Y FUNCIONES DE LOS EVALUADORES
(Se mantiene la versión aprobada mediante Resol. N° 030-
2008/CNB-INDECOPI)
- 134 -
Rev: 2016
ANEXO XIII: AUDITORIA

LISTA DE VERIFICACIÓN DE AUDITORIA
- 135 -
Rev: 2016
AUDITORIA DE SELLADO DE TIEMPO
A continuación se presentan los requerimientos que el evaluador revisara como parte del
proceso de acreditación, respecto de los Prestadores de Servicios de Valor Añadido del tipo
Autoridad de Sellado de Tiempo. En cada caso el auditado deberá indicar si el
requerimiento es aplicable al servicio o sistema a evaluar sustentando debidamente cada
caso de no aplicabilidad.
El evaluador deberá adjuntar una referencia a la evidencia obtenida respecto del
cumplimiento de cada requerimiento. En el caso de procedimientos y documentos
confidenciales, los nombres y códigos de estos documentos deben ser registrados. En caso
de herramientas de software para uso de clientes del PSVA, se deben adjuntar como
evidencias las imágenes de las pantallas capturadas evidenciando el cumplimiento de los
requerimientos solicitados.
En el caso que se utilizado un certificado digital para afectar una prueba, el evaluador
deberá registrar el certificado, adjuntando a la evidencia la imagen de los detalles del perfil
de certificado utilizado en la prueba.
Datos que deben ser registrador en el informe de auditoría respecto del alcance de la
acreditación:
 Nombre del Prestador de Servicios de Valor Añadido:

 Tipo de PSC evaluado:
 Dirección de los locales de atención auditados:
 Nombre y ubicación de los centros de datos o sistemas auditados:
 Cobertura de seguro:
 Nivel de seguridad:
No Requerimientos Aplica? Evidencia Observaciones

1 Nombre e identificación del
documento
- 136 -
Rev: 2016
2 Control de versiones
Organización que
administra los documentos
SVA
Persona de contacto
Frecuencia de publicación
Publicación y difusión del
documento
Participantes
8 Aplicabilidad
9 Conformidad
10 Política de Sellado de
Tiempo
11 Responsabilidades y
obligaciones de la TSA
obligaciones del suscriptor
13 Responsabilidades de los
Terceros que confían
14 Limitaciones de
Responsabilidad
15 Resolución de disputas
16 Generación de las claves
de la TSA
17 Protección de la clave
privada de la TSU
18 Distribución de la clave
pública TSU
19 Re-emisión de la clave del
TSU
20 Término del ciclo de vida de
la clave privada del TSU
- 137 -
Rev: 2016
21 Gestión del ciclo de vida del

módulo criptográfico usado
para firmar los sellos de
tiempo
22 Sellado de tiempo
23 Sincronización con la UTC
24 Organización de la
seguridad
25 Política de seguridad de la
información
26 Gestión de riesgos
27 Documentación
28 Seguridad en el trato con
terceros
29 Clasificación y gestión de
activos
30 Seguridad del personal
31 Seguridad física y del
entorno
32 Gestión de operaciones
33 Manejo de medios y
seguridad
34 Planificacion del sistemas
35 Reporte y respuesta a
incidentes
36 Seguridad en redes
37 Monitoreo
38 Intercambio de datos y
software
39 Gestión de accesos a las
sistemas
40 Archivo
- 138 -
Rev: 2016
41 Desarrollo y mantenimiento
de sistemas confiables
42 Control de cambios
43 Recuperación de desastres
44 Notificación
45 Interrupción de operaciones
46 Mecanismo de verificación
para terceros que confían
47 Preparación antes del
termino
48 Capacidad financiera
49 Revocación del certificado
de la TSA
50 Eventos registrados
51 Protección de los registros
52 Archivo de registros
53 Eventos significativos
54 Evidencias legales
55 Archivo luego de expiración
de la TSA
56 Privacidad
57 Registros de Gestión de la
clave de la TSU
58 Registros de Sincronización
del reloj
59 Auditoria de registros
60 Auditoria del archivo
61 Auditoria de los
procedimientos y controles
62 Auditor
63 Políticas de reembolso
- 139 -
Rev: 2016
64 Cobertura de seguro de
responsabilidad
65 Información confidencial y/o
privada
66 Información no privada
67 Derechos de propiedad
intelectual
68 Notificaciones y
comunicaciones entre
participantes
69 Conformidad con la ley
aplicable
70 Extensión de garantías
71 Indemnizaciones
72 Fuerza Mayor
- 140 -
Rev: 2016
SISTEMAS DE INTERMEDIACIÓN DIGITAL
A continuación se presentan los requerimientos que el evaluador como parte del proceso de
acreditación, respecto de los prestadores de servicios de valor Añadido del tipo Sistema de
Intermediación Digital. En cada caso el auditado deberá indicar si el requerimiento es
aplicable al servicio o sistema a evaluar sustentando debidamente cada caso de no
aplicabilidad.

En el caso que sea utilizado un certificado digital para efectuar un prueba, el evaluador
del certificado utilizado en la prueba.
acreditación:

- 141 -
Rev: 2016

documento
3 Organización que administra los
documentos SVA
4 Persona de contacto
5 Frecuencia de publicación
6 Publicación y difusión del
documento
7 Participantes
8 Aplicabilidad
9 Conformidad
Sistemas de Intermediación digital
obligaciones del PSVA
4 Limitaciones de
Responsabilidad
6 Certificaciones de Seguridad
7 Validación de la
confidencialidad de la raíz
8 Validación del estado de
revocación
vigencia
10 Validación de propósito
- 142 -
Rev: 2016
11 Protección de la clave privada

12 Validación de la
revocación
14 Validación del estado del
vigencia
15 Validación del propósito
confidencialidad raíz
revocación
vigencia
Formato de petición
22 Validación de la confiabilidad de
la raíz
23 Validación de estado de
revocación
vigencia
25 Validación de la firma
26 Organización de la seguridad de
la información
información
terceros
30 Gestión de accesos a los
- 143 -
Rev: 2016
sistemas
31 Desarrollo y mantenimiento de
sistemas confiables
32 Preparación antes del termino
38 Auditoria de los procedimientos
y controles
39 Auditor
responsabilidad
privada
intelectual
45 Notificaciones y comunicaciones
entre participantes
46 Conformidad con la ley aplicable
48 Indemnizaciones
49 Fuerza Mayor
- 144 -
Rev: 2016
SERVICIOS DE INTERMEDIACIÓN DIGITAL
A continuación se presentan los requerimientos que el evaluador como parte del proceso de
acreditación, respecto de los prestadores de servicios de valor Añadido del tipo Servicios de
Intermediación Digital. En cada caso el auditado deberá indicar si el requerimiento es
aplicable al servicio o sistema a evaluar sustentando debidamente cada caso de no
aplicabilidad.

En el caso que sea utilizado un certificado digital para efectuar un prueba, el evaluador
del certificado utilizado en la prueba.
acreditación:

- 145 -
Rev: 2016

documento
3 Organización que administra los
documentos SVA
4 Persona de contacto
5 Frecuencia de publicación
6 Publicación y difusión del
documento
7 Participantes
8 Aplicabilidad
9 Conformidad
Servicios de Intermediación digital
obligaciones del PSVA
4 Limitaciones de
Responsabilidad
6 Generación de las claves
8 Distribución de la clave publica
9 Re-emisión de la clave
10 Término del ciclo de vida de la
clave privada
11 Término del ciclo de vida del
módulo criptografico
- 146 -
Rev: 2016
revocación
vigencia
15 Validación de propósito
revocación
19 Validación del estado del
vigencia
confidencialidad raíz
revocación
vigencia
26 Formato de petición
27 Validación de la confiabilidad de
la raíz
28 Validación de estado de
revocación
vigencia
30 Validación de la firma
31 Organización de la seguridad de
- 147 -
Rev: 2016
la información
información
terceros
35 Seguridad física y del entorno
36 Gestión de operaciones
37 Manejo de medios y seguridad
38 Planificación del sistema
39 Reporte y respuesta a
incidentes
40 Seguridad en redes
41 Monitoreo
42 Intercambio de datos y software
43 Gestión de accesos a los
sistemas
44 Archivo
45 Desarrollo y mantenimiento de
sistemas confiables
46 Control de cambios
47 Preparación antes el termino
53 Auditoria de los procedimientos
y controles
54 Auditor
55 Certificados
- 148 -
Rev: 2016
56 Solicitud de emisión,
revocación, re-emisión,
suspensión o modificación
57 Gestión de los certificados
digitales de persona jurídica
responsabilidad
privada
intelectual
63 Notificaciones y comunicaciones
entre participantes
64 Procedimiento de resolución de
disputas
65 Conformidad con la ley aplicable
67 Indemnizaciones
68 Fuerza Mayor
- 149 -

Guía CFE

Cargado por

Copyright:

Formatos disponibles

Guía CFE

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Guía CFE

Cargado por

Copyright:

Formatos disponibles

Guía de Acreditación de

Prestador de Servicios de Valor

4. ARQUITECTURA JERÁRQUICA DE CERTIFICACIÓN DEL ESTADO PERUANO Y

5. LINEAMIENTOS DE LA POLITICA DE SEGURIDAD DE LA INFRAESTRUCTURA OFICIAL

I. MARCO LEGISLATIVO/LEGAL ............................................................................ 20

6. LISTA DE SERVICIOS DE CONFIANZA – TSL ......................................................................... 26

7. MODALIDAD DE SERVICIOS DE VALOR AÑADIDO ............................................................... 26

8. PROCEDIMIENTO DE ACREDITACIÓN .................................................................................... 26

8.1. PASO 1: SOLICITUD INICIAL ................................................................................... 27

8.2. PASO 2 : EVALUACIÓN DE CONTENIDO LEGAL .................................................. 30

8.3. PASO 3: EVALUACIÓN DE LA IMPLEMENTACIÓN DE LA DECLARACIÓN EN

8.4. PASO 4: RESOLUCIÓN ............................................................................................. 33

8.5. PASO 5: PUBLICIDAD DE RESULTADOS: ............................................................. 33

9. PROCEDIMIENTO DE LA EVALUACIÓN DE SEGUIMIENTO .................................................. 34

9.1. PASO 1: NOTIFICACIÓN: .......................................................................................... 34

9.2. PASO 2: EVALUACIÓN: ............................................................................................ 34

9.3. PASO 3: RESULTADO: ............................................................................................. 34

10. PROCEDIMIENTO DE ACTUALIZACIÓN .................................................................................. 35

10.1. PASO 1: SOLICITUD: ................................................................................................ 35

10.2. PASO 2: EVALUACIÓN: ............................................................................................ 35

10.3. PASO 3: RESULTADO: ............................................................................................. 35

ANEXO I: MARCO DE LA POLÍTICA DE PRESTACIÓN DE SERVICIOS DE VALOR AÑADIDO...36

ANEXO II: REGLAMENTO DE LEY 27269........................................................................................ 113

ANEXO III: POLÍTICA DE SEGURIDAD. ........................................................................................... 114

ANEXO IV: CONTROLES DE SEGURIDAD INFORMACIÓN REFERENCIAL NO APLICABLE A LA

ANEXO V: PRIVACIDAD ................................................................................................................... 116

ANEXO VI: REGLAMENTO GENERAL. ........................................................................................... 121

ANEXO VII: REGLAMENTO ESPECÍFICO. ...................................................................................... 122

ANEXO VIII: MEMORIA DESCRIPTIVA. ........................................................................................... 123

ANEXO IX: FICHA DE SOLICITUD. .................................................................................................. 124

ANEXO X: ESTÁNDARES RECONOCIDOS ..................................................................................... 125

ANEXO XI: USABILIDAD ................................................................................................................... 134

ANEXO XII: PERFILES DE LOS ACREDITADOS ............................................................................ 135

El presente documento establece los procedimientos y criterios que deben cumplir

El Instituto Nacional de Defensa de la Competencia y de la Protección de la

En tal sentido, los criterios establecidos se basan en estándares internacionalmente

Público al que va dirigido

El presente documento, emitido bajo la autoridad del INDECOPI en calidad de AAC,

 Acreditación: Es el acto a través del cual la Autoridad Administrativa

responsabilidad recae en el Instituto Nacional de Defensa de la Competencia

o Sea improbable por medios técnicos, se pueda encontrar dos

sirven para informar al usuario que se ha realizado una actualización de los

Para estos efectos, se empleará el domicilio electrónico como equivalente

 Entidad de certificación extranjera: Es la Entidad de Certificación que no se

 Gobierno Electrónico.- Es el uso de las Tecnologías de Información y

infraestructuras), estableciendo relaciones de confianza que permiten

Certificación acreditada en cooperación de una Entidad de Registro o

 Prácticas específicas de Certificación: Son las prácticas que completan todos

recepción, su fecha y hora, el no repudio en origen y de recepción. El servicio

y comprensión de las tecnologías, aplicaciones informáticas, sistemas y

AAC Autoridad Administrativa Competente (CNB del INDECOPI)

TSL Lista de Estado de Servicio de Confianza

4. ARQUITECTURA JERÁRQUICA DE CERTIFICACIÓN DEL

En esta misma línea, en la Quinta Disposición Complementaria Final de la Ley

En base a lo anteriormente dicho se presenta el siguiente esquema:

5. LINEAMIENTOS DE LA POLITICA DE SEGURIDAD DE LA

Estos lineamientos se estructuran conforme al marco legislativo peruano que

Igualmente, se toman en consideración los principios establecidos en la Norma

Finalmente, a través del presente documento, se establece la interoperabilidad y

 Los presentes lineamientos son conformes al marco legal estipulado.