Labor efficiency in implementing a new line and improving the quality of Dobby's Bakery shop products

Explicación preliminar: Si el SVA administra tarjetas de circuitos integrados que sirven de módulos criptográficos de la clave privada de los suscriptores, estas deben ser protegidas a fin de impedir su suplantación y las copias no autorizadas de las claves privadas. No Requerimiento 58 Obtención de las tarjetas de circuitos integrados

SI el SVA distribuye los pares de claves y certificados usando tarjetas de circuitos integrados (ICC), el SVA debe mantener controles para garantizar de manera razonable que:

a) La obtención de la ICC son controlados por el SVA. b) La preparación del Archivo de Datos de Aplicación

(ADF) es controlada de manera segura por el SVA. c) El uso de la ICC es habilitado por el SVA antes de emitir

la ICC.

d) La desactivación y reactivación de la ICC son controlados de manera segura por el SVA.

e) Las ICC son almacenadas y distribuidas de manera segura por el SVA.

f) Las ICC que retornan a al SVA son destruidas o borradas de manera segura, sin la capacidad de recuperación de la clave privada.

g) Si el SVA contrata a un tercero encargado de gestionar y proteger las ICC, debe existir un contrato formal entre

ambas partes. El SVA mantiene la responsabilidad y obligaciones de garantizar la protección de las ICC. h) Las ICC deben ser lógicamente protegidas durante su

transporte desde su fabricación hasta su emisión mediante una clave de transporte o una frase de paso. i) Las ICC cumple los estándares ISO 15408, ISO 7810,

ISO 7811 PARTE 1-5, ISO 7813, ISO 7816, ISO 10202 ó FIPS 140-2, cuyo nivel de seguridad corresponde a una evaluación de riesgos y los requerimientos declarados en la VAPS.

59 Preparación y personalización

a) El SVA como emisor de la ICC, debe controlar el proceso de personalización.

b) Los datos que identifican la ICC, el emisor de la tarjeta y el titular de la tarjeta son almacenados en el Archivo de Datos (ICC Common Data File – CDF). La activación del CDF debe ser realizada por el SVA, como emisor de la tarjeta, usando un proceso de controlado de seguridad. c) El proceso de preparación debe incluir:

i. Carga del sistema operativo.

ii. Creación de estructura lógica de datos (sistema de archivos y dominios de seguridad.

iii. Carga de aplicaciones.

iv. Protección lógica de la ICC para prevenir modificaciones no autorizadas del sistema operativo de la tarjeta, el sistema de archivos, los dominios de seguridad y las aplicaciones. d) Los procesos de personalización de la ICC debe incluir

lo siguiente:

dentro de la tarjeta.

ii. La generación de las claves del suscriptor en concordancia con la VAPS.

iii. La carga de la clave privada del suscriptor en la ICC en un formato cifrado (si es que es generada fuera de la tarjeta).

iv. La carga del certificado del suscriptor en la ICC. v. La carga de los certificados del SVA y otros

certificados relacionados al entorno contractual dentro de la ICC.

vi. Protección lógica de la ICC de acceso no autorizado.

e) El SVA debe generar registros de auditoría de los procesos de preparación y personalización.

f) Una ICC no puede ser emitida sino ha sido preparada y personalizada por el SVA o el tercero asignado.

g) Una ICC no puede ser utilizada sino se encuentra en estado de activación o reactivación.

60

Almacenamiento y distribución de la ICC

a) Deben implementarse procedimientos para la

distribución y registro de la recepción segura de la ICC por parte del suscriptor.

b) Los datos de activación de la ICC son comunicados de manera segura al suscriptor, y en el caso de usar contraseña, el suscriptor debe ser requerido de realizar su modificación.

c) La distribución de la tarjera es registrada para efectos de auditoría por el SVA o un tercero asignado.

61 Uso de la ICC

a) El suscriptor debe ser provisto de un mecanismo que protege el acceso a los datos de la tarjeta incluyendo el almacenamiento de las claves privadas.

b) Las claves del suscriptor no deben poder ser

exportadas por una aplicación para realizar funciones criptográficas.

c) El suscriptor debe ser requerido para usar mecanismos de autenticación para aplicaciones criptográficas y funciones de la tarjeta.

d) La aplicación de la ICC del suscriptor debe generar registros de auditoría, incluyendo casos de intentos de acceso en el proceso de verificación del titular de la tarjeta.

62 Desactivación y reactivación

a) La desactivación del ADF debe ser realizada sólo por el proveedor de la aplicación.

b) La desactivación del CDF debe ser realizada sólo por el emisor de la tarjeta.

c) La reactivación del CDF debe ser realizada sólo por el emisor de la tarjeta.

d) La reactivación del ADF debe ser realizada sólo por el proveedor de la aplicación.

e) Se debe generar registros de auditoría de los procesos de desactivación del ADF, desactivación del CDF, reactivación del ADF y reactivación del ADF.

63 Reemplazo de la ICC

a) Se deben establecer procedimientos para reemplazar ICC perdidos o dañados.

b) En caso de pérdida o daño del ICC, las claves y certificados del suscriptor deben ser revocados y re- emitidos.

c) El reemplazo de la ICC debe ser registrado para efectos de auditoría por el SVA o el tercero asignado.

64 Terminación de las ICC

a) Todos los ICC retornados al SVA deben ser desactivados o destruidos de manera segura para prevenir el uso no autorizado.

b) La terminación del ICC debe ser controlada por el emisor de la tarjeta.

c) Se deben generar registros de auditoría de la terminación de una ICC.

4.14. Aspectos legales de la operación del SVA

Aspectos legales de la operación del SVA

No Requerimiento Detalle

65 Políticas de reembolso

El SVA debe declarar, si fuera aplicable, políticas de reembolso, incluyendo los siguientes casos. 66 Cobertura de

seguro de responsabilidad civil

El monto mínimo de la póliza es de $ 35 000. 00 dólares americanos.

El SVA debe publicar las garantías financieras que ofrece a los terceros que confían en

caso de ocurrir suplantación de identidad por fallos en la operación del SVA.

67 Información confidencial y/o privada

El SVA debe mantener de manera confidencial la siguiente información:

 Material comercialmente reservado de los PSCs, de los suscriptores de la empresa y de las terceros que confían, incluyendo términos contractuales, planes de negocio y propiedad intelectual;

 Información que puede permitir a partes no autorizadas establecer la existencia o naturaleza de las relaciones entre los suscriptores de empresa y los terceros que confían;

 Información que pueda permitir a partes no autorizadas la construcción de un perfil de las actividades de los suscriptores, titulares o terceros que confían.

 Se debe asegurar la reserva de toda información que mantiene, la cual pudiera perjudicar la normal realización de sus operaciones.

Se permite la publicación de información respecto a la revocación o suspensión de un certificado, sin revelar la causal que motivó dicha revocación o suspensión.

La publicación puede estar limitada a suscriptores legítimos, titulares o terceros que confían. 68 Información no

privada

Se debe permitir la publicación de certificados (siempre que el suscriptor lo autorice en el contrato del suscriptor) e información de estado de certificados, así como de información en relación a la revocación de un certificado sin revelar la razón de dicha revocación.

La publicación puede estar limitada a suscriptores legítimos, titulares o terceros que confían.

69 Derechos de Propiedad intelectual

De ser aplicable, el SVA debe declarar cláusulas contractuales de respecto de obligaciones y derechos relacionados a la propiedad intelectual. 70 Notificaciones y comunicaciones entre participantes

El SVA debe declarar los mecanismos de comunicación con sus clientes, en orden de realizar comunicaciones con valor legal.

71 Procedimiento de resolución de disputas

El SVA debe establecer contractualmente y en la RPS los procedimientos para solucionar disputas con sus clientes.

72 Conformidad con la Ley aplicable

El SVA debe declarar la ley aplicable que debe ser cumplida por los participantes.

73 Exención de garantías

En caso de existir, el SVA debe declarar los casos de exención de garantías aplicables

74 Indemnizaciones En caso de existir, el SVA debe declarar las indemnizaciones aplicables

75 Fuerza mayor En caso de existir, el SVA debe declarar en algún documento normativo, las cláusulas de fuerza mayor que sean aplicables.