Chapter 5 – The Backside System
5.1.2 System Wave and Current Dynamics
Se considera información confidencial.
9.5 DERECHOS DE PROPIEDAD INTELECTUAL
PSC FII es titular en exclusiva de todos los derechos de propiedad intelectual que puedan derivarse del sistema de certificación que describe y regula este documento.
Los certificados, claves y, en general, cualesquiera otros documentos, información o material de cualquier naturaleza que PSC-FII ponga a disposición de los titulares de certificados, son de su propiedad intelectual. Se concede un permiso no exclusivo y no retribuido de reproducción y distribución de certificados a las partes, siempre y cuando se
90 / 122 respete la integridad de los mismos y no se publiquen en un depósito público sin permiso de esta entidad.
9.6 REPRESENTACIONES Y GARANTÍAS
EL PSC-FII se reserva esta información.
9.7 OBLIGACIONES Y RESPONABILIDAD CIVIL
9.7.1 OBLIGACIONES DE LA AUTORIDAD DE REGISTRO (AR-FII)
Recibir solicitudes de emisión o de revocación de certificados.
Confirmar la identidad del solicitante y la validez de la solicitud de acuerdo con los requisitos establecidos dentro de su propia declaración de prácticas y políticas.
Realizar todos los mecanismos para apoyar las solicitudes de las emisiones y revocaciones de certificados en correspondencia con el intercambio de datos entre nodos.
Utilizar VPN o SSL, o cualquier otro protocolo tecnológico que brinde igual o mayor nivel de seguridad y privacidad, al momento de tener disponible los servicios a los solicitantes usuarios de Certificados Electrónicos en la Web.
Informar a las organizaciones titulares de certificados la emisión o revocación de sus Certificados Electrónicos.
Garantizar la disponibilidad de los certificados emitidos por la AC como sus AC subordinadas.
Identificar y ejecutar todas las acciones, conforme con las normas definidas dentro de la AC-Raíz (SUSCERTE) y de La Ley y Sus Reglamentos.
Mantener y garantizar la conformidad con las reglas, prácticas, políticas y criterios definidos en los procedimientos AC-Raíz (SUSCERTE).
Ofrecer entrenamientos a sus autoridades de registros, especialmente cuando hagan validaciones de documentos y atributos.
91 / 122 No almacenar ni copiar los datos de creación de firma de la persona a la que hayan
prestado sus servicios.
Informar, antes de la emisión de un certificado, a la persona que solicite sus servicios, de las obligaciones que asume, la forma que debe custodiar los datos de creación de firma, el procedimiento que debe seguir para comunicar la pérdida o utilización indebida de los datos o dispositivos de creación y de verificación de firma, de su precio, de las condiciones precisas para la utilización del certificado, de sus limitaciones de uso y de la forma en que garantiza su posible responsabilidad patrimonial, y de la página Web donde puede consultar cualquier información.
Solicitar la revocación de un certificado cuando tenga conocimiento o sospecha del compromiso de una clave privada.
Mantener bajo su estricto control las herramientas de tramitación de Certificados Electrónicos y notificar a la Autoridad de Certificación cualquier malfuncionamiento u otra eventualidad que pudiera salirse del comportamiento normal esperado.
Colaborar en cuanto a aspectos de operación, auditoria o control, cuando se le soliciten por parte de la Autoridad de Certificación.
Mantener la más general y amplia obligación de confidencialidad, durante y con posterioridad a la prestación del servicio como Autoridad de Registro, respecto de la información recibida por la Autoridad de Certificación y respecto de la información y documentación en que se haya concretado el servicio.
Las AR son responsables por los daños que se pudieran causar en el ejercicio de sus funciones.
La AR deberá cubrir las indemnizaciones derivadas de la relación con los terceros de buena fe. Los terceros de buena fe responden, en términos de la legislación vigente, por los perjuicios causados con respecto a un acto ilícito.
92 / 122
9.7.2 OBLIGACIONES DE LAS AR EXTERNAS DEL PSC-FII
La AR Externa debe contar con la misma solución técnica de la AR-FII del PSC-FII. La AR Externa sólo podrá realizar funciones de solicitudes de certificados que estén
contemplados y autorizados en el PSC-FII y sólo con el uso de operaciones inherentes al tercero interesado.
El Centro de Datos de la AR Externa debe cumplir con las mismas características del Centro de Datos del PSC-FII.
La AR Externa siempre deberá disponer de mecanismos seguros para la actividad de certificación y ser administrada y operada técnicamente por el PSC-FII ó por el tercero interesado.
La interconexión entre la AR Externa y la AC del PSC-FII deberá contar con al menos tres (03) factores lógicos de autenticación (Ejemplos: Autenticación con el uso de Certificados Electrónicos, VPN, Listas de Acceso, entre otros).
La AR Externa, sólo podrá solicitar certificados electrónicos al personal de su organización.
LA AR Externa, deberá notificar las fallas o problemas en su plataforma al PSC-FII. Todos los recaudos que involucren la descripción del funcionamiento de la AR Externa,
deben ser conformes en su contenido de acuerdo a lo establecido en la Norma 40 y estar alineados por los presentados del PSC-FII al momento de su acreditación.
La AR Externa podrá ser objeto de inspecciones ordinarias y extraordinarias por parte del personal de SUSCERTE.
La AR Externa es objeto de una (1) auditoria anual por parte del PSC-FII y es un elemento a evaluar en las auditorias anuales para la renovación de la acreditación. La AR Externa debe solicitar asistencia técnica del PSC-FII, cuando lo requiera.
La AR Externa debe notificar al PSC-FII, cuando tenga conocimiento de cualquier hecho que pueda conllevar a su inhabilitación técnica.
Las AR Externas son responsables por los daños que se pudieran causar en el ejercicio de sus funciones.
93 / 122 La AR Externa deberá cubrir las indemnizaciones derivadas de la relación con los
terceros de buena fe. Los terceros de buena fe responden, en términos de la legislación vigente, por los perjuicios causados con respecto a un acto ilícito.
9.7.3 OBLIGACIONES DE LA AUTORIDAD DE CERTIFICACIÓN (AC-FII)
Operar de acuerdo con la Declaración de Prácticas de Certificación y Políticas de Certificados (DPC y PC).
Tomar las medidas posibles para asegurar que los signatarios o demás entidades involucradas tengan conocimientos de sus respectivos derechos y obligaciones. Generar sus pares de claves públicas.
Asegurar la protección de sus claves privadas.
Notificar a la AC-Raíz de Venezuela (SUSCERTE), cuando se han comprometido las claves privadas de la AC o de sus subordinadas de tercer nivel y solicitar inmediatamente la revocación de estos certificados.
Distribuir sus certificados.
Emitir, expedir y distribuir los certificados de AC subordinadas. Informar la emisión de certificados a los respectivos solicitantes.
Poner a disposición de sus respectivos solicitantes los certificados que sean emitidos por la AC.
Revocar los certificados emitidos por la AC.
Emitir, gerenciar y publicar sus listas de revocación de certificados.
Identificar y registrar todas las acciones ejecutadas, además de mantener sus procesos conforme con la reglamentación legal emitida de la AC-Raíz SUSCERTE. Mantener y garantizar la integridad, confidencialidad y el aseguramiento de la
información gestionada por ella.
Mantener y probar regularmente sus planes de continuidad de negocios.
Mantener el contrato de responsabilidad civil que acoge las actividades ejecutadas por la AC y sus subsecuentes niveles.
94 / 122 No emitir un certificado con un plazo mayor que el que posee su propio certificado
generado por la AC-Raíz.
Utilizar sistemas y productos fiables que estén protegidos contra toda alteración y que garanticen la seguridad técnica y criptográfica de los procesos de certificación a los que sirven de soporte.
Emplear personal con la calificación, conocimientos y experiencia necesarios para la prestación de los servicios de certificación ofrecidos y los procedimientos de seguridad y de gestión adecuados en el ámbito de la firma electrónica.
Publicar la Declaración de Prácticas y Política de Certificados (DPC y PC) en el sitio Web respectivo, garantizando el acceso a las versiones actuales así como a las versiones anteriores.
La AC-FII responde por los daños que pudiera causar por su eventual mal funcionamiento como AC y AR. Así mismo y solidariamente deberá responder por sus AC3.