Experimentar ilimitadamente la satisfacción de innovar
ZyPKI - Servicios de Valor Añadido – Servicio de emisión de Sellos de Tiempo
Declaración de Prácticas - VAPSST
GO-PKI-GC-DP-VAPSST-01
Versión 1.1
01/09/2017
ZyPKI - Servicios de Valor Añadido – Servicio de emisión de
Sellos de Tiempo Versión: 0.1
Declaración de Prácticas - VAPSST Fecha: 010/11/20107
Código: GO-PKI-GC-VAPSST-01 Formato: F-IC-1-V1.1
Confidencial ZyTrust SA, 2017 Página 2 de 22
Historial de Revisiones
Fecha Versión Descripción Autor
13/02/2012 1.0 Versión inicial. ZyTrust
01/09/2017 1.1 Actualizaciones. ZyTrust
ZyPKI - Servicios de Valor Añadido – Servicio de emisión de
Sellos de Tiempo Versión: 0.1
Declaración de Prácticas - VAPSST Fecha: 010/11/20107
Código: GO-PKI-GC-VAPSST-01 Formato: F-IC-1-V1.1
Confidencial ZyTrust SA, 2017 Página 3 de 22
Tabla de Contenidos 1. INTRODUCCIÓN .............................................................................................................................................. 5
2. OBJETIVO ....................................................................................................................................................... 7
3. DEFINICIONES Y ABREVIACIONES ................................................................................................................... 7
3.1 TIME STAMPING UNIT (TSU) ..................................................................................................................... 7
3.2 TERCERO QUE CONFÍA .................................................................................................................................. 7
3.3 SUSCRIPTOR .................................................................................................................................................. 7
3.4 POLÍTICA DE SELLADO DE TIEMPO: ............................................................................................................. 7
CONJUNTO DE DIRECTIVAS QUE DIRIGEN LA APLICABILIDAD Y REQUISITOS EN LA ADMINISTRACIÓN DE UN
SERVICIO DE SELLO DE TIEMPO PARA UNA DETERMINADA COMUNIDAD DE USUARIOS Y UN DETERMINADO
ALCANCE. ................................................................................................................................................................... 7
3.5 SELLO DE TIEMPO – TIME STAMPING TOKEN (TST) ................................................................................ 8
3.6 AUTORIDAD EMISORA DE SELLOS DE TIEMPO - TIME STAMPING AUTHORITY (TSA) ............................ 8
3.7 DECLARACIÓN DE PRÁCTICAS - VAPS ....................................................................................................... 8
4. POLÍTICAS DE SELLADO DE TIEMPO ................................................................................................................ 8
4.1 IDENTIFICACIÓN .................................................................................................................................................. 9
4.2 COMUNIDAD DE USUARIOS Y APLICABILIDAD ............................................................................................................. 9
4.3 CONFORMIDAD .................................................................................................................................................. 9
5. OBLIGACIONES Y RESPONSABILIDAD.............................................................................................................. 9
5.1 OBLIGACIONES DE LA TSA EN RELACIÓN A LOS SUSCRIPTORES .................................................................................... 10
5.2 OBLIGACIONES DE LOS SUSCRIPTORES ................................................................................................................... 10
5.3 OBLIGACIONES DE LOS TERCEROS QUE CONFÍAN ...................................................................................................... 11
6. REQUERIMIENTOS EN LAS PRÁCTICAS DE LA TSA ......................................................................................... 11
6.1 DECLARACIÓN Y PUBLICACIÓN DE PRÁCTICAS .......................................................................................................... 11
6.2 CONDICIONES Y TÉRMINOS DE USO ....................................................................................................................... 12
6.3 APROBACIÓN DEL DOCUMENTO DE DECLARACIÓN DE PRÁCTICAS................................................................................ 12
6.4 EVALUACIÓN DE CUMPLIMIENTO .......................................................................................................................... 12
6.5 NOTIFICACIÓN DE CAMBIOS ................................................................................................................................ 12
6.6 INFORMACIÓN DE CONTACTO .............................................................................................................................. 13
ZyPKI - Servicios de Valor Añadido – Servicio de emisión de
Sellos de Tiempo Versión: 0.1
Declaración de Prácticas - VAPSST Fecha: 010/11/20107
Código: GO-PKI-GC-VAPSST-01 Formato: F-IC-1-V1.1
Confidencial ZyTrust SA, 2017 Página 4 de 22
6.7 LIMITACIONES DE USO........................................................................................................................................ 13
6.8 VERIFICACIÓN DE LA CONFIABILIDAD DE UN CERTIFICADO .......................................................................................... 13
6.9 CONTEXTO Y OBLIGACIONES LEGALES .................................................................................................................... 14
6.9.1 Seguro de Responsabilidad Civil ........................................................................................................... 14
6.10 LIMITACIONES DE RESPONSABILIDAD ..................................................................................................................... 14
6.11 PROCEDIMIENTOS PARA LA SOLUCIÓN DE RECLAMOS Y CONTROVERSIAS ....................................................................... 14
6.12 DECLARACIÓN DE NIVELES DE DISPONIBILIDAD DEL SERVICIO Y TIEMPO DE RESPUESTA ..................................................... 14
6.13 PROVISIONES PARA LA RECUPERACIÓN DEL SERVICIO EN CASO DE DESASTRES ................................................................. 15
7. CICLO DE VIDA DE LA GESTIÓN DE LA CLAVE ................................................................................................ 15
7.1 GENERACIÓN DE LA CLAVE DE LA TSA ................................................................................................................... 15
7.2 CARACTERÍSTICAS TÉCNICAS DEL CERTIFICADO DIGITAL Y DE LOS ALGORITMOS UTILIZADOS ............................................... 15
7.3 PROTECCIÓN DE LA CLAVE PRIVADA DE LA TSU ....................................................................................................... 16
7.4 DISTRIBUCIÓN DE LA CLAVE PÚBLICA TSU .............................................................................................................. 16
7.5 RE-EMISIÓN DE LA CLAVE DEL TSU ....................................................................................................................... 17
7.6 ALMACENAMIENTO DE LOS REGISTROS DE AUDITORÍA............................................................................................... 17
7.7 TÉRMINO DEL CICLO DE VIDA DE LA CLAVE PRIVADA DEL TSU ..................................................................................... 17
8. GESTIÓN DEL CICLO DE VIDA DEL MÓDULO CRIPTOGRÁFICO USADO PARA FIRMAR LOS SELLOS DE TIEMPO
18
9. SELLO DE TIEMPO ......................................................................................................................................... 18
10. SINCRONIZACIÓN DEL RELOJ CON LA UTC ................................................................................................ 19
11. GESTIÓN DE LA SEGURIDAD ..................................................................................................................... 19
12. RECUPERACIÓN EN CASO DE COMPROMISO DE LOS SERVICIOS DE LA TSA .............................................. 20
13. TÉRMINO DE LA TSA ................................................................................................................................. 20
14. CUMPLIMIENTO DE REQUERIMIENTOS LEGALES ...................................................................................... 21
15. RESPONSABILIDADES................................................................................................................................ 22
16. CONFORMIDAD ........................................................................................................................................ 22
ZyPKI - Servicios de Valor Añadido – Servicio de emisión de
Sellos de Tiempo Versión: 0.1
Declaración de Prácticas - VAPSST Fecha: 010/11/20107
Código: GO-PKI-GC-VAPSST-01 Formato: F-IC-1-V1.1
Confidencial ZyTrust SA, 2017 Página 5 de 22
ZyPKI - Servicios de Sellado de Tiempo
Declaración de Prácticas
1. Introducción
El servicio de sellado de tiempo permite proteger un documento con una fecha y hora
confiable y reconocida internacionalmente y con una firma digital. Los sellos de tiempo son
en realidad el resultado de la firma digital de un documento, incluyendo el registro del
tiempo de cuando fue emitido.
ZyTrust es una Sociedad Anónima Prestadora de Servicios de Certificación Digital con
amplia experiencia en Perú. Sus servicios están alineados al cumplimiento de la Ley de
Firmas y Certificados Digitales, su Reglamento y las Guías de Acreditación de la Autoridad
Administrativa Competente (AAC - INDECOPI).
Actualmente, ZyTrust S.A. brinda servicios de Registro Digital con capacidad para la emisión
de certificados digitales, servicios de valor añadido como el Sellado de Tiempo
(timestamping) y servicios relacionados como intermediación digital. Además, la
infraestructura tecnológica y de seguridad de la información de ZyTrust es soportada por
proveedores internacionales que cuentan con el sello WebTrust vigente.
Por otro lado, ZyTrust S.A. es una empresa peruana que cuenta con su propio software de
firma digital, destaca este esfuerzo porque a diferencia de lo que significa importar un
software para revenderlo, ZyTrust apostó por el talento, inteligencia y creatividad de los
ingenieros peruanos para crear productos que automatizan la complejidad matemática de
las funciones criptográficas tanto asimétricas como simétricas.
El espíritu innovador de ZyTrust siempre está alineado a cumplir los estándares técnicos
internacionales, en ese sentido nuestro software de firma digital soporta los Certificados
Digitales emitidos por la Entidad de Certificación WISeKey (Suiza), los dispostivos
criptográficos FIPS 140-2 Nivel 3, tanto USB como los eToken, iKey y HSM de SafeNet
(Israel – USA) como las tarjetas inteligentes de contacto con tecnología Match On Card de
Morpho (Francia), y en general soporta los certificados digitales X.509v3, dispositivos
criptográficos PKCS#11, servicios CRL, OCSP, sello de tiempo (RFC3161).
ZyPKI - Servicios de Valor Añadido – Servicio de emisión de
Sellos de Tiempo Versión: 0.1
Declaración de Prácticas - VAPSST Fecha: 010/11/20107
Código: GO-PKI-GC-VAPSST-01 Formato: F-IC-1-V1.1
Confidencial ZyTrust SA, 2017 Página 6 de 22
Un aspecto resaltante es que soportamos la TSL según el estándar ETSI TS 102 231 V3.1.2
especificado en las Guías de Acreditación de la AAC.
Asimismo el formato sobre el que desplegamos nuestras soluciones de firma digital es el
formato PDF/A según el estándar ISO 19005:2005 Document management -- Electronic
document file format for long-term preservation -- Part 1: Use of PDF 1.4 (PDF/A-1),
formato especializado para conservar documentación por periodos prolongados, lo que
normalmente es un requisito de toda organización para garantizar la lectura de sus
documentos a través de los cambios de la plataforma tecnológica.
En ese sentido, ZyTrust S.A. ofrece soluciones de documentos electrónicos con valor legal
bajo el esquema de firma digital avanzada, es decir que la firma digital contiene todos los
elementos (evidencias) para efectuarse un peritaje informático, esto implica que las firmas
digitales de ZyTrust S.A. contienen:
Certificado Digital del firmante
Firma digital del documento
Resultado de la verificación de la revocación (OCSP o CRL)
Sello de tiempo
Verificación de TSL
Nuestros usuarios sólo requieren del Acrobat Reader para verificar la firma digital, con ello
se garantiza la neutralidad tecnológica, puesto que no es necesario que le proporciones un
software verificador, usted sólo requiere el Acrobat Reader según el sistema operativo que
utilice y con ello será suficiente para verificar técnicamente todos los aspectos jurídicos de
una firma digital avanzada. Esta ventaja de poder proporcionar a cada uno de nuestros
usuarios un software de firma digital de acuerdo a sus necesidades hacen que marquemos
la diferencia frente a cualquier producto “enlatado” dado que en su mayoría dichos
productos no cumplen las regulaciones nacionales y no se adecuan al proceso de los
usuarios en nuestro país.
Le invitamos a revisar este documento técnico y si cuenta con alguna necesidad de
información adicional o desea enviarnos una sugerencia puede hacerlo a la cuenta de correo
electrónico: [email protected] desde ya reciba el especial agradecimiento de todo el equipo
de ZyTrust.
ZyPKI - Servicios de Valor Añadido – Servicio de emisión de
Sellos de Tiempo Versión: 0.1
Declaración de Prácticas - VAPSST Fecha: 010/11/20107
Código: GO-PKI-GC-VAPSST-01 Formato: F-IC-1-V1.1
Confidencial ZyTrust SA, 2017 Página 7 de 22
2. Objetivo
La presente Declaración de Prácticas define reglas generales normativas que rigen las
actividades y procesos que administra ZyTrust para brindar los servicios de sellado de
tiempo.
Estas reglas fueron definidas, conforme a los requerimientos de la Guía de Acreditación de
Entidades Prestadoras de Servicios de Valor Añadido del INDECOPI, en particular de la RFC
3628, la cual a su vez es una guía internacional para la gestión segura y confiable de los
servicios de sellado de tiempo.
3. Definiciones y abreviaciones
3.1 Time Stamping Unit (TSU)
Una unidad de sellado de tiempo o en ingles Time Stamping Unit es un sistema de
software y hardware generador de sellos de tiempo, que tiene una sóla clave privada
activa para firmar los sellos.
3.2 Tercero que confía
Persona natural o jurídica que recibe un documento con un sello de tiempo y confía en
la validés de dicho sello.
3.3 Suscriptor
Persona natural o juridical que require los servicios provistos por una Autoridad
emisora de sellos de tiempo – TSA y que debe cumplir acuerdos y obligaciones.
3.4 Política de sellado de tiempo:
Conjunto de directivas que dirigen la aplicabilidad y requisitos en la administración de
un servicio de sello de tiempo para una determinada comunidad de usuarios y un
ZyPKI - Servicios de Valor Añadido – Servicio de emisión de
Sellos de Tiempo Versión: 0.1
Declaración de Prácticas - VAPSST Fecha: 010/11/20107
Código: GO-PKI-GC-VAPSST-01 Formato: F-IC-1-V1.1
Confidencial ZyTrust SA, 2017 Página 8 de 22
determinado alcance.
3.5 Sello de tiempo – Time Stamping Token (TST)
Conjunto de datos que representa el resumen de un documento sellado añadido a un
registro del tiempo en el que el sello fue emitido. Este resumen es una característica
única del documento, de modo que si el documento es modificado este sello pierde
validez.
3.6 Autoridad emisora de sellos de tiempo - Time Stamping Authority
(TSA)
Autoridad que emite los sellos de tiempo, en los cuales confían los suscriptores y
terceros que confían. La TSA tiene la responsabilidad de la operación de uno o más
TSU que firman los TST.
3.7 Declaración de Prácticas - VAPS
Conjunto de declaraciones acerca de políticas y prácticas que dirijen las actividades y
procesos de la TSA y que son publicadas para conocimiento de suscriptores y terceros
que confían.
4. Políticas de Sellado de Tiempo
El alcance de aplicabilidad y comunidad de usuarios de los sellos de tiempo se definen
en las Políticas de Sellado de Tiempo. ZyTrust reconoce las políticas y prácticas de los
proveedores que soportan su infraestructura tecnológica, mediante un acuerdo
contractual que implica la alineación de estas políticas y prácticas a la Política de
Sellado de Tiempo y la presente Declaración de Prácticas de ZyTrust. Estas políticas
son diseñadas en conformidad con lo declarado en el presente documento y son
publicadas en la siguiente dirección web: http://www.zytrust.com/.
ZyTrust utiliza la infraestructura de terceros proveedores que cumplen con lo
estipulado en la presente Declaración de Prácticas, las Políticas de Seguridad y las
ZyPKI - Servicios de Valor Añadido – Servicio de emisión de
Sellos de Tiempo Versión: 0.1
Declaración de Prácticas - VAPSST Fecha: 010/11/20107
Código: GO-PKI-GC-VAPSST-01 Formato: F-IC-1-V1.1
Confidencial ZyTrust SA, 2017 Página 9 de 22
Políticas de Sellado de Tiempo. Cada proveedor asociado a ZyTrust, posee su propia
política de sellado de tiempo, las cuales han sido revisadas y evaluadas por ZyTrust
para asegurar que la seguridad de los sistemas sean conformes con las políticas de
ZyTrust y la presente Declaración de Prácticas. Estas políticas son publicadas en la
siguiente dirección web: http://www.zytrust.com/
4.1 Identificación
Las políticas reconocidas por ZyTrust tienen un identificador único, que es publicado
en la siguiente dirección web: http://www.zytrust.com/.
La Política de Sellado de Tiempo de WISeKey, reconocida por ZyTrust tiene un
identificador único: 2.16.756.5.14.4.7.1
4.2 Comunidad de usuarios y aplicabilidad
La comunidad de usuarios y aplicabilidad de los sellos de tiempo emitidos por ZyTrust
se encuentra restringida por los contratos con los suscriptores y por lo establecido en
las políticas de sellado de tiempo reconocidas por ZyTrust, publicadas en la siguiente
dirección web: http://www.zytrust.com/.
4.3 Conformidad
Las políticas reconocidas por ZyTrust cumplen los requerimientos de la Guía de
Acreditación de Entidades Prestadoras de Servicios de Valor Añadido, el Reglamento
de la Ley de Certificados Digitales, y la Ley de Firmas y Certificados Digitales 27269.
Este cumplimiento es verificado con periodicidad por el INDECOPI, en su calidad de
Autoridad Administrativa Competente de los Prestadores de Servicios de Certificación
Digital
5. Obligaciones y responsabilidad
ZyTrust asegura que los sistemas, personas y procesos que conforman los servicios de
sellado de tiempo, cumplan con los requerimientos definidos en la sección 7 de la RFC
ZyPKI - Servicios de Valor Añadido – Servicio de emisión de
Sellos de Tiempo Versión: 0.1
Declaración de Prácticas - VAPSST Fecha: 010/11/20107
Código: GO-PKI-GC-VAPSST-01 Formato: F-IC-1-V1.1
Confidencial ZyTrust SA, 2017 Página 10 de 22
3628, incluyendo las funciones de los servicios que son administradas por terceros
proveedores. ZyTrust controla y verifica su cumplimiento con periodicidad. Los
informes de auditoría realizados por terceros independientes son reconocidos por
ZyTrust en la evaluación de sus proveedores, en particular, de aquellos cuya
infraestructura es evaluada para la obtención del sello de WebTrust.
Asimismo, ZyTrust es responsable de publicar las prácticas y políticas de los terceros
proveedores de los servicios de sellado de tiempo.
5.1 Obligaciones de la TSA en relación a los suscriptores
WISeKey, como proveedor de servicios de ZyTrust, ofrece un acceso permanente al
servicio de sellado de tiempo, excepto:
- Durante los intervalos de mantenimiento. Las ventanas de mantenimiento serán
anunciadas en el sitio web de WISeKey.
- Cuando un servicio de terceros no se encuentra disponible, por ejemplo: Una fuente
de tiempo confiable.
- Cuando los eventos que no pueden ser influenciados por WISeKey dificultan el
servicio (fuerza mayor, guerra, huelga, etc.)
Por otra parte, WISeKey tendrá que:
- Asegurar que su actividad es legal, en particular que estas no violan propiedad
intelectual ni licencias.
- Asegurar que solo serán emitidos sellos de tiempo correctos.
- Asegurar que sus equipos para el servicio de Sellado de Tiempo son los adecuados.
- Asegurar que ellos conocen los requerimientos descritos en el presente documento.
5.2 Obligaciones de los suscriptores
El suscriptor tiene la obligación de verificar que el sello de tiempo mostrado ha sido
asignado correctamente y que el certificado digital usado para firmar el sello de
tiempo no ha sido comprometido.
ZyPKI - Servicios de Valor Añadido – Servicio de emisión de
Sellos de Tiempo Versión: 0.1
Declaración de Prácticas - VAPSST Fecha: 010/11/20107
Código: GO-PKI-GC-VAPSST-01 Formato: F-IC-1-V1.1
Confidencial ZyTrust SA, 2017 Página 11 de 22
Requerimientos adicionales pueden ser incluidos en los contratos con cada cliente.
5.3 Obligaciones de los terceros que confían
Los terceros que confían son responsables de verificar que los documentos sean
firmados con un sello de tiempo, con un certificado digital reconocido por ZyTrust y
que estos sellos tengan como parte de su número de identificación el OID, la
identificación de la respectiva política de sellado de tiempo de WISeKey .
Asimismo deben verificar que el certificado de sello de tiempo se encuentra firmado y
que la clave privada no estuvo comprometida en el momento en el que se realizó el
sellado de tiempo.
6. Requerimientos en las prácticas de la TSA
ZyTrust cumple los requerimientos de la RFC 3628, conforme a lo exigido en la Guía
de Acreditación de Entidades de Valor Añadido del INDECOPI, en su calidad de entidad
de Entidad Emisora de Sellos de Tiempo.
6.1 Declaración y publicación de prácticas
ZyTrust demuestra que cuenta con la confiabilidad necesaria para proveer los
servicios de sellado de tiempo a sus clientes, a través del sometimiento de sus
servicios a la evaluación provista por el INDECOPI como Autoridad Administrativa
Competente.
Los certificados e infraestructura de software y hardware utilizados en los servicios de
emisión de sellos de tiempo son provistos por WISeKey, cuya infraestructura es
administrada rigurosamente evaluada por las auditorías para el logro de las
certificaciones WebTrust for CA, ISO 27001.
Las evidencias de estas auditorías serán presentadas al INDECOPI en cada sesión de
auditoría periódica.
ZyPKI - Servicios de Valor Añadido – Servicio de emisión de
Sellos de Tiempo Versión: 0.1
Declaración de Prácticas - VAPSST Fecha: 010/11/20107
Código: GO-PKI-GC-VAPSST-01 Formato: F-IC-1-V1.1
Confidencial ZyTrust SA, 2017 Página 12 de 22
6.2 Condiciones y términos de uso
Las condiciones y términos de uso de los servicios de sellado de tiempo para todos los
suscriptores y terceros corresponden a las señaladas en la presente Declaración de
Prácticas y las Políticas de sellado de tiempo, así como en los contratos con los
suscriptores.
Será responsabilidad del suscriptor difundir, conforme corresponda en términos de
confidencialidad, las condiciones adicionales que sean establecidas en el contrato, a
toda la comunidad de usuarios que defina para el uso de los servicios contratados.
6.3 Aprobación del documento de Declaración de Prácticas
La presente Declaración de Prácticas y las Políticas de Sellado de Tiempo son
aprobadas por ZyTrust y su cumplimiento es supervisado por la autoridad máxima
dentro de la TSA.
6.4 Evaluación de cumplimiento
ZyTrust, como Autoridad emisora de sellos de tiempo, se somete a auditorías
periódicas por parte del INDECOPI, como Autoridad Administrativa Competente.
Dichas auditorías se realizan por especialistas independientes de ZyTrust que no han
realizado trabajos para esta entidad dentro de los dos (02) años anteriores a la
ejecución de la auditoría.
A su vez, ZyTrust requiere a WISeKey el cumplimiento de WebTrust.
6.5 Notificación de cambios
ZyTrust notificará los cambios realizados a este documento a los suscriptores, terceros
que confían y demás interesados en sus servicios de sellado de tiempo, y publicará las
nuevas versiones en su sitio web: http://www.zytrust.com/. Asimismo, se notificarán
los cambios en las políticas de sus proveedores, los cuales serán publicadas en la
siguiente dirección: http://www.zytrust.com/.
ZyPKI - Servicios de Valor Añadido – Servicio de emisión de
Sellos de Tiempo Versión: 0.1
Declaración de Prácticas - VAPSST Fecha: 010/11/20107
Código: GO-PKI-GC-VAPSST-01 Formato: F-IC-1-V1.1
Confidencial ZyTrust SA, 2017 Página 13 de 22
6.6 Información de contacto
Para cualquier consulta, respecto de los servicios provistos por ZyTrust y sus
proveedores, contactar a:
• Nombre: José Fernandez
• Cargo: Representante de la TSA en ZyTrust
• Dirección de correo electrónico: [email protected]
6.7 Limitaciones de uso
Las limitaciones de uso de los servicios de sellado de tiempo serán señaladas en las
respectivas Políticas de Sellado de Tiempo reconocidas por ZyTrust y publicadas en la
siguiente dirección: http://www.zytrust.com/.
6.8 Verificación de la confiabilidad de un certificado
Para verificar la confiabilidad de un sello de tiempo, el tercero que confía deberá
verificar lo siguiente:
Si el certificado digital utilizado estuvo vigente y no revocado en la fecha en la
que se realizó la firma.
Si el certificado utilizado es reconocido por ZyTrust, (URL:
http://www.zytrust.com/).
Si el sello contiene el objeto identificador OID de una política de sellado de
tiempo reconocida por ZyTrust.
ZyPKI - Servicios de Valor Añadido – Servicio de emisión de
Sellos de Tiempo Versión: 0.1
Declaración de Prácticas - VAPSST Fecha: 010/11/20107
Código: GO-PKI-GC-VAPSST-01 Formato: F-IC-1-V1.1
Confidencial ZyTrust SA, 2017 Página 14 de 22
6.9 Contexto y obligaciones legales
A fin de obtener el reconocimiento legal de sus sellos de tiempo, ZyTrust, como
Autoridad emisora de sellos de tiempo, cumple los requerimientos establecidos en la
Guía de Acreditación de Entidades Prestadoras de Servicios de Valor Añadido, el
Reglamento y la Ley de Firmas y Certificados Digitales – Ley 27269.
6.9.1 Seguro de Responsabilidad Civil
La TSA de ZyTrust proporciona a sus clientes servicios de sellado de tiempo
amparados por la cobertura del Seguro de Responsabilidad Civil de la Entidad de
Certificación provista por WISeKey.
6.10 Limitaciones de responsabilidad
ZyTrust no se hace responsable por los casos de fraude y suplantación de sellos de
tiempo que no contengan el identificador único de las políticas y la firma digital los
certificados digitales, ambos reconocidos por ZyTrust.
6.11 Procedimientos para la solución de reclamos y controversias
Los procedimientos para la solución de reclamos y controversias son señalados en el
documento de contrato para la adquisición de los servicios de sellado de tiempo, de
cada suscriptor.
6.12 Declaración de niveles de disponibilidad del servicio y tiempo de
respuesta
Los niveles de disponibilidad y tiempo de respuesta son definidos en cada política de
sellado de tiempo reconocida por ZyTrust.
ZyPKI - Servicios de Valor Añadido – Servicio de emisión de
Sellos de Tiempo Versión: 0.1
Declaración de Prácticas - VAPSST Fecha: 010/11/20107
Código: GO-PKI-GC-VAPSST-01 Formato: F-IC-1-V1.1
Confidencial ZyTrust SA, 2017 Página 15 de 22
6.13 Provisiones para la recuperación del servicio en caso de desastres
Las medidas para la recuperación de desastres como el caso del compromiso de la
clave privada del certificado digital con la que se firman los sellos de tiempo, o los
casos de desviación de la exactitud definida para la sincronización con la UTC, serán
definidas con cada cliente, considerando los niveles de servicio contratados, los
tiempos de respuesta, los canales de comunicación, y responsabilidades definidas para
cada cliente.
ZyTrust y sus proveedores de infraestructura que sostienen los servicios de sellado de
tiempo, implementa controles de contingencia en caso de falla de equipos, corrupción
de información, interrupción de comunicaciones, y demás eventos operacionales.
7. Ciclo de vida de la gestión de la clave
7.1 Generación de la clave de la TSA
WISeKey TSA, como prestador de servicios de ZyTrust, asegura que cualquier clave
criptográfica se genera bajo circunstancias controladas. La generación de las claves
de firma de la TSU se lleva a cabo en un entorno físicamente seguro, por personal con
funciones confiadas bajo, al menos, control dual. El personal autorizado para llevar a
cabo esta función está limitado a los asignados a roles específicos dispuestos bajo el
concepto de rol de WISeKey.
Los pares de claves para la WISeKey TSA se generan en software certificado para
cumplir con los requisitos de FIPS 140-2 nivel 1 o superior.
7.2 Características técnicas del certificado digital y de los algoritmos
utilizados
Las características del certificado digital y de los algoritmos utilizados en los servicios
de sellado de tiempo son señalados en las políticas de sellado de tiempo reconocidas
por ZyTrust, de acuerdo a los tipos de servicio contratado por cada suscriptor.
El algoritmo de generación de la TSU, el tamaño de la clave, y los algoritmos de firma
ZyPKI - Servicios de Valor Añadido – Servicio de emisión de
Sellos de Tiempo Versión: 0.1
Declaración de Prácticas - VAPSST Fecha: 010/11/20107
Código: GO-PKI-GC-VAPSST-01 Formato: F-IC-1-V1.1
Confidencial ZyTrust SA, 2017 Página 16 de 22
son reconocidos por la IOFE.
Los certificados digitales son emitidos por entidades de certificación confiables, que
cuentan con el sello de WebTrust.
7.3 Protección de la clave privada de la TSU
WISeKey, como proveedor de servicios de ZyTrust, asegura que las claves privadas de
TSU sean confidenciales y mantengan su integridad.
En particular:
- La clave de firma privada TSU se mantiene y se utiliza dentro de un dispositivo de
software de módulo criptográfico que cumple con los requisitos identificados en FIPS
140-2 nivel 1 o superior.
- Si las copias de seguridad de las claves privadas de TSU son recuperadas; estas son
copiadas, almacenadas y recuperadas sólo por personal con funciones confiables
utilizando, al menos, control dual en un entorno físicamente seguro. El personal
autorizado para llevar a cabo esta función está limitado a aquellos que requieren
hacerlo bajo las prácticas de la TSA.
- Todas las copias de seguridad de las claves privadas de la TSU están protegidas para
garantizar su confidencialidad.
7.4 Distribución de la clave pública TSU
WISeKey TSA, como proveedor de servicios de ZyTrust, garantiza que la integridad y
autenticidad de las claves de verificación de la firma de TSU (públicas) y cualquier
parámetro asociado se mantengan durante su distribución a los terceros que confían.
La clave de la TSA de WISeKey es firmada por OISTE WISeKey Root PKI
El hash del certificado (huella digital) y los certificados de la OISTE WISeKey Root PKI
están disponibles en el sitio Web WISeKey (www.wisekey.com/repository/).
ZyPKI - Servicios de Valor Añadido – Servicio de emisión de
Sellos de Tiempo Versión: 0.1
Declaración de Prácticas - VAPSST Fecha: 010/11/20107
Código: GO-PKI-GC-VAPSST-01 Formato: F-IC-1-V1.1
Confidencial ZyTrust SA, 2017 Página 17 de 22
7.5 Re-emisión de la clave del TSU
El tiempo de vida del certificado TSU de WISeKey no es más largo que el periodo de
tiempo que el algoritmo y la longitud de clave elegidos se reconocen como aptos para
el propósito.
El procedimiento de re-emisión de la clave de la TSA se lleva a cabo al expirar el
periodo de validez del certificado de TSA.
7.6 Almacenamiento de los registros de auditoría
Los registros concernientes a la operación del servicio de sellado de tiempo,
incluyendo eventos relacionados a la sincronización del reloj con la fuente confiable de
tiempo y la gestión de las claves de la TSA son salvaguardados de la misma manera
que son protegidos los registros de la operación de la Entidad de Certificación de
WISeKey, los cuales son descritos en su respectiva Declaración de Prácticas.
Los registros son almacenados y protegidos por un periodo de 1 año adicional al
periodo de vigencia del certificado digital con el que el sello de tiempo fue creado. En
caso que la clave privada de la TSA se vea comprometida, entonces el periodo de
almacenamiento de registros será mayor que los sellos de tiempo más afectados.
7.7 Término del ciclo de vida de la clave privada del TSU
WISeKey TSA, como proveedor de servicios de ZyTrust, garantiza que las claves
privadas de la TSU no se utilicen luego de finalizar su ciclo de vida.
Las claves de firma privadas de TSU o cualquier otra parte de la clave, incluidas las
copias, se destruyen de forma que no se puedan recuperar las claves privadas. El
sistema de generación del token de sellado de tiempo (TST) rechaza cualquier intento
de emitir TST si la clave privada de firma ha caducado.
Existen procedimientos operativos o técnicos para asegurar que una nueva clave se
pone en marcha cuando la clave de una TSU ha expirado.
Los procedimientos de generación del sello de tiempo reconocidos por ZyTrust,
impiden cualquier intento de emisión de sello de tiempo si la clave privada ha
ZyPKI - Servicios de Valor Añadido – Servicio de emisión de
Sellos de Tiempo Versión: 0.1
Declaración de Prácticas - VAPSST Fecha: 010/11/20107
Código: GO-PKI-GC-VAPSST-01 Formato: F-IC-1-V1.1
Confidencial ZyTrust SA, 2017 Página 18 de 22
expirado. El sistema de generación del sello de tiempo verifica la vigencia y no
revocación de la clave privada antes de iniciar el proceso de generación.
8. Gestión del ciclo de vida del módulo criptográfico usado para
firmar los sellos de tiempo
Los módulos hardware criptográficos que se utilizan para almacenar y proteger las
claves privadas con las cuales se firman los sellos de tiempo reconocidos por ZyTrust,
son protegidos contra manipulación no autorizada durante todo su ciclo de vida,
incluyendo transporte, generación de la clave, uso y almacenamiento.
La instalación, activación y duplicación de las claves de la TSU en el hardware
criptográfico sólo puede ser realizada por el personal que tiene asignado un rol de
confianza, usando al menos un control dual en un ambiente físico seguro (conforme a
la sección 7.4.4 de la RFC 3628) con control de acceso físico de al menos dos
personas.
Se monitoreará el funcionamiento correcto del hardware criptográfico.
En los casos que se decida desechar el equipo las claves privadas del TSU serán
borradas para evitar su uso no autorizado. Considerando el respaldo seguro de la
clave si aún se encuentra vigente.
9. Sello de tiempo
ZyTrust y sus proveedores de infraestructura que soportan los servicios de sellado de
tiempo adoptan medidas para asegurar que los sellos de tiempo sean emitidos de
manera segura y que incluyan el tiempo correcto:
● Se utiliza un servicio de sincronización a la fuente de tiempo confiable.
● El sello de tiempo incluye un identificador de la política de sello de tiempo, en
concordancia con la TSA y la TSU de WISeKey.
● Cada sello de tiempo tiene asignado un único identificador.
● Los valores de tiempo que utiliza la TSU en el sello de tiempo se pueden rastrear
ZyPKI - Servicios de Valor Añadido – Servicio de emisión de
Sellos de Tiempo Versión: 0.1
Declaración de Prácticas - VAPSST Fecha: 010/11/20107
Código: GO-PKI-GC-VAPSST-01 Formato: F-IC-1-V1.1
Confidencial ZyTrust SA, 2017 Página 19 de 22
hasta al menos uno de los valores en tiempo real distribuidos por un laboratorio UTC
(k)
● El tiempo incluido en el sello de tiempo se sincroniza con la UTC dentro de la
precisión definida en esta política
● El sello de tiempo incluye un resumen de los datos firmados (HASH)
● El sello de tiempo se firma utilizando una clave generada exclusivamente para este
propósito.
● El sello de tiempo incluye un identificador para el país en el que se establece la TSA
y un identificador para WISeKey TSA
● El tiempo incluido en el sello de tiempo será sincronizado con la UTC dentro de la
exactitud de +/- 1 segundo.
10. Sincronización del reloj con la UTC
ZyTrust y sus proveedores de infraestructura que soportan los servicios de sellado de
tiempo, adoptan medidas para asegurar que su reloj es sincronizado con la UTC dentro
de la exactitud declarada:
● Si se detecta que el reloj del proveedor del sello de tiempo se encuentra fuera de la
precisión indicada los sellos de tiempo no deben emitirse
● Las TSUs de WISeKey cuentan con medidas técnicas para garantizar que su tiempo
se sincronice con la UTC dentro de la precisión declarada
● Los sellos de tiempo incluyen valores de fecha y hora que son rastreables en el
tiempo al valor de tiempo UTC real, proporcionado por el servidor NTP interno de
WISeKey, que se sincroniza vía satélite GPS y fuentes de referencia de radio
● Los relojes TSU se recalibran periódicamente con respecto a la fuente de hora UTC
de referencia.
11. Gestión de la seguridad
Las medidas de seguridad adoptadas para proteger los activos críticos que sostienen
ZyPKI - Servicios de Valor Añadido – Servicio de emisión de
Sellos de Tiempo Versión: 0.1
Declaración de Prácticas - VAPSST Fecha: 010/11/20107
Código: GO-PKI-GC-VAPSST-01 Formato: F-IC-1-V1.1
Confidencial ZyTrust SA, 2017 Página 20 de 22
los servicios de sellado de tiempo son señalados en la Política de Seguridad de la TSA
de ZyTrust.
12. Recuperación en caso de Compromiso de los servicios de la
TSA
En el caso de eventos que puedan afectar la seguridad de los servicios de sellado de
tiempo, incluyendo compromisos de la clave de la TSU o pérdidas detectadas de
calibración, la información relevante será comunicada a los suscriptores y terceros que
confían.
Se implementará un plan de recuperación que considere los casos de compromiso o
sospecha de compromiso de la clave privada de la TSU o pérdida de calibración del
reloj, que puede afectar los sellos de tiempo emitidos.
En el caso de compromiso, sospecha de compromiso o pérdida de calibración, se
deberá comunicar a todos los suscriptores y terceros que confían una descripción del
hecho ocurrido.
En el caso de compromiso, o sospecha de compromiso o pérdida de calibración, no se
deberán emitir sellos de tiempo hasta que se hayan tomado las medidas de
recuperación.
En el caso de compromiso, o sospecha de compromiso o pérdida de calibración, se
debe poner a disposición de los suscriptores y terceros que confían la información que
permita identificar los sellos de tiempo afectados, a menos que esto viole la privacidad
de los usuarios o la seguridad de los servicios de la TSA.
13. Término de la TSA
ZyTrust y sus proveedores de infraestructura que soportan los servicios de sellado de
tiempo, adoptan medidas para asegurar que las interrupciones potenciales a los
suscriptores y terceros que confían sean minimizados, en particular asegurar el
mantenimiento continuo de la información requerida para verificar los sellos de
tiempo. Antes de que ZyTrust y/o sus proveedores emisores de sellos de tiempo (TSA)
ZyPKI - Servicios de Valor Añadido – Servicio de emisión de
Sellos de Tiempo Versión: 0.1
Declaración de Prácticas - VAPSST Fecha: 010/11/20107
Código: GO-PKI-GC-VAPSST-01 Formato: F-IC-1-V1.1
Confidencial ZyTrust SA, 2017 Página 21 de 22
terminen sus servicios, se adoptarán las siguientes medidas:
• Se pondrá a disponibilidad de todos los suscriptores y terceros que
confían la información concerniente a su terminación
• Se concluirán los permisos de autorización de funciones de todos los
subcontratados para actuar en nombre de la TSA, respecto de la
emisión de los sellos de tiempo
• Se transferirán las obligaciones a los terceros que confían de mantener
los registros de eventos y archivos auditables necesarios para
demostrar la correcta operación de la TSA por un periodo razonable
• Se mantendrán o transferirán a los terceros que confían sus
obligaciones de hacer disponible su clave pública o su certificado por un
periodo razonable
• La clave privada de la TSU, incluyendo copias, será destruida de
manera segura de modo que no pueda ser recuperada
• La TSA celebrará acuerdos para cubrir los costos de cumplir con estos
requisitos mínimos, en caso de que la TSA se declara en quiebra o por
otras razones es incapaz de cubrir los costos por sí mismo.
• Se tomarán medidas para que los certificados de los TSU sean
revocados.
14. Cumplimiento de requerimientos legales
ZyTrust, como Autoridad emisora de sellos de tiempo, cumple los requerimientos
establecidos en la Guía de Acreditación de Entidades Prestadoras de Servicios de Valor
Añadido, el Reglamento y la Ley de Firmas y Certificados Digitales – Ley 27269.
La información aportada por los usuarios de los servicios de ZyTrust y sus proveedores
será protegida contra divulgación, a menos de que exista un consentimiento, orden
judicial u otro requisito legal.
ZyPKI - Servicios de Valor Añadido – Servicio de emisión de
Sellos de Tiempo Versión: 0.1
Declaración de Prácticas - VAPSST Fecha: 010/11/20107
Código: GO-PKI-GC-VAPSST-01 Formato: F-IC-1-V1.1
Confidencial ZyTrust SA, 2017 Página 22 de 22
15. Responsabilidades
ZyTrust es responsable de gestionar la implementación y velar por el cumplimiento de
la presente Declaración de Prácticas, así como de su revisión periódica, actualización,
difusión y concientización y capacitación al personal y terceros para su adecuado
cumplimiento.
16. Conformidad
Este documento ha sido aprobado por la Autoridad de la TSA de ZyTrust, y tiene
carácter normativo sobre todos los servicios de sellado de tiempo, por lo que cualquier
incumplimiento por parte de las personas mencionadas en el alcance de este
documento, será comunicado a dicha autoridad para la ejecución de las sanciones
respectivas.