Declaración de Prácticas de Certificación
Resumen de los derechos y obligaciones fundamentales contenidos en esta CPS
- Esta CPS y los documentos afines regulan todo lo relativo a la solicitud, emisión, aceptación, y revocación de certificados entre otros muchos aspectos vitales para la vida del certificado y el régimen jurídico que se establece entre la Universidad Tecnológica de Panamá (a partir de ahora CA-UTP), los usuarios y terceros.
- Tanto la CPS como todos los demás documentos afines son puestos a disposición de futuros usuarios en la dirección de Internet https://certificadodigital.utp.ac.pa para que conozcan las normas y reglas aplicables a nuestro sistema de certificación.
Para mayor información, consulte nuestra página web en la dirección: https://certificadodigital.utp.ac.pa, ó contáctenos a través de la siguiente dirección de correo electrónico: [email protected]. - Es imprescindible la custodia de la clave privada que el usuario debe hacer respecto de su certificado, pues si no se toman las medidas adecuadas carecería de sentido el sistema de seguridad que se pretende implantar. En este sentido, es necesario informar inmediatamente a CA-UTP cuando ocurra alguna causa de revocación del certificado establecidas en la CPS y proceder, de esta manera, a su revocación para evitar un uso ilegítimo del certificado por parte de un tercero no autorizado.
- El usuario deberá comunicar a CA-UTP cualquier modificación o variación de los datos que se aportaron para conseguir el certificado, tanto si éstos aparecen o no en el propio certificado.
- El uso del certificado está limitado, única y exclusivamente, para su utilización en la Universidad Tecnológica de Panamá, para los servicios que ella determine.
- Es obligación del usuario comprobar en el Repositorio de Certificados publicado por CA-UTP, que el certificado en el que pretende confiar es válido y no ha caducado o ha sido revocado. Esto para los casos en que el certificado se utilice para confianza hacia terceros según los servicios que determine la UTP.
- En la CPS y documentos afines se establece la responsabilidad de CA-UTP y los usuarios, así como la limitación de la misma ante la posible producción de daños y perjuicios.
Para mayor información, consulte nuestra página web en la dirección: https://certificadodigital.utp.ac.pa, ó contáctenos a través de la siguiente dirección de correo electrónico: [email protected].
1. INTRODUCCIÓN
Este documento incluye tanto las Políticas de Certificación así como la Declaración de Prácticas de Certificación, CP y CPS respectivamente, por sus siglas en inglés. La arquitectura general comprende una Autoridad de Certificación y una Autoridad de Registro.
Como punto de referencia y con deseos de promover la transparencia y calidad de los certificados que se emiten, la Autoridad de Certificación de la Universidad Tecnológica de Panamá (UTP), como será conocida de ahora en adelante CA-UTP, ha adoptado criterios internacionalmente reconocidos en la definición, estructura y presentación de este documento, el cual es consistente con las recomendaciones dadas por de la Internet (IETF) expresadas en el documento: Infraestructura de Llave Pública X.509, “Marco estructural para políticas y prácticas de certificación” (RFC3647). Aquellos elementos del RFC3647 que no aplican a la CA-UTP se han omitido en la estructura y contenido de este documento.
Esta CPS puede localizarse en la siguiente dirección de Internet: https://certificadodigital.utp.ac.pa.
1.1 Presentación
Este documento describe el conjunto de reglas y prácticas operacionales que deben de ser utilizadas por la CA-UTP para administrar y completar las tareas asociadas con la generación de certificados.
Esta Autoridad Certificadora establece un nivel de seguridad para todos los usuarios que depositarán su confianza en la validez de dicho certificado, como instrumento que da garantías sobre la identidad del titular del mismo. En ese sentido, este documento establece que se han tomado las medidas y procedimientos adecuados para constituir la correspondencia entre dicho certificado y una cierta entidad en particular (individuo, servidor, etc.)
1.2 Nombre e Identificación del Documento
Este documento constituye las Políticas de certificación y declaración de prácticas de certificación. El mismo está disponible en la siguiente dirección de Internet: https://certificadodigital.utp.ac.pa.
1.3. PKI Participantes
1.3.1 Autoridad de certificación raíz de la Universidad Tecnológica de Panamá (CA, por sus siglas en inglés), La Universidad Tecnológica de Panamá, actúa como Autoridad de Certificación (CA-UTP) relacionando una determinada clave pública con un sujeto o entidad concretos a través de la emisión de un Certificado, de conformidad con los términos de esta CPS.
1.3.2 Autoridad de registro (RA, por sus siglas en ingles) encargada de la identificación y autenticación de los usuarios, y de completar el protocolo definitivo en este documento para la emisión y revocación de certificados. Los Agentes de Registro formarán parte del personal de la Universidad. Inicialmente se establece una única Agencia de Registro que se localizará en DITIC- Autoridad de Certificación de la Universidad Tecnológica de Panamá. El intercambio de información para verificar la identidad, y los protocolos de certificación que se seguirán son descritos en este documento, y dependerán del tipo de certificado a emitir.
1.3.3 Usuarios o Subscriptores es la entidad cuyo nombre aparece como sujeto en el certificado. Para la CA-UTP, actualmente los usuarios son, potencialmente, todos los colaboradores de la Universidad Tecnológica de Panamá, y aquellos equipos de comunicación que requieran certificados digitales, previamente autorizados por la CA-UTP.
1.4 Uso del Certificado
1.4.1 Uso Apropiado del Certificado
El uso para el que están especialmente preparados los certificados emitidos por la CA-UTP es la identificación, autenticación de los usuarios y host, y cualquier otro servicio que disponga la UTP.
1.4.2 Uso indebido del Certificado
Se considerará que se hace un uso indebido de un Certificado cuando éste sea utilizado para realizar operaciones no autorizadas según las Prácticas de Certificación aplicables a cada uno de los Certificados.
1.5 Política de Administración
1.5.1 Unidad que administra este documento
La Dirección de Tecnología de la Información y Comunicaciones (DITIC) es la responsable por el registro, mantenimiento e interpretación de esta CP/CPS. DITIC está ubicada en la siguiente dirección:
DITIC
Universidad Tecnológica de Panamá
Campus Víctor Levi Sasso
Avenida Universidad Tecnológica
Panamá
1.5.2 Datos de Contacto
DITIC, específicamente la Unidad de Certificación y Seguridad, es la entidad de contacto para preguntas relacionadas a este documento, favor contactar a:
Correo Electrónico: [email protected]
Teléfono: 507.560.33.11
Fax: 507.560.31.48
1.6 Definiciones y Acrónimos
Autenticación: Mecanismo utilizado para determinar que un individuo, equipo u organización, en particular, es quien dice ser.
Autoridad de Certificación (CA): es una entidad de confianza, responsable de emitir y revocar los certificados digitales o certificados, utilizados en la firma digital, para lo cual se emplea la criptografía de clave pública.
Autoridad de Registro (RA): Entidad responsable de identificar y autenticar solicitudes de usuarios, aprobar o rechazar solicitudes de certificados, iniciar revocaciones de certificados, bajo ciertas circunstancias, procesar peticiones de los subscriptores para revocar, aprobar o rechazar peticiones de renovación de certificados.
Certificado Digital: es un documento indicando que una llave pública pertenece a o está asociado a un individuo, organización o dispositivo.
Declaración de Prácticas de Seguridad: declaración de las prácticas que una Autoridad de certificación emplea para emitir, administrar y revocar certificados.
DITIC: Dirección de Tecnología de Información y Comunicaciones.
Firma Digital: un método criptográfico que asocia la identidad de una persona o de un equipo informático, al mensaje o documento.
IETF: Internet Engineering Task Force, es la comunidad Internacional compuesta por ingenieros, diseñadores, vendedores y expertos que investigan y promueven las distintas tendencias, estándares e investigaciones relacionadas con la Internet.
Identificación: Proceso de establecer la identidad de un individuo u organización.
Política de certificación: Conjunto de reglas que indican la aplicabilidad de un certificado a una comunidad en particular y/o clase de aplicaciones con requerimientos de seguridad comunes.
Repositorio: Almacenamiento en línea que contiene los certificados que se han emitidos, los CRLs, políticas, etc.
Subscriptor: un sujeto a quien se le emite un certificado.
2. DISPOSICIONES GENERALES
2.1 Obligaciones
2.1.1 Obligaciones de la Universidad Tecnológica de Panamá como autoridad certificadora
La Universidad Tecnológica de Panamá se obliga, en todo caso, a:
- Ofrecer y mantener la infraestructura necesaria para los servicios de certificación de la Universidad Tecnológica de Panamá, incluyendo el establecimiento y operatividad del depósito de certificados, así como los controles de seguridad física, de procedimiento y de seguridad técnica descritos en este documento.
- Aprobar definitivamente o denegar las solicitudes de certificados y, en el primer caso, emitir los certificados de acuerdo con lo establecido en el apartado 10.
- Poner copias de sus propios certificados y de cualquier información de revocación a disposición de quien desee verificar una firma digital con referencia a dichos certificados.
- Revocar los certificados de acuerdo a las disposiciones de este documento.
- Proteger los datos personales de los solicitantes que le suministre la Agencia de Registro, de acuerdo a la normativa vigente de protección de datos y las políticas de esta Universidad al respecto.
- Llevar a término la identificación y autenticación de los solicitantes de certificados.
- Llevar a término la identificación y autenticación para la revocación de certificados.
- Proteger los datos personales de los solicitantes, que no podrá ceder a terceros bajo ningún concepto.
- Atender las solicitudes, peticiones y requisitos de los solicitantes referidas a los procedimientos propios de la Agencia de Registro y de la entidad de emisión, que no deberá comunicarse con el usuario final en ningún caso.
2.1.3 Obligaciones de los suscriptores de Certificados
Los solicitantes de Certificados de Identidad Personal, y tras la aceptación de los certificados, tienen las siguientes obligaciones:
- Proteger su frase secreta.
- Guardar el certificado expedido por la CA-UTP.
- Comunicar inmediatamente a la Universidad, a través de su Autoridad de Registro, el compromiso, pérdida, divulgación, modificación o uso no autorizado.
2.2 Responsabilidad
2.2.1 Responsabilidad de la Universidad Tecnológica de Panamá
La CA-UTP pone a disposición del usuario, la tecnología informática requerida para la creación, y revocación de los certificados digitales. La firma digital generada por dichos certificados serán para los uso que disponga la universidad.
Es obligación de la CA-UTP:
Como Autoridad de Certificación:
- Garantizar el cumplimiento de las obligaciones anteriormente expuestas y, específicamente, que la clave privada de CA-UTP no ha sido comprometida, a menos que se anuncie lo contrario.
- La generación de las llaves privadas de los usuarios a través de una frase clave.
- Generar la lista de revocación conteniendo los certificados revocados y la fecha y causa de revocación.
- Disponer de las herramientas técnicas y mecanismos seguros necesarios para garantizar la inviolabilidad de los aspectos que ambas autoridades certifican.
- Se responsabiliza frente a su comunidad universitaria de los errores producidos por fallo de su sistema durante los procedimientos de carga de peticiones, generación y revocación de certificados.
- Cualquier incidente proveniente del compromiso de la llave privada de CA-UTP es responsabilidad única y exclusiva de la Universidad Tecnológica de Panamá.
- Y todas aquellas obligaciones indicadas por la presente CPS y las normas en la República de Panamá que regulen los certificados digitales y las firmas digitales.
- Es responsabilidad de la Autoridad de Registro la correcta validación de identidad de los solicitantes, tanto para la emisión de certificados como para la revocación.
- Identificar y autenticar correctamente al usuario y a la unidad que represente.
- Almacenar de forma segura y por el período que la Legislación panameña establezca, la documentación aportada en el proceso de emisión del Certificado y en el proceso de revocación del mismo.
- Llevar a cabo cualesquiera otras funciones que le correspondan, a través del personal que sea necesario en cada caso, conforme se establece en esta CPS.
- Cualquier anomalía o incidente producidos entre el momento de la revocación de la clave privada correspondiente a un Certificado de Identidad Personal y el momento de la notificación de tal extremo a la CA-UTP es responsabilidad única y exclusiva del suscriptor.
- Cualquier incidente que comprometa la clave privada asociada a un Certificado de Identidad Personal es responsabilidad única y exclusiva del suscriptor.
- Solicitar la revocación del Certificado cuando se cumpla alguno de los supuestos previstos en el epígrafe titulado " Revocación y suspensión de certificados " de la presente CPS.
- No revelar la frase secreta, que es el código de activación del Certificado.
- Asegurarse de que toda la información contenida en el Certificado es cierta y notificar inmediatamente a la CA-UTP en caso que se haya incluido cualquier información incorrecta o inexacta o en caso que, de forma sobrevenida, la información del Certificado no se corresponda con la realidad. Asimismo, deberá comunicar de manera inmediata el cambio o variación que haya sufrido cualquiera de los datos con los que se genero el Certificado, aunque éstos no estuvieran incluidos en el propio Certificado.
- Informar inmediatamente a la CA-UTP acerca de cualquier situación que pueda afectar a la validez del Certificado.
- Realizar un uso debido y correcto del Certificado, según se desprende de esta CPS.
- Cualquier otra que se derive de la ley, del contenido de esta CPS.
2.3 Publicación y Repositorio
2.3.1 Repositorio
El contenido de esta CPS, así como de toda la información que se publique, estará expuesta a título informativo en la dirección de Internet:
https://certificadodigital.utp.ac.pa y los originales estarán depositados en las oficinas de la CA-UTP.
Igualmente, los usuarios podrán tener acceso de forma fiable a la información de la CA dirigiéndose a sus oficinas, o bien, solicitándolo a la dirección de correo: [email protected].
2.3.2 Publicación de Información de la CA-UTP
El repositorio en línea de la CA-UTP contiene lo siguiente:
- El certificado raíz de la CA-UTP
- Listado de los certificados emitidos
- Listado de los certificados revocados (CRL)
- Una copia de la versión aprobada, más reciente de este documento.
2.3.3 Frecuencia de Publicación
Toda la información publicada debe de estar actualizada.
Los certificados serán publicados en el sitio web de la CA-UTP, tan pronto como sean emitidos.
Los certificados revocados serán publicados inmediatamente después de haber procesado su revocación.