Secretaría General de Gobierno

Requisitos y procedmientos para acreditarse como PSC

Requisitos generales.

Los interesados en obtener la autorización de la Secretaría General de Gobierno como Prestador de Servicios de Certificación (PSC) deberán satisfacer los siguientes requisitos:              
I. Presentar, previo pago de derechos correspondiente, la solicitud de acreditación por escrito ante la Secretaría. Los Prestadores de Servicios de Certificación del Gobierno del Estado de Jalisco estarán exentos del pago de derechos;
II. Tener domicilio legal o sucursal en el Estado de Jalisco;
III. Adjuntar a la solicitud, según corresponda, los siguientes documentos:
1) En caso de los notarios públicos, copia certificada del fiat, título de habilitación o documento que en términos de la legislación de la materia les acredite estar en ejercicio de la fe pública;
 
2) En caso de las personas jurídicas, copia certificada de su acta constitutiva u otro instrumento público, que acredite su constitución de acuerdo con las leyes mexicanas y que dentro de su objeto social tenga alguna de las siguientes actividades:      
2.1. Verificar la identidad de los titulares y su vinculación con los dispositivos de verificación de firma electrónica y certificado electrónico;
2.2. Comprobar la integridad y suficiencia del Mensaje de Datos del solicitante;
2.3. Llevar a cabo registros de los elementos de identificación de los Firmantes y de aquella información con la que haya verificado el cumplimiento de fiabilidad de las Firmas Electrónicas Avanzadas y expedir el Certificado Electrónico; y
2.4. Cualquier otra actividad no incompatible con las anteriores;
 
3) En caso de las personas físicas, copia del documento que acredite su actividad empresarial, constancia de inexistencia de antecedentes penales que acredite no haber sido condenado por delitos en contra del patrimonio que merezca pena privativa de la libertad; y
 
4) En caso de las dependencias y entidades públicas estatales o municipales, así como sus unidades administrativas, copia del instrumento jurídico de su creación;
IV. Comprobar que  cuentan con los elementos señalados en el artículo 24fracción II de la Ley, de conformidad con lo establecido por el artículo 6 del Reglamento de la Ley;
V. Contar con procedimientos claros y definidos de conformidad con lo establecido por el Reglamento;
VI. Adjuntar a la solicitud una carta suscrita por cada persona física que pretenda operar o tener acceso a los sistemas que utilizará en caso de ser acreditado, donde dicha persona manifieste, bajo protesta de decir verdad y advertido de las penas en que incurren los que declaran falsamente ante una autoridad distinta a la judicial, de que no fue condenado por delito contra el patrimonio de las personas y mucho menos, inhabilitado para el ejercicio de la profesión o para desempeñar un puesto en el servicio público, en el sistema financiero o para ejercer el comercio;
VII. Acreditar que tienen la posibilidad de contar con una póliza de fianza por el monto y condiciones que se determinan en el Reglamento;
VIII. Acompañar a su solicitud, escrito de conformidad para ser sujeto de revisión por parte de la Secretaría en todo momento, para que ésta verifique el cumplimiento de los requisitos para obtener y mantener la acreditación como Prestador de Servicios de Certificación.
Cuando el interesado pretenda que los datos de creación de firma electrónica avanzada permanezcan en resguardo fuera del territorio del estado de Jalisco, deberá solicitarlo a la Secretaría. En este caso, el interesado manifestará por escrito su conformidad de asumir los costos que impliquen a la Secretaría el traslado de su personal para efectuar sus revisiones; y;
IX. Registrar ante la Secretaría su Certificado.
 
Requisitos humanos, materiales,  económicos y tecnológicos.
La Secretaría General de Gobierno, a través de la Dirección de Firma Electrónica tendrá por acreditados los elementos humanos, materiales, económicos y tecnológicos, cuando el solicitante cumpla con los siguientes requisitos:
 
I. Humanos:
a) Un profesionista  que deberá cumplir con los siguientes requisitos:
1. Ser licenciado en derecho o abogado con título y cédula profesional registrado en la Dirección de Profesiones del Estado;
2. Cumplir con el requisito establecido en el artículo 24fracción IV de la Ley;
3. Comprobar que conoce la operación como usuarios de los sistemas informáticos que habrá de utilizar el Prestador de Servicios de Certificación;
4. Presentar la solicitud de examen para encargado de identificación correspondiente, mismo que aplicará la Secretaría dentro de los veinte días siguientes a la presentación de la solicitud para la autorización como Prestador de Servicios de Certificación. Este requisito no será aplicable en el caso de notarios y dependencias y entidades públicas;
b) Un licenciado o ingeniero en el área informática o carrera afín, con título y cédula profesionales debidamente registrados; comprobar al menos dos años de experiencia en el campo de seguridad informática, incluyendo los datos de las empresas o instituciones y fechas en las que adquirió la experiencia, sus cargos y las actividades y funciones desempeñadas; deberá contar con diploma en seguridad informática o, en su caso, tener alguna certificación en esta área; así como cumplir con el requisito establecido en el artículo 24 fracción IV de la Ley; y
c) Cinco auxiliares de apoyo informático consistentes en un oficial de seguridad, un administrador de sistemas, un operador de sistemas, un administrador de bases de datos y un administrador  de redes. Dicho personal deberá ser técnico, licenciado o ingeniero en área informática o en carrera afín; tener experiencia comprobable en el área de informática de¬ cuando menos cuatro años incluyendo los datos de las empresas o instituciones y fechas en las que adquirió la experiencia, sus cargos y las actividades y funciones desempeñadas, así como las cartas de las empresas o instituciones públicas en donde la haya adquirido; acreditar al menos una certificación en manejo de software o hardware referente a seguridad informática; así como cumplir con el requisito establecido en el artículo 24 fracción IV de la Ley.           
II. Materiales: Espacio físico apropiado para la actividad, controles de seguridad, accesos y perímetros de seguridad física, medidas de protección, así como con las políticas necesarias para garantizar la seguridad del área. El solicitante anexará a su solicitud un documento que se denominará "Política de Seguridad Física" a que se sujetará la prestación del servicio y que deberá mantener actualizado, el cual contemplará y desarrollará, por lo menos, los siguientes conceptos:
a) Control de acceso físico;
b) Medidas, procedimientos y prácticas de seguridad;
c) Protección y recuperación ante desastres;
d) Protecciones contra robo, forzamiento y entrada no autorizada a los¬ espacios físicos;
e) Medidas de protección en caso de incendio, sismo, inundación, explosiones, desórdenes civiles y otras formas de desastres naturales, contra fallas de servicios eléctricos o de telecomunicaciones; y
f) Un procedimiento de actualización para autorización de acceso al personal a las áreas restringidas.       
La seguridad física propuesta por el solicitante deberá ser compatible con las normas y criterios internacionales;
III. Económicos: Capital que comprenderá al menos el equivalente a una cuarta parte de la inversión requerida para cumplir con los elementos humanos, tecnológicos y materiales, y un seguro de responsabilidad civil cuyo monto será de cincuenta veces el salario mínimo general diario vigente en la Zona Metropolitana de Guadalajara correspondiente a un año. Este requisito no será aplicable para las dependencias y entidades públicas; y
IV. Tecnológicos:Consistentes en:
a) Documento denominado "Análisis y Evaluación de Riesgos y Amenazas" que desarrolle los siguientes aspectos:
1. Identificación de riesgos e impactos que existen sobre las personas y los equipos, así corno recomendaciones de medidas para reducirlos;            
2. Implementación de medidas de seguridad para la disminución de los riesgos detectados;
3. Proceso de evaluación continua para adecuar la valoración de riesgos a condiciones cambiantes del entorno;
4. Determinar un proceso equivalente o adoptar el descrito en los documentos siguientes: "Risk Management Guide for Information Technology Systems, Special Publication 800-30, Recommendations of the Nacional Institute of Standards and Technology, October 2001", "Handbook 3, Risk Management, Version 1, Australian Communications Electronic Security Instruction 33 (ACSI 33)", o aquellos que les sustituyan; e   
5. Impacto que sufrirá el negocio en caso de interrupciones no planificadas.
b) Infraestructura informática: deberá incluir una autoridad certificadora y una autoridad registradora; depósitos para datos de creación de firma electrónica del prestador de servicios de certificación y su respaldo, certificados y listas de certificados revocados (LCR) basadas en un servicio de Protocolo de Acceso de Directorio de Peso Ligero (LDAP) o equivalente y un Protocolo de Estatus de Certificados en Línea (OCSP); procesos de administración de la infraestructura; un manual de política de certificados; una declaración de prácticas de certificación; y los manuales de operación de las autoridades certificadora y registradora;
c) Equipo de cómputo y software: el solicitante deberá contar, por lo menos, con un servidor de misión crítica para la autoridad certificadora y la autoridad registradora, contemplando otro servidor de las mismas características para redundancia por seguridad; un servidor de misión crítica, contemplando redundancia por seguridad, para LDAP, LCR y OCSP; una computadora para almacenar el sistema de administración de la infraestructura que se opera; un sistema de sello o estampado de tiempo para disertar, fecha y hora de emisión de los certificados, con las especificaciones establecidas en el artículo 19 del Reglamento; un enlace mínimo de 5 MB, contemplando redundancia de al menos 2 MB a Internet; un ruteador, contemplando redundancia por seguridad; un cortafuegos, (firewall), contemplando redundancia por seguridad; un sistema de monitoreo de red; un sistema confiable de antivirus; herramienta confiable de detección de vulnerabilidades; sistemas confiables de detección y protección de intrusión; y las computadoras personales e impresoras necesarias para la prestación del servicio;
d) Políticas de Seguridad de la Información: la cual deberá constar por escrito y cumplir con los siguientes requisitos: 
1. Ser congruente con el objeto del solicitante;
2. Los objetivos de seguridad determinados deberán ser claros, generales, no técnicos y resultado del Análisis y Evaluación de Riesgos y Amenazas;
3. Estar basada en las recomendaciones del estándar ISO 17799 sección tres;
4. Tener manuales de política general y los necesarios para establecer políticas específicas;
5. Deberán identificarse los objetivos de seguridad relevantes y las amenazas potenciales relacionadas a los servicios suministrados, así como las medidas a tomar para evitar y limitar los efectos de tales riesgos y amenazas, con base en el Análisis y Evaluación de Riesgos y Amenazas;
6. Describir las reglas, directivas y procedimientos que indiquen cómo son provistos los servicios y las medidas de seguridad asociadas;
7. Señalar el periodo de revisión y evaluación de la Política de Seguridad;
8. Ser consistentes con la Declaración de Prácticas de Certificación y con la Política de certificados; y    
9. Incluir un proceso similar al descrito en: Internet Security Policy: a Technical Guide, by the National Institute of Standards and Technology (NIST).
 
e) Plan de Continuidad del Negocio y Recuperación ante Desastres: se deberá elaborar un plan que describa cómo actuará el Prestador de Servicios de Certificación en caso de interrupciones del servicio. El plan será mantenido y probado periódicamente, asimismo, describirá los procedimientos de emergencia a seguir en al menos los siguientes casos:
1. Afectación al funcionamiento de software en el que se basarán los servicios del Prestador de Servicios de Certificación;
2. Incidente de seguridad que afecte la operación del sistema en el que se basan los servicios del Prestador de Servicios de Certificación;
3. Robo de los datos de creación de firma electrónica del Prestador de Servicios de Certificación;
4. Falla de los mecanismos de auditoría;
5. Falla en el hardware donde se ejecuta el producto en el que se basarán los servicios del Prestador de Servicios de Certificación; y
6. Mecanismos para preservar evidencia del mal uso de los sistemas.
 
El plan deberá ser compatible con las normas y criterios internacionales y al menos con los lineamientos descritos en el estándar ISO 17799 o el estándar ETSITS 102 042, o los que les sustituyan. De igual forma, el plan deberá ser coherente con los niveles de riesgo determinados en el Análisis y Evaluación de Riesgos y Amenazas y seguirá un proceso similar al descrito en: NIST ITL Bulletin June 2002, Contingency Planning Guide for Information Systems; NIST Special Publication 800-34, Contingency Planning Guide for Information Systems, June 2002; y NIST Special Publication 800-30 Risk Management Guide, u otros textos posteriores equivalentes.
 
f) Plan de Seguridad de Sistemas: este plan, coherente con la Política de Seguridad de la Información, describirá los requerimientos de seguridad de los sistemas y de los controles a implantar y cumplir, así como las responsabilidades y acceso de las personas a los sistemas. El plan incorporará:
1. La política de seguridad de la información, seguridad organizacional, control y clasificación de activos, administración de operaciones y comunicaciones, control de accesos, desarrollo y mantenimiento de sistemas, seguridad del personal y seguridad ambiental y física que sean compatibles con los señalados por la norma ISO 17799;
2. Los mecanismos y procedimientos de seguridad propuestos que se aplicarán en todo momento;
3. La forma en que se garantizará el logro de los objetivos de la Política de Certificados y la Declaración de Prácticas de Certificación, la cual debe de ser compatible, por lo menos, con las secciones 4 a 10 del estándar ISO 17799, o las que le sustituyan. En caso de claves criptográficas, la manera en que se efectuará su administración; y
4. Las medidas de protección del depósito público de certificados y de información privada obtenida durante el registro.
 
g) Estructura de Certificados: Además de contener los datos establecidos en el artículo 13 de la Ley para ser considerado como válido, la estructura de datos del certificado debe ser compatible con el estándar ISO/IEC 9594-8, y contar con las siguientes características:
1. Los algoritmos utilizados para la firma electrónica deben ser compatibles con los estándares de la industria RFC 3280. Internet X509 Public Key Infraestructure Certificate and Certificate Revocation List (CRL) Profile, o los que les sustituyan que provean un nivel adecuado de seguridad tanto para la firma del Prestador de Servicios de Certificación como del usuario.
2. El tamaño de las claves utilizadas para la generación de una firma electrónica, deberá proveer el nivel de seguridad de 1024 bits para los usuarios y de 2048 bits para los Prestadores de Servicios de Certificación. Deberán utilizar funciones hash conforme a estándares de la industria, actuales y que provean el adecuado nivel de seguridad para este tipo de firmas.
3. Contendrán referencia o información suficiente para identificar o localizar uno o más sitios de consulta donde se publiquen las notificaciones de revocación de los certificados. ¬
 
h) Estructura de la lista de Certificados Revocados: deberá ser compatible con la última versión del estándar ISO/IEC 9594-8 o la que le sustituya, e incluir por lo menos la siguiente información:
1. Número de serie de los certificados revocados por el emisor con fecha y hora de revocación;                           
2. La identificación del algoritmo de firma utilizado;
3. El nombre del emisor;
4. La fecha y hora en que fue emitida la Lista de Certificados Revocados;
5. La fecha en que emitirá la próxima Lista de certificados Revocados que no podrá exceder de veinticuatro horas, con independencia de mantener el Protocolo de Estatus de Certificados en Línea (OCSP); y
6. La Lista de Certificados Revocados deberá ser firmada por el Prestador de Servicios de Certificación que la haya emitido, con sus Datos de Creación de Firma.
i) Sitio electrónico: se deberá señalar un sitio electrónico de alta disponibilidad con mecanismos redundantes o alternativos de conexión y de acceso público a través de Internet que permitirá a los usuarios consultar los certificados emitidos de forma remota, continua y segura compatible con el estándar ISO/lEC 9594-8 o el que le sustituya, a efecto de garantizar la integridad y disponibilidad de la información ahí contenida. En dicho sitio se incluirá la Política de Certificados y la Declaración de Prácticas de Certificación.
j) Procedimientos que informen de las características de los procesos de creación y verificación de firma electrónica, así como aquellos que aplicarán para dejar sin efecto definitivo los certificados.            
k) Política de Certificados: ésta debe asegurar su concordancia con la Declaración de Prácticas de Certificación y los procedimientos operacionales, será pública, tendrá que ser compatible por lo menos con el estándar ETSI TS 102 042 o el que le sustituya y deberá establecer bajo qué circunstancias se puede revocar un certificado y quienes pueden solicitarlo.
Deberá indicar a quién se le puede otorgar un certificado y cómo se aplicará el proceso de registro, que se deberá verificar en forma fehaciente la identidad del usuario y deberá describir la forma en que se precisarán los propósitos, objetivos y alcances del certificado y sus limitaciones. Asimismo, se deberán establecer las obligaciones que contrae el Prestador de Servicios de Certificación y el usuario en la emisión y utilización del certificado.
 
I) Declaración de Prácticas de Certificación: la cual deberá ser compatible por lo menos con el estándar ETSI TS 102 042 y el RFC 36470 o el que le sustituya, y determinará lo siguiente: ¬
1. Los procedimientos de operación para otorgar certificados y el alcance de aplicación de los mismos;
2. Las responsabilidades y obligaciones del Prestador de Servicios de ¬Certificación y de la persona a identificar. Particularmente desarrollará aquellas inherentes a la emisión, revocación y expiración de certificados;
3. La vigencia de los certificados, y, una vez otorgada la acreditación por la Secretaría, la fecha de inicio de operaciones;
4. El método de verificación, de identidad del usuario que se utilizará para la emisión de los certificados; ¬
5. Procedimientos de protección de confidencialidad de la información de los solicitantes;
6. Procedimiento para registrar la fecha y hora de todas las operaciones relacionadas con la emisión de un Certificado y conservarlas de manera confiable;
7. Los procedimientos que se seguirán en los casos de suspensión temporal o definitiva del Prestador de Servicios de Certificación y la forma en que la administración de los certificados emitidos pasarán a la Secretaría o a otro Prestador de Servicios de Certificación;
8. Las medidas de seguridad adoptadas para proteger los datos de creación de firma electrónica; y     
9. Los controles que se utilizarán para asegurar que el propio usuario genere sus datos de la creación de firma electrónica, autenticación de usuarios, emisión de certificados, revocación de certificados, auditoría y almacenamiento de información relevante.
 
m) Modelo Operacional de la Autoridad Certificadora: dicho modelo deberá contener la siguiente información:
1. Cuáles son los servicios prestados, cómo se interrelacionan los diferentes servicios, en qué lugares se operará, qué tipos de certificados se entregarán, si se generarán certificados con diferentes niveles de seguridad, cuáles son las políticas y procedimientos de cada tipo de certificado y cómo se protegerán los activos;
2. Un resumen que incluya en el contenido del documento, la historia del Prestador de Servicios de Certificación y las relaciones comerciales con proveedores de insumos o servicios para sus operaciones;
3. Interfass con las autoridades registradoras;
4. Implementación de elementos de seguridad;
5. Procesos de administración;
6. Sistema de directorios para los certificados;
7. Procesos de auditoría y respaldo;
8. Bases de datos a utilizar; y
9. Requerimientos de seguridad física del personal, de las instalaciones y del módulo criptográfico.
 
n) Modelo Operacional de la Autoridad Registradora: dicho modelo deberá contener la siguiente información:
1. Cuáles son los servicios de registro que se prestarán, en qué lugares se ofrecerán dichos servicios y qué tipos de certificados generados por la autoridad Certificadora se entregarán;
2. Interfases con la autoridad certificadora;
3. Implementación de dispositivos de seguridad;           
4. Procesos de administración;
5. Procesos de auditoría y respaldo;
6. Bases de datos a utilizar;
7. Privacidad de datos;
8. Descripción de la seguridad física de las instalaciones;
9. Método para proveer de una identificación unívoca del usuario y el procedimiento de uso de los datos de creación de firma electrónica; y
10. Los mecanismos para que el propio usuario genere en forma privada y segura sus datos de creación de firma electrónica y la inclinación al usuario del grado de fiabilidad de los mecanismos y dispositivos utilizados; y
 
ñ) Plan de administración de claves: se definirá este plan conforme al cual se generarán, protegerán y administrarán las claves criptográficas. El mismo tendrá que ser compatible, por lo menos, con el estándar ETSI TS 102 042 sección 7.2 o el que le sustituya. El plan deberá desarrollar los siguientes apartados:
1. Claves de la Autoridad Certificadora;
2. Almacenamiento, respaldo; recuperación y uso de los datos de creación de firma electrónica de la autoridad certificadora del Prestador de Servidos de Certificación;
3. Distribución del certificado de la Autoridad Certificadora;
4. Administración del ciclo de vida del hardware criptográfico que utilice la Autoridad Certificadora;
5. Dispositivos seguros para los usuarios; y
6. Dispositivos seguros para almacenar los datos de creación de firma electrónica, compatibles como mínimo con el estándar FIPS-140 nivel 3 en sus elementos de seguridad e implantación de los algoritmos criptográficos estándares, o el que le sustituya.
Los procedimientos implantados de acuerdo a este plan deberán garantizar la seguridad de las claves en todo momento, aun en caso de cambios de personal o componentes tecnológicos.
 
Procedimiento:
La obtención de la autorización como Prestador de Servicios de Certificación se realizará conforme al siguiente procedimiento:               
I. La Secretaría, una vez recibida la solicitud, previo el pago de derechos correspondientes, revisará y evaluará la información y documentación recibida; así como visitará el domicilio señalado por el interesado a efecto de llevar a cabo una revisión para comprobar los requisitos para obtener la acreditación como Prestador de Servicios de Certificación. Los Prestadores de Servicios de Certificación del Gobierno del Estado de Jalisco estarán exentos del pago de derechos.
Cuando de la revisión detecte la falta de cualquiera de los requisitos señalados en la Ley y en este Reglamento, dentro de los veinticinco días hábiles siguientes a la recepción de la solicitud prevendrá al interesado por escrito y por una sola ocasión, para que subsane la omisión dentro del término de veinte días hábiles contados a partir de su notificación.
Transcurrido dicho plazo sin que sea desahogada la prevención se desechará el trámite;           
II. La Secretaría podrá, durante todo el proceso, solicitar documentación adicional y realizar visitas a las instalaciones del interesado para comprobar el cumplimiento de los requisitos establecidos; y
III. La Secretaría resolverá en un plazo no mayor a sesenta días hábiles contados a partir de la presentación de la solicitud, la procedencia o no de otorgar la autorización como Prestador de Servicios de Certificación, en caso contrario se tendrá por no concedida.

Autor: martha.ramirez - Secretaría General de Gobierno
Fecha de actualización: 22/07/2015 - 18:09:23