ADMINISTRATIVAS Y/O JUDICIALES Se considera información confidencial.
10. OTROS ASPECTOS
10.1 POLÍTICAS A SEGUIR POR EL PSC-F
10.1.3 DESDE EL PUNTO DE VISTA DEL ACCESO A LA INFORMACIÓN
Dado que la base de todo la Infraestructura de Clave Pública es la Confidencialidad e Integridad de las Claves:
¾ El PSC-FII almacenará en secreto su Clave Privada, en Hardware Criptográfico, específico para tal fin, y con especial celo por su Seguridad y Protección. Si esos
elementos o esta información se viesen comprometidos se activaría la contingencia correspondiente al caso.
¾ La Información suministrada por las Autoridades de Certificación, Autoridades de Registro y Usuarios del Sistema Nacional de Certificación Electrónica del estado venezolano se considerará de Acceso Restringido. En consecuencia, El PSC-FII se abocará a mantenerla segura en lugares especialmente diseñados para ello, de Acceso Restringido, y formará a su personal en las políticas de acceso a la(s) sala(s) respectivas, así como a la información que en ella(s) se contenga, todo de acuerdo a los lineamientos estipulados en La Ley y sus Reglamentos.
¾ Similares condiciones aplicarán para los respaldos de rigor.
¾ Como se estipula en La Ley y sus Reglamentos, El PSC-FII deberá intercambiar información regularmente con SUSCERTE. En consecuencia, se procurará que ese intercambio no contravenga lo estipulado en este punto en cuanto a Seguridad y Confidencialidad de la información.
¾ Adicionalmente, como El PSC-FII será objeto de Auditorias por parte de SUSCERTE, éste facilitará la información requerida, pero en el entendido que se hará apegado a lo estipulado en los Reglamentos del Decreto-Ley sobre Mensajes de Datos y Firmas Electrónicas, y de La Constitución de La República Bolivariana de Venezuela en cuanto a la confidencialidad de la Información (sin desmérito de lo que pudiese ordenar algún tribunal apegado a Las Leyes y siguiendo una causa en particular).
¾ Iguales criterios aplicarán para los Soportes Físicos estipulados en La Ley y sus Reglamentos, más los acuerdos/contratos firmados con Las Autoridades de Certificación y Autoridades de Registro.
¾ En el caso particular de las Claves Privadas de Terceros, El PSC-FII rehusará terminantemente el accederlas o almacenarlas, y notificará a las autoridades respectivas la brecha de seguridad que eso pudiera representar para que se tomen los correctivos necesarios.
¾ Adicionalmente, El PSC-FII velará porque Las Autoridades de Certificación y Autoridades de Registro ante ésta registrados, cumplan con los recaudos técnicos y operativos contemplados en estas Normas y Procedimientos, para lo cual podrá:
• Solicitar la consignación de documentación que demuestre dicho cumplimiento. • Participar en Auditorias a Las Autoridades de Certificación subordinadas de tercer
nivel y Autoridades de Registro subordinadas, según detalles que pudieran estar especificados en los acuerdos y/o contratos respectivos complementarios pero no sustitutivos de estas Normas y Procedimientos.
• Contratar eventuales Auditores Externos para que actúen a su nombre en el recabo y estudio de la información contemplada en estas Normas y Procedimientos, así como en La Ley y Sus Reglamentos.
¾ El PSC-FII velará porque la Información Pública concerniente al manejo de Certificados Electrónicos, y en particular la Lista de Certificados Emitidos, y la Lista de Certificados Revocados esté accesible para Las Autoridades de Certificación y Autoridades de Registro y los Signatarios, con los Niveles de Servicio y Seguridad establecidos en La Ley y Sus Reglamentos.
¾ En particular, las políticas contempladas en este Manual de Normas y Procedimientos para la Implantación de Certificación Electrónica y Firmas Electrónicas serán de acceso público, permanente y actualizado.
¾ Una vez que la Información (en soporte físico y/o digital) haya cumplido con su ciclo de vida (técnico y legal) El PSC-FII procederá a su destrucción segura para contribuir a salvaguardar la privacidad de la información concerniente a los Proveedores de Servicio de Certificación y de los Usuarios del Sistema Nacional de Certificación Electrónica del estado venezolano.
10.1.3.1 CONTINGENCIA
En el caso de que los mecanismos de seguridad propios de El PSC-FII (bien sea por propia detección, o por pronta comprobación de la alerta emitida por un tercero de confianza) sobre
que el secreto de su clave privada haya sido comprometido, El PSC-FII procederá lo más pronto posible dentro de los plazos contemplados por la Ley y sus Reglamentos a:
¾ Convocar un grupo de trabajo que evaluará la gravedad de la situación y determinará si ello implica un peligro real para la Integridad y Confidencialidad de la Información almacenada.
¾ En caso de ser cierto, investigar con los recursos disponibles en línea si en efecto esa brecha de seguridad ha sido consumada o pudiera llegar a ocurrir a corto plazo.
• En caso de que así hubiere ocurrido, deberá abocar un grupo de trabajo a cerrar la brecha de seguridad.
• Y (no necesariamente en orden):
Revocar los Certificados Electrónicos vigentes que haya emitido desde el posible evento hasta la fecha, incluyendo los certificados emitidos/renovados a las Autoridades de Registros y Autoridades de Certificación subordinadas de tercer nivel.
Revocar el certificado de su propia Autoridad de Registro, así como su propia Clave Privada.
Publicar lo correspondiente en el Repositorio de Lista de Certificados Revocados, así como en su sitio Web, en caso de considerarse necesario.
Notificar a SUSCERTE de la situación y de las medidas ejecutadas hasta el momento. Coordinar las acciones subsiguientes que requieran pasos mancomunados.
Notificará por e-mail, por su página Web, o por otros medios que estén a su alcance inmediato a los Usuarios del Sistema de Claves Públicas del estado venezolano afectados.
Solicitar a SUSCERTE un nuevo par de Claves siguiendo el procedimiento de rigor, pero con carácter de urgencia.
Emitir nuevos certificados para las Autoridades de Certificación y Autoridades de Registro acreditadas vigentes afectadas.
Emitir nuevos Certificados Electrónicos para sus Usuarios del Sistema de Claves Públicas del estado venezolano afectados.
Cuando la contingencia haya pasado, proceder a elaborar dentro de los plazos contemplados por la Ley y sus Reglamentos el informe que SUSCERTE en justo derecho exige al respecto.
Tomar los correctivos para que esa situación o similares no se repitan a futuro.
• En caso de que se comprobase la Integridad/Confidencialidad de la Información, y que en consecuencia la brecha de seguridad no se hubiese consumado:
Se procederá a diseñar y ejecutar los correctivos a corto, mediano y largo plazo que cierren esa brecha de seguridad, en caso de estar disponible tal solución, o por lo menos tomar medidas para reducir esa brecha y/o minimizar su impacto.