1. NORMAS GENERALES
1.1 FINALIDAD
Establecer el procedimiento normativo aplicable a la prestación de servicios de certificación de la Entidad de Certificación de Información del Banco Central del Ecuador.
1.2 APROBACIÓN Gerencia General
1.3 RESPONSABILIDAD DE LA EJECUCIÓN, DEL CONTROL INTERNO Y DEL CONTROL PREVIO Y CONCURRENTE
Entidad de Certificación de Información.
1.4 RESPONSABILIDAD DE LA REVISIÓN Y ACTUALIZACIÓN
Funcionarios responsables de la ejecución y del control en coordinación con la Dirección de Desarrollo Organizacional.
1.5 BASE LEGAL
Ley de Comercio Electrónico y su Reglamento; y, Regulaciones Directorio Banco Central.
1.6 VIGENCIA
El presente documento entrará en vigencia a partir de la fecha de su aprobación.
1.7 DISTRIBUCIÓN
Responsables de la ejecución, Entidad de Certificación de Información y usuarios de Certificación de Firma electrónica.
1.8. ÍNDICE
1. NORMAS GENERALES 2. INTRODUCCIÓN
3. ENTIDAD DE CERTIFICACIÓN DE INFORMACIÓN DEL BANCO CENTRAL DEL ECUADOR- ECIBC
4. REGISTRO 5. USUARIOS 6. PUBLICACIÓN
7. NIVELES DE FIRMA DE CERTIFICADOS DIGITALES QUE EMITE LA ENTIDAD DE CERTIFICACIÓN DE INFORMACIÓN Y USO
8. PROCEDIMIENTO PARA LA EMISIÓN DE CERTIFICADOS 9. PROCEDIMIENTO PARA LA REVOCACIÓN DE CERTIFICADOS 10. EFECTOS DE LA REVOCACIÓN
11. TIPOS DE NOMBRES 12. TIPO DE CERTIFICADO 13. CICLO DEL CERTIFICADO
14. APROBACIÓN DEL CERTIFICADO
15. PLAZO PARA LA TRAMITACIÓN DE UN CERTIFICADO 16. EMISIÓN DEL CERTIFICADO
17. ACEPTACIÓN DEL CERTIFICADO
18. PUBLICACIÓN DEL CERTIFICADO POR LA AUTORIDAD DE CERTIFICACIÓN (AC) 19. USO DE CLAVES Y DEL CERTIFICADO
2. INTRODUCCIÓN
2.1. GENERALIDADES
Mediante Resolución N° 481-20-2008 de 8 de octubre de 2008, el Consejo Nacional de Telecomunicaciones - CONATEL, acreditó a la Entidad de Certificación de Información del Banco Central, cuya principal función es la Emisión de Certificados de Firma Electrónica para personas naturales, jurídicas o funcionarios públicos.
El objetivo de la Entidad de Certificación de Información, es establecer identidades digitales confiables entre sus participantes, es decir, el Banco Central del Ecuador actúa como el tercero confiable entre los usuarios en el proceso que usa para emitir la Firma Electrónica.
2.2. DEFINICIÓN DE TÉRMINOS 2.2.1. AUTENTICACIÓN
Es el proceso por el cual el certificado digital, que le pertenece al usuario, es validado por la Entidad Certificadora de Información del Banco Central del Ecuador.
2.2.2. AUTORIDAD DE CERTIFICACIÓN
El Banco Central del Ecuador en su calidad de Entidad de Certificación de Información, actúa como Autoridad de Certificación y de Registro para la emisión de los certificados digitales para los usuarios.
2.2.3. ENTIDAD DE CERTIFICACIÓN DE INFORMACIÓN Y SERVICIOS RELACIONADOS (ECIBC)
Es la entidad del Banco Central del Ecuador que emite certificados de firma electrónica y que puede prestar otros servicios relacionados con la firma electrónica, autorizada por el Consejo Nacional de Telecomunicaciones, según lo dispuesto en Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos y su Reglamento. La ECIBC será la encargada de la verificación de documentos e identificación de los solicitantes del certificado de firma electrónica y de completar el procedimiento definido para la emisión de certificados.
2.2.4. CERTIFICADO DIGITAL
Es un documento digital mediante el cual la autoridad de certificación asegura la vinculación entre la identidad del usuario, su clave pública, y privada.
2.2.5. CLAVE PRIVADA
Es la clave confidencial que mantiene en privado el usuario. Usada generalmente para descifrar los mensajes codificados y también para generar la firma digital.
2.2.6. CLAVE PÚBLICA
Es la parte del certificado digital que se utiliza para la verificación de la firma electrónica y el cifrado de datos.
2.2.7. FIRMA ELECTRÓNICA
Es la parte del certificado que permite al receptor del mensaje verificar la autenticidad del origen de la información, así como verificar que ésta no ha sido modificada desde su creación.
2.2.8. CERTIFICADO DE FIRMA ELECTRÓNICA
El Certificado de firma Electrónica es un archivo electrónico, que certifica la vinculación de una firma electrónica con una persona determinada, a través de un proceso de comprobación que confirma su identidad.
2.2.10. EL SOLICITANTE
La persona natural, jurídica, funcionario o servidor público que solicita la emisión de un Certificado por parte de la ECIBC, sometiéndose al procedimiento de verificación de identidad y de creación del certificado de firma electrónica que ECIBC ha establecido para su emisión.
2.2.11. EL USUARIO
La persona natural, jurídica, funcionario o servidor público que posee un Certificado por parte de la ECIBC.
2.2.12. REGISTRO
Proceso directo e indelegable por el cual El Usuario consigna en una solicitud, toda la información relacionada con él.
2.2.13. DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN
Documento que reúne las reglas que ECIBC utiliza para gestión, administración, homologación, generación, uso y conservación de cada uno de los certificados de firma electrónica así como de los servicios relacionados que ofrece.
2.2.14. DISPOSITIVO PORTABLE SEGURO-TOKEN
Elemento Físico donde se almacena en forma segura el certificado de firma electrónica que será conferido por el ECIBC. Su uso es indispensable.
2.2.15. CERTIFICADOS DE FIRMA ELECTRÓNICA DE TODO PROPÓSITO
Servirán para firmar electrónicamente: correos electrónicos, facturas electrónicas, contratos electrónicos, ofertas del Sistema Nacional de Contratación Pública, transacciones electrónicas, trámites tributarios electrónicos o cualquier otro tipo de aplicaciones donde se pueda reemplazar la firma manuscrita y se encuentre facultado para hacerlo dentro del ámbito de su actividad o límites de su uso. Este certificado, puede ser utilizado por personas naturales, jurídicas, funcionarios o servidores públicos.
2.2.16. LISTADO DE CERTIFICADOS REVOCADOS (LCR)
Es una lista de certificados que han sido revocados, que no son válidos y en los que no debe confiar ningún usuario del sistema.
2.2.17. UMBRAL LÍMITE (K,N) DE SHAMIR Esquemas criptográficos visuales secretos 2.2.18. CLAVES RSA
El sistema criptográfico con clave pública RSA llamado así por sus creadores
Ron
Rivest
,
Adi Shamir
y
Len Adleman
,
es un algoritmo asimétrico que utiliza una clave pública, la cual se distribuye (en forma autenticada preferentemente), y otra privada, la cual es guardada en secreto por su propietario.2.2.19. DN
Distinción de nombre. 2.2.20. DPC
Declaraciones de prácticas de Certificación. 2.2.21. OCSP
Online Certificate Status Protocol (OCSP) es un método para determinar el estado de revocación de un certificado digital X.509 en línea.
2.2.22. PKI
En criptografía, una infraestructura de clave pública (o, en inglés, PKI, Public Key Infrastructure) es una combinación de hardware y software, políticas y procedimientos
de seguridad que permiten la ejecución con garantías de operaciones criptográficas como el cifrado, la firma digital o el no repudio de transacciones electrónicas.
El término PKI se utiliza para referirse tanto a la autoridad de certificación y al resto de componentes, como para referirse, de manera más amplia y a veces confusa, al uso de algoritmos de clave pública en comunicación electrónica. Este último significado es incorrecto, ya que no se requieren métodos específicos de PKI para usar algoritmos de clave pública.
3. ENTIDAD DE CERTIFICACIÓN DE INFORMACIÓN DEL BANCO CENTRAL DEL ECUADOR- ECIBC
El Banco Central del Ecuador es la ENTIDAD DE CERTIFICACIÓN DE INFORMACIÓN, operada y administrada por su propia Infraestructura de Claves Públicas (PKI), su principal función es la emisión de certificados digitales de firma electrónica y otros servicios relacionados. Únicamente estará en funcionamiento para la realización de las operaciones que se establecen en este documento.
3.1.1. DATOS DE LA ENTIDAD DE CERTIFICACIÓN DE INFORMACIÓN DEL BANCO CENTRAL DEL ECUADOR
Nombre Banco Central del Ecuador
Nombre o=eci, ou=bce, c=ec
Correo electrónico [email protected]
Dirección Av.10 de Agosto N11-409 y Briceño
Número de teléfono (593-2) 2572522
Número de Fax (593-2) 2570012
Casillero Postal 339
Sitio Web www.bce.fin.ec – Sección Entidad de Certificación
PERSONA DE CONTACTO
Nombre Hernán González L.
Director de la Entidad de Certificación de Información del Banco Central del Ecuador Correo electrónico [email protected]
Dirección Av.10 de Agosto N11-409 y Briceño
Número de teléfono (593-2) 2572522 Ext. 2487
Sitio Web www.bce.fin.ec – Sección Entidad de Certificación
3.2. NIVEL JERÁRQUICO DE LA ECIBC
A nivel jerárquico, la Entidad de Certificación de Información del Banco Central del Ecuador, es la siguiente:
3.3. ESTRUCTURA DEL CERTIFICADO RAÍZ DE LA ECIBC
CAMPO DEL CERTIFICADO RAIZ
VALOR DEL CERTIFICADO RAIZ Firma Sha1WithRSA Encryption
Tipo Root CA certificate
Versión 3
Serial Identificador único del certificado.
49 00 af a2
Emisor ou=eci, o=bce, c=ec
Fecha de Emisión 23 de octubre de 2008, 11:38:51hrs
Fecha de Expiración 23 de octubre de 2028, 12:08:51hrs
Titular ou=eci, o=bce, c=ec
Período de validez 20 años
Clave Pública de la Entidad de Certificación de Información RSA 2048 bits Extensiones varias Políticas de certificados URL: Punto de distribución de Lista de Certificados Revocados (LCR) URL: http://www.eci.bce.ec/CRL/eci_bce_ec_crlfile.crl URL:ldap://ldap.bce.ec/ou=eci,o=bce,c=ec?certificateRevocationList?base
3.4. SEGURIDAD DE LA ENTIDAD DE CERTIFICACIÓN
3.4.1. La Entidad de Certificación de Información del Banco Central del Ecuador, opera en un servidor conectado a la red en el edificio Matriz ubicado en la ciudad Quito, se encuentra configurado en alta disponibilidad, y su réplica en la Sucursal Mayor ubicada en la ciudad de Guayaquil.
ECIBC TITULAR DEL CERTIFICADO (USUARIO FINAL) REGISTRO BC
3.4.2. La clave privada de la Entidad de Certificación de Información del Banco Central del Ecuador, está cifrada en un dispositivo criptográfico, de alta seguridad que cumple con las normas y estándares internacionales.
3.4.3. Para el acceso al repositorio de claves privadas se usa el esquema umbral limite (k, n) de Shamir tanto en software como en dispositivos criptográficos. 3.4.4. Tanto el software como el hardware necesario para operar la Entidad de
Certificación de Información del Banco Central del Ecuador, se mantiene físicamente seguro en todo momento.
3.4.5. El par de claves RSA de la Entidad de Certificación de Información del Banco Central del Ecuador, tiene una longitud de 2048 bits.
3.4.6. Se ha establecido un procedimiento periódico de respaldo de los servidores que opera la Entidad de Certificación de Información del Banco Central del Ecuador. Las copias se guardan en un lugar seguro, protegido de accesos no autorizados.
3.5. POLÍTICAS DE SEGURIDAD
3.5.1. El objetivo de la Entidad de Certificación de Información del Banco Central del Ecuador, será únicamente la emisión y registro de certificados digitales de firma electrónica para usuarios finales.
3.5.2. La revocación de cualquier certificado se realiza de acuerdo a lo establecido en el apartado 11 del presente documento.
3.6. PERÍODO DE VALIDEZ DEL CERTIFICADO DIGITAL DE LA ECIBC
El período de validez del Certificado Digital Raíz de la Entidad de Certificación de Información del Banco Central del Ecuador, es de 20 años a partir de su fecha de emisión. Cuando se haya superado los tres cuartos del tiempo de vida del certificado, se generará un nuevo certificado digital raíz.
3.7. CONVENCIONES DE NOMBRES
El Banco Central del Ecuador asegura que su DN (Distinción de Nombre) de la Entidad de Certificación de Información es único, en función de que será el DN que tendrán los certificados que emita. Ver certificado raíz a continuación:
3.8. OBLIGACIONES DE LA ENTIDAD DE CERTIFICACIÓN DE INFORMACIÓN. 3.8.1. Ofrecer y mantener la infraestructura tecnológica necesaria para el
establecimiento de una estructura, tanto en hardware como en software, para operar de acuerdo a los estándares internacionales.
3.8.2. Implementar y mantener los requerimientos de seguridad impuestos a la clave privada de la ECIBC, de acuerdo a estas Declaraciones de Prácticas de Certificación (DPC) y Políticas de Certificados.
3.8.3. Aprobar o negar las solicitudes de emisión de certificados digitales de firma electrónica, de acuerdo con lo establecido en estas Declaraciones de Prácticas de Certificación (DPC) y Políticas de Certificados.
3.8.4. Poner a disposición de los usuarios el listado de certificados revocados (LCR),a través de la página Web http://www.eci.bce.ec/CRL/eci_bce_ec_crlfile.crl. 3.8.5. Comunicar de manara inmediata a los titulares de los certificados emitidos por
ésta, el compromiso de su clave privada, pérdida, divulgación, modificación, uso no autorizado, con el fin de revocarlos.
3.8.6. Llevar a cabo cada uno de los pasos que se describan en el procedimiento de emisión de certificados digitales o electrónicos;
3.8.7. Efectuar la identificación y autenticación de los usuarios como pasos previos a la revocatoria de los certificados digitales o electrónicos de éstos; y,
3.8.8. Proteger los datos personales de los solicitantes y usuarios de certificados digitales o electrónicos.
3.9. RESPONSABILIDADES DE LA ENTIDAD DE CERTIFICACIÓN DE INFORMACIÓN.
3.9.1. Garantizar el cumplimiento de las obligaciones descritas en este documento. 3.9.2. Lo previsto en la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes
de Datos, y su Reglamento.
4. REGISTRO
4.1. La Entidad de Certificación de Información efectuará en forma directa e indelegable el registro de los usuarios de certificados de firmas electrónicas. 4.2. La Entidad de Certificación de Información será la encargada del proceso de
verificación de documentos e identificación de los solicitantes del certificado digital y, de completar el procedimiento definido para la emisión de certificados. 4.3. Los certificados emitidos por la Entidad de Certificación de Información tienen
como titulares a los signatarios finales autorizados, y los certificados deberán contar con la firma electrónica de la Entidad de Certificación de Información. La estructura de los datos del certificado de usuario final o titular del certificado es:
CAMPO DEL CERTIFICADO DE USUARIO FINAL
VALOR DEL CERTIFICADO
Firma Sha1WithRSA Encryption
Tipo Usuario Final
Versión 3
Serial Identificador único del certificado.
Menor de 32 caracteres hexadECIBCmales.
Emisor cn=eci, cn=bce, cn=Public Key Services, cn=Services, cn=Configuration, dc=eci, dc=bce, dc=ec
Válido desde DD-MM-AA hh:mm:ss
Válido hasta DD-MM-AA hh:mm:ss
Titular CN = Nombre
CN = Users DC = eci DC = bce
DC = ec
Período de validez 2 años
Clave Pública RSA 1024 bits
Extensiones
Punto de distribución de Lista de Certificados Revocados (LCR)
URL:
http://www.eci.bce.ec/CRL/eci_bce_ec_crlfile.crl URL: ldap://ldap.bce.ec
4.4. SEGURIDAD DE LOS CERTIFICADOS
4.4.1. La Entidad de Certificación de Información del Banco Central del Ecuador, con el fin de garantizar niveles básicos de seguridad a los usuarios de los certificados, pone a disposición la interfaz de software de emisión de certificados digitales de firma electrónica, los cuales durante el procedimiento de emisión se podrán grabar automáticamente en dispositivos portables seguros-Tokens.
4.4.2. Los dispositivos portables seguros Tokens, guardan las credenciales de los usuarios como, certificados digitales, claves privadas, claves públicas y contraseñas de protección en forma cifrada, manteniendo la confidencialidad de la información almacenada en dicho dispositivo.
4.4.3. Las tecnologías avanzadas de los dispositivos portables seguros Tokens cumplen con los más altos niveles de seguridad que certifican que las claves privadas de los usuarios se mantendrán protegidas contra manipulación y alejados del entorno inseguro de la PC.
4.4.4. Es responsabilidad del usuario el buen uso y conservación del dispositivo portable seguro - token.
4.5. OBLIGACIONES DE LA ECIBC EN EL PROCESO DE REGISTRO
4.5.1. Cumplir con cada uno de los pasos descritos en el procedimiento de emisión de certificados digitales establecido.
4.5.2. Efectuar la identificación y autentificación para la revocación de los certificados, de acuerdo al procedimiento establecido.
4.5.3. Proteger los datos personales de los solicitantes y usuarios de certificados digitales o electrónicos, que no podrán ser cedidos a terceros bajo ningún concepto, de acuerdo a Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos, demás leyes vigentes y reglamentos.
4.6. RESPONSABILIDAD DE LA ECIBC EN EL PROCESO DE REGISTRO
Es responsabilidad de la ECIBC la correcta identificación de los solicitantes, para la emisión, suspensión, revocación, y renovación de certificados digitales emitidos por la ECIBC.
5. USUARIOS
Se entiende por Usuarios a las personas que confían y hacen uso de los certificados emitidos por la Entidad de Certificación de Información del Banco Central del Ecuador. 5.1. OBLIGACIONES DE LOS USUARIOS
5.1.1. Comunicar a la Entidad de Certificación de Información del Banco Central del Ecuador, cualquier modificación o variación de los datos que constan en la información proporcionada para la emisión del certificado, ya sea que éstos aparezcan o no en el propio certificado.
5.1.2. Verificar la validez de las firmas emitidas por la Entidad de Certificación de Información del Banco Central del Ecuador.
5.1.3. Verificar las firmas a través de la LCR (Lista de Certificado Revocados), caso contrario, la Entidad de Certificación de Información del Banco Central del Ecuador no se hace responsable del uso y confianza que los Usuarios hagan de éstos.
5.1.4. Proteger y conservar el dispositivo portable seguro – Token donde se encuentra almacenado el certificado digital o electrónico que será conferido por la Entidad de Certificación del Banco Central del Ecuador.
5.1.5. Responder por el uso del certificado digital o electrónico y de las consecuencias que se deriven de su utilización.
5.1.6. Cumplir en todo momento con las normas y Regulaciones emitidas por el Banco Central y la ECIBC.
5.1.7. Solicitar formalmente y de manera personal en la ECIBC, un nueva clave de protección del Certificado Digital de Firma Electrónica, en caso de olvido de la anterior.
5.2. RESPONSABILIDAD DE LOS USUARIOS
El Usuario del certificado asumirá toda la responsabilidad y riesgos derivados de la aceptación y uso de un certificado digital de firma electrónica emitido por la ECIBC.
6. PUBLICACIÓN
Los certificados una vez emitidos se publicarán en la base de datos o repositorio disponible públicamente en Internet. Esta operación será realizada automáticamente o por personal autorizado a partir de la información generada por la Entidad de Certificación de Información del Banco Central del Ecuador, considerando lo siguiente: 6.1. CONSULTA DEL ESTADO DE UN CERTIFICADO
Los Usuarios de certificados pueden consultar en cualquier momento el estado de un determinado certificado, a través de la página web www.bce.fin.ec, o realizando la solicitud correspondiente a la Entidad de Certificación de Información del Banco Central del Ecuador.
6.1.1. Los Certificados de la Entidad de Certificación de Información del Banco Central del Ecuador estarán disponibles los 365 días del año, durante las 24 horas del día, y en caso de interrupción por causa de fuerza mayor, el servicio se restablecerá en el menor tiempo posible.
6.1.2. La publicación del certificado se realizará con anterioridad a su puesta en vigencia a través del sitio Web.
6.2. El período de validez del certificado digital de firma electrónica es de dos años. 6.3. PUBLICACIÓN PARA LOS CERTIFICADOS DE LA ENTIDAD DE
CERTIFICACIÓN DE INFORMACIÓN
Web: http://www.bce.fin.ec, sección Entidad de Certificación
6.4. INFORMACIÓN SOBRE LA DPC
La Entidad de Certificación de Información del Banco Central del Ecuador, publicará en el sitio Web www.bce.fin.ec, sección Entidad de Certificación, las Declaraciones de Prácticas de Certificación y sus reformas.
6.5. LISTADO DE CERTIFICADOS REVOCADOS (LCR)
6.5.1. La publicación de la Lista de Certificados Revocados se realizará en forma automática, es decir, cada vez que se revoque un certificado dentro de la Infraestructura de Claves Públicas de la Entidad de Certificación de Información del Banco Central del Ecuador.
6.5.2. Los certificados revocados por la Entidad de Certificación de Información del Banco Central del Ecuador, serán publicados en una Base de Datos pública electrónica por parte del personal autorizado a partir de los archivos generados por la ECIBC.
6.5.3. El Banco Central del Ecuador, a través de la Entidad de Certificación de Información, es responsable de indicar en los certificados que emita, la dirección en Internet de su página en donde se localizará la Lista de Certificados Revocados y el Protocolo de Estatus de Certificados en Línea (OCSP), URL: http://ocsp.eci.bce.ec , para que de esta manera sea fácilmente accesible por los usuarios.
6.5.4. El Banco Central del Ecuador, a través de la Entidad de Certificación de Información, mantendrá actualizada la LCR y la OCSP, incluyendo todos los certificados revocados desde la última actualización.
6.5.5. El Listado de Certificados Revocados (LCR) estará a disposición de los usuarios en la página web de la Entidad de Certificación de Información del Banco Central del Ecuador, durante un período mínimo de tres años a partir del cual se eliminarán los datos definitivamente y serán archivados en la base de datos de las oficinas de la Entidad de Certificación del Banco Central del Ecuador, durante un período de cinco años.
6.5.6. La actualización de las listas de certificados revocados será automática y en línea.
6.6. FORMATOS
6.6.1. La Lista de Certificados Revocados (LCR), se encuentra disponible en formato LRC V2, en el repositorio de la Entidad de Certificación de Información del Banco Central del Ecuador.
6.6.2. Las Políticas de Certificados de la Entidad de Certificación de Información del Banco Central del Ecuador, se podrán ubicar en formato PDF firmado.
6.6.3. Todas las versiones de las Declaraciones de las Políticas de Certificación son documentos públicos y se encuentran en formato PDF firmado.
6.6.4. El certificado de la Entidad de Certificación de Información se encuentra disponible en la base de datos pública.
7. NIVELES DE FIRMA DE CERTIFICADOS DIGITALES QUE EMITE LA ENTIDAD DE CERTIFICACIÓN DE INFORMACIÓN Y USO
Los certificados digitales de firma electrónica que emite la ECIBC tienen tres niveles de firma, a saber: a) Certificado de firma electrónica para persona natural; b) Certificado de firma electrónica para persona jurídica; y, c) Certificado de firma electrónica para funcionario o servidor de las instituciones del sector público, los mismos que servirán para todo propósito dentro de sus límites de uso que correspondan.
7.1. USOS PERMITIDOS PARA LOS CERTIFICADOS
7.1.1. Certificado digital de firma electrónica de persona natural.- Sirve para todo propósito, permite identificar a una persona natural, dentro del giro de sus negocios, y será responsable a título personal todo lo que firme, en forma electrónica, dentro del ámbito de su actividad y límites de su uso que correspondan.
7.1.2. Certificado digital de firma electrónica de persona jurídica.- Sirve para todo propósito, permite identificar a una persona jurídica de derecho público o privado, a través de su representante legal, quien será responsable en tal calidad de todo lo que firme dentro del ámbito de su actividad y límites de uso que correspondan.
7.1.3. Certificado digital de firma electrónica de funcionario o servidor público.- Sirve para todo propósito, permite identificar a un servidor público, quien será responsable a título de la institución pública que representa de todo lo que firme dentro del ámbito de su actividad y límites uso que correspondan.
7.1.4. El certificado digital raíz y clave privada de la ECIBC sólo puede utilizarse para identificar a la propia Entidad de Certificación de Información del Banco Central del Ecuador, para la firma de los certificados digitales de firma electrónica de usuarios finales emitidos y la firma de las listas de certificados revocados - LCR.
7.2. CONFIDENCIALIDAD Y PROTECCIÓN DE DATOS
7.2.1. CONFIDENCIALIDAD DE LAS CLAVES DE FIRMA DIGITAL
La Entidad de Certificación de Información del Banco Central del Ecuador, garantiza la confidencialidad frente a terceros durante el proceso de generación de las claves de firmas privadas que proporciona.
7.2.2. CONFIDENCIALIDAD EN LA PRESTACIÓN DE SERVICIOS DE CERTIFICACIÓN
La Entidad de Certificación de Información del Banco Central del Ecuador, mantendrá la más estricta confidencialidad de toda información recibida por los solicitantes de certificados digitales, a excepción de la información que consta en la base de datos de certificados digitales publicada en el sitio Web
www.bce.fin.ec, sección Entidad de Certificación y, en el repositorio ldap: //ldap.bce.ec.
7.2.3. PROTECCIÓN DE DATOS
7.3.3.1. De conformidad con lo dispuesto en la Constitución Política de la República del Ecuador, el Estado garantiza la protección de datos de carácter personal.
El usuario conoce de la existencia de un archivo automatizado de datos de creado bajo la responsabilidad del Banco Central del Ecuador, con la finalidad de servir a los usos previstos en estas Declaraciones de Prácticas de Certificación o cualquier otro relacionado con los servicios de certificación. El Usuario consiente expresamente la cesión de sus datos de carácter personal contenidos en dicho archivo, en la medida en que sea necesaria para llevar a cabo las acciones previstas en las prácticas de certificación.
7.3.3.2. La ECIBC se compromete a facilitar los medios técnicos y administrativos necesarios para evitar la alteración, pérdida, tratamiento o acceso no autorizado a los datos de carácter personal contenidos en el certificado digital. Cualquier otra utilización de los datos de carácter personal contenidos en el archivo automatizado de datos, requerirá previo consentimiento del usuario. Así mismo, el usuario podrá acceder, rectificar o cancelar sus datos de carácter personal, en los términos recogidos por las leyes vigentes sobre tratamiento de datos de carácter personal.
8. PROCEDIMIENTO PARA LA EMISIÓN DE CERTIFICADOS
Para la emisión de un certificado digital por parte de la Entidad de Certificación de Información del Banco Central del Ecuador para usuario final, se deberá cumplir con el siguiente procedimiento:
Actor Actividades
1 Solicitante Obtiene del portal WEB de la Entidad de Certificación de Información del Banco Central del Ecuador, el formulario de solicitud ECIBC-0267/0268/0269 y los requisitos para obtener el certificado digital de usuario final.
Llena y entrega la solicitud adjuntando la documentación requerida a la Entidad de Certificación de Información del Banco Central del Ecuador.
2 Entidad de Certificación de
Información
Verifica la información del solicitante, revisa la documentación requerida y se reserva el derecho de solicitar documentación adicional que certifique la identidad del solicitante.
La ECIBC acepta o niega la solicitud.
En caso de negación presentará su resolución por escrito (correo electrónico de preferencia) al solicitante indicando las razones de su negación.
Comunica al solicitante vía telefónica o correo electrónico la fecha y hora para la emisión del certificado digital, que será emitida en forma presencial.
El solicitante junto con el personal autorizado por la Entidad de Registro del Banco Central del Ecuador realiza la emisión del certificado digital en un dispositivo portable seguro Token.
3 Usuario Suscribe el Contrato de Prestación de Servicios respectivo.
9. PROCEDIMIENTO PARA LA REVOCACIÓN DE CERTIFICADOS
La revocación de certificados es un instrumento a utilizar en el supuesto de que por alguna causa establecida, se deje de confiar en el certificado antes de la finalización de su período de validez originalmente previsto. Cualquier certificado podrá ser revocado si:
a) Un certificado emitido a una persona jurídica es utilizado por una persona natural.
b) Un certificado emitido a una persona natural es utilizado por una persona jurídica.
c) Un certificado emitido a un funcionario o servidor público es utilizado por una persona natural o jurídica.
d) En caso de pérdida, robo, hurto o destrucción del certificado digital que se encuentra almacenado en el dispositivo portable seguro-Token.
e) Se conoce o se tienen motivos para creer razonablemente que uno de los datos consignados en la solicitud es falso.
f) Se conoce que alguno de los requisitos de emisión del certificado no fue cumplido.
g) Fallecimiento del titular del certificado. h) Por autoridad competente que lo ordene.
i) Producto de un error técnico o ingreso de datos incorrectos en el proceso de emisión de un certificado.
j) Cese voluntario, cuando el titular del certificado solicite a la Entidad de Certificación de Información del Banco Central del Ecuador la revocación de su certificado, y
k) Por cualquiera de las causales previstas en las leyes y reglamentos vigentes, que le sean aplicables.
El procedimiento a seguir en el caso de solicitud voluntaria de revocación es el siguiente:
a) El usuario titular del certificado deberá presentar su solicitud de revocación a la dirección de correo electrónico, [email protected], o por escrito en nuestras oficinas en Quito, Guayaquil o Cuenca.
b) La Dirección de Entidad de Certificación verificará los datos personales del solicitante
c) La Dirección de Entidad de Certificación procederá a revocar el certificado inmediatamente una vez confirmada la identidad del solicitante en días y horas de oficina.
d) La lista de certificados revocados (LCR) se publicará en la dirección http://www.eci.bce.ec/CRL/eci_bce_ec_crlfile.crl y en el repositorio ldap://ldap.bce.ec.
e) Adicionalmente se le notificará al solicitante titular del certificado la revocación del mismo, sea, vía electrónica o telefónica.
f) El usuario podrá renovar el certificado siguiendo el Procedimiento de Emisión de Certificados descrito en el apartado 8.
10. EFECTOS DE LA REVOCACIÓN
10.3. El efecto de la revocación del certificado es la pérdida de fiabilidad del mismo, originando el cese permanente de la operatividad del certificado conforme a los usos que le son propios y, en consecuencia, de la prestación de los servicios de certificación.
10.4. La revocación de un certificado impide el uso legítimo del mismo por parte del usuario.
10.5. La revocación del certificado tendrá como consecuencia la notificación a terceros de que un certificado ha sido revocado, cuando se solicite la verificación del mismo.
11. TIPOS DE NOMBRES
11.1 La Entidad de Certificación de Información del Banco Central del Ecuador, sólo genera y firma certificados con tipos de nombres acordes al estándar X. 500, para la Entidad de Certificación de Información del Banco Central del Ecuador:
11.1.1. El Nombre Distinguido de la Entidad de Certificación de Información está formado por los siguientes atributos:
OU = eci O = bce C = ec
11.1.2. El Nombre Distinguido del certificado de Usuario Final emitido por la Entidad de Certificación de Información está formado por los siguientes atributos:
cn = Nombres completos dc = eci
dc = bce dc = ec
11.2. DISTINCIÓN DE NOMBRES
Las políticas definidas garantizan que los nombres distinguidos (DN) de los certificados son suficientemente significativos para vincular la clave pública con la identidad del usuario.
11.3. INTERPRETACIÓN DE FORMATOS DE NOMBRES
11.3.1. Las reglas utilizadas para la interpretación de los nombres distinguidos en los certificados emitidos están descritas en la ISO/IEC 9595 (DN). Adicionalmente todos los certificados emitidos utilizan codificación UTF8 para todos los atributos, según la RFC 3280 UNICIDAD DE LOS NOMBRES.
11.3.2. La Entidad de Certificación de Información del Banco Central del Ecuador, define como campo DN (Distinguished Name) del Certificado de Autoridad como único y sin ambigüedad. Para ello se incluirá como parte del DN, específicamente en el campo OU, el nombre o razón social de la Entidad de Certificación de Información del Banco Central del Ecuador. Por lo tanto, la unicidad se garantiza mediante la confianza sobre la unicidad del nombre. 11.4. RESOLUCIÓN DE CONFLICTOS RELATIVOS A NOMBRES
La Entidad de Certificación de Información del Banco Central del Ecuador, no actúa como árbitro o mediador, ni resuelve ninguna disputa relativa a la titularidad de nombres de personas u organizaciones, nombres de dominio, marcas o nombres comerciales, entre otros. Así mismo, esta Institución se reserva el derecho de rechazar una solicitud de certificado debido a conflictos de nombres de usuarios finales.
12. TIPO DE CERTIFICADO
Certificado Tipo I – Certificado de Usuario Final
Este certificado es emitido a los usuarios finales autorizados por la Entidad de Certificación de Información del Banco Central del Ecuador, según lo establecido en esta declaración de prácticas de certificación..
13. CICLO DEL CERTIFICADO
Este proceso se llevará a cabo de forma personal en las oficinas de la Entidad de Certificación de Información del Banco Central del Ecuador, las solicitudes en formato electrónico se encuentran en http://www.bce.fin.ec – Sección Entidad de Certificación.
Una vez aprobada la solicitud por la Entidad de Certificación de Información del Banco Central del Ecuador, se procederá a la emisión del certificado en forma presencial en las oficinas de la ECIBC ubicadas en Quito, Guayaquil o Cuenca.
13.2. VERIFICACIÓN DE DATOS Y EMISIÓN DE CERTIFICADOS DIGITALES DE FIRMA ELECTRÓNICA
La verificación de datos y emisión de certificados digitales descritas en el apartado 8 las realizan los funcionarios y personal encargado de la operación de los sistemas de la Entidad de Certificación de Información, quienes desempeñan el rol de Operadores de Registro de la ECIBC, disponiendo de un certificado digital para el control de acceso a la interfaz de emisión de certificados digitales de firma electrónica.
14. APROBACIÓN DEL CERTIFICADO
Se aprobarán las solicitudes de certificados a aquellos solicitantes que cumplan con los requisitos exigidos por la Entidad de Certificación de Información del Banco Central del Ecuador en la presente Declaración de Prácticas de Certificación. El sistema garantiza que el certificado emitido se efectuó en forma segura.
15. PLAZO PARA LA TRAMITACIÓN DE UN CERTIFICADO
La Entidad de Certificación de Información del Banco Central del Ecuador, previa verificación de los documentos de solicitud para la emisión de certificados deberá pronunciarse sobre la aceptación de las solicitudes dentro de las 48 horas siguientes a la fecha de presentación de la solicitud.
16. EMISIÓN DEL CERTIFICADO
En la emisión de los certificados, la Entidad de Certificación de Información utiliza un procedimiento de generación de certificados que vincula de forma segura el certificado con la información de registro, incluyendo la clave pública certificada, protegiendo la confidencialidad e integridad de los datos de registro.
Todos los certificados iniciarán su vigencia en el momento que se indica en el propio certificado. Se utilizarán los campos de “Válido desde” y “Válido hasta” con este fin.
Ningún certificado será emitido con un período de validez que se inicie con anterioridad de la fecha de emisión.
17. ACEPTACIÓN DEL CERTIFICADO
El certificado emitido por la Entidad de Certificación de Información del Banco Central del Ecuador se considera aceptado luego de su publicación en el repositorio LDAP o en el sitio ldap://ldap.bce.ec.
18. PUBLICACIÓN DEL CERTIFICADO POR LA AUTORIDAD DE
CERTIFICACIÓN (AC)
La Entidad de Certificación de Información del Banco Central proveerá diversos tipos de comunicación como correos electrónicos, comunicaciones escritas, repositorio LDAP, repositorio Web, OCSP, y los que considere pertinentes para publicar la aceptación de un certificado.
19. USO DE CLAVES Y DEL CERTIFICADO
El uso de los certificados emitidos por la Entidad de Certificación de Información del Banco Central del Ecuador son los previstos en la Ley de Comercio Electrónico, sus reglamentos y lo establecido en esta Declaración de Prácticas de Certificación.
19.1. USO DE LA CLAVE PRIVADA DEL CERTIFICADO POR EL TITULAR
El titular del certificado emitido por la Entidad de Certificación de Información del Banco Central del Ecuador, solamente puede utilizar la clave privada y el certificado para los usos autorizados en esta Declaración de Prácticas de Certificación. La Entidad de Certificación de Información del Banco Central del Ecuador emite certificados con los campos de uso de clave privada limitados a firma electrónica.
19.2. USO DE LA CLAVE PÚBLICA Y DEL CERTIFICADO POR LOS TERCEROS DE BUENA FE
Los terceros de buena fe sólo pueden depositar su confianza en los certificados para aquello que establece esta Declaración de Prácticas de Certificación. Los terceros de buena fe pueden realizar operaciones de clave pública de manera satisfactoria confiando en el certificado emitido por la cadena de confianza. Así mismo, deben asumir la responsabilidad de verificar el estado del certificado utilizando los medios que se establecen en esta Declaración de Prácticas de Certificación.
20. RENOVACIÓN DEL CERTIFICADO
20.1. CAUSAS PARA LA RENOVACIÓN DE UN CERTIFICADO
La renovación de un certificado emitido por parte de la Entidad de Certificación de Información del Banco Central del Ecuador se aplica por la caducidad del certificado, por la pérdida del mismo o cuando el certificado se encuentre comprometido.
20.2. SOLICITUD DE RENOVACIÓN DEL CERTIFICADO
Los titulares de los certificados son los únicos que pueden solicitar la renovación de los certificados.
20.3. PROCEDIMIENTO DE SOLICITUD PARA LA RENOVACIÓN DE UN CERTIFICADO
El titular deberá cumplir nuevamente con el proceso de emisión de certificados descrito en el apartado 8.
20.4. PUBLICACIÓN DEL CERTIFICADO RENOVADO POR LA ENTIDAD DE CERTIFICACIÓN
La Entidad de Certificación de Información del Banco Central del Ecuador proveerá diversos tipos de comunicación como correos electrónicos, comunicaciones escritas, repositorio LDAP, repositorio Web, OCSP, y los que considere pertinentes para publicar la renovación de un certificado.
20.5. MODIFICACIÓN DE LOS CERTIFICADOS
La Entidad de Certificación de Información no podrá modificar la información contenida en los certificados.
20.6. CIRCUNSTANCIAS PARA LA REVOCACIÓN DEL CERTIFICADO DE USUARIO FINAL
Las circunstancias para la revocación de un certificado digital se encuentran descritas en el apartado 9 del presente documento.
20.7. ENTIDAD QUE PUEDE SOLICITAR LA REVOCACIÓN
Las entidades autorizadas para solicitar la revocación de un certificado son: a) La autoridad competente en conformidad con las leyes vigentes.
b) La Entidad de Certificación de Información del Banco Central del Ecuador en forma unilateral por mal uso del mismo.
La revocación se llevará a cabo de forma inmediata luego del trámite de cada solicitud verificada como válida. La Entidad de Certificación de Información del Banco Central del Ecuador no contempla ningún periodo de gracia asociado a este proceso en el que se pueda anular la solicitud de revocación.
20.9. FINALIZACIÓN DE LA VALIDEZ DEL CERTIFICADO
La finalización de la validez de un certificado se produce en los siguientes casos: a) Revocación del certificado por cualquiera de las causas recogidas en el
apartado 13 del presente documento. b) Caducidad de la vigencia del certificado.
