Post on 25-Jan-2020
Entidad de Certificación Digital
Declaración de Prácticas de Certificación
para Estampado Cronológico
Declaración de Prácticas de Certificación para Estampado Cronológico
Versión 1.8
Código: THS-CO-AC-DPC-02 Página 2 de 35
Información del documento
Historial de versiones
Versión Fecha Descripción
1.0 28/12/2017 Elaboración de documento inicial.
1.1 12/05/2018 Modificación en la estructura del documento. Cambio de nombre de documento.
1.2 20/05/2018 Se cambia el nombre del documento. Se modifican las obligaciones de Proveedores. Se agrega como Anexo el Contrato de Suscripción.
1.3 22/05/2018 Modificación menor en el apartado de Identificación de la ECD. Especificaciones en el apartado de Controles de seguridad. Se especifican los tipos de Paquete.
1.4 08/06/2018 Se agregan apartados para formatos y registros aplicables.
1.5 25/06/2018 Se detalla el proceso de comercialización y solicitud del servicio.
Nombre DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN PARA ESTAMPADO CRONOLÓGICO
Realizado por THOMAS SIGNE S.A.S.
País COLOMBIA
Versión 1.8
Fecha SEPTIEMBRE DEL 2019
Tipo de Documento PÚBLICO
Código THS-CO-AC-DPC-02
Declaración de Prácticas de Certificación para Estampado Cronológico
Versión 1.8
Código: THS-CO-AC-DPC-02 Página 3 de 35
1.6 02/11/2018 Se elimina del pie de página la referencia al THS-PR-GRAL-02-F01 Estructura de documento v1.0.
Se elimina el apartado “INTRODUCCIÓN”.
1.7 11/03/2019 Integración con el sistema de gestión del Grupo.
Cambio de nombre del documento de THS-DP-ST-01 a THS-CO-DPC-AC-02
1.8 06/09/2019 Ajuste de la codificación según el GSIGNE-GRAL-PR-01 Control de la Informacion Documentada Ed 2.1
Inclusión de los formatos y registros por anulación de la THS-CO-DPC-AC-03 Declaración de Prácticas para Estampado Cronológico Interna v1.3
Correcciones menores
Declaración de Prácticas de Certificación para Estampado Cronológico
Versión 1.8
Código: THS-CO-AC-DPC-02 Página 4 de 35
ÍNDICE
1 OBJETIVO .................................................................................................................................. 7
2 DEFINICIONES Y ABREVIACIONES .................................................................................... 7
2.1 ACRÓNIMOS Y ABREVIACIONES ............................................................................................................ 7 2.2 DEFINICIONES Y CONCEPTOS ................................................................................................................. 7
3 PARTICIPANTES PKI DE THOMAS SIGNE S.A.S. ............................................................... 8
3.1 ENTIDAD DE CERTIFICACIÓN DIGITAL THOMAS SIGNE S.A.S. (ECD THOMAS SIGNE
S.A.S.) ............................................................................................................................................................. 8 3.2 SOLICITANTE ............................................................................................................................................... 8 3.3 SUSCRIPTOR ................................................................................................................................................. 8
4 DOCUMENTOS NORMATIVOS DE LA ECD ........................................................................ 8
4.1 DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN .......................................................................... 9
5 RESPONSABILIDADES ........................................................................................................... 9
5.1 THOMAS SIGNE S.A.S. ................................................................................................................................ 9 5.2 SUSCRIPTOR ................................................................................................................................................. 9
6 IDENTIFICACIÓN DE LA ECD ............................................................................................. 10
7 ORGANIZACIÓN QUE ADMINISTRA LOS DOCUMENTOS NORMATIVOS ................ 11
8 SERVICIOS DE ESTAMPADO CRONOLÓGICO ................................................................. 11
8.1 QUIÉN PUEDE SOLICITAR EL SERVICIO .............................................................................................. 12 8.2 COMERCIALIZACIÓN ............................................................................................................................... 12 8.3 CONTRATACIÓN Y PAGO ........................................................................................................................ 12
8.3.1 MÉTODOS DE PAGO .................................................................................................................. 12 8.4 SOLICITUD .................................................................................................................................................. 13 8.5 REVISIÓN .................................................................................................................................................... 13 8.6 DECISIÓN .................................................................................................................................................... 13 8.7 OPERACIÓN DEL SERVICIO .................................................................................................................... 13 8.8 TRANSICIÓN DE SALIDA ......................................................................................................................... 13
9 IDENTIFICADOR ÚNICO....................................................................................................... 13
10 COMUNIDAD DE USUARIOS Y APLICABILIDAD ........................................................... 14
11 CONDICIONES Y TÉRMINOS DE USO ............................................................................... 14
12 CONTROLES DE SEGURIDAD FISICA, INSTALACIONES, GESTION Y
OPERACIONALES .................................................................................................................. 14
12.1 CONTROLES FÍSICOS ................................................................................................................................ 14 12.1.1 UBICACIÓN FÍSICA Y CONSTRUCCIÓN ................................................................................ 14 12.1.2 ACCESO FÍSICO .......................................................................................................................... 15 12.1.3 ALIMENTACIÓN ELÉCTRICA Y AIRE ACONDICIONADO ................................................. 15 12.1.4 EXPOSICIÓN AL AGUA ............................................................................................................. 15 12.1.5 PREVENCIÓN Y PROTECCIÓN DE INCENDIOS .................................................................... 15 12.1.6 SISTEMA DE ALMACENAMIENTO ......................................................................................... 15 12.1.7 ELIMINACIÓN DEL MATERIAL DE ALMACENAMIENTO DE LA INFORMACIÓN ........ 15
12.2 CONTROLES DE PROCEDIMIENTO ........................................................................................................ 16 12.2.1 ROLES DE CONFIANZA ............................................................................................................ 16 12.2.2 NÚMERO DE PERSONAS REQUERIDAS POR TAREA ......................................................... 16 12.2.3 IDENTIFICACIÓN Y AUTENTICACIÓN PARA CADA ROL ................................................. 16 12.2.4 ROLES QUE REQUIEREN SEGREGACIÓN DE FUNCIONES................................................ 16
12.3 CONTROLES DE PERSONAL .................................................................................................................... 17
Declaración de Prácticas de Certificación para Estampado Cronológico
Versión 1.8
Código: THS-CO-AC-DPC-02 Página 5 de 35
12.3.1 REQUISITOS SOBRE LA CUALIFICACIÓN, EXPERIENCIA Y CONOCIMIENTO
PROFESIONALES ....................................................................................................................... 17 12.3.2 PROCEDIMIENTO DE COMPROBACIÓN DE ANTECEDENTES ......................................... 17 12.3.3 REQUISITOS DE FORMACIÓN ................................................................................................. 17 12.3.4 REQUISITOS Y FRECUENCIA DE ACTUALIZACIÓN DE FORMACIÓN ............................ 17 12.3.5 SANCIONES POR ACTUACIONES NO AUTORIZADAS ....................................................... 17 12.3.6 REQUISITOS DE CONTRATACIÓN DE TERCEROS .............................................................. 17 12.3.7 DOCUMENTACIÓN PROPORCIONADA AL PERSONAL ...................................................... 18
12.4 REGISTROS Y SUPERVISIÓN................................................................................................................... 18 12.4.1 SUPERVISIÓN ............................................................................................................................. 18 12.4.2 TIPOS DE EVENTOS REGISTRADOS ...................................................................................... 18 12.4.3 FRECUENCIA DE PROCESADO DE REGISTROS DE AUDITORÍA (LOG) .......................... 18 12.4.4 PERIODO DE RETENCIÓN DE LOS REGISTROS DE AUDITORÍA ...................................... 18 12.4.5 PROCEDIMIENTOS DE BACKUP DE LOS REGISTROS DE AUDITORÍA ........................... 19 12.4.6 SISTEMA DE RECOGIDA DE INFORMACIÓN DE AUDITORÍA (INTERNA O
EXTERNA) ................................................................................................................................... 19 12.4.7 ANÁLISIS DE VULNERABILIDADES ...................................................................................... 19
12.5 ARCHIVO DE REGISTROS ........................................................................................................................ 19 12.5.1 TIPOS DE EVENTOS ARCHIVADOS ........................................................................................ 19 12.5.2 PERIODO DE CONSERVACIÓN ............................................................................................... 19 12.5.3 PROTECCIÓN DE ARCHIVOS................................................................................................... 19 12.5.4 PROCEDIMIENTOS PARA OBTENER Y VERIFICAR INFORMACIÓN ARCHIVADA ...... 20
12.6 PROCEDIMIENTOS DE GESTIÓN DE INCIDENTES Y VULNERABILIDADES ................................. 20 12.6.1 RECUPERACIÓN EN CASO DE COMPROMISO DE UNA CLAVE ....................................... 20 12.6.2 CONTINUIDAD DEL NEGOCIO DESPUES DE UN DESASTRE ............................................ 20
12.7 CESE DE UNA ECD .................................................................................................................................... 21 12.7.1 ENTIDAD DE CERTIFICACIÓN DIGITAL ............................................................................... 21
13 AUDITORÍA DE CONFORMIDAD Y OTROS CONTROLES ............................................. 21
13.1 FRECUENCIA DE LAS AUDITORÍAS ...................................................................................................... 21 13.2 IDENTIDAD/CUALIFICACIÓN DEL AUDITOR ...................................................................................... 21 13.3 RELACIÓN ENTRE EL AUDITOR Y LA ENTIDAD AUDITADA .......................................................... 22 13.4 ASPECTOS CUBIERTOS POR LOS CONTROLES................................................................................... 22 13.5 ACCIONES A TOMAR COMO RESULTADO DE LA DETECCIÓN DE DEFICIENCIAS .................... 22 13.6 COMUNICACIÓN DE RESULTADOS ...................................................................................................... 22
14 CICLO DE VIDA DE LA GESTIÓN DE LA CLAVE ............................................................ 22
14.1 GENERACIÓN DE LA CLAVE DE LA TSA ............................................................................................. 22 14.2 CARACTERÍSTICAS TÉCNICAS DEL CERTIFICADO DIGITAL Y DE LOS ALGORITMOS
UTILIZADOS ............................................................................................................................................... 23 14.3 PROTECCIÓN DE LA CLAVE PRIVADA DE LA TSA ............................................................................ 23 14.4 DISTRIBUCIÓN DE LA CLAVE PÚBLICA TSU ...................................................................................... 23 14.5 RE-EMISIÓN DE LA CLAVE DEL TSU .................................................................................................... 23 14.6 TÉRMINO DEL CICLO DE VIDA DE LA CLAVE PRIVADA DEL TSU ................................................ 23
15 CONTROLES DE SEGURIDAD DEL CICLO DE VIDA ...................................................... 23
15.1 CONTROLES DE GESTION DE SEGURIDAD ......................................................................................... 23 15.2 CONTROLES DE SEGURIDAD DE LA RED ............................................................................................ 25 15.3 SELLADO DE TIEMPO ............................................................................................................................... 25
16 SELLO DE TIEMPO ................................................................................................................ 25
17 OBLIGACIONES ..................................................................................................................... 25
17.1 OBLIGACIONES DE LA TSA EN RELACIÓN A LOS SUSCRIPTORES ............................................... 26 17.2 OBLIGACIONES DE LOS PROVEEDORES ............................................................................................. 26 17.3 OBLIGACIONES DE LOS SUSCRIPTORES ............................................................................................. 26 17.4 OBLIGACIONES DE LOS TERCEROS QUE CONFÍAN .......................................................................... 26
18 POLÍTICA DE PROTECCIÓN DE DATOS ............................................................................ 26
19 CONFIDENCIALIDAD DE LA INFORMACIÓN .................................................................. 27
19.1 INFORMACIÓN CONFIDENCIAL............................................................................................................. 27
Declaración de Prácticas de Certificación para Estampado Cronológico
Versión 1.8
Código: THS-CO-AC-DPC-02 Página 6 de 35
19.2 INFORMACIÓN NO CONFIDENCIAL ...................................................................................................... 27
20 OTROS ASUNTOS LEGALES Y COMERCIALES ............................................................... 27
20.1 PAQUETES .................................................................................................................................................. 27 20.1.1 POLÍTICA DE REEMBOLSO ...................................................................................................... 28
20.2 RESPONSABILIDADES ECONÓMICAS .................................................................................................. 28 20.3 EXONERACIÓN DE RESPONSABILIDAD .............................................................................................. 29 20.4 RESPONSABILIDADES FINANCIERAS .................................................................................................. 29
20.4.1 COBERTURA DEL SEGURO ..................................................................................................... 29 20.4.2 SEGURO O GARANTÍA DE COBERTURA PARA LAS ENTIDADES FINALES .................. 29
20.5 DERECHOS DE PROPIEDAD INTELECTUAL ........................................................................................ 29
21 PQRSA ...................................................................................................................................... 30
22 CONFORMIDAD CON LA LEY APLICABLE ...................................................................... 30
23 CONFORMIDAD ..................................................................................................................... 30
24 FORMATOS ............................................................................................................................. 31
25 REGISTROS ............................................................................................................................. 31
26 ANEXOS ................................................................................................................................... 32
Declaración de Prácticas de Certificación para Estampado Cronológico
Versión 1.8
Código: THS-CO-AC-DPC-02 Página 7 de 35
1 OBJETIVO
Este documento tiene como objetivo la descripción de operaciones y prácticas que utiliza Thomas Signe S.A.S. para la administración de sus servicios de estampado cronológico, en el marco del cumplimiento de los “Criterios específicos de acreditación Entidades de Certificación Digital - CEA-4.1-10 Versión 01” establecida por el Organismo Nacional de Acreditación de Colombia – ONAC.
2 DEFINICIONES Y ABREVIACIONES
2.1 ACRÓNIMOS Y ABREVIACIONES
DPC Declaracion de practicas de certificacion
ECD Entidad de Certificacion Digital que prestan servicios de certificacion digital y equivale a una Entidad Certificadora definida en la ley 527 de 1999. Tambien se debe entender como un Organismo de Evaluacion de la Conformidad – OEC de acuerdo con lo definido en la ISO/IEC 17000.
HSM Hardware Security Module
ONAC Organismo Nacional de Acreditacion de Colombia
PKI Infraestructura de clave publica
TSA Time Stamp Authority, (Autoridad de sellado de tiempo).
2.2 DEFINICIONES Y CONCEPTOS
Autoridad de sellado de tiempo: Entidad de confianza que emite sellos de tiempo..
Autoridad de Certificación – AC: Certification Authority (CA). Es una entidad de confianza, responsable de emitir y revocar los certificados digitales, publicación de certificados, publicación de listas de certificados revocados, etc. Involucra toda la jerarquía PKI, es decir, el sellado de tiempo y el archivo, conservación y custodia de documentos, entre otros. Nombrada dentro de la normativa colombiana como Entidad de Certificación Digital – ECD.
Certificado digital: mensaje de datos electronico firmado por la entidad de certificacion digital, el cual identifica tanto a la entidad de certificacion que lo expide, como al suscriptor y contiene la clave publica de este ultimo.
Cliente: En los servicios de certificacion digital, el termino cliente identifica a la persona natural o juridica con la cual la ECD establece una relacion comercial.
Declaracion de Practicas de Certificacion: Es el documento en el que consta de manera detallada los procedimientos que aplica la ECD para la prestacion de sus servicios. Una declaracion de las practicas que una ECD emplea para emitir, gestionar, revocar y renovar certificados sin y con cambio de claves.
Entidad de Certificacion: De acuerdo con lo indicado en la Ley 527 de 1999, Articulo 2, Literal d, es aquella persona natural o juridica que, autorizada conforme a dicha Ley, esta facultada para emitir certificados digitales en relacion con las firmas digitales de las personas, ofrecer o facilitar los servicios de registro y estampado cronologico de la transmision y recepcion de mensajes de datos, asi como cumplir otras funciones relativas a las comunicaciones basadas en las firmas digitales.
Entidades de Certificacion Digital – ECD: Denominacion que se establece con el fin de particularizar y diferenciar este tipo de organizaciones como Entidades de Certificacion de los demas Organismos de Certificacion que ONAC acredita.
PKI: Infraestructura de clave publica (Public key infraestructure): es el conjunto de hardware, software, politicas, procedimientos y elementos tecnologicos que, mediante la utilizacion de un par de claves criptograficas, una privada que solo posee el suscriptor del servicio y una publica, que se incluye en el certificado digital, logran: Identificar al emisor de un mensaje de datos electronico, impedir que terceras personas puedan observar los mensajes que se envian a traves de medios electronicos, impedir que un tercero pueda alterar la
Declaración de Prácticas de Certificación para Estampado Cronológico
Versión 1.8
Código: THS-CO-AC-DPC-02 Página 8 de 35
informacion que es enviada a traves de medios electronicos y evitar que el suscriptor del servicio de certificacion digital que envio un mensaje electronico pueda despues negar dicho envio (no repudio).
Estampado cronologico (Sellado de tiempo o Time stamping en Ingles): Mensaje de datos firmado digitalmente y con sello de tiempo por una TSA que vincula a otro mensaje de datos con un momento de tiempo concreto, el cual permite establecer con una prueba que estos datos existian en ese momento y que no sufrieron ninguna modificacion a partir del momento en que se realizo el estampado
Servicio de certificacion digital: Conjunto de actividades certificacion que ofrece la ECD para certificar el origen e integridad de mensajes de datos, basados en las firmas digitales o electronicas, estampado de tiempo, asi como en la aplicabilidad de estandares tecnicos admitidos y vigentes en infraestructura de clave publica (PKI).
Solicitante: persona natural o juridica que con el proposito de obtener servicios de certificacion digital de una ECD, demuestra el cumplimiento de los requisitos establecidos en la DPC y PC de estas, para acceder al servicio de certificacion digital.
Suscriptor: persona natural o juridica a cuyo nombre se expide un certificado digital.
3 PARTICIPANTES PKI DE THOMAS SIGNE S.A.S.
3.1 ENTIDAD DE CERTIFICACIÓN DIGITAL THOMAS SIGNE S.A.S. (ECD THOMAS SIGNE S.A.S.)
Thomas Signe S.A.S., en su papel de Entidad de Certificación Digital, es la persona jurídica privada que presta indistintamente servicios de producción, emisión, gestión, cancelación u otros servicios inherentes a la certificación digital.
A Thomas Signe S.A.S., como Entidad de Certificación Digital, le corresponderá la realización de todos los trámites y procedimientos administrativos necesarios ante el ONAC a fin de lograr y mantener la acreditación.
Thomas Signe S.A.S., en su papel de Entidad de Certificación Digital, es la persona jurídica privada que presta indistintamente el servicio de estampado cronológico.
3.2 SOLICITANTE
Se entenderá por Solicitante, la persona natural o jurídica que se encuentra interesada y solicita el servicio de estampado cronológico, bajo esta DPC.
3.3 SUSCRIPTOR
El Suscriptor es la persona natural o jurídica que; con conocimiento y plena aceptación de los derechos y deberes establecidos y publicados en esta DPC y habiendo firmado el respectivo Contrato de Prestación de servicios y/o de Suscripción con Thomas Signe S.A.S.; acepta las condiciones del servicio de estampado cronológico.
4 DOCUMENTOS NORMATIVOS DE LA ECD
Los Documentos Normativos de la ECD son todas aquellas declaraciones, políticas y procedimientos que regulan los servicios de certificación digital de Thomas Signe S.A.S.
Todos los Documentos Normativos son aprobados por el Gerente de Sistemas de la Información de Thomas Signe S.A.S. antes de ser publicados y se controlan las versiones del mismo, a fin de evitar modificaciones y suplantaciones no autorizadas.
Declaración de Prácticas de Certificación para Estampado Cronológico
Versión 1.8
Código: THS-CO-AC-DPC-02 Página 9 de 35
4.1 DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN
La presente DPC establece todas las operaciones y prácticas que lleva a cabo Thomas Signe S.A.S. para brindar el servicio de estampado cronológico; siguiendo el estándar RFC 3647 y RFC 3161.
Esta DPC es de carácter público y se encuentra dirigida a todas las personas naturales y jurídicas, solicitantes, suscriptores, terceros que confían y usuarios finales. La misma podrá ser consultada a través de la página web www.thomas-signe.co
Todas las modificaciones relevantes en la presente DPC serán comunicadas al ONAC y las nuevas versiones del documento serán publicadas en el mismo sitio web.
En caso se detecten vulnerabilidades o se pierda la vigencia de los estándares técnicos o infraestructura descritos en la presente DPC, la ECD se encargará de informar tal hecho al ONAC anticipadamente, para proceder con la respectiva actualización.
5 RESPONSABILIDADES
5.1 THOMAS SIGNE S.A.S.
- Cumplir con los Criterios específicos de acreditación Entidades de Certificación Digital - CEA-
4.1-10 Versión 01, establecidos por el ONAC
- Garantizar que el servicio cumple con todos los requisitos materiales establecidos de la DPC.
- Facilitar los documentos necesarios y en su última versión al suscriptor.
- Notificar al suscriptor acerca de los cambios en las políticas y prácticas de la ECD de Thomas
Signe S.A.S.
- Notificar al suscriptor cualquier cambio en los términos y condiciones básicas
(identificadores de políticas, limitaciones de uso, obligaciones de suscriptor, procedimiento
de resolución de disputas, periodo dentro del cual los registros de auditoría serán
conservados, sistema legal aplicable y conformidad según los requerimientos del ONAC).
- El uso de los símbolos que caractericen la acreditación de la Entidad de Certificación Digital
de Thomas Signe S.A.S. estarán restringidos al alcance acreditado, y no podrán ser
transferidos a terceros ni heredados fuera de los servicios de certificación digital, personas,
procesos y terceros evaluados por el ONAC; tal como lo describe el documento Política de uso
de símbolos de Thomas Signe S.A.S.
- Ejercer control, sobre los servicios de certificación digital acreditados, respecto a la propiedad
y el uso de símbolos, certificados, cualquier otro mecanismo para indicar que el servicio de
certificación digital está acreditado.
- Las referencias al alcance de acreditación otorgado, o el uso engañoso del alcance de
acreditación otorgado, los símbolos, los certificados, y cualquier otro mecanismo para indicar
que un servicio de certificación digital, o que la ECD está acreditada, en la documentación o en
otra publicidad. Estas mismas estarán sujetas al cumplimiento de las Reglas de Acreditación
de ONAC R-AC-01 y R-AC-1.4-03.
- Atender y dar respuesta a las quejas, reclamos y peticiones de los suscriptores y partes
relacionadas.
5.2 SUSCRIPTOR
- Actuar conforme a lo estipulado en la presente DPC de Thomas Signe S.A.S.
- Facilitar información completa, actual y veraz a la ECD de Thomas Signe S.A.S.
- Cumplir con los requisitos estipulados por Thomas Signe S.A.S. para el respectivo servicio de
certicación digital.
Declaración de Prácticas de Certificación para Estampado Cronológico
Versión 1.8
Código: THS-CO-AC-DPC-02 Página 10 de 35
- Cumplir con nuevos requisitos, cuando Thomas Signe S.A.S implemente cambios en los
servicios de certificación digital, previa comunicación de dichos cambios por parte de la ECD
al suscriptor.
- Que las declaraciones sobre la certificación son coherentes con el alcance del servicio de
certificación digital.
- No utilizar su certificación digital de manera que contravenga la ley u ocasione mala
reputación para la ECD de Thomas Signe S.A.S. y no hace ninguna declaración relacionada con
su certificación que Thomas Signe S.A.S. pueda considerar engañosa o no autorizada. Lo que a
su vez implica no monitorizar, manipular o realizar actos de ingeniería reversa sobre la
implantación técnica del ONAC y la ECD de Thomas Signe S.A.S.; así como comprometer
intencionadamente la seguridad de la Jerarquía del ONAC y la ECD de Thomas Signe S.A.S.
- Que inmediatamente después de la cancelación o la terminación de la certificación digital, el
suscriptor deja de utilizarla en todo el material publicitario que contenga alguna referencia a
ella, y emprende las acciones exigidas por el servicio de certificación digital y cualquier otra
medida previamente notificada.
- Que al hacer referencia al servicio de certificación digital en medios de comunicación, tales
como documentos, folletos o publicidad, el suscriptor informa que cumple con los requisitos
especificados en la respectiva PC de Thomas Signe S.A.S.
- Cumplir con los requisitos que pueda prescribir el servicio de certificación digital con relación
al uso de las marcas de conformidad y a la información relacionada con el servicio.
- Informar a la ECD, sin retraso, acerca de los cambios que puedan afectar el servicio de
certificación digital que le fue expedido por la ECD de Thomas Signe S.A.S.
- Cumplir los requisitos que pueda prescribir el servicio de certificación digital con relación al
uso de las marcas de conformidad y a la información relacionada con el servicio.
- Informar que cumple con lo estipulado en la DPC de Thomas Signe S.A.S., cuando haga
referencia al servicio de certificación digital en medios de comunicación (artículos,
documentos, folletos o publicidad).
6 IDENTIFICACIÓN DE LA ECD
Datos de la Entidad de Certificación Digital:
Razon Social - Nombre: THOMAS SIGNE SOLUCIONES TECNOLO GICAS GLOBALES S.A.S.
N.I.T.: 900962071-5
N° Matricula: 02680791
Domicilio social (Comercial): Avenida las Americas No. 44 – 57
Domicilio de correspondencia (Notificaciones judiciales): Cr. 42 Bis No. 17 a 45
Ciudad: Bogota, Colombia
Telefono: +57 (1) 3810240
Fax: +57 (1) 3407434
Correo electronico: pqrsa@thsigne.com
Oficina para PQRSA: Atencion al cliente
Pagina Web: www.thomas-signe.co
Centro de operación técnica
Razón Social - Nombre: SIGNE, S.A.
Declaración de Prácticas de Certificación para Estampado Cronológico
Versión 1.8
Código: THS-CO-AC-DPC-02 Página 11 de 35
C.I.F.: A11029279
Direccion: Avda. de la Industria, 18 Tres Cantos 28760
Domicilio: Madrid, Espan a
Telefono: +34 902 30 17 01
Fax: +34 918 06 01 02
Correo electronico: signe-ac@signe.com
Oficina para PQRSA: Atencion al cliente
Pagina Web: www.signe.es
7 ORGANIZACIÓN QUE ADMINISTRA LOS DOCUMENTOS NORMATIVOS Thomas Signe S.A.S. administra los documentos de Declaración de Prácticas, y todos los documentos
normativos de la ECD.
Para cualquier consulta contactar:
• Oficina: Gerencia de Sistemas de la Información
• Dirección de correo electrónico: pqrsa@thsigne.com
8 SERVICIOS DE ESTAMPADO CRONOLÓGICO
Thomas Signe S.A.S. brinda el servicio de estampado cronológico; dando conformidad a los criterios exigidos por ONAC y la Ley 527 de 1999.
El proceso del servicio de estampado cronológico brindado por Thomas Signe S.A.S., abarca desde la comercialización hasta la transición de salida o terminación del contrato entre el Cliente y Thomas Signe S.A.S.
Declaración de Prácticas de Certificación para Estampado Cronológico
Versión 1.8
Código: THS-CO-AC-DPC-02 Página 12 de 35
8.1 QUIÉN PUEDE SOLICITAR EL SERVICIO
Cualquier persona sea natural o jurídica que se encuentre habilitada para realizar lo siguiente:
En caso de Persona natural:
- Sustentar su identidad, mediante su Cédula de Ciudadanía, Pasaporte o Cédula de Extranjería.
- No encontrarse vinculada a actividades que puedan dañar la imagen de la ECD.
En caso de Persona jurídica:
- Sustentar la identidad del Solicitante, mediante su Cédula de Ciudadanía, Pasaporte o Cédula de
Extranjería.
- Sustentar la existencia de la Empresa o Entidad, mediante el Registro Único Tributario y el
Certificado de Existencia y Representación legal de la misma.
- En caso de que el Solicitante no sea el Representante de la Empresa o Entidad, evidenciar la
autorización otorgada al Solicitante.
- No encontrarse vinculada a actividades que puedan dañar la imagen de la ECD.
8.2 COMERCIALIZACIÓN
El Solicitante podrá recibir información acerca del proceso de certificación digital, requisitos, tarifas u otros relativos; por cualquiera de las siguientes vías:
- Consultando la página web www.thomas-signe.co
- Mediante el correo electrónico comercial@thomas-signe.co
- El trato directo con Agentes comerciales.
Cuando el Solicitante se comunique con el Área comercial manifestando que se encuentra interesado en el servicio de Estampado cronológico, se le brindará una Propuesta comercial, el Contrato de Suscripción y un Formulario de solicitud, que solicitará la siguiente información:
- Paquete requerido de acuerdo a la Propuesta comercial
- Tipo y Número de Documento de identidad del Solicitante
- Nombre completo del Solicitante
- Ciudad
- Teléfono
- Correo electrónico
- Razón Social (en caso de Persona Jurídica)
- NIT (en caso de Persona Jurídica)
8.3 CONTRATACIÓN Y PAGO
Para proceder con el proceso, el Solicitante deberá:
- Realizar el pago de la tarifa respectiva por un método válido (ver sección 9.3.1. Métodos de pago).
La evidencia de este proceso será el voucher o comprobante de pago.
- Aprobar todos los términos y condiciones dispuestos en el Contrato entre Thomas Signe S.A.S. y el
Solicitante, mediante la firma y/o aceptación respectiva. La evidencia de este proceso será el
Contrato de suscripción firmado de forma digital o manuscrita.
8.3.1 MÉTODOS DE PAGO
Thomas Signe S.A.S. pone a disposición del público, una cuenta bancaria para realizar el depósito de la cuantía respectiva a cada servicio (ver sección 23.1 Tarifas).
Declaración de Prácticas de Certificación para Estampado Cronológico
Versión 1.8
Código: THS-CO-AC-DPC-02 Página 13 de 35
La cuenta a nombre de THOMAS SIGNE SOLUCIONES TECNOLOGICAS GLOBAL S.A.S., se indica a continuación:
BANCO DE BOGOTÁ, CTA CORRIENTE No. 017346362
No obstante, Thomas Signe S.A.S. puede precisar de un método alternativo de pago en el caso de un Contrato de Prestación de Servicios con el cliente.
8.4 SOLICITUD
Para solicitar el servicio, el Solicitante deberá aceptar la Propuesta, respondiendo el correo electrónico del Área comercial de la siguiente manera:
- Sustentando su identidad, mediante el envío de su Cédula de Ciudadanía, Pasaporte o Cédula de
Extranjería, como Person natural; y además, en caso de Personas jurídicas, mediante el envío del
Registro Único Tributario, el Certificado de Existencia y Representación legal de la Empresa o
Entidad con vigencia no mayor a tres (03) meses.
- Adjuntando el Contrato de suscripción firmado y la evidencia del pago de la tarifa indicada en la
Propuesta comercial.
8.5 REVISIÓN
El Área Comercial se encarga de revisar que todos los datos fueron cumplimentados y se adjuntaron las evidencias de identidad, contratación y pago. Si la información es correcta, el Área Comercial se comunicará con el Departamento de Sistemas de la Información, enviando toda la información brindada por el Solicitante.
8.6 DECISIÓN
La ECD de Thomas Signe S.A.S. es responsable de la decisión tomada con respecto a la certificación digital. Es decir, es responsable de aprobar o denegar la certificación digital. En el caso de denegación, Thomas Signe S.A.S. se encarga de comunicar el motivo del rechazo al Solicitante.
8.7 OPERACIÓN DEL SERVICIO
Durante el periodo contratado, Thomas Signe S.A.S. garantiza a sus Suscriptores una adecuada ejecución del servicio de estampado cronológico, mediante lo mencionado a continuación:
- Se operará el servicio conforme a la Propuesta comercial. Se efectuará un monitoreo
constante y automático del rendimiento de los servicios.
- Se efectuará el servicio complementario de atención a PQRSAs, para absolver peticiones,
quejas, reclamos, sugerencias y apelaciones.
- Otros.
8.8 TRANSICIÓN DE SALIDA
Durante esta etapa, al finalizar el año de contratación y de acuerdo a las condiciones del servicio contratado, se efectuarán los trabajos de transición de salida.
9 IDENTIFICADOR ÚNICO
La presente Declaración de Prácticas para el servicio de estampado cronológico reconocida por Thomas Signe S.A.S. tiene un identificador único:
1.3.6.1.4.1.51362.10.1.4.1
Declaración de Prácticas de Certificación para Estampado Cronológico
Versión 1.8
Código: THS-CO-AC-DPC-02 Página 14 de 35
10 COMUNIDAD DE USUARIOS Y APLICABILIDAD
Thomas Signe S.A.S. no limita la comunidad de usuarios de los servicios de estampado cronológico, estos pueden ser personas jurídicas del sector privado o estatal que deseen utilizar los sellos de tiempo de Thomas Signe S.A.S. y que estén de acuerdo con la presente Declaración de Prácticas.
11 CONDICIONES Y TÉRMINOS DE USO
Las condiciones y términos de uso de los servicios de estampado cronológico para todos los suscriptores y terceros corresponden serán definidos con cada Suscriptor en los Contratos de suscripción.
Será responsabilidad del suscriptor difundir, conforme corresponda en términos de confidencialidad, las condiciones adicionales que sean establecidas en el contrato, a toda la comunidad de usuarios que defina para el uso de los servicios contratados.
12 CONTROLES DE SEGURIDAD FI SICA, INSTALACIONES, GESTIO N Y OPERACIONALES
Los sistemas y equipamientos empleados para las operaciones del servicio de certificación digital se encuentran administrados en el Centro de Datos de Telefónica.
Los controles de seguridad abarcan el ambiente físico, las redes, los sistemas, entre otros; los cuales se especifican a continuación.
Todos los controles de seguridad física están descritos en el procedimiento GSIGNE-SI-PR-11 Seguridad Física y del entorno
12.1 CONTROLES FÍSICOS
La CA tiene establecidos controles de seguridad fisica y ambiental para proteger los recursos de las instalaciones donde se encuentran los sistemas y los equipamientos empleados para las operaciones.
La seguridad fisica y ambiental aplicable a los servicios de generacion de certificados ofrece proteccion frente:
• Accesos fisicos no autorizados.
• Desastres naturales.
• Incendios.
• Fallo de los sistemas de apoyo (energia electronica, telecomunicaciones, etc.)
• Derrumbamiento de la estructura.
• Inundaciones.
• Robo.
• Salida no autorizada de equipamientos, informaciones, soportes y aplicaciones relativos a
componentes empleados para los servicios del Prestador de Servicios de Certificacion
Las instalaciones cuentan con sistemas de mantenimiento preventivo y correctivo con asistencia 24h-365 dias al an o con asistencia en las 24 horas siguientes al aviso. La localizacion de las instalaciones garantiza la presencia de fuerzas de seguridad en un plazo no superior a 30 minutos, al encontrarse en el centro urbano de una capital de provincia.
12.1.1 UBICACIÓN FÍSICA Y CONSTRUCCIÓN
Las instalaciones de la CA estan construidas con materiales que garantizan la proteccion frente a ataques por fuerza bruta, y ubicadas en una zona de bajo riesgo de desastres y permite un rapido acceso.
Declaración de Prácticas de Certificación para Estampado Cronológico
Versión 1.8
Código: THS-CO-AC-DPC-02 Página 15 de 35
En concreto, la sala donde se realizan las operaciones criptograficas es una jaula de Faraday, falso suelo, deteccion y extincion de incendios, sistemas anti-humedad, sistema de refrigeracion y sistema de suministro electrico.
12.1.2 ACCESO FÍSICO
El acceso fisico a las dependencias donde se llevan a cabo procesos de certificacion esta limitado y protegido mediante una combinacion de medidas fisicas y procedimentales.
Esta limitado a personal expresamente autorizado, con identificacion en el momento del acceso y registro del mismo, incluyendo filmacion por circuito cerrado de television y su archivo.
Las instalaciones cuentan con cámaras y Sistemas de alarma para deteccion de intrusismo con aviso por canales alternativos.
El acceso a las salas se realiza con lectores de tarjeta de identificacion, gestionado por un sistema informatico que mantiene un log de entradas y salidas automatico.
12.1.3 ALIMENTACIÓN ELÉCTRICA Y AIRE ACONDICIONADO
En el diseño de las instalaciones eléctricas existe redundancia de equipos, añadiéndole una serie de elementos alternativos tales como sistemas de by-pass, transferencias de cargas críticas sin cortes de tensión, aislamiento galvánico, red equipotencial de tierra, etc., que permiten asegurar el máximo nivel de disponibilidad eléctrica para los equipos alojados.
12.1.4 EXPOSICIÓN AL AGUA
Además, el sistema de climatización se realiza mediante equipos autónomos que aseguran unos niveles de temperatura y humedad óptimos para el funcionamiento de los servidores y la electrónica de red.
12.1.5 PREVENCIÓN Y PROTECCIÓN DE INCENDIOS
Las salas donde se albergan equipos informaticos disponen de sistemas de deteccion y extincion de incendios automaticos.
12.1.6 SISTEMA DE ALMACENAMIENTO
Los sistemas del servidor se ejecutan mediante el despliegue de un entorno virtualizado en alta disponibilidad basado en VMware vSphere, soportado sobre dispositivos redundantes de computación, almacenamiento de alto rendimiento y redes independientes de producción, gestión y almacenamiento.
12.1.7 ELIMINACIÓN DEL MATERIAL DE ALMACENAMIENTO DE LA INFORMACIÓN
Cuando haya dejado de ser util, la informacion sensible es destruida en la forma mas adecuada al soporte que la contenga:
Declaración de Prácticas de Certificación para Estampado Cronológico
Versión 1.8
Código: THS-CO-AC-DPC-02 Página 16 de 35
• Impresos y papel: mediante trituradoras o en papeleras dispuestas al efecto para
posteriormente ser destruidos, bajo control.
• Medios de almacenamiento: antes de ser desechados o reutilizados deben ser procesados
para su borrado fisicamente destruidos o hacer ilegible la informacion contenida.
Existen procedimientos bajo la norma estándar ISO 27001 que regulan estas operaciones
12.2 CONTROLES DE PROCEDIMIENTO
12.2.1 ROLES DE CONFIANZA
Los roles de confianza de la infraestructura tecnológica de Thomas Signe S.A.S. son los que se describen en el documento “THS-CO-AC-MO-01 Diagrama Organizacional”. De esta forma, se garantiza una segregacion de funciones que disemina el control y limita el fraude interno, no permitiendo que una sola persona controle de principio a fin todas las funciones de certificacion.
Los roles establecidos son:
• Gerente de Sistemas de la Información: Responsable general de los procesos de certificación
digital, registro y servicios de firma digital y protección de mensajes de datos. Dentro de la
plataforma EJBCA, cumple el rol de Auditor de la CA.
• Responsable de Certificación digital: Responsable de administrar la infraestructura técnica de
servicios electrónicos de la ECD, bajo el cumplimiento de las Prácticas de Certificación.
Dentro de la plataforma EJBCA, cumple el rol de Administrador de la CA.
• Administrador de Sistemas de la CA: Responsable de supervisar la infraestructura técnica de
los servicios de certificación digital de la ECD. Dentro de la plataforma EJBCA, cumple el rol
de Administrador de la CA.
12.2.2 NÚMERO DE PERSONAS REQUERIDAS POR TAREA
Thomas Signe S.A.S. garantiza al menos dos personas para realizar las tareas que requieren control multipersona, según el procedimiento THS-CO-AC-PR-11 Gestión de acceso al Sistema de la CA, y que se detallan a continuacion:
o La generacion de la clave de la TSA.
o La recuperacion y back-up de la clave privada de la TSA.
o La emision de certificado de la TSA.
o Activacion de la clave privada de la TSA.
12.2.3 IDENTIFICACIÓN Y AUTENTICACIÓN PARA CADA ROL
Cada rol de confianza de la CA se autentica mediante la utilización de dispositivos criptográficos seguros. La autenticación dentro de la plataforma previamente mencionada permite el acceso a determinados activos de información de Thomas Signe S.A.S.
12.2.4 ROLES QUE REQUIEREN SEGREGACIÓN DE FUNCIONES
La segregación de funciones e incompatibilidades se determinan en el procedimiento THS-CO-AC-MO-01 Diagrama Organizacional.
Declaración de Prácticas de Certificación para Estampado Cronológico
Versión 1.8
Código: THS-CO-AC-DPC-02 Página 17 de 35
12.3 CONTROLES DE PERSONAL
12.3.1 REQUISITOS SOBRE LA CUALIFICACIÓN, EXPERIENCIA Y CONOCIMIENTO PROFESIONALES
Todo el personal esta cualificado y ha sido instruido convenientemente para realizar las operaciones que le han sido asignadas.
La CA se asegura que el personal de registro es personal confiable de una Corporacion para realizar las tareas de registro. A tal efecto se exige una declaracion en tal sentido por parte de la Entidad que asume funciones de RA .
El empleado del registro habra realizado un curso de preparacion para la realizacion de las tareas de registro y validacion de las peticiones. Al final de dicho curso, un auditor externo procedera a evaluar sus conocimientos del proceso.
La CA retirara de sus funciones de confianza a un empleado cuando se tenga conocimiento de la existencia de la comision de algun hecho delictivo que pudiera afectar al desempen o de estas funciones.
Existe un procedimiento del Grupo Signe GSIGNE-RRHH-PR-02 Selección de personal que define todos los requisitos para la selección de personal para los roles profesionales.
12.3.2 PROCEDIMIENTO DE COMPROBACIÓN DE ANTECEDENTES
Se realizan investigaciones pertinentes antes de la contratacion de cualquier persona.
12.3.3 REQUISITOS DE FORMACIÓN
Se llevan a cabo los cursos necesarios para asegurarse de la correcta realizacion de las tareas de certificacion, especialmente cuando se realicen modificaciones sustanciales en las mismas y en funcion de los conocimientos personales de cada operador.
Existe un procedimiento, GSIGNE-RRHH-PR-03 Formación, que determina las acciones que realizan las empresas del grupo para una adecuada formación. También existe un plan anual de formación.
12.3.4 REQUISITOS Y FRECUENCIA DE ACTUALIZACIÓN DE FORMACIÓN
Se realizaran actualizaciones con una frecuencia anual, salvo por modificaciones a la DPC, que seran notificadas a medida que sean aprobadas.
12.3.5 SANCIONES POR ACTUACIONES NO AUTORIZADAS
Se dispone de un regimen sancionador interno (GSIGNE-RRHH-PR-05 Procedimiento Sancionador) por la realizacion de acciones no autorizadas pudiendose llegar al cese del trabajador.
12.3.6 REQUISITOS DE CONTRATACIÓN DE TERCEROS
Los empleados de las empresas del Grupo que tengan un rol asignado dentro de la actividad de Thomas Signe para realizar tareas confiables deberan firmar anteriormente las clausulas de confidencialidad y la de requerimientos operacionales y aceptación del rol empleados por Thomas Signe S.A.S.. Cualquier accion que comprometa la seguridad de los procesos criticos aceptados podra dar lugar al cese del contrato laboral.
Declaración de Prácticas de Certificación para Estampado Cronológico
Versión 1.8
Código: THS-CO-AC-DPC-02 Página 18 de 35
12.3.7 DOCUMENTACIÓN PROPORCIONADA AL PERSONAL
Thomas Signe S.A.S. pondra a disposicion de todo el personal la documentacion donde se detallen las funciones encomendadas, las politicas y practicas que rigen dichos procesos y la documentacion de seguridad.
Adicionalmente se suministrara la documentacion que precise el personal en cada momento, al objeto de que pueda desarrollar de forma competente sus funciones.
12.4 REGISTROS Y SUPERVISIÓN
12.4.1 SUPERVISIÓN
Thomas Signe dispone de un SOC (Security Operation Center) y un NOC (Network Operation Center) para monitorizar todas las tareas de supervisión de la seguridad y las comunicaciones de los servicios ofrecidos.
Estos centros de operación están descritos en el procedimiento GSIGNE-SI-PR-11 Seguridad física y del entorno, y están en áreas seguras.
12.4.2 TIPOS DE EVENTOS REGISTRADOS
Thomas Signe S.A.S. registra y guarda los logs de todos los eventos relativos al sistema de seguridad de la CA. Estos incluyen los siguientes eventos:
• Encendido y apagado del sistema.
• Intentos de inicio y fin de sesion.
• Intentos de accesos no autorizados al sistema de la CA a traves de la red.
• Registros de las aplicaciones de la Entidad de Certificacion.
• Encendido y apagado de la aplicacion.
• Cambios en los detalles de la CA y/o sus claves.
• Cambios en la creacion de perfiles de certificados.
• Eventos del ciclo de vida del certificado.
• Eventos asociados al módulo criptográfico
• Registros de la destruccion de los medios que contienen las claves, datos de activacion.
Adicionalmente, Thomas Signe S.A.S. conserva, ya sea manual o electronicamente, la siguiente informacion:
• Las ceremonias de creacion de claves de las CA y las bases de datos de gestion de claves.
• Registros de acceso fisico.
• Cambios en el personal que realiza tareas de confianza.
• Informes de compromisos y discrepancias.
• Registros de la destruccion de material que contenga informacion de claves, datos de
activacion o informacion personal de suscriptor, si se gestiona esa informacion.
• Posesion de datos de activacion, para operaciones con la clave privada de las CA que
abastezca a Thomas Signe S.A.S.
12.4.3 FRECUENCIA DE PROCESADO DE REGISTROS DE AUDITORÍA (LOG)
Se revisaran los logs de auditoria cuando se produzca una alerta del sistema motivada por la existencia de algun incidente, en busca de actividad sospechosa o no habitual.
12.4.4 PERIODO DE RETENCIÓN DE LOS REGISTROS DE AUDITORÍA
Se almacenara la informacion de los logs de auditoria por un periodo de tres (03) años para garantizar la seguridad del sistema en funcion de la importancia de cada log en concreto.
Declaración de Prácticas de Certificación para Estampado Cronológico
Versión 1.8
Código: THS-CO-AC-DPC-02 Página 19 de 35
12.4.5 PROCEDIMIENTOS DE BACKUP DE LOS REGISTROS DE AUDITORÍA
Thomas Signe S.A.S. dispone de un procedimiento adecuado de backup, de manera que, en caso de perdida o destruccion de archivos relevantes, esten disponibles en un periodo corto de tiempo las correspondientes copias de backup de los logs.
La CA tiene implementado un procedimiento de backup seguro de los logs de auditoría, realizando diariamente una copia de todos los logs en un medio externo.
Se protege su disponibilidad mediante el almacen en instalaciones externas al centro donde se ubica la Entidad de Certificacion Digital.
12.4.6 SISTEMA DE RECOGIDA DE INFORMACIÓN DE AUDITORÍA (INTERNA O EXTERNA)
La informacion de la auditoria de eventos es recogida internamente y de forma automatizada por el sistema operativo y por el software de certificacion.
12.4.7 ANÁLISIS DE VULNERABILIDADES
La CA realiza periodicamente una revision de vulnerabilidades y test de intrusión para analizar la infraestructura de la CA. Después se analizaran y se corregirán las vulnerabilidades que la CA crea que son un riesgo para ella.
12.5 ARCHIVO DE REGISTROS
12.5.1 TIPOS DE EVENTOS ARCHIVADOS
Thomas Signe S.A.S. conservara los eventos que tengan lugar durante el ciclo de vida del servicio. Por lo tanto, se almacenara:
• todos los datos de la auditoría,
• todos los datos relativos a los contratos con los suscriptores y los datos relativos a su
identificacion,
• la documentacion requerida por los auditores y
• las comunicaciones entre los elementos de la PKI
Thomas Signe S.A.S. es responsable del correcto archivo de todo este material y documentacion.
12.5.2 PERIODO DE CONSERVACIÓN
Todos los datos del sistema relativos al ciclo de vida se conservaran durante el periodo que establezca la legislacion vigente cuando sea aplicable. Los contratos con los suscriptores y cualquier informacion relativa a la identificacion y autenticacion del suscriptor seran conservados durante al menos tres (03) an os o el periodo que establezca la legislacion vigente.
12.5.3 PROTECCIÓN DE ARCHIVOS
Thomas Signe S.A.S. asegura la correcta proteccion de los archivos mediante la asignacion de personal cualificado para su tratamiento y el almacenamiento en instalaciones externas en los casos en que asi se requiera.
Además, disponen de documentos tecnicos y de configuracion donde se detallan todas las acciones tomadas para garantizar la proteccion de los archivos.
Declaración de Prácticas de Certificación para Estampado Cronológico
Versión 1.8
Código: THS-CO-AC-DPC-02 Página 20 de 35
12.5.4 PROCEDIMIENTOS PARA OBTENER Y VERIFICAR INFORMACIÓN ARCHIVADA
El acceso a la informacion archivada se realiza solo por personal autorizado.
Thomas Signe S.A.S. proporcionara la informacion y los medios al auditor para poder verificar la informacion archivada.
12.6 PROCEDIMIENTOS DE GESTIÓN DE INCIDENTES Y VULNERABILIDADES
Thomas Signe S.A.S. ha desarrollado un Plan de contingencia para recuperar todos los sistemas, según el procedimiento GSIGNE-SI-PR-17 Aspectos de Seguridad de la Información para la GCN y THS-CO-SI-PR-01 Gestión del riesgo - 03 BIA - DRP 2019.
Cualquier fallo en la consecucion de las metas marcadas por este plan de contingencias, sera tratado como razonablemente inevitable a no ser que dicho fallo se deba a un incumplimiento de las obligaciones de la CA para implementar dichos procesos.
Como parte de los incidentes de seguridad que deben ser registrados por Thomas Signe S.A.S., se encuentran:
• Cuando la seguridad de la llave privada de la entidad de certificación se ha visto
comprometida
• Cuando el sistema de seguridad de la entidad de certificación ha sido vulnerado
• Cuando se presenten fallas en el sistema de la entidad de certificación que comprometan la
prestación del servicio.
• Cuando los sistemas de cifrado pierdan vigencia por no ofrecer el nivel de seguridad
contratado por el suscriptor
• Cuando se presente cualquier otro evento o incidente de seguridad de la información.
12.6.1 RECUPERACIÓN EN CASO DE COMPROMISO DE UNA CLAVE
El plan de contingencias de la jerarquia de Thomas Signe S.A.S., trata el compromiso de la clave privada de la CA como un desastre.
En caso de compromiso de la clave privada de la CA, se procederá, según el procedimiento THS-CO-AC-PR-05 Gestión de claves, a:
• Informar a todos los suscriptores, usuarios y otras ECs con los cuales tenga acuerdos u otro
tipo de relacion del compromiso, como minimo mediante la publicacion de un aviso en la
pagina web de Thomas Signe S.A.S.
• Indicar que los certificados e informacion relativa al estado de la revocacion firmados usando
esta clave no son validos.
12.6.2 CONTINUIDAD DEL NEGOCIO DESPUE S DE UN DESASTRE
Thomas Signe S.A.S. ha desarrollado un Plan de contingencia para recuperar todos los sistemas, según el procedimiento GSIGNE-SI-PR-17 Aspectos de Seguridad de la Información para la GCN y THS-CO-SI-PR-01 Gestión del riesgo - 03 BIA - DRP 2019.
Declaración de Prácticas de Certificación para Estampado Cronológico
Versión 1.8
Código: THS-CO-AC-DPC-02 Página 21 de 35
12.7 CESE DE UNA ECD
12.7.1 ENTIDAD DE CERTIFICACIÓN DIGITAL
Ante el cese de servicios de la ECD de Thomas Signe S.A.S. se procederá de la siguiente forma:
- Informar en primera instancia a la Superintendencia de Industria y Comercio acerca del cese de actividades con una anticipación de treinta (30) días y solicitar su autorización.
- Luego de haber sido autorizado, informar por medio de dos avisos publicados en diarios de amplia difusión y por el correo electrónico declarado, a todos los suscriptores con un intervalo de quince (15) días sobre la terminación de su actividad o actividades, la fecha precisa de cesación y las consecuencias jurídicas de esta respecto de los certificados expedidos.
Si por causas de fuerza mayor el servicio es suspendido temporalmente, Thomas Signe S.A.S. informará al suscriptor dentro de las veinticuatro (24) horas siguientes de ocurrido el incidente.
En cualquier caso, se garantiza la continuidad del servicio a los usuarios quienes ya hayan contratado los servicios de la ECD de Thomas Signe S.A.S., directamente o por medio de terceros, sin ningún costo adicional a los servicios que contrató.
Los registros competentes de los certificados emitidos a los ciudadanos y empresas privadas serán mantenidos hasta ser cumplido el plazo de diez (10) años.
13 AUDITORÍA DE CONFORMIDAD Y OTROS CONTROLES
Thomas Signe S.A.S. se somete a las auditorías de conformidad que realiza el ONAC, directamente o a través de terceros, de conformidad con los dispuesto en el artículo 162 del Decreto-ley 19 de 2012. Asimismo, de acuerdo a lo exigido en los Criterios Específicos de Acreditación del ONAC, Thomas Signe S.A.S. cumple con la Auditoría de tercera parte en los términos previstos en dicho documento.
En caso aplique, Thomas Signe S.A.S. permite y facilita la realización de auditorías por parte de la Superintendencia de Industria y Comercio.
Thomas Signe dispone de la certificación ISO 27001 y Webtrust.
Por otro lado, Signe en calidad de proveedor de infraestructura tecnológica, cuenta con la certificación eIDAS, ISO 9001, ISO 14001, ENS (Esquema Nacional de Seguridad), ISO 14298 e ISO 27001; sometiéndose a auditorías anuales que cubren los servicios de emisión de certificados digitales, estampado cronológico, y archivo y conservación de mensajes de datos.
13.1 FRECUENCIA DE LAS AUDITORÍAS
Se realizaran auditorías periodicas, generalmente con caracter anual.
Específicamente, la auditoría realizada por el ONAC a los servicios de Thomas Signe S.A.S., se realiza cada año. De la misma manera, cumple anualmente con la Auditoría de tercera parte.
Thomas Signe se somete a auditorías anuales de ISO 27001 y Webtrust.
Por otro lado, Signe se somete anualmente a la auditoría eIDAS, ISO 9001, ISO 14001, ENS (Esquema Nacional de Seguridad), ISO 14298 e ISO 27001.
Cabe destacar que Signe se compromete a realizar las auditorías necesarias para obtener en su propio nombre dicha certificación.
13.2 IDENTIDAD/CUALIFICACIÓN DEL AUDITOR
Las auditorías de conformidad que competen a Thomas Signe S.A.S. son realizadas por auditores designados por el ONAC.
Las auditorías de tercera parte se realizan por auditores que cumplan con lo establecido en los Criterios Específicos de ONAC vigente.
Declaración de Prácticas de Certificación para Estampado Cronológico
Versión 1.8
Código: THS-CO-AC-DPC-02 Página 22 de 35
Las auditorías a las que se somete Signe, pueden ser de caracter tanto interno como externo. En este segundo caso, se realizan por empresas de reconocido prestigio en el ambito de las auditorías.
13.3 RELACIÓN ENTRE EL AUDITOR Y LA ENTIDAD AUDITADA
Las empresas que realizan las auditorias externas nunca representan ningun conflicto de intereses que pueda desvirtuar su actuacion en su relacion con Thomas Signe S.A.S.
13.4 ASPECTOS CUBIERTOS POR LOS CONTROLES
La auditoria verifica, en general, los siguientes principios:
Publicacion de la Informacion: Que la ECD hace publicas las Practicas de Negocio y de Gestion de Certificados (la presente DPC), asi como la politica de privacidad de la informacion y proteccion de datos personales y proporciona sus servicios en conformidad con dichas afirmaciones.
a) Integridad de Servicio. Que la ECD mantiene controles efectivos para asegurar razonablemente
que:
• La informacion del suscriptor es autenticada adecuadamente (para las actividades de
registro realizadas por la ECD), y
• La integridad de las claves y certificados gestionados y su proteccion a lo largo de todo
su ciclo de vida.
b) Controles generales. Que la ECD mantiene controles efectivos para asegurar razonablemente
que:
• La informacion de suscriptores y usuarios esta restringida a personal autorizado y
protegida de usos no especificados en las practicas de negocio de la ECD publicadas.
• Se mantiene la continuidad de las operaciones relativas a la gestion del ciclo de vida
de las claves y los certificados.
c) Las tareas de explotacion, desarrollo y mantenimiento de los sistemas de la ECD son
adecuadamente autorizadas y realizadas para mantener la integridad de los mismos.
13.5 ACCIONES A TOMAR COMO RESULTADO DE LA DETECCIÓN DE DEFICIENCIAS
En caso de que sean detectadas incidencias o no-conformidades, se habilitaran las medidas oportunas para su resolucion en el menor tiempo posible. Para no-conformidades graves (afectan a los servicios criticos); Thomas Signe S.A.S. o Signe se comprometen, según corresponda, a su resolucion en un plazo maximo de tres meses.
13.6 COMUNICACIÓN DE RESULTADOS
El auditor se comunicara con el Gerente Adjunto y/o Gerente de Sistemas de la Información.
14 CICLO DE VIDA DE LA GESTIÓN DE LA CLAVE
14.1 GENERACIÓN DE LA CLAVE DE LA TSA
La generación de la clave privada del certificado digital con el cual se firman los sellos de tiempo es realizada en un ambiente físico seguro (conforme a la sección 7.4.4 de la RFC 3628), por personal confiable (sección 7.4.3 de la RFC 3628) bajo, al menos, autorización de dos personas, conforme a la Declaración de Prácticas de Certificación para Emisión de Certificados de Thomas Signe S.A.S.
Declaración de Prácticas de Certificación para Estampado Cronológico
Versión 1.8
Código: THS-CO-AC-DPC-02 Página 23 de 35
La generación de la clave privada se realiza en un módulo hardware de seguridad – HSM con certificaciones FIPS 140-2 nivel 3 y su administración es protegida por al menos dos personas, conforme a la Declaración de Prácticas de Certificación para Emisión de Certificados de Thomas Signe S.A.S.
14.2 CARACTERÍSTICAS TÉCNICAS DEL CERTIFICADO DIGITAL Y DE LOS ALGORITMOS UTILIZADOS
Las características del certificado digital y de los algoritmos utilizados en los servicios de estampado cronológico, son señalados en la Declaración de Prácticas de Certificación para Emisión de Certificados.
14.3 PROTECCIÓN DE LA CLAVE PRIVADA DE LA TSA
La clave privada del certificado de firma de cada sello de tiempo es resguardada durante su uso dentro de un módulo hardware criptográfico con certificación FIPS 140-2 nivel 3. Las copias de respaldo se almacenan en un módulo criptográfico del mismo nivel de seguridad, conforme a la Declaración de Prácticas de Certificación para Emisión de Certificados.
14.4 DISTRIBUCIÓN DE LA CLAVE PÚBLICA TSU
La clave pública está contenida dentro de un certificado X.509 v3, firmada digitalmente por Thomas Signe S.A.S. regulada por la Declaración de Prácticas de Certificación para Emisión de Certificados.
14.5 RE-EMISIÓN DE LA CLAVE DEL TSU
La clave privada de la TSA de Thomas Signe S.A.S. será reemplazada antes de la expiración de su periodo de validez y en caso de obsolescencia o vulnerabilidad declarada del algoritmo, el tamaño de la clave u otra medida de seguridad relevante, conforme a la Declaración de Prácticas de Certificación para Emisión de Certificados de Thomas Signe S.A.S.
14.6 TÉRMINO DEL CICLO DE VIDA DE LA CLAVE PRIVADA DEL TSU
Las claves privadas con las cuales se firman los sellos de tiempo reconocidos por Thomas Signe S.A.S., no serán usadas luego de terminado su ciclo de vida sino que será emitida una nueva clave y puesta en operación, realizando el cambio de un certificado digital por otro, incluyendo la generación segura y la publicación del nuevo certificado.
La clave de la TSA que ha expirado o ha sido revocada o cualquier parte de ella, incluyendo cualquier copia será destruida de modo que no pueda ser recuperada.
15 CONTROLES DE SEGURIDAD DEL CICLO DE VIDA
15.1 CONTROLES DE GESTIO N DE SEGURIDAD
Gestion de seguridad
Thomas Signe S.A.S. desarrolla las actividades precisas para la formacion y concienciacion de los empleados en materia de seguridad.
Clasificacion y gestion de informacion y bienes
Thomas Signe S.A.S. mantiene un inventario de activos y documentacion.
Declaración de Prácticas de Certificación para Estampado Cronológico
Versión 1.8
Código: THS-CO-AC-DPC-02 Página 24 de 35
Cada una de las Políticas y procedimiento indica su nivel de confidencialidad. Los documentos estan catalogados en tres niveles: PU BLICO, INTERNO y CONFIDENCIAL.
Operaciones de gestion
Thomas Signe S.A.S. dispone de un adecuado Procedimiento de gestion de incidencias y de la continuidad del negocio.
Thomas Signe S.A.S. dispone de cajas de seguridad ignifugas para el almacenamiento de soportes fisicos.
Thomas Signe S.A.S. tiene documentado todo el procedimiento relativo a las funciones y responsabilidades del personal implicado en el proceso de certificacion.
Tratamiento de los soportes y seguridad
Todos los soportes seran tratados de forma segura de acuerdo con los requisitos de la clasificacion de la informacion. Los soportes que contengan datos sensibles son destruidos de manera segura si no van a volver a ser requeridos.
Gestion del sistema de acceso
Thomas Signe S.A.S. realiza todos los esfuerzos que razonablemente estan a su alcance para confirmar que el acceso al sistema esta limitado a las personas autorizadas. En particular:
• Se dispone de controles basados en firewalls de alta disponibilidad.
• Los datos sensibles son protegidos mediante tecnicas criptograficas o controles de acceso con
autenticacion fuerte.
• Se dispone de un procedimiento documentado de gestion de altas y bajas de usuarios y politica de
acceso detallado en su politica de seguridad.
• Se dispone de un procedimiento para asegurar que las operaciones se realizan respetando la
politica de roles.
• Cada persona tiene asociado su identificador para realizar las operaciones de certificacion segun
su rol.
• El personal de Thomas Signe S.A.S. sera responsable de sus actos, por ejemplo, por retener logs de
eventos
Gestion del ciclo de vida del hardware criptografico
• Thomas Signe S.A.S. se asegura que el hardware criptografico usado para la firma de certificados
no se manipula durante su transporte.
• El Hardware criptografico esta construido sobre soportes preparados para evitar cualquier
manipulacion.
• Thomas Signe S.A.S. registra toda la informacion pertinente del dispositivo para an adir al catálogo
de activos de Thomas Signe S.A.S.
• El uso del hardware criptografico de firma de certificados requiere el uso de al menos dos
empleados de confianza.
• Thomas Signe S.A.S. realiza test de pruebas periodicas para asegurar el correcto funcionamiento
del dispositivo.
• El dispositivo criptografico solo es manipulado por personal confiable.
• La configuracion del sistema de la ECD asi como sus modificaciones y actualizaciones son
documentadas y controladas.
• Thomas Signe S.A.S. posee un contrato de mantenimiento del dispositivo para su correcto
mantenimiento. Los cambios o actualizaciones son autorizados por el responsable de seguridad y
Declaración de Prácticas de Certificación para Estampado Cronológico
Versión 1.8
Código: THS-CO-AC-DPC-02 Página 25 de 35
quedan reflejados en las actas de trabajo correspondientes. Estas configuraciones se realizaran al
menos por dos personas confiables.
15.2 CONTROLES DE SEGURIDAD DE LA RED
La CA protege el acceso fisico a los dispositivos de gestion de red y dispone de una arquitectura que ordena el trafico generado basandose en sus caracteristicas de seguridad creando secciones de red claramente definidas. Esta division se realiza mediante el uso de cortafuegos.
15.3 SELLADO DE TIEMPO
El tiempo para los servicios de la ECD se obtienen mediante consulta al Instituto Nacional de Metrología (INM) de Colombia, de acuerdo con lo establecido en el artículo 14 del Decreto 4175 de 2011, por el cual se escindieron unas funciones de la Superintendencia de Industria y Comercio y se creó el Instituto Nacional de Metrología –INM, a partir del 3 de noviembre del año 2011 esta última institución es la encargada de mantener, coordinar y difundir la hora legal de la República de Colombia, adoptada mediante Decreto 2707 de 1982.
Los servidores se mantienen actualizados con lo hora UTC, mediante sincronización a través del protocolo NTP v4, conforme al estándar RFC 5905 - Network Time Protocol Version 4: Protocol and Algorithms Specification.
16 SELLO DE TIEMPO
Los sellos de tiempo de Thomas Signe S.A.S. cumplen lo siguiente:
• Los sellos de tiempo son conformes a la RFC 3161 - Internet X.509 Public Key Infrastructure
Time-Stamp Protocol (TSP).
• Se utiliza un servicio de sincronización a la fuente de tiempo confiable.
• El sello de tiempo incluye un identificador de la política de sello de tiempo, en concordancia con
la TSA y la TSU de Thomas Signe S.A.S.
• Cada sello de tiempo tiene asignado un único identificador.
• El tiempo incluido en el sello de tiempo será sincronizado con la UTC dentro de la exactitud de
+/- 1 segundo.
• El sello de tiempo incluye un resumen de los datos firmados (HASH).
• El sello de tiempo deberá ser firmado por una clave generada para este propósito,
correspondiente a la TSA de Signe.
• Si se detecta que el reloj del proveedor del sello de tiempo se encuentra fuera de la precisión
indicada, los sellos de tiempo no deben emitirse. Asimismo, los terceros que confían afectados
serán informados al respecto.
• La sincronización del reloj se mantiene aún cuando se presentan cambios en el tiempo
notificado por una Autoridad Competente. El cambio se realiza cuando el cambio en el tiempo
se encuentra debidamente planificado.
17 OBLIGACIONES Thomas Signe S.A.S. asegura que los sistemas, personas y procesos que conforman los servicios de
estampado cronológico, cumplan con los requerimientos definidos en la RFC 3628 - Policy Requirements for Time-Stamping Authorities, verificando su cumplimiento con periodicidad.
En este sentido, Thomas Signe S.A.S. se hace responsable de cumplir con las obligaciones contractuales y niveles de servicio acordados con cada Suscriptor.
Declaración de Prácticas de Certificación para Estampado Cronológico
Versión 1.8
Código: THS-CO-AC-DPC-02 Página 26 de 35
17.1 OBLIGACIONES DE LA TSA EN RELACIÓN A LOS SUSCRIPTORES
Thomas Signe S.A.S. entregará los servicios con la confiabilidad y exactitud establecida en los respectivos contratos y en el presente documento.
17.2 OBLIGACIONES DE LOS PROVEEDORES
El Proveedor de infraestructura y servicios tecnológicos de Thomas Signe S.A.S. se encuentra obligado a cumplir con los requisitos mínimos exigidos por ONAC, dispuestos en el documento CEA 4.1-10 vigente, tales como:
a) Responsabilidad y financiación
b) Confidencialidad
c) Requisitos para los recursos
d) Requisitos del proceso – Ciclo de vida del certificado digital
e) Requisitos del sistema de gestión
f) Requisitos de la CA
g) Requisitos de la RA
h) Requisitos técnicos
17.3 OBLIGACIONES DE LOS SUSCRIPTORES
Es responsabilidad de los suscriptores utilizar una aplicación de software acreditada ante el ONAC que realice las peticiones e interprete las respuestas conforme al formato establecido en la RFC 3161, las verificaciones del estado del certificado, así como realizar la correcta configuración de la hora local en estas aplicaciones.
17.4 OBLIGACIONES DE LOS TERCEROS QUE CONFÍAN
Los terceros que confían son responsables de verificar que los documentos sean firmados con un sello de tiempo, con un certificado digital reconocido por Thomas Signe S.A.S. y que estos sellos tengan como parte de su número de identificación el OID, la identificación de la respectiva política de sellado de tiempo de Signe .
Asimismo deben verificar que el certificado de sello de tiempo se encuentra firmado y que la clave privada no estuvo comprometida en el momento en el que se realizó el sellado de tiempo.
18 POLÍTICA DE PROTECCIÓN DE DATOS Thomas Signe S.A.S. garantiza la protección de datos personales de los suscriptores y titulares de los
servicios de certificación digital, en cumplimiento de la Ley Estatutaria 1581 de 2012, reglamentada parcialmente por el Decreto Nacional 1377 del 2013; de los Decretos 1377 de 2013 y 886 de 2014, ley 1266 de 2008 de demás decretos reglamentarios relacionados, donde se reglamenta lo establecido en la Ley 1581 de 2012, por la cual se expidió el Régimen General de Protección de Datos Personales, cuyo objeto es “(...) desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma” y de los Criterios específicos de acreditación Entidades de Certificación Digital - CEA-4.1-10 Versión 01.
Serán considerados como datos personales, la información de nombres, dirección, correo electrónico, y toda información que pueda vincularse a la identidad de una persona natural o jurídica, contenidos en los contratos y solicitudes de los suscriptores. Esta información será considerada como confidencial y será de uso exclusivo para las operaciones de certificación digital estipuladas, a excepción que exista un previo
Declaración de Prácticas de Certificación para Estampado Cronológico
Versión 1.8
Código: THS-CO-AC-DPC-02 Página 27 de 35
consentimiento del usuario final de dichos datos o medie una orden judicial o administrativa que así lo determine.
Es responsabilidad de los suscriptores garantizar que la información provista a Thomas Signe S.A.S. sea veraz y vigente. Asimismo, son responsables del perjuicio que pudieran causar por aportar datos falsos, incompletos o inexactos.
Thomas Signe S.A.S. cuenta con una Política de Privacidad de datos personales que detalla los principios, recolección y tratamiento de datos personales.
19 CONFIDENCIALIDAD DE LA INFORMACIÓN
Thomas Signe S.A.S., considera confidencial toda la informacion que no este catalogada expresamente como publica. No se difundira informacion declarada como confidencial sin el consentimiento expreso por escrito de la entidad u organizacion que le haya otorgado el caracter de confidencialidad, a no ser que exista una imposicion legal.
19.1 INFORMACIÓN CONFIDENCIAL
La siguiente informacion sera considerada confidencial:
• Las claves privadas de la TSA
• Acta de Ceremonia de generación de las claves de la TSA
• Procedimiento de Ceremonia de generación de las claves de la TSA
• La información de negocio suministrada y/o elaborada conjuntamente con Thoma Signe S.A.S.
por parte de sus clientes, proveedores u otras personas con las que Thomas Signe se
comprometió a guardar secreto establecido legal o convencionalmente.
• La información del suscriptor obtenida por fuentes diferentes del suscriptor y que haya sido
catalogada como “Confidencial”.
• Los datos recogidos durante el proceso de solicitud.
19.2 INFORMACIÓN NO CONFIDENCIAL
La siguiente informacion sera considerada no confidencial:
• La contenida en la presente DPC.
• Cualquier informacion cuya publicidad sea impuesta normativamente.
20 OTROS ASUNTOS LEGALES Y COMERCIALES
20.1 PAQUETES
Los paquetes para el servicio de Estampado cronológico que ofrece Thomas Signe S.A.S., pueden ser lo siguientes:
TIPO DE PAQUETE N° ESTAMPAS CRONOLÓGICAS
Paquete ilimitado Servicio ilimitado de estampado cronológico
Declaración de Prácticas de Certificación para Estampado Cronológico
Versión 1.8
Código: THS-CO-AC-DPC-02 Página 28 de 35
Paquete premium Servicio de hasta 1.000.000 estampas cronológicas
Paquete 750 mil Servicio de hasta 750.000 estampas cronológicas
Paquete 500 mil Servicio de hasta 500.000 estampas cronológicas
Paquete 250 mil Servicio de hasta 250.000 estampas cronológicas
Paquete 100 mil Servicio de hasta 100.000 estampas cronológicas
Paquete 50 mil Servicio de hasta 50.000 estampas cronológicas
Paquete 20 mil Servicio de hasta 20.000 estampas cronológicas
Paquete 10 mil Servicio de hasta 10.000 estampas cronológicas
Paquete 5000 Servicio de hasta 5.000 estampas cronológicas
Paquete 2000 Servicio de hasta 2.000 estampas cronológicas
Paquete 500 Servicio de hasta 500 estampas cronológicas
Las tarifas respectivas a cada paquete pueden ser consultadas a comercial@thomas-signe.co
20.1.1 POLÍTICA DE REEMBOLSO
Thomas Signe S.A.S. disponer de una Política de reembolso, (THS-CO-AC-POL-07 Política de reembolso) que se encuentra además referenciada en los contratos celebrados con sus clientes y es pública en la web www.thomas-signe.co.
20.2 RESPONSABILIDADES ECONÓMICAS
Thomas Signe S.A.S., dispone de recursos económicos suficientes para afrontar el riesgo de la responsabilidad por daños y perjuicios ante los usuarios de sus servicios y a terceros, garantizando sus responsabilidades en su actividad como ECD. La garantía citada se establece mediante un Seguro de Responsabilidad Civil con una cobertura igual o superior a la exigida por la normativa vigente.
Las características de dicho seguro, son las siguientes:
- Es expedido por una entidad aseguradora vigilada por la Superintendencia Financiera de Colombia.
- Cubre riesgos y perjuicios contractuales y extracontractuales de suscriptores y terceros de buena fe.
- La entidad aseguradora se encarga de informar previamente a ONAC la terminación del contrato de seguro o si se realizan modificaciones que reducen el alcance o monto de la cobertura pactada.
Declaración de Prácticas de Certificación para Estampado Cronológico
Versión 1.8
Código: THS-CO-AC-DPC-02 Página 29 de 35
20.3 EXONERACIÓN DE RESPONSABILIDAD
Thomas Signe S.A.S. no sera responsable en ningun caso cuando se encuentre ante cualquiera de estas circunstancias:
a) Estado de Guerra, desastres naturales, funcionamiento defectuoso de los servicios electricos, las redes telematicas y/o telefonicas o de los equipos informaticos utilizados por el Suscriptor o por los Terceros, o cualquier otro caso de fuerza mayor.
b) Por el uso indebido o fraudulento del directorio de certificados y CRL’s (Lista de Certificados Revocados) emitidos por la CA.
c) Por el uso indebido de la informacion contenida en el Certificado o en la CRL.
d) Por el contenido de los mensajes o documentos firmados o encriptados mediante los certificados.
e) En relacion a acciones u omisiones del Solicitante y Suscriptor:
- Falta de veracidad de la informacion suministrada para emitir el certificado.
- Retraso en la comunicacion de las causas de suspension o revocacion del certificado.
- Ausencia de solicitud de suspension o revocacion del certificado cuando proceda.
- Negligencia en la conservacion de sus datos de creacion de firma, en el aseguramiento de su confidencialidad y en la proteccion de todo acceso o revelacion.
- Uso del certificado fuera de su periodo de vigencia, o cuando la ECD de Thomas Signe S.A.S. o la RA le notifique la revocacion o suspension del mismo.
- Extralimitacion en el uso del certificado, segun lo dispuesto en la normativa vigente y en la DPC de la ECD, en particular, superar los limites que figuren en el certificado electronico en cuanto a sus posibles usos y al importe individualizado de las transacciones que puedan realizarse con el o no utilizarlo conforme a las condiciones establecidas y comunicadas al firmante por la ECD.
f) En relacion a acciones u omisiones del tercero que confia en el certificado:
- Falta de comprobacion de las restricciones que figuren en el certificado electronico o en la DPC de la ECD en cuanto a sus posibles usos y al importe individualizado de las transacciones que puedan realizarse con el.
- Falta de comprobacion de la suspension o perdida de vigencia del certificado electronico publicada en el servicio de consulta sobre la vigencia de los certificados o falta de verificacion de la firma electronica.
20.4 RESPONSABILIDADES FINANCIERAS
20.4.1 COBERTURA DEL SEGURO
El seguro se hará cargo de todas las cantidades que Thomas Signe S.A.S. resulte legalmente obligado a pagar, hasta el límite de cobertura contratado, como resultado de cualquier procedimiento judicial en el que pueda declararse su responsabilidad, derivada de cualquier acto negligente, error u incumplimiento no intencionado de la legislación vigente entre otros.
20.4.2 SEGURO O GARANTÍA DE COBERTURA PARA LAS ENTIDADES FINALES
No existe cobertura para los terceros aceptantes.
20.5 DERECHOS DE PROPIEDAD INTELECTUAL
La propiedad intelectual de esta DPC pertenece a Thomas Signe S.A.S.
Declaración de Prácticas de Certificación para Estampado Cronológico
Versión 1.8
Código: THS-CO-AC-DPC-02 Página 30 de 35
21 PQRSA Las peticiones, quejas, reclamos, sugerencias y apelaciones (PQRSA) sobre los servicios prestados por
Thomas Signe S.A.S., son recibidas directamente por el Responsable de PQRSA de la ECD.
Los solicitantes, suscriptores, terceros aceptantes o el público en general podrán indicar su PQRSA con respecto a los servicios de certificación digital ofrecidos por Thomas Signe S.A.S. de cualquiera de las siguientes maneras:
- Electrónicamente: Completando el Formulario para PQRSA, localizado en la página web de
Thomas Signe S.A.S. www.thomas-signe.co - Presencialmente: Acercándose a la oficina de Thomas Signe S.A.S., ubicada en Cr. 42 Bis No. 17
a 45, Bogota.
Los PQRSA serán gestionados por el Responsable de PQRSA de Thomas Signe S.A.S., quien se encargará de derivar la incidencia al Departamento o rol respectivo. Dicha gestión se llevará a cabo, dando lugar a una solución en un lapso no mayor a quince (15) días. El usuario recibirá un mensaje de correo electrónico de confirmando la recepción de la PQRSA y cuando esta sea resuelta. Thomas Signe S.A.S. cuenta con el Procedimiento de Mejora para el tratamiento de PQRSA que detalla cada uno de los procesos y se encuentra publicado en la página web de Thomas Signe S.A.S.
22 CONFORMIDAD CON LA LEY APLICABLE Thomas Signe S.A.S. es afecta y cumple con las obligaciones establecidas por el ONAC, a los
requerimientos de los “Criterios específicos de acreditación Entidades de Certificación Digital – CEA-4.1-10”, a lo establecido en la Ley 527 de 1999, el Decreto 1471 de 2014, el Decreto Ley 0019 de 2012 y el Decreto 1074 de 2015 que compila el Decreto 333 de 2014, la Ley Estatuaria 1581 de 2012 y los reglamentos que los modifiquen o complementen.
23 CONFORMIDAD
Este documento ha sido aprobado por la ECD de Thomas Signe S.A.S. y tiene carácter normativo sobre todos los servicios de estampado cronológico, por lo que cualquier incumplimiento por parte de las personas mencionadas en el alcance de este documento, será comunicado a dicha autoridad para la ejecución de las sanciones respectivas.
Declaración de Prácticas de Certificación para Estampado Cronológico
Versión 1.8
Código: THS-CO-AC-DPC-02 Página 31 de 35
24 FORMATOS THS-CO-AC-DPC-02-F01 Formulario de Solicitud de Estampado Cronológico
THS-CO-AC-DPC-02-F02 Propuesta Comercial de Estampado Cronológico
THS-CO-AC-DPC-02-F03 Contrato de Suscripción para Estampado Cronológico
25 REGISTROS
IDENTIFICACIÓN SOPORTE RESPONSABLE ARCHIVO TIEMPO DE
CONSERVACIÓN
Formularios completos de solicitud de estampado cronológico
Informático Gerente Comercial
ERP 3 años o de acuerdo a normativa aplicable
Propuestas comerciales de estampado cronológico
Informático Gerente Comercial
ERP 3 años o de acuerdo a normativa aplicable
Contratos firmados de suscripción para estampado cronológico
Informático Gerente Comercial
ERP 3 años o de acuerdo a normativa aplicable
Declaración de Prácticas de Certificación para Estampado Cronológico
Versión 1.8
Código: THS-CO-AC-DPC-02 Página 32 de 35
26 ANEXOS
CONTRATO DE SUSCRIPCIÓN DE ESTAMPADO CRONOLÓGICO
INTERVIENEN
Por una parte,
La Entidad de Certificación Digital de THOMAS SIGNE SOLUCIONES TECNOLÓGICAS GLOBALES SAS, en adelante ENTIDAD, con N° de NIT 900962071-5, con domicilio en Av. Las Amerícas No 45-57 Bogotá D.C.
Por otra parte,
[Nombre S], en adelante CLIENTE, con N° de [Tipo de Documento] [Número de Documento], con domicilio en [Dirección], ciudad […], y con correo electrónico [Correo].
Las partes involucradas tienen conocimiento y se encuentran conformes con los siguientes términos y condiciones:
1. DEFINICIONES Y ABREVIACIONES Los términos, abreviaciones, acrónimos y definiciones aplicables al presente contrato se indican a continuación: - DPC – Declaración de Prácticas de Certificación: Documento en el que consta de manera detallada los procedimientos que aplica la ECD para la prestación de sus servicios. - ECD – Entidad de Certificación Digital: Entidad que presta servicios de emisión, revocación y otras gestiones propias de certificados digitales, de acuerdo a la regulación establecida por el ONAC. - Estampado cronológico: O sello de tiempo, servicio que puede darse en diversas modalidades de acuerdo a la propuesta comercial, que implica la incrustación en los documentos electrónicos de la firma digital de TSA. - ONAC – Organismo Nacional de Acreditación de Colombia: Organismo colombiano que presta el servicio de acreditación a los organismos de evaluación de la conformidad. - Repositorio: sistema de información utilizado para almacenar y recuperar servicios, políticas u otra información relacionada con los mismos. - Suscriptor: persona a cuyo nombre se expide un servicio. - TSA: Autoridad de Sellado de Tiempo, que actúa como tercero de confianza que agrega una firma digital al documento electrónico, incluyendo la fecha y hora referenciada por la fuente de tiempo reportada por el Instituto Nacional de Metrología de Colombia. 2. DE LA ENTIDAD QUE PRESTA SUS SERVICIOS 2.1. Obligaciones legales y generales
- Cumplir con las obligaciones especificadas por el ONAC y los Criterios específicos de acreditación Entidades de Certificación Digital - CEA-4.1-10 Versión 01, establecidos por él.
- Encontrarse regulada por la Ley 527 de 1999 y sus modificaciones; el Decreto de Ley 0019 de 2012 y sus modificaciones; el Decreto 333 de 2014 y sus modificaciones; y el Decreto 1471 de 2014 y sus modificaciones, y demás normas que le resulten aplicables.
- Cumplir con lo dispuesto en el documento Declaración de Prácticas de Estampado Cronológico.
- Cumplir con las condiciones de servicio, dispuestas en la respectiva propuesta comercial, que forma parte del presente contrato. 2.2. Obligaciones financieras
2.2.1. Política de reembolso
La ENTIDAD cuenta con una Política de reembolso acorde con las leyes vigentes.
2.2.2. Cobertura de seguro
La ENTIDAD dispone de una garantía de cobertura de su responsabilidad civil suficiente para el pago de indemnizaciones o pagos afín, bien mediante un seguro de responsabilidad civil profesional por errores y
Declaración de Prácticas de Certificación para Estampado Cronológico
Versión 1.8
Código: THS-CO-AC-DPC-02 Página 33 de 35
omisiones, bien mediante una fianza o aval. En cualquier caso, la cuantía garantizada cubrirá la cuantía mínima establecida por el ONAC en todo momento. 2.3. Excepciones de garantía
- La ENTIDAD limita su responsabilidad mediante la inclusion de limites de uso del servicio, y límites de valor de las transacciones para las que puede emplearse el servicio, de acuerdo con lo establecido en su Declaración de Prácticas de Estampado Cronológico y en su Propuesta Comercial.
- Todas las responsabilidades legales, contractuales o extra contractuales, dan os directos o indirectos que puedan derivarse de tales usos quedan a cargo del CLIENTE. En ningun caso podra el CLIENTE ni los terceros perjudicados reclamar a la ENTIDAD compensacion o indemnizacion alguna por dan os o responsabilidades provenientes del uso de las claves o los servicios para fines de cifrado. 2.4. Eventos eximentes de responsabilidad
La ENTIDAD limita su responsabilidad en el evento de caso fortuito y/o fuerza mayor, respecto de la implementación y entrega del servicio. 2.5. Obligaciones de la ENTIDAD en relación al CLIENTE
- La ENTIDAD se hace cargo de publicar en su repositorio los documentos informativos acerca de los servicios brindados por esta. El CLIENTE podrá acceder ingresando a la página web de la ENTIDAD: www.thomas-signe.co
- Gestionar, proteger y custodiar de manera segura y responsable su clave privada de firma de estampas cronológicas.
- Emitir estampas cronológicas conforme a los estándares definidos en la Declaración de Prácticas de Estampado Cronológico.
- Las modificaciones realizadas en los contratos o cambios en las políticas y prácticas de la ENTIDAD serán comunicadas al CLIENTE.
- Notificar al CLIENTE cualquier cambio en los términos y condiciones básicas (identificadores de políticas, limitaciones de uso, obligaciones de CLIENTE, forma de validación de un servicio, procedimiento de resolución de disputas, periodo dentro del cual los registros de auditoría serán conservados, sistema legal aplicable y conformidad según el marco del ONAC). 2.6. Resolución de diferencias
La solicitud de resolución de diferencias deberá ser comunicada por medio del correo electrónico brindado por el CLIENTE a través del presente contrato y el de la ENTIDAD pqrsa@thsigne.com
Dentro de los quince (15) días siguientes al envío del mensaje de correo electrónico, se buscará llegar a un arreglo directo entre el CLIENTE y la ENTIDAD, y se ejecutará el procedimiento de Peticiones, Quejas, Reclamos, Apelaciones y Sugerencias (PQRSA). En caso no se llegase a un acuerdo entre las partes, intervendría un tercero, bien mediante arbitraje, bien acudiendo a la jurisdicción que corresponda para su resolución, de conformidad con la Ley 1563 de 2012, que regula el Arbitraje Nacional e Internacional. La jurisdicción aplicable será la del territorio de Colombia independientemente de la nacionalidad o domicilio del suscriptor. Las partes fijan como domicilio contractual, para efectos judiciales, la ciudad de Bogotá. 2.7. Comunicaciones de valor legal
Ambas partes reconocen que las comunicaciones se realizarán por medio electrónico a través del correo electrónico brindado por el CLIENTE a través del presente contrato y el de la ENTIDAD pqrsa@thsigne.com 2.8. PQRSA
Los suscriptores o responsables y en general cualquier interesado podrá acceder a la página web de la ENTIDAD www.thomas-signe.co o remitir un correo electrónico a pqrsa@thsigne.com para indicar sus peticiones, quejas, reclamos, sugerencias y apelaciones. 2.9. Uso y protección de datos personales
- El CLIENTE, al completar el Formulario de Solicitud y aceptar el presente Contrato, autoriza a la ENTIDAD para la recolección, almacenamiento y uso de los datos proporcionados con la finalidad de llevar a cabo las validaciones necesarias de autenticidad para brindar servicios de certificación digital, así como para fines comerciales relacionados con los mismos.
- La ENTIDAD llevará a cabo el tratamiento de datos personales de acuerdo a su Política de Privacidad, la cual referencia a la Ley Estatuaria 1581 del 17 de octubre de 2012 de Protección de Datos Personales, Decreto 1377 de 2013 y demás normatividad aplicable. 2.10. Notificaciones
Declaración de Prácticas de Certificación para Estampado Cronológico
Versión 1.8
Código: THS-CO-AC-DPC-02 Página 34 de 35
- El procedimiento por el cual las partes se notifican hechos mutuamente es mediante el correo electrónico brindado por el CLIENTE a través del presente contrato. Si el CLIENTE desea enviar correspondencia o notificaciones físicas deberá ser dirigida a la dirección Avenida de Las Américas No 45-57 – Bogotá DC – Colombia. 2.11. Imparcialidad
La ENTIDAD se compromete a cumplir con su Política de imparcialidad, la cual se encuentra publicada en su página web, por lo cual garantizará a su vez que en el desarrollo de sus actividades no permitirá presiones exógenas de índole comercial, financiera u otras comprometan la calidad del servicio prestado. De igual forma la ENTIDAD garantiza que el personal de apoyo contratado por la compañía para la ejecución del servicio contratado es idóneo para el desempeño de sus funciones y no presenta ningún tipo de inhabilidad e incompatibilidad que atenten contra la continuidad de la actividad desarrollada por las partes suscribientes. 2.12. Tarifas
Las tarifas propuestas por la ENTIDAD se encuentran descritas en la propuesta comercial entregada al cliente para la aceptación del presente contrato o pueden ser consultadas directamente a la ENTIDAD.
3. DEL CLIENTE 3.1. Obligaciones generales
- Manifestar ser consiente y encontrarse conforme a lo estipulado en el presente contrato, la propuesta comercial y en los documentos facilitados por la ENTIDAD.
- Cumplir los requisitos del servicio de estampado cronológico respectivo, incluyendo la implementación de los cambios cuando los comunica la ECD.
- Cumplir con los términos y condiciones aceptadas al momento de solicitar servicios de estampado cronológico.
- Cumplir con las obligaciones dispuestas en la respectiva propuesta comercial, que forma parte del presente contrato.
- Informar durante la vigencia del servicio cualquier cambio en los datos suministrados para la emisión del servicio.
- Que las declaraciones sobre la certificación son coherentes con el alcance del servicio de certificación digital.
- No utilizar su servicio de estampado cronológico de manera que contravenga la ley u ocasione mala reputación para la ECD, y no hacer ninguna declaración relacionada con su servicio de estampado cronológico que la ECD pueda considerar engañosa o no autorizada.
- Que inmediatamente después de la cancelación o la terminación del servicio de estampado cronológico, el CLIENTE deja de utilizarla en todo el material publicitario que contenga alguna referencia a ella, y emprende las acciones exigidas por el servicio de estampado cronológico y cualquier otra medida que se requiera en la Declaración de Prácticas de Estampado Cronológico.
- Que al hacer referencia al servicio de estampado cronológico en medios de comunicación, tales como documentos, folletos o publicidad, el CLIENTE informa que cumple con los requisitos especificados en la Declaración de Prácticas de Thomas Signe.
- Cumplir los requisitos que pueda prescribir el servicio de certificación digital con relación al uso de las marcas de conformidad y a la información relacionada con el servicio.
- Informar a la ENTIDAD, sin retraso, acerca de los cambios que pueden afectar el servicio de estampado cronológico que le fue expedido por la ENTIDAD.
- El suscriptor o responsable al firmar este contrato acepta los términos de uso y condiciones del servicio especificadas en la Declaración de Prácticas de Estampado Cronológico de la ENTIDAD, la propuesta comercial respectiva y en el presente contrato de prestación de servicios de certificación digital.
- Al adquirir el servicio de estampado cronológico con la ENTIDAD, el suscriptor se obliga a conocer y enviar el contrato de suscripción aceptado. 3.2. Obligaciones financieras
- Indemnizaciones: El CLIENTE indemnizará y liberará de toda responsabilidad a la ENTIDAD del uso que esta haga del servicio otorgado, que no sea el uso indicado en el presente contrato y en los documentos
Declaración de Prácticas de Certificación para Estampado Cronológico
Versión 1.8
Código: THS-CO-AC-DPC-02 Página 35 de 35
brindados por la ENTIDAD (Declaración de Prácticas, Propuesta Comercial, etc.). Para lo cual existe la Política de reembolso previamente mencionada. 3.3. Cancelación del servicio
El cliente y la Entidad definirán este aspecto en la Propuesta comercial.
3.5. Vigencia del servicio
- El periodo de vigencia del presente contrato de suscripción inicia desde el momento en que el solicitante envía la solicitud a la ENTIDAD y termina cuando pierde vigencia el plazo contratado, en caso de no solicitar su renovación. A su vez, el presente contrato pierde vigencia en el momento que el CLIENTE o responsable incumpla con las obligaciones del presente contrato, las condiciones descritas en la propuesta comercial o con la Declaración de Prácticas de Estampado Cronológico.
3.6. Modificaciones
- El suscriptor acepta que, durante la vigencia del presente contrato, la ENTIDAD en cualquier momento podrá modificar los términos y condiciones, así como cambiar los servicios ofrecidos; previa notificación mediante su página Web con 30 días de anticipación a la aplicación de las modificaciones e indicando los términos, condiciones y servicios modificados al presente contrato, vencido este plazo los términos modificados entrarán en vigor.
- El suscriptor está obligado a revisar periódicamente en la página web de la ENTIDAD www.thomas-signe.co, tanto la Declaración de Prácticas de Estampado Cronológico y este documento y dentro de los 15 días siguientes anteriores a la entrada en vigor de las modificaciones introducidas deberá comunicar por email si no acepta las mismas. Vencido este plazo, se considerará que el suscriptor acepta los nuevos términos y el acuerdo continuará vinculando a ambas partes. Todo lo anterior dentro de los límites legales establecidos para las ECDs.