Política de Certificados

Para Firma Electrónica Avanzada

E-SIGN S.A.

Versión 1.3.1 FEA

Fecha efectiva: 15 de septiembre de 2006

E-SIGN S.A. Av. Andrés Bello 2777, Of. 1503 Las Condes Santiago - Chile +56 2 203 3730 http://www.e-sign.cl

Política de Certificados de Firma Electrónica Avanzada E-SIGN S.A. Fecha de revisión: Septiembre, 2006 Avisos de marca VeriSign y Manager PKI son marcas registradas de VeriSign, Inc. El logo VeriSign, Verisign Trust Network, y Go Secure!, son marcas registras y marcas de servicio de VeriSign, Inc. Otras marcas y marcas de servicio en este documento son propiedad de sus respectivos dueños. Sin limitar los anteriores derechos reservados, y excepto lo licenciado más abajo, ninguna parte de esta publicación puede ser reproducida, almacenada o introducida en un sistema de recuperación, o transmitida en forma alguna o por medio alguno (electrónico, mecánico, fotocopia, grabación u otros), sin previo permiso escrito de VeriSign, Inc. Sin perjuicio de lo anterior, se entrega permiso para reproducir y distribuir esta Política de Certificados de Firma Electrónica Avanzada E-Sign S.A. sobre una base no exclusiva y libre de royalties siempre y cuando (i) este aviso de derechos de autor y los primeros párrafos sean exhibidos al principio de cada copia y (ii) este documento sea correctamente y completamente reproducido, incluyendo la imputación del documento a VeriSign, Inc. Solicitudes de cualquier otro permiso para reproducir esta Política de Certificados de Firma Electrónica Avanzada E-Sign S.A. se deben dirigir a: E-SIGN S.A. Av. Andrés Bello 2777 Of. 1503 Providencia Santiago - Chile Attn: Desarrollo de Prácticas Tel: +56 2 3786393 Fax: +56 2 2033726 E-mail: practicas@e-sign.cl Reconocimiento VeriSign reconoce la ayuda de muchos revisores del documento, especializados en diversas áreas de negocios, leyes, políticas y tecnología.

2

TABLA de CONTENIDO

1 Introducción ................................................................................................... 6

1.1 Definición de Política de Certificados Para Firma Electrónica Avanzada.....6 1.2 Identificación.......................................................................................................7 1.3 Aplicabilidad y Comunidad de Usuario ............................................................7

1.3.1 Aplicabilidad ................................................................................................................ 7 1.3.2 Usuarios ....................................................................................................................... 9 1.3.3 Privacidad y protección de datos personales o nominativos. ............................... 9 1.3.4 Seguridad de la Información ...................................................................................... 9

1.4 Detalles de Contacto ........................................................................................10 2 Disposiciones Generales............................................................................. 10

2.1 Obligaciones .....................................................................................................10 2.1.1 Obligaciones de una Autoridad Certificadora ........................................................ 10 2.1.2 Obligaciones de una Autoridad de Registro .......................................................... 11 2.1.3 Obligaciones de un Suscriptor ................................................................................ 11 2.1.4 Obligaciones de una Tercera Parte Confiada......................................................... 12 2.1.5 Obligaciones del Repositorio................................................................................... 12

2.2 Responsabilidad ...............................................................................................12 2.2.1 Responsabilidad y Garantía de la Autoridad de Certificación.............................. 12 2.2.2 Responsabilidad de la Autoridad de Registro........................................................ 13 2.2.3 Responsabilidad del Suscriptor............................................................................... 14 2.2.4 Responsabilidad de la Tercera Parte Confiada ...................................................... 14

2.3 Responsabilidad Financiera ............................................................................14 2.3.1 Indemnización por parte de Suscriptores............................................................... 14 2.3.2 Indemnización por parte de las Terceras Partes Confiadas ................................. 15

2.4 Ley Aplicable.....................................................................................................15 2.5 Tarifas ................................................................................................................15

2.5.1 Tarifas de la Emisión o Renovación de Certificados............................................. 15 2.5.2 Tarifas de Acceso a los Certificados....................................................................... 16 2.5.3 Tarifas por Otros Servicios, Como Información sobre Políticas.......................... 16 2.5.4 Política de Reembolsos ............................................................................................ 16

2.6 Publicación........................................................................................................17 2.6.1 Frecuencia de Publicación ....................................................................................... 17

3 Identificación y Autentificación .................................................................. 17 3.1 Inscripción Inicial..............................................................................................17

3.1.1 Tipos de Nombres ..................................................................................................... 17 3.1.2 Método para Comprobar la Posesión de la Llave Privada .................................... 18 3.1.3 Autentificación de la Identidad de un Individuo..................................................... 18

3.2 Renovación y Re Emisión de las Llaves.........................................................19 3.3 Re-emisión de llaves después de la revocación............................................20 3.4 Solicitud de Revocación ..................................................................................20

4 Requerimientos Operacionales .................................................................. 21 4.1 Solicitudes de Certificados para Firma Electrónica Avanzada para Suscriptores..................................................................................................................21 4.2 Emisión de Certificados para Firma Electrónica Avanzada..........................22 4.3 Aceptación de Certificados..............................................................................22 4.4 Suspensión y Revocación de Certificados.....................................................22

3

4.4.1 Circunstancias para la Revocación de Certificados para Firma Electrónica Avanzada. ................................................................................................................................ 22 4.4.2 Quien Puede Solicitar la Revocación de un Certificado para Firma Electrónica Avanzada. ................................................................................................................................ 23 4.4.3 Procedimiento para Solicitar la revocación de un Certificado para Firma Electrónica Avanzada............................................................................................................. 23 4.4.4 Período de Gracia para la Solicitud de Revocación .............................................. 23 4.4.5 Circunstancias para la Suspensión......................................................................... 24 4.4.6 Quien Puede Solicitar Suspensión.......................................................................... 24 4.4.7 Procedimientos para Solicitar la Suspensión ........................................................ 24 4.4.8 Limites al Período de Suspensión........................................................................... 25 4.4.9 Frecuencia de Emisión de la Lista de Certificados Revocados (CRL) ................ 25 4.4.10 Requerimientos para controlar la Lista de Certificados Revocados............... 25 4.4.11 Disponibilidad de Control y Estado en línea de la Revocación ....................... 25 4.4.12 Requerimientos de Control en Línea de la Revocación.................................... 26 4.4.13 Disponibilidad de otras Formas de Avisos de la Revocación.......................... 26 4.4.14 Requerimientos de Control para Otras Formas de Avisos de Revocación .... 26 4.4.15 Requerimientos Especiales en relación al Compromiso de llave.................... 26

4.5 Procedimientos de Auditoria de Seguridad ...................................................26 4.6 Archivo de Registros........................................................................................26

4.6.1 Tipos de Eventos Registrados ................................................................................. 26 4.6.2 Periodo de Retención de un Archivo....................................................................... 27 4.6.3 Protección de Archivos ............................................................................................ 27 4.6.4 Procedimientos de Respaldo de Archivos ............................................................. 27 4.6.5 Requerimientos para los Registros de Estampilla de Tiempo ............................. 27

4.7 Recuperación ante Desastres y Compromiso de Llave ................................27 4.7.1 Daño de Recursos de Computación, Software y/o Datos ..................................... 28

5 Controles de Seguridad Física, de Procedimientos y Personal............... 28 6 Controles de Seguridad Técnicos .............................................................. 28

6.1 Generación e Instalación de Par de Llaves ....................................................28 6.1.1 Generación de Par de Llaves ................................................................................... 28 6.1.2 Entrega de la Llave Pública a Usuarios .................................................................. 28 6.1.3 Tamaños de Llaves.................................................................................................... 29 6.1.4 Hardware/Software para la Generación de Llave ................................................... 29 6.1.5 Propósitos de la Extensión de Uso de Llaves........................................................ 29

6.2 Protección de Llaves Privadas ........................................................................29 6.2.1 Método para Desactivar la llave Privada................................................................. 30

6.3 Otros Aspectos de la Administración del Par de Llaves...............................30 6.3.1 Archivo de Llaves Públicas ...................................................................................... 30 6.3.2 Periodos de uso para Llaves Públicas y Privadas................................................. 30

6.4 Datos de Activación..........................................................................................30 6.4.1 Generación e Instalación de los Datos de Activación........................................... 30 6.4.2 Protección de Datos de Activación ......................................................................... 31

6.5 Controles de Seguridad de Computación ......................................................31 6.6 Controles de Seguridad de Redes...................................................................31 6.7 Controles de Ingeniería de los Módulos Criptográficos ...............................31

7 Configuración de Certificado y Lista de Certificados Revocados........... 31 7.1 Configuración de Certificado...........................................................................31

7.1.1 Números de Versión.................................................................................................. 32 7.1.2 Extensiones de Certificado ...................................................................................... 32 7.1.3 Identificadores de Objeto de Algoritmo .................................................................. 35 7.1.4 Formas de Nombres.................................................................................................. 35 7.1.5 Identificador de Objeto de Políticas de Certificación ............................................ 35 7.1.6 Sintaxis y Semántica de los Calificadores de Política........................................... 35

4

7.2 Configuración de la Lista de certificados Revocados CRL y OCSP............36 7.2.1 Números de Versión.................................................................................................. 36

8 Administración de las Regulaciones.......................................................... 36 8.1 Procedimientos de Cambios de las Regulaciones ........................................36

8.1.1 Ítems que pueden Cambiar sin Notificación........................................................... 37 8.1.2 Items que Pueden Cambiar con Notificación ......................................................... 37 8.1.3 Cambios que Requieran Cambios en el Identificador de Objeto de la Política de Certificación o en el puntero de las Normas para el proceso de Certificación ............... 38

8.2 Políticas de Publicación y Notificación ..........................................................38 8.2.1 Ítems No Publicados en la Políticas de Certificados para Firma Electrónica Avanzada (CPFA).................................................................................................................... 38 8.2.2 Distribución de las Políticas de Certificados para Firma Electrónica Avanzada (CPFA) 38

5

1 Introducción

1.1 Definición de Política de Certificados Para Firma Electrónica Avanzada

El presente documento constituye una explicación detallada de los requerimientos que E-Sign S.A. emplea para emitir y gestionar Certificados para Firma Electrónica Avanzada. Estos Certificados fueron nombrados por E-Sign S.A. como Certificado para Firma Electrónica Avanzada. Estos certificados también forman parte de la red de confianza de VeriSign (VTN).

Esta Política de Certificados para Firma Electrónica Avanzada o CPFA, esta condicionada directamente por las Políticas de Certificados de la VeriSign Trust Network, que en conjunto serán los únicos instrumentos que establecen los procedimientos que E-Sign S.A. empleará para la Emisión, administración, revocación, suspensión y renovación de los certificados emitidos bajo la Verisign Trust Network. Todo ello estará en concordancia con los requerimientos de los estándares de la Verisign Trust Network, inclusive las restricciones y aplicaciones a las cuales están afectos este tipo de Certificado para Firma Electrónica Avanzada. Esta Política de Certificados para Firma Electrónica Avanzada o CPFA, será revisada cada 2 años por E-Sign S.A.

La estructura de este documento es similar a la Declaración de las Prácticas de Certificación de E-Sign S.A. y han sido desarrolladas para definir específicamente las características y funcionalidades de este tipo de Certificado para Firma Electrónica Avanzada.

E-Sign ofrece tres Clases distintas de servicios de certificación, Clases 1 a 3, tanto para redes físicas como inalámbricas de Internet u otras redes, correspondiente a las tres Clases de certificados cuyas políticas están descritas en la CP. Cada nivel o Clase de certificado, proporciona funciones y características específicas de seguridad, que corresponden a un nivel específico de confianza. Los Participantes del Subdominio E-Sign eligen cual Clase de certificado necesitan.

Una de las funciones de la CPS de E-Sign, es describir en detalle las tres Clases de Certificados. Sin embargo, en esta CPFA creada especialmente para los certificados de Firma Electrónica Avanzada, se señala la Clase correspondiente a los certificados ofrecidos por E-Sign en su Subdominio a la comunidad que firmará con certificados para Firma Electrónica Avanzada. Estos Certificados Avanzados, corresponden a la Clase 2, se emiten sólo a personas y entregan un nivel medio de seguridad dentro de VeriSign Trust Network. Entregan seguridad sobre la identidad del suscriptor basada en la comparación de información entregada por el solicitante del certificado con la información de los registros comerciales o bases de datos de una entidad de servicios de confirmación de identidad, verificación, aprobado por VeriSign. En el caso de la Firma Electrónica Avanzada, esta base de datos corresponde a la del Servicio de Registro Civil; adicionalmente, E-Sign requerirá la comparecencia personal y directa del solicitante, ante sí, notario público u oficial del Registro Civil, para comprobar fehacientemente

6

su identidad, de acuerdo a los procedimientos señalados en el documento Políticas de Validación.

1.2 Identificación

Este documento constituye la Política de Certificado para Firma Electrónica Avanzada de E-Sign S.A. Los certificados de Verisign Trust Network contienen valores de identificación del objeto (object identifier values) que corresponden a la Clase de Verisign Trust Network aplicable al Certificado. Por lo tanto, E-Sign S.A. le ha asignado a esta CPFA el valor de identificación del objeto correspondiente a la clase 2. Los identificadores de Objeto de la Política de Certificación (Certificate Policy Object Identifiers) son utilizados de acuerdo con lo previsto en la CPS de E-Sign S.A. Este documento es el que regula a los Certificados de Firma Electrónica Avanzada de E-Sign S.A. y esta disponible en el sitio web https://www.e-sign.cl/repositorio.htm Los certificados de Firma Electrónica Avanzada emitidos por E-Sign bajo los requisitos establecidos por la ley 19.799 en materia de verificación de identidad (RA) y de emisión del documento, acreditados previamente en su cumplimiento cabal por la Subsecretaría de Economía, Reconstrucción y Fomento (Subsecretaría de Economía), posibilitan y tienen el propósito de permitir que electrónicamente se autentique la identidad del signatario, se asegure la integridad de los documentos firmados y se evite la repudiación de los mismos. Todo signatario que firme en base a estos certificados obtendrá el valor de plena prueba legal para los documentos electrónicos que firme avanzadamente, respecto al hecho de haberse otorgado, a la integridad del contenido del documento y a la identidad del signatario.

1.3 Aplicabilidad y Comunidad de Usuario

1.3.1 Aplicabilidad Esta CPFA se aplica a todos los Participantes del Sub dominio E-Sign de la Verisign Trust Network que soliciten Certificados de Firma Electrónica Avanzada. La Verisign Trust Network (VTN) es una Infraestructura de Llave Pública (PKI) que incluye un ámbito mundial, amplio y público de usuarios, sobre redes físicas o inalámbricas, con diversas necesidades en materia de seguridad para las comunicaciones e información. El Sub dominio E-Sign S.A. de la Verisign Trust Network comprende los derechos y obligaciones de la VTN regulados por su CPS, y ésta CPFA constituye el documento que regula el Sub dominio E-Sign S.A. de la VTN, en lo referente a los Certificados para Firma Electrónica Avanzada.

1.3.1.1 Aplicaciones Apropiadas

7

Para analizar las aplicaciones que resultan apropiadas ver CPS § 1.1.1 (Tabla 2). Esta enumeración no pretende ser limitativa. Los Participantes del Sub dominio E-Sign S.A. toman conocimiento y acuerdan, con el alcance permitido por la ley 19.799, que cuando se requiere que una transacción sea formalizada por escrito, un mensaje o cualquier otro registro que cuente con una firma digital verificable con referencia a un certificado de la VTN, es válido, efectivo, y vinculante con un alcance no menor al que tiene el mismo mensaje o registro efectuado por escrito y firmado en papel. Sujeto a la ley 19.799, una firma digital o transacción formalizada con referencia a un Certificado para Firma Electrónica Avanzada de la VTN será válida y no repudiada, sin importar la ubicación geográfica en donde el Certificado para Firma Electrónica Avanzada de la VTN haya sido emitido o la firma digital haya sido creada o utilizada, y sin importar la ubicación geográfica en donde la AC o el Suscriptor desarrollen sus actividades.

1.3.1.2 Aplicaciones Restringidas En general, los certificados VeriSign Trust Network son Certificados para uso multipropósito. Los Certificados VeriSign Trust Network pueden ser utilizados a nivel mundial e ínter operar con Terceras Partes Confiadas en todo el mundo. La utilización de los Certificados de la VTN no está específicamente restringida a un ambiente determinado de negocios, tal como pruebas, servicios financieros, mercados verticales o mercados virtuales. Sin embargo, tal uso está permitido y los Clientes que usan Certificados en sus propias aplicaciones dentro de su propio ámbito, pueden sufrir restricciones adicionales en el uso de los Certificados dentro de estos ámbitos. E-Sign y otros Participantes del Subdominio E-Sign no son responsables por monitorear o implementación de tales restricciones en esos ámbitos. Sin embargo, ciertos Certificados de la VTN poseen una funcionalidad limitada, en relación a los Certificados de la VTN X.509 Versión 3, la extensión del uso de llave (Key usage extensión) está definida para limitar los propósitos técnicos para los cuales la llave privada correspondiente a la llave pública incluida en un Certificado puede ser utilizada dentro de la VTN. Ver CP § 6.1.9. Además, los Certificados para Suscriptores usuarios finales no pueden ser empleados como Certificados AC. Esta restricción se confirma en la extensión de Restricciones Básicas (Basic Constraints extensión) del Certificado. Ver CP § 7.1.2.4. No obstante, la efectividad de las limitaciones basadas en extensiones está sujeta a la operación de software fabricado o controlado por otras entidades ajenas a E-Sign. Generalmente, los Certificados solo pueden ser utilizados con el alcance que resulte consistente con las disposiciones de ley 19.799 aplicables a estos Certificados para Firma Electrónica Avanzada.

1.3.1.3 Aplicaciones Prohibidas Los Certificados de la VTN no han sido diseñados, orientados ni autorizados para su utilización o reventa para controlar equipos en circunstancias peligrosas o para su empleo en aplicaciones que requieran la ausencia total de fallas, tales como la operación de instalaciones nucleares, sistemas de navegación o comunicaciones de aeronaves, sistemas de control de tráfico aéreo o sistemas de control de armas, en donde una falla puede derivar en muerte o lesiones a personas o severo daño ambiental.

8

1.3.2 Usuarios Los Certificados para Firma Electrónica Avanzada proporcionan el mayor nivel de seguridad dentro del Sub dominio E-Sign S.A. Los Certificados para Firma Electrónica Avanzada se emitirán, conforme a lo establecido en la ley 19.979, a todas aquellas personas naturales legalmente capaces que, actuando por si o en representación de una empresa, servicio público, entidad o persona jurídica, comprueben o acrediten de manera previa y fehacientemente su identidad y comparezcan directa o personalmente al efecto. Estos certificados pueden ser utilizados para generar firmas digitales, encriptación y controles de acceso, incluyendo una prueba de identidad para transacciones de valor económico. Los Certificados para Firma Electrónica Avanzada para individuos entregan seguridad de la identidad del Suscriptor, basadas en la presencia física del suscriptor ante una persona que confirma la identidad del mismo utilizando los procedimientos señalados en el Plan de Validación.

1.3.3 Privacidad y protección de datos personales o nominativos. Todos los antecedentes personales o nominativos de los signatarios serán tratados o procesados electrónica y manualmente dándose cumplimiento cabal a las disposiciones de la ley 19.628 sobre protección de datos personales. E-Sign asume la calidad legal de responsable de bases de datos personales en conformidad a dicha ley, y entiende que la autorización que le confieren sus suscriptores para procesar dicha información al firmar el contrato de certificación, no la habilita, de modo alguno, para disponer arbitraria e indiscriminadamente de los antecedentes personales de aquellos. E-Sign recuerda a sus suscriptores que ellos cuentan con el derecho de acceso establecido en los artículos 12 y 16 de la ley 19.628, conforme a los cuales puede, en cualquier momento, acceder a la información que sobre ellos se almacena y solicitar su modificación, corrección, eliminación o actualización según sea el caso. En respaldo de esta obligación legal y para precisar su cumplimiento, E-Sign ha establecido una Política específica de protección de datos personales, que puede consultarse en la https://www.e-sign.cl/repositorio.htm

1.3.4 Seguridad de la Información La ley 19.799 establece diversas responsabilidades para los Prestadores de Servicios de Certificación (PSC), por tratarse de una prestación de servicios técnicos de alta complejidad. E-SIGN recuerda a sus suscriptores que hemos asumido cabalmente el cumplimiento de las mismas, y que de manera preventiva hemos adoptado todas las medidas tendientes a evitar que se produzcan perjuicios de toda índole durante el proceso de autenticación y de suscripción electrónica de documentos en base a sus certificados de Firma Electrónica Avanzada. Para la prestación de servicios de certificación digital con la debida diligencia que exige la ley 19.799, E-SIGN ha adoptado altos estándares de seguridad, autenticidad, integridad, confidencialidad y resguardo de la información que procesa, tanto respecto

9

de los datos contenidos en los certificados como de los antecedentes personales de los suscriptores que se almacenan en nuestras bases de datos. Las certificaciones internacionales, las definiciones de políticas en materia de seguridad y la realización de auditorías permanentes demuestran tal diligencia y cuidado. E-SIGN velará por la autenticidad de la información para garantizar el carácter fidedigno de la persona que la proporciona como de su contenido; por la integridad de la información, para posibilitar que sea tratada, modificada, actualizada o eliminada sólo por usuarios autorizados; por su disponibilidad, para que se pueda acceder a ella en forma oportuna; y por su confidencialidad o reserva. Del mismo modo, el suscriptor debe tener presente que el resguardo de sus datos personales se verifica dándose cumplimiento a la ley 19.628 sobre protección de datos personales, en particular a su artículo 11, que nos impone el resguardo con la debida diligencia; que eventuales abusos dolosos contra la autenticidad, seguridad, disponibilidad, integridad o confidencialidad, por terceros extraños, en contra de la información que procesamos, puede configurar algunos de los delitos contemplados en la ley 19.223; y que eventuales perjuicios civiles derivados de la falta de seguridad pueden hacerse efectivos en conformidad a las normas generales del ordenamiento jurídico.

1.4 Detalles de Contacto El departamento que administra esta Política de Certificación (CPFA) es el mismo que administra las Declaraciones de Prácticas de Certificación (CPS), el departamento de Desarrollo de Prácticas de E-Sign S.A. Todo tipo de consultas acerca de este tema, deben dirigirse a: E-Sign S.A. Av. Andrés Bello 2777, oficina 1503 Providencia Santiago – Chile Attn: Desarrollo de Practicas – CP - CPS- CPFA Fono: + 56 2 3786393 Fax: + 56 2 2033730 Practicas@e-sign.cl

2 Disposiciones Generales

2.1 Obligaciones

2.1.1 Obligaciones de una Autoridad Certificadora Las AC desarrollan las obligaciones específicas incluidas en la Declaración de Practicas de Certificación (CPS) de E-Sign S.A. Además, E-Sign S.A. efectúa los esfuerzos comerciales razonables para asegurar que los Acuerdos del Suscriptor y los Acuerdos de las Terceras Partes Confiadas obliguen a

10

los Suscriptores y Terceras Partes Confiadas dentro del Sub dominio E-Sign S.A. Ejemplos de tales esfuerzos incluyen, pero sin estar limitados a, requerir el consentimiento del Acuerdo de Suscriptor como condición para solicitar un certificado, o requerir el consentimiento del Acuerdo de las Terceras Partes Confiadas como condición de recibir información sobre el estado de un Certificado.

2.1.2 Obligaciones de una Autoridad de Registro Las obligaciones para cada categoría de Autoridad de Registro están estipuladas en la CPS de E-Sign S.A. También, E-Sign S.A., asegura realizar los esfuerzos comerciales razonables para que los Acuerdos del Suscriptor y los Acuerdos de Terceras Partes Confiadas, vinculen y obliguen a los Suscriptores y a las terceras Partes confiadas dentro de su Sub dominio, en concordancia con lo previsto en la CPS § 2.1.1. Otras AR no tienen ese tipo de obligaciones. Es obligación de E-Sign realizar un proceso de validación para cada persona, de acuerdo a lo estipulado en la ley Chilena 19.799, en el cual deberá:

• Comprobar el nombre de la persona en una base comercial o de una agencia gobierno.

• Comprobar fehacientemente la identidad de la persona en forma presencial, ante si, notario público u oficial del Registro Civil.

• Solicitar y Archivar copia de la Cédula de Identidad de la persona junto con su huela dactilar, de acuerdo a los procedimientos señalados en el Plan de Validación.

2.1.3 Obligaciones de un Suscriptor Las obligaciones de un Suscriptor se aplican a los Suscriptores dentro del Sub dominio E-Sign. Los Acuerdos del Suscriptor vigentes dentro del Sub dominio E-Sign están publicados en: https://www.e-sign.cl/repositorio.htm. Estos Acuerdos del Suscriptor requieren que los Solicitantes de Certificados entreguen información completa y veraz en sus Solicitudes de Certificado y manifiesten su consentimiento, como condición para obtener un Certificado. Los Acuerdos del Suscriptor requieren que los suscriptores utilicen sus certificados de acuerdo a lo establecido por la CP § 1.3.4. También exigen que los suscriptores protejan sus llaves privadas de acuerdo a lo previsto en la CP §§ 6.1-6.2, 6.4. Bajo estos Acuerdos del Suscriptor, si un suscriptor descubre o tiene razones para suponer que ha existido un compromiso de su llave privada o del dato de activación que protege tal llave privada, o la información contenida en el Certificado es incorrecta o fue modificada, el Suscriptor debe inmediatamente:

• Notificar a la entidad que aprobó la Solicitud de Certificado del suscriptor, ya sea que se trate de una AR o una AC, de acuerdo con lo previsto en la CP § 4.4.1.1 y solicitar la revocación del Certificado, de acuerdo a lo establecido en la CP §§ 3.4, 4.4.3.1, y

11

• Notificar a cualquier persona que el Suscriptor estime razonablemente que pueda confiar o proveer servicios en función del Certificado del Suscriptor o en una firma digital verificable con referencia al Certificado del Suscriptor.

Los Acuerdos de Suscriptor requieren que los Suscriptores cesen en la utilización de sus llaves privadas al finalizar el periodo de uso de sus llaves, según lo estipulado en CP § 6.3.2. Los Acuerdos de Suscriptor establecen que los Suscriptores no pueden monitorear, interferir o alterar la implementación técnica de la Verisign Trust Network, excepto bajo aprobación previa y por escrito de VeriSign y no pueden de ninguna manera, comprometer intencionalmente la seguridad de la Verisign Trust Network .

2.1.4 Obligaciones de una Tercera Parte Confiada Las obligaciones de una Tercera Parte Confiada contenidas en la CPFA se aplican a las Terceras Partes Confiadas dentro del Sub dominio E-Sign y deberán regirse de acuerdo a lo estipulado en la CP de E-Sign S.A. Los Acuerdos de Terceras Partes Confiadas en vigencia dentro del Sub dominio E-Sign se publican en: https://www.e-sign.cl/repositorio/. Los Acuerdos de Terceras Partes Confiadas dentro del Sub dominio E-Sign S.A. establecen que antes de cualquier acto que implique confianza, las Terceras Partes Confiadas deben, en forma independiente, evaluar la procedencia en el uso de un Certificado para Firma Electrónica Avanzada para cualquier propósito especificado y determinar si el Certificado podrá ser utilizado, efectivamente, para un propósito adecuado. Estos Acuerdos establecen que E-Sign S.A., las Autoridades Certificadoras, y las Autoridades de Registro no son responsable por la evaluación de la procedencia o no del uso de un Certificado. Los Acuerdos de Terceras Partes Confiadas específicamente establecen que las Terceras Partes Confiadas no pueden utilizar Certificados más allá de las limitaciones establecidas en CPS § 1.3.4.2 y para propósitos prohibidos, según lo establecido en CPS § 1.3.4.3. 2.1.5 Obligaciones del Repositorio E-Sign S.A. es responsable por las funciones del Repositorio para sus propias AC’s y publica los Certificados para Firma Electrónica Avanzada que emite en el Repositorio de acuerdo a lo establecido en la CPS § 2.6. Después de la revocación de un Certificado de Suscriptor usuario final, E-Sign S.A. publica un aviso de tal revocación en el repositorio. E-Sign S.A., además, emite Listas de Certificados Revocados (CRL) para sus propia AC ‘s

2.2 Responsabilidad

2.2.1 Responsabilidad y Garantía de la Autoridad de Certificación El otorgamiento de garantías, renuncias de garantías, y limitaciones de responsabilidad entre E-Sign S.A., revendedores y sus respectivos clientes dentro del Sub dominio E-Sign S.A. están establecidos y se rigen por los acuerdos entre ellos y a la CPFA de E-Sign S.A.

12

Los Acuerdos del Suscriptor de E-Sign S.A. incluyen, y otros Acuerdos del Suscriptor deben incluir una garantía a los Suscriptores respecto de: • No existen informaciones falsas en el Certificado que sean de conocimiento u originadas en las entidades que aprueban la Solicitud de Certificado o emiten Certificado, • No hay errores en la información contenida en el certificado que haya sido

introducida por las entidades que aprueban la Solicitud de Certificado o al emitir el Certificado, como resultado de un accionar irrazonable en el cumplimiento de los deberes inherentes a la administración de la Solicitud de Certificados y a la generación del Certificado,

• Sus certificados cumplen con todos los requerimientos materiales de esta CPFA, y

• Los servicios de revocación y el uso de un repositorio se efectúan de acuerdo con esta CPFA, en todos sus aspectos relevantes.

Los Acuerdos de Tercera Parte Confiada de E-Sign S.A. tienen una garantía hacia la Tercera Parte Confiada que razonablemente confían en un certificado, respecto de: • La veracidad de toda la información contenida en el Certificado o incorporada

por referencia al mismo, excepto la información del Suscriptor que no está obligado a verificar,

• En el caso de los Certificados que aparecen en el repositorio E- Sign S.A., los Certificados han sido emitidos para el individuo o a la organización nombrada en el Certificado como Suscriptor, y el Suscriptor ha aceptado el Certificado de acuerdo a lo previsto en CPS § 4.3, y

• Las entidades que aprueban la Solicitud de Certificado y emiten el Certificado han cumplido sustancialmente con esta CPFA al emitir el certificado.

2.2.1.1 Limitaciones de Responsabilidad de la Autoridad de Certificación Al grado permitido por la ley aplicable, los Acuerdos del Suscriptor y los Acuerdos de Tercera Parte Confiada de E-Sign S.A. limitan, y otros Acuerdos del Suscriptor deben limitar, la responsabilidad de E-Sign S.A. Las limitaciones de responsabilidad suponen la exclusión de responsabilidad por daños y perjuicios fortuitos o imprevistos, directos o indirectos. Dichos Acuerdos también incluyen topes máximos estipulados en la CPS § 2.2.1.3 de E-Sign S.A., respecto de la responsabilidad de E-Sign S.A. por daños y perjuicios, concernientes a un Certificado específico. Esto sin perjuicio de lo señalado en el artículo 14 de la ley 19.799.

2.2.2 Responsabilidad de la Autoridad de Registro Las garantías, renuncias de garantías, y limitaciones de responsabilidad entre una AR y la AC a la que está asistiendo en el proceso de emisión de los Certificados, o al Revendedor, si resultara aplicable, se fijan y regulan por los acuerdos entre ellos y lo estipulado en la con CPS §§ 2.1.1-2.1.2, que tienen sus propias garantías, renuncias y limitaciones de responsabilidad.

13

2.2.3 Responsabilidad del Suscriptor Los Acuerdos de Suscriptor de E-Sign S.A. requieren que los suscriptores garanticen que: • Todo Certificado para Firma Electrónica Avanzada, deberá ser requerido por el

titular del certificado. El Suscriptor deberá comparecer personal y directamente ante E-Sign con su Cedula de Identidad, o ante notario público u oficial de Registro Civil. No puede ir nadie en su representación.

• Cada firma digital creada usando la llave privada correspondiente a la llave pública listada en el certificado es la firma digital del Suscriptor y que el certificado ha sido aceptado y está operacional (es decir, ni revocado ni vencido) al momento de la creación de la firma digital,

• Ninguna persona no autorizada ha tenido acceso jamás a la llave privada del Suscriptor,

• Todas las declaraciones efectuadas por el Suscriptor en la Solicitud del Certificado que ha enviado son verdaderas,

• Toda información enviada por el Suscriptor y contenida en el Certificado es Verdadera, y no repudiable.

• El Certificado se utiliza exclusivamente para propósitos autorizados y legales, de acuerdo con la ley 19.799, con la CPS, y con esta CPFA.

• El Suscriptor es un Suscriptor de usuario final y no una AC, y no usa la llave privada correspondiente a la llave pública listada en el certificado para fines de firmar digitalmente cualquier Certificado (u otro formato de llave pública certificada) o una CRL como AC u otro.

2.2.3.1 Compromiso de una Llave Privada La CP fija los estándares dentro de la Verisign Trust Network para la protección de las llaves privadas de los Suscriptores, que están incluidas, en función de lo establecido en CP § 6.2.7.1, en los Acuerdos del Suscriptor. Los Acuerdos del Suscriptor establecen que los Suscriptores que fallen en cumplir con dichos estándares de la VTN son los únicos responsables por cualquier pérdida o daño que resulte de tal incumplimiento.

2.2.4 Responsabilidad de la Tercera Parte Confiada Los Acuerdos del Suscriptor y los Acuerdos de la Tercera Parte Confiada requieren que las Tercera Parte Confiada reconozcan que tienen suficiente información para tomar una decisión apropiada, compatible con el grado de confianza que ellos elijan asignar a la información contenida en el Certificado, que son los únicos responsables por decidir si confían o no en tal información y que ellos asumen las consecuencias legales en el caso de fallar en el cumplimiento de las obligaciones de la Tercera Parte Confiada según CPS § 2.1.4.

2.3 Responsabilidad Financiera

2.3.1 Indemnización por parte de Suscriptores

14

Al grado permitido por la ley aplicable a la firma electrónica, el Acuerdo del Suscriptor de E-Sign S.A. requiere, y otros Acuerdos del Suscriptor requerirán, que los Suscriptores indemnicen a E-Sign S.A. y a cualquier otra AC o AR distintas de E-Sign S.A. por: • Falsedad o mala representación de hecho por parte del Suscriptor en la Solicitud

de Certificado del Suscriptor, • Omisión por parte del Suscriptor de revelar un hecho relevante en la Solicitud

de Certificado, si la falsedad u omisión fue realizada negligentemente o con la intención de engañar a una persona,

• Errores del Suscriptor en la protección de la llave privada del Suscriptor, en el uso de un sistema de confianza, o de cualquier otra forma en la toma de las precauciones necesarias para prevenir el compromiso, pérdida, entrega, modificación o uso no autorizado de la clave privada del Suscriptor, o

• El uso de parte del Suscriptor de un nombre (incluyendo sin limitación un Nombre Común, nombre de dominio, o e-mail) que infrinja los derechos de propiedad intelectual de un tercero.

2.3.2 Indemnización por parte de las Terceras Partes Confiadas Al grado permitido por la ley aplicable a la firma electrónica, los Acuerdos del Suscriptor y los Acuerdos de Tercera Parte Confiada de E-Sign S.A. requieren, y otros Acuerdos del Suscriptor requerirán que las Terceras Partes Confiadas indemnicen a E-Sign S.A. y a cualquier otra AC y AR distintas de E-Sign S.A. por: • Falla de la Tercera Parte Confiada para ejecutar las obligaciones de una Tercera

Parte Confiada. • La confianza de la Tercera Parte Confiada en un Certificado que no sea

razonable bajo las circunstancias, o • La omisión de la Tercera Parte Confiada de verificar el estado de tal Certificado

para determinar si el certificado ha vencido o está revocado.

2.4 Ley Aplicable La Ley Chilena aplicable 19.799, regirá la obligatoriedad, redacción, interpretación y validez de esta CPFA, independiente de cualquier contrato y sin el requisito de establecer un nexo comercial en Chile. Esta elección de la ley aplicable se hace para asegurar los procedimientos uniformes e interpretación para todos los participantes del Sub dominio E-Sign S.A., sin importar donde estén ubicados.

2.5 Tarifas

2.5.1 Tarifas de la Emisión o Renovación de Certificados E-Sign S.A. tiene derecho a cobrar a los Suscriptores usuarios finales por concepto de emisión, administración y renovación de Certificados.

15

Todo usuario deberá cancelar su certificado en el proceso de su enrolamiento, de acuerdo a lo indicado en el sitio web de E-Sign, así es la única forma de obtener el certificado. Las tarifas para este tipo de certificado, Certificado para Firma Electrónica Avanzada, estarán compuestas por dos valores: 1.- Costo por el proceso de validación realizado directamente por E-Sign o en cualquier oficina notarial o agencia del Registro Civil asignada por E-Sign, dependiendo del lugar dentro del país en que se encuentre el usuario final. Este proceso de validación no tiene ningún costo si el usuario lo realiza en las oficinas de E-Sign S.A. 2.- Costo único de la administración de los Certificados para Firma Electrónica Avanzada, como la: emisión, revocación, sustitución, reemisión y validación de Certificados. Las tarifas correspondientes a este tipo de Certificado para Firma Electrónica Avanzada están estipulados en el sitio Web www.e-sign.cl

2.5.2 Tarifas de Acceso a los Certificados E-Sign S.A. no cobra una tarifa para que los Certificados estén disponibles en un repositorio o de otra forma para hacer disponible estos certificados a las Terceras Partes Confiadas. E-Sign S.A. no cobra una tarifa como condición para que las Listas de Certificados Revocados requeridos por CPS estén disponibles en un repositorio o de otra forma, para las Terceras Partes Confiadas. E-Sign S.A. sin embargo, cobra una tarifa por entregar Listas de Certificados Revocados adaptadas a necesidades específicas, servicios OCSP u otros servicios de valor agregado relacionados con la revocación de Certificados para Firma Electrónica Avanzada o la información del estado de los Certificados para Firma Electrónica Avanzada. E-Sign S.A. no permite el acceso a la información sobre la revocación, información respecto del estado de los Certificados o del tiempo alojado en su repositorio, a efecto de que terceros proporcionen productos o servicios que utilizan tal información respecto del estado de los Certificados, sin el previo permiso expreso y por escrito de E-Sign S.A. 2.5.3 Tarifas por Otros Servicios, Como Información sobre Políticas E-Sign S.A. no cobra una tarifa por acceder a las Políticas de Certificación (CP) de E-Sign, a las CPS o a esta Política de Certificados para la Firma Electrónica Avanzada (CPFA). Cualquier uso para propósitos más allá de simplemente ver el documento, como por ejemplo la reproducción, redistribución, modificación o creación de obras derivadas, queda sujeto a un acuerdo de licencia con la entidad que tiene el derecho de autor del documento.

2.5.4 Política de Reembolsos

16

Dentro del sub dominio E-Sign S.A., queda en vigencia la siguiente política de reembolso, la cual esta estipulada en la CPS de E-Sign y publicada en: https://www.e-sign.cl/repositorio/devolucion

2.6 Publicación E-Sign S.A. publica cierta información en la sección de repositorio del sitio Web de E-Sign S.A. en https://www.e-sign.cl/repositorio/. Información tal como: las CP de VeriSign para la Verisign Trust Network , la Declaración de Prácticas de E-Sign (CPS), esta Política de Certificados para Firma Electrónica Avanzada (CPFA ), Acuerdos del Suscriptor, los Acuerdos de la Tercera Parte Confiada y las leyes chilenas aplicables. E-Sign S.A. también publica información del estado de los Certificados de acuerdo a lo establecido en la CPS.

2.6.1 Frecuencia de Publicación Las actualizaciones de esta CPFA se publican en concordancia con la CPS de E-Sign S.A. Las actualizaciones de los Acuerdos del Suscriptor y los Acuerdos de la Tercera Parte Confiada se publican cuando sea necesario. Los Certificados se publican ante su emisión. La información del estado del Certificado es publicada en concordancia con lo previsto en la CPS de E-Sign S.A.

3 Identificación y Autentificación

3.1 Inscripción Inicial

3.1.1 Tipos de Nombres Los Certificados del Suscriptor usuario final contienen un nombre distinguido X.509 en el campo nombre del sujeto y está conformado por los componentes especificados en la siguiente Tabla: Atributo Valor País (C) = “CL” o no usado. Organización (O) = El atributo organización se usa como sigue:

“E-Sign S.A.” para los Certificados de respuesta del OCSP de E-Sign S.A. y para individuos.

Unidad Organizacional (OU)

Los Certificados para Suscriptores usuarios finales de E-Sign S.A. pueden contener múltiples atributos en el campo OU. Tales atributos pueden contener uno o más de lo siguientes:

Unidad de negocio del Suscriptor organizacional (para certificados organizacionales y certificados individuales que tengan una afiliación de organización)

17

Atributo Valor Verisign Trust Network Una declaración que se refiera al Acuerdo de

Terceras Partes Confiadas aplicable y que determina los términos del uso de los certificados Una notificación de Marca Registrada “Autentificado por E-Sign S.A.” y “Miembro, VeriSign

Trust Network ” en los certificados cuyas solicitudes fueron autentificadas por E-Sign S.A. “Persona No Validada” para certificados individuales

Clase 1 Texto para describir el tipo de certificado.

Estado o provincia (S) Indica la región, estado o provincia del Suscriptor o no usado.

Localidad (L) Indica la localidad del Suscriptor o no usado.

Nombre común (CN) Este atributo incluye: El nombre del Contestador de OCSP (para los

certificados de respuesta de OCSP) Nombre de Dominio (para los certificados servidor

Web) Nombre de la Organización (para certificados de

firma de código/objeto) Nombre (para Certificados para Firma Electrónica

Avanzada para individuos) Dirección de correo electrónico o e-mail (E)

Dirección de e-mail para los certificados individuales Clase 1 y generalmente para certificados de suscriptores MPKI

Atributos del Nombre Distinguido en los Certificados de Suscriptores Usuarios Finales El componente Nombre Común (CN) incluido en el nombre distinguido del sujeto de los Certificados para individuos, representa el nombre personal generalmente aceptado del individuo. Para este caso todos los nombres distinguidos del sujeto en los Certificados para Firma Electrónica Avanzada serán verificados.

3.1.2 Método para Comprobar la Posesión de la Llave Privada E-Sign S.A. verifica la posesión de una llave privada del postulante del Certificado por medio del uso de un requerimiento de firma de certificado según lo establecido en el estándar PKCS #10, cualquier otra demostración criptográfica equivalente u otro método aprobado por E-Sign S.A. Cuando se genera un par de llaves por E-Sign S.A. en representación de un Suscriptor (ej: cuando las llaves pre-generadas se colocan en tarjetas inteligentes), este requisito no es aplicable.

3.1.3 Autentificación de la Identidad de un Individuo Para todos los certificados para individuos, E-Sign S.A. confirma que:

18

• El Solicitante del Certificado es la persona identificada en la Solicitud de Certificado, en el caso de los Certificados para Firma Electrónica Avanzada, se identificará además con el RUT. • El Solicitante del Certificado es proveedor legítimo de la llave privada correspondiente a la llave pública que será incluida en el Certificado, de acuerdo a CPS § 3.1.7, y • La información que será incluida en el certificado es precisa, excepto la información no verificada del suscriptor. Además, E-Sign S.A. ejecuta los procedimientos descritos en detalle a continuación para todos los Certificados para Firma Electrónica Avanzada: Al momento de realizar la solicitud o enrolamiento, E-Sign confirmará los datos personales de la persona contra una base de datos comercial, realizara el proceso de verificación de la solicitud con una llamada de teléfono; si todos los datos son verdaderos y concuerdan, se solicitará al solicitante del Certificado que se presente en forma física ante un representante autorizado de E-Sign S.A o un oficial de Registro Civil o notario público. El agente, oficial u notario confirma la identidad del Solicitante del Certificado contra la única forma conocida de identificación emitida por el Estado de Chile, su CEDULA de IDENTIDAD y HUELLA DACTILAR. Una vez hecha la validación de la solicitud y del solicitante, se emitirá el certificado y será enviado a una dirección de e-mail dicha por el solicitante para que éste pueda recoger su certificado.

3.2 Renovación y Re Emisión de las Llaves Antes del vencimiento de un certificado de Suscriptor existente, es necesario que el Suscriptor obtenga un nuevo certificado para mantener su continuidad de uso del certificado. E-Sign S.A. generalmente requiere que el suscriptor genere un nuevo par de llaves para reemplazar el par de llave existente (técnicamente definido como “re emisión de llave”). Para este tipo de certificados, Certificado para Firma Electrónica Avanzada, el par de llave del Suscriptor generalmente se genera por un navegador como parte del proceso de suscripción en línea. El Suscriptor no tiene la opción de re-emitir un par de llave existente para la “renovación”. Para estos tipos de certificados, es tecnológicamente la re-emisión de llaves pero no así la renovación. En cuanto a que un cliente pueda emitir un par de llaves existentes para renovación E-Sign S.A. puede renovar el certificado. Sin embargo, E-Sign S.A. recomienda que los clientes generen un nuevo par de llaves para que sea más seguro. La validez de estos certificados es por un año. Se recomienda al Suscriptor iniciar su proceso de solicitud de certificados con un período de 30 días antes de su vencimiento. E-Sign S.A. describe a la re emisión periódica de llaves, como una emisión de un nuevo certificado con un nuevo par de llaves que reemplaza al par de llaves existente y a la renovación, una emisión de un nuevo certificado para un nuevo par de llaves existente. Los certificados de Suscriptor, que no han sido revocados, pueden reemplazarse (ej. Ser re-emitidos o renovados) de acuerdo al tiempo y los siguientes requisitos: Entre los 30 días previos o los 30 días posteriores del vencimiento del Certificado, E-Sign S.A. autentifica Suscriptores que intentan renovar o reemitir un certificado a

19

través del uso de una Frase Secreta. Como parte del proceso inicial de inscripción, los Suscriptores eligen y emiten una Frase Secreta junto con la información de su solicitud. Ante la re-emisión o renovación de un certificado dentro del tiempo especificado, si un suscriptor envía correctamente la Frase Secreta del suscriptor con la información de Solicitud del Suscriptor, y la información de la inscripción (distinta de la información de contactos) no ha sufrido cambios, un nuevo certificado se emitirá automáticamente. Después de una re-emisión o renovación de esta forma, y en instancias alternativas de re-emisión o renovación, la AC o la AR deberán reconfirmar la identidad del Suscriptor de acuerdo con los requerimientos especificados en la CPS § 3.1.8.1 para la autenticación de una aplicación de certificado original.

3.3 Re-emisión de llaves después de la revocación La re-emisión de llaves después de la revocación no está permitida si: • La revocación ocurre porque el certificado fue emitido a una persona distinta de la nominada como el Sujeto del Certificado, • El Certificado fue emitido sin la autorización de la persona nombrada como el Sujeto de tal Certificado, o • La entidad que aprueba la Solicitud de Certificado del Suscriptor descubre o tiene motivo para creer que un dato en la Solicitud del Certificado es falsa. Sujeto al párrafo anterior, los Certificados de Suscriptor, que hayan sido revocados, pueden ser reemplazados (ej. Llaves re-emitidas) de acuerdo con los siguientes requerimientos:

Antes del vencimiento del certificado: E-Sign S.A. autentifica Suscriptores que intentan renovar o reemitir un certificado a través del uso de una Frase Secreta. Como parte del proceso inicial de inscripción, los Suscriptores eligen y emiten una Frase Secreta junto con la información de su solicitud. Ante la re-emisión o renovación de un certificado dentro del tiempo especificado, si un suscriptor envía correctamente la Frase Secreta del suscriptor con la información de Solicitud del Suscriptor, y la información de la inscripción (distinta de la información de contactos) no ha sufrido cambios, un nuevo certificado se emitirá automáticamente. Después de una re-emisión o renovación de esta forma, y en instancias alternativas de re-emisión o renovación, la AC o la AR deberán reconfirmar la identidad del Suscriptor de acuerdo con los requerimientos especificados en la CPS § 3.1.8.1 para la autentificación de una aplicación de certificado original.

3.4 Solicitud de Revocación Antes de la revocación de un Certificado, E-Sign verifica que la revocación haya sido solicitada por el suscriptor del certificado o la entidad que aprobó la solicitud del certificado en el caso de los órganos del Estado clientes de Certificados Administrables. Los procedimientos aceptables para autentificar las solicitudes de revocación por parte del Suscriptor incluyen: • Que el suscriptor use el servicio de revocación disponible en https://digitalid.e-sign.cl/fea/client/revoke.htm, para enviar la Frase Secreta del Suscriptor en cuyo caso la revocación del certificado se efectúa automáticamente siempre que la Frase Secreta enviada concuerde con la Frase Secreta registrada durante el procedimiento de solicitud del certificado,

20

• Recepción de un mensaje del suscriptor que solicita ser revocado y contiene una firma digital verificable con referencia al certificado que pretende ser revocado, y • Comunicación con el suscriptor, proveyendo razonable seguridad, en función de la Clase del Certificado, que la persona u organización que solicita la revocación es, de hecho el suscriptor. Dependiendo de las circunstancias, tal comunicación puede efectuarse a través de uno o más de los siguientes medios: teléfono, facsímile, e-mail, correo o servicio courier. Los Administradores de E-Sign pueden solicitar la revocación de certificados de suscriptores usuarios finales dentro del Subdominio E-Sign autentifica la identidad de los Administradores vía control de acceso usando autenticación SSL y de cliente antes de permitir que ejecuten funciones de rechazo. Los órganos del Estado clientes de Certificados Administrables de Firma Electrónica Avanzada que usan modulo de software de administración automática pueden enviar solicitudes de revocación en forma masiva a E-Sign Tales solicitudes se autentifican vía una solicitud firmada digitalmente con la llave privada del dispositivo de hardware de administración automática del Cliente de Certificados Administrables. Las solicitudes de los órganos del Estado clientes de Certificados Administrables para la revocación de los Certificados de una AC son autentificados por E-Sign para asegurar que tal revocación ha sido solicitada, efectivamente, por la Autoridad Certificadora.

4 Requerimientos Operacionales

4.1 Solicitudes de Certificados para Firma Electrónica Avanzada para Suscriptores.

Para certificados de E-Sign S.A., todos los Solicitantes de Certificado de suscriptores usuarios finales deben completar un proceso de solicitud consistente en: • Completar una Solicitud de certificado y entregar la información requerida. • Confirmar su identidad, compareciendo en forma física ante un agente de E-Sign, un notario público o un oficial del Registro Civil. • Generar, o hacer que se genere, un par de llaves de acuerdo a la CPS § 6.1, • El Solicitante del Certificado debe enviar su llave publica a E-Sign S.A., directamente • Demostrar a E-Sign S.A., de acuerdo a lo previsto en CPS § 3.1.7, que el solicitante del Certificado tiene posesión de la llave privada correspondiente a la llave pública entregada a E-Sign S.A. Las Solicitudes de certificados son enviadas a E-Sign S.A. para su procesamiento, ya sea para su aprobación o rechazo. La única entidad que procesa la solicitud de certificado y emisión del certificado, de acuerdo a la CPS § 4.2, para este tipo de Certificados para Firma Electrónica Avanzada, será siempre y exclusivamente E-Sign S.A., sin que se establezcan otros Prestadores de Servicio de Certificados que intermedien entre la empresa y los signatarios durante el proceso electrónico de emisión o certificación.

21

4.2 Emisión de Certificados para Firma Electrónica Avanzada Después que un solicitante de certificado envía una solicitud de certificado, un Administrador de E-Sign S.A. intenta confirmar la información en la solicitud de certificado (aparte de la información no verificada del suscriptor) de acuerdo a CPS § 3.1.9. Después de completar exitosamente todos los procesos de autentificación requeridos en función a lo acordado en CPS § 3.1, un Administrador de E-Sign S.A. realiza el proceso de validación de la solicitud, donde se obliga al suscriptor a presentarse en forma física ante un agente de E-Sign, un notario público o un oficial del Registro Civil. Si la autentificación no es exitosa, un Administrador de E-Sign S.A. rechaza la solicitud de certificado. Un Certificado es generado y emitido luego de la aprobación de una solicitud de certificado. E-Sign S.A. crea y emite un certificado al solicitante del certificado, basado en la información suministrada en la solicitud de certificado, después de aprobarla. E-Sign S.A. crea un certificado y lo emite al solicitante de certificado. Los procesos de esta sección son también usados para la emisión de certificados en relación con el envío de una solicitud para reemplazar (ej., re-emitir o renovar) un certificado.

4.3 Aceptación de Certificados Después de la generación del certificado, E-Sign S.A. notifica a los suscriptores que sus certificados están disponibles y respecto de los medios para obtener tales certificados. Después de la emisión, los certificados se hacen disponibles a los suscriptores, ya sea al permitirles descargar el certificado de un sitio Web o vía un mensaje enviado al suscriptor conteniendo el certificado. Por ejemplo, E-Sign S.A. puede enviar al suscriptor un PIN (numero de identificación personal), con el cual el suscriptor deberá ingresar a la página Web de E-Sign S.A. donde realizó la solicitud para obtener el certificado. El certificado también puede ser enviado al suscriptor en un mensaje de e-mail. Descargar el certificado o instalarlo desde un mensaje constituye la aceptación del suscriptor del certificado.

4.4 Suspensión y Revocación de Certificados

4.4.1 Circunstancias para la Revocación de Certificados para Firma Electrónica Avanzada.

Un Certificado para Firma Electrónica Avanzada emitido por E-Sign, podrá ser revocado previamente al termino de su validez o cuando ocurren algunas circunstancias establecidas en la CPS § 4.4.1.1 que le sean aplicables. Un Certificado de Suscriptor usuario final es revocado si: • E-Sign S.A., un cliente o un suscriptor tiene motivo para creer o sospechar que ha existido un compromiso de la llave privada del suscriptor. • E-Sign S.A. o un cliente tiene motivo para creer que el suscriptor ha quebrantado una obligación, declaración o garantía establecidas en el Acuerdo del Suscriptor aplicable, • El Acuerdo del Suscriptor con el suscriptor ha sido terminado,

22

• E-Sign S.A. o un Cliente tiene motivo para creer que el certificado fue emitido de una forma que no cumple con los procedimientos requeridos por la CPS aplicables, el certificado fue emitido a una persona aparte de la nombrada como el Sujeto del certificado, o el certificado fue emitido sin la autorización de la persona nombrada como Sujeto de tal certificado, • E-Sign S.A. o un cliente tiene motivo para creer que un dato en la aplicación de certificado es falso, • E-Sign S.A o un cliente determina que un prerrequisito para la emisión del certificado no fue satisfecho o desapareció posteriormente • La información dentro del certificado, aparte de la información no verificada del suscriptor, es incorrecta o ha sido cambiada, • El suscriptor solicita revocación del certificado de acuerdo a CPS § 3.4., o • Acontece algún otro supuesto previsto en la legislación aplicable. E-Sign S.A. también puede revocar un certificado de Administrador órgano del Estado si la autoridad del Administrador para actuar como tal ha sido terminada o ha llegado a su fin. Los Acuerdos de Suscriptor de E-Sign S.A. requieren que los suscriptores usuarios finales notifiquen inmediatamente a E-Sign S.A. si conocen o sospechan que su llave privada ha sufrido un compromiso, de acuerdo a los procedimientos en CPS § 4.4.3.1.

4.4.2 Quien Puede Solicitar la Revocación de un Certificado para Firma Electrónica Avanzada.

Las siguientes entidades pueden solicitar revocación de un certificado de un suscriptor usuario final: • E-Sign S.A., quien aprobó la solicitud de certificado del suscriptor, puede pedir la revocación del Certificado para Firma Electrónica Avanzada, de acuerdo a CPS § 4.4.1.1. • Los individuos suscriptores pueden pedir la revocación de sus propios certificados para individuos • Un órgano del Estado cliente de Certificados Administrables cuyo Administrador recibió un certificado de Administrador puede solicitar la revocación de un certificado de Administrador o emitido a un usuario final de la organización.

4.4.3 Procedimiento para Solicitar la revocación de un Certificado para Firma Electrónica Avanzada

Un suscriptor que solicite la revocación debe comunicar la solicitud a E-Sign S.A. que aprobó la solicitud del certificado del suscriptor, quien iniciará el proceso de revocación del certificado. La comunicación de tal solicitud de revocación debe estar de acuerdo con CPS § 3.4. 4.4.4 Período de Gracia para la Solicitud de Revocación Las solicitudes de revocación deben enviarse a la brevedad dentro de un plazo comercialmente razonable.

23

4.4.5 Circunstancias para la Suspensión En el caso de Certificados para Firma Electrónica Avanzada, un suscriptor usuario final puede solicitar la suspensión de su certificado mediante los procedimientos indicados en 4.4.7. El estado de suspensión sólo es informado a través del servicio de verificación en línea mediante el protocolo OCSP.

4.4.5.1. Circunstancias para la Suspensión de Certificados de Suscriptores Usuarios Finales • Por solicitud del usuario suscriptor. • Por decisión de E-Sign S.A. en virtud de razones técnicas.

4.4.5.2 Circunstancias para Suspender Certificados de las Autoridades de Certificación, AR o Autoridades de Certificación de Infraestructura

E-Sign no ofrece servicios de suspensión de certificados de AC. 4.4.6 Quien Puede Solicitar Suspensión Las siguientes entidades pueden solicitar revocación de un certificado de un suscriptor usuario final: • E-Sign o el Cliente que aprobó la solicitud de certificado del suscriptor pueden pedir la suspensión de cualquier certificado de suscriptor usuario final. • Los individuos suscriptores pueden pedir la suspensión de sus propios certificados para individuos. • Un órgano del Estado cliente de Certificados Administrables cuyo Administrador recibió un certificado de Administrador puede solicitar la suspensión de un certificado emitido a un usuario final de la organización. 4.4.7 Procedimientos para Solicitar la Suspensión Un usuario final puede solicitar una suspensión de su certificado a E-Sign mediante alguno de los procedimientos siguientes: • Recepción de un mensaje del suscriptor que solicita ser suspendido y contiene una firma electrónica verificable con referencia al certificado que pretende ser suspendido, y • Comunicación con el suscriptor, proveyendo razonable seguridad, en función de la Clase del Certificado, que la persona u organización que solicita la suspensión es, de hecho el suscriptor. Dependiendo de las circunstancias, tal comunicación puede efectuarse a través de uno o más de los siguientes medios: teléfono, facsímile, e-mail, correo o servicio courier.

24

4.4.8 Limites al Período de Suspensión La suspensión tendrá un plazo máximo de 72 horas. En caso que el suscriptor no solicite el alzamiento de la suspensión dentro de dicho plazo, el Certificado para Firma Electrónica Avanzada será revocado. 4.4.9 Frecuencia de Emisión de la Lista de Certificados Revocados

(CRL) E-Sign S.A. publica Listas de Certificados Revocados mostrando la revocación de certificados de E-Sign S.A. y ofrece servicios para controlar el estado de los certificados. Las Listas de Certificados Revocados para las AC que emiten certificados para suscriptores usuarios finales son publicadas a diario. Los certificados vencidos son retirados del Lista de Certificados Revocados luego de treinta (30) días después del vencimiento del certificado. 4.4.10 Requerimientos para controlar la Lista de Certificados

Revocados Las Terceras Partes Confiadas deben revisar el estado de los certificados de los cuales desean confiar. Un método por el cual las Tercera Parte Confiada pueden controlar el estado de un certificado es consultando el Lista de Certificados Revocados más reciente publicado por la AC que emitió el certificado en el cual la Tercera Parte Confiada desea confiar. • Para certificados para Firma Electrónica Avanzada, las Listas de Certificados

Revocados se publican en el repositorio VeriSign en

http://onsitecrl.verisign.com/ESignSAFEAFirmaElectronica/LatestCRL.crl 4.4.11 Disponibilidad de Control y Estado en línea de la Revocación Además de publicar Listas de Certificados Revocados, E-Sign S.A. entrega información del estado del certificado por funciones de consulta en el repositorio E-Sign S.A. La información del estado del certificado está disponible por funciones de consulta basadas en la Web accesibles por el repositorio de E-Sign S.A. en: • https://digitalid.e-sign.cl/fea/client/search.htm (para certificados para Firma Electrónica Avanzada) E-Sign también entrega información del estado del certificado a través del protocolo del Estado del Certificado en Línea (OCSP). Los Clientes de Certificados Administrables que contraten los servicios de OCSP pueden revisar el estado del certificado por el uso de OCSP. La dirección URL para el contestador de OCSP es notificada al Cliente de Certificados Administrables. Los suscriptores usuarios finales y las terceras partes que deseen confiar en sus certificados pueden revisar el estado de los certificados de suscriptores usuarios finales mediante el uso de OCSP.

25

4.4.12 Requerimientos de Control en Línea de la Revocación Si una Tercera Parte Confiada no controla el estado de un certificado en el cual esa Tercera Parte Confiada desea confiar al consultar la Lista de Certificados Revocados más reciente, la Tercera Parte Confiada debe controlar el estado del certificado usando uno de los métodos aplicables en CPS § 4.4.11. 4.4.13 Disponibilidad de otras Formas de Avisos de la Revocación No estipulado. 4.4.14 Requerimientos de Control para Otras Formas de Avisos de

Revocación No estipulado. 4.4.15 Requerimientos Especiales en relación al Compromiso de llave Además de los procedimientos descritos en CPS §§ 4.4.9 – 4.4.14, E-Sign usa esfuerzos comerciales razonables para notificar posibles Tercera Parte Confiada si E-Sign descubre, o tiene motivo de creer, que existe un compromiso de la llave privada de una AC de E-Sign.

4.5 Procedimientos de Auditoria de Seguridad Los procedimientos de auditoria de seguridad son los mismos para todos los certificados emitidos por E-Sign S.A., y están estipulados en la CPS de E-Sign S.A., especialmente en CPS § 4.5.

4.6 Archivo de Registros

4.6.1 Tipos de Eventos Registrados Además de los registros de auditoria especificados en la Declaración de Practicas de Certificación, CPS § 4.5, E-Sign S.A. mantiene registros que incluyen documentación de: • Cumplimiento de E-Sign S.A. con la Declaración de Practicas de Certificación (CPS) y otras obligaciones de sus acuerdos con los suscriptores, y • Acciones e información que sean materiales de cada Solicitud de certificado y a la creación, emisión, uso, revocación, vencimiento y re-emisión de llaves o renovación de todos los certificados emitidos por su Service Center. Los registros de E-Sign S.A. de los eventos vinculados con el ciclo de vida del certificado incluyen: • La identidad del suscriptor nombrado en cada certificado. • La identidad de personas que solicitan la revocación de certificados, • Otros datos representados en el certificado • Estampillas de tiempo, y

26

• Ciertos datos previsibles relacionados al uso de certificados, incluyendo, sin estar limitados a, información relevante para completar exitosamente una auditoria de cumplimiento bajo la CPS § 2.7. Los registros se pueden mantener de forma electrónica o en papel, asegurando que tales registros sean precisos totalmente indexados, ordenados, almacenados, guardados y reproducidos.

4.6.2 Periodo de Retención de un Archivo Los registros asociados con un certificado se retienen por al menos 10 años para Certificados para Firma Electrónica Avanzada, a contar del vencimiento o revocación del certificado. Si es necesario, E-Sign S.A. puede implementar períodos de retención mayores para cumplir con las leyes aplicables. 4.6.3 Protección de Archivos E-Sign S.A. protege sus registros archivados compilados bajo CPS § 4.6.1 para que solo personas de confianza autorizadas puedan tener acceso a los datos archivados. Los datos archivados electrónicamente están protegidos contra visión, cambios, borrado o manipulación no autorizada por la implementación de controles de acceso lógico y físico adecuado. Los medios que contiene los archivos de datos y las aplicaciones requeridas para procesar el archivo de datos se mantienen para asegurar que el archivo de datos puede accederse por el periodo de tiempo fijado en CPS § 4.6.2. 4.6.4 Procedimientos de Respaldo de Archivos E-Sign S.A. respalda incrementalmente los archivos electrónicos de su información de certificados emitidos a diario y ejecuta respaldos completos semanalmente. Las copias de los registros en papel compilados bajo CPS § 4.6.1 se mantienen en un recinto de recuperación de desastres de acuerdo a CPS § 4.8. 4.6.5 Requerimientos para los Registros de Estampilla de Tiempo Los Certificados, las Listas de Certificados Revocados y otros datos ingresados en la base de datos de revocación contienen información de fecha y hora. Se debe notar que, en contraste con el Servicio de Registro Digital de E-Sign S.A., tal información de fecha y hora no es información generada criptográficamente (ver CPS § 1.1.2.2.2).

4.7 Recuperación ante Desastres y Compromiso de Llave E-Sign S.A. ha implementado una fuerte combinación de controles físicos, lógicos y de procedimientos para minimizar el riesgo y el potencial de impacto de un compromiso de llave o de un desastre. Además, E-Sign S.A. ha implementado procedimientos de recuperación de desastres descritos en CPS § § 4.8.2 - 4.8.3. Los procedimientos E-Sign S.A. de compromiso y recuperación ante desastres han sido desarrollados para

27

minimizar el potencial impacto de tal ocurrencia y reestablecer las operaciones de E-Sign S.A. en un plazo comercialmente razonable.

4.7.1 Daño de Recursos de Computación, Software y/o Datos En el caso de producirse algún daño de los recursos de computación, software y/o datos, tal ocurrencia se informa inmediatamente al departamento de Seguridad de E-Sign S.A. y se ejecutan los procedimientos de manejo de incidentes. Tales procedimientos requieren una escala adecuada, investigación de incidentes y respuesta de incidentes. Si es necesario, también se pondrán en vigencia los procedimientos de E-Sign S.A. relacionados con compromiso de llave y recuperación de desastres.

5 Controles de Seguridad Física, de Procedimientos y Personal

E-Sign S.A. ha implementado la política de seguridad física de E-Sign S.A., que apoya los requerimientos en materia de seguridad, de acuerdo a lo establecido en la CPS de E-Sign S.A. En CPS § 5 queda establecido el control y los procedimientos que garantizan la operación de los servicios de certificación bajo un ambiente seguro y de confianza de todos los tipos de Certificados.

6 Controles de Seguridad Técnicos

6.1 Generación e Instalación de Par de Llaves

6.1.1 Generación de Par de Llaves La generación de pares de llaves de un Suscriptor es generalmente desarrollada por el Suscriptor. Para Certificados para Firma Electrónica Avanzada, de firma de código y objeto, el suscriptor típicamente usa un módulo criptográfico certificado nivel 1 FIPS 140-1 entregado con el software de navegación para generación de la llave.

6.1.2 Entrega de la Llave Pública a Usuarios E-Sign hace disponibles los certificados de la AC para sus Autoridades Primarias de Certificación y las AC raíz, a suscriptores y Tercera Parte Confiada mediante su inclusión en el software navegador Web. A medida que los nuevos certificados de APC y AC raíz son generados, VeriSign entrega los nuevos certificados a los fabricantes del navegador para su inclusión en las nuevas emisiones y actualizaciones del navegador. E-Sign S.A. generalmente entrega la cadena total de certificado (incluyendo la AC emisora y todas las AC en la cadena) al suscriptor usuario final ante la emisión del certificado. Los certificados de las AC de E-Sign S.A. también puede ser descargados del directorio LDAP de E-Sign S.A. en: directory.e-sign.cl

28

6.1.3 Tamaños de Llaves Los pares de llaves de las AC de E-Sign S.A. son al menos de RSA 2048 bits. Los pares de llaves que generan los suscriptores de Firma Electrónica Avanzada son pares de llaves RSA 1024 bit de longitud.

6.1.4 Hardware/Software para la Generación de Llave E-Sign genera sus pares de llave en módulos de hardware criptográfico adecuados de acuerdo a CPS § 6.2.1. Los pares de llaves de suscriptor usuario final deben ser generados en un módulo de hardware criptográfico certificado nivel 1 FIPS 140-1.

6.1.5 Propósitos de la Extensión de Uso de Llaves Para los certificados X.509 versión 3, E-Sign S.A. generalmente ocupa la extensión de uso de llave de los certificados de acuerdo a RFC 328016: Internet X.509 infraestructura de certificado de llave pública y perfil CRL, de abril 2002.

6.2 Protección de Llaves Privadas E-Sign S.A. ha implementado una combinación de controles físicos, lógicos y de procesos para reforzar la seguridad de las llaves privadas. Los controles lógicos y de procesos se describen en CPS § 6.2. Los controles de acceso físico se describen en CP § 5.1.2. A los suscriptores se les exigen que deban, por contrato, tomar las precauciones necesarias para prevenir la pérdida, entrega, cambio o uso no autorizado de claves privadas. En esta sección se aplican los estándares de la VeriSign Trust Network para proteger los datos de activación de las llaves privadas de los suscriptores del sub dominio E-Sign S.A. Estos estándares para la protección de la llave privada de los Certificados para Firma Electrónica Avanzada, es que los suscriptores: • Usen una tarjeta inteligente, otro equipo de hardware criptográfico, equipo de acceso biométrico, password (en conjunto con el del servicio de roaming E-Sign S.A.), o seguridad de fuerza equivalente para autentificar al suscriptor antes de la Activación de la llave privada, y • Tomen medidas comerciales razonables para la protección física de la estación de trabajo del suscriptor para prevenir el uso de la estación de trabajo o servidor y su clave privada asociada sin la autorización del suscriptor. Se recomienda enfáticamente el uso de una password junto con una tarjeta inteligente, otro equipo de hardware criptográfico o equipo de acceso biométrico de acuerdo a CPS § 6.4.1 está recomendado. Al desactivarse, las llaves privadas deben mantenerse solo en forma encriptada.

29

6.2.1 Método para Desactivar la llave Privada En todos los casos, los suscriptores usuarios finales tienen la obligación de proteger adecuadamente sus claves privadas de acuerdo a CPS §§ 2.1.3, 6.4.1.

6.3 Otros Aspectos de la Administración del Par de Llaves

6.3.1 Archivo de Llaves Públicas Los certificados de suscriptor son respaldados y archivados como parte de los procedimientos de respaldo de rutina E-Sign S.A.

6.3.2 Periodos de uso para Llaves Públicas y Privadas El periodo operacional de un certificado termina ante su vencimiento o revocación. El periodo operacional para el par de llaves es el mismo que el periodo operacional para los certificados asociados, excepto que las llaves privadas pueden continuar siendo usadas para descifrar y las llaves públicas pueden continuar siendo usadas para la verificación de firmas. Los periodos operacionales máximos para certificados de Firma Electrónica Avanzada son de 1 año, si se cumplen los siguientes requerimientos: • Los certificados son certificados individuales, • Los pares de llaves de los suscriptores están en el dispositivos de hardware, como tarjeta inteligente • Se les exige a los suscriptores que deben cumplir con los procesos de autentificación bajo el CPS § 3.1.9, • Los suscriptores deben probar anualmente que están en posesión de la llave privada que corresponda a la llave publica dentro del certificado, • Si un suscriptor no puede completar los procesos de autentificación bajo CPS § 3.1.9 exitosamente o no puede probar la posesión de tal llave privada al ser requerida, la AC rechazará automáticamente el certificado del suscriptor. VeriSign también opera el Servidor Seguro RSA de las AC como una AC raíz emisora auto firmada que es parte de la VeriSign Trust Network. Los certificados de suscriptor emitidos por esta AC cumplen los requerimientos para AC de certificados de suscriptor especificados anteriormente.

6.4 Datos de Activación

6.4.1 Generación e Instalación de los Datos de Activación E-Sign S.A. recomienda que los suscriptores elijan contraseñas que cumplan con los requerimientos de la guía de selección de password de E-Sign S.A., indicando que las passwords: • Sean generados por el usuario; • Tengan al menos 8 caracteres;

30

• Tengan al menos un carácter alfabético y uno numérico • Tengan al menos un letra minúscula, • No contengan demasiadas veces el mismo carácter, • No sean igual al nombre del perfil del operador, y • No contengan una parte larga de nombre del perfil del usuario E-Sign S.A. también recomienda el uso de mecanismos de autentificación de dos factores (ej, dispositivo y frase clave, biométrico, o biométrico y frase clave) para la Activación de llave privada.

6.4.2 Protección de Datos de Activación E-Sign S.A. recomienda que los suscriptores guarden sus llaves privadas en forma encriptada y protejan sus llaves privadas por el uso de un dispositivo de hardware y/o frase secreta. Se recomienda el uso de mecanismos de autentificación de dos factores (ej, dispositivo y frase clave, biométrico, o biométrico y frase secreta).

6.5 Controles de Seguridad de Computación E-Sign S.A. ejecuta todas sus funciones de AC y las de AR usando sistemas confiables que cumplan los requerimientos de la guía de requerimientos de seguridad y auditoria E-Sign S.A.

6.6 Controles de Seguridad de Redes E-Sign S.A. ejecuta todas sus funciones de AC y las de AR usando redes seguras de acuerdo a la guía de requerimientos de seguridad y auditoria para prevenir el acceso no autorizado y otras actividades dañinas. E-Sign S.A. protege la comunicación de información delicada por el uso de encriptación y firma digital.

6.7 Controles de Ingeniería de los Módulos Criptográficos Los módulos criptográficos usados por E-Sign S.A. y VeriSign cumplen los requerimientos de CPS § 6.2.1.

7 Configuración de Certificado y Lista de Certificados Revocados

7.1 Configuración de Certificado Esta sección, define los requerimientos para la configuración del certificado de E-Sign y para certificados bajo la VTN y emitidos bajo esta CPFA.

31

Excepto para certificados WTLS17, los certificados de E-Sign S.A. se conforman: (a) recomendación X.509 ITU-Y (1997): tecnología de información – interconexión de sistemas abiertas – el directorio: marco de autentificación, junio 1997 y (b) RFC 328018: configuración de CRL y certificado de PKI Internet X.509, abril 2002 (“RFC 3280”). No todos los servicios de certificado permiten el uso de códigos UTF8String Directory String. Como mínimo, los certificados X.509 y WTLS E-Sign S.A. contienen los campos básicos de X.509 versión 1 y los valores prescritos indicados en la siguiente Tabla: Campo Valor o rango de valores Versión Ver CPS §7.1.1. No aplicable para certificados WTLS. Numero de serie

Valor único para cada DN(nombre distinguido)de emisor

Algoritmo de firma

Nombre del algoritmo usado para firmar el certificado (ver CPFA § 7.1.3)

Nombre Distinguido (DN) del emisor

Ver CPFA § 7.1.4

Valido desde En base a tiempo coordinado universal. Sincronizado a reloj maestro del observatorio naval de USA. Codificado de acuerdo a RFC 2459.

Valido Hasta En base a tiempo coordinado universal. Sincronizado a reloj maestro del observatorio naval de USA. Codificado de acuerdo a RFC 2459. El periodo de validez se fijara de acuerdo con las restricciones especificadas en CPFA § 6.3.2.

Nombre Distinguido (DN) del sujeto

Ver CPFA § 7.1.4

Clave publica de sujeto

Codificado de acuerdo a RFC 2459 usando algoritmos especificados en CPS § 7.1.3 y largos de clave especificados en CPS § 6.1.5.

Firma Generado y codificado de acuerdo a RFC 2459 Tabla – Campos Básicos de Configuración del Certificado

7.1.1 Números de Versión Los certificados de suscriptor de E-Sign S.A. son certificados X.509 versión 3 con las siguientes excepciones: • Los certificados de AC raíz de E-Sign S.A., incluyendo los APC de E-Sign S.A. y otros AC raíz de E-Sign S.A., son certificados X.509 versión 1 • Ciertos certificados de AC emisoras de E-Sign S.A. son certificados X.509 versión 1, • Ciertos certificados Servidor Seguro son certificados X.509 versión 1 en donde el servidor Web específico no soportan el uso de certificados X.509 versión 3 • Los Certificados de las APC G2 de VeriSign que fueron emitidos en formato WAP para soportar los servicios de PKI inalámbricos de E-Sign S.A.

7.1.2 Extensiones de Certificado Cuando se usan certificados X.509 versión 3, E-Sign S.A. ocupa certificados con las extensiones requeridas por CPFA §7.1.2.1 - §7.1.2.8. Se permiten las extensiones

32

privadas, pero el uso de extensiones privadas no está garantizado bajo las Políticas de Certificación de la VTN y esta CPS, a no ser que exista una referencia específica. E-Sign S.A. no usa extensión para certificados WTLS.

7.1.2.1 Extensión Uso de Llaves Cuando se usen certificados X.509 versión 3, E-Sign S.A. ocupa la extensión de uso de llaves de acuerdo a CPS § 6.1.9. El campo crítico de esta extensión se coloca en falso.

7.1.2.2 Extensión de Políticas de Certificación Certificados de suscriptor X.509 versión 3 de E-Sign S.A. usan la extensión de políticas de certificación. La extensión de políticas de certificación está completada con el identificador de objeto apropiado para la Política de Certificación de la VTN, acuerdo con CP § 7.1.6 y con calificadores de política fijados en CP § 7.1.8. El campo crítico de esta extensión se fija en falso.

7.1.2.3 Extensión Nombres Alternativos del Sujeto La extensión de Nombre alternativos del Sujeto, corresponde a identificar al sujeto o titular del certificado, en este caso se registra el RUT del solicitante. Esta extensión tendrá la estructura y formato señalados en el Reglamento de la ley 19.799.

7.1.2.4 Extensión Nombres Alternativos del Emisor La extensión de Nombre alternativos del Sujeto, corresponde a identificar al emisor de certificado, en este caso se registra el RUT de E-Sign S.A. Esta extensión tendrá la estructura y formato señalados en el Reglamento de la ley 19.799.

7.1.2.5 Extensión Restricciones Básicas Los certificados de suscriptores tienen una extensión de restricciones básicas con el tipo de sujeto igual a la entidad final. El campo crítico de la extensión de restricciones básicas se fija generalmente a falso para certificados de entidad final y verdadero para certificados de una AC. El campo crítico de esta extensión puede fijarse a verdadero para certificados adicionales en el futuro. Los certificados de AC X.509 versión 3 de E-Sign S.A. están emitidos para tener un campo Restricción de Longitud de cadena “pathLenConstraint” de la extensión de restricciones básicas fijado al numero máximo de certificados de AC que pueden seguir a continuación de este certificado en una cadena de certificación. Los certificados AC emitidos a las AC en línea de AC de E-Sign S.A., emitiendo certificados para suscriptor usuario final que tengan un campo Restricción de Longitud de Cadena “pathlenconstraint” fijado al valor de “0” indicando que solo un certificado suscriptor usuario final puede seguir en el camino de certificación.

33

7.1.2.6 Extensión Uso de Llaves Extendida E-Sign S.A. hace uso de la extensión uso de llave extendida para los Certificados para Firma Electrónica Avanzada del tipo X.509 versión 3 de E-Sign. Para estos tipos de Certificados, E-Sign S.A. ocupa los siguientes niveles para la extensión Uso de Llave Extendida: Certificado para Firma

Electrónica Avanzada Campo Critico FALSO ServerAuth En Blanco ClienteAuth Marcado

Firma de Codigos En Blanco Protección Email Marcado ipsecEndSystem En Blanco IpsecTunnel En Blanco IpsecUser En Blanco Marcado de Tiempo En Blanco Firma OCSP En Blanco Servidor Microsoft Crypto (SGC) OID:1.3.6.1.4.1.311.10.3.3

En Blanco

Netscape SGC - OID:2.16.840.1.113730.4.1

En Blanco

E-Sign S.A. SGC Identifier for CA Certificates – OID:2.16.840.1.113733.1.8.1

En Blanco

7.1.2.7 Extensión Puntos de Distribución de la Lista de Certificados Revocados (CRL)

La mayoría de los Certificados Suscriptor de E-Sign S.A. X.509 Versión 3 y los Certificados de una AC Intermedio incluyen la extensión cRLDistributionPoints que contiene la URL de la ubicación en que una Tercera Parte Confiada pueda obtener una CRL para controlar el estado del Certificado de la AC. El campo crítico de esta extensión está fijado en FALSO. El uso de los Puntos de Distribución CRL será soportado en el futuro para otros Certificados de AC de E-Sign S.A. y los Certificados de Suscriptor.

7.1.2.8 Extensión Identificador de llave de la Autoridad VeriSign generalmente ocupa la extensión de Identificador de Llave de Autoridad de los Certificados Suscriptor X.509 Versión 3 y Certificados AC Intermedio. Cuando el emisor del certificado contiene la extensión Identificador de llave de Sujeto, el Identificador de Llave de Autoridad se compone del SHA-1 160-bit de la llave pública de la AC que

34

emite el Certificado. De otra forma, la extensión de Identificador de llave de Autoridad incluye el nombre distinguido del sujeto de la AC emisora y su número de serie. El campo crítico de esta extensión se fija a FALSO. El uso de la extensión de Identificador de Llave de Autoridad puede estar soportado por otros AC de E-Sign S.A. y Certificados de Suscriptor en el futuro.

7.1.2.9 Extensión Identificador de Llave del Sujeto Cuando E-Sign S.A. ocupa los Certificados X.509 Versión 3 bajo la VTN con una extensión Identificador de Llave del Sujeto, se genera el Identificador de llave basado en la llave publica del Sujeto del Certificado. Cuando se usa esta extensión, el campo critico de esta extensión se fija a FALSO.

7.1.3 Identificadores de Objeto de Algoritmo Los Certificados X.509 de E-Sign S.A. están firmados con sha1WithRSAEncryption (OID:1.2.840.113549.1.1.5) o md5WithRSAEncryption (OID: 1.2.840.113549.1.1.4) de acuerdo a RFC 3279. VeriSign firmó ciertas Autoridades de Certificación y ciertos Certificados de Suscriptor usuario final, anteriores con md2WithRSAEncryption (OID: 1.2.840.113549.1.1.2).

7.1.4 Formas de Nombres E-Sign S.A. ocupa los Certificados bajo al VTN con un Nombre Distinguido del Sujeto y Emisor de acuerdo a CPS § 3.1.1. Además, E-Sign S.A. incluye dentro de sus Certificados para Suscriptores un campo de Unidad Organizacional que contiene un aviso que dice que los términos de uso del Certificado están fijados en una URL que sirve de referencia para el Acuerdo en Tercera Parte Confiada aplicable. Las excepciones al requisito anterior se permiten solo cuando hay limitaciones de espacio, formato o interoperabilidad entre Certificados, esto hace que tal Unidad Organizacional no pueda usarse junto a la aplicación para la cual se creó el Certificado.

7.1.5 Identificador de Objeto de Políticas de Certificación Cuando se usa la extensión de Políticas de Certificación, los Certificados contienen el identificador de Objeto para la Política de Certificación que corresponda a la Clase de Certificado fijado en CPS § 1.2. Para Certificados anteriores, emitidos antes de la publicación de la CP de la VTN que incluyen la extensión de Políticas de Certificación, los Certificados se refieren a la CPS VeriSign.

7.1.6 Sintaxis y Semántica de los Calificadores de Política

35

E-Sign S.A. ocupa los Certificados X.509 Versión 3 bajo la VTN con un calificador de política dentro de la extensión de Políticas de Certificación. Generalmente, tales Certificados contienen un calificador de puntero de CPS que apunta al Acuerdo en Tercera Parte Confiada o a la CPS de E-Sign S.A. Además, algunos Certificados contienen un Calificador de Avisos de Usuario que contiene el siguiente texto: “Certificado Para Firma Electrónica Avanzada”

7.2 Configuración de la Lista de certificados Revocados CRL y OCSP

E-Sign S.A. emite Listas de Certificados Revocados que se conforman con el RFC 2459 Como mínimo, los CRLs de E-Sign S.A. contienen los campos y contenidos básicos especificados en la siguiente Tabla: Campo Valor o Rango de Valores Versión Ver CPFA §7.2.1. Algoritmo de Firma

Algoritmo usado para firmar la CRL. Los CRLs de VeriSign son firmados usando sha1WithRSAEncryption (OID: 1.2.840.113549.1.1.5) o md5WithRSAEncryption (OID: 1.2.840.113549.1.1.4) de acuerdo a RFC 3279.

Emisor Entidad que ha firmado y emitido la CRL. El Nombre de Emisor de la CRL está de acuerdo con los requisitos del Nombre Distinguido del Emisor dado en CPFA § 7.1.4.

Fecha y Hora de vigencia

Fecha y hora de emisión del CRL. Los CRLs E-Sign S.A. son efectivos desde su emisión.

Siguiente Actualización

Fecha en la cual se emitirá el siguiente CRL. La frecuencia de emisión de CRL concuerda con los requisitos de CPFA § 4.4.4.

Certificados Rechazados

Listado de certificados revocados, incluyendo el número de serie del certificado revocado y la fecha de revocación.

Los contestadores de OCSP de VeriSign se adaptan con RFC2560.

7.2.1 Números de Versión E-Sign S.A. emite CRLs X.509 Versión 2.

8 Administración de las Regulaciones

8.1 Procedimientos de Cambios de las Regulaciones Las enmiendas a esta CPFA las hará el grupo E-Sign S.A. y aprobará el departamento Desarrollo de Prácticas de E-Sign S.A. Las enmiendas bajo la forma de un documento que contenga una forma enmendada de la CPFA o como una actualización de las mismas. Las versiones corregidas o actualizadas estarán vinculadas a la sección Avisos y Actualizaciones de Prácticas del Repositorio E-Sign S.A. ubicada en: https://www.e-sign.cl/repositorio/actualizaciones.

36

8.1.1 Ítems que pueden Cambiar sin Notificación E-Sign S.A. se reserva el derecho de enmendar la CPFA sin notificación, por correcciones que no sean materiales, incluyendo sin límite las correcciones de errores tipográficos, cambios a las URLs y cambios a la información de contactos. La decisión de E-Sign S.A. para definir una enmienda como material o no material quedará a la exclusiva discreción de E-Sign S.A.

8.1.2 Items que Pueden Cambiar con Notificación E-Sign S.A. hará cambios a esta CPS de acuerdo con CP § 8.1.2.

8.1.2.1 Lista de Items Las correcciones materiales son aquellos cambios que E-Sign S.A., bajo el CP § 8.1.1, considere que sean significativos

8.1.2.2 Mecanismo de Notificación El grupo E-Sign S.A. de Desarrollo de Prácticas publicará las correcciones propuestas a las CPFA en la sección de Avisos y Actualizaciones de Prácticas del Repositorio E-Sign S.A., ubicado en: https://www.e-sign.cl/repositorio/actualizaciones. E-Sign S.A. solicitará propuestas de correcciones a las CPFA de otros Participantes del Sub dominio E-Sign S.A. Si E-Sign S.A. considera que una corrección es favorable y propone implementarla, E-Sign S.A. deberá entregar aviso de tal corrección de acuerdo con esta sección. Sin perjuicio de lo escrito en la CPFA, si E-Sign S.A. cree que las correcciones materiales a las CPFA son necesarias inmediatamente para detener o evitar un quiebre de la seguridad de la Verisign S.A. Trust Network, del Sub dominio E-Sign S.A. o cualquier parte de la Verisign S.A. Trust Network, E-Sign S.A. tendrá derecho de hacer tales enmiendas mediante publicación en el Repositorio E-Sign S.A. Tales correcciones serán efectivas inmediatamente ante su publicación.

8.1.2.3 Período de Comentarios Excepto como se describe en CPFA § 8.1.2.2, el período de comentarios para cualquier corrección material a la CPFA será de quince días, comenzando en la fecha en que las enmiendas se publiquen en el Repositorio de E-Sign S.A. Todo Participante del Sub dominio E-Sign S.A. podrá enviar comentarios al grupo E-Sign S.A. de Desarrollo de Prácticas hasta el final del período de comentarios.

8.1.2.4 Mecanismo para el tratamiento de Comentarios El grupo E-Sign S.A. de Desarrollo de Prácticas considerará todos los comentarios a las enmiendas propuestas. E-Sign S.A. (a) permitirá que las enmiendas propuestas se hagan efectivas sin cambio, (b) modificar los cambios propuestos y los publicará como

37

una nueva enmienda bajo CPFA § 8.1.2.2, o (c) retirará las enmiendas propuestas. E-Sign S.A. puede retirar enmiendas propuestas al entregar aviso en la sección de Avisos y Actualizaciones del Repositorio E-Sign S.A. A no ser que las enmiendas propuestas sean modificadas o rechazadas, estas se harán efectivas ante el vencimiento del período de comentarios bajo CPFA § 8.1.2.3.

8.1.3 Cambios que Requieran Cambios en el Identificador de Objeto de la Política de Certificación o en el puntero de las Normas para el proceso de Certificación

Ver CP § 8.1.3.

8.2 Políticas de Publicación y Notificación

8.2.1 Ítems No Publicados en la Políticas de Certificados para Firma Electrónica Avanzada (CPFA)

Los documentos de seguridad considerados confidenciales por VeriSign y los Afiliados no son revelados al público. Los documentos de seguridad confidenciales incluyen los identificados en CPS § 1.1(a) Tabla 1 como no disponibles al público.

8.2.2 Distribución de las Políticas de Certificados para Firma Electrónica Avanzada (CPFA)

Esta CPFA se publica de forma electrónica en el Repositorio de E-Sign S.A. en https://www.e-sign.cl/repositorio. La CPFA está disponible en el Repositorio de E-Sign S.A. en formato Word, Adobe Acrobat y HTML. La CPFA está disponible en forma física, impresa en papel, se puede solicitar mediante requerimiento dirigido al Desarrollo de Prácticas de E-Sign S.A. a: E-Sign S.A. Av. Andrés Bello 2777, of. 1503, Providencia, Santiago, Chile. ATT: Desarrollo de Practicas

38