Política de Constancias de Conservación de Mensajes de Datos, versión 03
Versión Pública
OID: 2.16.484.101.10.316.100.8.1.2.1.3
Contenido
- Introducción
- Objetivo y Alcance
- Definiciones y Acrónimos
- Nombre e Identificación del Documento
- Participantes en el servicio de emisión de Constancias de Conservación de Mensaje de Datos
- Administración del documento.
- Conceptos Generales
- Política de Constancias de Conservación de Mensajes de Datos
- Obligaciones y Responsabilidades
- Requerimientos de las prácticas de la ACCMD
- Consideraciones de Seguridad
- Auditorías
- Control de revisiones y cambios
- Revisión y Aprobación del Documento
14.1 Calendario para la revisión y actualización de la Política 22
1. Introducción.
El presente documento contiene la Política de Constancias de Conservación de Mensaje de Datos , donde se establecen las reglas que se llevan a cabo para la prestación de servicios fiables de emisión de Constancias de Conservación de Mensajes de Datos ofrecidos por Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, está regido por las “Reglas generales a las que deberán sujetarse los Prestadores de Servicios de Certificación”, Regla 161, publicadas y actualizadas el 14 de mayo del 2018; y cumplen con los estándares RFC 3628 “Policy Requirements for time-Stamping Authorities (TSAs)”.
Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación ofrece los servicios de emisión de Constancias de Conservación de Mensaje de Datos y adicionalmente incursiona en el servicio de Digitalización de Documentos en Soporte Físico que cumplen con la Norma Oficial Mexicana NOM-151 SCFI-2016. Dichos servicios están basados en el uso de Criptografía de clave privada y fuentes de tiempo confiable. También incursiona en la certificación para poder emitir Sellos Digitales de Tiempo.
Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación iniciará operaciones a más tardar en 30 días hábiles a partir de la fecha en que la Secretaría de Economía publique en el DOF la acreditación de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación como Proveedor autorizado para emitir Constancias de Conservación de Mensaje de Datos.
2. Objetivo y Alcance
Objetivo
La presente Política de la Autoridad de Constancias de Conservación de Mensajes de Datos, tiene como objetivo dar a conocer los lineamientos inherentes a los procesos operativos, del servicio de emisión de Constancias de Conservación de Mensaje de Datos de conformidad con la NOM-151-SCFI-2016, establecer las responsabilidades y obligaciones del personal involucrado en el servicio, así como establecer las medidas de seguridad y controles aplicables al servicio para generar con ello la confianza por parte de los Clientes y Terceros que confían.
Alcance
La presente Política aplica a todos los clientes y terceros que confían y que contratan a la Autoridad de Constancia de Conservación de Mensaje de Datos de conformidad con la NOM-151-SCFI-2016 y define las reglas, obligaciones y responsabilidades, necesarias para las prácticas de operación y administración de la ACCMD Alfredo Bazúa Witte
Notario 230 de la CDMX Prestador de Servicios de Certificación. La Constancia de Conservación de Mensaje de Datos de conformidad con la NOM-151-SCFI-2016 es de observancia general para los comerciantes que conforme a lo establecido en los artículos 33, 34, 38 46 bis, 49 y 89 del Código de Comercio requieran conservar mensajes de datos.
3. Definiciones y Acrónimos.
Palabra o Sigla | Descripción |
Autoridad de Sellos Digitales de Tiempo | Prestador de Servicios de Certificación autorizado por la Secretaría de Economía para emitir Sellos Digitales de Tiempo |
Cliente |
Entidad que contrata con Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación para obtener servicios de emisión de Constancias de Conservación de Mensajes de Datos. |
Declaración de Prácticas (DP) |
Conjunto de lineamientos, términos y condiciones aplicables a la prestación de servicios de emisión de Constancias de Conservación de Mensajes de Datos por Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación y que dirige a sus Clientes o Suscriptores y terceros que confían. |
Auditoria de Cumplimiento |
Una auditoria periódica que se le practica a un Centro de Procesamiento o Centro de Servicio para determinar su conformidad con las Normas de la jerarquía de la Secretaría de Economía que se le aplican. |
Destinatario |
La persona designada por el Emisor para recibir el Mensaje de Datos, pero que no esté actuando a título de Intermediario con respecto a dicho Mensaje. |
Emisor |
Toda persona que, al tenor del Mensaje de Datos, haya actuado a nombre propio o en cuyo nombre se haya enviado o generado ese mensaje antes de ser archivado, si éste es el caso, pero que no haya actuado a título de Intermediario. |
Tercero que confía |
Individuo involucrado de forma directa o indirecta en la operación, uso o verificación de las Constancias de Conservación de Mensajes de Datos y que confía en estas. |
Mensaje de Datos | La información generada, enviada, recibida o archivada por medios electrónicos, ópticos o cualquier otra tecnología |
Certificado |
Todo Mensaje de Datos u otro registro que confirme el vínculo entre un Firmante y los datos de creación de Firma Electrónica. |
Datos de Creación de Firma Electrónica |
Los datos en forma electrónica consignados en un Mensaje de Datos, o adjuntados o lógicamente asociados al mismo por cualquier tecnología, que son utilizados para identificar al Firmante en relación con el Mensaje de Datos e indicar que el Firmante aprueba la información contenida en el Mensaje de Datos, y que produce los mismos efectos jurídicos que la firma autógrafa, siendo admisible como prueba en juicio. |
Firma Electrónica |
Los datos en forma electrónica consignados en un Mensaje de Datos, o adjuntados o lógicamente asociados al mismo por cualquier tecnología, que son utilizados para identificar al Firmante en relación con el Mensaje de Datos e indicar que el Firmante aprueba la información contenida en el Mensaje de Datos, y que produce los mismos efectos jurídicos que la firma autógrafa, siendo admisible como prueba en juicio. |
Firmante |
La persona que posee los datos de la creación de la firma y que actúa en nombre propio o de la persona a la que representa. |
Prestador de Servicios de Certificación |
La persona o institución pública que preste servicios relacionados con firmas electrónicas, expide los certificados o presta servicios relacionados como la conservación de mensajes de datos, el sellado digital de tiempo y la digitalización de documentos impresos, en los términos que se establezca en la norma oficial mexicana sobre digitalización y conservación de mensajes de datos que para tal efecto emita la Secretaría de Economía |
Secretaría | Se entenderá la Secretaría de Economía. |
Sello Digital de Tiempo (SDT) | Mecanismo informático que permite certificar y demostrar que un dato existió antes de una fecha y hora determinada |
Sistema de Información | Se entenderá todo sistema utilizado para generar, enviar, recibir, archivar o procesar de alguna otra forma Mensajes de Datos. |
Unidad de Sellos Digitales de Tiempo (USDT) |
Sistema de hardware y de software que es administrado como una unidad y tiene una clave privada para firmar los Sellos Digitales de Tiempo. |
Tiempo universal Coordinado(UTC) | Escala de tiempo según lo definido en la recomendación TF.460-5 de ITU-R. |
RFC 3161 |
Request For Comments que establece el protocolo para la Emisión de Constancias de Conservación de Mensajes de Datos |
RFC 3628 |
Request For Comments que define los requerimientos para establecer una política de sellos digitales de tiempo para una TSA (Time Stamping Authority) |
ACCMD | Autoridad de Constancias de Conservación de Mensaje de Datos. |
CCMD | Constancias de Conservación de Mensajes de Datos. |
4. Nombre e Identificación del Documento
El presente documento es denominado Política de Constancias de Conservación de Mensajes de Datos de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación y podrá ser consultada en el sitio de internet https://psc.notaria230.com.mx.
5. Participantes en el servicio de emisión de Constancias de Conservación de Mensaje de Datos .
Participante | Definición |
Autoridad Certificadora |
Entidad autorizada por la Secretaría de Economía para ofrecer el servicio de emisión de Constancias de Conservación de Mensaje de Datos . |
Secretaría de Economía |
Es el órgano de la Administración Pública Centralizada que coordina y actúa como autoridad certificadora y registradora respecto de los prestadores de servicios de certificación. |
Centro Nacional de Metrología (CENAM) |
Es el organismo descentralizado de la administración pública federal con personalidad jurídica y patrimonio propio, que tiene como función, entre otras, sincronizar el tiempo UTC de las USDT de la autoridad de Constancias de Conservación de Mensajes de Datos. |
Clientes |
Personas físicas o morales que requieren los servicios proporcionados por la Autoridad de Constancias de Conservación de Mensajes de Datos. |
Conservadora de Mensaje: |
Persona física o moral que realiza el servicio de Constancias de Conservación de Mensajes de Datos conforme a lo dispuesto en el TÍTULO SEPTIMO de las Reglas a las que deben sujetarse los PSC |
Equipo HSM: |
Dispositivo criptográfico basado en hardware que genera, almacena y protege claves criptográficas y aporta funcionalidad criptográfica de clave pública (PKI) de alto rendimiento efectuada dentro del mismo. |
Participante Definición | |
Parte que Confía: | La persona que, siendo o no el Destinatario, actúa sobre la base de un Certificado o de una Firma Electrónica |
6. Administración del documento
6.1 Administradores del Documento
Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación en su carácter de Autoridad de Constancias de Conservación de Mensajes de Datos administra y actualiza la Política a través de su Profesional Jurídico y el Profesional Informático.
Si los cambios a la política son tipográficos se efectuarán sin previo aviso a la Secretaría de Economía.
Si los cambios a la política son de contenido, se solicitará autorización a la Secretaría de Economía y se publicarán dentro de los 5 días hábiles posteriores a la autorización respectiva.
6.2 Contacto
Para realizar comentarios, dudas u observaciones referentes a las Políticas de Constancias de Conservación de Mensajes de Datos, se debe dirigir con el Profesional Jurídico o el Profesional Informático de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación.
Domicilio:
Bosques de Ciruelos 255 Col. Lomas de Chapultepec Cd. de México
Teléfono: 55 5202 8989
6.3 Responsables de verificar la concordancia entre la Política y la Declaración de Prácticas.
La Autoridad de Constancias de Conservación de Mensaje de Datos asigna al profesional jurídico y al profesional informático, como responsables de verificar la concordancia plena entre la Política y la Declaración de Prácticas.
6.4 Publicación de la Política
La Política de la Autoridad de Constancias de Conservación de Mensajes de Datos se publica en el sitio de internet de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación. http://psc.notaria230.com.mx
7. Conceptos Generales
7.1 Servicios de Constancias de Conservación de Mensajes de Datos NOM-151-SCFI
–2016
Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, proporciona el servicio de emisión de Constancias de Conservación de Mensaje de Datos. El propósito de una Constancia de Conservación de Mensaje de Datos NOM- 151SCFI-2016 es de observancia general para los comerciantes que conforme a lo establecido en los artículos 33, 34, 38 46 bis, 49 y 89 del Código de Comercio requieran conservar mensajes de datos. Los servicios de Constancias de Conservación de Mensaje de Datos se subdividen en:
- Emisión de la CCMD NOM-151-SCFI-2016, que genera propiamente la Constancia de Conservación de Mensajes de Datos
- Verificación de la Autenticidad de la CCMD NOM-151-SCFI-2016, que permite al cliente o un tercero que confía validar que una CCMD es auténtica.
- Extensión de la Vigencia de una CCMD NOM-151-SCFI-2016, que permite extender la vigencia de un CCMD
- Verificación de una CCMD conformada por más de un SDT, que permite al cliente o tercero que confía validar que una CCMD con más de un SDT es auténtica.
- Administración de los Constancias de Conservación de Mensaje de Datos, que es el servicio que permite monitorear y controlar la operación de la emisión de CCMD NOM-151-SCFI-2016, para asegurar que el servicio se ofrece según lo especificado en la NOM-151
7.2. Autoridad de Constancias de Conservación de Mensaje de Datos
Autoridad de Constancias de Conservación de Mensaje de Datos Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, es responsable de los servicios de emisión, extensión, validación y administración de las CCMD.
Autoridad de Constancias de Conservación de Mensaje de Datos Alfredo Bazúa Witte Notario 230 de la CDMX, debe con una conexión en una configuración redundante de alta disponibilidad con la ASDT.
7.3. Clientes o Suscriptores
Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación reconoce como Cliente o suscriptor a una Persona Física o Moral que requiere de los servicios de emisión de Constancias de Conservación de Mensajes de Datos, entendiéndose por esto que requiere conforme a lo establecido en los artículos 33, 34, 38 46 bis, 49 y 89 del Código de Comercio generar evidencia de que un mensaje de datos existía antes de la fecha y hora.
Cuando se trata de una Persona Moral, las obligaciones contraídas tendrán que aplicarse también a los usuarios finales. En todo caso la Persona Moral seguirá siendo responsable del cumplimiento de las obligaciones de los usuarios finales.
Cuando se trata de una Persona Física, esta será responsable del cumplimiento de sus obligaciones.
7.4. Declaración de Practicas de Política de Constancias de Conservación de Mensaje de Datos
- Propósito
Esta política tiene como propósito establecer los lineamientos que debe cumplir la Autoridad de Constancias de Conservación de Mensaje de Datos, Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación para proporcionar el servició de emisión de Constancias de Conservación de Mensaje de Datos NOM-151SCFI-2016, así como las obligaciones de los clientes o subscriptores.
7.4.2 Nivel de Especificación
La política de la Autoridad de Constancias de Conservación de Mensaje de Datos, Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, debe definir obligaciones, reglas y responsabilidades, que aplican a los activos, la
organización y los procedimientos para prestar el servicio de emisión de Constancias de Conservación de Mensaje de Datos.
En contraste la Declaración de Practicas de Autoridad de Constancias de Conservación de Mensaje de Datos, Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, detalla las condiciones en la que la operación se debe llevar a cabo, es decir hace cumplir los lineamientos que se definieron en la política.
7.4.3 Enfoque
La política de la Autoridad de Constancias de Conservación de Mensaje de Datos, Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, es por definición independiente de los medios y omite detalles específicos del ambiente operativo, mientras que la Declaración de Practicas está hecha a la medida de la estructura organizacional, los procedimientos operativos, las instalaciones y la estructura tecnológica empleada para proporcionar el servicio de emisión de Constancias de Conservación de Mensaje de Datos.
8. Política de Constancias de Conservación de Mensajes de Datos.
8.1. Perspectiva General
La Política de la ACCMD es un conjunto de reglas que indican la aplicabilidad de la Constancias de Conservación de Mensajes de Datos a una comunidad en particular y/o clases de aplicaciones con requerimientos de seguridad comunes.
La ACCMD asegura su servicio, establece los mecanismos para que los mensajes de datos electrónicos puedan ser conservados a lo largo del tiempo con garantías de integridad, de forma que los documentos adquieren valor de prueba legal ante terceros.
8.2. Identificación de la Política de Constancias de Conservación de Mensajes de Datos.
El objeto identificador de la política de Constancias de Conservación de Mensajes de Datos, de acuerdo al documento del “Árbol de Identificación de Objetos (OIDs)” emitido por la “Dirección General de Normatividad Mercantil, Dirección de Regulación y Supervisión de los Prestadores de Servicios de Certificación, es:
8.3. Comunidad de Usuarios y Aplicabilidad
La Política de la ACCMD está dirigida a cumplir los requerimientos establecidos, para brindar el servicio de Constancias de Conservación de Mensajes de Datos NOM-151- SCFI-2016, que ofrece como Prestador de Servicios de Certificación
El servicio de emisión de Constancia de Conservación de Mensaje de Datos está disponible para personas físicas y morales que requieran conservar mensajes de datos y que estén de acuerdo en sujetarse a los términos y condiciones establecidos por la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación.
La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, ofrecerá los servicios de emisión de CCMD para que sean consumidos por:
- Clientes
- Terceros que confían
- Los servicios de Digitalización de Documentos en Soporte Físico (NOM-151- SCFI-2016) Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación
8.4 Conformidad
Las Constancias de Conservación de Mensajes de Datos que expide la Autoridad de Constancias de Conservación de Mensajes de Datos Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, cumplen con la NOM-151-SCFI- 2016 y con el estándar internacional Internet X.509 “Public Key Infrastructure Time Stamp Protocol” y los RFC3628 y RFC3161
La Autoridad de Constancias de Conservación de Mensajes de Datos Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, deberá sincronizar el tiempo UTC con el CENAM (Centro Nacional de Metrología) para emitir Constancias de Conservación de Mensajes de Datos.
Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación operará como Prestador de Servicios tras haber recibido la pertinente acreditación de la Secretaría de Economía, utilizará el identificador objeto identificador de la Política de Constancias de Conservación de Mensajes de Datos en las Constancias de Conservación de Mensajes de Datos que emita
Para demostrar conformidad, la Autoridad de Constancias de Conservación de Mensajes de Datos Alfredo Bazúa Witte Notario 230 de la CDMX, deberá:
- Cumplir con la NOM-151-SCFI-2016
- Cumplir con las obligaciones definidas para una USDT
- Implementar los controles que cumplan con los requerimientos especificados para una USDT
- Cumplir con el estándar RFC3161
- Cumplir con las obligaciones aplicables del Título SEPTIMO de las Reglas Generales a las que deberán sujetarse los Prestadores de Servicios de Certificación, publicadas el 14 de Mayo de 2018 en el Diario Oficial de la Federación.
9. Obligaciones y Responsabilidades
9.1 Obligaciones de la ACCMD
- General
La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe asegurar que todos los requerimientos de las Prácticas están implementados de acuerdo con lo establecido en la presente Política.
La ACCMD debe proporcionar todos sus servicios en forma consistente de acuerdo con lo que se establece en su Declaración de Prácticas.
9.1.2. Obligaciones hacia los Clientes o Suscriptores
- Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe asegurar el cumplimiento de los procedimientos descritos en la presente Política ejecutando los procesos de auditoría.
- Proporcionar todos sus servicios en forma consistente y como lo establece en su Declaración de Prácticas.
- Proveer a clientes y terceros que confían, la información necesaria sobre los términos y condiciones con respecto al uso del servicio de emisión de Constancias de Conservación de Mensaje de Datos a través de un convenio o contrato de
- Contar con la infraestructura que brinde disponibilidad, redundancia y acceso ininterrumpido al servicio de Constancias de Conservación de Mensajes de Datos excepto en situación de contingencia.
- Al recibir y archivar los datos personales de los solicitantes de la Constancia de Conservación de Mensaje de Datos, la Autoridad de Constancia de Conservación de Mensaje de Datos, se compromete a guardar y cumplir estrictamente con las disposiciones contenidas en la fracción II del inciso A) del 102, fracción V y VII del Art. 104 del Código de Comercio; y último párrafo de la fracción III del Art. 5, fracción VII y VIII del Art. 27 del Reglamento del Código de Comercio en Materia de Prestadores de Servicios de Certificación sobre la seguridad de la información y confidencialidad de datos personales, de acuerdo a lo anterior, Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación en su carácter de Autoridad de Constancia de Conservación de Mensaje de Datos NOM-151-SCFI-2016 garantiza el estricto cumplimiento en materia de seguridad y confidencialidad por parte del personal que intervine en el proceso.
- En el caso de cesar en su actividad, Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación deberá comunicarlo a la Secretaría a fin de determinar, conforme a lo establecido en las reglas generales expedidas, el destino que se dará a sus registros y
- Establecer declaraciones sobre sus normas y prácticas, las cuales harán del conocimiento del usuario y el
- Hay que asegurar que se proporcionen los activos críticos y recursos requeridos para prestar el servicio.
9.2 Obligaciones del Cliente o Suscriptor
- Verificar que la certificación del prestador del servicio de emisión de Constancia de Conservación de Mensaje de Datos no esté revocada.
- Verificar que la Constancia de Conservación de Mensajes de Datos ha sido correctamente emitida y que la llave privada utilizada para firmarla no ha sido comprometida hasta el día de la verificación.
- Tomar en cuenta las limitaciones sobre el uso de las Constancias de Conservación de Mensajes de Datos establecidas en la presente Política.
- Conocer y aplicar en su caso la Política de Constancia de Conservación de Mensajes de Datos.
- Resguardar las claves empleadas para tener acceso al servicio de emisión de
Constancias de Conservación de Mensaje de Datos.
- En materia de conservación de mensajes de datos, será responsabilidad estricta del cliente mantenerlos bajo su control, acceso y resguardo directo, a fin de que su ulterior consulta pueda llevarse a cabo en cualquier
9.3 Obligaciones del Terceros que Confían
- Verificar que la certificación del prestador del servicio de emisión de Constancia de Conservación de Mensaje de Datos no esté revocada.
- Tomar en cuenta las limitaciones sobre el uso de las Constancias de Conservación de Mensajes de Datos establecidas en la presente Política.
- Conocer y aplicar en su caso la Política de Constancia de Conservación de Mensajes de Datos.
9.4 Responsabilidad de la ACCMD.
- La responsabilidad de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación está limitada exclusivamente a proveer el servicio de emisión de Constancia de Conservación de Mensaje de Datos de acuerdo con lo establecido en la Política, Declaración de Prácticas y la normatividad establecida para proveer el servicio.
- Revisar que se cumpla con las políticas y procedimientos para la gestión de activos y activos críticos.
- Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación responderá por las irregularidades que ocasione siempre y cuando se compruebe que el acto originador de la irregularidad sea, una conducta negligente o culposa llevada a cabo por Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación en el proceso de emisión la Constancia de Conservación de Mensaje de Datos.
La ACCMD no será responsable de manera enunciativa más no limitativa en los siguientes casos:
- Por cualquier tipo de daños y/o perjuicios que sufran sus clientes y/o terceros que confían, siempre que éstos deriven de la indebida utilización de los servicios por parte de dichos clientes y/o terceros que confían.
- Por cualquier tipo de daños y/o perjuicios que sufran sus clientes y/o terceros que confían, siempre que estos deriven del incumplimiento de las obligaciones del cliente.
- Por los daños y/o perjuicios de la errónea interpretación, análisis, síntesis o conclusión a que los clientes de la ACCMD y/o terceros que confían en el uso del servicio, sin que estas hayan sido confirmadas expresamente por la
- Por los daños y/o perjuicios que se causen, si el cliente entrega datos y/o documentos falsos, para la obtención del servicio de CCMD.
- Por daños y perjuicios ocasionados por caso fortuito o fuerza mayor
9.4.1 Responsabilidad de los Activos Críticos y su Mantenimiento
Con respecto de los activos críticos para prestar el servicio de emisión Constancias de Conservación de Mensajes de Datos, Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación deberá:
- Contar con la infraestructura que sea redundante, que brinde alta disponibilidad y acceso permanente al servicio de emisión de Constancias de Conservación de Mensajes de Datos.
- Asegurar la correcta sincronización de los relojes de los sistemas de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación y de la USDT con el CENAM
- Mantener constante vigilancia sobre el rendimiento, comportamiento, SLAs, y estatus de la relación contractual con los proveedores de acuerdo con la Política para las relaciones con los proveedores y en particular con:
- El Proveedor Socio Tecnol6gico Axtel en donde se tienen contratados los dos centros de datos Querétaro (Primario) Monterrey (Secundario), así como los enlaces de Internet
- El Proveedor Socio tecnológico Cega Security sobre el mantenimiento y garantía de los dispositivos modulo criptológico HSM-TSA
- Licenciamiento y actualizaciones de todo el software involucrado en el servicio de emisi6n de Constancias de Conservación de Mensajes de Datos:
- Sistemas Operativos
- Antivirus
- Sistemas de Detecci6n de intrusos
- Virtualizaci6n
- Bases de Datos
- Firewall
- Monitoreo y mantenimiento de la infraestructura necesaria para la emisli6n de Constancias de Conservacl6n de Mensajes de Datos:
- HSM-TSA
- Servidores
- Plataforma de Virtualizaci6n
- Conectividad, enlaces, switches, routers
- Firewall
- Utilizaci6n del ancho de banda
- Utilizaci6n de los recurses de la unidad de almacenamiento NAS
- Servidor de bases de datos
- Logs de sistema
- Atender los incidentes de seguridad de acuerdo a la Política de Atención de incidentes de Seguridad
- Asegurar el optimo funcionamiento de la infraestructura, activos críticos y recurses necesarios para prestar el servicio de emisión de Constancias de Conservación de Mensajes de Datos
9.4.1.1 Responsabilidades del personal del Prestador de la ACCMD
Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación como Prestador de Servicios de Certificación deberá contar con el personal que cumple con lo especificado en las reglas Generales a las que deberán sujetarse los Prestadores de Servicios de Certificación conforme a las Reglas Generales a las que deben sujetarse los PSC, dichos roles son los siguientes:
Profesional Jurídico
Deberá establecer el contrato marco con Personas Físicas o Morales para la prestaci6n del servicio de emisi6n de Constancia de Conservaci6n de Mensaje de NOM-151-SCFI- – 2016 a solicitud de los clientes o suscriptores.
Profesional Informático
Deberá diseñar, implementar y mantener actualizados los sistemas de cómputo y comunicaciones (hardware y software) necesarios para operar el servicio de emisión de Constancia de Conservaci6n de Mensaje de Datos.
Auxiliar de Apoyo Informático de Seguridad
Deberá ejecutar el sistema de gestión, planes, políticas, procedimientos y pr6cticas de seguridad, ver archivos y registros de auditoría de los sistemas de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación y verificar el cumplimiento de la normatividad establecida; por las funciones que desempeña depende del Profesional informático.
Agente Comercial
Es responsable de atender las necesidades de los clientes, de formalizar la contrataci6n de la prestaci6n de servicio de emisi6n de Constancia de Conservaci6n de Mensaje de Datos y de tramitar su incorporaci6n al servicio. Para la funci6n de formalizar la contrataci6n de prestaci6n del servicio de emisi6n de Constancia de Conservaci6n de Mensaje de Datos depende del Profesional Jurídico.
10 Requerimientos de las prácticas de la ACCMD
La Autoridad de Constancias de Conservación de Mensajes de Datos debe implementar los controles para alcanzar los siguientes requerimientos:
10.1. Declaración de Prácticas y Declaración Pública de la ACCMD
- Declaración de Prácticas de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación
La ACCMD debe asegurar que la Declaración de Prácticas establece los requerimientos técnicos, de organización y de procedimiento, que en conjunto brindan la confiabilidad necesaria para proporcionar el servicio de CCMD.
- a) La ACCMD Alfredo Bazúa Witte Notano 230 de la CDMX Prestan análisis de riesgo para evaluar los activos del negocio y las amenazas a que están expuestos, para determinar los controles de seguridad y procedimientos de operaci6n necesarios.
b)La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificaci6n debe contar con una Declaración de Practicas, que establece a los procedimientos para cubrir todos los requisitos técnicos, de organización y de procedimiento identificados en esta política.
c)La Declaración de Práctica de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificaci6n debe identificar las obligaciones de todas las organizaciones externas que dan soporte o la ACCMD incluyendo las políticas y las practicas aplicables.
d)La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe poner a disposición de los Clientes y Terceros que Confían su Declaración de Practicas, y cualquier otra documentación relevante, que sea necesaria para evaluar el cumplimiento de la política de CCMD.
e)La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe publicar y hacer accesible a todos los Clientes y Terceros que Confían, los términos y condiciones del servicio de CCMD coma se especifica en la Declaración Publica de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, mediante publicación en su sitio de Internet https://psc.notaria230.com.mx.
f)La ACCMD debe contar con un grupo administrativo, con responsabilidad para aprobar la Declaración de Practicas de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificaci6n.
g)La administración de la ACCMD debe asegurar que las prácticas se implementen correctamente.
h)La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe definir un proceso de revisión de las prácticas incluye dolas responsabilidades de actualización de la Declaración de Prácticas de la ACCMD.
i)La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe dar aviso de los cambios que se propone realizar en su Declaración de Practicas y debe ser aprobados como se establece en el presente manual
10.1.2. Declaración Pública de la ACCMD
La ACCMD debe publicar y hacer accesible a todos los Clientes y Terceros que Confían, los términos y condiciones del servicio de CCMD como se especifica en la Declaración de Practicas y mediante la publicación en su sitio de Internet https://psc.notaria230.com.mx.
La Declaración Pública de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe especificar al menos lo siguiente:
- La información para contactar a la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación.
- La Política de CCMD
c)La precisión de la fecha y hora en el sello de tiempo utilizado en la CCMD
- Las obligaciones del
- Las obligaciones de los Terceros que Confían.
- El período del tiempo en que la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, conservará los registros e información
- El marco legal aplicable, incluyendo cualquier requisito legal para los servicios de
- Los límites de responsabilidad de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación.
- Procedimientos para atender quejas y dar solución a
- La referencia de que la Secretaría de Economía revisa el cumplimiento de esta política y Declaración de Prácticas de la ACCMD durante la solicitud de acreditación y posteriormente, cuando sea acreditado, hará las evaluaciones del cumplimiento de
- Esta información debe estar disponible en el sitio de internet, en un lenguaje fácilmente comprensible.
10.2 Ciclo de Vida de la Administración de Claves
La ACCMD para expedir CCMD cuenta con dos claves, una pública y una clave privada, dichas claves tienen un ciclo de vida comprendido desde la generación, protección, resguardo y distribución, vigencia y renovación como se describe en los siguientes párrafos:
10.2.1.Generación de Claves de la ACCMD
La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe asegurar que cualquier clave criptográfica esté generada bajo circunstancias controladas.
Particularmente:
- a) La generación de las claves de la ACCMD deben ser generadas en un ambiente
físicamente seguro; por personal con roles de Seguridad; además debe contar con
control mancomunado a través de tarjetas inteligentes, El personal autorizado para llevar a cabo estas funciones debe realizarlas de acuerdo con lo que se establece en el presente documento y en la Declaración de Prácticas de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación.
- b) La generación de las claves de firma de la ACCMD debe llevarse a cabo dentro de un módulo de seguridad de hardware criptográfico que cumpla con los requerimientos identificados en FIPS 140-2 nivel 3 o superior.
- c) El algoritmo de la generación de las claves de la ACCMD, la longitud de la clave resultante y el algoritmo usado para firmar los anexos del CCMD deben ser aprobados por la Secretaría de Economía.
10.2.2 Protección y resguardo de las Claves Privadas de la ACCMD
La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe asegurar que se mantenga en todo momento la confidencialidad e integridad de sus claves privadas.
Particularmente:
- Las claves privadas de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación deben mantenerse y usarse dentro de un módulo criptográfico que cumplan los requerimientos de estándar FIPS 140-2 nivel 3 o superior.
- Las claves privadas de la ACCMD se deben activar de forma mancomunado.
- El módulo criptográfico se debe mantener en instalaciones físicamente seguras y el acceso debe estar protegido por mecanismos de control de acceso.
- Las claves privadas que sean respaldadas deben ser almacenadas y recuperadas solamente por personal con roles de confianza, usando, el control mancomunado en un ambiente físicamente seguro. El personal autorizado para llevar a cabo estas funciones debe cumplir con las actividades establecidas por las Prácticas de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación.
- Las copias de respaldo de las claves privadas deben ser protegidas para asegurar su confidencialidad e integridad.
10.2.3.Distribución de las Claves Públicas de la ACCMD
La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe asegurar que la integridad y la autenticidad de las claves de verificación de firma de la ACCMD se mantienen seguras durante su distribución a los Terceros que Confían.
Particularmente:
- Los Certificados Digitales de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificaci6n se deben publicar en el sitio Web de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación y de la Secretaría de Economía, para que los clientes y terceros que confían puedan verificar la integridad y la autenticidad de las constancias que emita la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación.
- La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe tener implementadas políticas y controles de seguridad lógica para garantizar la integridad de la información contenida en el sitio Web.
10.2.5 Fin del Ciclo de Vida de las Claves de la ACCMD.
La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe asegurar que sus claves privadas no puedan ser utilizadas después
Particularmente:
Que los controles estén implementados para asegurar que nuevas claves, entren en operación cuando las claves de la ACCMD Alfredo Bazúa Witte Notario de la CDMX Prestador de Servicios de Certificación expiren.
- Que los controles estén implementados para renovar las claves antes de que estas expiren, o cuando se vea comprometida su confidencialidad.
- Las claves privadas de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación deben ser destruidas de tal forma que dichas claves no puedan ser recuperadas.
- El sistema que realiza la constancia de conservación del mensaje de datos debe rechazar emitir constancia de conservación de mensaje de datos si ha expirado la Vigencia del Certificado Digital asociado a la clave privada con la que
- El sistema que realiza la constancia de conservación del mensaje de datos debe rechazar emitir constancia de conservación de mensaje de datos si ha expirado la Vigencia del Certificado Digital asociado a la clave privada con la que firman.
10.3 Administración del Ciclo de Vida del Módulo Criptográfico para la ACCMD.
La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe garantizar la seguridad del hardware criptográfico para la administración, almacenamiento y uso de sus claves privadas. Como parte de la administración del ciclo de vida de los dispositivos criptográficos, como se describe a continuación:
10.3.1 Adquisición.
La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación para la adquisición del Módulo Criptográfico debe elegir como proveedor a una empresa reconocida a nivel internacional y con experiencia en dispositivos criptográficos:
Particularmente:
a) La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe seleccionar a un proveedor con experiencia en dispositivos criptográficos compatibles con el FIPS 140 – 2 Nivel 3.
b) La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe asegurar que, durante la adquisición del hardware criptográfico, se verifique que los empaques contenedores de los dispositivos estén sellados para asegurar que no hubo algún intento de acceso a los mismos.
c) La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe asegurar que durante su almacenamiento en el centro de datos de la Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación se han resguardado conforme a las medidas de seguridad físicas existentes, aún antes de entrar en producción.
10.3.2. Instalación, inicialización y configuración del Módulo Criptográfico
- a) La ACCMD debe considerar que las actividades de instalación se realicen dentro un área con los niveles de seguridad adecuados para este proceso.
b La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe asegurar que en los procesos inicialización y configuración del módulo criptográfico participen personas de confianza para la asignación y uso de las tarjetas inteligentes de administración y operación del módulo criptográfico.
10.3.3. Operación
- a) Las ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación utilizan el hardware criptográfico, para el firmado de las CCMD.
- b) La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe contar con dos módulos hardware criptográfico asignados para la operación en sus dos centros de datos.
- c) La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe contar con un contrato de mantenimiento y de soporte con el proveedor del hardware criptográfico para garantizar continuidad en la operación, ante alguna contingencia.
- d) El hardware criptográfico que firma las CCMD debe estar funcionando correctamente y bajo condiciones que garanticen la integridad de las claves privadas de la ACCMD.
- e) La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe actualizar el software, firmware y hardware para el dispositivo criptográfico que resguarda las claves de las instancias de la ACCMD en los Centros de Datos.
10.3.4. Mantenimiento
La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX: Prestador de Servicios de Certificación debe tener un contrato establecido con el proveedor de los equipos de hardware criptográfico, que contemple soporte en línea, actualizaciones de firmware, software y mantenimiento correctivo que incluya la reparación o cambio en caso de falla de algún componente.
10.3.5. Desecho
La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe:
- a) Realizar la destrucción de tarjetas inteligentes cuando presenten falla, para asegurar de esta forma que los datos para la administración u operación de la ACCMD no sean accedidos.
- b) Rechazar las peticiones de firma cuando el certificado digital de la ACCMD sec revocado.
- c) Desincorporar la producción de las claves criptográficas cuando haya concluido la vigencia del certificado digital de la ACCMD.
- d) Asegurar que después de la desincorporación de las claves criptográficas de lo ACCMD, no puedan ser accedidas ni usadas para ningún propósito diferente a menos que se requiera para aclaración de alguna controversia.
10.4 Constancia de Conservación de Mensaje de Datos.
La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe cumplir con los estándares señalados en el Apéndice A (Normativo) de la NOM-151-SCFI-2016 y el RFC 3161 para garantizar la calidad, el rendimiento y el funcionamiento del servicio de emisión de Constancias de Conservación de Mensajes de Datos.
La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación utiliza un algoritmo SHA-2 de 256 bits con los estándares divulgados en FIPS PUB 180-4 (NIST, 2018) que cumplen los estándares necesarios para llevar a cabo el servicio de emisión de Constancias de Conservación de Mensajes de Datos.
10.4.1 Formación de la Constancias de Conservación de Mensajes de Datos
Las Constancias de Conservación de Mensajes de Datos emitidas por la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación deben cumplir con las especificaciones técnicas del estándar RFC 3161
La estructura de la Constancias de Conservación de Mensajes de Datos constará de uno o más sellos, cada uno de los sellos tiene los siguientes elementos:
- Versión digital del Sello
- Un identificador de la política de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación.
- La representación del mensaje de datos original provisto por el Cliente (Hash), que resulta de aplicar la función de digestión al citado mensaje de
- Un número de serie único que permita identificar una Constancias de Conservación de Mensajes de Datos.
- El tiempo, fecha y hora de generación, indicando la fuente de tiempo
- La firma electrónica que ha sido generada usando una llave pública de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación.
- Extensiones para aquellos casos que se trate de refrendos de una constancia
10.4.2 Algoritmo de encriptación de datos
La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación utiliza el algoritmo SHA-256 (función de digestión) que cumple los estándares necesarios para llevar a cabo el servicio de emisión de Constancias de Conservación de Mensajes de Datos.
10.5. Administración y Operación de la ACCMD
- Administración de la Seguridad
La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe asegurar que los procedimientos administrativos sean adecuados y que están de acuerdo con las mejores prácticas reconocidas.
10.5.2. Clasificación y Administración de Activos
a) La ACCMD debe considerar que las actividades de instalación se realicen dentro un área con los niveles de seguridad adecuados para este proceso.
b) La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe asegurar que en los procesos inicialización y configuración del módulo criptográfico participen personas de confianza para la asignación y uso de las tarjetas inteligentes de administración y operación del módulo criptográfico.
10.3.3. Operación
- a) Las ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación utilizan el hardware criptográfico, para el firmado de las CCMD.
- b) La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe contar con dos módulos hardware criptográfico-asignados para la operación en sus dos centros de datos.
- c) La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe contar con un contrato de mantenimiento y de soporte con el proveedor del hardware criptográfico para garantizar continuidad en la operación, ante alguna contingencia.
- d) El hardware criptográfico que firma las CCMD debe estar funcionando correctamente y bajo condiciones que garanticen la integridad de las claves privadas de la ACCMD.
- e) La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe actualizar el software, firmware y hardware para el dispositivo criptográfico que resguarda las claves de las instancias de la ACCMD en los Centros de Datos.
10.3.4. Mantenimiento
La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX: Prestador de Servicios de Certificación debe tener un contrato establecido con el proveedor de los equipos de hardware criptográfico, que contemple soporte en línea, actualizaciones de firmware, software y mantenimiento correctivo que incluya la reparación o cambio en caso de falla de algún componente.
10.3.5. Desecho
La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe:
- a) Realizar la destrucción de tarjetas inteligentes cuando presenten falla, para asegurar de esta forma que los datos para la administración u operación de la ACCMD no sean accedidos.
- b) Rechazar las peticiones de firma cuando el certificado digital de la ACCMD sea revocado.
- c) Desincorporar la producción de las claves criptográficas cuando haya concluido la vigencia del certificado digital de la ACCMD.
- d) Asegurar que después de la desincorporación de las claves criptográficas de lo ACCMD, no puedan ser accedidas ni usadas para ningún propósito diferente a menos que se requiera para aclaración de alguna controversia.
10.4 Constancia de Conservación de Mensaje de Datos.
La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe cumplir con los estándares señalados en el Apéndice (Normativo) de la NOM-151-SCFI-2016 y el RFC 3161 para garantizar la calidad, rendimiento y el funcionamiento del servicio de emisión de Constancias de Conservación de Mensajes de Datos.
La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación utiliza un algoritmo SHA-2 de 256 bits con los estándares divulgados en FIPS PUB 180-4 (NIST, 2018) que cumplen los estándares necesarios para llevar a cabo el servicio de emisión de Constancias de Conservación de Mensajes de Datos
10.4.1 Formación de la Constancias de Conservación de Mensajes de Datos
Las Constancias de Conservación de Mensajes de Datos emitidas por la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación deben cumplir con las especificaciones técnicas del estándar RFC 3161
La estructura de la Constancias de Conservación de Mensajes de Datos constará de uno o más sellos, cada uno de los sellos tiene los siguientes elementos:
- Versión digital del Sello
- Un identificador de la política de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación.
· La representación del mensaje de datos original provisto por el Cliente (Hash) que resulta de aplicar la función de digestión al citado mensaje de datos.
· Un número de serie único que permita identificar una Constancias de Conservación de Mensajes de Datos.
· El tiempo, fecha y hora de generación, indicando la fuente de tiempo confiable.
· La firma electrónica que ha sido generada usando una llave pública de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación.
· Extensiones para aquellos casos que se trate de refrendos de una constancia
10.5. Administración y Operación de la ACCMD
10.5.1. Administración de la Seguridad
La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe asegurar que los procedimientos administrativos sean adecuados y que están de acuerdo con las mejores prácticas reconocidas.
Particularmente:
- a) La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe mantener la responsabilidad de todos los aspectos relativos a los servicios de CCMD dentro del alcance de esta política.
- b) La administración de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe proporcionar las directrices de seguridad de la información.
- c) La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe asegurar la publicación y comunicación de la Política de Seguridad de la Información a todos sus empleados involucrados.
- d) La infraestructura de seguridad de la información de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe contar con mantenimiento preventivo y correctivo.
- e) Cualquier cambio que afecte el nivel de seguridad proporcionado debe ser aprobado al menos por los Profesionales Jurídico e Informático de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación.
- f) Los controles de seguridad y los procedimientos operativos para las instalaciones de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación deben ser documentados, puestos en ejecución y actualizados según se requiera.
10.5.2. Clasificación y Administración de Activos
La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe contar con los procesos administrativos que permitan asegurar que su información y otros activos cuenten con un nivel apropiado de protección.
Particularmente:
La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe mantener un inventario de todos los activos y debe asignarles una clasificación para la protección de estos consistente con el análisis del riesgo.
10.5.3. Seguridad del Personal
La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe garantizar que sus prácticas de reclutamiento y selección brinden seguridad para las operaciones de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación.
Particularmente:
- a) La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe contratar personal que posea el conocimiento necesario, a experiencia y las certificaciones requeridas para su función de trabajo.
- b) Los roles y las responsabilidades de la seguridad, especificados en la Política de Seguridad de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, deben estar documentados en las descripciones de puesto
c) Los roles de confianza, de los cuales depende la seguridad de la operación de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, deben estar claramente identificados.
- d) El personal de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe tener descripciones de puesto definidas considerando la separación de funciones y el menor privilegio, la sensibilidad del puesto basada en las funciones, los niveles de acceso, los antecedentes, el entrenamiento y los conocimientos de empleado. Cuando sea conveniente, lo anterior debe tomarse en cuenta para asignar funciones generales o funciones específicas de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación.
- e) El personal debe seguir los procedimientos y los procesos administrativos en forma alineada con los procedimientos de Administración de Seguridad de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación.
- f) Todo el personal de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación asignado en roles de confianza no debe tener conflictos de intereses que puedan perjudicar la imparcialidad de las operaciones de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación.
- g) La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación para el desarrollo de sus funciones debe establecer los roles de confianzas siguientes:
- Profesional Jurídico.
- Profesional Informático.
- Auxiliar de Apoyo Informático de Seguridad.
- Adicionales que juzgue necesarios para entregar satisfactoriamente el servicio de CCMD
- h) La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación no debe asignar funciones de confianza a personal que no cumpla con el proceso de selección y reclutamiento.
- i) La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación no debe asignar roles de confianza a personal que tenga antecedentes penales.
10.5.4. Seguridad Física y Ambiental
La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe asegurar que los riesgos sean reducidos al mínimo.
Particularmente:
Para la Constancias de Conservación de Mensajes de Datos:
- a) El acceso físico a las instalaciones relacionadas con el servicio de CCMD debe estar limitado a las personas debidamente autorizadas, con acceso controlado, con personal de vigilancia y circuito Cerrado de Televisión (CCTV)los 365 días del año.
- b) Los controles deben ser implementados para evitar pérdida, daño o compromiso de activos e interrupción de las actividades del servicio.
- c) Los controles deben ser implementados para que las instalaciones de procesamiento no se vean comprometidas o evitar el robo de información.
- d) Adicionalmente deben incluirse:
- Protección física a través de la creación de los perímetros bien definidos de seguridad.
- Implementación de controles de seguridad física y ambiental para proteger las instalaciones que alojan los componentes del sistema, el sistema mismo, así como los lugares físicos que son usados para soportar su operación.
- Controles contra incendio, falla de servicios de soporte (Ej. energía, telecomunicaciones), derrumbamiento de la estructura, fugas de agua, robo y entradas no autorizadas.
- La implementación de controles para proteger el equipo, la información, medios y software contra sustracción no autorizada de las instalaciones.
10.5.5. Administración de las Operaciones
La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe asegurar que los componentes del sistema sean operados con seguridad y funcionen correctamente, para mantener el riesgo de falla al mínimo.
Particularmente:
- a) La integridad de los componentes y de la información del sistema de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación deberán ser protegidos contra virus y software malicioso o no autorizado.
- b) Los medios usados en los sistemas de la ACCMD Alfredo Bazúa Witte Notario 230de la CDMX Prestador de Servicios de Certificación deben ser manejados con seguridad para protegerlos contra daño, robo y acceso no autorizado.
c)implementación oportuna de los roles de confianza y administrativos que intervienen en los servicios de la ACCMD.
10.5.5.1 Manejo y seguridad de los medios de almacenamiento
Todos los medios de almacenamiento utilizados por la ACCMD Alfredo Bazúa Wifte Notario 230 de la CDMX Prestador de Servicios de Certificación para la prestación del servicio deben ser manejados con seguridad. Los medios que contienen datos sensitivos deben ser destruidos de manera segura cuando ya no sean requeridos.
10.5.5.2 Capacidad de los sistemas
La capacidad de cómputo y almacenamiento deberá satisfacer las proyecciones de la demanda de operaciones de la ACCMD y cumplir con el numeral 94 de las Reglas Generales a las que deben sujetarse los prestadores de servicios de certificación.
10.5.5.3 Reporte y respuesta a incidentes
Todos los incidentes deben ser reportados inmediatamente después de que sucedan, para que la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación pueda actuar oportunamente y responda rápidamente a los incidentes, logrando de esta forma minimizar el impacto.
10.5.5.4 Responsabilidades en las operaciones
La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación para el desarrollo de sus funciones debe establecer roles de confianza en los que se asignen las responsabilidades de operación y de seguridad.
10.5.6 Administración de Acceso al Sistema
La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe asegurar que el acceso al sistema esté limitado a los Administradores, Operadores y Clientes debidamente autorizados.
Particularmente:
- a) Controles (como firewalls) deben ser implementados para proteger los dominios internos de la red de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación contra acceso no autorizado.
- b) La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe asegurar la administración eficaz del acceso de los operadores, administradores y auditores para mantener la seguridad del sistema, incluyendo la administración de cuentas de usuario, auditoría y modificación o baja oportuna del acceso.
- c) La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe asegurar que el acceso a la información y a las funciones del
sistema esté restringido de acuerdo a la política de control de acceso y que el sistema de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación proporcione los suficientes controles de seguridad informática para la correcta segregación de los roles de confianza identificados en las prácticas de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, incluyendo la separación de administración de seguridad y las funciones de operación.
- d) Los Administradores y operadores de la ACCMD Alfredo Bazúa Witfe Notario 230 de la CDMX Prestador de Servicios de Certificación, así como los Clientes deben ser identificados y autenticados.
- e) La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe tener el control de los activos, por ejemplo, tener los registros de la información referente a los servicios de CCMD.
Los siguientes controles deben ser aplicados a la administración del servicio de Conservación de Mensajes de Datos.
- a) Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe asegurar que los componentes de la red se mantienen en un ambiente físicamente seguro y que sus configuraciones sean auditadas periódicamente para asegurar los requisitos especificados por la normatividad y las prácticas establecidas por la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación.
- b) Facilidades de monitoreo continuo y alarmas deben ser previstas para permitir a la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación detectar, registrar y reaccionar de una manera oportuna sobre cualquier intento no autorizado o irregular de acceso a sus recursos.
10.5.7 Implementación y Mantenimiento de la Seguridad en los Sistemas
La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe usar activos y sistemas confiables que estén protegidos contra modificación no autorizada.
NOTA: El análisis del riesgo realizado a los servicios de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe identificar los servicios críticos que requieren sistemas confiables y los niveles de aseguramiento requeridos.
Particularmente:
- Un análisis de los requerimientos de seguridad debe ser realizado en la etapa del diseño y especificación de requerimientos de cualquier proyecto de desarrollo de sistemas emprendido por la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación para asegurar que la seguridad esté inmersa en los sistemas de información.
- b) Los procedimientos del control de cambios deben ser aplicados en las liberaciones, modificaciones y reparaciones de emergencia de cualquier software operacional respecto de los servicios de CCMD.
10.5.8 Compromiso de los Servicios de la ACCMD.
La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe asegurar que la información relevante esté a disposición de los Clientes y Terceros que Confían en caso de acontecimientos que afecten la seguridad del servicio, incluyendo el compromiso de las claves privadas.
Particularmente:
- a) El Plan de Recuperación en Caso de Desastres de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe cubrir los casos en que alguna de sus dos claves privadas se vea comprometida o se sospeche que haya sido comprometida.
- b) En el caso de compromiso de alguna de sus dos claves privadas, o sospecha de compromiso o pérdida de calibración de tiempo de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, debe poner a y las acciones a seguir, previo acuerdo con la Secretaría de Economía. Los medios de comunicación serán la página WEB de Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, teléfono y/o correo electrónico de los clientes.
- c) En el caso de interoperabilidad con la ASDT (Ej. El conocimiento del compromiso de clave privada del USDT), o sospecha de compromiso o pérdida de la calibración de tiempo de la ASDT, no emitirá Constancias de Conservación de Mensajes de Datos hasta que se tomen las medidas para recuperar el estado normal de operación.
- d) En caso de existir un evento en.el que afecte de forma importante la operación de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe poner a disposición de todos los Clientes y Terceros que Confían la información que pueda ser utilizada para identificar las CCMD que pudieron haber sido afectadas, a menos que esto provoque una pérdida de la privacidad de los usuarios de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación o a la seguridad de los servicios de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación.
NOTA: En caso de que la clave privada del servicio de CCMD se comprometa, un registro de auditoría de los generados por la ACCMD Alfredo Bazúa Witte Notario 230de la CDMX Prestador de Servicios de Certificación y registrado den la BD, puede proporcionar el medio para discriminar entre una CCMD genuina de una falsa.
10.5.9 Suspensión Temporal o Terminación de la ACCMD
Este escenario se presenta cuando la Dirección General de Normatividad Mercantil de la Secretaria de Economía sancione a la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación con la suspensión temporal por incumplir con alguna de las «reglas generales a las que deberá sujetarse un Prestador de Servicios de Certificación».
Durante el periodo de tiempo definido por la Secretaría de Economía, la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación dejará de emitir CCMD y continuará proporcionando los servicios de consulta de información para no afectar la operación de los Titulares y Terceros que Confían.
10.5.9.1 Terminación de la ACCMD
La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe asegurar que la afectación a los Clientes y a los Terceros que Confían estén mitigadas como resultado de la suspensión definitiva de los servicios de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, y particularmente debe asegurar que se contará con la información requerida para verificar que las CCMD son válidas.
Particularmente:
Antes de que la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación termine de prestar sus servicios, los siguientes procedimientos deben ser ejecutados como mínimo:
- a) Lo ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe poner a disposición todos los Clientes y de los Terceros que Confían la información referente a su terminación de servicio
- b) La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe transferir sus obligaciones a una autoridad confiable para mantener los registros de eventos y archivos de auditoría necesarios para demostrar la correcta operación de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación por un período razonable
- c) La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe mantener o transferir a una autoridad confiable sus obligaciones de hacer accesible las claves públicas o sus certificados a los Terceros que Confían por un período razonable
- d) Las claves privadas de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación serán destruidas de forma tal que dichas claves privadas no puedan ser recuperadas.
- e) La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe contar con fianza y seguros para cubrir los procedimientos mínimos en caso de declararse en concurso mercantil.
- f) La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe establecer en sus prácticas las provisiones hechas para la terminación del servicio. Esto incluirá:
- Notificación a entidades afectadas
- Transferencia de las obligaciones de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación a una autoridad confiable previo a lo que se establezca con la Secretaría de Economía.
iii. La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación tomará medidas para revocar los certificados que utiliza para brindar el servicio de Constancias de Conservación de Mensajes de Datos.
10.5.10 Conformidad con Requisitos Legales
La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe asegurar el cumplimento de los requerimientos legales.
Particularmente:
- a) La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe asegurar que se cumplan los requerimientos y leyes aplicables.
Entre las Leyes aplicables al servicio de Constancias de Conservación de Mensajes de Datos se encuentran:
- Código de Comercio, TÍTULO SEGUNDO De Comercio Electrónico.
- Reglamento del Código de Comercio en Materia de Prestadores de Servicios de Certificación.
- Reglas generales a las que deberán sujetarse los prestadores de servicios de certificación.
- b) La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe tomar las medidas técnicas y operativas apropiadas para mitigar el riesgo de procesamiento no autorizado o ilegal de datos personales y de la pérdida o destrucción accidental, o daño, de datos personales de sus clientes.
- c) La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación utilizará la información proporcionada por el Cliente en forma confidencial, por lo que no podrá difundirla o transmitirla a otros proveedores ajenos al servicio de Conservación de Mensajes de Datos, salvo autorización expresa del propio Cliente o por requerimiento de autoridad competente.
- a) La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación utilizará los elementos técnicos disponibles para brindar seguridad y confidencialidad a la información proporcionada por el Cliente y/o usuario, para lo cual deberá informar de las medidas de protección y confidencialidad.
10.5.11 Registro de Información de la Operación de la ACCMD S
La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios den Certificación debe asegurar que toda la información relevante referente a la operación de los servicios de CCMD esté registrada y conservada por un período de tiempo definido, particularmente para el propósito de proporcionar evidencia en procesos legales.
Particularmente:
- Los eventos específicos y los datos que se registrarán deben ser documentados por la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación.
- Debe mantener la confidencialidad y la integridad de los registros referentes a la operación de los servicios de CCMD.
- Los registros referentes a la operación de servicios de CCMD deben ser archivados integra y confidencialmente de acuerdo con prácticas de negocio establecida por la ACCMD.
4.Los registros referentes a la operación de los servicios de CCMD deben estar disponibles, para los casos en que sea necesario proporcionar evidencia, con fines legales, de la correcta operación de los servicios de CCMD.
- Debe registrarse la hora exacta de los eventos significativos de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación, tales como la administración de claves.
- Los registros referentes a los servicios de CCMD deben ser conservados apropiadamente por un período de tiempo de al menos un año después de la expiración de la validez de las claves de firma de la ACCMD para proporcionar evidencia legal necesaria y de acuerdo con lo notificado en la Declaración Pública de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación.
- Los eventos de CCMD se deben mantener por un periodo de tiempo posterior a la vigencia de la clave privada de la ACCMD de acuerdo con lo establecido en la Declaración Pública de CCMD para proveer evidencia legal cuando sea necesario.
- Cualquier información registrada sobre los Clientes de la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación se debe mantener como confidencial, excepto cuando se tenga consentimiento del Cliente para su divulgación.
- Las Bases de Datos que contengan registros de las actividades principales del flujo de atención de una solicitud de CCMD que permita contar con la trazabilidad de las acciones ejecutadas dentro del sistema. La Base de Datos debe contar con un sistema de seguridad del tipo criptográfico que permita incrementar la seguridad en la administración de los registros generados por la emisión de CCMD.
Respaldos de seguridad de las Bases de Datos.
Bitácoras y/o logs que incluyan fecha y hora en que son registrados los eventos, sucesos y elementos relacionados con la configuración, administración y Operación de los componentes que integran la solución de la ACCMD Alfredo Bazúa Witte Notario 230de la CDMX Prestador de Servicios de Certificación.
10.5.11.1 Administración de la Administración de las claves de la ACCMD.
- a) Todos los eventos que se relacionan con el ciclo de vida de las claves de la ACCMD deben ser registrados.
- b) Los registros referentes a todos los acontecimientos que se relacionan en el ciclo de vida de las CCMD de la ACCMD deben ser registrados.
- c) Los eventos referentes a todos los sucesos que se relacionan con la comunicación con la ASDT deben ser registrados.
10.6 Organizacional
La ACCMD Alfredo Bazúa Witte Notarlo 230 de la CDMX Prestador de Servicios de Certificación debe asegurar que su organización sea confiable.
Particularmente:
- a) Las políticas y los procedimientos bajo los cuales opera la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación deben ser no discriminatorios.
- b) La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación debe hacer que sus servicios sean accesibles a todos los solicitantes, que sus actividades estén dentro del alcance de operación declarado y que los clientes estén de acuerdo en cumplir con sus obligaciones.
- c) La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación es una entidad legalmente constituida conforme las leyes mexicanas.
- d) La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación tiene un sistema o sistemas para la administración de la seguridad de la información y de la calidad apropiados para los servicios de CCMD.
- e) La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación cuenta con procedimientos para cumplir con las responsabilidades que se presenten en sus operaciones y/o actividades.
- f) La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación tiene el reconocimiento, la estabilidad y los recursos financieros requeridos para funcionar conforme a esta política.
- g) La ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicjos de Certificación emplea el número suficiente de personal que cuenta con la educación, entrenamiento, conocimiento técnico y experiencia necesarios referentes al tipo, al rango y al volumen de trabajo necesarios para proporcionar los servicios de CCMD.
- h) La ACCMD cuenta con políticas y procedimientos para la resolución de quejas y conflictos recibidos que se relacionen con los servicios de CCMD.
- i) La ACCMD tiene acuerdos documentados y relaciones contractuales vigentes de los servicios que impliquen alguna subcontratación, outsourcing u otros arreglos con terceros.
11. Consideraciones de Seguridad
Al verificar las CCMD, es necesario que el cliente o tercero que confía se asegure de que el certificado de la ACCMD sea confiable y no esté revocado. Esto significa que la seguridad depende de la seguridad de la Autoridad Certificadora (CA) que ha emitido el certificado y que también proporciona información precisa del estado de revocación de este certificado.
Cuando una CCMDA se verifica como válida en un momento dado, esto no significa que necesariamente seguirá siendo válida más adelante. Cada vez, que un cliente o tercero que confía verifica una CCMD durante el período de validez del certificado de la ACCMD, debe también verificar nuevamente contra el actual estado de revocación del certificado, ya que en caso de que la clave privada de la ACCMD este comprometida, todas las CCMD generados por esa ACCMD se convierten inválidos.
12. Auditorías
Para validar el cumplimiento de las políticas, procedimientos y en general de la normatividad establecida por la ACCMD Alfredo Bazúa Witte Notario 230 de la CDMX Prestador de Servicios de Certificación se deben realizar al menos una vez al año, auditorías internas y externas respecto a la operación de los servicios y Tecnologías de Información, así como evaluaciones de seguridad y pruebas de penetración que permitan validar el nivel de seguridad lógica que se presente para los servicios de CCMD.
13. Control de revisiones y cambios
Fecha | Versión | Sección o Páginas | Descripción del cambio |
17/12/2019 | 00 | Creación documento inicial | |
17/12/2019 | 01 | Versión para entrega SE | |
17/12/2019 | 02 | Versión 2 para entrega SE | |
17/12/2019 | 02 | Versión 3 para entrega SE |
14. Revisión y Aprobación del Documento
ELABORÓ
|
REVISÓ
|
APROBÓ
|
|
||
Profesional informático Director de Sistemas
|
Adrián Fajardo Castellanos Oficial de Cumplimiento
|
Alfredo Bazúa Witte Director General
|
14.1 Calendario para la revisión y actualización de la Política
Fecha planeada (dd-mm-aaaa) |
Responsable de impulsar la revisión ante el Comité |
15/06/2020 | Profesional informático |
15/06/2020 | Profesional informático |
15/06/2021 | Profesional informático |
La revisión de la presente política se realizará anualmente o bien cuando se presente un cambio importante al servicio.