Gaceta Oficial

Resolución 2/2016

Sobre la Infraestructura de Llave Pública

Organismo
Ministerio del Interior
Fecha emisión
2016-08-09
Publicada en
Gaceta No. 24 Extraordinaria de 2016 (2016-09-01)
Páginas
2–17
Descargar PDF de la gaceta
Resumen generado por IA

Generando resumen…

Texto íntegro

INTERIOR

RESOLUCIÓN No. 2/2016

POR CUANTO: El Decreto-Ley No. 199 “Sobre la Seguridad y Protección de la Información Oficial”, de 25 de noviembre de 1999, establece y regula el Sistema para la Seguridad y Protecciónde la Información Oficial, y en su Disposición Final Segunda faculta al Ministerio del Interiorpara dictar cuantas otras disposiciones resulten necesarias para su mejor cumplimiento.

POR CUANTO: La Resolución No. 2, del Ministro del Interior, General de Cuerpo de Ejército Abelardo Colomé Ibarra, que pone en vigor los “Reglamentos para la Criptografía y el Servicio Cifrado en el Territorio Nacional y para el Servicio Central Cifrado en el Exterior”, defecha 2 de julio de 2002, establece las normas, procedimientos y responsabilidades que debenaplicarse y cumplirse en los órganos, organismos, entidades y sus dependencias o por cualquierotra persona jurídica radicada en el territorio nacional y las personas naturales residentes en elpaís, para el empleo de la Criptografía y el Servicio Cifrado en el territorio nacional, así como lasaplicables al Servicio Central Cifrado en el exterior.

POR CUANTO: La utilización de las técnicas criptográficas basadas en certificados digitalesde llave pública, proporcionados por una infraestructura de prestadores de servicios comerciales ono de certificación, facilita brindar seguridad y validez a la información y sistemas de informáticay comunicaciones en el marco de la informatización de la sociedad.

POR CUANTO: Es necesario establecer un ordenamiento que garantice la confianza en elempleo y validez de los certificados digitales y técnicas asociadas, mediante la puesta en vigordel Reglamento para el funcionamiento de la infraestructura de llave pública en interés de laprotección criptográfica de la información oficial de la República de Cuba.

POR TANTO: En el ejercicio de la atribución que me está conferida en el artículo 33, del Decreto-Ley No. 67 “De Organización de la Administración Central del Estado”, de fecha 19 deabril de 1983,

R e s u e l v o :

PRIMERO: Establecer la Infraestructura de Llave Pública en interés de la proteccióncriptográfica de la información oficial de la República de Cuba (en lo adelante la Infraestructura).

SEGUNDO: Aprobar el Reglamento sobre el funcionamiento de la Infraestructura de Llave Pública en interés de la protección criptográfica de la Información Oficial en la República de Cuba(en lo adelante el Reglamento), que como Anexo Único se adjunta a la presente Resolución.

TERCERO: Designar al Servicio Central Cifrado del Ministerio del Interior como la Autoridad Raíz de la Infraestructura, con las funciones que se establecen en el precitado Reglamento.

352

CUARTO: El Reglamento, no establece equivalencia jurídica entre la firma digital dedocumentos electrónicos realizada con los métodos criptográficos asociados a los certificadosdigitales de llave pública, y la firma manuscrita tradicional.

QUINTO: Los precios para la comercialización de los certificados digitales de llave públicay los tributos a rendir por los servicios criptográficos de certificación, se ajustan conforme a lasdisposiciones establecidas por el Ministerio de Finanzas y Precios, y en correspondencia con lalegislación tributaria.

SEXTO: Facultar al Jefe de la Dirección de Criptografía del Ministerio del Interior, conla emisión de las instrucciones complementarias que resulten necesarias en virtud del mejorcumplimiento del Reglamento, y para gestionar el proceso de aprobación de la creación deservicios criptográficos que brinda la Infraestructura.

SÉPTIMO: Crear la Comisión Consultiva para la Gobernanza Tecnológica de la Infraestructurade Llave Pública (en lo adelante Comisión Consultiva), con el objetivo de colegiar y compatibilizarlas normas técnicas a establecer para la prestación de los servicios criptográficos en laprecitada Infraestructura, con las relativas al desarrollo técnico de equipamientos y dispositivoscriptográficos nacionales; la gestión y seguridad de la documentación e información electrónica,las telecomunicaciones y el Ciberespacio.

DISPOSICIONES FINALES

PRIMERA: Las actuaciones y acciones no autorizadas por parte de los funcionarios, de losprestadores de servicios criptográficos de certificación y/o de los suscriptores, violatorias delrégimen de seguridad, de los roles específicos para la operación de estas entidades y de losmétodos que se establecen para el empleo de los certificados digitales son calificadas de hechosque pueden ser sancionables administrativa o penalmente, en virtud de la legislación vigente, deacuerdo con la magnitud, fines y daños ocasionados por la violación.

SEGUNDA: El empleo del certificado digital y de los medios de creación de la firma digital,que se incluyan en el documento oficial de identidad del ciudadano en el país, está sujeto aregulaciones específicas relacionadas con el Sistema de Identidad Nacional.

TERCERA: Los terceros de buena fe, solo pueden depositar su confianza en aquellos usoscriptográficos definidos en el presente Reglamento y sus instrucciones complementarias, en la Declaración de Prácticas de Certificación de los prestadores de estos servicios y de los usos quecada certificado digital tiene identificados, y son responsables de la verificación del estado de suvigencia en el proceso de consulta para las transacciones con los suscriptores.

CUARTA: El Ministerio de las Fuerzas Armadas Revolucionarias para su funcionamientoadecua en lo que resulte necesario, la aplicación de las disposiciones establecidas en esta Resolución.

QUINTA: La presente Resolución entra en vigor a los noventa (90) días contados a partir desu publicación en la Gaceta Oficial de la República de Cuba.

PUBLÍQUESE en la Gaceta Oficial de la República de Cuba.

ARCHÍVESE el original en la Dirección Jurídica del Ministerio del Interior.

DADOen La Habana, a los 9 días del mes de agosto de 2016.

Viceministro Primero del Interior

Vicealmirante

Julio César Gandarilla Bermejo

ANEXO ÚNICO

REGLAMENTO

SOBRE EL FUNCIONAMIENTO DE LA INFRAESTRUCTURA DE LLAVE PÚBLICA ENINTERÉS DE LA PROTECCIÓN CRIPTOGRÁFICA

DE LA INFORMACIÓN OFICIAL EN LA REPÚBLICA DE CUBA

CAPÍTULO I

GENERALIDADES

ARTÍCULO 1.-El presente Reglamento establece las normas y procedimientos generales parael funcionamiento en el país de la Infraestructura de Llave Pública, los prestadores de servicioscriptográficos de certificación que la componen; el empleo de los certificados digitales de llavepública (en lo adelante certificados digitales), los criptomateriales y técnicas criptográficas asociadasa ellos, y se aplica, a la información oficial que se procesa, transmite y almacena en forma dedatos informáticos, electrónicos y de mensajes de Infocomunicaciones, salvo en las obligacionescontraídas por el Estado cubano en virtud de convenios o tratados internacionales que requieran untratamiento particular.

353

ARTÍCULO 2.-La Dirección de Criptografía del Ministerio del Interior examina y apruebael empleo del certificado digital en interés de asegurar la protección criptográfica de laconfidencialidad de la información oficial clasificada, en los casos en que por cuestiones técnicasy funcionales se requiera.

ARTÍCULO 3.-A los efectos del presente Reglamento, los términos de Órgano, Organismode la Administración Central del Estado, entidad e información oficial son los definidos en el Decreto-Ley No. 199 “Sobre la Seguridad y Protección de la Información Oficial”, de 25 denoviembre de 1999.

ARTÍCULO 4.-A los efectos de lo dispuesto en el presente Reglamento, se entiende por:

- 1)Algoritmo criptográfico:Conjunto ordenado de operaciones matemáticas específicas, queimplementadas en software o en medios electrónicos realizan secuencialmente y a partir deuna lógica, la transformación de una información en texto legible, en texto cifrado ilegiblepor personas no autorizadas.

- 2)Autenticación: Atributo de seguridad de la información que permite la comprobación de laidentidad de un actuante (persona, software o equipo, según corresponda) en una transacciónelectrónica o telemática que se ejecuta mediante operaciones criptográficas, que pueden sercombinadas con otras medidas de protección técnica.

- 3)Autoridad de Certificación: Entidad de confianza probada, responsable de emitir y revocarlos certificados digitales utilizados por terceros en funciones criptográficas de protecciónde la información oficial, como por ejemplo, en la firma digital para autenticar la autoría dedocumentos electrónicos y software; cifrado, acceso seguro a servidores web, etc.

- 4)Autoridad Raíz:Autoridad máxima de confianza probada, situada en la cúspide de lacadena de autoridades, responsable de emitir y revocar certificados digitales utilizados porlos prestadores de servicios criptográficos de certificación y suscriptores individuales para suoperación en la Infraestructura de Llave Pública.

- 5)Autoridad de Registro: Entidad de confianza probada, la cual puede operar de formaautónoma, o formar parte de una autoridad de certificación, y cuyas funciones específicasconsisten en registrar las peticiones que hagan las personas naturales y jurídicas para obtenerla posesión de un certificado digital. Esta autoridad comprueba la veracidad y corrección delos datos que aportan los solicitantes en las peticiones, y envía las peticiones a una autoridadde certificación para que sean procesadas.

- 6)Autoridad de Sellado o Estampado de Tiempo: Prestador de Servicio de Certificación deconfianza probada, en línea o fuera de ella, que testifica la existencia de un dato electrónico enuna fecha y hora concreta para crear un sello electrónico invariable que entrega al solicitante,el cual se construye mediante la ejecución de operaciones criptográficas de firma digitalcombinadas con el propio dato a testificar y parámetros de tiempo real astronómico que loobtiene de una fuente de alta fiabilidad técnica.

- 7)Autoridad de Validación: Es el componente dentro de la Infraestructura, que tiene comotarea suministrar información sobre la vigencia de validez de los certificados digitales que,a su vez, hayan sido registrados por una autoridad de registro y emitidos por una autoridadde certificación.

- 8)Certificado Digital de Llave Pública:Es un archivo o documento electrónico medianteel cual, una autoridad de certificación (tercero confiable) garantiza la vinculación entre laidentidad de un sujeto o entidad (nombre, dirección, número de identidad o pasaporte, y otroselementos de identificación) y una llave criptográfica pública, y es una pieza imprescindibleen los protocolos que se usan para autenticar a las partes de una comunicación digital.

- 9)Certificado Digital de Llave Pública Reconocido:Es aquel que se expide y firmadigitalmente por una autoridad de certificación, aprobada para operar en la Infraestructura,cuyo certificado digital (el de la autoridad) está firmado por la Autoridad Raíz.

- 10)Certificado Digital Comodín:Certificado digital que puede ser utilizado con variossubdominios de un dominio (sistema de identificación de dispositivos y/o equipos conectadosa una red de infocomunicaciones).

- 11)Clave personal de acceso (PIN):Secuencia de caracteres que permite el acceso a la llaveprivada.

- 12)Criptomaterial: Se refiere a la llave o conjunto de llaves de cifrado que se emplea en lasoperaciones de transformación criptográfica de la información.

- 13)Declaración de Prácticas de Certificación:Documento público donde la entidad prestadorade servicios criptográficos de certificación, manifiesta sus políticas y procedimientosparticulares para el ejercicio de su autoridad, el uso de los certificados digitales bajo sujurisdicción y trámites asociados, basados en los preceptos generales del presente Reglamentoy las referencias internacionales al respecto.

- 14)Firma digital:Es un valor numérico que se adhiere a un mensaje o documento y que seobtiene mediante un procedimiento matemático conocido, vinculado a la llave privada delsuscriptor iniciador de una comunicación y al texto del mensaje para permitir determinar queeste valor se ha obtenido exclusivamente con esa llave privada (secreta) del iniciador, y queel mensaje inicial no ha sido modificado después de efectuada la transformación.

- 15)GMT:Tiempo medio de Greenwich (por sus siglas en inglés,Greenwich Mean Time) es unanorma internacional para ajustar el tiempo en relojes y demás dispositivos de medición de loshorarios, tomando como base el horario del meridiano cero, que pasa por esa ciudad cercanaa Londres en el Reino Unido.

- 16)Hash (Resumen):Se obtiene de la aplicación de una función matemática unidireccional queopera sobre un documento digital, secuencia digital numérica, etc., todos de gran tamañomedido en bits, y brinda como resultado un valor más pequeño y de tamaño fijo, cualquierasea su entrada, que se utiliza en aplicaciones criptográficas que protegen la integridad de lainformación.

- 17)Infraestructura de Llave Pública:Conjunto de entidades componentes del sistemajerárquico de prestadores de servicios criptográficos de certificación, que funcionan contecnologías de seguridad, criptografía, políticas, y normas técnico-organizativas aprobadaspor el Ministerio del Interior, en aras de brindar la confianza necesaria a sus suscriptores y aterceros de buena fe en el uso de los certificados digitales y criptomateriales asociados parala protección de la información oficial que se tramita por los medios de infocomunicaciones.Una autoridad de certificación de nivel superior garantiza la confiabilidad de una o varias denivel inferior a ella subordinada.

- 18)Lista de Revocación de Certificados:Documento digital público, que expide una autoridadde validación o de certificación, donde figura exclusivamente la relación de los certificadosdigitales revocados o suspendidos.

- 19)Llave Pública:Es uno de dos valores numéricos, obtenidos por métodos matemáticoscomplejos y criptográficamente seguros, que se le asigna a una persona de manera pública endirectorios u otro sitio accesible por terceros, para que los remitentes puedan cifrar mensajeselectrónicos a enviar a ella. Se utiliza también en la verificación por los destinatarios deun documento electrónico que tiene una firma digital hecha por la persona que actúa comoremitente y es poseedora de la llave pública.

- 20)Llave Privada:Es uno de dos valores numéricos, obtenidos por métodos matemáticoscomplejos y criptográficamente seguros, que se asigna a una persona para su empleo endescifrar datos y la creación de la firma digital de documentos electrónicos. Este valornumérico es secreto y está asociado matemáticamente a la llave pública de la precitadapersona.

- 21)Métodos de defensa criptológica:Medidas técnicas, organizativas y educativas que seadoptan en locales, equipos de procesamiento criptográfico de la información y sobre lossuscriptores que los operan para neutralizar, mitigar o eliminar los posibles ataques deingeniería social, cibernéticos, informáticos y/o electrónicos, a realizar por intrusos queintentan obtener datos, tecnologías de criptografía y criptomateriales de interés con fines nolegítimos.

- 22)Módulo Criptográfico de Alta Seguridad (MCAS):Equipo o dispositivo electrónico quese destina en específico para la ejecución de operaciones criptográficas tales como, cifrado decontenidos, generación y almacenamiento de llaves criptográficas, entre otras; el cual disponecon carácter obligatorio de medidas de defensa criptológica. Se conoce internacionalmentecomo HSM (siglas en inglés de High Security Module).

- 23)Notación ASN.1:Notación Sintáctica Abstracta que en la literatura tecnológica se describepor sus siglas en inglés como Abstract Syntax Notation One, y es una norma técnicainternacional para representar datos que se almacenan con independencia de la computadoraen uso y sus formas de representación internas.

- 24)Política de Certificación:Conjunto de reglas que especifican las características deemisión, gestión, aplicabilidad y/o uso de los distintos tipos de certificados digitales en unacomunidad de suscriptores y usuarios, sistemas o clase particular de aplicaciones que tenganrequerimientos de seguridad comunes.

- 25)Prestador de Servicios Criptográficos de Certificación:Persona jurídica que prestaservicios criptográficos y expide certificados digitales para su utilización en la creación yverificación de la firma digital y el establecimiento de canales de comunicaciones seguros,como por ejemplo las autoridades de certificación, registro, sellado de tiempo, validación,tercero de confianza, custodia de documentos electrónicos, consulta de atributos, entre otros.

- 26)Protocolo Criptográfico:Conjunto de reglas que se establecen e implementan en softwareo en medios electrónicos para ordenar el funcionamiento de las técnicas criptográficas en elintercambio seguro de datos entre entidades a través de canales de comunicaciones, y definenla sintaxis, semántica y sincronización aplicada a estas técnicas.

- 27)Protocolo OCSP:Por sus siglas en inglés Online Certificate Status Protocol,es una normatécnica internacional para ejecutar con rapidez y en línea con servidores web dedicados a estafunción, la verificación automática del estado de revocación de un certificado digital X.509.

- 28)Protocolo SSL:Protocolo criptográfico, que se denomina internacionalmente por sus siglasen inglés como Secure Sockets Layer,y significa capa de conexión segura, cuya función esproporcionar autenticación y privacidad a la información entre extremos de una comunicaciónsobre Internet mediante el empleo de la criptografía basada en certificados digitales, que seutiliza comúnmente para garantizar la seguridad en el acceso a sitios web.

- 29)Repositorio:Sistema de información que se emplea para almacenar y recuperar certificadosdigitales, y otras informaciones relativas a estos.

- 30)Responsable del certificado digital:Persona natural, que se identifica en los camposdel certificado digital y que el suscriptor determina como el responsable de la custodia yactivación del mismo. Esta figura se emplea como regla, en la protección de servidores,canales y servicios seguros de comunicaciones.

- 31)Suscriptor:Persona natural o jurídica a cuyo nombre se expide un certificado digital por laautoridad de certificación correspondiente y por tanto, actúa como titular del mismo, conocey acepta los derechos y deberes para su empleo, que se establece en el presente Reglamentoy en la Declaración de Prácticas de Certificación de la autoridad emisora de dicho certificadodigital.

- 32)X.509:Estándar universal de la Unión Internacional de Telecomunicaciones (UIT) queestablece el formato general para la confección y estructura de los certificados digitales.

ARTÍCULO 5.-Los jefes de órganos, organismos de la Administración Central del Estado yentidades proponen la creación o cierre de autoridades y/o prestadores de servicios criptográficosde certificación de su ámbito de competencia a la Dirección de Criptografía, quien se encarga,en un plazo no superior a los cuarenta y cinco (45) días, de realizar el proceso de comprobacióny presentar, de corresponder, la solicitud a la aprobación del Ministro del Interior, así como denotificar al solicitante los resultados.

ARTÍCULO 6.-Los prestadores de servicios criptográficos de certificación y los órganos,organismos de la Administración Central del Estado o entidades que disfrutan del servicio,garantizan el aseguramiento financiero y material de los recursos técnicos, humanos y logísticos,tanto para el ejercicio de las funciones de los prestadores de servicios criptográficos de certificacióncomo de los suscriptores, incluidos los medios portadores de la llave privada y los mecanismospara la creación y verificación de la firma digital, así como para las demás acciones de protecciónde la información con el uso de certificados digitales que establece el presente Reglamento.

ARTÍCULO 7.-A los efectos de los servicios en línea, se presume que un prestador de servicioscriptográficos de certificación radica en Cuba, cuando dicho prestador se encuentre registrado en loscontroles de los organismos de la Administración Central del Estado o entidades reguladoras de lasactividades socio-económicas cubanas que tenga relación y disponga de licencia para el uso de lastelecomunicaciones del país para tales fines.

ARTÍCULO 8.-Los certificados digitales que emiten las autoridades de certificación dela Infraestructura para la firma digital de documentos electrónicos tienen valor, tanto para lastransacciones nacionales como internacionales.

ARTÍCULO 9.-Todas las entidades prestadoras de servicios criptográficos de certificaciónaprobadas por el Ministerio del Interior, disponen de medios técnicos seguros para el sellado detiempo de los trámites a realizar con los certificados digitales.

CAPÍTULO II

DEL CERTIFICADO DIGITAL DE LLAVE PÚBLICA

SECCIÓN PRIMERA

Generalidades

ARTÍCULO 10.-Se establece el estándar X.509 como el formato oficial de los certificadosdigitales a emplear en los servicios de protección criptográfica de la información oficial en el país.

ARTÍCULO 11.-Los certificados digitales se clasifican en las siguientes categorías:

- a)Categoría 1: Certificados Digitales de Llave Pública de carácter personal para firma digital demensajería y ficheros electrónicos (CD-Pfirma).

- b)Categoría 2: Certificados Digitales de Llave Pública de carácter técnico para la protección decanales y servicios de comunicaciones (CD-SSL).

ARTÍCULO 12.-Los certificados digitales X.509 contienen obligatoriamente los siguientes campos:

- a)Relacionados con el Sujeto: Los datos que identifican al sujeto titular del certificado digital,siendo estos: el nombre y los apellidos, su número de identidad permanente o de pasaporte; oidentificación de equipo según corresponda, el Órgano, Organismo de la Administración Centraldel Estado o entidad a la que pertenezca y el país de procedencia.

- b)Relacionados con los Datos del Certificado: Versión del certificado digital y su identificador onúmero de serie, el cual es único; la denominación de la autoridad de certificación que lo emitey firma, así como el tiempo de validez del certificado digital, donde se especifica el plazo deinicio y fin de su vida útil, en fecha y hora exacta nacional y del GMT.

- c)Relacionados con las Llaves Criptográficas: Se fijan los usos permitidos para las llavescriptográficas adquiridas para los servicios de protección de la información oficial, así comose publica la llave pública del suscriptor en notación ASN.1 y el algoritmo criptográfico aemplear con dicha llave.

- d)Relacionados con la Autenticidad de la Autoridad de Certificación: Se especifica la secuenciade campos que llena la Autoridad de Certificación y que identifican la firma electrónica digitalde los campos previos. Dicha secuencia contiene tres atributos: el algoritmo de firma utilizado,el resumen (hash) de la firma, y la propia firma digital.

ARTÍCULO 13.-Los representantes de los suscriptores, señalan a la Dirección de Criptografíaotros campos para el llenado de datos de los certificados digitales, en interés de servicios específicoso por requerimientos establecidos para las relaciones comerciales internacionales y de otra índole,con el objetivo de compatibilizar y estandarizar el formato de los certificados digitales con losprestadores de servicios criptográficos de certificación.

ARTÍCULO 14.-La Dirección de Criptografía comunica anualmente a los órganos, organismosde la Administración Central del Estado, entidades y a los prestadores de la Infraestructura de Llave Pública, los ajustes a realizar a las versiones de los certificados digitales, las extensiones autilizar en sus archivos, los formatos electrónicos para las solicitudes y repositorios de los mismosy de sus correspondientes llaves de cifrado y firma; los campos opcionales a agregar a su formato,así como lo relacionado con la notación técnica para su llenado, y demás elementos técnicos ycriptográficos que garanticen la seguridad e interoperabilidad en su empleo.

ARTÍCULO 15.-En los campos del certificado digital destinados a nombre, razón social y/odenominación de su solicitante, se admiten solo los datos de identidad verdaderos del titular.

ARTÍCULO 16.-Los certificados digitales son únicos y universales, se emiten y entregan a losrepresentantes de los suscriptores, previa aprobación de la autoridad de registro correspondiente,por la Autoridad Raíz o una autoridad de certificación aprobada por el Ministerio del Interior,mediante la firma de un contrato de servicio.

SECCIÓN SEGUNDA

De la solicitud y otorgamiento de los certificados digitales de llave pública

ARTÍCULO 17.-La solicitud y otorgamiento de certificados digitales procede de la siguiente forma:

- a)El jefe del Órgano, Organismo de la Administración Central del Estado o entidad, mediantela persona designada por él como representante de los suscriptores de su ámbito, envía a laautoridad de registro correspondiente, de forma escrita, acuñada, y en el formato electrónicoestablecido por la Dirección de Criptografía al efecto, la relación de los datos necesarios delos candidatos a titulares de certificados digitales para el llenado de los campos obligatoriosestablecidos en el presente Reglamento para su emisión. En los casos de autogeneración dellaves criptográficas para la creación de la firma digital, la solicitud en formato electrónico seacompaña de la llave pública producida.

- b)La autoridad de registro, en un plazo no superior a los quince (15) días, realiza la comprobaciónde la identidad de cada candidato a suscriptor y de la posesión de las licencias correspondientespara la operación en el ámbito de las telecomunicaciones, a través de los sistemas estatalesestablecidos al efecto.

- c)De existir contradicciones con los datos identificativos presentados de los futuros titularesde certificados digitales, la autoridad de registro devuelve la solicitud al representante de loscandidatos a suscriptores para que se rectifiquen.

- d)El jefe de la autoridad de registro, en un término de siete (7) días posterior a la conclusión delproceso de comprobación de identidad, envía a la autoridad de certificación correspondientela solicitud de emisión de certificados digitales y la constancia de la verificación sobre lavalidez de los datos identificativos de los futuros suscriptores, en formato electrónico, con sufirma digital y la del funcionario que procesa la información al respecto, en la garantía de laintegridad y la autenticación de origen de la misma.

- e)La autoridad de certificación, en plazo no mayor a los treinta (30) días, posterior a la recepciónde la solicitud de la autoridad de registro, produce, publica y entrega el certificado digital alsuscriptor en los formatos convenidos con el mismo y de acuerdo con lo establecido en elpresente Reglamento y en la Declaración de Prácticas de Certificación de la autoridad; realizael cobro por su adquisición, de proceder y firma a tales efectos el contrato correspondientesegún la legislación vigente en la materia.

ARTÍCULO 18.-El representante del suscriptor del Órgano, Organismo de la Administración Central del Estado o entidad interesada realiza la solicitud de CD-SSL de forma presencial en lasoficinas de la autoridad de registro correspondiente, acompañado de los documentos originales deidentificación del responsable del certificado digital y la titularidad del dominio a proteger parasuscribir el contrato.

ARTÍCULO 19.-La autoridad de registro, en el caso de las solicitudes de CD-SSL, compruebacon la entidad reguladora competente, la veracidad de la titularidad de los nombres de dominios,datos de conectividad y servicios de infocomunicaciones, que el solicitante requiere proteger.

ARTÍCULO 20.-La autoridad de registro recibe del representante del suscriptor, en el caso delas solicitudes para la obtención de CD-SSL, además de los datos generales identificativos de loscandidatos a responsables de su custodia y activación, la información sobre las características delequipamiento técnico de destino de dicho certificado digital.

ARTÍCULO 21.-Las autoridades de certificación realizan el proceso de generación, emisióny entrega de CD–SSL a partir de las normas de calidad y seguridad que establece la Dirección de Criptografía para la protección criptográfica de los servicios de comunicaciones.

ARTÍCULO 22.-La Dirección de Criptografía aprueba la necesidad de utilizar certificadosdigitales que funcionan en forma de comodines en los servidores de redes de infocomunicaciones,con el objetivo de evitar que un suscriptor pueda emplearlo para establecer un sitio web maliciosocon protección criptográfica e imitar sitios legítimos.

ARTÍCULO 23.-Los suscriptores de certificados digitales son únicos. Un suscriptor puedeposeer bajo su titularidad varios certificados digitales para diferentes funciones.

ARTÍCULO 24.-Establecer en el caso de los CD-Pfirma, las siguientes reglas:

- a)La llave criptográfica privada única la genera y custodia el suscriptor, a partir de losprocedimientos de las tecnologías que se aprueben para la creación de la firma digital.

- b)Cuando la llave criptográfica privada, a solicitud del titular del certificado digital o porrazones técnicas o de seguridad se genere en la autoridad de certificación, su producción serealiza obligatoriamente de forma compartida por tres funcionarios de esta entidad, y se entregaal suscriptor en un dispositivo informático o electrónico protegido con medidas de cifrado ycontrol de acceso a ella por medio de una contraseña o código PIN.

- c)El traslado de la llave criptográfica privada, instalada en el dispositivo protegido, desde laautoridad de certificación hasta el puesto de trabajo del suscriptor, viaja con el PIN entregadopor la autoridad.

La información confidencial sobre el código PIN para el acceso inicial a la llave criptográficaprivada se envía al Órgano, Organismo de la Administración Central del Estado o entidad ala que pertenece su titular, en sobre sellado y lacrado a través de correo postal seguro y seentrega en la Oficina de Control de la Información Clasificada o similar, quien la hace llegaral suscriptor correspondiente.

- d)El titular de la llave criptográfica privada, puede cambiar el código PIN del dispositivoprotegido, por otro código por él solamente conocido.

- e)La autoridad de certificación no guarda copia de la llave criptográfica privada del suscriptor,con el objetivo de asegurar la posesión exclusiva de su titular, en la garantía de la no existenciade dudas en la unicidad total del ejercicio de firma digital de documento, y el no repudio enesta acción personal e intransferible, de forma tal que no se pueda involucrar a la autoridad enhechos de falsificación o suplantación de la firma digital de un documento electrónico.

- f)Existencia de una seguridad criptográfica efectiva para que los datos utilizados en la generación dela firma digital, no puedan derivarse a partir de la llave pública empleada para la verificación dela misma por un tercero, o de la propia firma. De igual forma, la firma digital se protege contra sufalsificación con la tecnología existente en cada momento.

ARTÍCULO 25.-Los certificados digitales y llaves criptográficas asociadas, solo se utilizanpara el empleo determinado en la categoría establecida en el presente Reglamento y en lasespecificaciones para la emisión del propio certificado digital.

SECCIÓN TERCERA

De la suspensión, revocación y extinción de la vigencia de los certificados digitales de llavepública

ARTÍCULO 26.-La autoridad que emite los certificados digitales puede suspenderloso revocarlos a solicitud del representante del suscriptor o por decisión propia, cuando lascircunstancias de seguridad de la Infraestructura, o de la información y funciones del suscriptorasí lo requieran, quien informa en este caso en un término no mayor a las veinticuatro (24) horasa la autoridad de registro que lo aprueba y al Órgano, Organismo de la Administración Central del Estado o entidad que ampara al suscriptor afectado.

ARTÍCULO 27.-La suspensión de un certificado digital tiene un carácter temporal, lo queimplica la pérdida de su validez, similar a la de un certificado digital revocado durante el períodode suspensión, que no excede a los treinta (30) días a partir de su anuncio y registro como tal,pasados los cuales dicho certificado digital se revoca automática y definitivamente.

El certificado digital dentro del tiempo de suspensión, se reactiva por el representante delsuscriptor, quien realiza los trámites presenciales en la autoridad de registro correspondiente,cuando las causas de dicha suspensión hayan desaparecido.

ARTÍCULO 28.-La suspensión o la revocación del certificado digital de prestador deservicios criptográficos de certificación se realiza por solicitud del jefe de Órgano, Organismode la Administración Central del Estado o entidad que lo ampara, al Ministerio del Interior através de la Dirección de Criptografía, quien efectúa las investigaciones pertinentes, y somete a laaprobación del Ministro del Interior la decisión de suspensión o revocación mencionadas.

ARTÍCULO 29.-La solicitud de revocación tiene como mínimo la siguiente información:

- a)Fecha de solicitud de la revocación.

- b)Identidad del suscriptor.

- c)Razón detallada para la petición de revocación.

- d)Identidad y cargo funcional de la persona que pide la revocación.

ARTÍCULO 30.-El representante del suscriptor informa sobre la solicitud de revocación de uncertificado digital a la autoridad de registro correspondiente, la que formula de proceder, la ordende revocación a la autoridad de certificación que lo emite, en un plazo no mayor a los tres (3) díashábiles, concluida la validación de dicha solicitud.

ARTÍCULO 31.-Una vez aprobada la revocación de un certificado digital, la autoridad decertificación genera y publica, en un plazo no mayor a las veinticuatro (24) horas una nueva listade revocación de certificados (CRL).

ARTÍCULO 32.-Son causas de extinción de la vigencia de un certificado digital:

- a)Expiración del período de validez que figura en el certificado digital.

- b)Revocación formulada por el poseedor del certificado digital, a través de su representante, ala autoridad de certificación correspondiente que lo emite.

- c)Violación o puesta en peligro del secreto de los datos de creación de firma del suscriptor(poseedor del certificado digital) o del prestador de servicios criptográficos de certificación,o la utilización indebida de dichos datos por un tercero.

- d)Resolución judicial o administrativa que lo disponga.

- e)Fallecimiento del suscriptor, acreditada legalmente la defunción por su representante ante laautoridad de registro correspondiente.

- f)Extinción de alguno de los atributos legales del suscriptor para hacer uso del certificadodigital, notificado por su representante, o como resultado de investigaciones, auditorías ycontroles establecidos por la legislación vigente.

- g)Fallecimiento de la persona que ejerce como representante del suscriptor o extinción delestatus establecido por el Órgano, Organismo de la Administración Central del Estado oentidad.

- h)Incapacidad sobrevenida, total o parcial, del suscriptor del certificado digital o de surepresentante.

- i)Terminación o extinción de la representación.

- j)Extinción o disolución de la persona jurídica bajo la cual el suscriptor posee y emplea elcertificado digital.

- k)Alteración de las condiciones de custodia o del uso de los datos de creación de la firmadigital, que estén reflejadas en los certificados digitales expedidos.

- l)Cese en la actividad del prestador de servicios criptográficos de certificación salvo que,previo consentimiento expreso del suscriptor, a través de su representante, la gestión de loscertificados digitales expedidos por aquel se transfiera a otro prestador de servicios de la Infraestructura.

- m)Alteración de los datos aportados para la obtención del certificado digital o modificación delas circunstancias verificadas para la expedición del mismo, como las relativas al cargo o a lasfacultades de representación, de manera que este ya no es conforme a la realidad. - - n)Incumplimiento en el pago de los servicios criptográficos de certificación contratados consus prestadores.

- - o)Cualquier otra causa lícita prevista en la declaración de prácticas de certificación.

ARTÍCULO 33.-La autoridad de certificación suspende la vigencia de los certificados digitalesexpedidos a sus suscriptores, si concurre alguna de las siguientes causas:

- a)Solicitud del suscriptor, a través de su representante y con la conformidad escrita del jefe del Órgano, Organismo de la Administración Central del Estado o entidad. Se incluye también asolicitud expresa de dicho jefe.

- b)Resolución judicial o administrativa que lo disponga.

- c)La existencia de dudas fundadas acerca de la concurrencia de las causas de extinción de lavigencia de los certificados digitales.

- d)Cualquier otra causa lícita prevista en la declaración de prácticas de certificación.

ARTÍCULO 34.-La suspensión de la vigencia de un certificado digital, surte efecto a partir desu inclusión en el repositorio del prestador de servicios de certificación para la consulta públicapor terceros.

ARTÍCULO 35.-La extinción y suspensión de la vigencia de un certificado digital no tieneefectos retroactivos.

ARTÍCULO 36.-El tiempo máximo de vigencia del certificado digital y las llaves criptográficasasociadas para su funcionamiento es el siguiente:

- a)Certificado Digital de la Autoridad Raíz: Quince (15) años.

- b)Certificado Digital de Prestadores de Servicios Criptográficos de Certificación: Diez(10) años.

- c)Certificados Digitales de suscriptores: Dos (2) años.

ARTÍCULO 37.-Para solicitar la renovación del certificado digital es necesaria en todos loscasos, la presencia física del representante del suscriptor en las oficinas de la autoridad de registrocorrespondiente. Una vez aprobada la renovación, la autoridad de certificación determinada,realiza la emisión de un nuevo certificado digital.

CAPÍTULO III

DE LOS PRESTADORES DE SERVICIOS CRIPTOGRÁFICOS DE CERTIFICACIÓNDE LA INFRAESTRUCTURA DE LLAVE PÚBLICA

SECCIÓN PRIMERA

De la organización de la Infraestructura de Llave Pública

ARTÍCULO 38.-La Infraestructura de Llave Pública se organiza jerárquicamente mediante unconjunto de entidades prestadoras de servicios criptográficos de certificación de la siguiente forma:

- a)El Servicio Central Cifrado del Ministerio del Interior que funge como Autoridad Raíz.

- b)Prestadores corporativos, que realizan las actividades de esta índole para el empleo de loscertificados digitales por los suscriptores en el marco interno de un Órgano, Organismo de la Administración Central del Estado o entidad.

- c)Prestadores comerciales, básicamente empresas o entidades especializadas que en el marcode su objeto social, están en capacidad de realizar a favor de terceros las actividades de estaíndole, mediante la venta de certificados digitales y cobros por dichos servicios a suscriptores.

SECCIÓN SEGUNDA

De la Autoridad Raíz

ARTÍCULO 39.-El Servicio Central Cifrado tiene las siguientes funciones:

- a)Generar y firmar digitalmente su propio certificado digital, así como producir las llavescriptográficas propias (pública y privada) para el ejercicio de sus funciones, en un acto especialde testificación y documentación.

- b)Producir y suministrar los criptomateriales específicos que requieran para la prestación de losservicios las autoridades de certificación aprobadas.

- c)Firmar digitalmente, los certificados digitales de los prestadores de servicios criptográficosde certificación aprobados para operar en la Infraestructura, así como de los funcionarios quelaboran en la propia Autoridad Raíz.

- d)Asesorar técnica y organizativamente a los prestadores de servicios criptográficos decertificación incorporados a la Infraestructura.

- e)Informar a los prestadores de servicios criptográficos de certificación y suscriptores segúncorresponda, los parámetros técnicos, de seguridad y plazos de vigencia para el empleo de loscriptomateriales y sus dispositivos portadores en los procesos de creación y verificación dela firma digital, así como los criterios complementarios necesarios para la elaboración de la Declaración de Prácticas de Certificación de dichos prestadores de servicios en el país.

- f)Participar según corresponda en las auditorías, inspecciones y controles estatales sobre latécnica criptográfica y demás funciones relativas a la Criptografía que se les practiquen alos prestadores de servicios criptográficos de certificación y suscriptores componentes de la Infraestructura.

- g)Realizar inspecciones técnicas con aviso previo, o sorpresivas a los prestadores de servicioscriptográficos de certificación directamente subordinados y emitir el dictamen correspondiente.

- h)Participar en el análisis y aportar los elementos correspondientes sobre el cierre de la operaciónde prestadores de servicios criptográficos de certificación directamente subordinados.

- i)Organizar y realizar según corresponda la preparación especializada de los funcionarios delos prestadores de servicios criptográficos de certificación, así como el proceso de evaluacióny acreditación de los niveles de profesionalidad alcanzados por cada uno, como condiciónnecesaria de idoneidad para ejercer la actividad.

- j)Participar en las investigaciones de incidentes que atenten contra la seguridad y fiabilidad dela Infraestructura.

- k)Fungir como Autoridad de enlace técnico con autoridades raíces de otros países y deorganizaciones internacionales, para asegurar la interoperabilidad de los certificados digitalescubanos y de la Infraestructura con sistemas similares del resto del mundo en las transaccioneselectrónicas de Cuba con el extranjero que estén aprobadas por los órganos y organismos de la Administración Central del Estado competentes.

ARTÍCULO 40.-El personal del Servicio Central Cifrado que ejerce la Autoridad Raíz, esacreditado como auditor criptográfico internacional por la entidad del país competente.

SECCIÓN TERCERA

De los Prestadores de Servicios Criptográficos de Certificación, Autoridades de Registro yde Certificación

ARTÍCULO 41.-Los prestadores de servicios criptográficos de certificación para el ejercicio desus funciones, están obligados a cumplir los requisitos organizativos, tecnológicos y de seguridadsiguientes:

- a)Tener definidos e implementados con evidencias, los roles compartidos de los administradorestécnicos, los funcionarios de certificación especializados y los custodios del materialcriptográfico aprobado, así como las medidas de seguridad que se establecen en el presente Reglamento.

- b)Tener habilitado el Código de Ética de los funcionarios de la entidad prestadora de servicioscriptográficos de certificación, los que están en el deber de guardar el secreto profesionalrespecto a los datos confidenciales de carácter personal de los suscriptores y de las tecnologíasde procesamiento y gestión de los certificados digitales.

- c)Disponer de una página web oficial y publicar su certificado digital en el repositorioespecificado, que incluye la huella digital del mismo para su comprobación por terceros; su Declaración de Prácticas de Certificación actualizada, aprobada y protegida su propiedadintelectual; los mecanismos de acceso publicitario del servicio, los precios de comercializacióncuando corresponda, así como los datos suficientes del suscriptor para que pueda realizar elejercicio de los procesos de firma digital de documentos y su verificación por terceros.

- d)Realizar cada dos (2) años la revisión de la Declaración de Prácticas de Certificación ysometerla a la aprobación de la Dirección de Criptografía.

- e)Mantener accesible el servicio de consulta sobre la vigencia de los certificados digitales yhacer constar, de manera clara e inmediata, la extinción o suspensión de la vigencia de losmismos en el plazo previsto en el presente Reglamento. Este servicio debe tener la dobleopción para consultar en línea de forma activa, mediante el uso del protocolo OCSP y ladescarga de la lista de revocación por métodos clásicos, así como de correo electrónicoprotegido y otras variables que faciliten dicha consulta.

- f)Informar al suscriptor o a su representante de manera previa o simultánea a la extinción osuspensión de la vigencia de su certificado digital sobre este hecho, especificar los motivos,así como la fecha y hora en que el certificado digital queda sin efecto. En los casos desuspensión, informa además, su duración máxima. Se extingue la vigencia del certificadodigital si, al final de dicho plazo, no se levanta la suspensión.

- g)Conservar toda la información relevante sobre las operaciones hechas con los certificadosdigitales, listas de revocación y estampados de tiempo por un período no menor a los quince (15) años;mantener la actualización del registro de eventos, en correspondencia con los requerimientosinformativos y de señalización que al efecto establece la Dirección de Criptografía.

- h)Tener en funcionamiento permanente todas las medidas de seguridad física y lógicas, así comolas trazas auditables de los eventos para el aseguramiento del dispositivo de confidencialidadde su llave criptográfica privada, y otros datos y medios requeridos por los suscriptores.

- i)Disponer de sistemas técnicos y/u organizativos de control, bloqueo, aviso y seguimientode acceso y proximidad a los medios de trabajo especializados, y la aplicación racional demétodos de defensa criptológica frente a intercepciones de sus comunicaciones e intromisionesinformáticas o eléctricas en los equipos de prestación del servicio.

- j)Tener implementadas medidas para evitar y/o extinguir incendios, inundaciones, excesos dehumedad y otros desastres tecnológicos, así como para la salva y restauración segura de lainformación de interés.

- k)Obtener, en los casos de prestadores comerciales de estos servicios, respaldo financieromediante pólizas de seguro del tipo que corresponda, relacionados con los daños que unincidente de esta categoría cause a la actividad de los mismos.

Tener organizado el sistema de análisis y esclarecimiento de hechos contrarios al buenempleo de los certificados digitales bajo su jurisdicción, así como para la tramitación de lasinformaciones requeridas por los órganos administrativos, de control, fiscales y judiciales,según corresponda.

- l)Asumir toda la responsabilidad frente a los suscriptores y terceros de buena fe, en cuanto ala calidad del servicio que presta, con independencia de que parte de los procesos técnicosque lo aseguran se acuerden o contraten a una entidad externa al servicio criptográfico decertificación.

- m)Actualizar la información y estado de los parámetros de fiabilidad de todos los activos técnicosde la autoridad y demás prestadores de servicios criptográficos de certificación subordinados,así como realizar una clasificación de los mismos de acuerdo con sus necesidades de protección,en correspondencia con la evaluación de riesgos.

- - - n)Garantizar la seguridad de la parte de la Infraestructura bajo su jurisdicción de formapermanente para identificar posibles debilidades y establecer las acciones correctoraspertinentes, así como tener habilitados los medios para la revisión de todos los materialesdesechables donde se almacena información para la eliminación segura de residuosinformativos comprometedores de la seguridad de los suscriptores, la Infraestructura y losservicios de certificación.

- - o)Disponer del equipamiento aprobado por la Dirección de Criptografía para la generación ygestión de los certificados digitales y los criptomateriales asociados, incluidos los medios deredundancia de los componentes técnicos más críticos, propios o contratados a una terceraentidad confiable y también aprobada; del plan de medidas para mantener los servicios decopia de respaldo y el Módulo Criptográfico de Alta Seguridad (MCAS) para la custodia yconservación de la llave privada de la autoridad o prestador de servicios criptográficos decertificación según corresponda.

- - p)Realizar la activación de la llave privada bajo el principio de control con varias personas, quegarantice que ningún funcionario en particular, tenga el dominio exclusivo de las actuacionescríticas.

- - q)Atender y dar respuestas a las peticiones, quejas y reclamos hechos por los suscriptores yterceros de buena fe, de conformidad con lo que se establezca en la Declaración de Prácticasde Certificación.

- - r)Tener actualizados y validados los resultados de auditorías, inspecciones y otrosprocedimientos de control interno, que demuestren la existencia de un ambiente confiableen el entorno de funcionamiento del prestador de servicios criptográfico de certificación, encorrespondencia con lo establecido en la legislación vigente, teniendo en orden y acreditadopor los órganos competentes, los mecanismos de solvencia económica para asegurar laprestación del servicio en general.

- - s)Realizar obligatoriamente, una vez al año, una auditoría a todos los procesos de gestión decertificados digitales, en al menos una muestra del dos por ciento (2 %) de los certificadosdigitales gestionados, de acuerdo a la práctica internacional.

ARTÍCULO 42.-Los funcionarios que laboran en las entidades prestadoras de servicioscriptográficos de certificación, son previamente aprobados, de acuerdo con los procedimientosestatales vigentes, por los jefes del Órgano, Organismo de la Administración Central del Estado oentidad de su jurisdicción, teniendo que haber recibido la preparación especializada y aprobar laevaluación que le realiza la Autoridad Raíz, la cual los acredita con el instrumento de titulación yel certificado digital correspondientes.

ARTÍCULO 43.-La solicitud para la creación de un prestador de servicios criptográficos decertificación, se acompaña de la fundamentación sobre la necesidad y el alcance del mismo en elterritorio nacional y/o internacional que avala el jefe de Órgano, Organismo de la Administración Central del Estado o entidad solicitante, así como del estudio de factibilidad para su puesta enexplotación y sostenibilidad en base a la evaluación de la existencia de condiciones tangibles paracumplir por el prestador de servicio propuesto con las obligaciones y facultades que establece elpresente Reglamento.

ARTÍCULO 44.-La Dirección de Criptografía realiza las investigaciones y consultas previasnecesarias con el Órgano, Organismo de la Administración Central del Estado o entidad interesada,y terceros pertinentes; elabora el dictamen correspondiente a presentar al Ministro del Interiorpara la aprobación o no del servicio solicitado, así como notifica con posterioridad al solicitantelos resultados del proceso.

ARTÍCULO 45.-Las autoridades de certificación están facultadas para:

- a)Firmar digitalmente el certificado digital de la persona jurídica de los prestadores de servicioscriptográficos de certificación subordinados; la lista de revocación de los certificados digitalesde los prestadores de servicios criptográficos de certificación subordinados suspendidostemporal o definitivamente para operar en la Infraestructura, así como el de suscriptoresasociados directamente a la autoridad.

- b)Realizar la preparación previa de los funcionarios aprobados de los prestadores de servicioscriptográficos de certificación que se le subordinen para su evaluación y acreditación por la Autoridad Raíz, acción última que los autoriza a operar en la Infraestructura.

- c)Realizar inspecciones a los prestadores de servicios criptográficos de certificación bajo sujurisdicción para comprobar el mantenimiento de las condiciones de seguridad y confiabilidaddel servicio.

- d)Realizar y/o participar, en el ámbito de su competencia, en las investigaciones criptológicas,cuando existan sospechas o se hayan cometido actos de vulneración de seguridad de la Infraestructura bajo su jurisdicción; en la comisión de delitos y otras acciones dañinasrelacionadas con el mal empleo de los certificados digitales y los servicios asociados, actividadque se coordina previamente con la Autoridad Raíz.

- e)Asesorar y avalar los proyectos de Declaración de Prácticas de Certificación, así como losdestinados para la instalación de las tecnologías de los prestadores de servicios criptográficosde certificación subordinados para ejercer sus actividades.

- f)Organizar comités de evaluación de seguridad, encargados de analizar los proyectosde Declaración de Prácticas de Certificación, antes de ser aprobada y publicada, siendoresponsables de asegurar su integridad y disponibilidad para el acceso al público en la páginaweb de la Autoridad de Certificación.

- g)Firmar los contratos de servicios de certificación con los suscriptores asociados, a través desus representantes.

- h)Suministrar dispositivos criptográficos de alta seguridad para la creación de la firma digital yel resguardo de llaves criptográficas, previa validación por la Dirección de Criptografía.

- i)No expedir un certificado digital, cuando se ponga en riesgo la credibilidad, valor comercialy/o idoneidad moral o legal de parte o de toda la Infraestructura e informar en el marco de lassetenta y dos (72) horas después del acto, a su autoridad jerárquica superior.

- j)Solicitar documentos adicionales a los exigidos en el formulario de solicitud de un certificadodigital, en original o copia, como parte del proceso de registro, con el objetivo de verificarfehacientemente la identidad del solicitante; también puede eximir la presentación de cualquierotro documento secundario, cuando la identidad del solicitante haya sido suficientementeverificada, a través de los medios disponibles por la autoridad.

ARTÍCULO 46.-Los roles fundamentales a cumplimentar por los funcionarios de una autoridadde certificación son los siguientes:

- a)Jefe de Autoridad, que puede ser el mismo para la autoridad de registro, si están integrados enun solo órgano.

- b)Custodios de la Llave Privada de la Autoridad (2 funcionarios). Si la autoridad está integradacon la de registro, se emplea una sola llave para la autoridad.

- c)Receptor de datos de permisos de emisión. Puede ser el mismo de expedición de permiso, deestar integradas las autoridades.

- d)Generación de los certificados digitales.

- e)Publicación de los certificados digitales.

- f)Inspección y Auditoría.

ARTÍCULO 47.-El examen evaluativo para la acreditación de los funcionarios que ejercen losdiversos roles en las autoridades de certificación, contiene como mínimo los siguientes elementosde comprobación de conocimientos sobre:

- a)La Declaración de Prácticas de Certificación.

- b)Las normativas vigentes en materia de Seguridad de la Información Oficial, Criptografía, lasrelacionadas con la Infraestructura y empleo de los certificados digitales.

- c)Las Políticas de Seguridad y la aceptación del Código de Ética, así como lo que se establecepara la confidencialidad de la información que maneja en virtud de su rol.

- d)La operación de los medios computacionales y/o electrónicos, así como de las aplicacionesinformáticas para cada puesto de trabajo específico.

- e)Los procedimientos de seguridad criptográfica en general y en particular para cada rolespecífico en la autoridad.

- f)Los procedimientos de operación y administración de cada rol específico para la segregaciónde funciones de certificación y los relacionados con el enfrentamiento a las contingencias.

ARTÍCULO 48.-No constituye información clasificada a los efectos de las operaciones de lasautoridades de certificación, y por lo tanto es accesible a terceros, la contenida en la Declaraciónde Prácticas y en la Política de Certificación, así como el estado de los certificados digitales conlos datos que establece el presente Reglamento para su publicación.

ARTÍCULO 49.-La información y documentación relativa a la gestión de los certificadosdigitales, se conserva durante un período mínimo de quince (15) años en archivos protegidos contécnicas de cifrado y autenticación, que aseguren el acceso solo a funcionarios autorizados parallevar a cabo verificaciones de integridad u otras, mediante el empleo de aplicaciones específicasy aprobadas de visualización y gestión de eventos.

ARTÍCULO 50.-La depuración de los archivos de conservación de la información relativa a loscertificados digitales, se realiza, con la aprobación de la Autoridad Raíz y previa coordinación conlos órganos, organismos de la Administración Central del Estado y entidades usuarias involucradascon los datos, en un acto donde participan los funcionarios designados de la autoridad.

ARTÍCULO 51.-Si los recursos técnicos, medios criptográficos y/o los datos de una autoridadde certificación u otro prestador de servicios criptográficos de certificación en la Infraestructura sealteran o se sospecha que han sido alterados, se detiene su funcionamiento hasta que se restablezcala seguridad del entorno, mediante instrucciones expresas de la Autoridad Raíz. La restitución delservicio se decreta por dicha autoridad, posterior al conocimiento de los resultados de la auditoríaobligatoria a efectuar para identificar las causas de la alteración y asegurar su eliminación.

ARTÍCULO 52.-Las actividades críticas del proceso de certificación, requieren del control,seguimiento y registro sistemático de eventos que se producen durante su operación, las que secatalogan como mínimo en:

- a)Informativa: Significa que una acción se realizó de forma exitosa.

- b)Marca: Inicio y finalización de una sesión.

- c)Advertencia: Presencia de un hecho anormal pero no de una falla.

- d)Error: Una operación genera una falla predecible.

- e)Error fatal: Una operación genera una falla impredecible.

ARTÍCULO 53.-Los órganos, organismos de la Administración Central del Estado y entidadesrectoras de procesos y sistemas de trabajo estatales, o ejecutores de servicios básicos para laeconomía y la sociedad que requieran del empleo de los certificados digitales pueden establecerautoridades de registro, que posibiliten un efectivo aseguramiento de la fiabilidad y viabilidad enla identificación y datos profesionales de los candidatos a suscriptores.

ARTÍCULO 54.-La autoridad de registro de un Órgano, Organismo de la Administración Central del Estado o entidad puede concertar contrato o convenio de trabajo con una autoridadde certificación de carácter comercial aprobada por el Ministerio del Interior, con el objetivo deencargarle la emisión de certificados digitales de suscriptores de su interés.

ARTÍCULO 55.-Los roles fundamentales que cumplen los funcionarios de una autoridad deregistro son los siguientes:

- a)Jefe de Autoridad.

- b)Atención al público.

- c)Verificación de datos identificativos de solicitantes de certificados digitales, incluidos datostécnicos para CD-SSL.

- d)Custodio de la Llave Privada de la Autoridad (2 funcionarios).

- e)Expedición de permiso de emisión.

CAPÍTULO IV

DE LOS SUSCRIPTORES DE CERTIFICADOS DIGITALES DE LLAVE PÚBLICA

ARTÍCULO 56.-Los suscriptores poseedores de certificados digitales tienen las obligacionessiguientes:

- a)Suministrar a la autoridad de registro o a la autoridad de certificación según corresponda,la información exacta, completa y veraz en relación a los datos que esta solicite para larealización del proceso de registro.

- b)Conocer y aceptar, las condiciones de empleo del certificado digital, los criptomateriales y loque establece el presente Reglamento, así como la Declaración de Prácticas de Certificaciónde la autoridad de certificación en la cual está inscripto.

- c)Cumplir las medidas de seguridad que establece la Declaración de Prácticas y en las Políticasde Certificación, que publica la autoridad de certificación a la cual está suscripto.

- d)Resguardar en lugar seguro, los dispositivos y llave privada para las operaciones criptográficasautorizadas a realizar con el certificado digital.

- e)No transferir a otra persona, los dispositivos para las operaciones criptográficas aprobadas arealizar, la llave privada y la clave personal de acceso al dispositivo de creación de firma (PIN).

- f)Asumir la responsabilidad y riesgos derivados de la fiabilidad y seguridad del puesto detrabajo, equipo y/o dispositivo informático o medio desde el cual emplee su certificado digital.

- g)Responsabilizarse con los riesgos derivados de la aceptación de una conexión deinfocomunicaciones segura sin haber realizado previamente la perceptiva verificación dela validez del certificado digital exhibido por el prestador de servicios telemáticos. Losprocedimientos para contrastar la seguridad de conexión de infocomunicaciones se aseguranpor dicho servicio al poseedor.

- h)Renovar el certificado digital cuando por razones excepcionales se le haya modificado elnúmero de identidad permanente.

- i)Emplear el certificado digital y sus medios criptográficos para los usos que se establecen en suemisión y para las funciones administrativas y de servicios que fundamentan su suscripcióna la Infraestructura.

- j)Notificar, en un plazo de veinticuatro (24) horas, a su dirección superior inmediata, a losfuncionarios de seguridad y protección de su Órgano, Organismo de la Administración Centraldel Estado o entidad, así como a la autoridad de certificación que emitió su certificado digital,a través de las vías contractuales establecidas con el prestador de servicios, cualquier hechoo situación anómala relativa al certificado digital y que tipifica como causa de revocación delmismo, e informar cuando considere que la seguridad de la protección criptográfica está enriesgo.

- k)Solicitar inmediatamente, a la autoridad de certificación que emite su certificado digital, larevocación o suspensión del mismo, a través de su representante legal, en caso de tenerconocimiento o sospecha del comprometimiento de la seguridad de la llave criptográficaprivada, entre otras causas por: pérdida, robo, compromiso potencial, conocimiento porterceros de la clave personal de acceso al dispositivo de resguardo de la llave criptográficaprivada y detección de inexactitudes en la información.

- l)No realizar acciones o intentos de acciones de monitoreo, manipulación o de ingeniería inversasobre la implementación técnica – hardware y software– de los servicios de certificación.

- m)Abonar los pagos que se establecen por la emisión del certificado digital y la prestación delos servicios criptográficos de certificación.

ARTÍCULO 57.-Los suscriptores poseedores de certificados digitales tienen los siguientesderechos:

- a)Recibir de la autoridad de certificación correspondiente, los datos de consulta para emplear losservicios de seguridad de la información que posibilita el uso del certificado digital.

- b)Solicitar la revocación y/o renovación de su certificado digital, a través de su representantelegal, ante la autoridad de certificación correspondiente.

- c)Realizar las acciones de firma digital y autenticación de documento y origen de comunicaciones,asistido por el certificado digital y los métodos criptográficos aprobados.

- d)Autorizar la publicación del certificado digital de su posesión en los repositorios públicos delos prestadores de servicios de la Infraestructura.

- e)Devolver el certificado digital y los medios para su empleo al prestador de servicioscriptográficos de certificación suministrador, en el término de garantía contratado con esaentidad, cuando compruebe su mal funcionamiento.

- f)Solicitar y recibir información de la autoridad de registro correspondiente sobre las causas dela suspensión o revocación de su certificado digital.

- g)Reclamar al prestador de servicio criptográfico de certificación que corresponda, el resarcimientopor los daños que ocasione a su actividad el mal funcionamiento de su certificado digital.

CAPÍTULO V

DE LAS FUNCIONES DE LA COMISIÓN CONSULTIVA PARA LA GOBERNANZATECNOLÓGICA DE LA INFRAESTRUCTURA DE LLAVE PÚBLICA

ARTÍCULO 58.-La Comisión Consultiva la integran especialistas designados de los ministeriosde Comunicaciones, Fuerzas Armadas Revolucionarias, del Interior, Ciencia, Tecnología y Medio Ambiente (CITMA), Finanzas y Precios, Industrias y de Justicia; de las oficinas Nacional de Estadísticas e Información y Nacional de Normalización del CITMA, así como del Instituto de Criptografía de la Universidad de La Habana.

ARTÍCULO 59.-La Dirección de Criptografía organiza y coordina el funcionamiento dela Comisión Consultiva, la cual sesiona regularmente una vez cada seis (6) meses, y de formaextraordinaria cuando las circunstancias lo requieran, previa coordinación con los organismosde la Administración Central del Estado o entidad de pertenencia de sus miembros a través delsistema de planificación del Estado.

ARTÍCULO 60.-El Presidente de la Comisión Consultiva puede invitar a especialistasdesignados de otros órganos, organismos de la Administración Central del Estado o entidades,según los asuntos a tratar, previa solicitud a los jefes correspondientes del Ministerio del Interior.

ARTÍCULO 61.-La Comisión Consultiva emite recomendaciones y dictámenes sobre lossiguientes elementos:

- a)Planes y rendición de informes estratégicos a los niveles superiores de dirección del Gobiernosobre el funcionamiento y la evolución técnico-organizativa de la Infraestructura.

- b)Proyectos de normativas técnicas y organizativas para la prestación de los servicios criptográficosde seguridad de la información y las comunicaciones ofrecidos por la Infraestructura.

- c)Creación de plataformas tecnológicas y dispositivos de operaciones criptográficas parael funcionamiento de los prestadores de servicios criptográficos de certificación de la Infraestructura.

- d)Proyectos de Declaración de Prácticas de Certificación de los prestadores de servicioscriptográficos de certificación de la Infraestructura.

e) Consideraciones técnicas de acuerdo con la práctica internacional y costos de la producción yservicios de Criptografía, para el establecimiento de los precios de comercialización de certi-ficados digitales y de los tributos a los prestadores de servicios criptográficos de certificacióny suscriptores, en correspondencia con la legislación vigente al efecto y las disposiciones del Ministerio de Finanzas y Precios.