Declaración de Prácticas de Certificación - Autoridad Marítima de ...

Infraestructura PKI de laAutoridad Marítima de PanamáÍ n d i c e1. Introducción ........................................................................................... 111.1. Resumen................................................................................................................. 111.2. Nombre del documento e identificación.................................................................. 121.3. Entidades y personas intervinientes....................................................................... 121.3.1 Autoridad de Aprobación de Políticas............................................................................. 121.3.2 Autoridad de Certificación............................................................................................... 121.3.3 Autoridad de Registro ..................................................................................................... 131.3.4 Solicitante ....................................................................................................................... 131.3.5 Terceros aceptantes ....................................................................................................... 131.3.6 Otros afectados .............................................................................................................. 131.4. Uso de los certificados............................................................................................ 141.4.1 Usos apropiados de los certificados ............................................................................... 141.4.2 Limitaciones y restricciones en el uso de los certificados............................................... 141.5. Administración de las políticas ............................................................................... 141.5.1 La Autoridad Marítima de Panamá como solicitante de PKIAMP ................................... 141.5.2 Persona de contacto....................................................................................................... 151.5.3 Determinación de la adecuación de la DPC de una CA externa a la Política deCertificación de PKIAMP................................................................................................. 151.5.4 Procedimientos de aprobación de esta DPC .................................................................. 151.6. Definiciones y acrónimos........................................................................................ 151.6.1 Definiciones .................................................................................................................... 151.6.2 Acrónimos....................................................................................................................... 162. Repositorios y publicación de información......................................... 182.1. Repositorios ............................................................................................................ 182.2. Publicación de información de certificación............................................................ 182.3. Temporalidad o frecuencia de publicación ............................................................. 192.4. Controles de acceso a los repositorios................................................................... 193. Identificación y autenticación de los solicitantes de Certificados.... 203.1. Nombres ................................................................................................................. 203.1.1 Tipos de nombres ........................................................................................................... 203.1.2 Necesidad de que los nombres sean significativos ........................................................ 203.1.3 Reglas para interpretar varios formatos de nombres...................................................... 203.1.4 Unicidad de los nombres ................................................................................................ 203.1.5 Procedimientos de resolución de conflictos sobre nombres ........................................... 203.1.6 Reconocimiento, autenticación y papel de las marcas registradas................................. 20Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 2

Infraestructura PKI de laAutoridad Marítima de Panamá3.2. Validación de la identidad inicial............................................................................. 213.2.1 Medio de prueba de posesión de la clave privada.......................................................... 213.2.2 Autenticación de la identidad de una persona jurídica.................................................... 213.2.3 Autenticación de la identidad de una persona física....................................................... 213.2.4 Información no verificada sobre el solicitante ................................................................. 213.2.5 Comprobación de las facultades de representación ....................................................... 213.2.6 Criterios para operar con CA externas ........................................................................... 213.3. Identificación y autenticación en las peticiones de renovación de claves.............. 223.3.1 Identificación y autenticación por una renovación de claves de rutina ........................... 223.3.2 Identificación y autenticación por una renovación de claves tras una revocación .......... 224. Requisitos operacionales para el ciclo de vida de loscertificados............................................................................................. 234.1. Solicitud de certificados .......................................................................................... 234.1.1 Quién puede efectuar una solicitud ................................................................................ 234.1.2 Registro de las solicitudes de certificados y responsabilidades de los solicitantes ........ 234.2. Tramitación de las solicitudes de certificados ........................................................ 234.2.1 Realización de las funciones de identificación y autenticación....................................... 234.2.2 Aprobación o denegación de las solicitudes de certificados........................................... 244.2.3 Plazo para la tramitación de las solicitudes de certificados ............................................ 244.3. Emisión de certificados........................................................................................... 244.3.1 Actuaciones de la CA durante la emisión del certificado ................................................ 244.3.2 Notificación al solicitante de la emisión por la CA del certificado.................................... 244.4. Aceptación del certificado....................................................................................... 244.4.1 Forma en la que se acepta el certificado ........................................................................ 244.4.2 Publicación del certificado por la CA .............................................................................. 254.4.3 Notificación de la emisión del certificado por la CA a otras Autoridades ........................ 254.5. Par de claves y uso del certificado ......................................................................... 254.5.1 Uso de la clave privada y del certificado por el solicitante.............................................. 254.5.2 Uso de la clave pública y del certificado por los terceros aceptantes............................. 254.6. Renovación de certificados sin cambio de claves .................................................. 254.6.1 Circunstancias para la renovación de certificados sin cambio de claves........................ 254.7. Renovación de certificados con cambio de claves................................................. 264.7.1 Circunstancias para una renovación con cambio claves de un certificado ..................... 264.7.2 Quién puede pedir la renovación de los certificados ...................................................... 264.7.3 Tramitación de las peticiones de renovación de certificados con cambio de claves....... 264.7.4 Notificación de la emisión de un nuevo certificado al solicitante..................................... 274.7.5 Forma de aceptación del certificado con las claves cambiadas ..................................... 274.7.6 Publicación del certificado con las nuevas claves por la CA........................................... 274.7.7 Notificación de la emisión del certificado por la CA a otras Autoridades ........................ 27Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 3

Infraestructura PKI de laAutoridad Marítima de Panamá4.8. Modificación de certificados.................................................................................... 274.8.1 Circunstancias para la modificación de un certificado .................................................... 274.9. Revocación y suspensión de certificados............................................................... 284.9.1 Circunstancias para la revocación .................................................................................. 284.9.2 Quien puede solicitar la revocación ................................................................................ 294.9.3 Procedimiento de solicitud de revocación....................................................................... 294.9.4 Periodo de gracia de la solicitud de revocación.............................................................. 304.9.5 Plazo en el que la CA debe resolver la solicitud de revocación...................................... 304.9.6 Requisitos de verificación de las revocaciones por los terceros aceptantes .................. 304.9.7 Frecuencia de emisión de CRLs..................................................................................... 304.9.8 Tiempo máximo entre la generación y la publicación de las CRL................................... 304.9.9 Disponibilidad de un sistema en línea de verificación del estado de los certificados...... 304.9.10 Otras formas de divulgación de información de revocación disponibles......................... 304.9.11 Requisitos especiales de renovación de claves comprometidas .................................... 314.9.12 Causas para la suspensión............................................................................................. 314.9.13 Quién puede solicitar la suspensión ............................................................................... 314.9.14 Procedimiento para la solicitud de suspensión............................................................... 314.9.15 Límites del periodo de suspensión ................................................................................. 314.10. Servicios de información del estado de certificados............................................... 314.10.1 Características operativas .............................................................................................. 314.10.2 Disponibilidad del servicio............................................................................................... 324.11. Extinción de la validez de un certificado................................................................. 324.12. Custodia y recuperación de claves......................................................................... 325. Controles de seguridad física, instalaciones, gestión yoperacionales......................................................................................... 335.1. Controles físicos ..................................................................................................... 335.1.1 Ubicación física y construcción....................................................................................... 335.1.2 Acceso físico................................................................................................................... 335.1.3 Alimentación eléctrica y aire acondicionado ................................................................... 345.1.4 Exposición al agua.......................................................................................................... 345.1.5 Protección y prevención de incendios ............................................................................ 345.1.6 Sistema de almacenamiento........................................................................................... 345.1.7 Eliminación de residuos.................................................................................................. 345.1.8 Copias de seguridad fuera de las instalaciones.............................................................. 345.2. Controles de procedimiento.................................................................................... 345.2.1 Roles responsables del control y gestión de la PKI ........................................................ 355.2.2 Número de personas requeridas por tarea ..................................................................... 365.2.3 Identificación y autenticación para cada usuario ............................................................ 365.2.4 Roles que requieren segregación de funciones.............................................................. 37Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 4

Infraestructura PKI de laAutoridad Marítima de Panamá5.3. Controles de personal............................................................................................. 375.3.1 Requisitos relativos a la cualificación, conocimiento y experiencia profesionales .......... 375.3.2 Procedimientos de comprobación de antecedentes ....................................................... 375.3.3 Requerimientos de formación......................................................................................... 375.3.4 Requerimientos y frecuencia de actualización de la formación ...................................... 385.3.5 Frecuencia y secuencia de rotación de tareas................................................................ 385.3.6 Sanciones por actuaciones no autorizadas .................................................................... 385.3.7 Requisitos de contratación de terceros........................................................................... 385.3.8 Documentación proporcionada al personal .................................................................... 385.4. Procedimientos de auditoría de seguridad ............................................................. 385.4.1 Tipos de eventos registrados.......................................................................................... 385.4.2 Frecuencia de procesado de registros de auditoría........................................................ 385.4.3 Periodo de conservación de los registros de auditoría ................................................... 385.4.4 Protección de los registros de auditoría.......................................................................... 385.4.5 Procedimientos de respaldo de los registros de auditoría .............................................. 395.4.6 Sistema de recogida de información de auditoría (interno vs externo) ........................... 395.4.7 Notificación al sujeto causa del evento........................................................................... 395.4.8 Análisis de vulnerabilidades............................................................................................ 395.5. Archivo de registros ................................................................................................ 395.5.1 Tipo de eventos archivados............................................................................................ 395.5.2 Periodo de conservación de registros............................................................................. 395.5.3 Protección del archivo .................................................................................................... 405.5.4 Procedimientos de copia de respaldo del archivo........................................................... 405.5.5 Requerimientos para el sellado de tiempo de los registros............................................. 405.5.6 Sistema de archivo de información de auditoría (interno vs externo) ............................. 405.5.7 Procedimientos para obtener y verificar información archivada...................................... 405.6. Cambio de claves de la CA .................................................................................... 405.7. Recuperación en caso de compromiso de una clave o catástrofe......................... 405.7.1 Procedimientos de gestión de incidentes y compromisos .............................................. 405.7.2 Alteración de los recursos hardware, software y/o datos................................................ 415.7.3 Procedimiento de actuación ante el compromiso de la clave privada de la Autoridad.... 415.7.4 Instalación después de un desastre natural u otro tipo de catástrofe............................. 415.8. Cese de la CA o RA................................................................................................ 425.8.1 Autoridad de Certificación............................................................................................... 425.8.2 Autoridad de Registro ..................................................................................................... 425.9. Terminación unilateral............................................................................................. 426. Controles de seguridad técnica............................................................ 446.1. Generación e instalación del par de claves............................................................ 446.1.1 Generación del par de claves ......................................................................................... 44Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 5

Infraestructura PKI de laAutoridad Marítima de Panamá6.1.2 Entrega de la clave privada al titular............................................................................... 446.1.3 Entrega de la clave publica al emisor del certificado ...................................................... 446.1.4 Entrega de la clave pública de la CA a los terceros aceptantes ..................................... 446.1.5 Tamaño de las claves..................................................................................................... 446.1.6 Parámetros de generación de la clave pública y verificación de la calidad .................... 446.1.7 Usos admitidos de la clave (campo KeyUsage de X.509 v3).......................................... 456.2. Protección de la clave privada y controles de ingeniería de los móduloscriptográficos........................................................................................................... 456.2.1 Estándares para los módulos criptográficos ................................................................... 456.2.2 Control multipersona (k de n) de la clave privada........................................................... 456.2.3 Custodia de la clave privada........................................................................................... 466.2.4 Copia de seguridad de la clave privada.......................................................................... 466.2.5 Archivo de la clave privada............................................................................................. 466.2.6 Transferencia de la clave privada a o desde el módulo criptográfico ............................. 466.2.7 Almacenamiento de la clave privada en un módulo criptográfico ................................... 466.2.8 Método de activación de la clave privada ....................................................................... 466.2.9 Método de desactivación de la clave privada ................................................................. 466.2.10 Método de destrucción de la clave privada..................................................................... 466.2.11 Clasificación de los módulos criptográficos .................................................................... 476.3. Otros aspectos de la gestión del par de claves...................................................... 476.3.1 Archivo de la clave pública ............................................................................................. 476.3.2 Periodos operativos de los certificados y periodo de uso para el par de claves............. 476.4. Datos de activación................................................................................................. 476.4.1 Generación e instalación de los datos de activación ...................................................... 476.4.2 Protección de los datos de activación............................................................................. 476.4.3 Otros aspectos de los datos de activación...................................................................... 486.5. Controles de seguridad informática ........................................................................ 486.5.1 Requerimientos técnicos de seguridad específicos........................................................ 486.5.2 Evaluación de la seguridad informática .......................................................................... 486.6. Controles de seguridad del ciclo de vida................................................................ 486.6.1 Controles de desarrollo de sistemas............................................................................... 486.6.2 Controles de gestión de seguridad ................................................................................. 486.6.3 Controles de seguridad del ciclo de vida ........................................................................ 486.7. Controles de seguridad de la red............................................................................ 486.8. Sellado de tiempo ................................................................................................... 487. Perfiles de los Certificados, CRL y OCSP ........................................... 497.1. Perfil de certificado ................................................................................................. 497.1.1 Número de versión ......................................................................................................... 497.1.2 Extensiones del certificado ............................................................................................. 49Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 6

Infraestructura PKI de laAutoridad Marítima de Panamá7.1.3 Identificadores de objeto (OID) de los algoritmos........................................................... 507.1.4 Formatos de nombres..................................................................................................... 517.1.5 Restricciones de los nombres......................................................................................... 517.1.6 Identificador de objeto (OID) de la Política de Certificación............................................ 517.1.7 Uso de la extensión “PolicyConstraints” ......................................................................... 517.1.8 Sintaxis y semántica de los “PolicyQualifier” .................................................................. 517.1.9 Tratamiento semántico para la extensión crítica “Certificate Policy”............................... 517.2. Perfil de CRL........................................................................................................... 517.2.1 Número de versión ......................................................................................................... 517.2.2 CRL y extensiones.......................................................................................................... 527.3. Perfil de OCSP........................................................................................................ 537.3.1 Número(s) de versión ..................................................................................................... 537.3.2 Extensiones OCSP ......................................................................................................... 538. Auditorías de cumplimiento y otros controles.................................... 548.1. Frecuencia o circunstancias de los controles para la Autoridad ............................ 548.2. Identificación/cualificación del auditor .................................................................... 548.3. Relación entre el auditor y la Autoridad auditada................................................... 548.4. Aspectos cubiertos por los controles...................................................................... 548.5. Acciones a tomar como resultado de la detección de deficiencias ........................ 558.6. Comunicación de resultados .................................................................................. 559. Otras cuestiones legales y de actividad .............................................. 569.1. Tarifas ..................................................................................................................... 569.1.1 Tarifas de emisión de certificado o renovación............................................................... 569.1.2 Tarifas de acceso a los certificados................................................................................ 569.1.3 Tarifas de acceso a la información de estado o revocación ........................................... 569.1.4 Tarifas de otros servicios tales como información de políticas ....................................... 569.1.5 Política de reembolso ..................................................................................................... 569.2. Responsabilidades Económicas............................................................................. 569.3. Confidencialidad de la información......................................................................... 569.3.1 Ámbito de la información confidencial ............................................................................ 569.3.2 Información no confidencial ............................................................................................ 579.3.3 Deber de secreto profesional.......................................................................................... 579.4. Protección de la información personal.................................................................... 579.4.1 Política de protección de datos de carácter personal ..................................................... 579.4.2 Información tratada como privada .................................................................................. 579.4.3 Información no calificada como privada.......................................................................... 579.4.4 Responsabilidad de la protección de los datos de carácter personal ............................. 579.4.5 Comunicación y consentimiento para usar datos de carácter personal.......................... 58Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 7

Infraestructura PKI de laAutoridad Marítima de Panamá9.4.6 Revelación en el marco de un proceso judicial............................................................... 589.4.7 Otras circunstancias de publicación de información ....................................................... 589.5. Derechos de propiedad Intelectual......................................................................... 589.6. Obligaciones ........................................................................................................... 589.6.1 Obligaciones de la CA .................................................................................................... 589.6.2 Obligaciones de la RA .................................................................................................... 599.6.3 Obligaciones de los titulares de los certificados ............................................................. 609.6.4 Obligaciones de los terceros aceptantes ........................................................................ 609.6.5 Obligaciones de otros participantes................................................................................ 619.7. Limitaciones de responsabilidad............................................................................. 619.8. Responsabilidades.................................................................................................. 619.8.1 Limitaciones de responsabilidades ................................................................................. 619.8.2 Delimitación de responsabilidades ................................................................................. 619.8.3 Alcance de la cobertura .................................................................................................. 619.8.4 Cobertura de seguro u otras garantías para los terceros aceptantes............................. 629.9. Limitaciones de pérdidas ........................................................................................ 629.10. Periodo de validez .................................................................................................. 629.10.1 Plazo............................................................................................................................... 629.10.2 Sustitución y derogación de la DPC ............................................................................... 629.10.3 Efectos de la finalización ................................................................................................ 629.11. Notificaciones individuales y comunicaciones con los participantes...................... 639.12. Procedimientos de cambios en las especificaciones ............................................. 639.12.1 Procedimiento para los cambios..................................................................................... 639.12.2 Periodo y procedimiento de notificación ......................................................................... 639.12.3 Circunstancias en las que el OID debe ser cambiado .................................................... 639.13. Reclamaciones y jurisdicción.................................................................................. 639.14. Normativa aplicable ................................................................................................ 639.15. Cumplimiento de la normativa aplicable................................................................. 649.16. Estipulaciones diversas .......................................................................................... 649.16.1 Cláusula de aceptación completa ................................................................................... 649.16.2 Independencia ................................................................................................................ 649.16.3 Resolución por la vía judicial .......................................................................................... 649.17. Otras estipulaciones ............................................................................................... 6410. Protección de datos de carácter personal........................................... 65Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 8

Infraestructura PKI de laAutoridad Marítima de PanamáCONTENIDO, DERECHOS Y OBLIGACIONES ESTABLECIDOSEN ESTA DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓNEste apartado constituye una síntesis del contenido, derechos y obligacionesestablecidos en la presente Declaración de Prácticas de Certificación (DPC). Suenunciado ha de ser complementado con la Política de Certificación deCertificados Personales (PC).Es recomendable la lectura completa de esta DPC, así como de la PC, paraentender los objetivos, especificaciones, normas, derechos, obligaciones yresponsabilidades que rigen la prestación del servicio de certificación. Esta DPC y los documentos relacionados regulan todo el ciclo de vida de loscertificados electrónicos desde su solicitud hasta su extinción o revocación, asícomo las relaciones que se establecen entre el solicitante/titular del certificado, laAutoridad de Certificación y los terceros aceptantes. La Autoridad de Certificación de la PKI de la Autoridad Marítima de Panamá emiteCertificados Personales de Autenticación, para los que existe una Política deCertificación (PC) específica. En consecuencia, el solicitante del mismo ha deconocer esta DPC y su PC para poder solicitar y usar de forma correcta elcertificado. Lo estipulado en la Política de Certificación prevalecerá sobre loregulado en esta DPC debiendo, asimismo, notificarse a los titulares de loscertificados cualquier modificación habida en la PC. En esta DPC y en la PC se establece la delimitación de responsabilidades de lasdiferentes partes intervinientes, así como las limitaciones de las mismas anteposibles daños y perjuicios. Tanto la DPC como el resto de documentos relacionados están a disposición de losSolicitantes, Titulares y Terceros Aceptantes de los certificados en la webhttp://www.panamaregistry.com/pki. El titular debe hacer un uso apropiado del certificado, y será de su exclusivaresponsabilidad la utilización del certificado de forma diferente a la prevista en laDPC y en la PC El titular del certificado deberá comunicar a la Autoridad de Certificación cualquiermodificación o variación de los datos que se proporcionaron para la obtención delcertificado, tanto si éstos se recogieron o no en el propio certificado. La custodia de la clave privada por el titular del certificado es requisito fundamentalpara la seguridad del sistema. En consecuencia, resulta obligado informar demanera inmediata a la Autoridad de Certificación cuando exista alguna de lascausas de revocación/suspensión de la vigencia del certificado establecidas en laDPC. Así, se podrá suspender/revocar el certificado comprometido y evitar su usoilegítimo por un tercero no autorizado. La persona que pretenda confiar en un certificado es responsable de verificar,utilizando las fuentes de información que se ponen a su disposición, que elcertificado y el resto de certificados de la cadena de confianza son válidos y no hancaducado o han sido suspendidos o revocados.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 9

Infraestructura PKI de laAutoridad Marítima de Panamá En esta DPC y en la PC se establece la delimitación de responsabilidades de lasdiferentes partes intervinientes así como las limitaciones de las mismas anteposibles daños y perjuicios.Para más información, consulte la página web establecida al efecto cuya dirección eshttp://www.panamaregistry.com o póngase en contacto con la Autoridad deCertificación mediante la dirección de correo electrónico pki@amp.gob.pa.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 10

Infraestructura PKI de laAutoridad Marítima de Panamá1. Introducción1.1. ResumenEste documento recoge la Declaración de Prácticas de Certificación (DPC) que rige elfuncionamiento y operaciones de la Infraestructura de Clave Pública (en adelante PKI)de la Autoridad Marítima de Panamá (desde ahora PKIAMP).Esta DPC se aplica a todos los intervinientes relacionados con la jerarquía de la PKIde la Autoridad Marítima de Panamá, incluyendo la Autoridad de Certificación (CA) y laAutoridad de Registro (RA), Solicitantes y Titulares de certificados y TercerosAceptantes, entre otros.La presente DPC se ha estructurado conforme a lo dispuesto por el grupo de trabajoPKIX del IETF (Internet Engineering Task Force), en su documento de referencia RFC3647 (aprobado en Noviembre de 2003) “Internet X.509 Public Key InfrastructureCertificate Policy and Certification Practices Framework”. A fin de dotar de un carácteruniforme al documento y facilitar su lectura y análisis, se incluyen todas las seccionesestablecidas en la RFC 3647. Cuando no se haya previsto nada en alguna secciónaparecerá la frase “No estipulado”. Adicionalmente a los epígrafes establecidos en laRFC 3647, se ha incluido un capítulo adicional dedicado a la protección de datos decarácter personal para dar cumplimiento a la normativa vigente en la materia.Asimismo, para el desarrollo de su contenido, se ha tenido en cuenta a los estándareseuropeos, entre los que cabe destacar los siguientes:• ETSI TS 101 456: Policy Requirements for certification authorities issuingqualified certificates.• ETSI TS 101 733: Electronic Signatures and Infrastructures (ESI); ElectronicSignature Formats• ETSI TS 102 042: Policy Requirements for certification authorities issuing publickey certificates.Esta DPC recoge la política de servicios, así como la declaración del nivel de garantíaofrecido, mediante la descripción de las medidas técnicas y organizativas establecidaspara garantizar el nivel de seguridad de la PKI.La DPC incluye todas las actividades encaminadas a la gestión de los certificadoselectrónicos en su ciclo de vida, y sirve de guía de la relación entre PKIAMP y sususuarios. En consecuencia, todas las partes involucradas tienen la obligación deconocer la DPC y ajustar su actividad a lo dispuesto en la misma.Esta DPC asume que el lector conoce los conceptos de PKI, certificado y firmaelectrónica; en caso contrario se recomienda al lector que se forme en el conocimientode los anteriores conceptos antes de continuar con la lectura del presente documento.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 11

Infraestructura PKI de laAutoridad Marítima de PanamáA nivel jerárquico, la arquitectura general de la PKIAMP está formada por una únicaAutoridad de Certificación.1.2. Nombre del documento e identificaciónNombre del documentoDeclaración de Practicas de Certificación (DPC) de la PKI de laAutoridad Marítima de PanamáVersión del documento 1.0Estado del documentoVersión InicialFecha de emisión 17/01/2008Fecha de expiraciónUbicación de la DPCNo aplicablehttp://www.panamaregistry.com/pki1.3. Entidades y personas intervinientesLas entidades y personas intervinientes son:• La Autoridad Marítima de Panamá, como titular de PKIAMP.• La Autoridad de Aprobación de Políticas. (AAP).• La Autoridad de Certificación (CA).• La Autoridad de Registro (RA).• Los Solicitantes y Titulares de los certificados emitidos por PKIAMP.• Los Terceros Aceptantes de los certificados emitidos por PKIAMP.1.3.1 Autoridad de Aprobación de PolíticasLa Autoridad de Aprobación de Políticas (AAP) es la organización establecida dentrode la Autoridad Marítima de Panamá responsable de la aprobación de la presenteDPC y de la Política de Certificación de PKIAMP, así como de la aprobación de lasmodificaciones de dichos documentos.Asimismo, la AAP es la responsable, en caso de que se tuviese que evaluar laposibilidad de que una CA externa interactúe con PKIAMP, de determinar laadecuación de la DPC de dicha CA a la Política de Certificación.La AAP es responsable de analizar los informes de las auditorías, totales o parciales,que se hagan de PKIAMP, así como de determinar, en caso necesario, las accionescorrectoras a ejecutar.1.3.2 Autoridad de CertificaciónLa Autoridad de Certificación que compone PKIAMP es:““CA": Su función es la emisión de certificados para los usuarios de PKIAMP, asícomo certificar a la Autoridad de Registro. Sus datos más relevantes son:Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 12

Infraestructura PKI de laAutoridad Marítima de PanamáNombre DistintivoCN= AMP CA, OU=PKI, O=AMP, C=PANúmero de serie 61 42 AB BF 00 00 00 00 00 02Periodo de validezHuella Digital (SHA-1)Desde: viernes, 1 de diciembre de 2006 13:48:25Hasta: lunes, 1 de diciembre de 2036 12:34:0464 15 5C 87 98 41 13 38 89 AF 56 FD 15 D9 D3 C6 8B 92 65 1F1.3.3 Autoridad de RegistroLa Autoridad de Registro (RA) llevará a cabo la identificación de los solicitantes decertificados conforme a las normas de esta DPC y el acuerdo suscrito con la CA.La Autoridad de Registro competente para la gestión de solicitudes de certificación seencuentra definida en la Política de Certificación de Certificados Personales.La CA podrá valerse de la Autoridad de Registro (RA) para la prestación del serviciode certificación.1.3.4 SolicitanteSe denomina Solicitante a toda aquella persona física, persona jurídica o componenteinformático a cuyo nombre se emite un certificado en el ámbito de PKIAMP. Latitularidad es efectiva una vez que el certificado es emitido por la CA y aceptado por susolicitante.Los tipos de entidades que pueden ser solicitantes de PKIAMP se encuentrandefinidos y limitados en la Política de Certificación. De forma genérica, y sin perjuiciode lo establecido por dicha Política de Certificación, pueden observarse, en lasiguiente tabla, algunas clases de titulares existentes en PKIAMP:Entorno deCertificaciónCATitularesCertificados personalesComponentes informáticos1.3.5 Terceros aceptantesLos Terceros Aceptantes son las personas o entidades diferentes del titular quedeciden aceptar y confiar en un certificado emitido por PKIAMP.La Política de Certificación de Certificados Personales determina los TercerosAceptantes. No es objetivo de esta DPC su determinación.1.3.6 Otros afectadosSolicitantes: personas físicas, personas jurídicas, a través de sus representantes ycomponentes informáticos, a través de sus responsables, que han solicitado la emisiónde un certificado a PKIAMP.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 13

Infraestructura PKI de laAutoridad Marítima de PanamáAdministradores de la CA: personas que dentro de las entidades de PKIAMPgestionan las peticiones de certificados de componente teniendo privilegios deadministración de la CA.1.4. Uso de los certificados1.4.1 Usos apropiados de los certificadosLa Política de Certificación es la que determina los usos apropiados que debe darse alcertificado. No es objetivo de esta DPC la determinación de dichos usos.1.4.2 Limitaciones y restricciones en el uso de los certificadosLos certificados deben emplearse de acuerdo con las funciones y finalidades definidasen su PC, sin que puedan utilizarse para otras tareas y otros fines no contemplados enaquella.Igualmente, los certificados deben emplearse únicamente de acuerdo con lalegislación que le sea aplicable, especialmente teniendo en cuenta las restricciones deimportación y exportación en materia de criptografía existentes en cada momento.Los certificados, salvo en los casos en que así lo especifique la PC, no puedenutilizarse para actuar ni como Autoridad de Registro ni como Autoridad deCertificación, firmando certificados de clave pública de ningún tipo ni Listas deCertificados Revocados (CRL).Los servicios de certificación que ofrece PKIAMP, no han sido diseñados niautorizados para ser utilizados en actividades de alto riesgo o que requieran unaactividad a prueba de fallos, como las relativas al funcionamiento de instalacioneshospitalarias, nucleares, de control de tráfico aéreo o ferroviario, o cualquier otradonde un fallo pudiera conllevar la muerte, lesiones personales o daños graves almedioambiente.La Política de Certificación puede determinar limitaciones y restricciones adicionalesen el uso de los certificados. No es objetivo de esta DPC la determinación de dichaslimitaciones y restricciones adicionales.1.5. Administración de las políticas1.5.1 La Autoridad Marítima de Panamá como solicitante de PKIAMPEsta DPC es propiedad de la Autoridad Marítima de Panamá:NombreDirección e-mailDirecciónAutoridad Marítima de Panamápki@amp.gob.paEdificio PanCanal Plaza, Albrook PanamáTeléfono +507 5015000Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 14

Infraestructura PKI de laAutoridad Marítima de Panamá1.5.2 Persona de contactoEsta DPC está administrada por la Autoridad de Aprobación de Políticas (AAP) de laPKIAMP.NombreDirección e-mailDirecciónAutoridad de Aprobación de Políticas (AAP) de la PKI de la AutoridadMarítima de Panamápki@amp.gob.paEdificio PanCanal Plaza, Albrook PanamáTeléfono +507 50150001.5.3 Determinación de la adecuación de la DPC de una CA externa a la Políticade Certificación de PKIAMPEn el caso de que se tuviese que evaluar la posibilidad de que una CA interactúe conPKIAMP, la Autoridad de Aprobación de Políticas (AAP) de PKIAMP es la responsablede determinar la adecuación de la DPC de la CA externa a la Política de Certificación.Los procedimientos para determinar la adecuación se recogen en la PC que tengaprevista la posibilidad de operar con otras CA.1.5.4 Procedimientos de aprobación de esta DPCLa Autoridad de Aprobación de Políticas (AAP) de PKIAMP es la Autoridad encargadade la aprobación de la presente DPC, así como de la Política de Certificación (PC).La AAP también es la competente para aprobar las modificaciones de dichosdocumentos.1.6. Definiciones y acrónimos1.6.1 DefinicionesEn el ámbito de esta DPC se utilizan las siguientes denominaciones:Autenticación: procedimiento de comprobación de la identidad de un solicitante otitular de certificados de PKIAMP.Certificado electrónico: un documento firmado electrónicamente por un prestador deservicios de certificación que vincula unos datos de verificación de firma a un firmantey confirma su identidad. Esta es la definición que en este documento se extiende a loscasos en que la vinculación de los datos de verificación de firma se hace a uncomponente informático.Clave Pública y Clave Privada: la criptografía asimétrica en la que se basa la PKIemplea un par de claves en la que lo que se cifra con una de ellas sólo se puededescifrar con la otra y viceversa. A una de esas claves se la denomina pública y se laincluye en el certificado electrónico, mientras que a la otra se la denomina privada yúnicamente es conocida por el titular del certificado.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 15

Infraestructura PKI de laAutoridad Marítima de PanamáClave de Sesión: clave que establece para cifrar una comunicación entre dosentidades. La clave se establece de forma específica para cada comunicación, sesión,terminando su utilidad una vez finalizada ésta.Directorio: Repositorio de información que sigue el estándar X.500 de ITU-T.Identificación: procedimiento de reconocimiento de la identidad de un solicitante otitular de certificados de PKIAMP.Identificador de usuario: conjunto de caracteres que se utilizan para la identificaciónunívoca de un usuario en un sistema.Entidad de Certificación: Persona que emite certificados electrónicos en relación,con las firmas electrónicas de las personas, ofrece o facilita los servicios de registro yestampado cronológico de la transmisión y recepción de mensajes de datos y realizaotras funciones relativas a las firmas electrónicas.Solicitante: persona que solicita un certificado para sí mismo, para una personajurídica o para un componente informático.Tercero Aceptante: persona o entidad diferente del titular que decide aceptar yconfiar en un certificado emitido por PKIAMP.Titular: persona física o jurídica o componente informático para el que se expide uncertificado electrónico y es aceptado por éste o por su solicitante en el caso de loscertificados de componente o por el representante en el supuesto de persona jurídica.1.6.2 AcrónimosAAP: Autoridad de Aprobación de PolíticasC: Country (País). Atributo del Nombre Distintivo (DN) de un objeto dentro de laestructura de directorio X.500.CA: Autoridad de CertificaciónCN: Common Name (Nombre Común). Atributo del Nombre Distintivo (DN) de unobjeto dentro de la estructura de directorio X.500.CRL: Certificate Revocation List (Lista de Certificados Revocados)DN: Distinguished Name (Nombre Distintivo). Identificación unívoca de una entradadentro de la estructura de directorio X.500.DPC: Declaración de Prácticas de Certificación.FIPS: Federal Information Processing Standard (Estándar USA de procesado deinformación)HSM: Hardware Security Module. Módulo de seguridad criptográfico empleado paraalmacenar claves y realizar operaciones criptográficas de modo seguro.IETF: Internet Engineering Task Force (Organismo de estandarización de Internet)LDAP: Lightweight Directory Access Protocol (Protocolo de acceso a servicios dedirectorio)O: Organization. Atributo del Nombre Distintivo (DN) de un objeto dentro de laestructura de directorio X.500.OCSP: Online Certificate Status Protocol. Este protocolo permite comprobar en línea lavigencia de un certificado electrónico.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 16

Infraestructura PKI de laAutoridad Marítima de PanamáOID: Object identifier (Identificador de objeto único)OU: Organizacional Unit. Atributo del Nombre Distintivo (DN) de un objeto dentro de laestructura de directorio X.500.PC: Política de CertificaciónPKCS: Public Key Infrastructure Standards. Estándares de PKI desarrollados por RSALaboratories y aceptados internacionalmente.PKI: Public Key Infrastructure (Infraestructura de Clave Pública)PKIX: Grupo de trabajo dentro del IETF (Internet Engineering Task Group) constituidocon el objeto de desarrollar las especificación relacionadas con las PKI e Internet.PKIAMP: PKI de la Autoridad Marítima de Panamá.RA: Autoridad de RegistroRFC: Request For Comments (Estándar emitido por la IETF)Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 17

Infraestructura PKI de laAutoridad Marítima de Panamá2. Repositorios y publicación de información2.1. RepositoriosEl repositorio de PKIAMP está compuesto por un servicio web de acceso libre, que esel siguiente:Repositorio para las CRLs de los certificados de CA: WEB: http://pki.amp.gob.pa/crls/caroot.crlPara los certificados de la CA:WEB: http://pki.amp.gob.pa/certs/caroot.crtPara las DPC y la PC (hasta la fecha de publicación de esta PC):WEB: http://www.panamaregistry.com/pkiDesde la página se accede a los siguientes documentos (X_Y indica la versión):PKIAMP-DPC-vX_Y.pdfPKIAMP-PC_CertPersonales-vX_Y.pdfEl repositorio de PKIAMP no contiene ninguna información de naturaleza confidencial.2.2. Publicación de información de certificaciónEs obligación de la CA perteneciente a la jerarquía de confianza de PKIAMP publicarla información relativa a sus prácticas, a sus certificados y al estado actual de dichoscertificados.La presente DPC es pública y se encuentra disponible en el sitio Web de PKIAMP, alque se hace referencia en el apartado 2.1 Repositorio, en formato PDF.La Política de Certificación de PKIAMP es pública y se encuentran disponibles en elsitio Web de PKIAMP, al que se hace referencia en el apartado 2.1 Repositorio, enformato PDF.Las Listas de Certificados Revocados (CRL) por PKIAMP son públicas y seencuentran disponibles, en formato CRL v2, en el repositorio y sitio Web de PKIAMP alque se hace referencia en el apartado 2.1 Repositorio.Las Listas de Certificados Revocados estarán firmadas electrónicamente por la CA.La información sobre el estado de los certificados se podrá consultar accediendodirectamente a las CRL.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 18

Infraestructura PKI de laAutoridad Marítima de Panamá2.3. Temporalidad o frecuencia de publicaciónLa DPC y la Política de Certificación se publicarán en el momento de su creación y sevolverán a publicar en el momento en que se apruebe cualquier modificación sobre lasmismas. Cuando se realicen modificaciones significativas en la DPC o PC de PKIAMP,éstas se notificarán mediante correo electrónico a los solicitantes de todos loscertificados en el caso de esta DPC y a los solicitantes de los certificados afectados enel caso de PC. Adicionalmente, las modificaciones se harán públicas en el sitio webreferido en el apartado 2.1 Repositorios.Estas notificaciones se realizarán con anterioridad a la entrada en vigor de lamodificación que la haya producido.La CA añadirá los certificados revocados a la CRL pertinente dentro del periodo detiempo estipulado en el punto 4.9.7 Frecuencia de emisión de CRLs.2.4. Controles de acceso a los repositoriosEl acceso para la lectura a las DPC y PC es abierto, pero sólo PKIAMP estáautorizada a modificar, sustituir o eliminar información de su repositorio y sitio web.Para ello PKIAMP establecerá controles que impidan a personas no autorizadasmanipular la información contenida en los repositorios.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 19

Infraestructura PKI de laAutoridad Marítima de Panamá3. Identificación y autenticación de los solicitantes deCertificados3.1. Nombres3.1.1 Tipos de nombresTodos los solicitantes de certificados requieren un nombre distintivo (DistinguishedName) conforme con el estándar X.500.El procedimiento de asignación de los nombres distintivos viene dado por la política atal efecto desarrollada y descrita en el documento de Política de Certificación deCertificados Personales. Esta política debe estar en consonancia con las directricesgenerales descritas en este capítulo de la DPC.3.1.2 Necesidad de que los nombres sean significativosEn todos los casos se recomienda que los nombres distintivos de los solicitantes delos certificados sean significativos.En cualquier supuesto el dotar a los nombres distintivos de significado viene dado porla política a tal efecto desarrollada y descrita en el documento de Política deCertificación Certificados Personales.3.1.3 Reglas para interpretar varios formatos de nombresLa regla utilizada por PKIAMP para interpretar los nombres distintivos de lossolicitantes de certificados que emite es ISO/IEC 9595 (X.500) Distinguished Name(DN).3.1.4 Unicidad de los nombresEl conjunto de nombre distintivo (distinguished name) más el contenido de la extensiónKeyUsage debe ser único y no ambiguo.La Política de Certificación establecerá los procedimientos de garantía de la unicidad.3.1.5 Procedimientos de resolución de conflictos sobre nombresCualquier conflicto concerniente a la propiedad de nombres se resolverá según loestipulado en el punto 9.13 Reclamaciones y jurisdicción de esta DPC.3.1.6 Reconocimiento, autenticación y papel de las marcas registradasNo estipulado.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 20

Infraestructura PKI de laAutoridad Marítima de Panamá3.2. Validación de la identidad inicial3.2.1 Medio de prueba de posesión de la clave privadaEn caso de que el par de claves sea generado por el solicitante del certificado, laposesión de la clave privada, correspondiente a la clave pública para la que solicitaque se genere el certificado, quedará probada mediante el envío de la solicitud decertificación, en la cual se incluirá la clave pública firmada mediante la clave privadaasociada.Este procedimiento podrá ser modificado por el que establezca en la Política deCertificación.3.2.2 Autenticación de la identidad de una persona jurídicaLa Política de Certificación de Certificados Personales recoge la posibilidad de laautenticación de la identidad de una persona jurídica por emitirse certificados para ella,por lo que en dicha política se definirán los métodos necesarios para la verificación dela mencionada identidad.3.2.3 Autenticación de la identidad de una persona físicaLa Política de Certificación definirá el procedimiento de identificación individual.No se considerará que el proceso deba ser menos estricto que otros procedimientosde identificación utilizados por las entidades de la Autoridad Marítima de Panamá.Como norma general no se emplearán métodos de identificación remotos distintos a lafirma electrónica realizada con certificados emitidos por la propia PKIAMP.En la PC se establecerá la información a proporcionar por el solicitante,determinándose entre otros aspectos los siguientes:• Tipos de documentos de identidad válidos para la identificación.• Procedimiento de identificación por la CA o RA.• Necesidad o no de identificación presencial.• Forma de acreditar la pertenencia a una determinada organización.3.2.4 Información no verificada sobre el solicitanteLa PC establecerá qué parte de la información suministrada en la solicitud de uncertificado no se verifica necesariamente.3.2.5 Comprobación de las facultades de representaciónEn los casos en que el certificado se obtenga en nombre de una persona jurídica o uncomponente informático, la PC establecerá cómo se verifican las facultades derepresentación del solicitante para actuar en nombre de la persona jurídica o delresponsable en el caso del componente informático.3.2.6 Criterios para operar con CA externasAntes de establecer relaciones de interactividad con CA externas se ha de determinarla adecuación de dichas CA al cumplimiento de ciertos requisitos. Los criteriosmínimos, que pueden ser ampliados en cada caso por la AAP, para considerar a unaCA adecuada para interaccionar con PKIAMP son:Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 21

Infraestructura PKI de laAutoridad Marítima de Panamá• La CA externa ha de proporcionar un nivel de seguridad en la gestión de loscertificados, a lo largo de su ciclo de vida, como mínimo, igual al de PKIAMP.Esta exigencia se recogerá en la DPC y PC y en su cumplimiento por la CA.• Ha de cumplir el estándar ETSI TS 101 456: Policy Requirements forcertification authorities issuing qualified certificates o equivalente.• Deberá aportar el informe de auditoría de una Autoridad externa de reconocidoprestigio relativa a sus operaciones como medio de verificación del nivel deseguridad existente.• Establecer un convenio de colaboración en el que se fijen los compromisosadquiridos en materia de seguridad para los certificados incluidos en lainteracción.Aunque una CA cumpla los requisitos anteriores la AAP podrá denegar la solicitud deinteractividad sin necesidad de aportar ninguna justificación.La interactividad puede llevarse a cabo mediante certificación cruzada, certificaciónunilateral u otras formas.3.3. Identificación y autenticación en las peticiones de renovación declaves3.3.1 Identificación y autenticación por una renovación de claves de rutinaEl proceso de identificación y autenticación, tanto de personas físicas como depersonas jurídicas, se define por la Política de Certificación.Como norma general, no se emplearán métodos de identificación/autenticaciónremotos distintos a la firma electrónica realizada con certificados emitidos por la propiaPKIAMP.3.3.2 Identificación y autenticación por una renovación de claves tras unarevocaciónEl proceso de identificación y autenticación, tanto de personas físicas como depersonas jurídicas, se define por la Política de Certificación, debiendo ser comomínimo tan estricto como el aplicado en la solicitud inicial del certificado.Como norma general no se emplearán métodos de identificación/autenticaciónremotos distintos a la firma electrónica realizada con certificados emitidos por la propiaPKIAMP.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 22

Infraestructura PKI de laAutoridad Marítima de Panamá4. Requisitos operacionales para el ciclo de vida de loscertificados4.1. Solicitud de certificados4.1.1 Quién puede efectuar una solicitudEn la Política de Certificación se concreta quién puede solicitar un certificado y lainformación que se debe suministrar en la solicitud. Asimismo, la PC establece lospasos que deben seguirse para llevar a cabo este proceso.4.1.2 Registro de las solicitudes de certificados y responsabilidades de lossolicitantesEn general, es atribución de cada Autoridad de Registro de PKIAMP determinar laadecuación del tipo de certificado a las características de las funciones del solicitante,de acuerdo con lo previsto en la Política de Certificación. La Autoridad de Registropodrá autorizar o denegar la solicitud de certificación.Las solicitudes de los certificados, una vez completadas, serán enviadas a la Autoridadde Certificación por la Autoridad de Registro de PKIAMP.Como regla general, todo solicitante que desee un certificado deberá:• Proporcionar toda la información que PKIAMP requiera para la emisión delmismo. Cabe destacar que no toda la información solicitada aparecerá en elcertificado y que ésta será conservada, de manera confidencial, por laAutoridad de Certificación.• Entregar la solicitud de certificado, que incluye la clave pública, a la RAcorrespondiente, en el caso de que el par de claves lo haya generado elsolicitante y el certificado se genere directamente a partir de la solicitud. En laPC se establecerá el procedimiento de entrega.La información a proporcionar y, en general, el procedimiento de solicitud decertificados a PKIAMP queda definido en la Política de Certificación.4.2. Tramitación de las solicitudes de certificados4.2.1 Realización de las funciones de identificación y autenticaciónEl proceso de identificación se define por la Política de Certificación. El proceso debeser tan estricto como otros procedimientos de identificación utilizados por las entidadesde la Autoridad Marítima de Panamá.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 23

Infraestructura PKI de laAutoridad Marítima de Panamá4.2.2 Aprobación o denegación de las solicitudes de certificadosLa emisión del certificado tendrá lugar una vez que PKIAMP haya llevado a cabo lasverificaciones necesarias para validar la solicitud de certificación. El procedimiento porel que se determina la naturaleza y la forma de realizar dichas comprobaciones seestablece en la Política de Certificación.La CA de PKIAMP puede negarse a emitir un certificado de cualquier solicitantebasándose exclusivamente en su propio criterio, sin que ello implique contraerresponsabilidad alguna por las consecuencias que pudieran derivarse de tal negativa.4.2.3 Plazo para la tramitación de las solicitudes de certificadosLa CA de PKIAMP no se hace responsable de las demoras que pueda surgir en elperiodo comprendido entre la solicitud del certificado, la publicación en el repositoriode PKIAMP, si procede, y la entrega del mismo. En todo caso, se establecerán plazosmínimos para la tramitación de las solicitudes de los certificados en la PC.4.3. Emisión de certificados4.3.1 Actuaciones de la CA durante la emisión del certificadoLa emisión del certificado implica la autorización definitiva de la solicitud por parte dela CA.Cuando la CA de PKIAMP emita un certificado de acuerdo con una solicitud decertificación efectuará las notificaciones que se establecen en el apartado 4.3.2. delpresente capítulo.Todos los certificados iniciarán su vigencia en el momento de su emisión, salvo que seindique en los mismos una fecha y hora posterior a su entrada en vigor, que no seráposterior a los 15 días desde su emisión. El periodo de vigencia estará sujeto a unaposible extinción anticipada, temporal o definitiva, cuando se den las causas quemotiven la suspensión o revocación del certificado.Todo lo especificado en este apartado queda supeditado a lo estipulado por la Políticade Certificación para la emisión de certificados acogidos a la misma.4.3.2 Notificación al solicitante de la emisión por la CA del certificadoLa PC establecerá la forma por la que el solicitante haya de conocer la emisión de sucertificado.4.4. Aceptación del certificado4.4.1 Forma en la que se acepta el certificadoLa aceptación del certificado es la acción mediante la cual su titular da inicio a susobligaciones respecto a la PKIAMP.Los certificados que exijan una identificación presencial llevarán aparejada laaceptación explicita del solicitante del certificado y el reconocimiento de que está deacuerdo en los términos y condiciones contenidos en el documento de Aceptación delas Condiciones de Uso de los Certificados Personales que rige los derechos yobligaciones entre PKIAMP y el solicitante y de que éste conoce la presenteDeclaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 24

Infraestructura PKI de laAutoridad Marítima de PanamáDeclaración de Prácticas de Certificación, que rige técnica y operativamente losservicios de certificación electrónica prestados por PKIAMP.En las renovaciones telemáticas, la aceptación de las condiciones se hará mediantefirma electrónica.En la PC se podrán detallar o ampliar la forma en que se acepta el certificado.4.4.2 Publicación del certificado por la CAEn la PC se establecerá la publicación del certificado en el repositorio de PKIAMP.4.4.3 Notificación de la emisión del certificado por la CA a otras AutoridadesCuando la CA de PKIAMP emita un certificado de acuerdo con una solicitud decertificación tramitada a través de una RA, enviará una copia del mismo a la RA queremitió la solicitud4.5. Par de claves y uso del certificado4.5.1 Uso de la clave privada y del certificado por el solicitanteLas responsabilidades y limitaciones de uso del par de claves y del certificado seestablecerán en la PC. De modo general, los certificados de personas físicas ojurídicas sólo podrán utilizarse mediante dispositivos seguros de creación de firmaelectrónica.El solicitante sólo podrá utilizar la clave privada y el certificado para los usosautorizados en la PC y de acuerdo con lo establecido en los campos ‘Key Usage’ y‘Extended Key Usage’ del certificado. Del mismo modo, el solicitante solo podrá utilizarel par de claves y el certificado tras aceptar las condiciones de uso, establecidas en laDPC y PC, y sólo para lo que éstas establezcan.Tras la expiración o revocación del certificado el solicitante dejará de usar la claveprivada.4.5.2 Uso de la clave pública y del certificado por los terceros aceptantesLos Terceros Aceptantes sólo pueden depositar su confianza en los certificados paraaquello que establezca la PC y de acuerdo con lo establecido en el campo ‘Key Usage’del certificado.Los Terceros Aceptantes han de realizar las operaciones de clave pública de manerasatisfactoria para confiar en el certificado, así como asumir la responsabilidad deverificar el estado del certificado utilizando los medios que se establecen en esta DPCy en la PC. Asimismo, se obligan a las condiciones de uso establecidas en dichosdocumentos.4.6. Renovación de certificados sin cambio de claves4.6.1 Circunstancias para la renovación de certificados sin cambio de clavesTodas las renovaciones de certificados realizadas en el ámbito de esta DPC serealizarán con cambio de claves. En consecuencia, no se recogen el resto de losDeclaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 25

Infraestructura PKI de laAutoridad Marítima de Panamápuntos del apartado 4.6 (4.6.2 a 4.6.7) que establece la RFC 3647, lo que implica, aefectos de esta Declaración, su no estipulación.4.7. Renovación de certificados con cambio de claves4.7.1 Circunstancias para una renovación con cambio claves de un certificadoEl proceso de renovación de certificados dependerá de la Política de Certificación.Un certificado puede ser renovado, entre otros, por los siguientes motivos:• Expiración del periodo de validez• Cambio de datos contenidos en el certificado.• Claves comprometidas o pérdida de fiabilidad de las mismas.• Cambio de formato.Todas las renovaciones de certificados en el ámbito de esta DPC se realizarán concambio de claves.4.7.2 Quién puede pedir la renovación de los certificadosEl solicitante del certificado deberá solicitar la renovación, si bien no todos loscertificados prevén esta posibilidad. En la Política de Certificación se establecerá quiénpuede solicitar la renovación del certificado.4.7.3 Tramitación de las peticiones de renovación de certificados con cambiode clavesLa CA comprobará en el proceso de renovación que la información utilizada paraverificar la identidad y atributos del solicitante es todavía válida. Si alguna informacióndel solicitante ha cambiado ésta deberá ser verificada y registrada con el acuerdo delsolicitante.La identificación y autenticación para la renovación de un certificado contempla, deforma general, tres casos:• Renovación por caducidad del certificado siendo la renovación anteriorpresencial: en este caso la renovación se solicitará de forma presencial en lospuestos de registro que se establezcan de igual forma que en el caso de laemisión inicial.• Renovación por caducidad del certificado siendo la renovación anterior en líneao renovación por otras causas: en este caso la renovación se solicitará deforma presencial en los puestos de registro que se establezcan de igual formaque en el caso de la emisión inicial.• Renovación de un certificado de componente: todas las renovaciones serealizarán de forma remota, efectuando la solicitud mediante correo electrónicofirmado con un certificado de firma de PKIAMP válido.Estas directrices están supeditadas a la Política de Certificación, prevaleciendosiempre sobre lo estipulado en este apartado.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 26

Infraestructura PKI de laAutoridad Marítima de PanamáEn cualquier caso la renovación de un certificado está supeditada a:• Que se solicite en debido tiempo y forma, siguiendo las instrucciones y normasque PKIAMP especifica a tal efecto.• Que la CA no haya tenido conocimiento cierto de la concurrencia de ningunacausa de revocación / suspensión del certificado.• Que la solicitud de renovación de los servicios de prestación se refiera almismo tipo de certificado emitido inicialmente.4.7.4 Notificación de la emisión de un nuevo certificado al solicitanteEn la PC se establecerá la forma en que el solicitante será informado de que ha sidoemitido el correspondiente certificado a su nombre.4.7.5 Forma de aceptación del certificado con las claves cambiadasEn la PC se establecerá la forma de aceptación.4.7.6 Publicación del certificado con las nuevas claves por la CAEn la PC se establecerá el procedimiento de la publicación del certificado en elrepositorio de PKIAMP.4.7.7 Notificación de la emisión del certificado por la CA a otras AutoridadesCuando la CA de PKIAMP emita un certificado de acuerdo con una solicitud decertificación tramitada a través de una RA, enviará una copia del mismo a la RA queremitió la solicitud4.8. Modificación de certificados4.8.1 Circunstancias para la modificación de un certificadoSe habla de modificación de un certificado cuando se emite uno nuevo debido acambios en la información del certificado no relacionados con su clave pública oexpiración del periodo de validez.Las modificaciones de los certificados pueden venir dadas por diferentes motivos talescomo:• Cambio de nombre.• Cambio en las funciones dentro de la organización.• Reorganización como resultado del cambio en el Nombre Distintitivo.Todas las modificaciones de certificados realizadas en el ámbito de esta DPC setratarán como una renovación de certificados, por lo que son de aplicación losapartados anteriores al respecto.En consecuencia, no se recogen el resto de subapartados del apartado 4.8 (4.8.2 a4.8.7) que establece la RFC 3647, lo que implica a efectos de esta Declaración que nohan sido regulados.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 27

Infraestructura PKI de laAutoridad Marítima de Panamá4.9. Revocación y suspensión de certificados4.9.1 Circunstancias para la revocaciónLa revocación de un certificado es el acto por el cual se deja sin efecto la validez de uncertificado antes de su caducidad. El efecto de la revocación de un certificado es lapérdida de vigencia del mismo, originando el cese permanente de su operatividadconforme a los usos que le son propios y, en consecuencia, de la prestación de losservicios de certificación. La revocación de un certificado impide el uso legítimo delmismo por parte del solicitante.El proceso de solicitud de revocación se define en la Política de Certificación.La revocación de un certificado implica su publicación en la Lista de CertificadosRevocados (CRL) de acceso público. Al expirar el periodo de validez de un Certificadorevocado, éste dejará de estar incluido en la CRL.Causas de revocación:Sin perjuicio de lo dispuesto en la normativa aplicable un certificado podrá serrevocado por:• El robo, pérdida, revelación, modificación, u otro compromiso o sospecha decompromiso de la clave privada del solicitante.• El mal uso deliberado de claves y certificados, o la falta de observancia ocontravención de los requerimientos operacionales contenidos en el documentode Aceptación de las condiciones de uso de los certificados personales, la PCo de la presente DPC.• El solicitante de un certificado deja de tener relación con una entidad de laAutoridad Marítima de Panamá, circunstancia que le facultaba para la posesióndel certificado.• El cese de la actividad de PKIAMP.• Emisión defectuosa de un certificado debido a que:1. No se ha cumplido un requisito material para la emisión del certificado.2. La creencia razonable de que un dato fundamental relativo al certificadoes o puede ser falso.3. Existencia de un error de entrada de datos u otro error de proceso.• El par de claves generado por un solicitante se revela como “débil”.• La información contenida en un certificado o utilizada para realizar su solicituddeviene en inexacta.• Por orden formulada por el solicitante o por tercero autorizado o la personafísica solicitante en representación de una persona jurídica.• El certificado de una RA o CA superior en la jerarquía de confianza delcertificado es revocado.• Por la concurrencia de cualquier otra causa especificada en la presente DPC oen la Política de Certificación.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 28

Infraestructura PKI de laAutoridad Marítima de PanamáLa revocación tiene como principal efecto sobre el certificado la terminación inmediatay anticipada del periodo de validez del mismo, deviniendo el certificado como noválido. La revocación no afectará a las obligaciones subyacentes creadas ocomunicadas por esta DPC ni tendrá efectos retroactivos.4.9.2 Quien puede solicitar la revocaciónPKIAMP puede solicitar de oficio la revocación de un certificado si tuvieran elconocimiento o sospecha del compromiso de la clave privada del solicitante ocualquier otro hecho determinante que recomendara emprender dicha acción.Asimismo, los solicitantes de certificados o sus responsables, también podrán solicitarla revocación de sus certificados, debiendo solicitar la revocación de acuerdo con lascondiciones especificadas en el apartado 4.9.3.La política de identificación para las solicitudes de revocación podrá ser la misma quepara el registro inicial. La política de autenticación aceptará solicitudes de revocaciónfirmadas electrónicamente por el solicitante del certificado, siempre que lo haga con uncertificado en vigor diferente del que solicita sea revocado.La Política de Certificación podrá definir otros procedimientos de identificación quesean más rigurosos4.9.3 Procedimiento de solicitud de revocaciónEl procedimiento para la solicitud de la revocación de cada tipo de certificado sedefinirá en la Política de Certificación.De forma general y sin perjuicio de lo definido en la Política de Certificación seestablece que:Serán admitidas solicitudes de revocación de dos tipos:• Remotas: han de estar firmadas electrónicamente con un certificado dePKIAMP confiable.• Presenciales: se han de cumplir los requisitos de identificación establecidospara el registro inicial.o La solicitud de revocación la tramitará el punto de registro o un operadorde la PKI.o Se comunicará al solicitante del certificado la revocación del mismomediante correo electrónico.o Tras la revocación del certificado el solicitante del mismo deberá cesaren el uso de la clave privada que se corresponda con aquel.o La revocación de un certificado de autenticación conlleva la revocacióndel resto de certificados asociados a un titular.o La solicitud de revocación de un certificado recibida con posterioridad asu fecha de caducidad no será atendida.La información a suministrar para solicitar la revocación de un certificado seestablecerá a expensas de lo especificado en la Política de Certificación.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 29

Infraestructura PKI de laAutoridad Marítima de Panamá4.9.4 Periodo de gracia de la solicitud de revocaciónLa revocación se llevará a cabo de forma inmediata a la tramitación de cada solicitudverificada como válida. Por tanto, no existe ningún periodo de gracia asociado a esteproceso durante el que se pueda anular la solicitud de revocación.4.9.5 Plazo en el que la CA debe resolver la solicitud de revocaciónLa PC establecerá el tiempo máximo para la resolución de una solicitud de revocación,si bien se establece como norma general que se haga en menos de 24 horas.4.9.6 Requisitos de verificación de las revocaciones por los tercerosaceptantesLa verificación de las revocaciones es obligatoria para cada uso de los certificados porlos Terceros Aceptantes.Los Terceros Aceptantes deberán comprobar la validez de la CRL previamente a cadauno de sus usos y descargar la nueva CRL del repositorio de PKIAMP al finalizar elperiodo de validez de la que posean. Las listas de CRLs guardadas en memoria‘caché’ 1 , aun no estando caducadas, no garantizan que dispongan de información derevocación actualizada.Cuando la PC admita otras formas de divulgación de información de revocación, losrequisitos para la comprobación de dicha información se especificarán en la PC.4.9.7 Frecuencia de emisión de CRLsPKIAMP publicará una nueva CRL en su repositorio en el momento en que seproduzca cualquier revocación. En cualquier caso, PKIAMP publicará una nueva CRLen su repositorio a intervalos no superiores a 5 días para la CA, aunque no se hayanproducido modificaciones en la CRL, es decir, aunque no se haya revocado ningúncertificado desde la última publicación.4.9.8 Tiempo máximo entre la generación y la publicación de las CRLLa PC establecerá el tiempo máximo admisible entre la generación de la CRL y supublicación en el repositorio.4.9.9 Disponibilidad de un sistema en línea de verificación del estado de loscertificadosPKIAMP proporciona un servidor web donde publica las CRLs para la verificación delestado de los certificados que emite.Las direcciones de acceso vía web a las CRL quedan reflejadas en el apartado 2.1Repositorio.4.9.10 Otras formas de divulgación de información de revocación disponiblesLa PC puede admitir a otras formas de aviso de revocación, como los Puntos deDistribución de CRLs (CDP).1 Memoria ‘caché’: memoria donde se guardan los datos necesarios para que elsistema opere con más rapidez en lugar de obtenerlos en cada operación de la fuentede datos. Su uso puede suponer un riesgo de operar con datos no actuales.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 30

Infraestructura PKI de laAutoridad Marítima de Panamá4.9.11 Requisitos especiales de renovación de claves comprometidasNo hay ninguna variación en las cláusulas anteriores cuando la revocación sea debidaal compromiso de la clave privada.4.9.12 Causas para la suspensiónLa suspensión de la vigencia de los certificados se aplicará a los certificadospersonales, entre otros, en los siguientes casos:• Cambio temporal de alguna de las circunstancias del titular del certificado queaconsejen la suspensión de los certificados durante el periodo de cambio. Alretornarse a la situación inicial se levantará la suspensión del certificado. Lascaracterísticas y requisitos para la suspensión se establecerán en la Política deCertificación.• Comunicación por el titular del certificado de un posible compromiso de susclaves. En el caso de que la sospecha, por su grado de certeza, no aconseje larevocación inmediata, se suspenderán los certificados del titular mientras seaverigua el posible compromiso de las claves. Al término del análisis sedeterminará si se revocan los certificados o si se levanta la suspensión.• Resolución judicial o administrativa que lo ordene.4.9.13 Quién puede solicitar la suspensiónLa solicitud puede presentarla el titular del certificado o la persona que se establezcaen la PC.4.9.14 Procedimiento para la solicitud de suspensiónLa solicitud de suspensión la tramitará el Operador de la PKI. Por el mismo método sesolicitará el levantamiento de la suspensión cuando este proceda.En cualquier caso, se le comunicará al titular del certificado tanto el comienzo de lasuspensión como su fin por correo electrónico.4.9.15 Límites del periodo de suspensiónSin perjuicio de lo definido en la Política de Certificación, PKIAMP suspenderá lavigencia de los certificados por un plazo máximo de 1 año, plazo tras el cual serevocará el certificado, salvo que se hubiera levantado previamente la suspensión delcertificado.Si durante el tiempo de suspensión del certificado éste caduca o se solicita surevocación, se producirán las mismas consecuencias que para los Certificados nosuspendidos en esos mismos casos de caducidad o revocación.4.10. Servicios de información del estado de certificados4.10.1 Características operativasPKIAMP dispone de un servicio que proporciona información sobre el estado de loscertificados emitidos por su CA:Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 31

Infraestructura PKI de laAutoridad Marítima de Panamá• Publicación de las Listas de Certificados Revocados (CRL).4.10.2 Disponibilidad del servicioEl servicio está disponible de forma ininterrumpida todos los días del año, tanto paralos Terceros Aceptantes internos de entidades de la Autoridad Marítima de Panamácomo para los Terceros Aceptantes externos.4.11. Extinción de la validez de un certificadoLa extinción de la validez de un certificado se produce en los siguientes casos:• Revocación del certificado por cualquiera de las causas recogidas en elapartado 4.9.1.• Expiración de la vigencia del certificado.Si no se solicita la renovación del certificado la extinción de su validez supondrá laextinción de la relación entre el titular y la CA.4.12. Custodia y recuperación de clavesEn la PC donde se establezca el archivo de claves privadas se identificarán laspolíticas y prácticas para el registro y recuperación de claves.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 32

Infraestructura PKI de laAutoridad Marítima de Panamá5. Controles de seguridad física, instalaciones, gestióny operacionales5.1. Controles físicosLos aspectos referentes a los controles de seguridad física se encuentran recogidosen detalle en la documentación que el Servicio de Seguridad y Departamento deSistemas de Información de la Autoridad Marítima de Panamá han desarrollado a talefecto. En este apartado se van a recoger las medidas adoptadas más relevantes.5.1.1 Ubicación física y construcciónLos edificios donde se encuentra ubicada la infraestructura de PKIAMP disponen demedidas de seguridad de control de acceso, de forma que se permite la entrada a losmismos a las personas debidamente autorizadas.Todas las operaciones críticas de PKIAMP se realizan en recintos físicamenteseguros, con niveles de seguridad específicos para los elementos más críticos. Estossistemas están separados de otros de la Autoridad Marítima de Panamá, de forma quesólo el personal autorizado pueda acceder a ellos.Los Centros de Proceso de Datos de PKIAMP cumplen los siguientes requisitosfísicos:• Están alejados de salidas de humos para evitar posibles daños por incendiosen otras plantas.• Ausencia de ventanas al exterior del edificio.• Cámaras de vigilancia en las áreas de acceso restringido.• Control de acceso basado en tarjeta.• Sistemas de protección y prevención de incendios: detectores, extintores,formación del personal para actuar ante incendios, etc.• Protección del cableado contra daños e interceptación tanto de la transmisiónde datos como de telefonía.5.1.2 Acceso físicoSe dispone de un completo sistema de control de acceso físico de personas queconforman varios niveles de control. Todas las operaciones sensibles se realizandentro de un recinto físicamente seguro con diversos niveles de seguridad paraacceder a las máquinas y aplicaciones críticas.Los sistemas de PKIAMP estarán físicamente separados de otros sistemas de laAutoridad Marítima de Panamá de forma que únicamente el personal autorizado puedaacceder a ellos, y se garantice la independencia de los otros sistemas informáticos.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 33

Infraestructura PKI de laAutoridad Marítima de PanamáLas áreas de carga y descarga están aisladas y permanentemente vigiladas pormedios humanos y técnicos.5.1.3 Alimentación eléctrica y aire acondicionadoLas salas donde se ubican los equipos de la infraestructura de PKIAMP disponen desuministro de electricidad y aire acondicionado adecuado a los requisitos de losequipos en ellas instalados. La infraestructura está protegida contra caídas de tensióno cualquier anomalía en el suministro eléctrico. Aquellos sistemas que lo requierendisponen de unidades de alimentación permanente así como de grupo electrógeno.5.1.4 Exposición al aguaSe han tomado las medidas adecuadas para prevenir la exposición al agua de losequipos y el cableado.5.1.5 Protección y prevención de incendiosLas salas disponen de los medios adecuados -detectores- para la protección de sucontenido contra incendios.El cableado se encuentra en falso suelo o falso techo y se dispone de los mediosadecuados - detectores en suelo y techo- para la protección del mismo contraincendios.5.1.6 Sistema de almacenamientoPKIAMP ha establecido los procedimientos necesarios para disponer de copias derespaldo de toda la información de su infraestructura productiva.PKIAMP ha dispuesto planes de copia de respaldo, los mismos que para el resto de lainfraestructura central de la Autoridad Marítima de Panamá, de toda la informaciónsensible y de aquella considerada como necesaria para la persistencia de su actividad.5.1.7 Eliminación de residuosSe ha adoptado una política de gestión de residuos que garantiza la destrucción decualquier material que pudiera contener información, así como una política de gestiónde los soportes removibles.5.1.8 Copias de seguridad fuera de las instalacionesPKIAMP dispone de copias de seguridad en dos locales propios que reúnen lasmedidas precisas de seguridad y con una separación física adecuada.5.2. Controles de procedimientoPor razones de seguridad, la información relativa a los controles de procedimiento seconsidera materia confidencial y solo se incluye una parte de la misma.PKIAMP procura que toda la gestión, tanto la relativa a los procedimientosoperacionales como a la de administración, se lleve a cabo de forma segura, conformea lo establecido en este documento, realizando auditorías periódicas. (Véase elcapítulo 8 Auditorías de Cumplimiento y otros Controles de Conformidad).Asimismo, se ha diseñado una segregación de funciones para evitar que una solapersona pueda conseguir el control total de la infraestructura.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 34

Infraestructura PKI de laAutoridad Marítima de Panamá5.2.1 Roles responsables del control y gestión de la PKISe distinguen los siguientes responsables para el control y gestión del sistema:Administradores de la PKI: Para administrar la PKI se definen tres funcionesdiferenciadas, a saber:Administradores del HSM: Se define un conjunto de 7 Administradores para elHSM de la CA, cada uno con un dispositivo criptográfico (tarjeta) de control deacceso a su función. Para la realización de las operaciones que requieran un papelde Administradores es necesario introducir en el lector del HSM un total de 2tarjetas de las 7. Los Administradores del HSM se encargan de realizar lassiguientes operaciones:1. Recuperación de la funcionalidad del hardware criptográfico en caso de fallo deun HSM.2. Recuperación de claves en caso de borrado accidental.3. Sustitución de un conjunto de tarjetas de administrador. Esta operación solo esnecesaria realizarla si se desea ampliar o reducir el conjunto de tarjetas deadministrador.4. Sustitución de un conjunto de tarjetas de operador. Esta operación solo esnecesaria realizarla si se desea ampliar o reducir el conjunto de tarjetas deoperador o sustituir el existente por deterioro5. Ampliación del número de HSM integrados en la infraestructura.6. Dado que se opera en modo FIPS140-2 Nivel 3, autorización para lageneración de conjuntos de tarjetas de operador y claves. Esta operación solose requiere durante la ceremonia de generación de claves para la CA.Operadores del HSM: Se define un conjunto de 5 operadores para la CA, cada unocon un dispositivo criptográfico (tarjeta) de control de acceso a su función. Para lautilización de las claves protegidas por el conjunto de tarjetas de operador esnecesario introducir en el lector del HSM 2 tarjetas de operador. Los Operadoresdel HSM se encargan de realizar las siguientes operaciones:1. Activación de claves para su utilización. Esto significa que cada vez que seinicie una CA, se requerirá la inserción de las tarjetas de operador asociadas alas claves.2. Autorización para la generación de claves de aplicación, aunque estaautorización puede ser realizada también por un administrador. Esta operaciónsolo se requiere durante la ceremonia de generación de claves para las CAs.3. Arranque de la interfaz de configuración de la CA y del resto de entidades queconforman la PKI. Mediante esta interfaz, el operador podrá modificar laspolíticas de certificación y definir los administradores remotos de la CA.Las operaciones realizadas por los operadores son más frecuentes que lasrealizadas por los administradores, teniendo que intervenir cada vez que seanecesario volver a configurar la CA o volver a arrancar uno de los procesosinvolucrados en PKIAMP.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 35

Infraestructura PKI de laAutoridad Marítima de PanamáAdministradores remotos de la CA: Una vez iniciados los procesos de la PKI porparte de los operadores del HSM, las tareas de Administración / Gestión del ciclode vida de los certificados emitidos por la CA serán llevadas a cabo por parte deAdministradores Remotos. Estos Administradores se encargarán de:1. Emisión de certificados para usuarios en los casos en que la PC lo establezca.2. Emisión de certificados para componentes.3. Revocación y suspensión de certificados.4. Suspensión de Servicios.Cada Administrador Remoto de la CA deberá disponer de un certificado deautenticación. Serán los operadores del HSM los que, por medio de la Interfaz deAdministración de la CA, llevarán a cabo la generación de los certificados deusuario que permitan a dichos administradores el intercambio de peticiones con laCA.Administrador de Sistemas: responsable del funcionamiento de los sistemas quecomponen la PKI, del hardware y del software base. La responsabilidad de este perfilincluye, entre otros, la administración del sistema de base de batos, del repositorio deinformación y de los sistemas operativos.Coordinador de Seguridad: responsable de la definición y verificación de todos losprocedimientos de seguridad tanto física como informática.Autoridad de Aprobación de Políticas (AAP): autoridad responsable de la definicióny aprobación de las políticas de certificación.Administrador de Auditoría: responsable de las tareas de ejecución y revisión deauditorías internas del sistema.Administrador de Backup: responsable de las tareas de ejecución y revisión de lascopias de seguridad del sistema.Registradores: responsable de las tramitaciones de peticiones de los certificadospersonales y de la aceptación por estos de las condiciones de uso.5.2.2 Número de personas requeridas por tareaSe requiere un mínimo de dos personas con capacidad profesional suficiente pararealizar las tareas recogidas en cada una las tareas planteadas en el apartado 5.2.1Roles responsables del control y gestión de la PKI.5.2.3 Identificación y autenticación para cada usuarioLos Administradores y Operadores de HSM se identifican y autentican en los HSMmediante técnicas de secreto compartido en tarjetas criptográficas específicas de losHSM.El resto de usuarios autorizados de PKIAMP se identifican mediante certificadoselectrónicos emitidos por la propia PKI y se autentican por medio de tarjetascriptográficas.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 36

Infraestructura PKI de laAutoridad Marítima de Panamá5.2.4 Roles que requieren segregación de funcionesLa asignación de personal garantizará que se cumplen las siguientes reglas deincompatibilidad:• Un Administrador de HSM no puede ser Administrador de Auditoría.• Un Administrador de Sistemas no puede ser ni Coordinador de Seguridad niAdministrador de Auditoría.• Un Coordinador de Seguridad no puede ser Administrador de Sistemas, niAdministrador remoto de la CA, ni Administrador de Auditoría.• Un Administrador de Auditoría no puede ser ni Administrador de HSM, niAdministrador de Sistemas, ni Administrador remoto de la CA, ni Coordinadorde Seguridad5.3. Controles de personal5.3.1 Requisitos relativos a la cualificación, conocimiento y experienciaprofesionalesTodo el personal que preste sus servicios en el ámbito de la PKIAMP deberá poseer elconocimiento, experiencia y formación suficientes, para el mejor cometido de lasfunciones asignadas.Para ello, las entidades de la Autoridad Marítima de Panamá llevarán a cabo losprocesos de selección de personal que estime precisos con objeto de que el perfilprofesional del empleado se adecue lo más posible a las características propias de lastareas a desarrollar.5.3.2 Procedimientos de comprobación de antecedentesSegún los procedimientos de selección de personal establecidos por las entidades dela Autoridad Marítima de Panamá.5.3.3 Requerimientos de formaciónSegún los procedimientos establecidos por las entidades de la Autoridad Marítima dePanamá.En particular, el personal relacionado con la explotación de la PKI, recibirá laformación necesaria para asegurar la correcta realización de sus funciones. Seincluyen en la formación los siguientes aspectos:• Entrega de una copia de la Declaración de Prácticas de Certificación.• Concienciación sobre la seguridad física, lógica y técnica• Operación del software y hardware para cada papel específico.• Procedimientos de seguridad para cada rol específico.• Procedimientos de operación y administración para cada rol específico.• Procedimientos para la recuperación de la operación de la PKI en caso dedesastres.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 37

Infraestructura PKI de laAutoridad Marítima de Panamá5.3.4 Requerimientos y frecuencia de actualización de la formaciónSegún los procedimientos establecidos por las entidades de la Autoridad Marítima dePanamá.5.3.5 Frecuencia y secuencia de rotación de tareasNo estipulado.5.3.6 Sanciones por actuaciones no autorizadasLa comisión de acciones no autorizadas será sancionada conforme a lo preceptuadoen las leyes panameñas, sin perjuicio de las responsabilidades de otra índole en quepudiera incurrirse.5.3.7 Requisitos de contratación de tercerosSe aplicará la normativa general de las entidades de la Autoridad Marítima de Panamápara las contrataciones.5.3.8 Documentación proporcionada al personalSe facilitará el acceso a la normativa de seguridad de obligado cumplimiento junto conla presente DPC y la contenida en la PC.5.4. Procedimientos de auditoría de seguridad5.4.1 Tipos de eventos registradosLa CA conserva información sobre las principales operaciones realizadas,manteniendo un registro de eventos. Las operaciones registradas incluyen lasrealizadas por los administradores que utilizan las aplicaciones de administración delos elementos de la PKI. Las operaciones se dividen en eventos, por lo que se guardainformación sobre uno o más eventos para cada operación relevante.Los eventos registrados en la Base de Datos pueden estar sujetos al tipo decertificado, quedando especificado en la Política de Certificación.5.4.2 Frecuencia de procesado de registros de auditoríaLos registros se analizarán de manera manual cuando sea necesario, no existiendouna frecuencia definida para dicho proceso.5.4.3 Periodo de conservación de los registros de auditoríaLa información generada por los registros de auditoría se mantiene en línea hasta quees archivada. Una vez archivados, los registros de auditoría se conservarán, al menos,durante 5 años.5.4.4 Protección de los registros de auditoríaLos eventos registrados por la PKI están protegidos mediante cifrado, de forma quenadie, salvo las propias aplicaciones de visualización de eventos, con su debidocontrol de accesos, pueda acceder a ellos.La destrucción de un archivo de auditoría solo se puede llevar a cabo con laautorización del Administrador del Sistema, el Coordinador de Seguridad y elDeclaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 38

Infraestructura PKI de laAutoridad Marítima de PanamáAdministrador de Auditorías de PKIAMP. Tal destrucción se puede iniciar por larecomendación escrita de cualquiera de estas tres Autoridades o del administrador delservicio auditado.5.4.5 Procedimientos de respaldo de los registros de auditoríaLas copias de respaldo de los registros de auditoría se realizan según las medidasestándar establecidas por la Autoridad Marítima de Panamá para las copias derespaldo de las Bases de Datos de los Ordenadores Centrales.5.4.6 Sistema de recogida de información de auditoría (interno vs externo)El sistema de recopilación de información de auditoría de la PKI es una combinaciónde procesos automáticos y manuales ejecutados por las aplicaciones de la PKI. Todoslos registros de auditoría de la CA, RAs, y Administradores Remotos se almacenan enlos sistemas internos de PKIAMP.5.4.7 Notificación al sujeto causa del eventoNo se prevé la notificación automática de la acción de los ficheros de registro deauditoría al causante del evento.5.4.8 Análisis de vulnerabilidadesEl análisis de vulnerabilidades queda cubierto con el Plan de Auditoría de la AutoridadMarítima de Panamá.5.5. Archivo de registros5.5.1 Tipo de eventos archivadosLa Autoridad de Certificación definida en PKIAMP conserva toda la informaciónrelevante sobre las operaciones realizadas con los certificados durante los periodos detiempo establecidos, manteniendo un registro de eventos.Las operaciones registradas incluyen las realizadas por los administradores queutilizan las aplicaciones de administración de los elementos de PKIAMP, así comotoda la información relacionada con el proceso de registro.Los tipos de datos o ficheros que son archivados son, entre otros, los siguientes:• Datos relacionados con el procedimiento de registro y solicitud de certificados5.5.2 Periodo de conservación de registrosToda la información y documentación relativa a los certificados y las declaraciones deprácticas de certificación vigentes en cada momento se conservarán durante 15 añoscontados desde el momento de su expedición, de manera que puedan verificarse lasoperaciones efectuadas con los mismos.Para los registros de auditoría se estará a lo especificado en el apartado 5.4.3,siempre atendiendo a cualquier particularidad especificada en la Política deCertificación del Certificado.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 39

Infraestructura PKI de laAutoridad Marítima de Panamá5.5.3 Protección del archivoLos Archivos de registro están protegidos mediante cifrado, de forma que nadie, salvolas propias aplicaciones de visualización, con su debido control de accesos, puedaacceder a ellos.La destrucción de un archivo de Registro solo se puede llevar a cabo con laautorización del Administrador del Sistema, el Coordinador de Seguridad y elAdministrador de Auditorías de PKIAMP. Tal destrucción se puede iniciar por larecomendación escrita de cualquiera de estas tres Autoridades o del administrador delservicio auditado.5.5.4 Procedimientos de copia de respaldo del archivoLas copias de respaldo de los Archivos de registros se realizan según las medidasestándar establecidas por la Autoridad Marítima de Panamá para las copias derespaldo de las Bases de Datos de los Sistemas Corporativos.5.5.5 Requerimientos para el sellado de tiempo de los registrosLos sistemas de información empleados por PKIAMP garantizan el registro del tiempoen los que se realizan. El instante de tiempo de los sistemas proviene de una fuentesegura que constata la fecha y hora. Todos los sistemas se sincronizan con estafuente.5.5.6 Sistema de archivo de información de auditoría (interno vs externo)El sistema de recogida de información es interno a la Autoridad y corresponde a laPKIAMP.5.5.7 Procedimientos para obtener y verificar información archivadaEsta verificación debe ser llevada a cabo por el Administrador de Auditoría que debetener acceso a las herramientas de verificación y control de integridad del registro deeventos de la PKI.5.6. Cambio de claves de la CALos procedimientos para proporcionar, en caso de cambio de claves, una nueva clavepública de CA a los titulares y terceros aceptantes de los certificados de la misma sonlos mismos que para proporcionar la clave pública en vigor. En consecuencia, la nuevaclave se publicará en el repositorio de PKIAMP (ver apartado 2.1).5.7. Recuperación en caso de compromiso de una clave o catástrofe5.7.1 Procedimientos de gestión de incidentes y compromisosLa Autoridad Marítima de Panamá tiene establecido un Plan de Contingencias quedefine las acciones a realizar, recursos a utilizar y personal a emplear en el caso deproducirse un acontecimiento intencionado o accidental que inutilice o degrade losrecursos y los servicios de certificación prestados por PKIAMP.El Plan de Contingencias contempla, entre otros aspectos, los siguientes:Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 40

Infraestructura PKI de laAutoridad Marítima de Panamá• La redundancia de los componentes más críticos.• La puesta en marcha de un centro de respaldo alternativo.• El chequeo completo y periódico de los servicios de copia de respaldo.En el caso de que se produjera un compromiso de los datos de verificación de firma deAutoridad de Certificación, PKIAMP informará a todos los solicitantes de certificadosde PKIAMP y terceros aceptantes conocidos que todos los certificados y listas derevocación firmados con estos datos ya no son válidos. Tan pronto como sea posiblese procederá al restablecimiento del servicio.5.7.2 Alteración de los recursos hardware, software y/o datosSi los recursos hardware, software, y/o datos se alteran o se sospecha que han sidoalterados se detendrá el funcionamiento de la PKI hasta que se reestablezca laseguridad del entorno con la incorporación de nuevos componentes cuya adecuaciónpueda acreditarse. De forma simultánea se realizará una auditoría para identificar lacausa de la alteración y asegurar su no reproducción.En el caso de verse afectados certificados emitidos, se notificará del hecho a losusuarios de los mismos y se procederá a una nueva certificación.5.7.3 Procedimiento de actuación ante el compromiso de la clave privada de laAutoridadEn el caso de compromiso de la clave privada de la Autoridad se procederá a surevocación inmediata. Seguidamente, se generará y publicará la correspondiente CRL,cesando el funcionamiento de actividad de la Autoridad y se procederá a lageneración, certificación y puesta en marcha de una nueva Autoridad con la mismadenominación que la eliminada y con un nuevo par de claves.En el caso de la CA, el certificado revocado de la misma permanecerá accesible en elrepositorio de PKIAMP con objeto de continuar verificando los certificados emitidosdurante su periodo de funcionamiento.Se notificará a todos los afectados que los certificados y la información sobre surevocación, suministrada con la clave comprometida de la CA, deja de ser válidadesde el momento de la notificación, debiendo utilizar para verificar la validez de lainformación la nueva clave pública de la CA.Los certificados firmados por la CA afectada en el periodo comprendido entre elcompromiso de la clave y la revocación del certificado, serán a su vez revocados,informados sus titulares de tal hecho y se procederá a la emisión de nuevoscertificados.5.7.4 Instalación después de un desastre natural u otro tipo de catástrofeEl sistema de Certificación de PKIAMP puede ser reconstruido en caso de desastre.Para llevar a cabo esta reconstrucción es necesario contar con: Un sistema con hardware, software y dispositivo Hardware Criptográfico deSeguridad similar al existente con anterioridad al desastre. Las tarjetas de administrador de la CA de PKIAMP. Una copia de respaldo de los discos del sistema anterior al desastre.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 41

Infraestructura PKI de laAutoridad Marítima de PanamáCon estos elementos es posible reconstruir el sistema tal y como estaba en elmomento de la copia de respaldo realizada y, por lo tanto, recuperar la CA, incluidassus claves privadas.El almacenado de las tarjetas de acceso de los administradores de la CA, se lleva acabo en un lugar diferente, lo suficientemente alejado y protegido como para dificultaral máximo la concurrencia de catástrofes simultáneas en los sistemas en producción yen los elementos de recuperación.5.8. Cese de la CA o RA5.8.1 Autoridad de CertificaciónEn el caso de cesar la actividad de la CA, PKIAMP se asegurará de que lospotenciales problemas para los titulares de sus certificados y los terceros aceptantessean los mínimos, así como el mantenimiento de los registros requeridos paraproporcionar prueba cierta de la certificación a efectos legales.En caso de cese de la actividad de la CA, PKIAMP comunicará a los titulares de suscertificados, por cualquier medio que garantice el envío y la recepción de lanotificación y con un plazo mínimo de antelación de 4 meses a la Autoridad deRegistro al citado cese de actividad, su intención de que la CA cese en la actividadcomo prestador de servicios de certificación.Una vez haya sido notificada la cesación de actividades, la CA que cesará de operardeberá enviar a cada solicitante del certificado un aviso, con no menos de 90 días deanticipación a la fecha de la cesación efectiva de las actividades, en el cual solicitaráautorización para revocar o publicar en otro repositorio de otra entidad de certificación,los certificados que aún se encuentran pendientes de expiración.Pasados 60 días sin obtenerse respuesta por parte del solicitante del certificado, la CApodrá revocar los certificados no expirados u ordenar su publicación, dentro de los 15días siguientes, en un repositorio de otra Autoridad de Certificación, en ambos casos,dando aviso al solicitante del certificado.Si la entidad de certificación no ha efectuado la publicación en los términos del párrafoanterior, se publicarán los certificados no expirados en los repositorios de la CA porella designada.5.8.2 Autoridad de RegistroUna vez que la Autoridad de Registro cese en el ejercicio de las funciones, transferirálos registros que mantenga a PKIAMP, mientras exista la obligación de mantenerarchivada la información, y de no ser así, ésta será destruida.5.9. Terminación unilateralSalvo acuerdo entre las partes, la CA podrá dar por terminado el acuerdo devinculación con el solicitante del certificado, dando un preaviso no menor de 90 días.Vencido este término, la entidad de certificación revocará los certificados que seencuentren pertinentes de expiración.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 42

Infraestructura PKI de laAutoridad Marítima de PanamáIgualmente, el solicitante podrá dar por terminado el acuerdo de vinculación con la CA,dando un preaviso no inferior a 30 días.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 43

Infraestructura PKI de laAutoridad Marítima de Panamá6. Controles de seguridad técnica6.1. Generación e instalación del par de claves6.1.1 Generación del par de clavesLos pares de claves para los componentes internos de PKIAMP, concretamente CA yRA, se generan en módulos de hardware criptográficos con certificación FIPS 140-2Nivel 3 que tienen instalados en sus respectivos sistemas. Los sistemas de hardware ysoftware que se emplean son conformes a las normas CWA 14167-1 y CWA 14167-2.Los pares de claves para el resto de titulares se generan en función de lo estipuladoen la Política de Certificación.Los dispositivos hardware o software a utilizar en la generación de claves para cadatipo de certificado emitido por PKIAMP vienen definidos por la Política de Certificación.6.1.2 Entrega de la clave privada al titularEl método de entrega de la clave privada a sus titulares depende de lo establecido enla Política de Certificación.6.1.3 Entrega de la clave publica al emisor del certificadoEl método de entrega de la clave pública al emisor en los casos en que la genere elTitular será establecido en la Política de Certificación.6.1.4 Entrega de la clave pública de la CA a los terceros aceptantesLa clave pública de la CA está a disposición de los terceros aceptantes en elRepositorio de PKIAMP (ver apartado 2.1) sin perjuicio de que la PC pueda establecermecanismos adicionales de entrega de dichas claves.6.1.5 Tamaño de las clavesEl tamaño de las claves de la CA es de 4096 bits.El tamaño de las claves para los certificados emitidos por PKIAMP viene definido porla Política de Certificación.6.1.6 Parámetros de generación de la clave pública y verificación de la calidadLa clave pública de la CA está codificada de acuerdo con RFC 3280 y PKCS#1. Elalgoritmo de generación de claves es el RSA.Los parámetros de generación de claves para cada tipo de certificado emitido porPKIAMP vienen definidos en la Política de Certificación.Los procedimientos y medios de comprobación de la calidad de los parámetros degeneración de claves para los certificados emitidos por PKIAMP vienen definidos porla Política de Certificación.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 44

Infraestructura PKI de laAutoridad Marítima de Panamá6.1.7 Usos admitidos de la clave (campo KeyUsage de X.509 v3)Los usos admitidos de la clave para os certificados emitidos por PKIAMP vienendefinidos por la Política de Certificación.Todos los certificados emitidos por PKIAMP contienen la extensión Key Usage definidapor el estándar X.509 v3, la cual se califica como crítica. Asimismo, puedenestablecerse limitaciones adicionales mediante la extensión Extended Key Usage.Ha de tenerse en cuenta que la eficacia de las limitaciones basadas en extensiones delos certificados depende, en ocasiones, de la operatividad de aplicaciones informáticasque no han sido fabricadas ni controladas por PKIAMP.6.2. Protección de la clave privada y controles de ingeniería de losmódulos criptográficos6.2.1 Estándares para los módulos criptográficosLos módulos utilizados para la creación de claves utilizada por la CA de PKIAMPcumplen con la certificación FIPS 140-2 de nivel 3.La puesta en marcha de la Autoridad de Certificación, teniendo en cuenta que seutiliza un módulo Criptográfico de seguridad (HSM), conlleva las siguientes tareas:1. Inicialización del estado del módulo HSM.2. Creación de las tarjetas de administración y de operador.3. Generación de las claves de la CA.PKIAMP utiliza módulos criptográficos hardware y software disponiblescomercialmente desarrollados por terceros. PKIAMP únicamente utiliza móduloscriptográficos con certificación FIPS 140-2 Nivel 3 que cumplan las siguientes normas:• FCC: CRFA47, Parte 15, Subparte B, Clase A• CE: EN 55022 Clase A, EN 55024-1, EN 60950En cuanto a las tarjetas criptográficas con certificados para firma electrónicaavanzada, aptas como dispositivos seguros de creación de firma, cumplen el nivel deseguridad CC EAL4+, aunque también son admisibles las certificaciones equivalentesITSEC E3 o FIPS 140-2 Nivel 2.6.2.2 Control multipersona (k de n) de la clave privadaLa clave privada de la CA se encuentra bajo control multipersona 2 . Ésta se activamediante la inicialización del software de CA por medio de la combinación mínima deoperadores de la CA. Éste es el único método de activación de dicha clave privada.2Control multipersona: control por más de una persona, normalmente por unsubconjunto ‘k’ de un total de ‘n’ personas. De esta forma, se garantiza que nadietenga el control de forma individual de las actuaciones críticas a la vez que se facilitala disponibilidad de las personas necesarias.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 45

Infraestructura PKI de laAutoridad Marítima de PanamáSon necesarios dos operadores de PKIAMP, de un total de cinco, para activar y usar laclave privada de la CA de PKIAMP.6.2.3 Custodia de la clave privadaLa custodia de las claves privadas de los certificados la realizan los propios titulares delas mismas. En el caso de las claves privadas de cifrado PKIAMP efectúa sólo suarchivo.La clave privada de la Autoridad de Certificación que compone PKIAMP se encuentraalojada en dispositivos de hardware criptográfico con certificación FIPS-2 de nivel 3asociada a la CA.6.2.4 Copia de seguridad de la clave privadaLa clave privada de la CA de PKIAMP está archivada bajo la protección del HSM queposee, y a el que sólo ella y los administradores y operadores de la CA tienen acceso.6.2.5 Archivo de la clave privadaLas claves privadas de firma de personas nunca serán archivadas para garantizar elno repudio.6.2.6 Transferencia de la clave privada a o desde el módulo criptográficoLa transferencia de la clave privada de sólo se puede hacer entre móduloscriptográficos (HSM) y requiere de la intervención de dos de los siete administradores.6.2.7 Almacenamiento de la clave privada en un módulo criptográficoLas claves privadas se generan en el módulo criptográfico en el momento de lacreación de cada una de las Autoridades de PKIAMP que hacen uso de dichosmódulos y se guardan cifradas.6.2.8 Método de activación de la clave privadaTal y como se estipula en el apartado 6.2.2 Control multipersona de la clave privada, laclave privada de la CA se activa mediante la inicialización del software de CA pormedio de la combinación mínima de operadores de la CA. Éste es el único método deactivación de dicha clave privada.Concretamente, son necesarios dos Operadores de PKIAMP para activar la claveprivada de la CA.En el caso de las claves del resto de titulares, la activación de éstas viene definida porla Política de Certificación.6.2.9 Método de desactivación de la clave privadaEl Administrador de Sistemas con autorización de dos Administradores del HSM puedeproceder a la desactivación de la clave de la Autoridad de Certificación de PKIAMPmediante la parada del la aplicación informática de la CA.6.2.10 Método de destrucción de la clave privadaNo estipulado.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 46

Infraestructura PKI de laAutoridad Marítima de Panamá6.2.11 Clasificación de los módulos criptográficosLos módulos criptográficos utilizados cumplen el estándar FIPS 140-2 nivel 3.6.3. Otros aspectos de la gestión del par de claves6.3.1 Archivo de la clave públicaPKIAMP mantiene un archivo de todos los certificados, los cuales incluyen las clavespúblicas, emitidos por un periodo de quince (15) años contados desde su expedición.El control de dicho registro está a cargo de los Administradores de la CA de PKIAMP.El archivo dispone de medios de protección frente a las manipulaciones que pretendanefectuarse sobre la información contenida.6.3.2 Periodos operativos de los certificados y periodo de uso para el par declavesEl certificado y el par de claves de CA de PKIAMP tienen una validez de treinta (30)años.El periodo de validez de los certificados vendrá establecido por la Política deCertificación.6.4. Datos de activación6.4.1 Generación e instalación de los datos de activaciónPara la instauración de una Autoridad de Certificación se deben crear tarjetascriptográficas, que servirán para actividades de recuperación y funcionamiento. La CAopera con dos tipos de roles, cada uno con sus correspondientes tarjetascriptográficas:• El conjunto de tarjetas de administración. Estas tarjetas serán necesarias pararecuperar el estado del HSM si ocurre algún desastre o si se desea trasladarlas claves a otro módulo.• El conjunto de tarjetas de operador. Estas tarjetas se utilizarán para protegerlas claves de la CA. Debe haber un mínimo de operadores presentes y debenindicar el PIN de sus tarjetas respectivas para realizar cualquier operación conla CA, implique o no, el uso de las claves de la CA.Si una o más tarjetas se pierden o dañan, o el administrador olvida su PIN o dejan deser utilizables por alguna razón, deberá volverse a generar todo el conjunto de tarjetastan pronto como sea posible utilizando la totalidad de tarjetas de seguridad.6.4.2 Protección de los datos de activaciónSólo el personal autorizado, en este caso los Operadores de la PKI de la CA, poseelas tarjetas criptográficas con capacidad de activación de la CA y conoce los PINs ycontraseñas para acceder a los datos de activación.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 47

Infraestructura PKI de laAutoridad Marítima de Panamá6.4.3 Otros aspectos de los datos de activaciónNo estipulado.6.5. Controles de seguridad informáticaLos datos concernientes a este apartado se consideran información confidencial y solose proporcionan a quien acredite la necesidad de conocerlos, como en el caso deauditorías externas o internas e inspecciones.6.5.1 Requerimientos técnicos de seguridad específicosLos datos concernientes a este apartado se consideran información confidencial y solose proporcionan a quien acredite la necesidad de conocerlos.6.5.2 Evaluación de la seguridad informáticaPKIAMP evalúa de forma permanente su nivel de seguridad de cara a identificarposibles debilidades y establecer las correspondientes acciones correctoras medianteauditorías externas e internas, así con la realización continua de controles deseguridad.6.6. Controles de seguridad del ciclo de vidaLos datos concernientes a este apartado se consideran información confidencial y solose proporcionan a quien acredite la necesidad de conocerlos.6.6.1 Controles de desarrollo de sistemasLos requisitos de seguridad son exigibles, desde su inicio, tanto en la adquisición desistemas informáticos como en el desarrollo de los mismos ya que puedan tener algúnimpacto sobre la seguridad de PKIAMP.6.6.2 Controles de gestión de seguridadExiste una organización de seguridad encargada de su gestión.6.6.3 Controles de seguridad del ciclo de vidaExisten controles de seguridad a lo largo de todo el ciclo de vida de los sistemas conalgún impacto en la seguridad de PKIAMP.6.7. Controles de seguridad de la redLos datos concernientes a este apartado se consideran información confidencial y solose proporcionan a quien acredite la necesidad de conocerlos.6.8. Sellado de tiempoNo estipulado.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 48

Infraestructura PKI de laAutoridad Marítima de Panamá7. Perfiles de los Certificados, CRL y OCSP7.1. Perfil de certificado7.1.1 Número de versiónPKIAMP soporta y utiliza certificados X.509 versión 3 (X.509 v3)7.1.2 Extensiones del certificadoLas extensiones utilizadas de forma genérica en los certificados son:• KeyUsage. Calificada como crítica.• BasicConstraint. Calificada como crítica.• CertificatePolicies. Calificada como no crítica.• SubjectAlternativeName. Calificada como no crítica.• CRLDistributionPoint. Calificada como no crítica.Las Políticas de Certificación de PKIAMP pueden establecer variaciones en conjuntode las extensiones utilizadas por cada tipo de certificado.A continuación se recoge el perfil del certificado autocertificado de CA que emitePKIAMP.Autocertificado de la ACCAMPOCampos de X509v11. Versión V32. Serial Number AleatorioCONTENIDOCRÍTICAparaextensiones3. Signature Algorithm SHA-1WithRSAEncryption4. Issuer Distinguished Name CN=AMP CA, OU=PKI, O=AMP, C=PA5. Validez 30 años.6. Subject CN=AMP CA, OU=PKI, O=AMP, C=PA7. Subject Public Key Info Algoritmo:RSA EncryptionLongitud clave: 4096 (big string)Campos de X509v21. issuerUniqueIdentifier No se utilizará2. subjectUniqueIdentifier No se utilizaráExtensiones de X509v3Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 49

Infraestructura PKI de laAutoridad Marítima de PanamáAutocertificado de la ACCAMPOCONTENIDO1. Subject Key Identifier Derivada de utilizar la función de hash SHA-1 sobre laclave pública del sujeto.2. Authority Key Identifier NO3. KeyUsageDigital Signature 0Non Repudiation 0Key Encipherment 0Data Encipherment 0Key Agreement 0Key Certificate Signature 1CRL Signature 14. extKeyUsage No procede5. privateKeyUsagePeriod No utilizado6. Certificate PoliciesPolicy Identifier 2.5.29.32.0URL CPSNotice Reference7.Policy Mappingshttp://www.panamaregistry.com/pkiCertificado sujeto a: Declaración de Prácticas deCertificación de la Autoridad Marítima de Panamá.© 2006 Autoridad Marítima de Panamá. Todos losderechos reservados.No se utilizará8. Subject Alternate Names No se utilizará9. Issuer Alternate Names No se utilizará10. Subject Directory Attributes No se utilizará11. Basic ConstraintsSubject TypePath Length ConstraintCANone12. CRLDistributionPoints No procede NO13. Auth. Information Access No procede14.netscapeCertType No procede NO15. netscapeRevocationURL No procede16. netscapeCAPolicyURL No procede17. netscapeComment No procedeCRÍTICAparaextensionesNOSINOSI7.1.3 Identificadores de objeto (OID) de los algoritmosIdentificador de Objeto (OID) de los algoritmos Criptográficos:SHA-1 with RSA Encryption (1.2.840.113549.1.1.5)Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 50

Infraestructura PKI de laAutoridad Marítima de Panamá7.1.4 Formatos de nombresLos certificados emitidos por PKIAMP contienen el distinguished name X.500 delemisor y del titular del certificado en los campos issuer name y subject namerespectivamente.7.1.5 Restricciones de los nombresLos nombres contenidos en los certificados están restringidos a distinguished namesX.500, que son únicos y no ambiguos.7.1.6 Identificador de objeto (OID) de la Política de CertificaciónA definir en cada Política de Certificación.7.1.7 Uso de la extensión “PolicyConstraints”No estipulado.7.1.8 Sintaxis y semántica de los “PolicyQualifier”La extensión Certificate Policies contiene los siguientes Policy Qualifiers:• URL CPS: contiene la URL, la DPC y la PC que rigen el certificado.• Notice Referente: Nota de texto que se despliega en la pantalla, a instancia deuna aplicación o persona, cuando un tercero verifica el certificado.En el campo Notice Reference se incluirá un texto con información básica sobre elcertificado y las políticas a que está sujeto:Certificado sujeto a: Declaración de Prácticas de Certificaciónde la Autoridad Marítima de Panamá.© 2006 Autoridad Marítima de Panamá. Todos los derechosreservados.7.1.9 Tratamiento semántico para la extensión crítica “Certificate Policy”La extensión será calificada como nonCritical cuando se emplee con el objeto demantener la máxima capacidad de poder operar con otras CA del certificado. Esto sehace siguiendo las recomendaciones para aplicaciones estándar de correo electrónicoseguro S/MIME [RFC 2632] y autenticación web SSL/TLS [RFC 2246]. El hecho deque la extensión no sea crítica no impide que las aplicaciones utilicen la informacióncontenida en la citada extensión.7.2. Perfil de CRL7.2.1 Número de versiónPKIAMP soporta y utiliza CRLs X.509 versión 2 (v2).Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 51

Infraestructura PKI de laAutoridad Marítima de Panamá7.2.2 CRL y extensionesSe recoge en forma de tabla el perfil de CRL existente para la CA.CAMPOVersión 2SignatureAlgorithmIdentifierCONTENIDOAlgorithm SHA-1WithRSAEncryption (1.2.840.113549.1.1.5)ParametersIssuerNameThisUpdatevalidityPeriodNextUpdaterevokedCertificatesUsercertificateCertificateSerialNumberrevocationDatecrlEntryExtensionreasonCodeCRLReasonUnspecified 1KeyCompromise 1CACompromise 1affiliationChanged 1superseded 1cessationOfOperation 1certificateHold 1removeFromCRL 0certificateissuercrlExtensionsauthorityKeyIdentifierissuerAltNamecrlNumberissuingDistributionPointFecha de emisión5 días5 días desde la fecha de emisiónDerivada de utilizar la función hash sha-1 sobre la clavepública de la CA emisora(1) HTTP:http://pki.amp.gob.pa/crls/caroot.crlCRÍTICAparaextensionesNOSINONONONOonlyContainsUserCertsonlyContainsCACerts 1IndirectCRLDeltaCRLIndicator No se utiliza SIBaseCRLNumberEste valor será igual que el CRLNumberDeclaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 52

Infraestructura PKI de laAutoridad Marítima de Panamá7.3. Perfil de OCSP7.3.1 Número(s) de versiónEl sistema PKIAMP no incluye ningún servicio de validación online que soporte OCSP.7.3.2 Extensiones OCSPNo estipulado.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 53

Infraestructura PKI de laAutoridad Marítima de Panamá8. Auditorías de cumplimiento y otros controles8.1. Frecuencia o circunstancias de los controles para la AutoridadSe llevará a cabo una auditoría sobre PKIAMP de forma regular, de acuerdo con elPlan de Auditorías de la Autoridad Marítima de Panamá. Con ello se garantiza laadecuación de su funcionamiento y operativa con las estipulaciones incluidas en estaDPC y la PC.8.2. Identificación/cualificación del auditorLa realización de las auditorías podrá ser encargada a empresas auditoras externas oal Departamento de Auditoría Interna en función de la disponibilidad de personalcualificado en los aspectos concretos a auditar y de lo que establezca el Plan deAuditorías.Todo equipo o persona designada para realizar una auditoría de seguridad sobrePKIAMP deberá cumplir los siguientes requisitos:• Adecuada capacitación y experiencia en PKI, seguridad, tecnologíascriptográficas y procesos de auditoría.• Independencia a nivel organizativo de la autoridad de PKIAMP.8.3. Relación entre el auditor y la Autoridad auditadaAl margen de la función de auditoría, el auditor externo y la parte auditada (PKIAMP)no deberán tener relación alguna que pueda derivar en un conflicto de intereses. En elcaso de los auditores internos, estos no podrán tener relación funcional con el áreaobjeto de la auditoría8.4. Aspectos cubiertos por los controlesLa auditoría determinará la adecuación de los servicios de PKIAMP con esta DPC y laPC. También determinará los riesgos del incumplimiento de la adecuación con laoperativa definida por esos documentos.El ámbito de actividad de una auditoría incluirá, al menos a:• Política de seguridad y privacidad• Seguridad física• Evaluación tecnológica• Administración de los servicios de la CA• Selección de personalDeclaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 54

Infraestructura PKI de laAutoridad Marítima de Panamá• DPC y PC• Contratos8.5. Acciones a tomar como resultado de la detección de deficienciasLa identificación de deficiencias detectadas como resultado de la auditoría dará lugar ala adopción de medidas correctivas. La Autoridad de Aprobación de Políticas (AAP),en colaboración con el auditor, será la responsable de la determinación de las mismas.En el caso de observarse deficiencias graves la Autoridad de Aprobación de Políticaspodrá adoptar, entre otras, las siguientes decisiones: suspensión temporal de lasoperaciones hasta que las deficiencias se corrijan, revocación del certificado de laAutoridad, cambios en el personal implicado, invocación de la política deresponsabilidades y auditorías globales más frecuentes.8.6. Comunicación de resultadosEl equipo auditor comunicará los resultados de la auditoría a la Autoridad deAprobación de Políticas de PKIAMP (AAP), al Gestor de Seguridad de PKIAMP, asícomo a los administradores de PKIAMP y de la Autoridad.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 55

Infraestructura PKI de laAutoridad Marítima de Panamá9. Otras cuestiones legales y de actividad9.1. Tarifas9.1.1 Tarifas de emisión de certificado o renovaciónLas tarifas de emisión y renovación de cada certificado se especifican en la Política deCertificación.9.1.2 Tarifas de acceso a los certificadosLas tarifas de acceso a los certificados se especifican en la Política de Certificación.9.1.3 Tarifas de acceso a la información de estado o revocaciónLas tarifas de acceso a la información de estado o revocación de cada certificado seespecifican en la Política de Certificación.9.1.4 Tarifas de otros servicios tales como información de políticasNo se aplicará ninguna tarifa por el servicio de información sobre esta DPC, ni lapolítica de certificación administrada por PKIAMP, ni por ningún otro servicio adicionaldel que se tenga conocimiento en el momento de la elaboración del presentedocumento.Esta disposición podrá ser modificada por la Política de Certificación.9.1.5 Política de reembolsoEn el caso de que la Política de Certificación especifique alguna tarifa aplicable a laprestación de servicios de certificación o revocación por parte de PKIAMP para el tipode certificados que defina, será obligado determinar la política de reembolsocorrespondiente.9.2. Responsabilidades EconómicasSubsumido en el apartado 9.8.9.3. Confidencialidad de la informaciónSe establece el siguiente régimen de confidencialidad de los datos relativos a laPKIAMP:9.3.1 Ámbito de la información confidencialToda información que no sea considerada por PKIAMP como pública revestirá elcarácter de confidencial. Se declara expresamente como información confidencial:Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 56

Infraestructura PKI de laAutoridad Marítima de Panamá• Las claves privadas de las Autoridades que componen PKIAMP.• Las claves privadas de titulares que PKIAMP mantenga en custodia.• La información relativa a las operaciones que lleve a cabo PKIAMP.• La información referida a los parámetros de seguridad, control y procedimientosde auditoría.• La información de carácter personal proporcionada por los titulares decertificados a PKIAMP durante el proceso de registro.9.3.2 Información no confidencialSe considera información pública y por lo tanto accesible por terceros:• La contenida en la presente Declaración de Prácticas de Certificación.• La incluida en la Política de Certificación.• Los certificados emitidos por PKIAMP.• La lista de los certificados suspendidos o revocados.9.3.3 Deber de secreto profesionalLos empleados de entidades de la Autoridad Marítima de Panamá que participen encualesquiera tareas propias o derivadas de la PKIAMP están obligados al deber desecreto profesional.Asimismo el personal contratado que participe en cualquier actividad u operación dePKIAMP estará sujeto al deber de secreto en el marco de las obligacionescontractuales contraídas con la Autoridad Marítima de Panamá.9.4. Protección de la información personal9.4.1 Política de protección de datos de carácter personalSe recoge dentro del capítulo 10, apartado 10.1 y siguientes.9.4.2 Información tratada como privadaSe protegerán los datos de carácter personal.9.4.3 Información no calificada como privadaEn la PC se establecerá qué datos personales se incluirán en los certificados y en losrepositorios de acceso público, certificados y CRL. La aceptación por el solicitanteafectado de la emisión del certificado emitido a su nombre equivale al consentimientodado para su publicación.9.4.4 Responsabilidad de la protección de los datos de carácter personalEsta responsabilidad se regula en el capítulo 10.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 57

Infraestructura PKI de laAutoridad Marítima de Panamá9.4.5 Comunicación y consentimiento para usar datos de carácter personalEn la PC se establecerán los mecanismos por los que se comunicará y obtendrá, ensu caso, el consentimiento del titular afectado para el tratamiento de los datos decarácter personal.9.4.6 Revelación en el marco de un proceso judicialLos datos de carácter personal solo podrán ser comunicados a terceros, sinconsentimiento del afectado, en los supuestos contemplados en la legislaciónreguladora de protección de datos de carácter personal.9.4.7 Otras circunstancias de publicación de informaciónEstas posibles circunstancias se regulan en el capítulo 10.9.5. Derechos de propiedad IntelectualLa Autoridad Marítima de Panamá es titular en exclusiva de todos los derechosrelativos a los Certificados electrónicos emitidos por PKIAMP para personas físicas ojurídicas y componentes informáticos; a las Listas de Certificados Revocados; alcontenido de la presente Declaración de Prácticas de Certificación y a la Política deCertificación. Asimismo, la Autoridad Marítima de Panamá es titular de los derechosrelativos a cualquier otro documento electrónico o de otro tipo, protocolos, programasde ordenador y hardware, archivos, directorios, bases de datos y servicios deconsultas que sean generados y utilizados en el ámbito de actuación de la mismaPKIAMP.9.6. Obligaciones9.6.1 Obligaciones de la CALa CA debe asegurarse de que todas las obligaciones establecidas en este apartadose recogen, según sea aplicable, en la Política de Certificación. La CA es responsabledel cumplimiento de sus obligaciones, según se prescriben en esta DPC, inclusoaunque parte de su actividad sea realizada mediante contratación externa. Asimismo,la CA proporcionará sus servicios de forma consistente con esta DPC.La CA que opera bajo la jerarquía de PKIAMP tiene las siguientes obligaciones:OCA.1OCA.2OCA.3OCA.4OCA.5OCA.6Realizar sus operaciones en conformidad con esta DPC.Proteger sus claves privadas.Emitir certificados en conformidad con la Política de Certificación.Tras la recepción de una solicitud válida de certificado, emitir certificados conformes con elestándar X.509 v3 y con los requerimientos de la solicitud.Emitir certificados que sean conformes con la información conocida en el momento de suemisión, y libres de errores de entrada de datos.No publicar los certificados de usuario salvo que así lo establezca la Política de Certificación.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 58

Infraestructura PKI de laAutoridad Marítima de PanamáOCA.7OCA.8OCA.9OCA.10Revocar los certificados en los términos de la sección 4.4 Suspensión y Revocación deCertificados y publicar los certificados revocados en la CRL en el servicio de directorio yservicio Web referidos en el apartado 2.1 Repositorio, con la frecuencia estipulada en elpunto 4.9.7 Frecuencia de emisión de CRLsPublicar esta DPC y la PC en el sitio web referido en el apartado 2.1 Repositorio.Comunicar los cambios de esta DPC y de la PC de acuerdo con lo establecido en el apartado9.12.2 Periodo y mecanismo de NotificaciónConservar los documentos de Aceptación de Condiciones de uso de los certificadospersonales firmados, en papel o electrónicamente, con los solicitantes de certificados en losque estos se dan por enterados de sus obligaciones y derechos, consienten en el tratamientode sus datos personales por la CA y confirman que la información proporcionada es correcta.OCA.11 Garantizar la disponibilidad de las CRLs de acuerdo con las disposiciones de la sección 4.9.9de la presente DPC.OCA.12OCA.13OCA.14En el caso que la CA proceda a la revocación de un certificado, notificarlo a los usuarios decertificados en conformidad con la Política de Certificación.Colaborar con las auditorías dirigidas por PKIAMP para validar la renovación de las propiasclaves.Operar de acuerdo con la legislación aplicable.OCA.15OCA.16OCA.17OCA.18OCA.19OCA.20OCA.21OCA.22OCA.23OCA.24Proteger, en caso de haberlas, las claves bajo su custodia.En el caso de cesar en su actividad, deberá comunicarlo con una antelación mínima de dosmeses, a los titulares de los certificados por ellas emitidos tal como se recoge en el epígrafe5.8.1.Conservar registrada toda la información y documentación relativa a los certificados durantequince años contados desde su expedición.Demostrar la fiabilidad necesaria de sus servicios.Emplear personal calificado y con la experiencia necesaria para la prestación de los serviciosofrecidos, en el ámbito de la firma electrónica y los procedimientos de seguridad y de gestiónadecuados.Utilizar sistemas y productos fiables que estén protegidos contra toda alteración y quegaranticen la seguridad técnica y, en su caso, criptográfica de los procesos de certificación alos que sirven de soporte.Tomar medidas contra la falsificación de certificados y, en el caso de que el prestador deservicios de certificación genere datos de creación de firma, garantizar su confidencialidaddurante el proceso de generación.Garantizar la protección, confidencialidad y debido uso de la información suministrada por eltitular del certificado.Actualizar permanentemente los medios tecnológicos, conforme a las especificacionesadoptadas mediante reglamento.Suministrar la información que le requieran las entidades administrativas competentes ojudiciales en relación con las firmas electrónicas y certificados emitidos y, en general, sobrecualquier documento electrónico que se encuentre bajo su custodia y administración.9.6.2 Obligaciones de la RALa RA operativa en la PKIAMP debe cumplir las siguientes obligaciones:ORA.1Identificar correctamente al Titular y/o Solicitante y a la organización que represente,conforme a los procedimientos que se establecen en esta DPC y en la Política deCertificación, utilizando cualquiera de los medios admitidos en derecho.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 59

Infraestructura PKI de laAutoridad Marítima de PanamáORA.2ORA.3ORA.4Formalizar la expedición de Certificados con el Titular en los términos y condiciones queestablezca la Política de CertificaciónAlmacenar de forma segura y por un periodo razonable la documentación aportada en elproceso de emisión del certificado y en el proceso de suspensión/revocación del mismo.Llevar a cabo cualesquiera otras funciones que le correspondan, a través del personal quesea necesario en cada caso, conforme se establece en esta DPC.9.6.3 Obligaciones de los titulares de los certificadosEs obligación de los titulares de los certificados emitidos bajo la presente DPC:OTC.1OTC.2OTC.3OTC.4OTC.5OTC.6OTC.7OTC.8OTC.9OTC.11Suministrar a las Autoridades de Registro información exacta, completa y veraz con relación alos datos que estas les soliciten para realizar el proceso de registro.Informar a los responsables de PKIAMP de cualquier modificación de esta información.Conocer y aceptar las condiciones de utilización de los certificados, en particular lascontenidas en esta DPC y en la PC, así como las modificaciones que se realicen sobre lasmismas.Limitar y adecuar el uso del certificado a propósitos lícitos y acordes con los usos permitidospor la Política de Certificación y la presente DPC.Poner el cuidado y medios necesarios para garantizar la custodia de su clave privada,evitando su pérdida, divulgación, modificación o uso no autorizado.Solicitar inmediatamente la revocación de un certificado en caso de tener conocimiento osospecha del compromiso de la clave privada correspondiente a la clave pública contenida enel certificado, entre otras causas por: pérdida, robo, compromiso potencial, conocimiento porterceros del PIN o PUK y detección de inexactitudes en la información. La forma en quepuede realizarse esta solicitud se encuentra especificada en el apartado 4.9.3.Destruir el certificado cuando así lo exija la CA, en virtud del derecho de propiedad que entodo caso conserva sobre el Certificado y cuando el Certificado caduque o sea revocado.No monitorizar, manipular o realizar actos de “ingeniería inversa” sobre la implantacióntécnica (hardware y software) de los servicios de certificación, sin permiso previo por escritode la Autoridad de Certificación.No transferir ni delegar sus responsabilidades sobre un certificado que le haya sido asignadoa un tercero.Cualquier otra que se derive de la ley, de esta DPC o de la Política de Certificación.9.6.4 Obligaciones de los terceros aceptantesEs obligación de los terceros que acepten y confíen en los certificados emitidos porPKIAMP:OTA.1OTA.2OTA.3OTA.4Limitar la fiabilidad de los certificados a los usos permitidos de los mismos, en conformidadcon lo expresado en las extensiones de los certificados y la Política de Certificación.Verificar la validez de los certificados en el momento de realizar cualquier operación basadaen los mismos mediante la comprobación de que el certificado es válido y no ha caducado oha sido suspendido o revocado.Asumir su responsabilidad en la correcta verificación de las firmas electrónicasAsumir su responsabilidad en la comprobación de la validez, revocación o suspensión de losDeclaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 60

Infraestructura PKI de laAutoridad Marítima de PanamáOTA.5OTA.6certificados en que confía.Conocer las garantías y responsabilidades derivadas de la aceptación de los certificados enlos que confía y asumir sus obligacionesNotificar cualquier hecho o situación anómala relativa al certificado y que pueda serconsiderado como causa de revocación del mismo.9.6.5 Obligaciones de otros participantesOOP.1El Servicio de Repositorio ha de mantener accesible para los Titulares y Terceros Aceptantesla información de los certificados que han sido revocados, en formato CRL.9.7. Limitaciones de responsabilidadSubsumido en 9.8.9.8. Responsabilidades9.8.1 Limitaciones de responsabilidadesPKIAMP responderá en el caso de incumplimiento de las obligaciones contenidas en laley vigente, en la presente DPC y en la Política de Certificación.9.8.2 Delimitación de responsabilidadesLa CA de PKIAMP no asume ninguna responsabilidad en caso de pérdida o perjuicio:RESP.1RESP.2RESP.3RESP.4RESP.5RESP.6RESP.7De los servicios que prestan, en caso de guerra, catástrofes naturales o cualquier otrosupuesto de caso fortuito o de fuerza mayor: alteraciones de orden público, huelga en lostransportes, corte de suministro eléctrico y/o telefónico, virus informáticos, deficiencias en losservicios de telecomunicaciones o el compromiso de las claves asimétricas derivado de unriesgo tecnológico imprevisible.Ocasionados durante el periodo comprendido entre la solicitud de un certificado y su entregaal usuarioOcasionados durante el periodo comprendido entre la revocación de un certificado y elmomento de publicación de la siguiente CRLOcasionados por el uso de certificados que exceda los límites establecidos por los mismos, laPolítica de Certificación pertinente y esta DPC.Ocasionado por el uso indebido o fraudulento de los certificados o CRLs emitidos porPKIAMPOcasionados por el mal uso de la información contenida en el certificado.La CA no será responsable del contenido de aquellos documentos firmados electrónicamenteni de cualquier otra información que se autentiquen mediante un certificado emitido por ella.9.8.3 Alcance de la coberturaSalvo que la PC establezca lo contrario los certificados emitidos por PKIAMP nopodrán ser utilizados para actividades con trascendencia económica.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 61

Infraestructura PKI de laAutoridad Marítima de Panamá9.8.4 Cobertura de seguro u otras garantías para los terceros aceptantesLos certificados emitidos por la CA de PKIAMP no permiten realizar transaccioneseconómicas a menos que quede explícitamente definido en la Política de Certificación.Aquellos certificados emitidos por la CA de PKIAMP que efectivamente esténautorizados para la realización de transacciones económicas y que por un usoirregular de los mismos pueda inferirse daños a los terceros aceptantes, el pago de lasindemnizaciones estará regulado en la Política de Certificación, siempre que aquelloshayan comprobado las firmas electrónicas realizadas con los mismos y verificado suvalidez.9.9. Limitaciones de pérdidasA excepción de lo establecido por las disposiciones de la presente DPC, PKIAMP noasume ningún otro compromiso ni brinda ninguna otra garantía, así como tampocoasume ninguna otra responsabilidad ante titulares de certificados o tercerosaceptantes.9.10. Periodo de validez9.10.1 PlazoEsta DPC entra en vigor desde el momento de su publicación en el repositorio dePKIAMP.Esta DPC estará en vigor mientras no se derogue expresamente por la emisión de unanueva versión o por la renovación de las claves de la CA, momento en queobligatoriamente se dictará una nueva versión.9.10.2 Sustitución y derogación de la DPCEsta 3 DPC será sustituida por una nueva versión con independencia de latrascendencia de los cambios efectuados en la misma, de forma que siempre será deaplicación en su totalidad.Cuando la DPC quede derogada se retirará del repositorio público de PKIAMP, si biense conservará durante 15 años.9.10.3 Efectos de la finalizaciónLas obligaciones y restricciones que establece esta DPC, en referencia a auditorías,información confidencial, obligaciones y responsabilidades de PKIAMP, nacidas bajosu vigencia, subsistirán tras su sustitución o derogación por una nueva versión en todoen lo que no se oponga a ésta3 En la DCP se incluirán nuevos datos tal y como se establece en la Ley de Firma Digital dePanamá como por ejemplo, el resultado de la evaluación obtenida por la realización deauditoría, etc.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 62

Infraestructura PKI de laAutoridad Marítima de Panamá9.11. Notificaciones individuales y comunicaciones con los participantesToda notificación, demanda, solicitud o cualquier otra comunicación requerida bajo lasprácticas descritas en esta DPC se realizará mediante mensaje electrónico o porescrito mediante correo certificado dirigido a cualquiera de las direcciones contenidasen el punto 1.5 Administración de las Políticas. Las comunicaciones electrónicasproducirán sus efectos una vez que las reciba el destinatario al que van dirigidas.9.12. Procedimientos de cambios en las especificaciones9.12.1 Procedimiento para los cambiosLa La Autoridad con atribuciones para realizar y aprobar cambios sobre la DPC y laPC de PKIAMP es la Autoridad de Aprobación de Políticas (AAP). Los datos decontacto de la AAP se encuentran en el apartado 1.5 Administración de las Políticasde esta DPC.9.12.2 Periodo y procedimiento de notificaciónEn el caso de que la AAP juzgue que los cambios a la especificación pueden afectar ala aceptabilidad de los certificados para propósitos específicos se comunicará a losusuarios de los certificados que se ha efectuado un cambio y que deben consultar lanueva DPC en el repositorio establecido. El mecanismo de comunicación será elcorreo electrónico si afecta a esta DPC y el que establezca en su caso en la PC.9.12.3 Circunstancias en las que el OID debe ser cambiadoNo estipulado.9.13. Reclamaciones y jurisdicciónTodas reclamaciones entre usuarios y PKIAMP deberán ser comunicadas por la parteen disputa a la Autoridad de Aprobación de Políticas (AAP) de la Autoridad Marítimade Panamá, con el fin de intentar resolverlo entre las mismas partes.Para la resolución de cualquier conflicto que pudiera surgir con relación a esta DPC oa la Política de Certificación, las partes, con renuncia a cualquier otro fuero quepudiera corresponderles, se someten a los Juzgados y Tribunales competentes dePanamá.9.14. Normativa aplicableLas operaciones y funcionamiento de PKIAMP, así como la presente Declaración dePrácticas de Certificación y la Política de Certificación, estarán sujetas a la normativaque les sea aplicable.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 63

Infraestructura PKI de laAutoridad Marítima de Panamá9.15. Cumplimiento de la normativa aplicableEs responsabilidad de la Autoridad de Aprobación de Políticas velar por elcumplimiento de la legislación aplicable recogida en el apartado anterior.9.16. Estipulaciones diversas9.16.1 Cláusula de aceptación completaTodos los Terceros Aceptantes asumen en su totalidad el contenido de la últimaversión de esta DPC y de la PC.9.16.2 IndependenciaEn el caso de que una o más estipulaciones de esta DPC sea o llegase a ser inválida,nula, o inexigible legalmente, se entenderá por no puesta, salvo que dichasestipulaciones fueran esenciales de manera que al excluirlas de la DPC careciera éstade toda eficacia jurídica.9.16.3 Resolución por la vía judicialNo estipulado.9.17. Otras estipulacionesNo estipulado.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 64

Infraestructura PKI de laAutoridad Marítima de Panamá10. Protección de datos de carácter personalSin menoscabo de otras obligaciones las Autoridades de Registro que se constituyanen PKIAMP verificarán que el solicitante de un certificado presta su consentimiento altratamiento de sus datos personales y es informado sobre la finalidad que se les va adar y su inclusión en el fichero declarado al efecto por PKIAMP.En los casos en que los datos no hayan sido recabados directamente de losinteresados, el PKIAMP o su representante informarán de forma expresa, precisa einequívoca a estos, dentro de los tres meses siguientes al momento del registro de losdatos, de lo recogido en el párrafo anterior.PKIAMP pone a disposición de los Terceros Aceptantes las listas de certificadosrevocados (que no contienen datos personales) para el cumplimiento diligente de losservicios de certificación. El Tercero Aceptante como cesionario de esta informaciónúnicamente podrá utilizarla de acuerdo con esas finalidades.Declaración de Prácticas de Certificación - Autoridad Marítima de Panamá Página: 65