Guía de Implementación del Marco de Ciberseguridad 5.0

CA.4 Establecer los controles para el uso de firma electrónica

Requisito CA.4Establecer los controles para el uso de firma electrónica
ObjetivoLograr el cumplimiento con los lineamientos establecidos por la UCE y Agesic para el uso de firma electrónica avanzada.
Controles

Nivel 1

  • CA.4-1: la organización identifica los sistemas y procesos que requieren firma electrónica avanzada.
  • CA.4-2: los sistemas con firma electrónica utilizados por la organización soportan el uso de certificados electrónicos X.509v3 emitidos por prestadores acreditados ante la UCE.
  • CA.4-3: se utilizan protocolos seguros y actualizados, evitando tecnologías criptográficas obsoletas o vulnerables.
  • CA.4-4: deben utilizarse los estándares de codificación de firmas propios de los tipos de documentos firmados (XADES, PDFSignature, etc.).
  • CA.4-5: se debe hacer la validación de certificados a través de OCSP (Online Certificate Status Protocol), CRL (Certificate Revocation List) o equivalente.  

Nivel 2

  • CA.4-6: la solución incorpora medidas de detección de firmas alteradas o invalidadas, incluyendo trazabilidad del error.

Nivel 3

  • CA.4-7: la organización documenta un procedimiento técnico y funcional para la implementación de firma electrónica avanzada.
  • CA.4-8: los sistemas deben soportar el uso de dispositivos criptográficos dedicados en todos los casos de uso de todos los prestadores de Firma Electrónica Avanzada acreditados por la UCE.
  • CA.4-9: la firma digital está embebida en todos los procesos de la organización que la requieren, de modo que los usuarios pueden firmar o validar firmas en el contexto de cada sistema.

Nivel 4

  • CA.4-10: los sistemas deben permitir el uso de sellos de tiempo compatibles con RFC 3161.
  • CA.4-11: se realizan auditorías de los módulos de firma electrónica, incluyendo pruebas de cumplimiento de formatos, protocolos, protección de claves y servicios de sellado de tiempo.
  • CA.4-12: los resultados de las auditorías o revisiones son analizados e incorporados a la mejora de la solución y comunicados al RSI.
Guía de implementación

Cualquier sistema que necesite realizar una firma electrónica avanzada de persona jurídica o física debe cumplir con los siguientes requerimientos:

Contexto de aplicación: todos los casos

  • El sistema debe contar con los mecanismos para realizar firmas electrónicas basadas en certificados electrónicos X509v3.
  • En caso de tratarse de firmas de usuarios el mecanismo de firma debe estar integrado a la transacción del usuario.
  • Se debe soportar la autenticación de usuario y firmas electrónicas de documentos utilizando la cédula digital. Evaluar la integración al servicio brindado por Agesic.

Contexto de aplicación: Todos los casos de uso de firma electrónica

  • Debe soportar el uso de dispositivos criptográficos para la firma electrónica (tokens, smart cards, HSM, etc.)
  • Deben utilizarse estándares y protocolos seguros que no estén considerados obsoletos o vulnerables.
  • Deben utilizarse los estándares de codificación de firmas propios de los tipos de documentos firmados (XADES, PDFSignature, etc.)
  • Cuando no exista un formato de firma para el documento, se debe utilizar CMS-CAdES.
  • Validación de certificados a través de OCSP (Online Certificate Status Protocol), CRL (Certificate Revocation List) o equivalente.
  • En particular con las transacciones críticas del sistema, se debe describir la solución diseñada para la firma de las transacciones.
  • Deberá contar con mecanismos de validación de firmas y de certificados electrónicos.
  • En caso de tratarse de firmas a nivel de servidor, se debe garantizar la adecuada protección de la clave privada.
  • Debe poder hacer uso de certificados electrónicos emitidos por cualquier prestador de servicio de certificación acreditados ante la UCE, siguiendo todos los lineamientos de dicha unidad.
  • Se debe implementar una solución (posiblemente integración mediante API a firma.gub.uy) para integrar la posibilidad de firmar utilizando cualquier prestador de firma electrónica avanzada uruguaya en forma embebida, así como también para la validación de firmas digitales.

Contexto de aplicación: cuando se necesita dejar constancia de fecha y hora de la firma, o si se necesita firma longeva.

  • Debe ser compatible con el RFC 3161 para la solicitud de sellos de tiempo tanto sobre HTTP como sobre TCP, y debe poder realizar firmas electrónicas incluyendo sellos de tiempo (con el formato del RFC 3161).

Es importante aclarar que, a la fecha de publicación de esta guía, firma.gub.uy a través de API está disponible solamente para el sector público.

Instituciones de salud

Se debe utilizar firma electrónica avanzada de la Institución (persona jurídica) para los siguientes casos:

  1. Almacenar los documentos clínicos.
  2. Intercambiar documentos clínicos.
  3. Al recibir un CDA, validar la firma electrónica avanzada.

Para cumplir con el punto 1) los documentos clínicos deben almacenarse al menos, con firma electrónica común del médico y firma electrónica avanzada de la Institución.

La recomendación para el punto 1) es que cada médico utilice la firma electrónica avanzada de persona física para firmar los documentos clínicos.

La autenticación con usuario nominado al sistema no es válida como método de firma.

Para cumplir el punto 3) es necesario validar la vigencia del certificado al momento de la firma y validar la correspondencia de la institución en el certificado y en la firma del CDA.

Instituciones Emisoras de Dinero Electrónico (IEDE)No aplica
Guía de evidencia para auditoría
  • Detalle técnico de la solución (aplicativo, módulo, etc.) que implementa firma electrónica avanzada.
Normativa asociadaLey N° 18.600: Documento Electrónico y Firma Electrónica.

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Política Digital del Uruguay Políticas de Ciberseguridad Ciberseguridad Herramientas para la ciudadanía Herramientas para organismos Política Digital del Uruguay