Guía de implementación

Compartir
Facebook Twitter Copiar enlace WhatsApp LinkedIn

CA 4 Establecer los controles para el uso de firma electrónica.

ObjetivoLograr el cumplimiento con los lineamientos establecidos por la UCE y Agesic para el uso de firma electrónica avanzada.
AlcanceCualquier organización.
Referencia ISO 27001N/A
Guía de implementación

Cualquier sistema que necesite realizar una firma electrónica avanzada de persona jurídica o física debe cumplir con los siguientes requerimientos:
Contexto de aplicación: todos los casos
El sistema debe contar con los mecanismos para realizar firmas electrónicas basadas en certificados electrónicos X509v3.
En caso de tratarse de firmas de usuarios el mecanismo de firma debe estar integrado a la transacción del usuario.
Se debe soportar la autenticación de usuario y firmas electrónicas de documentos utilizando la cédula digital. Evaluar la integración al servicio brindado por Agesic.

Contexto de aplicación: Todos los casos de uso de firma electrónica. 
Debe soportar el uso de dispositivos criptográficos para la firma electrónica (tokens, smart cards, HSM, etc.)
Deben utilizarse estándares y protocolos seguros que no estén considerados obsoletos o vulnerables.
Deben utilizarse los estándares de codificación de firmas propios de los tipos de documentos firmados (XADES, PDFSignature, etc.)
Cuando no exista un formato de firma para el documento, se debe utilizar CMS-CAdES.
Validación de certificados a través de OCSP (Online Certificate Status Protocol), CRL (Certificate Revocation List) o equivalente.
En particular con las transacciones críticas del sistema, se debe describir la solución diseñada para la firma de las transacciones.
Deberá contar con mecanismos de validación de firmas y de certificados electrónicos.
En caso de tratarse de firmas a nivel de servidor, se debe garantizar la adecuada protección de la clave privada.
Debe poder hacer uso de certificados electrónicos emitidos por cualquier prestador de servicio de certificación acreditados ante la UCE, siguiendo todos los lineamientos de dicha unidad.

Contexto de aplicación: Cuando se necesita dejar constancia de fecha y hora de la firma, o si se necesita firma longeva.
Debe ser compatible con el RFC 3161 para la solicitud de sellos de tiempo tanto sobre HTTP como sobre TCP, y debe poder realizar firmas electrónicas incluyendo sellos de tiempo (con el formato del RFC 3161). 

Administración Central-
Instituciones de saludSe debe utilizar firma electrónica avanzada de la Institución (persona jurídica) para los siguientes casos:
a) Almacenar los documentos clínicos.
b) Intercambiar documentos clínicos.
c) Al recibir un CDA, validar la firma electrónica avanzada.
Para cumplir con el punto a) los documentos clínicos deben almacenarse al menos, con firma electrónica común del médico y firma electrónica avanzada de la Institución. El simple logueo al sistema no alcanza como método de firma. 
La recomendación para el punto a) es que cada médico utilice la firma electrónica avanzada de persona física para firmar los documentos clínicos.
Guía de evidencia para auditoríaDetalle técnico de la solución (aplicativo, módulo, etc.) que implementa firma electrónica avanzada.
Normativa asociadaLey 18.600: Documento Electrónico y Firma Electrónica.

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Política Digital del Uruguay Políticas de Ciberseguridad Ciberseguridad Herramientas para la ciudadanía Herramientas para organismos Política Digital del Uruguay