¿Los contenidos mínimos que debe presentar una firma electrónica son los contenidos en el artículo 46 del Decreto 47-2008 y el artículo 135-2009?¿Estos contenidos aplican tanto a la firma simple como a la avanzada?

Julio 15th, 2009 No hay comentarios

Hay que hacer referencia a lo que establece el art. 33 de la ley.

La firma electrónica avanzada debe reunir los atributos que establece el tercer párrafo del artículo 33 y los que establece el artículo 46 del decreto 47-2008, así como los que establece el artículo 18 del Acuerdo Gubernativo 135-2009.

 

La firma electrónica o firma electrónica simple, debe reunir los requisitos del artículo 46 del decreto 47-2008 y los que establece el artículo 18 del Acuerdo Gubernativo 135-2009.

 

Debido a estos requerimientos de la ley en la materia y su reglamento, el PSC puede incluir en sus respectivos certificados más características o elementos de seguridad a los establecidos por los artículos referidos para cada firma, pero en ningún momento menos de los indicados. Por otra parte, como se señala en el reglamento, “Los atributos adicionales que los prestadores de servicios de certificación introduzcan con la finalidad de incorporar límites al uso del certificado, no deberán dificultar o impedir la lectura de las mencionadas en el presente artículo ni su reconocimiento por terceros.”

La diferencia entre ambas firmas es únicamente el art. 33 que se aplica solo a la avanzada, porque el 46 de la ley y el 18 del reglamento se refieren al contenido del certificado no al tipo de firma en sí, y tomando en consideración que ambas firmas llevan implícito éste certificado es aplicable a las 2.

¿Se puede trabajar la norma ISO IEC 9001 apegado a la ISO IEC 27,001 en un solo documento?

Junio 5th, 2009 No hay comentarios

No hay una norma rígida de cómo tienen que ser los documentos, o si debe ser 1 o varios. Más importante que eso es el hecho de cubrir todos los requisitos, poder mantener documentada la forma en que se da cumplimiento a ellos, y hacer los seguimientos y controles que los estándares exigen.

Por lo mismo, las empresas podrían decidir tener un sólo documento para ambos estándares, impreso, en el cual incluir todos los requisitos, procedimientos, hojas de registro, etc. y estaría bien.

También podrían tener un documento electrónico con aspecto de página web, en el cual se pudiera revisar cada requisito, procedimiento, registro, etc. a través del computador, y al cual tuvieran acceso todas las personas de la empresa que lo requieran.

Incluso en ciertas condiciones de trabajo, el personal podría tener acceso a parte del documento, por ejemplo algunos procedimientos, en formato de video o audio. De hecho, para quién está armando una máquina puede ser más ilustrativo ver un video o fotos, que un tratado escrito.

En Japón por ejemplo en una planta de Hyundai se armaban refrigeradores, y las personas en la línea de producción tenían el procedimiento dibujado en una pizarra.

Por eso más importante que fijar un estándar de documento, es que los PSC usen la forma más útil y fácil, según su propio estilo de trabajo. Luego el auditor que vaya a certificarlos verá si el método escogido efectivamente es bueno como para que se cumplan los objetivos de la calidad y seguridad.

Las empresas pueden trabajar los estándares de la forma que les resulte más cómodo.

Como los estándares son compatibles para ser implementados simultáneamente, se podría diseñar un sólo manual de base que contemplara el manual de la calidad y seguridad. En ese manual se podrían trabajar los capítulos de cada estándar, y los temas específicos de cada uno de ellos los cuales se pueden tener en documentos independientes que son referenciados desde este manual.

Por lo tanto,  es opción de cada empresa el decidir qué les resulta más cómodo y fácil de usar: un documento, dos, 10 referenciados desde uno inicial. etc.

¿Qué es el RPSC?

Junio 5th, 2009 2 comentarios

RPSC (Registro de prestadores de Servicios de Certificación) es una entidad adscrita al Ministerio de Economía bajo el Decreto 47-2008 que tiene las funciones de autorizar, registrar e inscribir a las empresas prestadoras de servicios de certificación y realizar auditorías e inspección a fin de verificar la operación de estas empresas velando así por el funcionamiento y la eficiente prestación del servicio por parte de los prestadores de servicios de certificación.

¿Cómo se debe entender el Requisito 4-C - Para la operación de la Autoridad de Registro, y de todas las delegadas que existan en ese rol?

Junio 5th, 2009 No hay comentarios

Dicho requisito establece una medida transitoria y una definitiva.

Medida transitoria: Certificado del estándar internacional ISO 9001, en el cual se consigne a su vez que dentro de los compromisos asumidos por la entidad está el apego al estándar ISO/IEC 27001. O las respectivas normas guatemaltecas que las homologuen, respectivamente.

A contar del 31 de marzo de 2011, todas las empresas, nuevas y autorizadas, deberán cumplir con lo siguiente en reemplazo de la medida transitoria: Certificados de los estándares internacionales ISO 9001 e ISO/IEC 27001. O las respectivas normas guatemaltecas que las homologuen, respectivamente.

Por tanto, el objetivo perseguido con el Requisito 4-C es el cumplimiento de la certificación en ambos estándares.

El Sistema de Gestión de la Calidad de ISO 9001 es la estructura organizacional, responsabilidades, procedimientos, procesos y recursos para implementar la gestión de calidad necesaria para alcanzar los objetivos establecidos en la política de calidad [ISO 8402], en este caso, de un Prestador de Servicios de Certificación (PSC).

Los objetivos de la calidad del PSC se complementan con otros objetivos de la organización, incluyendo los objetivos de seguridad informática, y se pueden integrar en un sistema de gestión único, utilizando elementos comunes para facilitar la planificación, asignación de recursos, establecimiento de objetivos complementarios, evaluación de la eficacia global, etc.

En la definición del alcance (SCOPE) en que se implementará ISO 9001 deberán considerarse no sólo aquellos procesos relevantes desde el punto de vista de la calidad para prestar el servicio de Autoridad de Registro, sino que también deberán incluirse los procesos relativos a la seguridad de la información, usando ISO/IEC 27001 como guía para identificar los controles pertinentes a la forma de operación del PSC.

El PSC deberá identificar, como mínimo, los requisitos de seguridad de la información asociados a su rol de Autoridad de Registro, tomando como base un análisis y evaluación documentado respecto de los riesgos y amenazas que enfrenta, y según ello, determinar cuáles de los controles establecidos en el Anexo A Tabla A.1 Objetivos de control y controles de ISO/IEC 27001 son aplicables, desarrollándolos, y para los no aplicables, indicando por qué no lo son.

¿Si la empresa va a ofrecer servicio de Estampado Cronológico y/o de Conservación de Datos, requiere tener un Data Center en territorio guatemalteco?

Junio 5th, 2009 No hay comentarios

No. El Data Center puede estar dentro o fuera del territorio guatemalteco.

Más importante que la localización del Data Center es el contenido del contrato de prestación de servicios que regula la relación entre el PSC y el proveedor. Esto, porque el PSC es quien mantendrá la responsabilidad primera frente al RPSC. Por tanto, dicho contrato debe abarcar todos los puntos relevantes que permitan al PSC dar confianza respecto de los servicios ofrecidos, como si los estuviera prestando por sí mismo, además de incorporar los requisitos que le son aplicables al PSC según el Decreto 47-2008 y sus regulaciones asociadas, en particular, la mantención de las certificaciones establecidas en la Guía de Evaluación.