RFC 3628 - Extracted requirements
 Share
The version of the browser you are using is no longer supported. Please upgrade to a supported browser.Dismiss

View only
 
ABCDEFGHIJKLMNOPQRST
1
EnglishEspañol
2
SectionQuoteSecciónCita
3
15.1. Overview... an accuracy of 1 second or better.5.1 Visión general... una precisión de un segundo o mejor.
4
25.2. IdentificationIn the TSA disclosure statement made available to subscribers and
relying parties, a TSA shall also include the identifier for the
time-stamp policy to indicate its conformance.
5.2. IdentificaciónEn la declaración de divulgación de la TSA puesta a disposición de los suscriptores y de las partes que confían, la TSA incluirá también el identificador de la política de sello de tiempo para indicar que se cumple con este.
5
35.3. User Community and ApplicabilityThis policy may be used for public time-stamping services or timestamping
services used within a closed community.
5.3. Comunidad de usuarios y aplicabilidadEsta política puede utilizarse tanto para servicios de sellado de tiempo público como para servicios de sellado de tiempo utilizados dentro de una comunidad cerrada.
6
45.4. ConformanceThe TSA shall use the identifier for the time-stamp policy in timestamp
tokens as given in section 5.2, or define its own time-stamp
policy that incorporates or further constrains the requirements
identified in the present document:
5.4. ConformidadLa TSA utilizará el identificador para la política de sello de tiempo en los tokens de sellado de tiempo tal como se da en la sección 5.2, o definirá su propia política de sello de tiempo que incorpora o restringe más los requisitos identificados en el presente documento:
7
56.1.2. TSA Obligations Towards SubscribersThe TSA shall meet its claims as given in its terms and conditions
including the availability and accuracy of its service.
6.1.2. Obligaciones de la TSA con los suscriptoresLa TSA deberá cumplir lo que indica en conformidad con sus términos y condiciones, incluyendo la disponibilidad y exactitud de su servicio.
8
66.2. Subscriber ObligationsNOTE: It is advisable that, when obtaining a time-stamp token, the
subscriber verifies that the time-stamp token has been correctly
signed and that the private key used to sign the time-stamp token has
not been compromised.
6.2. Obligaciones del suscriptorNOTA: Es recomendable que, al obtener un token de sellado de tiempo, el suscriptor verifique que éste se ha firmado correctamente y que la clave privada utilizada para firmar el token de sello de tiempo no ha sido comprometida.
9
76.3. Relying Party ObligationsThe terms and conditions made available to relying parties (see
section 7.1.2) shall include an obligation on the relying party that,
when relying on a time-stamp token, it shall:
...
6.3. Obligaciones de los terceros que confíanLos términos y condiciones puestos a disposición de los terceros que confían (véase la sección 7.1.2) incluirán la obligación de la parte dependiente de que, al confiar en un token de sello de tiempo, deberá:
10
86.4. LiabilityThe present document does not specify any requirement on liability.
In particular, it should be noticed that a TSA may disclaim or limit
any liability unless otherwise stipulated by the applicable law.
6.4. Responsabilidades legalesEl presente documento no especifica ningún requisito de responsabilidad legal. En particular, debe notarse que la TSA puede renunciar o limitar cualquier responsabilidad legal a menos que se estipule lo contrario por la ley aplicable.
11
97.1.1. TSA Practice Statementa) The TSA shall have a risk assessment carried out in order to
evaluate business assets and threats to those assets in order to
determine the necessary security controls and operational
procedures.
7.1.1. Declaracion de las prácticas de TSAa) La TSA deberá realizar una evaluación de riesgos con el fin de evaluar los activos de la empresa y las amenazas a dichos activos con el fin de determinar los controles de seguridad y los procedimientos operativos necesarios.
12
10b) The TSA shall have a statement of the practices and procedures
used to address all the requirements identified in this time-stamp
policy.
b) La TSA debe tener una declaración de las prácticas y procedimientos utilizados para abordar todos los requisitos identificados en esta política de sellado de tiempo.
13
11c) The TSA’s practice statement shall identify the obligations of all
external organizations supporting the TSA services including the
applicable policies and practices.
c) La declaración de prácticas de la TSA debe identificar las obligaciones de todas las organizaciones externas que apoyan los servicios de la TSA, incluidas las políticas y prácticas aplicables.
14
12d) The TSA shall make available to subscribers and relying parties
its practice statement, and other relevant documentation, as
necessary, to assess conformance to the time-stamp policy.
d) La TSA debe poner a disposición de los suscriptores y de los terceros que confían su declaración de prácticas y otra documentación pertinente, según sea necesario, para evaluar la conformidad con la política de sellado de tiempo.
15
13e) The TSA shall disclose to all subscribers and potential relying
parties the terms and conditions regarding use of its timestamping
services as specified in section 7.1.2.
e) La TSA debe publicar para todos los suscriptores y potenciales terceros que confían los términos y condiciones de uso de los servicios de sellado de tiempo, tal como se especifica en la sección 7.1.2.
16
14f) The TSA shall have a high level management body with final
authority for approving the TSA practice statement.
f) La TSA debe contar con un órgano de gestión de alto nivel y autoridad final para la aprobación de la declaración de prácticas de la TSA.
17
15g) The senior management of the TSA shall ensure that the practices are properly implemented.g) La alta dirección de la TSA deberá asegurar que las prácticas son implementadas correctamente.
18
16h) The TSA shall define a review process for the practices including
responsibilities for maintaining the TSA practice statement.
h) La TSA debe definir un proceso de revisión de las prácticas, incluyendo responsabilidades por el mantenimiento de la declaración de prácticas de TSA.
19
17i) The TSA shall give due notice of changes it intends to make in its
practice statement and shall, following approval as in (f) above,
make the revised TSA practice statement immediately available as
required under (d) above.
i) La TSA debe notificar debidamente los cambios que pretenda hacer en su declaración de prácticas y, siguiendo la aprobación en (f), debe hacer que la declaración de prácticas revisada de la TSA esté disponible inmediatamente como es requerido en (d).
20
187.1.2. TSA Disclosure Statementa) The TSA contact information.
7.1.2. Declaración de divulgación de información de la TSA
a) Información de contacto de la TSA.
21
19b) The time-stamp policy being applied.b) La política de sellado de tiempo siendo aplicada.
22
20c) At least one hashing algorithm which may be used to represent the
datum being time-stamped. (No hash algorithm is mandated).
c) Al menos un algoritmo de resumen que pueda usarse para representar los datos a los que se les aplica el sello de tiempo. (Ningún algoritmo de resumen es obligatorio).
23
21d) The expected life-time of the signature used to sign the timestamp
token (depends on the hashing algorithm being used, the
signature algorithm being used and the private key length).
d) El tiempo de vida estimado de la firma utilizada para firmar el token de sellado de tiempo (depende del algoritmo de resumen utilizado, el algoritmo de firma utilizado y de la longitud de la clave privada).
24
22e) The accuracy of the time in the time-stamp tokens with respect to
UTC.
e) La precisión del tiempo en los tokens de sellado de tiempo con respecto a UTC.
25
23f) Any limitations on the use of the time-stamping service.f) Cualquier limitación en el uso del servicio de sellado de tiempo.
26
24g) The subscriber’s obligations as defined in section 6.2, if any.g) Las obligaciones del suscriptor tal como se definen en la sección 6.2, si las hay.
27
25h) The relying party’s obligations as defined in section 6.3.h) Las obligaciones de los terceros que confían tal como se definen en la sección 6.3.
28
26i) Information on how to verify the time-stamp token such that the
relying party is considered to "reasonably rely" on the time-stamp
token (see section 6.3) and any possible limitations on the
validity period.
i) Información sobre la forma de verificar el token de sellado de tiempo, de modo que se considere que el tercero que confía "confía razonablemente" (véase la sección 6.3) y en las posibles limitaciones del período de validez.
29
27j) The period of time during which TSA event logs (see section
7.4.10) are retained.
j) El periodo de tiempo en el cual los registros de eventos de la TSA permanecen guardados (conforme a la sección 7.4.10).
30
28k) The applicable legal system, including any claim to meet the
requirements on time-stamping services under national law.
k) El sistema jurídico aplicable, incluida toda pretensión de satisfacer los requisitos relativos a los servicios de sellado de tiempo en virtud de la legislación nacional.
31
29l) Limitations of liability.l) Limitaciones de la responsabilidad legal.
32
30m) Procedures for complaints and dispute settlement.m) Procedimientos para reclamos y solución de controversias.
33
31n) If the TSA has been assessed to be conformant with the identified
time-stamp policy, and if so by which independent body.
n) Indicar si la TSA ha sido evaluada respecto a la política de sellado de tiempo determinado, y si es así por qué órgano independiente fue evaluada.
34
32NOTE 1: It is also recommended that the TSA includes in its
time-stamping disclosure statement availability of its service,
for example the expected mean time between failure of the timestamping
service, the mean time to recovery following a failure,
and provisions made for disaster recovery including back-up
services;
NOTA 1: También se recomienda que la TSA incluya en su declaración de divulgación de información la disponibilidad de su servicio, por ejemplo, el tiempo promedio esperado entre el fallo del servicio de sellado de tiempo, el tiempo promedio de recuperación después de un fallo y las provisiones para la recuperación de desastres, incluyendo los servicios de respaldo.
35
33NOTE 2: A model TSA disclosure statement which may be used as the
basis of such a communication is given in annex D. Alternatively
this may be provided as part of a subscriber / relying party
agreement. These TSA disclosure statements may be included in a
TSA practice statement provided that they are conspicuous to the
reader.
NOTA 2: En el anexo D se presenta un modelo de declaración de divulgación de información de la TSA que puede utilizarse como base para dicha comunicación. Alternativamente, esto puede ser proporcionado como parte de un acuerdo de un suscriptor / tercero que confía. Estas declaraciones de publicación de la TSA pueden incluirse en la declaración de prácticas de la TSA siempre que sean evidentes para el lector.
36
347.2.1. TSA Key Generationa) The generation of the TSU’s signing key(s) shall be undertaken in
a physically secured environment (see section 7.4.4) by personnel
in trusted roles (see section 7.4.3) under, at least, dual
control. The personnel authorized to carry out this function
shall be limited to those requiring to do so under the TSA’s
practices.
7.2.1. Generacion de claves de la TSAa) La generación de la(s) clave(s) de firma de la TSU se debe llevar a cabo en un entorno físicamente seguro (ver sección 7.4.4) por personal con roles de confianza (ver sección 7.4.3) bajo, al menos, control dual. El personal autorizado para llevar a cabo esta función se limitará a aquellos que requieran hacerlo bajo las prácticas de la TSA.
37
35b) The generation of the TSU’s signing key(s) shall be carried out
within a cryptographic module(s) which either:
- meets the requirements identified in FIPS 140-1 [FIPS 140-1]
level 3 or higher, or
- meets the requirements identified in CEN Workshop Agreement
14167-2 [CWA 14167-2], or
- is a trustworthy system which is assured to EAL 4 or higher in
accordance to ISO 15408 [ISO 15408], or equivalent security
criteria. This shall be to a security target or protection
profile which meets the requirements of the current document,
based on a risk analysis and taking into account physical and
other non-technical security measures.
b) La generación de la(s) clave(s) de firma de la TSU se debe llevar a cabo dentro de un módulo o módulos criptográficos que: 
- cumple con los requisitos identificados en FIPS 140-1 [FIPS 140-1] nivel 3 o superior, o
  - cumple con los requisitos identificados en el CEN Workshop Agreement 14167-2 [CWA 14167-2], o
  - es un sistema confiable que se asegura a EAL 4 o superior de acuerdo con ISO 15408 [ISO 15408], o con criterios de seguridad equivalentes. Se tratará de un objetivo de seguridad o perfil de protección que cumpla los requisitos del documento actual, basado en un análisis de riesgos y teniendo en cuenta medidas físicas y otras medidas de seguridad no técnicas.
38
36c) The TSU key generation algorithm, the resulting signing key length
and signature algorithm used for signing time-stamp tokens key
shall be recognized by any national supervisory body, or in
accordance with existing current state of art, as being fit for
the purposes of time-stamp tokens as issued by the TSA.
c) El algoritmo de generación de claves de la TSU, el algoritmo de firma y longitud de clave resultante utilizado para firmar la clave de tokens de sellado de tiempo, serán reconocidos por cualquier órgano de supervisión nacional, o de acuerdo con el estado actual de la técnica, como aptos para los tokens de sellado de tiempo emitidos por la TSA.
39
377.2.2. TSU Private Key Protectiona) The TSU private signing key shall be held and used within a
cryptographic module which:
- meets the requirements identified in FIPS 140-1 [FIPS 140-1]
level 3 or higher; or
- meets the requirements identified in CEN Workshop Agreement
14167-2 [CWA 14167-2]; or
- is a trustworthy system which is assured to EAL 4 or higher in
accordance to ISO 15408 [ISO 15408], or equivalent security
criteria. This shall be a security target or protection profile
which meets the requirements of the current document, based on
a risk analysis and taking into account physical and other
non-technical security measures.
7.2.2. Protección de las claves privadas de la TSUa) La clave privada de firma de la TSU se mantendrá y utilizará dentro de un módulo criptográfico que:
  - cumple con los requisitos identificados en FIPS 140-1 [FIPS 140-1] nivel 3 o superior; o
  - cumple con los requisitos identificados en el CEN Workshop Agreement 14167-2 [CWA 14167-2]; o
  - es un sistema confiable que se asegura a EAL 4 o superior de acuerdo con ISO 15408 [ISO 15408], o con criterios de seguridad equivalentes. Este será un objetivo de seguridad o perfil de protección que cumpla los requisitos del presente documento, basado en un análisis de riesgos y teniendo en cuenta medidas físicas y otras medidas de seguridad no técnicas.
40
38NOTE: Backup of TSU private keys is deprecated in order to
minimize risk of key compromise.
NOTA: La copia de seguridad de las claves privadas de la TSU se considera obsoleta para minimizar el riesgo de compromiso clave.
41
39b) If TSU private keys are backed up, they shall be copied, stored
and recovered only by personnel in trusted roles using, at least,
dual control in a physically secured environment. (see section
7.4.4). The personnel authorized to carry out this function shall
be limited to those requiring to do so under the TSA’s practices.
b) Si se realiza una copia de respaldo de las claves privadas de la TSU, éstas sólo serán copiadas, almacenadas y recuperadas por personal con roles de confianza que utilicen, al menos, la autorización dual en un entorno físicamente seguro. (Véase la sección 7.4.4). El personal autorizado para llevar a cabo esta función se limitará a aquellos que requieran hacerlo bajo las prácticas de la TSA.
42
40c) Any backup copies of the TSU private signing keys shall be
protected to ensure its confidentiality by the cryptographic
module before being stored outside that device.
c) Cualquier copia de seguridad de las claves de firma privada de la TSU deberá estar protegida para asegurar su confidencialidad por el módulo criptográfico antes de ser almacenada fuera de ese dispositivo.
43
417.2.3. TSU Public Key Distributiona) TSU signature verification (public) keys shall be made available
to relying parties in a public key certificate.
7.2.3. Distribución de la clave pública de la TSUa) Las claves de verificación de firmas (públicas) de la TSU se pondrán a disposición de los terceros que confían en un certificado de clave pública.
44
42b) The TSU’s signature verification (public) key certificate shall be
issued by a certification authority operating under a certificate
policy which provides a level of security equivalent to, or higher
than, this time-stamping policy.
b) El certificado de clave de verificación de firma (pública) de la TSU será emitido por una autoridad certificadora que opere bajo una política de certificado que proporcione un nivel de seguridad equivalente o superior a esta política de sellado de tiempo.
45
437.2.4. Rekeying TSU’s KeyThe life-time of TSU’s certificate shall be not longer than the
period of time that the chosen algorithm and key length is recognized
as being fit for purpose (see section 7.2.1c)).
7.2.4. Regeneración de claves de la TSUEl tiempo de vida del certificado de la TSU no será superior al período en que se reconozca que el algoritmo elegido y la longitud de la clave son aptos para el propósito (véase la sección 7.2.1c)).
46
447.2.5. End of TSU Key Life CycleThe TSA shall ensure that TSU private signing keys are not used
beyond the end of their life cycle.
7.2.5. Fin del ciclo de vida de las claves de la TSULa TSA debe asegurar que las claves de firma privadas de la TSU no se utilicen más allá del final de su ciclo de vida.
47
45a) Operational or technical procedures shall be in place to ensure
that a new key is put in place when a TSU’s key expires.
a) Se deberán establecer procedimientos operativos o técnicos para garantizar que se genere una nueva clave cuando expire la clave de la TSU.
48
46b) The TSU private signing keys, or any key part, including any
copies shall be destroyed such that the private keys cannot be
retrieved.
b) Las claves privadas de firma de la TSU, o cualquier parte de clave, incluyendo cualquier copia, serán destruidas de manera que las claves privadas no puedan ser recuperadas.
49
47c) The TST generation system SHALL reject any attempt to issue TSTs
if the signing private key has expired.
c) El sistema de generación de TST rechazará cualquier intento de emitir TSTs si la clave privada de firma ha expirado.
50
487.2.6. Life Cycle Management of the Cryptographic Module used to Sign
Time-Stamps
a) Time-stamp token signing cryptographic hardware is not tampered
with during shipment;
7.2.6. Gestion del ciclo de vida del módulo criptográfico usado para la firma de sellos de tiempo
a) El hardware criptográfico de firma de token de sellado de tiempo no se manipula durante el envío;
51
49b) Time-stamp token signing cryptographic hardware is not tampered
with while stored;
b) El hardware criptográfico de firma de tokens de sellado de tiempo no se manipula durante el almacenamiento.
52
50c) Installation, activation and duplication of TSU’s signing keys in
cryptographic hardware shall be done only by personnel in trusted
roles using, at least, dual control in a physically secured
environment. (see section 7.4.4);
c) La instalación, activación y duplicado de las claves de firma de la TSU en el hardware criptográfico deberá ser realizado solamente por el personal con roles de confianza usando, al menos, control dual en un ambiente físicamente seguro (ver sección 7.4.4).
53
51d) Time-stamp token signing cryptographic hardware is functioning
correctly; and
d) El hardware criptográfico de firma de tokens de sellado de tiempo está funcionando correctamente; y
54
52e) TSU private signing keys stored on TSU cryptographic module are
erased upon device retirement.
e) Las claves privadas de firma de la TSU almacenadas en el módulo criptográfico de la TSU se borran al retirarse el dispositivo.
55
537.3.1. Time-Stamp Tokena) The time-stamp token shall include an identifier for the timestamp
policy;
7.3.1. Token de sellado de tiempoa) El token de sellado de tiempo deberá incluir un identificador para la política de sellado de tiempo.
56
54b) Each time-stamp token shall have a unique identifier;b) Cada token de sellado de tiempo deberá contar con un identificador único.
57
55c) The time values the TSU uses in the time-stamp token shall be
traceable to at least one of the real time values distributed by a
UTC(k) laboratory.
c) Los valores de tiempo que utiliza la TSU en el token de sellado de tiempo serán trazables hasta por lo menos uno de los valores en tiempo real distribuidos por un laboratorio UTC (k).
58
56d) The time included in the time-stamp token shall be synchronized
with UTC within the accuracy defined in this policy and, if
present, within the accuracy defined in the time-stamp token
itself;
d) El tiempo incluido en el token de sellado de tiempo denerá estar sincronizado con UTC dentro de la precisión definida en esta política y, si está presente, dentro de la precisión definida en el token de sellado de tiempo.
59
57e) If the time-stamp provider’s clock is detected (see section
7.3.2c)) as being out of the stated accuracy (see section 7.1.2e))
then time-stamp tokens shall not be issued.
e) Si se detecta que el reloj del proveedor de sellado de tiempo (véase la sección 7.3.2c)) ha perdido la precisión declarada (ver sección 7.1.2e)), no se emitirán los tokens de sellado de tiempo.
60
58f) The time-stamp token shall include a representation (e.g., hash
value) of the datum being time-stamped as provided by the
requestor;
f) El token de sellado de tiempo incluirá una representación (ej, resumen) del dato que está siendo sellado tal como es proporcionado por el solicitante.
61
59g) The time-stamp token shall be signed using a key generated
exclusively for this purpose.
g) El token de sellado de tiempo se firmará utilizando una clave generada exclusivamente para este fin.
62
60h) The time-stamp token shall include:
- where applicable, an identifier for the country in which the
TSA is established;
- an identifier for the TSA;
- an identifier for the unit which issues the time-stamps.
h) El token de sellado de tiempo incluirá:
  - Si procede, un identificador para el país en el que se establece la TSA.
  - Un identificador para la TSA.
  - Un identificador para la unidad que emite los sellos de tiempo.
63
617.3.2. Clock Synchronization with UTCa) The calibration of the TSU clocks shall be maintained such that
the clocks shall not be expected to drift outside the declared
accuracy.
7.3.2. Sincronización del reloj con UTCa) Se deberá mantener la calibración de los relojes de la TSU de modo que no se espere que los relojes se desvíen fuera de la precisión declarada.
64
62b) The TSU clocks shall be protected against threats which could
result in an undetected change to the clock that takes it outside
its calibration.
b) Los relojes de la TSU deberán estar protegidos contra amenazas que pudieran resultar en un cambio no detectado del reloj que lo lleve fuera de su calibración.
65
63c) The TSA shall ensure that, if the time that would be indicated in
a time-stamp token drifts or jumps out of synchronization with
UTC, this will be detected (see also 7.3.1e)).
NOTE 2: Relying parties are required to be informed of such events
(see section 7.4.8).
c) La TSA se asegurará de que, si el tiempo que se indica en un token de sellado de tiempo se desvía o salta fuera de sincronización con UTC, esto se detectará (véase también 7.3.1e)).
NOTA 2: Se requiere que los terceros que confían sean informados de tales eventos (ver sección 7.4.8).
66
64d) The TSA shall ensure that clock synchronization is maintained when
a leap second occurs as notified by the appropriate body. The
change to take account of the leap second shall occur during the
last minute of the day when the leap second is scheduled to occur.
A record shall be maintained of the exact time (within the
declared accuracy) when this change occurred. See annex A for
more details.
d) La TSA se asegurará de que la sincronización del reloj se mantenga cuando se produce un segundo intercalar según lo notificado por el organismo apropiado. El cambio a tener en cuenta del segundo intercalar se producirá durante el último minuto del día en que el segundo intercalar está programado. Se mantendrá un registro del tiempo exacto (dentro de la exactitud declarada) de cuándo este cambio ocurrió. Véase el anexo A para más detalles.
67
657.4.1. Security Managementa) The TSA shall retain responsibility for all aspects of the
provision of time-stamping services within the scope of this
time-stamp policy, whether or not functions are outsourced to
subcontractors. Responsibilities of third parties shall be
clearly defined by the TSA and appropriate arrangements made to
ensure that third parties are bound to implement any controls
required by the TSA. The TSA shall retain responsibility for the
disclosure of relevant practices of all parties.
7.4.1. Gestión de la seguridada) La TSA conservará la responsabilidad para todos los aspectos de la prestación de servicios de sellado de tiempo dentro del ámbito de esta política de sellado de tiempo, independientemente de que las funciones sean o no subcontratadas a subcontratistas. Las responsabilidades de los terceros deberán estar claramente definidas por las disposiciones de la TSA y los arreglos necesarios para garantizar que las terceras partes están obligadas a implementar los controles requeridos por la TSA. La TSA conservará la responsabilidad de la publicación de las prácticas pertinentes de todas las partes.
68
66b) The TSA management shall provide direction on information security
through a suitable high level steering forum that is responsible
for defining the TSA’s information security policy. The TSA shall
ensure publication and communication of this policy to all
employees who are impacted by it.
b) La gestión de la TSA deberá proporcionar orientación en seguridad de la información a través de una dirección de alto nivel adecuada que sea responsable de definir la política de seguridad de la información de la TSA. La TSA deberá asegurar la publicación y comunicación de esta política a todos los empleados que son afectados por ella.
69
67c) The information security infrastructure necessary to manage the
security within the TSA shall be maintained at all times. Any
changes that will impact on the level of security provided shall
be approved by the TSA management forum.
c) La infraestructura de seguridad de la información necesaria para administrar la seguridad dentro de la TSA se mantendrá en todo momento. Cualquier cambio que tenga impacto en el nivel de seguridad proporcionado será aprobado por el foro de administración de la TSA.
70
68d) The security controls and operating procedures for TSA facilities,
systems and information assets providing the time-stamping
services shall be documented, implemented and maintained.
d) Se documentarán, aplicarán y mantendrán los controles de seguridad y los procedimientos operativos de las instalaciones, sistemas y activos de información de la TSA que proporcionen los servicios de sellado de tiempo.
71
69e) TSA shall ensure that the security of information is maintained
when the responsibility for TSA functions has been outsourced to
another organization or entity.
e) La TSA deberá asegurar que la seguridad de la información se mantenga cuando la responsabilidad de las funciones de la TSA haya sido subcontratada a otra organización o entidad.
72
707.4.2. Asset Classification and ManagementThe TSA shall maintain an inventory of all assets and shall assign
a classification for the protection requirements to those assets
consistent with the risk analysis.
7.4.2. Gestión y clasificación de activosLa TSA mantendrá un inventario de todos los activos y asignará una clasificación para los requisitos de protección a esos activos de acuerdo con el análisis de riesgo.
73
717.4.3. Personnel Securitya) The TSA shall employ personnel which possess the expert knowledge,
experience and qualifications necessary for the offered services
and as appropriate to the job function.
7.4.3. Seguridad del personala) La TSA deberá emplear personal que posea los conocimientos especializados, la experiencia y las calificaciones necesarias para los servicios ofrecidos según corresponda a la función de trabajo.
74
72b) Security roles and responsibilities, as specified in the TSA’s
security policy, shall be documented in job descriptions. Trusted
roles, on which the security of the TSA’s operation is dependent,
shall be clearly identified.
b) Los roles y responsabilidades de seguridad, tal como se especifica en la política de seguridad de la TSA, se documentarán en las descripciones de los puestos. Los roles de confianza, de los cuales depende la seguridad de la operación de la TSA, deben estar claramente identificados.
75
73c) TSA personnel (both temporary and permanent) shall have job
descriptions defined from the view point of separation of duties
and least privilege, determining position sensitivity based on the
duties and access levels, background screening and employee
training and awareness. Where appropriate, these shall
differentiate between general functions and TSA specific
functions. These should include skills and experience requirements.
c) El personal de la TSA (tanto temporales como permanentes) deberá tener descripciones de tareas definidas desde el punto de vista de separación de roles y privilegios mínimos, determinando la sensibilidad de posición basada en los derechos y niveles de acceso. Cuando proceda, éstos diferenciarán funciones generales y funciones específicas de la TSA. Estos deben incluir los requisitos de habilidades y experiencia.
76
74d) Personnel shall exercise administrative and management procedures
and processes that are in line with the TSA’s information security
management procedures (see section 7.4.1).
d) El personal deberá ejecutar procedimientos y procesos administrativos y de gestión que estén en consonancia con los procedimientos de gestión de seguridad de la información de la TSA (ver sección 7.4.1).
77
75e) Managerial personnel shall be employed who possess:
- knowledge of time-stamping technology; and
- knowledge of digital signature technology; and
- knowledge of mechanisms for calibration or synchronization the
TSU clocks with UTC; and
- familiarity with security procedures for personnel with security
responsibilities; and
- experience with information security and risk assessment.
e) Se deberá contratar personal directivo que posea:
  - conocimiento de la tecnología de sellado de tiempo; y
  - conocimiento de la tecnología de firma digital; y
  - conocimiento de los mecanismos de calibración o sincronización de los relojes de la TSU con UTC; y
  - familiaridad con los procedimientos de seguridad para el personal con responsabilidades de seguridad; y
  - experiencia en seguridad de la información y evaluación de riesgos.
78
76f) All TSA personnel in trusted roles shall be free from conflict of
interest that might prejudice the impartiality of the TSA
operations.
f) Todo el personal de la TSA en roles de confianza deberá estar libre de conflictos de intereses que puedan perjudicar la imparcialidad de las operaciones de la TSA.
79
77g) Trusted roles include roles that involve the following
responsibilities:
- Security Officers: Overall responsibility for administering the
implementation of the security practices.
- System Administrators: Authorized to install, configure and
maintain the TSA trustworthy systems for time-stamping
management.
- System Operators: Responsible for operating the TSA trustworthy
systems on a day-to-day basis. Authorized to perform system
backup and recovery.
- System Auditors: Authorized to view archives and audit logs of
the TSA trustworthy systems.
g) Los roles de confianza incluyen funciones que implican las siguientes
responsabilidades:
  - Oficiales de seguridad: Responsabilidad general para administrar la implementación de las prácticas de seguridad.
  - Administradores de sistemas: Autorizados para instalar, configurar y mantener los sistemas confiables de la TSA para la gestión del sellado de tiempo.
  - Operadores de sistema: Responsables de operar los sistemas confiables de la TSA en el día a día. Autorizados para realizar copias de seguridad y recuperación del sistema.
  - Auditores del Sistema: Autorizados para ver archivos y registros de auditoría de los sistemas confiables de la TSA.
80
78h) TSA personnel shall be formally appointed to trusted roles by
senior management responsible for security.
h) El personal de la TSA deberá ser formalmente designado para roles de confianza por la dirección responsable de la seguridad.
81
79i) The TSA shall not appoint to trusted roles or management any
person who is known to have a conviction for a serious crime or
other offense which affects his/her suitability for the position.
Personnel shall not have access to the trusted functions until any
necessary checks are completed.
i) La TSA no deberá desginar los roles de confianza o la gestión a ninguna persona que tiene una condena por un delito grave u otro delito que afecta a su idoneidad para el cargo. El personal no tendrá acceso a los roles de confianza hasta que se realicen los controles necesarios.
82
807.4.4. Physical and Environmental Securitya) For both the time-stamping provision and the time-stamping
management:
- physical access to facilities concerned with time-stamping
services shall be limited to properly authorized individuals;
- controls shall be implemented to avoid loss, damage or
compromise of assets and interruption to business activities;
and
- controls shall be implemented to avoid compromise or theft of
information and information processing facilities.
7.4.4. Seguridad física y del entornoa) Tanto para la provision como para la gestión del sellado de tiempo:
  - el acceso físico a las instalaciones relacionadas con los servicios de sellado de tiempo estará limitado a las personas debidamente autorizadas;
  - se aplicarán controles para evitar pérdidas, daños o compromisos de los bienes e interrupción de las actividades empresariales; y
  - se aplicarán controles para evitar el compromiso o el robo de información e instalaciones de procesamiento de información.
83
81b) Access controls shall be applied to the cryptographic module to
meet the requirements of security of cryptographic modules as
identified in clauses 7.2.1 and 7.2.2.
b) Se aplicarán controles de acceso al módulo criptográfico para cumplir con los requisitos de seguridad de los módulos criptográficos tal como se indica en las cláusulas 7.2.1 y 7.2.2.
84
82c) The following additional controls shall be applied to timestamping
management:
- The time-stamping management facilities shall be operated in an
environment which physically protects the services from
compromise through unauthorized access to systems or data.
- Physical protection shall be achieved through the creation of
clearly defined security perimeters (i.e., physical barriers)
around the time-stamping management. Any parts of the premises
shared with other organizations shall be outside this
perimeter.
- Physical and environmental security controls shall be
implemented to protect the facility that houses system
resources, the system resources themselves, and the facilities
used to support their operation. The TSA’s physical and
environmental security policy for systems concerned with timestamping
management shall address as a minimum the physical
access control, natural disaster protection, fire safety
factors, failure of supporting utilities (e.g., power,
telecommunications), structure collapse, plumbing leaks,
protection against theft, breaking and entering, and disaster
recovery.
- Controls shall be implemented to protect against equipment,
information, media and software relating to the time-stamping
services being taken off-site without authorization.
c) Los siguientes controles adicionales deberán ser aplicados a la gestión del sellado de tiempo:
 - Las instalaciones de gestión del sellado de tiempo serán operadas en un entorno que proteja físicamente los servicios del compromiso por acceso no autorizado a sistemas o datos.
 - La protección física se logrará mediante la creación de perímetros de seguridad claramente definidos (es decir, barreras físicas) alrededor de la gestión de sellado de tiempo. Cualquier área compartida con otras organizaciones deberá estar fuera de este perímetro.
 - Se implementarán controles de seguridad física y ambiental para proteger la instalación que alberga los recursos del sistema, los propios recursos del sistema y las instalaciones utilizadas para apoyar su operación. La política de seguridad física y ambiental de la TSA para los sistemas que se ocupan de la gestión del sellado de tiempo deberá abordar como mínimo el control de acceso físico, la protección contra desastres naturales, los factores de seguridad contra incendios, fallas en los servicios de soporte (energía, telecomunicaciones), colapso de la estructura, fugas de plomería, protección contra robo, allanamiento de propiedad y recuperación de desastres.
 - Se establecerán controles para impedir que los equipos, la información, los medios de comunicación y los programas informáticos relacionados con los servicios de sellado de tiempo horario sean retirados fuera de las instalaciones sin autorización.
85
837.4.5. Operations Managementa) The integrity of TSA system components and information shall be
protected against viruses, malicious and unauthorized software.
7.4.5. Gestión de operacionesa) La integridad de los componentes e información del sistema de la TSA estarán protegidos contra virus, software malicioso y no autorizado.
86
84b) Incident reporting and response procedures shall be employed in
such a way that damage from security incidents and malfunctions
shall be minimized.
b) Los procedimientos de notificación y respuesta de incidentes deberán emplearse de tal forma que se minimicen los daños causados por incidentes de seguridad y malfuncionamientos.
87
85c) Media used within the TSA trustworthy systems shall be securely
handled to protect media from damage, theft, unauthorized access
and obsolescence.
c) Los medios de comunicación utilizados dentro de los sistemas confiables de la TSA deberán ser manejados de manera segura para proteger los medios contra daños, robo, acceso no autorizado y obsolescencia.
88
86d) Procedures shall be established and implemented for all trusted
and administrative roles that impact on the provision of timestamping
services.
d) Se establecerán y aplicarán procedimientos para todas los roles administrativos y de confianza que tengan un impacto en la prestación de servicios de sellado de tiempo.
89
87e) All media shall be handled securely in accordance with
requirements of the information classification scheme (see section
7.4.2). Media containing sensitive data shall be securely
disposed of when no longer required.
e) Todos los medios de comunicación deberán ser manipulados de forma segura de acuerdo con los requisitos del esquema de clasificación de información (ver sección 7.4.2). Los medios que contengan datos sensibles se eliminarán de forma segura cuando ya no sean necesarios.
90
88f) Capacity demands shall be monitored and projections of future
capacity requirements made to ensure that adequate processing
power and storage are available.
f) Las demandas de capacidad deberán ser monitoreadas y se establecerán proyecciones de las futuras necesidades de capacidad para garantizar que se disponga de capacidad de procesamiento y almacenamiento adecuados.
91
89g) The TSA shall act in a timely and coordinated manner in order to
respond quickly to incidents and to limit the impact of breaches
of security. All incidents shall be reported as soon as possible
after the incident.
g) La TSA deberá actuar de manera oportuna y coordinada con el fin de responder rápidamente a los incidentes y para limitar el impacto de las violaciones de la seguridad. Todos los incidentes deben ser reportados tan pronto como sea posible luego de haber sucedido.
92
90h) TSA security operations shall be separated from other operations.h) Las operaciones de seguridad de la TSA deberán ser separadas de otras operaciones.
93
917.4.6. System Access Managementa) Controls (e.g., firewalls) shall be implemented to protect the
TSA’s internal network domains from unauthorized access including
access by subscribers and third parties.
7.4.6. Gestión de acceso a los sistemasa) Se implementarán controles (por ejemplo, cortafuegos) para proteger los dominios de la red interna de la TSA contra el acceso no autorizado, incluyendo el acceso de suscriptores y terceros.
94
92b) The TSA shall ensure effective administration of user (this
includes operators, administrators and auditors) access to
maintain system security, including user account management,
auditing and timely modification or removal of access.
b) La TSA deberá garantizar la administración efectiva del acceso de los usuarios (esto incluye operadores, administradores y auditores) para mantener la seguridad
del sistema, incluyendo la gestión de las cuentas de usuario, la auditoría y la modificación o eliminación oportuna del acceso.
95
93c) The TSA shall ensure that access to information and application
system functions is restricted in accordance with the access
control policy and that the TSA system provides sufficient
computer security controls for the separation of trusted roles
identified in TSA’s practices, including the separation of
security administrator and operation functions. Particularly, use
of system utility programs is restricted and tightly controlled.
c) La TSA se asegurará de que el acceso a las funciones de información y aplicaciones del sistema está restringida de acuerdo con la política de control de acceso y que el sistema de la TSA proporciona suficientes controles de seguridad informática para la separación de las funciones de confianza identificadas en las prácticas de la TSA, incluyendo la separación de funciones del administrador de seguridad y el de operación.
Particularmente, el uso de programas de utilidad del sistema es restringido y estrictamente controlado.
96
94d) TSA personnel shall be properly identified and authenticated
before using critical applications related to time-stamping.
d) El personal de la TSA deberá estar debidamente identificado y autenticado antes de utilizar las aplicaciones críticas relacionadas con el sellado de tiempo.
97
95e) TSA personnel shall be accountable for their activities, for
example by retaining event logs (see section 7.4.10).
e) El personal de la TSA será responsable de sus acciones, por ejemplo mediante la
retención de registros de eventos (ver sección 7.4.10).
98
96f) The TSA shall ensure that local network components (e.g., routers)
are kept in a physically secure environment and that their
configurations are periodically audited for compliance with the
requirements specified by the TSA.
f) La TSA se asegurará de que los componentes de la red local (por ejemplo, routers) se mantienen en un entorno físicamente seguro y que sus configuraciones son auditadas periódicamente para el cumplimiento de los requisitos especificados por la TSA.
99
97g) Continuous monitoring and alarm facilities shall be provided to
enable the TSA to detect, register and react in a timely manner upon
any unauthorized and/or irregular attempts to access its resources.
g) Se proporcionarán instalaciones de monitoreo y alarma continuos para que la TSA pueda detectar, registrar y reaccionar oportunamente ante cualquier intento no autorizado y/o irregular de acceso a sus recursos.
100
987.4.7. Trustworthy Systems Deployment and Maintenancea) An analysis of security requirements shall be carried out at the
design and requirements specification stage of any systems
development project undertaken by the TSA or on behalf of the TSA
to ensure that security is built into IT systems.
7.4.7. Mantenimiento y despliegue de sistemas confiables
a) El análisis de los requisitos de seguridad se llevará a cabo en la etapa de diseño y especificación de requisitos de cualquier proyecto de desarrollo de sistemas llevado a cabo por la TSA o a nombre de la TSA para asegurar que la seguridad esté incorporada en los sistemas de TI.
Loading...