GUÍA DE AUTENTICACIÓN. Soluciones de seguridad para sitios web

Please download to get full document.

View again

All materials on our website are shared by users. If you have any questions about copyright issues, please report us to resolve them. We are always happy to assist you.
 18
 
  GUÍA DE AUTENTICACIÓN Soluciones de seguridad para sitios web Contenido Introducción...3 Tipos de certificado...4 Matriz de autenticación...5 Listas denegadas del gobierno de los EE. UU...6 Autenticación
Related documents
Share
Transcript
GUÍA DE AUTENTICACIÓN Soluciones de seguridad para sitios web Contenido Introducción...3 Tipos de certificado...4 Matriz de autenticación...5 Listas denegadas del gobierno de los EE. UU...6 Autenticación de organizaciones Jurisdicción Prueba del derecho con ejemplos Autenticación de dominios WHOIS Requisitos de dominios Métodos de aprobación alternativos Revisión de unidad organizativa / Confirmación de existencia operativa...11 Verificación de dirección...12 Número de teléfono de tercero Requisitos de contacto...15 Confirmación de empleo y autoridad con EV...16 Llamada de verificación/acuerdo de reconocimiento Certificados de dominio validado...19 Symantec Safe Site...20 Informe profesional del consultor...21 Prácticas recomendadas...22 Recursos para partners...23 Información de contacto...24 Introducción Symantec desarrolla una labor incansable para aportar las innovaciones y la tecnología capaces de proteger la información global en el panorama actual de amenazas en continuo cambio. Y en el desarrollo de avances, la autenticación constituye una parte esencial de nuestra cartera. Symantec ha impulsado y adoptado los Requisitos básicos de Certification Authority/Browser Forum para fortalecer aun más la seguridad en torno a las operaciones y los procesos de autenticación de SSL con el objeto de lograr mayor protección de las transacciones en línea, y mayor confianza en estas. Los Requisitos básicos de CA/B Forum, que ayudan a reducir el riesgo e incrementar la seguridad y la confianza del usuario, elevan el nivel de los estándares y la seguridad de la autenticación de todas las autoridades de certificación. Nuestros procedimientos establecidos de autenticación y verificación ayudan a los comerciantes a incrementar su volumen de negocio en línea, ya que inspiran confianza y seguridad a los consumidores mediante la verificación y la reducción del riesgo de fraude. Estos procedimientos son el resultado de años de utilización de una infraestructura de confianza para Internet durante los que hemos autenticado a más de medio millón de empresas. Como valioso partner autorizado de Website Security Partner Program, usted entiende que nuestras prácticas de autenticación son esenciales para la continuidad del negocio y el éxito de ventas de los partners. Symantec Website Security Solutions ha creado esta guía que le permitirá apreciar la eficacia y fiabilidad de este proceso, y entender el proceso de autenticación. La autenticación, tanto de individuos como de empresas, se inicia proporcionando información a Symantec durante el proceso de inscripción en línea. Según el tipo de certificado que se solicite, Symantec podría verificar que: Ni la organización ni las personas de contacto de la organización figuren en ninguna de las listas de entidades denegadas del gobierno de los Estados Unidos: Lista de países denegados, lista de personas denegadas, lista de entidades denegadas, lista del Departamento del Tesoro de los EE. UU., o estén sujetas a embargos, sanciones u otro tipo de restricciones. La organización cuenta con credenciales oficiales, como un acta constitutiva o licencia comercial, que la autorizan a desarrollar actividades empresariales. La organización es propietaria del nombre de dominio para el que se emite el certificado, O BIEN, ha obtenido del propietario del dominio el derecho legal a utilizar tal nombre de dominio. Es posible verificar a través del número de teléfono de un tercero que el personal de contacto de la organización está empleado en la organización que solicita el certificado. La organización opera en un domicilio físico verificado. Symantec también revisa detenidamente cualquier información de pedido que se haya destacado por su falta de coherencia con el pedido. Esta guía completa, que abarca desde el momento de inscripción hasta la emisión, proporciona información detallada en un estilo de fácil lectura. Anterior 3 Siguiente Tipos de certificado Symantec Website Security Partner Program le proporciona acceso a las soluciones de seguridad más prestigiosas. Este programa para partners incluye productos SSL y de seguridad de sitios web asequibles y de calidad superior que se encuentran a la cabeza del sector. Esta guía clasifica la oferta de productos disponible dentro de Website Security Partner Program en 5 categorías diferentes que se resumen a continuación: 1. Los certificados SSL con dominio validado (DV) proporcionan cifrado con autenticación solo de dominio, y comprueban la afiliación del solicitante con el uso del dominio. Oferta de productos de SSL con dominio validado: Thawte SSL123 GeoTrust QuickSSL Premium RapidSSL 2. Los certificados SSL con organización validada (OV) proporcionan autenticación empresarial completa, además de verificar la identidad empresarial y la propiedad del dominio. Oferta de productos de SSL con organización validada: Symantec Secure Site Symantec Secure Site Pro Symantec Secure Site Wildcard GeoTrust True Business ID GeoTrust True Business ID Wildcard Thawte SSL Web Server Thawte SGC SuperCert Thawte Wildcard SSL 3. Los certificados SSL con validación extendida (EV) utilizan un nivel de autenticación más riguroso, proporcionando el nivel de garantía más elevado del sector en la actualidad. Oferta de productos con validación extendida: Symantec Secure Site con EV Symantec Secure Site Pro con EV Thawte SSL Web Server con EV GeoTrust True Business ID con EV 4. Los ID con firma de código proporcionan autenticación empresarial completa. El ID genera una firma digital que proporciona autenticación del código fuente y garantiza la integridad del código. Oferta de productos con firma de código: Symantec Code Signing para organizaciones Thawte Code Signing para organizaciones Symantec Code Signing para individuos Thawte Code Signing para individuos 5. Symantec Safe Site verifica la identidad y confirma que el sitio ha pasado una exploración antimalware diaria mostrando el sello de protección de Norton. Symantec Safe Site no proporciona cifrado SSL. Oferta de productos de Symantec Safe Site: Symantec Safe Site para organizaciones Symantec Safe Site para individuos Nuestro programa de partners incluye productos SSL y de seguridad de sitios web asequibles y de calidad superior que se encuentran a la cabeza del sector. Anterior 4 Siguiente Matriz de productos de autenticación El nivel de autenticación varía según la categoría de certificado y el tipo de producto. Hemos creado una guía completa para que pueda comprender mejor lo que implica la validación de cada certificado. La siguiente matriz de productos de autenticación traza el curso de la autenticación. Además, a lo largo de la guía se pueden encontrar descripciones detalladas de cada uno de sus pasos. Nombre de producto Listas denegadas del gobierno de los EE. UU Autenticación de organizaciones Autenticación de dominios Revisión de unidad organizativa Confirmación de existencia operativa Confirmación de domicilio social Confirmación de núm. de teléfono de tercero Confirmación de empleo y autoridadde contacto con EV Verificación de contacto Acuerdo de reconocimiento Validación del dominio* Thawte SSL123 GeoTrust QuickSSL Premium RapidSSL Validación de la organización Validación extendida Firma de código Sitio seguro* Symantec Secure Site Symantec Secure Site Pro Symantec Secure Site Wildcard GeoTrust True Business ID GeoTrust True Business ID Wildcard Thawte SSL Web Server Thawte SGC SuperCert Thawte Wildcard SSL Symantec Secure Site con EV Symantec Secure Site Pro con EV Thawte SSL Web Server con EV GeoTrust True Business ID con EV Symantec Code Signing para organizaciones Thawte Code Signing para organizaciones Symantec Code Signing para individuos Thawte Code Signing para individuos Symantec Safe Site para organizaciones Symantec Safe Site para individuos *Estos productos incluyen prácticas de autenticación especializadas. Utilice la lista de Contenido para consultar secciones específicas y obtener información adicional. Anterior 5 Siguiente Listas denegadas del gobierno de los EE. UU. El gobierno estadounidense publica y mantiene las siguientes Listas denegadas por el gobierno. Estas listas incluyen organizaciones globales e individuos con los que Symantec tiene prohibido realizar negocios. Symantec no emitirá un certificado a una organización que figure en una de estas listas, o cuyas personas de contacto incluidas en el pedido figuren en estas listas, entre las que se incluyen: Lista de personas denegadas de la Oficina de Industria y Seguridad del Departamento de Comercio de los Estados Unidos: Se trata de infractores de las Normativas de Administración de Exportaciones. La lista de personas denegadas contiene información sobre nombres y direcciones de firmas e individuos a quienes se les niega acceso a los bienes estadounidenses, junto con el motivo de tal denegación. público a cumplir los diversos programas de sanciones administrados por la Oficina de Control de Bienes Extranjeros (OFAC). Symantec se asegura, asimismo, de que sus clientes no proceden de un país denegado, al que las empresas estadounidenses, y sus sedes en el extranjero, tienen prohibido por el gobierno de los EE. UU. vender ciertos productos. Estos países pueden cambiar cada cierto tiempo, pero en la actualidad incluyen: Cuba Irán Siria Sudán Corea del Norte Lista de entidades denegadas de la Oficina de Industria y Seguridad del Departamento de Comercio de los Estados Unidos: El gobierno estadounidense ha determinado que estas personas, estos países u organizaciones presentan un riesgo inaceptable de desviación de fondos para la fabricación de armas de destrucción masiva o misiles utilizados para proporcionar dichas armas. Lista del Departamento del Tesoro de los Estados Unidos de ciudadanos especialmente designados y personas bloqueadas: Se trata de ciudadanos especialmente designados y otras personas cuya propiedad se encuentre bloqueada por el gobierno estadounidense con el fin de ayudar al Anterior 6 Siguiente Autenticación de organizaciones Como parte del proceso de autenticación de Symantec, se valida el nombre de la organización introducido durante la inscripción, conforme aparece en el certificado SSL. La organización que solicita un certificado debe ser una entidad activa, confirmada por una autoridad oficial responsable del registro de empresas dentro de la jurisdicción específica (localidad, estado, país) nombrada en la solicitud del certificado. El nombre de la organización inscrita y el nombre confirmado deben coincidir perfectamente. No podemos aceptar errores en la ortografía, siglas no registradas, ni abreviaturas del nombre de la organización. Aviso importante: En los certificados de validación extendida se requiere que el nombre de la organización inscrita y el nombre confirmado coincidan exactamente, incluidos los identificadores corporativos (p. ej., Inc, Corp, LLC, Ltd, Pty Ltd, etc.). Symantec tiene acceso a gran cantidad de recursos oficiales en todo el mundo. En la mayoría de los casos, Symantec puede encontrar un documento de prueba del derecho archivado en una de las numerosas bases de datos oficiales y privadas a las que tiene acceso. Los siguientes son algunos ejemplos de recursos de autoridades oficiales : Secretaría de Estado de California (California Secretary of State; para empresas estadounidenses registradas en el Estado de California, EE. UU.) Ciudad de Chicago, Illinois (City of Chicago, IL; licencias para empresas de Chicago) Administración Nacional de Cooperativas de Crédito (National Credit Union Administration; cooperativas de crédito federales de los Estados Unidos) Registro de Sociedades Mercantiles del Reino Unido (UK Companies House) Cámara de Comercio (Kamer van Koophandel, KVK; empresas registradas en los Países Bajos) Registro de Empresas de Nueva Zelanda (New Zealand Companies Office) Administración Estatal de Industria y Comercio de la República Popular China No obstante, si no hay disponible un recurso particular, o no podemos validar su organización con los recursos disponibles, es posible que solicitemos una credencial comercial emitida por el gobierno, a menudo denominada Prueba del derecho (POR). La prueba del derecho es un documento que concede a una empresa u organización el derecho a realizar negocios con ese nombre. Si su organización requiere un documento de prueba del derecho, nos comunicaremos con la persona de contacto de la organización mencionada en la inscripción y solicitaremos una copia de un documento de prueba del derecho aceptable. La siguiente lista incluye, a modo no limitativo, algunos de los documentos aceptables: Acta constitutiva / certificado de constitución Licencia comercial / de proveedor / distribuidor / comerciante Acta de constitución / documentos de asociación Registro de nombre comercial o nombre de fantasía / opera con la denominación comercial de / declaración de nombre ficticio Registro mercantil Una vez recibido el documento de prueba del derecho, debemos validarlo de palabra con la autoridad emisora. Si no podemos confirmar la validez del documento con la autoridad emisora, es posible que recurramos a un tercero para verificar la existencia de la organización. Tenga en cuenta que, cada vez que se requiere documentación para un pedido, se puede retrasar el tiempo de emisión del certificado. No se pueden emitir certificados hasta que toda la documentación adecuada está en orden y ha sido verificada con la agencia emisora. Por este motivo, es esencial el envío puntual de la documentación. Anterior 7 Siguiente Autenticación de organizaciones Como se ha indicado en la página anterior, los artículos que se verifican con los recursos de autoridades oficiales son: 1. El nombre de la organización incluido en la inscripción: debe coincidir exactamente con el registro comercial. 2. La jurisdicción: país, estado y ciudad (cuando corresponda) deben coincidir con los que figuran en la inscripción. 3. El estado de la organización: debe ser activo o equivalente; toda organización con estado inactivo o revocado, o un estado equivalente, no podrá obtener un certificado SSL y tendrá que actualizar su estado. Organización: Symantec (UK) Limited País: GB Estado: Berkshire Localidad (ciudad): Reading Organización: Symantec (UK) Limited País: EE. UU. Estado: California Localidad (ciudad): Mountain View Organización: Symantec Corporation País: EE. UU. Estado: California Localidad (ciudad): Mountain View 0 0 x x0 0 x Organización: SYMC LTD País: GB Estado: Berkshire Localidad (ciudad): Reading Anterior 8 Siguiente Autenticación de dominios Para que Symantec valide el nombre o los nombres de dominio de su sitio web, debe encontrar prueba de que usted es propietario del nombre de dominio que intenta proteger o tiene derecho legal a utilizar ese nombre de dominio. En el primer caso, se comprueban las bases de datos en línea que incluyen el propietario legal de todos los nombres de dominio que protegemos. Un informe WHOIS es un servicio que ofrecen la mayoría de los registradores de dominios y proporciona información sobre la propiedad (responsable del registro) del domino, así como información de contacto. Por ejemplo, para encontrar al propietario del dominio Symantec.com 1. Podríamos realizar una búsqueda WHOIS 2. Introducir el dominio en cuestión (p. ej., Symantec. com) y revisar los resultados de la búsqueda 3. El responsable del registro (propietario) del dominio es Symantec Corporation Según las extensiones de su dominio, Symantec utilizará varias bases de datos de búsqueda WHOIS para determinar quién es el responsable del registro (propietario) del dominio. Aviso importante: Ya no están permitidos los nombres comunes de Intranet (que no contienen un nombre de dominio que cumple todos los requisitos) conforme a las directrices del sector (CA Browser Forum). Debemos verificar, asimismo, que los dominios enumerados en la inscripción del certificado están registrados con un registrador acreditado por una de las siguientes organizaciones: ICANN (Corporación para la Asignación de Nombres y Números en Internet): Para los dominios de nivel superior sin código de país (.com,.net,.org,.biz, etc.) y las extensiones de dominio de nivel superior con código de país internacional (.de,.uk,.au,.cn, etc.) IANA (Autoridad de Números Asignados en Internet): Para extensiones de dominio de nivel superior de código de país internacional (.de,.uk,.au,.cn, etc.) Anterior 9 Siguiente Autenticación de dominios Qué ocurre si el dominio no está registrado a nombre de la organización que aparece en la inscripción del certificado? Si el responsable del registro (propietario) del dominio inscrito en el pedido no coincide con la razón social de la organización (según lo verificado durante la autenticación de la organización), podríamos requerir una actualización de la información del responsable del registro con el registrador del dominio para ver el nombre legal completo de la organización. Si un dominio es de registro privado, es decir, que la verdadera identidad del responsable del dominio no se hace pública, solicitaremos que la identidad esté disponible durante el tiempo imprescindible para validar la propiedad. Alternativamente, cabe la posibilidad de que aprobemos el dominio si: El dominio está registrado con una organización matriz, subsidiaria, o legalmente vinculada, que esté verificada. El administrador del dominio (que aparece en el informe WHOIS ) concede autorización para que la organización tenga control exclusivo del dominio. Esto se puede hacer a través de uno de los siguientes métodos: Confirmación de palabra: llamaremos al número de teléfono que figure en el informe WHOIS Confirmación por escrito: enviaremos un mensaje de correo electrónico al administrador que aparece en el informe WHOIS (las respuestas deben recibirse desde la misma dirección de correo electrónico a la que se envió el mensaje); o bien, podríamos enviar la solicitud a su dominio, a los siguientes alias previamente aprobados. Ejemplo: En una inscripción para podemos dirigirnos a Se envía un Informe profesional del consultor, firmado y certificado por un abogado autorizado o contador público certificado en el mismo país que la organización. (Ver la sección Informe profesional del consultor). El cliente puede realizar una demostración práctica del control del dominio. Esta se lleva a cabo mediante la publicación temporal por parte del cliente de un código de seguridad (que proporcionan nuestros representantes de autenticación) en su sitio web. Nuestros representantes de autenticación deben poder encontrar a la persona de contacto de la organización utilizando el número de teléfono de un tercero verificado con el nombre de la organización. Si el contacto técnico o el contacto de la organización no puede completar una demostración práctica directamente, podrá incluir en conferencia a un empleado de la organización que sea capaz de cumplir los requisitos de la demostración práctica. Pero el contacto técnico o de la organización deberá permanecer en línea. Una vez que nuestro representante de autenticación confirma el código de seguridad y el control del dominio, se puede eliminar el código del sitio web. Si no hay disponible un informe WHOIS para un determinado dominio de nivel superior (p. ej., dominios.zm), será necesario confirmar directamente con las listas de registradores de IANA que el responsable del registro es responsable de ese dominio de nivel superior. Anterior 10 Siguiente Unidad organizativa / Confirmación de existencia operativa Como parte de los Requisitos básicos de CA/Browser Forum para certificados SSL, es necesario validar la unidad organizativa introducida en la Solicitud de firma de
Related Search
We Need Your Support
Thank you for visiting our website and your interest in our free products and services. We are nonprofit website to share and download documents. To the running of this website, we need your help to support us.

Thanks to everyone for your continued support.

No, Thanks
SAVE OUR EARTH

We need your sign to support Project to invent "SMART AND CONTROLLABLE REFLECTIVE BALLOONS" to cover the Sun and Save Our Earth.

More details...

Sign Now!

We are very appreciated for your Prompt Action!

x