Requisitos de respuesta a incidentes de seguridad: Programa de certificados raíz de confianza de Microsoft

  • Artículo

Definiciones

  1. "Un riesgo" significa un incidente directo o indirecto que afecta a la entidad de certificación, a la subentidad de certificación o a los certificados raíz con firma cruzada no inscritos, lo que da lugar a una degradación real o potencial de la categoría de seguridad de la PKI, que incluye problemas de hardware, software o acceso físico.

  2. "Incidente de seguridad" o "Incidente" significa cualquiera de los siguientes eventos que tienen lugar en la entidad de certificación o en una subentidad de certificación:

    1. Una clave privada comprometida.
    2. Un certificado mal emitido.
    3. Un riesgo conocido, o razonablemente conocido, y notificado públicamente.
    4. Cualquier riesgo físico de la infraestructura de las entidades de certificación (por ejemplo, un error de control de acceso físico, un riesgo de compilación o un error de HVAC en el centro de datos).
    5. Cualquier otro problema que Microsoft identifique como una llamada a la integridad o la confiabilidad de la entidad de certificación.

  3. "Circunstancias excepcionales" significa aquellos incidentes en los que Microsoft considera que la PKI está en peligro en cuanto a su efecto sobre la posición de seguridad de un gran número de clientes de Microsoft.

Responsabilidades de la entidad de certificación en caso de incidente

Todas las entidades de certificación deben tener al menos un alias o un contacto supervisado 24/7 para la administración de incidentes.

En caso de producirse un incidente de seguridad, la entidad de certificación debe hacer lo siguiente:

  1. Notificarlo a Microsoft tan pronto como sea factible, pero dentro de las 24 horas desde el momento de la detección del incidente de seguridad mediante la respuesta a las siguientes preguntas y el envío de las respuestas a msroot@microsoft.com. El formulario requiere la siguiente información (si se conoce en ese momento):

    • Quién detectó el incidente.
    • Si está disponible, quién perpetró el incidente.
    • Cuándo la entidad de certificación detectó el incidente.
    • Dónde se produjo el incidente.
    • Qué certificados raíz, subentidades de certificación y número de certificados de usuario final que se vieron afectados por el incidente.
    • Lo que la entidad de certificación considera la causa subyacente del incidente.
    • Qué medidas correctivas ha tomado o tomará la entidad de certificación que cree que solucionará la causa subyacente del incidente.
    • Cualquier otra información que la entidad de certificación crea conveniente.
    • Cualquier otra información que Microsoft solicitó cuando respondió a la notificación inicial.
    • Cualquier información o acción que la entidad de certificación solicite que tome Microsoft para aumentar la seguridad o mitigar el problema para los usuarios finales.

  2. A petición de Microsoft, la entidad de certificación debe proporcionar una lista de todos los certificados que se emitieron incorrectamente como resultado del incidente.

  3. A petición de Microsoft, la entidad de certificación debe proporcionar a Microsoft informes periódicos en un intervalo especificado por Microsoft. Si Microsoft no realiza una solicitud específica, la entidad de certificación debe proporcionar a Microsoft una actualización cada 24 horas hasta que se corrija el incidente.

  4. Una vez resuelto el incidente, la entidad de certificación debe proporcionar a Microsoft un informe final del incidente de seguridad que incluya:

    • Una lista de certificados y dominios involucrados en la infracción.
    • ¿Cómo detectó la entidad de certificación el incidente? Si la entidad de certificación no detectó la infracción, ¿quién lo hizo y por qué la entidad de certificación no la detectó?
    • Si hubo un error de coincidencia en los informes en el tiempo, ¿por qué sucedió esto?
    • Descripción detallada de la vulnerabilidad de seguridad.
    • Detalles sobre qué infraestructura se ha visto comprometida.
    • Detalles sobre cómo se ha comprometido la infraestructura.
    • Escala de tiempo detallada de eventos.
    • Interpretación de la entidad de certificación de quién ha perpetrado la infracción.
    • ¿La vulnerabilidad fue detectada durante el funcionamiento normal de las entidades de certificación? Si no es así, explique por qué.
    • ¿Se ha detectado la vulnerabilidad en la auditoría más reciente? En caso afirmativo, proporcione información si la vulnerabilidad se ha corregido. Si no se ha corregido la vulnerabilidad, proporcione información sobre el motivo de no hacerlo.
    • ¿Se ha detectado esta vulnerabilidad en la auditoría más reciente? Si no es así, explique por qué.
    • Si la vulnerabilidad se detectó en la auditoría más reciente, ¿se ha corregido? Si no es así, explique por qué.
    • ¿Qué cambios realizará la entidad de certificación en las directivas CP/CPS?
    • Descripción detallada de cómo se cerró el problema.

  5. Si Microsoft lo solicita, un informe técnico y de investigación completo del riesgo.

Derechos de Microsoft en caso de un incidente

En caso de un incidente de seguridad, Microsoft puede, a su entera discreción, realizar cualquiera de las acciones siguientes:

  1. En circunstancias excepcionales, quitar inmediatamente o no permitir ningún certificado que la entidad de certificación o cualquier subentidad de certificación haya inscrito en el programa; en los demás casos, puede quitar o no permitir ningún certificado después de proporcionar un aviso con siete días de antelación a la entidad de certificación.
  2. Microsoft puede tomar medidas, por ejemplo, marcar los archivos firmados por certificados en peligro como malware, bloquear la navegación web a sitios que se atienden con certificados de autenticación de servidor en peligro, etc.
  3. Solicitar a la entidad de certificación que realice informes específicos a intervalos periódicos que determine Microsoft.
  4. Especificar una fecha de vencimiento para que la entidad de certificación envíe a Microsoft un informe final de incidentes de seguridad.
  5. Comunicarse con terceros afectados.
  6. Exigir que la entidad de certificación contrate, a su costa, un investigador de terceros para investigar el incidente de seguridad y preparar el informe final.
  7. Descalificar una auditoría aprobada y exigir que la entidad de certificación realice una nueva auditoría con las condiciones exigidas y asumiendo la totalidad de los gastos.

Responsabilidades de Microsoft en caso de un incidente de seguridad

En caso de que Microsoft ejercite cualquiera de los derechos descritos anteriormente, Microsoft hará lo siguiente:

  1. Notificará por escrito a la entidad de certificación sus intenciones 7 días antes de la acción de Microsoft, excepto en circunstancias excepcionales, en cuyo caso Microsoft hará esfuerzos razonables para comunicarse con la entidad de certificación antes de tomar medidas.

  2. Permitirá que la entidad de certificación proponga una vía de acción alternativa, en cuyo caso Microsoft considerará alternativas razonables, pero se reserva el derecho de rechazar dichas propuestas si considera que la vía de acción propuesta no les conviene a sus clientes.