Banco Central de Costa Rica XI Reunión de Responsables de Sistemas de Información San José, Costa Rica, 7 de Julio del 2009 Carlos Melegatti Sarlo Melegattisc@bccr.fi.cr

Agenda Sobre el Sistema de Pagos de Costa Rica - SINPE El Sistema Nacional de Certificación Digital Visita virtual a las infraestructuras de certificación La estrategia en SINPE como Entidad Certificadora Estrategia para la masificación de la tecnología Tipos de Certificados Digitales Utilizando la Firma Digital – Gestión de atributos

El Sistema de Pagos de Costa Rica

El Sistema de Pagos de Costa Rica Clientes: Personas Empresas Clientes: Personas Empresas Relación privada Cliente Origen Clientes Destino Medios: Sitios Web Sucursales Otros Bancos Financieras Mutuales Cooperativas Casas de Cambio Puestos de Bolsa Fondos de Inversión Fondos de Pensiones Operadores de Tarjetas Asociaciones Solidaristas Instituciones Públicas Cuenta Cliente Interfaz Cliente OCX, XML, XSL, HTML, DHTML Procolos Interfaz Cliente – Lógica Negocio DCOM. Servicios = DCD, ILI, OGS, MCR, COC, AES, OLP, SCR, TEF, CLC, LSE MSMQ y SOAP Servicios = Agente. Lógica Negocio COM+ MSMQ WebService AppCenter Seguridad en aplicaciones COM+ por roles. Utilitarios para el mantenimiento de las aplicaciones COM+. (Snapin’s). Monitores de servicios implementados como servicios del sistema operativo. Esquema de Alarmas: Alarmas de Hardware y Alarmas de Software. Herramientas para monitoreo de los servicios. Protocolos Lógica Negocio – Base Datos ADO, ADOMD Paso de datos XML Capa Base datos SQLServer 2000 Bancos Mutuales Cooperativas Servicios: Cámara de Cheques (Cobro) Transferencias en Tiempo Real (Pago) Débito en Tiempo Real (Cobro) Créditos Directos (Pago) Débito Directo (Cobro) Certificación Digital (Firma) ??? Entidades Destino Entidad Origen

Serie de Normas y Procedimientos Reglamento del Sistema de Pagos Ley Orgánica B.C.C.R Cámara Transferencia Cuentas C. Tarifas Débito Directo Crédito Directo Recaudación Subasta Libro por Servicio Participantes Responsabilidades Tarifas Comisiones Tiempo de Acreditación Otros Normas del Cheque Serie de Normas y Procedimientos Estándar Físico del EDI-Cheque Normas Operativas de Cámara Requisitos de ingreso Ciclos de Compensación Ciclos de Liquidación Horarios Operativa Manual Motivos de devolución Otros Manual de Usuario del EDI-Cheque Estándar Electrónico del EDI-Cheque

Modelo Conceptual y Estrategia Sistema Nacional de Certificación Digital Firma Digital Modelo Conceptual y Estrategia

Ley: Alcance de la Firma Digital Valor Equivalente (art. 9): “Los documentos y las comunicaciones suscritos mediante firma digital, tendrán el mismo valor y la eficacia probatoria de su equivalente firmado en manuscrito.” Presunción de autoría (art. 10) “Todo documento […] asociado a una firma digital certificada se presumirá, salvo prueba en contrario, de la autoría y responsabilidad del titular del correspondiente certificado digital […]” Identificación unívoca Vinculación jurídica Validez y eficacia probatoria Presunción de autoría No Repudio

Tribunal Supremo de Elecciones Sistema Nacional de Certificación Digital Nivel 1 CAP DCFD MICIT Tribunal Supremo de Elecciones Banco Central Registro Nacional Poder Judicial CONARE CAMTIC Migración Comité Asesor de Políticas (Policy Approval Authority) Asesora a la DCFD (Dirección de Certificadores de Firma Digital) EC Raíz Convenio BCCR Nivel 3 Nivel 2 Entidad Financiera Empresa Privada Gobierno Digital Institución Pública Nivel 4 … 8 8

Normas internacionales e infraestructura

ISO – 21188 (Homologada por el proyecto) Infraestructura de Llave Pública (PKI) Competencia Técnica 1. Controles Ambientales 2. Controles de Administración Capacidad de Custodia Alta Disponibilidad Personal de Seguridad Monitoreo Recuperación ante desastres Sistema de Gestión de la Seguridad de la Información Gestión de Dispositivos Criptográficos (FIPS 140-2) Personal con Roles de Confianza Mancomunados Implementación de Servicios de Validación Anexo técnico al reglamento de la Ley de firma 10 10 10

ISO – 17021(Adaptada por el proyecto) Acreditación ECA Competencia Administrativa Sistema de Gestión de Calidad Competencia del Personal Gestión de los procesos organizacionales: Imparcialidad 11 11 11

Estrategia de implementación en el Sistema Financiero

Información Oficial y Actualizada Conexión con el TSE SINPE Entidad TSE Información Oficial y Actualizada 1-222-333 TSE TSE

Estrategia en SINPE Barreras $50+ Aprovechamiento en sucursales de: Raíz Barreras Interoperabilidad Infraest. Emisión Infraest. Distribución Entidad Financiera X Financiera Y AR Registro Proceso Robusto Validación Oficial Costo Certificado Costo Dispositivo $50+ Aprovechamiento en sucursales de: Seguridad física Cultura “Conozca a su cliente” Experiencia en entrega de documentos sensibles Aprovechamiento en el SINPE de: Capacidad de custodia, Infraest. tecnológica y Personal capacitado Experienca en el desarrollo de servicios de misión crítica Implementación de buenas practicas (ISO-27001, ISO-9000) Aprovechamiento en el Sistema Financiero de: Red de telecomunicaciones existente y segura Capacidad de registro y distribución (1000 sucursales) Regulación y consenso, confianza Aprovechamiento del Modelo de Negocio del SINPE: Economía de escala Costo Anual del Certificado estimado en centavos de dólar (vs $30-$60) 14 14

Autoridad de Registro del Banco Central

Documento de Identidad Electrónico Bélgica España Finlandia Suecia Estonia Italia Costa Rica (mediano plazo)

Diseño de tarjetas En línea con TSE y Migración Espacio para logotipos xxxxxxxx Anverso Reverso En línea con TSE y Migración Bajos costos de impresión y capacidad de inventario Posibilidad de personalización local Posible aprovechamiento de tarjetas en blanco

Diseño de tarjetas Anverso xxxxxxxx Reverso

Aportes del Sector Financiero a Gobierno Digital Web Entidades Financieras S I N P E I N T E R N E T Web Entidades Públicas Bancos Ciudadano Banco Central Tributación /Aduanas SUGEF Migración CCSS Registro Nacional Mutuales Gobierno Digital Cooperativas E-banking

Servicios de Certificación para las Entidades Públicas

Certificados para Entidades Asociadas al SINPE Servicio CA-SINPE - Entidad Registro de clientes Precio Homologado Modelo General 1-222-111 C1 1-222-112 C2 1-333-111 C1 1-333-112 C3 Entrega de Certificados Banco X Entrega de Certificados Banco Y Registro de Clientes Entidad Asociada al SINPE (Bancos. M.Hacienda, ICE, BNV, CCSS, INS, Otros Bancos…) Emisión c600 Dispositivo c3.000 Lector c10.000

Compra Masiva y Soporte Centralizado

Soporte a Usuario Final Proveedor Unico Homologación Simplificación al usuario Bajo Costo - Volumen (cargado a tarjetas) Costos adicionales por entidad (web de soporte, call center) Labor técnica especializada Banco X Banco Y

Tipos de Certificados Digitales

Tipos de Certificados Digitales Certificado de Persona Física Firma Digital y Autenticación de Personas Físicas Implementa Equivalencia Funcional con Firma Autógrafa Certificado de Agente Electrónico Firma Digital y Autenticación de Entidades Implementa Servicios Electrónicos Automatizados Certificado de Sellado de Tiempo (TimeStamping) Garantizar la existencia de una firma o un documento en el tiempo 25

Utilización de la infraestructura de Certificación Digital

Atributos de las personas (roles) Funcionamiento Atributos de las personas (roles) … … Servicios de Validación de las CAs Servicios Sellado de Tiempo Registro Nacional Dirección de Notariado Internet Institución Financiera Sitio Web Persona Física Agente Electrónico Sellado de Tiempo Ciudadano 27 27

Muchas Gracias!