7.10.11

Cómo conseguir el sello WebTrust y no morir en el intento


Primero, lo primero: ¿qué es el sello WebTrust?

El sello WebTrust, más concretamente el sello WebTrust para autoridades de certificación indica que la Autoridad de Certificación en cuestión (Firmaprofesional en este caso) realiza sus operaciones de forma segura, en un entorno tanto físico como lógico seguro, por un personal adecuadamente cualificado y comprometido y que este compromiso con la seguridad emana directamente de la dirección de la compañía.

Este sello ha sido definido por las entidades American Institute of Certified Public Accountants (AICPA) y Canadian Institute of Chartered Accountants (CICA).

¿Y para qué sirve?

Toda Autoridad de Certificación que se precie, desea que sus certificados sean útiles en la mayoría de entornos y programas posible.

Para ello, dedican (dedicamos) recursos, y no pocos, a que los certificados sean admitidos de forma transparente en los programas de Microsoft (r), en los de la Fundación Mozilla (como el conocido navegador Firefox o el cliente de correo Thunderbird), en los productos de Apple (r), Adobe (r), en las distintas webs de administraciones públicas, etc...

Cada una de esta entidades tiene su propio procedimiento de clasificación y lograr estas admisiones puede ser realmente difícil.

Tener el sello WebTrust facilita la admisión en algunos de los procedimientos anteriores, sobre todo entre las entidades privadas y Americanas. De hecho, en algunos casos facilita y en otros es imprescindible tenerlo.
Con este sello, que se logra tras pasar una dura auditoría realiza una tercera empresa autorizada para ello (aquí las empresas que pueden hacerlo en España.)

Además, tras los casos con los certificados de las Autoridades de Certificación Comodo, DigiNotar y GlobalSign, disponer de este sello aumenta la confianza de los clientes y usuarios y de las empresas y administraciones públicas que confían en nuestros certificados.

¿Cómo se consigue?

Como he adelantado, es necesario pasar una auditoría realiza una tercera empresa autorizada para ello.

En esta auditoría se evalúan los siguientes principios y criterios:


SeguridadEl sistema está protegido contra accesos no autorizados (tanto físicos como lógicos)
DisponibilidadEl sistema está disponible para su funcionamiento y su uso en los términos acordados
Integridad de los sistemasEl sistema de tratamiento es completo, exacto, preciso (en términos de tiempo) y autorizado
ConfidencialidadLa información catalogada como confidencial es protegida según los términos acordados
PrivacidadLa información personal se recopila, utiliza, mantiene, y da a conocer de conformidad con los compromisos de privacidad de la entidad y con los criterios establecidos en los Principios de Privacidad Generalmente Aceptados emitidos por el AICPA / CICA

Estos principios y criterios se articulan alrededor de cuatro grandes áreas, a saber:


PolíticasLa entidad ha definido y documentado las políticas pertinentes con cada principio en particular
ComunicacionesLa entidad ha comunicado sus políticas a los usuarios autorizados
ProcedimientoLa entidad utiliza procedimientos para lograr sus objetivos de conformidad con las políticas definidas
MonitoringLa entidad controla el sistema y toma medidas para mantener el cumplimiento con las políticas definidas

¿Por qué puedo morir en el intento?

Para lograr pasar esta auditoría hay que invertir básicamente tres cosas: dinero, personas y paciencia.

Dinero porque la auditoría en cuestión no es barata, y en los tiempos que corren, invertir en esta auditoría indica un claro compromiso con la seguridad. No todas las empresas deciden invertir parte de la actualmente preciada tesorería en garantizar la seguridad de sus operaciones frente a sus clientes y terceros.

Personas, de varias disciplinas: departamento técnico, operaciones, RR.HH., dirección general. Todo el personal está implicado en la seguridad de la empresa y así debe comprobarlo el auditor.
Pero especialmente los departamentos técnicos y de operaciones "sufren" la auditoría, ya que son bastantes las horas que personal de estos departamento tienen que dedicar a los auditores y a corregir las pequeñas (o no tan pequeñas) no conformidades que se puedan detectar.

Y paciencia porque, a pesar de los mejores esfuerzos tanto propios como los del equipo auditor, la auditoría lleva un tiempo.

A pesar de los pesares, es mejor lograr este sello y el reconocimiento de propios y ajenos que tener que convencer uno por uno, sobre todo a los grandes desarrolladores de software americanos de que hacemos las cosas bien. El sello WebTrust for Certification Authorities exime de parte de estos trabajos.

Y la mejor prueba de que en Firmaprofesional creemos que merece la pena es que seguimos renovando el sello una y otra vez.


No hay comentarios:

Publicar un comentario