Certificados TLS de servidor
Tráfico web seguro a gran escala
Inventario de certificados
Descubrir y rastrear todos los certificados
Certificados DevOps
Automatizar para pipelines CI/CD
Cifrado de correo electrónico
S/MIME para correo electrónico empresarial
El estándar internacional dedicado a la gestión del ciclo de vida de certificados PKI, mapeando directamente descubrimiento, gobernanza y flujos de trabajo de automatización para proveedores de servicios de confianza y organizaciones que dependen de certificados.
ISO/IEC 27099 (PKI — Marco de prácticas y políticas) proporciona un estándar integral específicamente para organizaciones que operan PKI y servicios de confianza. A diferencia de ISO 27001, que cubre la seguridad de la información de forma amplia, ISO 27099 se centra exclusivamente en las prácticas de PKI: políticas de certificados, declaraciones de práctica de certificación, gestión de claves, ciclo de vida de los certificados y operaciones de servicios de confianza.
El estándar cierra la brecha entre la gestión de seguridad de alto nivel (ISO 27001) y los requisitos operativos de PKI (ETSI EN 319 standards). Proporciona un marco estructurado que los operadores de CA, las Autoridades de Registro y los Proveedores de Servicios de Confianza pueden usar para formalizar y validar sus prácticas.
A medida que los marcos regulatorios exigen cada vez más una demostrable conformidad con PKI, ISO 27099 se ha convertido en la referencia definitiva para las organizaciones que buscan demostrar que sus operaciones de gestión de certificados cumplen con las mejores prácticas internacionales.
Definir políticas de certificado integrales que regulen la emisión, el uso, la suspensión y la revocación de cada tipo de certificado gestionado por la organización.
Mantener una CPS detallada que describa cómo la CA implementa sus políticas de certificado, incluyendo procedimientos operativos, controles de seguridad y prácticas de auditoría.
Implementar una gestión de claves de extremo a extremo que cubra la generación, distribución, almacenamiento, respaldo, recuperación, rotación, archivado y destrucción segura de claves criptográficas.
Gestionar el ciclo de vida completo del certificado, incluyendo registro, emisión, validación, renovación, regeneración de claves, suspensión, revocación y generación de informes de estado (OCSP/CRL).
Establecer prácticas operativas para proveedores de servicios de confianza, incluyendo seguridad física, verificación de personal, gestión de incidentes y planificación de continuidad del negocio.
Realizar evaluaciones de riesgos específicas de PKI que aborden amenazas a las operaciones de la CA, escenarios de compromiso de claves y aplicar controles de seguridad proporcionales.
El trabajo comienza dentro de ISO/IEC JTC 1/SC 27 para crear un estándar dedicado a las prácticas de PKI y marcos de políticas.
El estándar se publica oficialmente, proporcionando el primer marco internacional integral específicamente para operaciones de PKI y prácticas de servicios de confianza.
Los proveedores de servicios de confianza y los operadores de autoridad certificadora comienzan a adoptar el estándar para formalizar sus prácticas de PKI y políticas de certificados.
Los marcos regulatorios hacen referencia cada vez más a la ISO 27099 como referencia para el cumplimiento de PKI, reforzando su papel en las evaluaciones de conformidad.
Evolución continua para abordar los requisitos de criptografía post-cuántica y la alineación con los estándares emergentes de PKI para la agilidad criptográfica.
Como el estándar dedicado a las operaciones de PKI, la ISO 27099 tiene un impacto directo y completo en la gestión de certificados. Aquí están las áreas críticas:
ISO 27099 está diseñada específicamente para PKI, proporcionando requisitos específicos para las operaciones del ciclo de vida de los certificados que van mucho más allá de los controles genéricos de seguridad de la información.
Todos los operadores de la Autoridad de Certificación deben mantener Políticas de Certificado y Declaraciones de Prácticas de Certificación formales que cumplan con los requisitos estructurados del estándar.
El estándar exige una gestión integral de claves que cubra todo el ciclo de vida — desde la generación segura a través de la distribución, almacenamiento, rotación, archivado y destrucción.
Requisitos formales para los servicios de validación de certificados (OCSP, CRL) y la gestión de revocación, garantizando que las partes dependientes puedan verificar siempre el estado del certificado de manera fiable.
Implementación completa del ciclo de vida del certificado — Horizon implementa el ciclo de vida completo del certificado definido en ISO 27099, desde el registro y la emisión hasta la renovación, suspensión y revocación.
Alineación de la práctica TSP — Stream se alinea con los requisitos del proveedor de servicios de confianza ISO 27099, ofreciendo capacidades CA/RA/VA/TSA con OCSP, CRL y servicios de marca de tiempo RFC 3161.
Aplicación automatizada de CP/CPS — Motor de políticas incorporado aplica la Política de Certificado y el cumplimiento de CPS automáticamente, asegurando que cada certificado emitido cumpla con sus prácticas documentadas.
Rastreos de auditoría exhaustivos — Genera rastros de auditoría detallados e informes de cumplimiento para evaluaciones de conformidad ISO 27099, con trazabilidad completa en todas las operaciones PKI.
