Certificados TLS de servidor
Tráfico web seguro a gran escala
Inventario de certificados
Descubrir y rastrear todos los certificados
Certificados DevOps
Automatizar para pipelines CI/CD
Cifrado de correo electrónico
S/MIME para correo electrónico empresarial
La normativa de la UE que establece requisitos uniformes de gestión de riesgos de TIC para el sector financiero, incluyendo la gestión de claves criptográficas, la gobernanza de certificados y la supervisión de terceros.
El Digital Operational Resilience Act (DORA) crea un marco integral para la resiliencia operativa digital en todo el sector financiero de la UE. Establece requisitos uniformes para la gestión de riesgos de TIC, la notificación de incidentes, pruebas de resiliencia y la supervisión de proveedores externos.
El artículo 9 exige que las entidades financieras implementen controles criptográficos y gestión de claves políticas como parte de su marco de seguridad TIC. El artículo 15 requiere evaluaciones de riesgos TIC exhaustivas que abarquen la infraestructura de certificados y los activos criptográficos. Estos requisitos convierten la gobernanza robusta de PKI en una necesidad regulatoria.
DORA se aplica ampliamente a bancos, aseguradoras, firmas de inversión, proveedores de servicios de criptoactivos, y — críticamente — proveedores críticos de TIC de terceros como servicios en la nube y proveedores de infraestructura. Este amplio alcance significa que las prácticas de gestión de certificados deben regirse no solo internamente sino también a lo largo de toda la cadena de suministro.
Las entidades financieras deben establecer y mantener un marco integral de gestión de riesgos de TIC, que incluya capacidades de identificación, protección, detección, respuesta y recuperación.
Las entidades deben implementar políticas y procedimientos para la gestión de claves criptográficas a lo largo de su ciclo de vida, incluyendo generación, almacenamiento, distribución, rotación y destrucción.
Las entidades financieras deben gestionar los riesgos de proveedores de TIC de terceros, incluyendo requisitos contractuales para la gestión de certificados, controles de seguridad y estrategias de salida.
Los incidentes importantes relacionados con TIC — incluyendo violaciones relacionadas con certificados y fallos criptográficos — deben ser clasificados, reportados y comunicados a las autoridades competentes dentro de plazos estrictos.
Las entidades deben realizar pruebas regulares de los sistemas TIC, incluido el test de penetración guiado por amenazas (TLPT) para instituciones significativas, abarcando la infraestructura de certificados y los controles criptográficos.
Se alienta a las entidades financieras a participar en acuerdos de intercambio de inteligencia de amenazas cibernéticas, intercambiando información sobre riesgos TIC, vulnerabilidades e indicadores de compromiso.
La CE propone DORA como parte del Paquete de Finanzas Digitales, con el objetivo de armonizar la gestión de riesgos TIC en todo el sector financiero.
El Parlamento Europeo y el Consejo adoptan formalmente el Reglamento (UE) 2022/2554, estableciendo un marco integral de resiliencia digital para entidades financieras.
Las Autoridades Europeas de Supervisión (ESAs) publican Normas Técnicas Regulatorias (RTS) y Normas Técnicas de Implementación (ITS) detalladas para el cumplimiento de DORA.
DORA se vuelve totalmente aplicable en toda la UE. Las entidades financieras y los proveedores críticos de TIC de terceros deben cumplir con todos los requisitos.
Las ESA comienzan a ejercer poderes de supervisión sobre proveedores de servicios externos críticos de TIC designados, incluidos proveedores de nube e infraestructura.
DORA eleva la gestión de certificados y claves de una preocupación operativa a un requisito regulatorio para el sector financiero. Aquí están las áreas críticas:
Los certificados deben ser inventariados y gobernados dentro del marco más amplio de gestión de riesgos de TIC, con una clara titularidad, políticas y controles de ciclo de vida.
La gestión de claves criptográficas debe cubrir todo el ciclo de vida — desde la generación hasta la distribución, el almacenamiento, la rotación y la destrucción segura — con políticas y procedimientos documentados.
Las evaluaciones de proveedores de TIC de terceros deben incluir la revisión de sus prácticas de gestión de certificados, cadenas de confianza de CA y controles de seguridad criptográfica.
Los compromisos de certificados, violaciones de CA y fallos criptográficos deben clasificarse y reportarse como incidentes de TIC bajo el marco de reporte obligatorio de DORA's.
Inventario completo de certificados para el mapeo de activos TIC — Descubra y catalogue todos los certificados en su infraestructura financiera, cumpliendo los requisitos de identificación de activos TIC de DORA's.
Ciclo de vida automatizado para la resiliencia operativa — Prevenga interrupciones relacionadas con certificados mediante renovación y rotación automatizadas, garantizando una resiliencia operativa continua de los sistemas financieros críticos.
Rastreos de auditoría para la presentación de informes regulatorios — Genere registros detallados del ciclo de vida de los certificados e informes de cumplimiento listos para la revisión de la autoridad supervisora bajo las obligaciones de informe de DORA's.
Gobernanza Multi-CA para la supervisión de terceros — Gestionar certificados de múltiples Autoridades de Certificación en una única vista integral, permitiendo la visibilidad de las prácticas de certificados de proveedores de TIC de terceros.
