La presente Declaración de Prácticas de Certificación (DPC) describe las prácticas y procedimientos que LAZZATE CIA. LTDA. sigue para la emisión, administración, suspensión, renovación y revocación de certificados digitales, así como los servicios relacionados de validación de certificados.

Esta DPC aplica a todos los certificados digitales emitidos por LAZZATE CIA. LTDA. bajo la jerarquía de certificación establecida, incluyendo certificados de usuario final y certificados de Autoridades de Certificación Subordinadas.

Razón Social: LAZZATE CIA. LTDA. RUC: 1793175775001 Marca Comercial: ENEXT Domicilio: Av. Brasil N39-22, Edificio Brasil 100, piso 3, Quito, Ecuador

LAZZATE CIA. LTDA. está acreditada como Entidad de Certificación de Información mediante la Resolución ARCOTEL-CTHB-CTDS-2022-0068, emitida por la Agencia de Regulación y Control de las Telecomunicaciones (ARCOTEL) del Ecuador.

• Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos (Ley 2002-67)
• Reglamento General a la Ley de Comercio Electrónico (Decreto Ejecutivo 3496)
• Ley Orgánica de Protección de Datos Personales
• Ley de Compañías

• ITU-T X.509 - Estructura de certificados de clave pública
• RFC 5280 - Internet X.509 PKI Certificate and CRL Profile
• RFC 6960 - Online Certificate Status Protocol (OCSP)
• ETSI EN 319 411-1 - Policy requirements for Certification Authorities
• ETSI EN 319 412 - Certificate Profiles

LAZZATE CIA. LTDA. emite los siguientes tipos de certificados:

• PC-PN: Política de Certificación para Persona Natural
• PC-ME: Política de Certificación para Miembro de Empresa
• PC-RL: Política de Certificación para Representante Legal
• PC-SE: Política de Certificación para Sello Electrónico

LAZZATE CIA. LTDA. opera una infraestructura de clave pública de tres niveles:

• Nivel 1 - CA Raíz (Root CA): "LAZZATE Root CA" - Fuera de línea (offline)
• Nivel 2 - SubCA 1: emisorCA1 - Emisión de certificados
• Nivel 2 - SubCA 2: emisorCA2 - Emisión de certificados
• Nivel 3: Certificados de usuario final

• Estado: Fuera de línea (offline)
• Función: Firma de CAs Subordinadas
• Vigencia: 20 años
• Algoritmo: SHA-256 con RSA 4096

La identidad de los solicitantes se verifica mediante un sistema de biometría facial automatizada que incluye tres componentes:

7.2.1 Causales de revocación

• Compromiso de la clave privada
• Solicitud del titular o la organización
• Información falsa en la solicitud
• Terminación del vínculo laboral (Miembro de Empresa)
• Cese en el cargo (Representante Legal)
• Disolución de la organización
• Orden judicial

7.2.2 Procedimiento de revocación

1. Recepción de solicitud de revocación (portal, email o teléfono)
2. Verificación de identidad del solicitante
3. Procesamiento de la revocación
4. Actualización de CRL y OCSP
5. Notificación al titular

7.2.3 Canales de revocación

• Centro de datos con certificación de seguridad
• Control de acceso biométrico
• Videovigilancia 24/7
• Sistemas contra incendios

• HSM (Hardware Security Module) para claves de CA
• Cifrado de datos en reposo y en tránsito
• Segmentación de redes
• Monitoreo continuo de seguridad

• Operar conforme a esta DPC y las Políticas de Certificación
• Verificar adecuadamente la identidad de los solicitantes
• Emitir certificados conformes a los estándares aplicables
• Mantener disponibles los servicios de validación (CRL, OCSP)
• Proteger las claves privadas de las CAs
• Notificar compromisos de seguridad
• Mantener registros por el período requerido (15 años)

• Proporcionar información veraz y completa
• Proteger su clave privada
• Usar el certificado solo para los fines autorizados
• Solicitar revocación en caso de compromiso
• No transferir el certificado a terceros

• Claves privadas
• Registros de auditoría internos
• Datos personales de los solicitantes (excepto los publicados en certificados)
• Planes de continuidad y recuperación

• Certificados emitidos
• DPC y Políticas de Certificación
• Listas de Revocación (CRL)
• Respuestas OCSP

LAZZATE CIA. LTDA. trata los datos personales conforme a la Ley Orgánica de Protección de Datos Personales del Ecuador, garantizando:

• Finalidad específica del tratamiento
• Minimización de datos
• Exactitud de la información
• Limitación del plazo de conservación
• Seguridad de los datos

LAZZATE CIA. LTDA. se somete a auditorías periódicas conforme a los requisitos de ARCOTEL:

• Auditorías anuales de cumplimiento normativo
• Auditorías de seguridad de la información
• Auditorías técnicas de la infraestructura PKI

Se mantienen registros de:

• Todas las operaciones de certificación
• Accesos a sistemas críticos
• Ceremonias de claves
• Incidentes de seguridad

En caso de terminación de operaciones:

1. Notificación a ARCOTEL con 90 días de anticipación
2. Notificación a todos los suscriptores con certificados vigentes
3. Transferencia de responsabilidades a otra ECI o revocación masiva
4. Archivo de registros conforme al período de retención
5. Destrucción segura de claves privadas

Esta DPC y las relaciones derivadas de la prestación de servicios de certificación se rigen por la legislación de la República del Ecuador.

Las controversias serán sometidas a la jurisdicción ordinaria de los Jueces de lo Civil de Quito, Ecuador, salvo acuerdo de las partes para someterse a arbitraje.

Las comunicaciones oficiales relacionadas con esta DPC deberán dirigirse a:

LAZZATE CIA. LTDA. Entidad de Certificación de Información Acreditada Resolución ARCOTEL-CTHB-CTDS-2022-0068

Av. Brasil N39-22, Edificio Brasil 100, piso 3, Quito, Ecuador +593 (02) 500-0150 | certificados@enext.ec | https://enext.ec