Este documento establece un marco de referencia de requisitos para gestionar una PKI mediante políticas de certificación y declaraciones de prácticas de certificación y para permitir el uso de certificados de llave pública en el sector de los servicios financieros. También define los objetivos de control y los procedimientos de apoyo para gestionar los riesgos. Aunque este documento aborda la generación de certificados de llave pública que podrían utilizarse para la firma digital o el establecimiento de llaves, no aborda los métodos de autenticación, los requisitos de no repudio ni los protocolos de gestión de llaves. Este documento establece una distinción entre los sistemas PKI utilizados en entornos cerrados, abiertos y contractuales. Además, define las prácticas operativas relativas a los objetivos de control de los sistemas de información aceptados por el sector de los servicios financieros. Este documento pretende ayudar a los implementadores a definir las prácticas de PKI que pueden soportar múltiples políticas de certificados que incluyen el uso de la firma digital, la autenticación remota, el intercambio de llaves y el cifrado de datos. Este documento facilita la implementación de prácticas de control PKI operativas y de referencia que satisfacen los requisitos del sector de los servicios financieros en un entorno contractual. Aunque el presente documento se centra en el entorno contractual, no se excluye específicamente su aplicación a otros entornos. A efectos de este documento, el término "certificado" se refiere a los certificados de llave pública. Los certificados de atributos quedan fuera del alcance de este documento. Este documento está dirigido a varios públicos con diferentes necesidades y, por lo tanto, el uso de este documento debe tener un enfoque diferente para cada uno. Los gestores y analistas empresariales son aquellos que necesitan información sobre el uso de la tecnología PKI en sus negocios en evolución (por ejemplo, el comercio electrónico); ver los capítulos 1 a 6. Los diseñadores e implementadores técnicos son los que redactan sus políticas de certificación y declaraciones de prácticas de certificación; verlos capítulos 6 a 7 y los anexos A a G. La gestión operativa y los auditores son los responsables de las operaciones diarias de la PKI y de validar el cumplimiento de este documento; ver capítulos 6 y 7.