El regulador pidió su PKI documentada. Tienen el software, tienen el HSM —y aún así no la tienen escrita.

El momento típico en que nos llaman

• El regulador o el auditor pidió documentación. Una CP, una CPS, un plan de revocación, evidencia de ceremonias. Y nadie del equipo lo tiene escrito.
• Hay un nuevo caso de uso que exige firma digital. Documentos, código, EMV, IoT, open banking. La PKI actual no estaba pensada para eso y hay que decidir si extenderla o crear una nueva.
• La PKI heredada perdió a su dueño. Quien la diseñó ya no está. Las renovaciones se hacen "como siempre" sin que nadie pueda explicar por qué.
• Decisión de pasar de un proveedor gestionado a operación interna —o al revés—. La pregunta no es solo qué CA usar; es qué pasa con todo lo que la rodea.

El software es el 10% del problema

Hemos visto muchas implementaciones donde alguien encendió EJBCA o equivalente, generó certificados, y ahí quedó: sin políticas, sin documentación de ceremonia, sin plan de revocación, sin monitoreo, sin estrategia frente a algoritmos en deprecación. Cuando llega el regulador o cuando el equipo original rota, el proyecto se desmorona.

La parte difícil no es instalar una CA. Es escribir lo que la rodea —con suficiente detalle para que sobreviva auditorías y rotación de personal, y con suficiente sentido común para que su equipo pueda operarla.

El ecosistema, no solo la plataforma

• Arquitectura de CAs (raíz, subordinadas, emisoras) alineada con sus casos de uso reales.
• Perfiles de certificado por caso de uso (TLS, firma de documento, EMV, 3DS, código).
• Procedimientos de ceremonia escritos y ejecutables: instalación, activación, rotación, retiro.
• Estrategia de revocación (CRL, OCSP, OCSP stapling) con SLOs explícitos.
• Plan de monitoreo y alertamiento: qué se mide, qué dispara una alerta, quién la atiende.
• Modelo de gobernanza: CP, CPS y matriz de responsabilidades clara.
• Estrategia de agilidad criptográfica: cómo se prepara su PKI frente a algoritmos en deprecación y frente al horizonte post-cuántico.

La instalación de la plataforma (EJBCA u otra) ocurre contra ese diseño, no antes. Es por eso que el resultado pasa auditoría.

Cuando lo que necesita es que algo quede firmado y verificable

La firma digital es uno de los casos de uso más concretos de una PKI bien diseñada: firma de documentos internos, firma de notificaciones a clientes, firma de transacciones u órdenes, firma de código. La PKI se diseña con perfiles de certificado específicos para cada uno, con tiempos de vida, ceremonias y revocación ajustados al riesgo del caso. No es una capacidad aparte — es lo que se obtiene cuando la PKI está bien hecha.

Diagnóstico de madurez antes de cualquier cambio

Para instituciones con una PKI ya en operación, ofrecemos primero una evaluación de madurez basada en marcos públicos del sector (PKI Maturity Model del PKI Consortium) adaptados al contexto regulatorio latinoamericano. El entregable es un reporte con brechas concretas y priorizadas en gobierno, gestión, operaciones y recursos —para que la inversión vaya a lo que realmente está débil, no a lo que se ve más fácil de hacer.

Resultados verificables

• La próxima visita del regulador o del auditor encuentra documentación que pasa el control.
• El nuevo caso de uso —open banking, EMV, firma de documento— arranca con perfiles de certificado ya definidos.
• Las renovaciones críticas ya no dependen de la memoria de una persona.
• Su institución tiene una posición declarada sobre crypto agility y migración post-cuántica.

Software y HSM

El HSM detrás de la PKI es típicamente Utimaco. Hemos desplegado EJBCA como software de CA en múltiples escenarios. La selección se decide por sus restricciones (regulatorias, presupuestales, de soporte, de operación interna), no por una preferencia nuestra.

Cuéntenos qué le pidió el regulador o el auditor

Si tiene un plazo, este es el momento de hablar. Si todavía está evaluando si su PKI necesita atención, también.