RESOLUCIN COMISIN DE REGLAMENTOS TCNICOS Y COMERCIALES N 0103-2003/CRT-INDECOPI Lima, 23 de octubre de 2003 VISTO: El artculo 36 del Reglamento de la Ley de Firmas

y Certificados Digitales, aprobado mediante Decreto Supremo N 019-2002-JUS modificado por el Decreto Supremo N 024-2002-JUS, que designa al Instituto Nacional de Defensa de la Competencia y Proteccin de la Propiedad Intelectual como Autoridad Administrativa Competente de la Infraestructura Oficial de Firma Digital; y, CONSIDERANDO: Que, de conformidad con el artculo 36 del Reglamento de la Ley de Firmas y Certificados Digitales el INDECOPI como Autoridad Administrativa Competente est a cargo de la acreditacin de Entidades de Certificacin y de Entidades de Registro/Verificacin dentro de la Infraestructura Oficial de Firma Digital, encontrndose facultada para tal efecto a establecer los criterios y requisitos mnimos para la prestacin de ambos servicios; Que, al interior del INDECOPI la Comisin de Reglamentos Tcnicos y Comerciales ha sido designada como el rgano funcional a cargo de ejercer las funciones de acreditacin y dems que confiere el Reglamento de la Ley de Firmas y Certificados Digitales al INDECOPI como Autoridad Administrativa Competente; Que, para efectos de la acreditacin de entidades de certificacin y de verificacin/registro de firmas digitales es necesario establecer mayores precisiones al Rgimen de Acreditacin previsto en el Captulo II del Ttulo III del Reglamento de la Ley de Firmas y Certificados Digitales; Que, asimismo es necesario establecer medidas orientadas a compatibilizar la legislacin en materia de micrograbacin y las disposiciones sobre el servicio de intermediacin digital previsto en el Reglamento de la Ley de Firmas y Certificados Digitales; Que, el 18 de diciembre de 2002 la Comisin de Reglamentos Tcnicos y Comerciales public un proyecto de Disposiciones Complementarias al Reglamento de la Ley de Firmas y Certificados Digitales, a fin de que las empresas e instituciones que a la fecha vienen prestando servicios de certificacin y registro puedan alcanzar las observaciones que consideren pertinentes;

Que, luego de revisar las observaciones alcanzadas por las distintas instituciones y profesionales vinculados al tema durante el perodo de discusin pblica, y estando a lo recomendado por la Secretara Tcnica, de conformidad con el Reglamento de la Ley de Firmas y Certificados Digitales aprobado mediante Decreto Supremo N 019-2002-JUS y con el acuerdo unnime de sus miembros reunidos en sesin del 23 de octubre de 2003 RESUELVE: Artculo 1.- Aprobar las Disposiciones Complementarias al Reglamento de la Ley de Firmas y Certificados Digitales anexas a la presente Resolucin a fin de dar inicio a la acreditacin de entidades de certificacin y de verificacin/registro. Artculo 2.- En tanto no se incorpore el procedimiento de acreditacin de entidades de certificacin y de verificacin/registro de firmas digitales en el Texto nico de Procedimientos Administrativos del INDECOPI, la cuanta de los derechos de tramitacin de estos procedimientos ser la prevista para la acreditacin de Organismos de Certificacin de Productos, sin perjuicio de los costos de auditora que deben ser asumidos por las entidades solicitantes. Artculo 3.- Encrguese a la Secretara Tcnica la conformacin de un Comit Tcnico de Normalizacin Especializado para la revisin de la NTP 392.030-2: 1997 MICROFORMAS. Requisitos para las Organizaciones que operan sistemas de produccin de microformas. Parte 2: Medios de archivo electrnico, a fin de adecuarla al servicio de Intermediacin Digital. Con la intervencin de los seores miembros: Fabin Novak, Augusto Ruiloba, Jorge Dans, y Jos Dajes. FABIAN NOVAK TALAVERA Presidente de la Comisin de Reglamentos Tcnicos y Comerciales

DISPOSICIONES COMPLEMENTARIAS AL REGLAMENTO DE LA LEY DE FIRMAS Y CERTIFICADOS DIGITALES Primera.- Naturaleza de la Acreditacin Otorgada por la AAC. De conformidad con los artculos 1, 2 y 42 del Reglamento, la acreditacin de Entidades de Certificacin y Entidades de Registro/Verificacin, tiene por finalidad reconocer la confiabilidad de los servicios de certificacin digital que se prestan en el mercado, evaluando para tal efecto las polticas y procedimientos de certificacin aplicadas, en especial los procedimientos para la verificacin y registro de identidad de los solicitantes, a cargo de Entidades de

Registro/Verificacin, la atencin de reclamos y la actualizacin de mecanismos de seguridad frente al desarrollo de nuevas tecnologas o aplicaciones que puedan afectar los niveles de seguridad que garantizan la autenticacin o vinculacin del titular de la firma digital con el documento suscrito digitalmente. Segunda.- Participacin de la Comisin de Reglamentos Tcnicos y Comerciales en la evaluacin de servicios de certificacin no acreditados.La Comisin de Reglamentos Tcnicos y Comerciales solo respalda la competencia tcnica de las entidades acreditadas, y la confiabilidad de los servicios prestados por ellas en el marco de la Ley y el Reglamento. Excepcionalmente, para efecto de lo dispuesto en los artculos 6 y 7 del Reglamento, la Comisin de Reglamentos Tcnicos y Comerciales podr evaluar firmas digitales emitidas fuera de la Infraestructura Oficial de Firma Digital a solicitud de las autoridades judiciales o administrativas ante las cuales se hayan presentado documentos as firmados como medios de prueba. Tercera.- Imparcialidad de los servicios de certificacin y de verificacin/registro acreditados.- En cumplimiento con los literales a) y h) del artculo 36 del Reglamento, se precisa que los servicios de certificacin y de verificacin/registro son servicios de tercera parte y deben ser prestados en condiciones de transparencia, guardando imparcialidad con respecto a las partes que solicitan y usan sus servicios. Los servicios acreditados no pueden ser prestados a personas con las cuales la entidad acreditada mantenga vinculacin econmica. Para calificar la existencia de dicha vinculacin se deben considerar los conceptos de propiedad indirecta, vinculacin y grupo econmico de la Comisin Nacional de Empresas y Valores - CONASEV. Cuarta.- Procedimiento de Acreditacin.- Para efecto de la aplicacin del artculo 41 del Reglamento el procedimiento de acreditacin no podr exceder los 120 das tiles. Los plazos de cada una de las etapas de evaluacin previstas a lo largo del procedimiento, son las que a continuacin se sealan: a) Admisin: 10 das tiles. b) Evaluacin documentaria: 20 das tiles c) Subsanacin de observaciones: 30 das tiles d) Evaluacin de campo: 20 das tiles e) Subsanacin de observaciones: 10 das tiles Quinta.- Solucin de Reclamos por parte de las entidades acreditadas.De conformidad con la segunda Disposicin Final del Reglamento, las entidades acreditadas deben contar con procedimientos de atencin de reclamos cuyos trminos deben ser parte de la informacin prestada a sus clientes. Estos procedimientos no constituyen instancia administrativa por lo

que sus plazos de evaluacin deben ser breves y no deben exceder de 10 das tiles para su atencin. Sexta.- Supervisin de Entidades Acreditadas.- De acuerdo a los artculos 46 y 50 del Reglamento, las entidades acreditadas estn obligadas a mantener las condiciones que sustentan la acreditacin otorgada y a adecuarse a las disposiciones que establezca la Comisin de Reglamentos Tcnicos y Comerciales. El incumplimiento de dichas obligaciones puede motivar la suspensin o revocacin de la acreditacin otorgada. Tratndose de la contravencin de las obligaciones de imparcialidad y transparencia procede la revocacin de la acreditacin. Considerando que los servicios de certificacin acreditados estn referidos a aspectos de seguridad en materia de comercio electrnico, con un intenso grado de innovacin, la acreditacin otorgada est sujeta a auditora de seguimiento anuales para verificar el mantenimiento de los niveles de seguridad inicialmente acreditados. Cuando se observen cambios en la estructura o en los procedimientos, as como deficiencias en la infraestructura y recursos inicialmente presentados por las entidades acreditadas, la Comisin de Reglamentos Tcnicos y Comerciales podr disponer la realizacin de evaluaciones para determinar las implicancias de dichos cambios y en el caso de deficiencias, la suspensin de la acreditacin hasta que stas sean superadas, como una medida preventiva destinada a garantizar la confiabilidad de los servicios acreditado. Stima.- Clase de Certificados comprendidos en la IOFD.- De acuerdo al artculo 16 del Reglamento, los certificados digitales comprendidos dentro de la Infraestructura Oficial de Firmas Digitales son aquellos que permiten la generacin de firmas para la identificacin de una persona natural, previa verificacin presencial de su identidad, o en su defecto para personas jurdicas a travs de agentes automatizados. Las entidades acreditadas deben garantizar el nivel de seguridad requerido al interior de IOFD frente al desarrollo de nuevas tecnologas o aplicaciones que puedan afectar los niveles de seguridad que garantizan la autenticacin o vinculacin del titular de la firma digital con el documento suscrito digitalmente. Octava.- Requisitos de orden tcnico que deben observar las Entidades de Certificacin.- Para efectos del cumplimiento de los requisitos previstos en el artculo 11 del Reglamento, las entidades de certificacin deben contar o tener acceso al uso de soluciones e infraestructura que soporten las polticas tcnicas futuras, que defina la Comisin de Reglamentos Tcnicos y Comerciales, as como los requisitos que se detallan a continuacin que deben ser implementados en el pas: a) Dominios de confianza en el pas, que permitan verificar los sistemas en que se soporta la prestacin de los servicios de certificacin digital.

b) Poltica de Confidencialidad, que asegure a los clientes del servicio de certificacin que la informacin alcanzada para obtencin de un certificado Digital no ser empleada por la entidad de certificacin para otros fines, ni divulgada sin que medie requerimiento de una autoridad judicial o administrativa debidamente motivada. c) Polticas de Integridad, Autenticacin y No repudio, para ello debern contar con los procedimientos y mecanismos necesarios fijados en la Ley y el Reglamento. d) Polticas y Normas de Monitoreo, Reporte y Auditora de los servicios de PKI, debern contar con un documento detallado sobre sus polticas de Seguridad y Disponibilidad de los servicios brindados. e) Contar con un repositorio que contenga los certificados emitidos garantizando su conservacin por un perodo mnimo de 10 aos. 1. Requisitos de Funcionalidad. Las entidades de certificacin deben adoptar el estndar ISO X 509 en su versin actualizada u otro estndar compatible a ste como base de los servicios de certificacin digital. Asimismo deben contar con los siguientes requisitos: 1.1. Polticas y procedimientos para la administracin del ciclo de vida de las claves, las mismas que debern involucrar: a) Polticas y Normas de recuperacin de las claves. b) Polticas y Normas de generacin de las claves. c) Polticas y Normas de distribucin, revocacin, suspensin, repudio y archivo (almacenamiento) de las claves. Tratndose de revocacin de certificados estas polticas deben propiciar que la cancelacin del certificado se realice en forma automtica. 1.2. Estructura de Manejo de los Certificados sujeta a mecanismos de auditora peridicos, entendiendo por dicha estructura un sistema que involucra polticas, procedimientos, personal y el soporte tcnico para: a) La administracin y control de claves (creacin y mantenimiento, habilidad para enlazar las claves con un nombre, habilidad para preguntar que claves se enlazan a un nombre). Estas polticas no deben estar basadas en la identidad individual. La certificacin del enlace entre una llave pblica y un nombre del directorio ser obligatorio. La certificacin del enlace entre los atributos adicionales y un nombre del directorio sern discrecionales. b) Dotar de capacidad al certificado para interactuar en diferentes sectores, tales como el financiero y tributario, considerando las restricciones que cada uno de estos impone. c) El Intercambio entre certificados (interoperabilidad tcnica)

d) Permitir la transferencia de certificados de una entidad de certificacin a otra (en el caso de inoperatividad de la entidad que los emiti inicialmente), a fin de garantizar la continuidad del servicio. e) Permitir la certificacin cruzada entre distintos organismos de certificacin f) Superar los problemas de interoperabilidad que se presenten -en caso de que los caminos de la certificacin sean contradictorios o mltiples- a travs de arbitrajes tcnicos para permitir la aceptabilidad de certificados mediante los dispositivos correspondientes, en funcin a la plataforma de generacin utilizada. g) Separar los servicios de certificacin de los sistemas de almacenamiento de los datos obtenidos en la prestacin del servicio, sin que ello perjudique la posibilidad de controlar el flujo de informacin desde el repositorio de datos hacia el sistema de certificacin (requerimiento transaccional) 1.3. Una Infraestructura de Seguridad entendiendo por ella a un sistema que involucra polticas, procedimientos, personal y soporte tcnico con el objeto de: a) Proteger la confidencialidad, integridad y disponibilidad de los servicios de certificacin. b) Garantizar servicios de no repudio tecnolgico1 para mantener la operatividad del certificado, c) Impedir que el sistema de certificacin implementado permita revocar sus propias acciones d) Evitar que los usuarios del servicio de certificacin puedan revocar tecnolgicamente sus propias acciones 1.4. En caso de incorporar servicios de valor aadido de fechado y hora (time stamping), deben contar con un proveedor para tal servicio, el mismo que debe estar disponible dentro de una red abierta, accesible desde cualquier plataforma tecnolgica. En todo caso el certificador es responsable por la aptitud de los servicios subcontratados. 1.5. Procedimientos estructurados sobre la base de estndares internacionales para la integracin de los servicios de certificacin prestados dentro de la Infraestructura Oficial de Firma Digital, con Certificados y datos asociados provenientes de Infraestructuras Oficiales extranjeras o infraestructuras nacionales no oficiales, que presenten diferencias culturales tales como las barreras idiomticas;

No repudio tecnolgico.- Entendido como el servicio que permite la operatividad del certificado an en casos adversos, tales como vencimiento del certificado

2. Requisitos de Arquitectura. Las entidades de certificacin deben estructurar sus servicios de certificacin digital, involucrando los siguientes componentes: 2.1. Componentes Criptogrficos Bsicos2. Estos componentes deben contar con soportes de hardware (como smartcards o mdulos criptogrficos) o software. Los Protocolos requeridos en este tipo de componentes deben observar los parmetros del estndar X 509 u otro compatible a ste. Las Interfaces requeridas estn publicadas en la pgina web del INDECOPI y se actualizan peridicamente. Los mdulos criptogrficos deben proveer soporte para distintos tipos de plataformas. Si alguno de los mdulos criptogrficos utilizado tuviese restricciones en su desarrollo por razones de afectacin de la propiedad intelectual u otro motivo, deben ser especificados por la entidad de certificacin al momento de solicitar la acreditacin. Para efecto del establecimiento de paridad entre aplicaciones del sistema de certificacin debe primar el de mayor nivel de seguridad. 2.2. Componentes de servicios criptogrficos3. Los Protocolos requeridos en este tipo de componentes deben observar los parmetros del estndar X 509 u otro compatible a ste. Las Interfaces requeridas estn publicadas en la pgina web del INDECOPI y se actualizan peridicamente. Los mdulos criptogrficos deben proveer soporte para distintos tipos de plataformas. Si alguno de los mdulos criptogrficos utilizados tuviese restricciones en su desarrollo por razones de afectacin de la propiedad intelectual u otros motivos, deben ser especificados por la entidad de certificacin al momento de solicitar la acreditacin. Para efecto del establecimiento de comparacin entre aplicaciones del sistema de certificacin debe primar el de mayor nivel de seguridad. La interfaz de los servicios criptogrficos debe permitir la seleccin y vinculacin de los mismos, as como entre las aplicaciones disponibles de un solo servicio criptogrfico. 2.3. Componentes de Clave de Servicios a largo plazo, que deben elaborarse sobre la base del estndar X.509 y sus ampliaciones, y deben involucrar: a) La administracin del ciclo de vida de las claves (Key Lifecycle Management)4.
2 Estos componentes proveen un acceso seguro en los niveles bsicos como son: la aplicacin de la funcin HASH a un mdulo de almacenamiento de datos usando la clave privada o clave pblica, entre otros. Estos componentes proveen el acceso a los servicios criptogrficos como el de integridad de los datos, proteccin de la privacidad, importacin y exportacin de claves, firmas digitales, seguridad en las funciones hash. Esta funcin provee y garantiza el servicio de revocacin, repudio, expiracin y servicios relativos de las claves.

b) La Recuperacin de Claves (Key Recovery)5. c) El Servicio Virtual de Tarjetas Inteligentes (Virtual Smartcard Service)6. De acuerdo a la plataforma, las Interfaces requeridas estn publicadas en la pgina web del INDECOPI y se actualizan peridicamente. d) Administracin de Certificados (Certificate Management)7. Las interfaces requeridas estn publicadas en la pgina web del INDECOPI y se actualizan peridicamente e) Servicio de Entrega y verificacin de las claves pblicas (Public Key Delivery and Verification)8. Las interfaces requeridas estn publicadas en la pgina web del INDECOPI y se actualizan peridicamente. En todos los casos los perfiles deben ser definidos de acuerdo a la funcionalidad del sector en el que se implementen. 2.4. Servicios y Componentes del Protocolo de Seguridad9. Estos componentes deben: a) Proveer mecanismos de seguridad y proteccin de calidad de los protocolos que permitan la interoperacin entre aplicaciones del sistema, empleados por los usuarios de los servicios de certificacin. b) Administrar y controlar el nivel de seguridad de la informacin definido por la Entidad de Certificacin. c) Encapsular los datos, autenticar el origen, proteger los datos y definir credenciales y privilegios de transporte dentro de un servicio simple de certificacin digital10. d) Aplicar mecanismos de seguridad basados en polticas administrativas de informacin de la Entidad de Certificacin.

5 6

8 9

10

Este componente prepara a las claves para su recuperacin y permitir recuperar las polticas de control de las claves. Este componente debe permitir a los usuarios y otros participantes almacenar la informacin personal de seguridad en medios de almacenamientos protegidos, para activar las claves personales mediante un procedimiento de autenticacin, y usar estas claves para encriptar, desencriptar y realizar otras actividades de las firmas. Este componente permite que los usuarios, administradores puedan requerir certificacin de claves pblicas y revocacin de claves certificadas anteriormente. Este servicio cuenta con otros subcomponentes: La Entidad de Verificacin/Registro, la Entidad de Certificacin incluyendo las entidades que eventualmente sta contrate para efecto de garantizar la obligaciones de publicacin. Este componente permite a un software recuperar un certificado principal, verificar si es vlido y extraer los principales certificados de clave pblica del certificado principal. Estos servicios estn divididos en dos grandes clases: Orientado a la Sesin y Almacenamiento y Envo. Estos componentes deben proveer seguridad para ser usados por los diseadores de Stacks de Protocolos. Todos aquellos que no tienen que ver con sistemas cruzados.

2.5. Componentes del Protocolo de Seguridad11. Los protocolos reconocidos se encuentran publicados en la pgina web del INDECOPI y se actualizan peridicamente. La Entidad de certificacin deber establecer un perfil para cada protocolo. 2.6. Componentes de Servicio de la Poltica de seguridad.12 Los protocolos reconocidos se encuentran publicados en la pgina web del INDECOPI y se actualizan peridicamente. Novena.- Reconocimiento de servicios de certificacin prestados en el extranjero.- De acuerdo a lo dispuesto en el artculo 48 del Reglamento, el reconocimiento de certificaciones emitidas por entidades de certificacin que operan en el extranjero requiere la acreditacin previa de dichas entidades para lo cual deben seguir el procedimiento de acreditacin regular poniendo a disposicin de la Comisin de Reglamentos Tcnicos y Comerciales, la documentacin prevista en el artculo 38 del Reglamento, a travs de una empresa que represente sus servicios en el pas. De contar con la acreditacin en su pas de origen u otros mecanismos de auditora con respecto a sus servicios, la entidad de certificacin debe presentar documentacin que acredite tal situacin as como las condiciones acreditadas o auditadas, ello a fin de acogerse al reconocimiento de evaluaciones previsto en los artculos 41 y 42 del Reglamento. Las entidades de certificacin extranjeras que operen a travs de representantes nacionales deben mantener las mismas polticas y niveles de seguridad previstos en sus pases de origen para la clase de certificados comprendida en la IOFD, as como las mismas condiciones y coberturas de seguros para cubrir los daos que eventualmente se generen por la prestacin de sus servicios. Dcima.- Equivalencia de niveles de seguridad.- Las entidades de certificacin que utilicen servicios de entidades extranjeras, deben garantizar que dichos servicios mantengan los niveles de seguridad previstos en el pas de origen para la clase de certificados comprendida en la IOFD. Dcimo Primera.- Certificados Digitales de uso limitado.- Los Certificados Digitales emitidos en el marco de la Infraestructura Oficial de Firma Digital para su empleo en mbitos cerrados pueden ser empleados para la generacin de firmas digitales en otros mbitos bastando para ello la aceptacin de los destinatarios.
11 12 Los protocolos seguros proveen proteccin a los datos transferidos entre usuarios de canales de comunicacin, no requiriendo el uso reiterado de los servicios de seguridad. Estos servicios permiten administrar la informacin de usuarios, privilegios y polticas de control de acceso a los recursos, realizando decisiones de control de acceso basadas en esta informacin.

Dcimo Segunda.- Entidades de registro/verificacin.- Conforme al artculo 20 del Reglamento, el proceso de certificacin se inicia con la participacin de entidades de registro/verificacin, en tal sentido para efectos de su acreditacin las entidades de registro/verificacin deben declarar la relacin existente con una Entidad de Certificacin acreditada o reconocida en el pas, documentando la vigencia de dicha relacin por un perodo no menor a la acreditacin solicitada. Asimismo las entidades de registro/verificacin deben contar con mecanismos que permitan una comunicacin ininterrumpida con la Entidad de Certificacin, para garantizar la atencin oportuna de solicitudes de certificacin, as como la actualizacin de informacin o la cancelacin de la certificacin. Dcimo Tercera.- Procedimientos y requisitos que deben observar las Entidades de Verificacin/Registro.- De acuerdo a los artculos 32 y 33 las entidades de verificacin acreditadas deben contar con registros que demuestren la presencia de la persona natural o el representante de la persona jurdica solicitante de la certificacin. No es admisible, tomando en cuenta la naturaleza de los certificados digitales previstos en la Ley y el Reglamento, la atencin de solicitudes de certificacin por medio de correos electrnicos u otros medios que no garanticen la identidad del solicitante. Asimismo las entidades de verificacin/registro deben contar con ambientes de trabajo seguros para custodiar la informacin proporcionada por los solicitantes o titulares de la certificacin, y con medidas de seguridad que eviten su reproduccin por parte del personal que tenga acceso a dicha informacin. La entidad de registro o verificacin debe contar con Procedimientos que le permitan: a) Atender las solicitudes de certificacin verificando la veracidad de la informacin proporcionada por el solicitante de la certificacin digital incluyendo la verificacin de la capacidad de ejercicio de derechos civiles tratndose de las personas naturales, o la existencia de la persona jurdica y la vigencia de poderes de ser el caso. Para ello debe mantenerse contacto con las bases de datos nacionales de identificacin y registro civil y de registros pblicos tratndose de personas jurdicas. b) Informar a los solicitantes el procedimiento a travs del cual se genera la clave privada as como las condiciones establecidas para la utilizacin del certificado digital y la generacin de firmas digitales, precisando que el incumplimiento de estas condiciones puede motivar la invalidez de las firmas digitales generadas. Los procedimientos deben incluir el tratamiento o condiciones para la generacin de firmas a travs de agentes automatizados, de ser el caso. c) Remitir las solicitudes aprobadas a la Entidad de Certificacin, informando al usuario de dicha aprobacin as como la oportunidad en que se le emitir el certificado digital.

d) Actualizar la informacin proveda a la entidad de certificacin respecto a los titulares del certificado y las firmas digitales. e) Asegurar que la informacin proporcionada por los solicitantes no se emplee para fines distintos de la certificacin. f) Contar con personal que posea la educacin necesaria, adiestramiento actualizado as como el perfil y la experiencia para las funciones que les son asignadas. Dcimo Cuarta.- Respaldo Econmico y Financiero.- Las entidades de certificacin, y de verificacin/registro deben contar con recursos propios para la prestacin de sus servicios, o estar en condiciones de garantizar la continuidad de los mismos. Asimismo, deben contar con una cobertura de seguros para cubrir los daos que eventualmente se generen por la prestacin de sus servicios, ya sean en sus clientes directos o terceros. Dicha informacin debe ser comunicada a los usuarios en forma previa a la prestacin de los servicios. La Comisin de Reglamentos Tcnicos y Comerciales establecer en funcin al desarrollo del mercado, valores y porcentajes mnimos asegurables, los mismos que podrn ser reajustados semestralmente. Los servicios de valor aadido requieren en cada caso coberturas de seguros adicionales. Dcimo Quinta.- Sistemas de gestin.- Las entidades de certificacin y de verificacin/registro deben contar sistemas de gestin de calidad aplicadas a sus servicios. Especficamente en el caso de Entidades de certificacin, su estructura debe ser tal que proporcione confianza con respecto a sus certificaciones, para tal efecto conjuntamente con su Manual de Procedimiento deben presentar su Organigrama estructural y funcional. Asimismo, la Entidad de Certificacin debe ser responsable de todas las decisiones relacionadas con el otorgamiento, mantenimiento y cancelacin de la certificacin. Para tal efecto debe contar con procedimientos para la subcontratacin de los servicios de registro/verificacin. Tratndose de Entidades de Verificacin/Registro stas deben contar con procedimientos para el registro o verificacin, la Atencin de quejas y el Manejo y archivo de los registros. La entidad de registro o verificacin debe tener el personal suficiente para llevar a cabo el trabajo para el cual declara ser competente. Dcimo Sexta.- Servicios de valor aadido.- Las entidades de certificacin o de verificacin/registro que deseen prestar servicios de valor aadido deben garantizar que los mismos no afectarn los servicios principales de verificacin o certificacin as como la transmisin de los mensajes de datos firmados

digitalmente. La calificacin de estos servicios se realizar dentro del proceso de acreditacin, para tal efecto debern presentarse los manuales de procedimientos previstos para su prestacin, as como una declaracin de la infraestructura con la que cuentan para tal efecto, cuando dichos servicios sean subcontratados la entidad acreditada asumir la responsabilidad por los mismos.