La Plataforma de Interoperabilidad del Estado (PIDE) fue creado a travs del Decreto Supremo N 083-2011-PCM , infraestructura tecnolgica que permite la implementacin de servicios pblicos por medios electrnicos y el intercambio electrnico de datos, entre entidades del Estado a travs de Internet, telefona mvil y otros medios tecnolgicos disponibles.
La Plataforma de Interoperabilidad del Estado - PIDE, es administrada por la Presidencia del Consejo de Ministros a travs de la Oficina Nacional de Gobierno Electrnico e Informtica - ONGEI, en el marco del proceso de modernizacin de la gestin del Estado. Lo dispuesto en esta norma es de aplicacin a todas las entidades integrantes del Sistema Nacional de Informtica La Oficina Nacional de Gobierno Electrnico e Informtica (ONGEI) queda encargada de dictar las directivas y lineamientos necesarios para su funcionamiento. Entre otras bondades la Plataforma de Interoperabilidad del Estado (PIDE), permitir el intercambio electrnico de datos entre las entidades pblicas, mejorando su gestin y permitiendo la implementacin intensiva de servicios pblicos en lnea con alto impacto en los ciudadanos, al reducir tiempos y costos en su desarrollo, implementacin y uso. La implementacin tecnolgica del PIDE estuvo a cargo del consorcio empresarial conformado por IdeaSoft, de Uruguay; Tecnologa y Gerencia S.A., de Per; y SSA Sistemas, de Panam. De acuerdo a WIkipedia, el Instituto de Ingenieros Elctricos y Electrnicos (IEEE) define interoperabilidad como la habilidad de dos o ms sistemas o componentes para intercambiar informacin y utilizar la informacin intercambiada. Ms all de la perspectiva tecnolgica, actualmente la interoperabilidad es entendida como un concepto ms amplio con un grupo de dimensiones diferenciadas. En este sentido, el Marco Iberoamericano de Interoperabilidad recoge para el mbito de la administracin electrnica una de las definiciones ms completas existentes actualmente en lnea con la definicin dada por la Comisin Europea, definiendo interoperabilidad como la habilidad de organizaciones y sistemas dispares y diversos para interaccionar con objetivos consensuados y comunes y con la finalidad de obtener beneficios mutuos. La interaccin implica que las organizaciones involucradas compartan informacin y conocimiento a travs de sus procesos de negocio, mediante el intercambio de datos entre sus respectivos sistemas de tecnologa de la informacin y las comunicaciones. El mbito de la administracin electrnica ha dotado a la interoperabilidad de gran relevancia y ha impulsado estudios cientficos que actualmente destacan otras dimensiones por encima de la dimensin tcnica de la interoperabilidad. 3 Es precisamente en este contexto donde se impone la interoperabilidad actualmente como uno de los elementos clave para la administracin electrnica, reflejado en Espaa a travs del Esquema Nacional de Interoperabilidad. Adems de hablarse de la gobernanza de la interoperabilidad, se reconoce a la interoperabilidad actualmente, al menos, tres dimensiones bien diferenciadas:
2 Dimensin tcnica Dimensin semntica Dimensin organizacional En el mundo del transporte existen iniciativas que promueven la interoperabilidad de los sistemas ferroviarios. Un caso destacado es la directiva europea 96/48/CE relativa a la interoperabilidad del Sistema Ferroviario Transeuropeo de Alta Velocidad. Esta directiva define la interoperabilidad como la "capacidad para permitir la circulacin segura e ininterrumpida de trenes de alta velocidad cumpliendo unos rendimientos especficos". Su objetivo es eliminar las diferencias reglamentarias, tcnicas y operativas que actualmente obstaculizan en gran medida la libre circulacin de trenes por las fronteras transeuropeas. En Latinoamrica, existe el caso mas reciente en Per, y su Proyecto de Gobierno Electrnico, que luego se llamo a partir del ao 2009, Plataforma de Interoperabilidad del Estado Peruano - PIDE, basado en la Arquitectura SOA, teniendo como proyecto piloto un servicio denominado Constitucin de Empresas en Lnea, en la que intervienen cinco entidades pblicas, actualmente en funcionamiento. El proyecto se ejecuto entre los aos 2007 y 2011, es un proyecto modelo de interoperabilidad de xito a estudiar, por los actores involucrados (instituciones pblicas, organismos internacionales, empresas TI nacionales e internacionales, ciudadanos beneficiarios), estrategias empleadas, liderazgo poltico y tcnico, equipos multidisciplinarios, entre otros. Revisar ms en www.iadb.org, www.ongei.gob.pe. Casos similares, se tiene en Brasil, Chile, Colombia, Uruguay.
3
DECRETO SUPREMO N 083-2011-PCM
Crean la Plataforma de Interoperabilidad del Estado - PIDE
EL PRESIDENTE DE LA REPBLICA
CONSIDERANDO:
Que, el Artculo 19 de la Ley Orgnica del Poder Ejecutivo - Ley N 29158, dispone que corresponde al Presidente del Consejo de Ministros, entre otros, el coordinar y dirigir la modernizacin del Estado;
Que, la Ley Marco de Modernizacin de la Gestin del Estado - Ley N 27658, declara al Estado Peruano en proceso de modernizacin en sus diferentes instancias, dependencias, entidades, organizaciones y procedimientos, con la finalidad de mejorar la gestin pblica y contribuir en el fortalecimiento de un Estado moderno, descentralizado y con mayor participacin del ciudadano;
Que, segn la norma invocada, el proceso de modernizacin de la gestin del Estado tiene como finalidad fundamental la obtencin de mayores niveles de eficiencia del aparato estatal, de manera que se logre una mejor atencin a la ciudadana, priorizando y optimizando el uso de los recursos pblicos;
Que, el Reglamento de Organizacin y Funciones de la Presidencia del Consejo de Ministros, aprobado por el Decreto Supremo N 063-2007-PCM, establece que la Oficina Nacional de Gobierno Electrnico e Informtica - ONGEI, tiene como parte de sus funciones, implementar la Estrategia Nacional de Gobierno Electrnico;
Que, el Artculo 40 del Reglamento de la Ley N 27269, Ley de Firmas y Certificados Digitales, aprobado por el Decreto Supremo N 052-2008-PCM, dispone que el ciudadano tiene derecho al acceso a los servicios pblicos a travs de medios electrnicos seguros para la realizacin de transacciones de gobierno electrnico con las entidades de la Administracin Pblica, como manifestacin de su voluntad y en el marco de lo previsto en la Ley del Procedimiento Administrativo General - Ley N 27444;
Que, la Estrategia Nacional de Gobierno Electrnico, aprobada mediante Resolucin Ministerial N 274-2006-PCM, se constituye en el instrumento de gestin que define las actividades informticas de las entidades de la Administracin Pblica integrantes del Sistema Nacional de Informtica en sus diferentes niveles, permitiendo la coordinacin de esfuerzos de las entidades de la Administracin Pblica;
Que, como parte de las acciones del Objetivo Estratgico 2 de la Estrategia Nacional de Gobierno Electrnico, se encuentra el desarrollar y establecer la plataforma de red transaccional del Estado, denominada actualmente como Plataforma de Interoperabilidad del Estado - PIDE;
Que, mediante Resolucin Ministerial N 381-2008-PCM, se aprueban los Estndares y Especificaciones de Interoperabilidad del Estado Peruano, con la finalidad de implementar la interconexin de equipos de procesamiento electrnico de informacin entre entidades del Estado, los que permiten establecer estndares para el intercambio de datos entre dichas entidades;
4 De conformidad con lo dispuesto en el inciso 8) del artculo 118 de la Constitucin Poltica del Per, la Ley N 29158 - Ley Orgnica del Poder Ejecutivo, la Ley N 27658 - Ley Marco de Modernizacin de la Gestin del Estado, la Ley N 27269 - Ley de Firmas y Certificados Digitales, modificada por la Ley N 27310 y su Reglamento;
DECRETA:
Artculo 1.- Creacin de la Plataforma de Interoperabilidad del Estado - PIDE Crase la Plataforma de Interoperabilidad del Estado - PIDE, infraestructura tecnolgica que permite la implementacin de servicios pblicos por medios electrnicos y el intercambio electrnico de datos, entre entidades del Estado a travs de Internet, telefona mvil y otros medios tecnolgicos disponibles.
La Plataforma de Interoperabilidad del Estado - PIDE, es administrada por la Presidencia del Consejo de Ministros a travs de la Oficina Nacional de Gobierno Electrnico e Informtica - ONGEI, en el marco del proceso de modernizacin de la gestin del Estado.
Artculo 2.- Alcance La presente norma ser de aplicacin a todas las entidades integrantes del Sistema Nacional de Informtica.
Artculo 3.- Uso obligatorio de la Plataforma de Interoperabilidad del Estado La Plataforma de Interoperabilidad del Estado - PIDE, es de uso obligatorio a las entidades de la Administracin Pblica a que se refiere el Artculo 2 de la presente norma, que implementen servicios pblicos por medios electrnicos y/o el intercambio electrnico de datos, que requieran de la participacin de una o ms entidades del Estado.
Artculo 4.- Uso de las Firmas y Certificados Digitales Las entidades a que se refiere el Artculo 2 de la presente norma, utilizarn firmas y certificados digitales de acuerdo a lo dispuesto en la Ley N 27269, Ley de Firmas y Certificados Digitales y su Reglamento vigente.
Artculo 5.- Funcionario responsable El titular de cada entidad a que se refiere el Artculo 2 del presente Decreto, designar al funcionario responsable, quien se encargar de adoptar las acciones necesarias para el cumplimiento y ejecucin de las disposiciones contenidas en la presente norma.
Artculo 6.- Gratuidad del uso de la Plataforma de Interoperabilidad del Estado - PIDE El uso de la Plataforma de Interoperabilidad del Estado - PIDE, por parte de las entidades a que se refiere el Artculo 2 de la presente norma, ser gratuita.
El acceso a los servicios pblicos por medios electrnicos a travs de la Plataforma de Interoperabilidad del Estado - PIDE, no demandar costo adicional al administrado.
Artculo 7.- Procedimiento Las entidades a que se refiere el Artculo 2, debern realizar el siguiente procedimiento, para el uso de la Plataforma de Interoperabilidad del Estado - PIDE:
5
1) Enviar el requerimiento de uso mediante documento oficial a la Oficina Nacional de Gobierno Electrnico e Informtica - ONGEI, de la Presidencia del Consejo de Ministros.
2) Adjuntar un Informe Tcnico que detalle los objetivos, antecedentes, descripcin de procesos, recursos y propuesta de cronograma de los servicios pblicos por medios electrnicos y/o intercambio electrnico de datos entre entidades del Estado, a ser implementados por medio de la PIDE. Dicho informe deber ser desarrollado en coherencia con el proceso de modernizacin de la gestin del Estado.
3) La Oficina Nacional de Gobierno Electrnico e Informtica - ONGEI, de la Presidencia del Consejo de Ministros, en un plazo que no exceder los siete (7) das hbiles, comunicar la recepcin de la documentacin a la entidad solicitante y convocar a las entidades participantes, as como, a las entidades relacionadas, para la implementacin del servicio pblico y/o intercambio electrnico de datos, para el inicio de actividades y/o implementacion de la solucin, garantizando la articulacin coherente y efectiva de la interoperabilidad entre los mismos, en el marco del proceso de modernizacin de la gestin del Estado.
4) Todos los servicios pblicos por medios electrnicos implementados a travs de la PIDE debern ser publicados a travs del Portal de Servicios al Ciudadano y Empresas (www.tramites.gob.pe)
El costo de la implementacin de los servicios pblicos en la PIDE sern asumidos por cada entidad participante, con cargo a sus presupuestos institucionales asignados anualmente.
Artculo 8.- Efecto de la publicacin La informacin contenida en la Plataforma de Interoperabilidad del Estado - PIDE, tiene carcter oficial.
Artculo 9.- Normas Complementarias La Oficina Nacional de Gobierno Electrnico e Informtica - ONGEI, de la Presidencia del Consejo de Ministros, en su calidad de Ente Rector del Sistema Nacional de Informtica, dictar las directivas y/o lineamientos necesarios que permitan la aplicacin y el funcionamiento adecuado de la Plataforma de Interoperabilidad del Estado - PIDE.
Artculo 10.- Vigencia La presente norma entrar en vigencia a partir del da siguiente de su publicacin.
Artculo 11.- Refrendo El presente Decreto Supremo ser refrendado por el Presidente del Consejo de Ministros.
Dado en la Casa de Gobierno, en Lima, a los veinte das del mes de octubre del ao dos mil once.
OLLANTA HUMALA TASSO Presidente Constitucional de la Repblica
SALOMN LERNER GHITIS Presidente del Consejo de Ministros
6
DECRETO SUPREMO N 052-2008-PCM
Reglamento de la Ley de Firmas y Certificados Digitales
EL PRESIDENTE DE LA REPBLICA
CONSIDERANDO:
Que, mediante la Ley N 27269, modificada por la Ley N 27310, se aprob la Ley de Firmas y Certificados Digitales, que regula la utilizacin de la firma digital otorgndole la misma validez y eficacia jurdica que la firma manuscrita u otra anloga, establecindose los lineamientos generales respecto de los Prestadores de Servicios de Certificacin Digital y la necesidad de contar con una Autoridad Administrativa Competente encargada de regular de manera ms especfica esta materia.
Que, mediante el Decreto Supremo N 019-2002-JUS, modificado por el Decreto Supremo N 024-2002-JUS, se aprob el Reglamento de la Ley N 27269 - Ley de Firmas y Certificados Digitales, el cual finalmente fuera derogado mediante Decreto Supremo N 004-2007-PCM, publicado en el Diario Oficial El Peruano con fecha 14 de enero de 2007, que aprob el Reglamento de la Ley de Firmas y Certificados Digitales.
Que, conforme a la Ley N 26497, Ley Orgnica del Registro Nacional de Identificacin y Estado Civil - RENIEC, corresponde a esta Entidad planear, dirigir, coordinar y controlar las actividades de registro e identificacin de las personas, as como emitir el documento nico que acredita la identidad de las personas. Habindosele sealado, en la Stima disposicin transitoria del Reglamento de la Ley de Firmas y Certificados Digitales vigente, la responsabilidad de implementar la infraestructura necesaria para la operacin de la Entidad de Certificacin Nacional del Estado Peruano, a fin de emitir certificados digitales para los DNI electrnicos en tarjetas inteligentes y las entidades de la Administracin Pblica que operen bajo la modalidad de Entidades de Certificacin del Estado Peruano.
Que, ha cobrado gran importancia dentro de la Administracin Pblica el empleo de las nuevas tecnologas para interactuar con los ciudadanos, como mecanismos de ahorro de tiempo y costos en la tramitacin de solicitudes y procedimientos administrativos. En tal sentido, mediante Ley N 27658, Ley Marco de Modernizacin de la Gestin del Estado, se declara al Estado Peruano en proceso de modernizacin en sus diferentes instancias y procedimientos, con la finalidad de mejorar la gestin pblica y contribuir en el fortalecimiento de un Estado moderno, descentralizado y con mayor participacin del ciudadano. Por su parte, El artculo 20.1.2 de la Ley N 27444 - Ley del Procedimiento Administrativo General establece entre las modalidades de notificacin, las cursadas a travs de medios electrnicos que permitan comprobar de manera fehaciente su acuse de recibo y quien lo recibe; asimismo el artculo 46 de la Ley N 27444 permite la cancelacin de los derechos de tramitacin mediante transferencias electrnicas de fondos; y, el artculo 123.1 de la Ley N 27444 seala que los administrados puedan solicitar que el envo de informacin o documentacin que les corresponda recibir dentro de un procedimiento, sea realizado por medios de transmisin a distancia.
Que, a fin de lograr un verdadero desarrollo de las transacciones de gobierno electrnico resulta indispensable establecer un sistema integral que permita acercar de manera efectiva y segura al ciudadano a la realizacin de transacciones por medios
7 electrnicos, siendo para ello importante que se reconozca a los ciudadanos, al igual que sucede en la experiencia comparada, el derecho a acceder electrnicamente a las entidades de la Administracin Pblica de manera sencilla, progresiva y bajo parmetros de seguridad y proteccin de las transacciones en s mismas y de los datos personales utilizados en ellas.
Que, el artculo 50 del Decreto Supremo N 063-2007-PCM encomienda a la Oficina Nacional de Gobierno Electrnico e Informtica, entre otras funciones, proponer la Estrategia Nacional de Gobierno Electrnico y coordinar y supervisar su implementacin, as como tambin aprobar los estndares tecnolgicos para asegurar las medidas de seguridad de la informacin en las entidades de la Administracin Pblica, lo que resulta indispensable para lograr la materializacin del derecho ciudadano de acceso a los servicios pblicos electrnicos seguros.
Que, mediante Decreto Legislativo N 681 se establecen las normas que regulan el uso de tecnologas avanzadas en materia de documentos e informacin tanto respecto a la elaborada en forma convencional cuanto a la producida por procedimientos informticos en computadoras y sus normas tcnicas, complementarias y reglamentarias, disponiendo un marco jurdico para la validez y archivo de documentos en formato digital.
Que, en consecuencia, es necesario aprobar un nuevo Reglamento de la Ley N 27269 modificada por Ley N 27310 - Ley de Firmas y Certificados Digitales.
Que, de conformidad con el Decreto Supremo N 066-2003-PCM y el artculo 49 del Decreto Supremo N 063-2007-PCM, la Presidencia del Consejo de Ministros, acta como ente rector del Sistema Nacional de Informtica;
De conformidad con lo dispuesto en el inciso 8) del artculo 118 de la Constitucin Poltica del Per, el inciso 3) del artculo 11 de la Ley N 29158 - Ley Orgnica del Poder Ejecutivo, la Ley N 27269 modificada por Ley N 27310 - Ley de Firmas y Certificados Digitales y el Decreto Ley N 25868;
DECRETA:
Artculo 1.- Aprobacin Aprubese el Reglamento de la Ley N 27269 modificada por Ley N 27310 - Ley de Firmas y Certificados Digitales, que consta de tres (3) Ttulos, setenta y cinco (75) Artculos y catorce (14) Disposiciones Finales, que en Anexo forma parte del presente Decreto Supremo.
Artculo 2.- Derogacin Derguese el Decreto Supremo N 004-2007-PCM.
Artculo 3.- Refrendo El presente Decreto Supremo ser refrendado por el Presidente del Consejo de Ministros.
Dado en la Casa de Gobierno, en Lima, a los dieciocho das del mes de julio del ao dos mil ocho.
ALAN GARCA PREZ Presidente Constitucional de la Repblica
JORGE DEL CASTILLO GLVEZ Presidente del Consejo de Ministros
8
REGLAMENTO DE LA LEY DE FIRMAS Y CERTIFICADOS DIGITALES
TTULO I DISPOSICIONES GENERALES
Artculo 1.- Del objeto El objeto de la presente norma es regular, para los sectores pblico y privado, la utilizacin de las firmas digitales y el rgimen de la Infraestructura Oficial de Firma Electrnica, que comprende la acreditacin y supervisin de las Entidades de Certificacin, las Entidades de Registro o Verificacin, y los Prestadores de Servicios de Valor Aadido; de acuerdo a lo establecido en la Ley N 27269 - Ley de Firmas y Certificados Digitales, modificada por la Ley N 27310, en adelante la Ley.
Reconociendo la variedad de modalidades de firmas electrnicas, la diversidad de garantas que ofrecen, los diversos niveles de seguridad y la heterogeneidad de las necesidades de sus potenciales usuarios, la Infraestructura Oficial de Firma Electrnica no excluye ninguna modalidad, ni combinacin de modalidades de firmas electrnicas, siempre que cumplan los requisitos establecidos en el artculo 2 de la Ley.
Artculo 2.- De la utilizacin de las firmas digitales Las disposiciones contenidas en el presente Reglamento no restringen la utilizacin de las firmas digitales generadas fuera de la Infraestructura Oficial de Firma Electrnica, las cuales sern vlidas en consideracin a los pactos o convenios que acuerden las partes.
CAPTULO I
DE LA VALIDEZ Y EFICACIA JURDICA DE LAS FIRMAS DIGITALES Y DOCUMENTOS ELECTRNICOS
Artculo 3.- De la validez y eficacia de la firma digital La firma digital generada dentro de la Infraestructura Oficial de Firma Electrnica tiene la misma validez y eficacia jurdica que el uso de una firma manuscrita. En tal sentido, cuando la ley exija la firma de una persona, ese requisito se entender cumplido en relacin con un documento electrnico si se utiliza una firma digital generada en el marco de la Infraestructura Oficial de la Firma Electrnica.
Lo establecido en el presente artculo y las dems disposiciones del presente Reglamento no excluyen el cumplimiento de las formalidades especficas requeridas para los actos jurdicos y el otorgamiento de fe pblica.
Artculo 4.- De los documentos firmados digitalmente como medio de prueba Los documentos electrnicos firmados digitalmente dentro del marco de la Infraestructura Oficial de Firma Electrnica debern ser admitidos como prueba en los procesos judiciales y/o procedimientos administrativos, siempre y cuando la firma digital haya sido realizada utilizando un certificado emitido por una Entidad de Certificacin acreditada en cooperacin con una Entidad de Registro o Verificacin acreditada, salvo que se tratara de la misma entidad con ambas calidades y con la correspondiente acreditacin para brindar ambos servicios, asimismo deber haberse aplicado un software de firmas digitales acreditado ante la Autoridad Administrativa
9 Competente. Esto incluye la posibilidad de que a voluntad de las partes pueda haberse utilizado un servicio de intermediacin digital.
La firma digital generada en el marco de la Infraestructura Oficial de Firma Electrnica garantiza el no repudio del documento electrnico original. Esta garanta no se extiende a los documentos individuales que conforman un documento compuesto, a menos que cada documento individual sea firmado digitalmente.
La comprobacin de la validez de un documento firmado digitalmente se realiza en un ambiente electrnico aplicando el Software de Verificacin de la firma digital. En caso de controversia sobre la validez de la firma digital, el Juez podr solicitar a la Autoridad Administrativa Competente el nombramiento de un perito especializado en firmas digitales, sin perjuicio de lo dispuesto por los artculos 252, 264 y 268 del Cdigo Procesal Civil.
Si el documento firmado digitalmente se ha convertido en una microforma o microarchivo, el notario o fedatario con Diploma de Idoneidad Tcnica vigente cumplir con las normas del Decreto Legislativo N 681 y cuidar de cumplir aquellas normas que sean pertinentes de la Ley y de este Reglamento.
Artculo 5.- De la conservacin de documentos electrnicos Cuando los documentos, registros o informaciones requieran de una formalidad para la conservacin de documentos electrnicos firmados digitalmente, debern:
a) Ser accesibles para su posterior consulta.
b) Ser conservados con su formato original de generacin, envo, recepcin u otro formato que reproduzca en forma demostrable la exactitud e integridad del contenido electrnico.
c) Ser conservado todo dato que permita determinar el origen, destino, fecha y hora del envo y recepcin.
Para estos casos, los documentos electrnicos debern ser conservados mediante microformas o microarchivos, observando para ello lo regulado en el Decreto Legislativo N 681 y normas complementarias y reglamentarias; siendo, en tales supuestos, indispensable la participacin de un notario o fedatario que cuente con Diploma de Idoneidad Tcnica y se encuentre registrado ante su correspondiente Colegio o Asociacin Profesional conforme a lo establecido por la legislacin de la materia.(*)
(*) Prrafo modificado por el Artculo 1 del Decreto Supremo N 105-2012-PCM, publicado el 21 octubre 2012, cuyo texto es el siguiente:
"La firma digital vinculada a un certificado digital generada bajo la Infraestructura Oficial de Firma Electrnica no requiere mecanismos adicionales para conservar dicho documento a salvo de adulteraciones y asegurar el cumplimiento del principio de equivalencia funcional y la integridad del contenido del documento electrnico.
CAPTULO II DE LA FIRMA DIGITAL
Artculo 6.- De la firma digital
10 Es aquella firma electrnica que utilizando una tcnica de criptografa asimtrica, permite la identificacin del signatario y ha sido creada por medios que ste mantiene bajo su control, de manera que est vinculada nicamente al signatario y a los datos a los que refiere, lo que permite garantizar la integridad del contenido y detectar cualquier modificacin ulterior, tiene la misma validez y eficacia jurdica que el uso de una firma manuscrita, siempre y cuando haya sido generada por un Prestador de Servicios de Certificacin Digital debidamente acreditado que se encuentre dentro de la Infraestructura Oficial de Firma Electrnica, y que no medie ninguno de los vicios de la voluntad previstos en el Ttulo VIII del Libro IV del Cdigo Civil.
Las firmas digitales son las generadas a partir de certificados digitales que son:
a) Emitidos conforme a lo dispuesto en el presente Reglamento por entidades de certificacin acreditadas ante la Autoridad Administrativa Competente.
b) Incorporados a la Infraestructura Oficial de Firma Electrnica bajo acuerdos de certificacin cruzada, conforme al artculo 74 del presente Reglamento.
c) Reconocidos al amparo de acuerdos de reconocimiento mutuo suscritos por la Autoridad Administrativa Competente conforme al artculo 72 del presente Reglamento.
d) Emitidos por Entidades de Certificacin extranjeras que hayan sido incorporados por reconocimiento a la Infraestructura Oficial de Firma Electrnica conforme al artculo 73 del presente Reglamento.
Artculo 7.- De las caractersticas de la firma digital Las caractersticas mnimas de la firma digital generada dentro de la Infraestructura Oficial de Firma Electrnica son:
a) Se genera al cifrar el cdigo de verificacin de un documento electrnico, usando la clave privada del titular del certificado.
b) Es exclusiva del suscriptor y de cada documento electrnico firmado por ste.
c) Es susceptible de ser verificada usando la clave pblica del suscriptor.
d) Su generacin est bajo el control exclusivo del suscriptor.
e) Est aadida o incorporada al documento electrnico mismo de tal manera que es posible detectar si la firma digital o el documento electrnico fue alterado.
Artculo 8.- De las presunciones Tratndose de documentos electrnicos firmados digitalmente a partir de certificados digitales generados dentro de la Infraestructura Oficial de Firma Electrnica, se aplican las siguientes presunciones:
a) Que el suscriptor del certificado digital tiene el control exclusivo de la clave privada asociada.
b) Que el documento electrnico fue firmado empleando la clave privada del suscriptor del certificado digital.
11 c) Que el documento electrnico no ha sido alterado con posterioridad al momento de la firma.
Como consecuencia de los literales previos, el suscriptor no podr repudiar o desconocer un documento electrnico que ha sido firmado digitalmente usando su clave privada, siempre que no medie ninguno de los vicios de la voluntad previstos en el Ttulo VIII del Libro II del Cdigo Civil.
CONCORDANCIAS: D.S. N 070-2011-PCM, Art. 2 (Reconocimiento de presunciones legales a las comunicaciones electrnicas generadas por la Administracin Pblica, cuyas entidades generadoras de certificados digitales hayan contado con el sello Web Trust, a la fecha de su generacin, y su posterior reemplazo por certificados generados por RENIEC)
Artculo 9.- Del suscriptor Dentro de la Infraestructura Oficial de Firma Electrnica, la responsabilidad sobre los efectos jurdicos generados por la utilizacin de una firma digital corresponde al titular del certificado.
Tratndose de personas naturales, stas son titulares y suscriptores del certificado digital.
En el caso de personas jurdicas, stas son titulares del certificado digital. Los suscriptores son las personas naturales responsables de la generacin y uso de la clave privada, con excepcin de los certificados digitales para su utilizacin a travs agentes automatizados, situacin en la cual las personas jurdicas asumen las facultades de titulares y suscriptores del certificado digital.
Artculo 10.- De las obligaciones del suscriptor Las obligaciones del suscriptor son:
a) Entregar informacin veraz bajo su responsabilidad.
b) Generar la clave privada y firmar digitalmente mediante los procedimientos sealados por la Entidad de Certificacin.
c) Mantener el control y la reserva de la clave privada bajo su responsabilidad.
d) Observar las condiciones establecidas por la Entidad de Certificacin para la utilizacin del certificado digital y la generacin de firmas digitales.
e) En caso de que la clave privada quede comprometida en su seguridad, el suscriptor debe notificarlo de inmediato a la Entidad de Registro o Verificacin o a la Entidad de Certificacin que particip en su emisin para que proceda a la cancelacin del certificado digital.
Artculo 11.- De la invalidez Una firma digital generada bajo la Infraestructura Oficial de Firma Electrnica carece de validez, adems de los supuestos que prev la legislacin civil, cuando:
a) Es utilizada en fines distintos para los que fue extendido el certificado.
b) El certificado haya sido cancelado conforme a lo establecido en el Captulo III del presente Ttulo.
12
CAPTULO III DEL CERTIFICADO DIGITAL
Artculo 12.- De los requisitos Para la obtencin de un certificado digital, el solicitante deber acreditar lo siguiente:
a) Tratndose de personas naturales, tener plena capacidad de ejercicio de sus derechos civiles.
b) Tratndose de personas jurdicas, acreditar la existencia de la persona jurdica y su vigencia mediante los instrumentos pblicos o norma legal respectiva, debiendo contar con un representante debidamente acreditado para tales efectos.
Artculo 13.- De las especificaciones adicionales para ser titular Para ser titular de un certificado digital adicionalmente se deber cumplir con entregar la informacin solicitada por la Entidad de Registro o Verificacin, de acuerdo a lo estipulado por la Entidad de Certificacin correspondiente, asumiendo el titular la responsabilidad por la veracidad y exactitud de la informacin proporcionada, sin perjuicio de la respectiva comprobacin.
En el caso de personas naturales, la solicitud del certificado digital y el registro o verificacin de su identidad son estrictamente personales. La persona natural solicitante se constituir en titular y suscriptor del certificado digital.
Artculo 14.- Del procedimiento para ser titular Las personas naturales debern presentar una solicitud a la Entidad de Registro o Verificacin; dicha solicitud deber estar acompaada de toda la informacin requerida por la Declaracin de Prcticas de Registro o Verificacin, o en los procedimientos declarados. La Entidad de Registro o Verificacin deber comprobar la identidad del solicitante a travs de su documento oficial de identidad.
En el caso de personas jurdicas, la solicitud del certificado digital y el registro o verificacin de su identidad debern realizarse a travs de un representante debidamente acreditado. La persona jurdica se constituir en titular del certificado digital. Conjuntamente con la solicitud, debe indicarse la persona natural que ser el suscriptor, sealando para tal efecto las atribuciones y los poderes de representacin correspondientes. Tratndose de certificados digitales solicitados por personas jurdicas para su utilizacin a travs de agentes automatizados, las facultades de titular y suscriptor de dicho certificado correspondern a la persona jurdica, quien asumir la responsabilidad por el uso de dicho certificado digital.
Artculo 15.- De las obligaciones del titular Las obligaciones del titular son:
a) Entregar informacin veraz durante la solicitud de emisin de certificados y dems procesos de certificacin (cancelacin, suspensin, re-emisin y modificacin).
b) Actualizar la informacin provista tanto a la Entidad de Certificacin como a la Entidad de Registro o Verificacin, asumiendo responsabilidad por la veracidad y exactitud de sta.
c) Solicitar la cancelacin de su certificado digital en caso de que la reserva sobre la clave privada se haya visto comprometida, bajo responsabilidad.
13
d) Cumplir permanentemente las condiciones establecidas por la Entidad de Certificacin para la utilizacin del certificado.
Artculo 16.- Del contenido y vigencia Los certificados emitidos dentro de la Infraestructura Oficial de Firma Electrnica debern contener como mnimo, adems de lo establecido en el artculo 7 de la Ley, lo siguiente:
a) Para personas naturales:
* Nombres completos * Nmero de documento oficial de identidad * Tipo de documento * Direccin oficial de correo electrnico
b) Para personas jurdicas:
* Razn social * Nmero de RUC * Nombres completos del suscriptor * Nmero de documento oficial de identidad del suscriptor * Tipo de documento del suscriptor * Facultades del suscriptor * Correo electrnico del suscriptor * Direccin oficial de correo electrnico del suscriptor * Direccin oficial de correo electrnico de la persona jurdica
La Entidad de Certificacin podr incluir, a pedido del solicitante del certificado, informacin adicional siempre y cuando la Entidad de Registro o Verificacin compruebe de manera fehaciente la veracidad de sta.
El perodo de vigencia de los certificados digitales comienza y finaliza en las fechas indicadas en l, salvo en los supuestos de cancelacin conforme a lo establecido en el artculo 17 del presente Reglamento. (*)
(*) Artculo modificado por el Artculo 1 del Decreto Supremo N 070-2011-PCM, publicado el 27 julio 2011, que entr en vigencia a los treinta (30) das hbiles de su publicacin cuyo texto es el siguiente:
Artculo 16.- Del contenido y vigencia Los certificados emitidos dentro de la Infraestructura Oficial de Firma Electrnica debern contener como mnimo, adems de lo establecido en el artculo 7 de la Ley, lo siguiente:
a) Para personas naturales:
* Nombres completos * Nmero de documento oficial de identidad * Tipo de documento
b) Para personas jurdicas:
* Razn social * Nmero del Registro nico de Contribuyentes (RUC)
14 * Nombres completos del suscriptor * Nmero de documento oficial de identidad del suscriptor * Tipo de documento del suscriptor
La Entidad de Certificacin podr incluir indistintamente, a pedido del solicitante del certificado, la direccin oficial de correo electrnico del suscriptor, la direccin oficial de correo electrnico de la persona jurdica o el domicilio electrnico del solicitante. Asimismo, podr incluir informacin adicional siempre y cuando la Entidad de Registro o Verificacin compruebe de manera fehaciente la veracidad de sta.
El perodo de vigencia de los certificados digitales comienza y finaliza en las fechas indicadas en l, salvo en los supuestos de cancelacin conforme a lo establecido en el artculo 17 del presente Reglamento.
Artculo 17.- De las causales de cancelacin La cancelacin del certificado digital puede darse:
a) A solicitud del titular del certificado digital o del suscriptor sin previa justificacin, siendo necesario para tal efecto la aceptacin y autorizacin de la Entidad de Certificacin o la Entidad de Registro o Verificacin, segn sea el caso, dentro del plazo establecido por la Autoridad Administrativa Competente. Si una solicitud de cancelacin es aprobada por la Entidad de Registro o Verificacin, y luego tal entidad supere el plazo mximo en el cual debe comunicar dicha aprobacin a la Entidad de Certificacin correspondiente, dicha Entidad de Registro o Verificacin ser responsable por los daos ocasionados debido a la demora. De otro modo, habiendo sido notificada dentro del plazo establecido, la Entidad de Certificacin ser responsable de los daos que pueda ocasionar la demora en dicha cancelacin. Del mismo modo ocurrir en el caso que un suscriptor o titular solicite directamente a la Entidad de Certificacin la cancelacin de su certificado. Compete a la Autoridad Administrativa Competente establecer las sanciones respectivas.
b) Por decisin de la Entidad de Certificacin (por revocacin, segn los supuestos contenidos en el artculo 10 de la Ley), con expresin de causa.
c) Por expiracin del plazo de vigencia.
d) Por cese de operaciones de la Entidad de Certificacin que emiti el certificado.
e) Por resolucin administrativa o judicial que ordene la cancelacin del certificado.
f) Por interdiccin civil judicialmente declarada o declaracin de ausencia o de muerte presunta, del titular del certificado.
g) Por extincin de la personera jurdica o declaracin judicial de quiebra.
h) Por muerte, o por inhabilitacin o incapacidad declarada judicialmente de la persona natural suscriptor del certificado.
i) Por solicitud de un tercero que informe y pruebe de manera fehaciente alguno de los supuestos de revocacin contenidos en los incisos 1) y 2) del artculo 10 de la Ley.
j) Otras causales que establezca la Autoridad Administrativa Competente.
15
Las condiciones bajo las cuales un certificado digital pueda ser cancelado deben ser estipuladas en los contratos de los suscriptores y titulares.
El uso de certificados digitales con posterioridad a su cancelacin conlleva la inaplicabilidad de los artculos 3, 4 y 8 del presente Reglamento.
En todos los casos la Entidad de Certificacin debe indicar el momento desde el cual se aplica la cancelacin, precisando la fecha, hora, minuto y segundo en la que se efecta. La cancelacin no puede ser aplicada retroactivamente y debe ser notificada al titular del certificado digital cuando corresponda. La Entidad de Certificacin debe incluir el certificado digital cancelado en la siguiente publicacin de la Lista de Certificados Digitales Cancelados.
Artculo 18.- De la cancelacin del certificado a solicitud de su titular, suscriptor o representante. La solicitud de cancelacin de un certificado digital puede ser realizada por su titular, suscriptor o a travs de un representante debidamente acreditado; tal solicitud podr realizarse mediante documento electrnico firmado digitalmente, de acuerdo con los procedimientos definidos en cada caso por las Entidades de Certificacin o las Entidades de Registro o Verificacin.
El titular y el suscriptor del certificado estn obligados, bajo responsabilidad, a solicitar la cancelacin del certificado al tomar conocimiento de la ocurrencia de alguna de las siguientes circunstancias:
a) Exposicin, puesta en peligro o uso indebido de la clave privada.
b) Deterioro, alteracin o cualquier otro hecho u acto que afecte la clave privada.
c) Revocacin de las facultades de representacin y/o poderes de sus representantes legales o apoderados.
d) Cuando la informacin contenida en el certificado ya no resulte correcta.
e) Cuando el suscriptor deja de ser miembro de la comunidad de inters o se sustrae de aquellos intereses relativos a la Entidad de Certificacin.
Artculo 19.- De la cancelacin por revocacin La revocacin supone la cancelacin de oficio de los certificados por parte de la Entidad de Certificacin, quien debe contar, para tal efecto, con procedimientos detallados en su Declaracin de Prcticas de Certificacin.
TTULO II DE LA INFRAESTRUCTURA OFICIAL DE FIRMA ELECTRNICA
CAPTULO I ASPECTOS GENERALES
Artculo 20.- De los elementos La Infraestructura Oficial de Firma Electrnica est constituida por:
a) El conjunto de firmas digitales, certificados digitales y documentos electrnicos generados bajo la Infraestructura Oficial de Firma Electrnica.
16
b) Las polticas y declaraciones de prcticas de los Prestadores de Servicios de Certificacin Digital, basadas en estndares internacionales o compatibles con los internacionalmente vigentes, que aseguren la interoperabilidad entre dominios y las funciones exigidas, conforme a lo establecido por la Autoridad Administrativa Competente.
c) El software, el hardware y dems componentes adecuados para las prcticas de certificacin y las condiciones de seguridad adicionales comprendidas en los estndares sealados en el literal b).
d) El sistema de gestin que permita el mantenimiento de las condiciones sealadas en los incisos anteriores, as como la seguridad, confidencialidad, transparencia y no discriminacin en la prestacin de sus servicios.
e) La Autoridad Administrativa Competente, as como los Prestadores de Servicios de Certificacin Digital acreditados o reconocidos.
Artculo 21.- De los estndares aplicables La Autoridad Administrativa Competente determinar los estndares compatibles aplicando el principio de neutralidad tecnolgica y los criterios que permitan lograr la interoperabilidad entre componentes, aplicaciones e infraestructuras de la firma digital anlogas a la Infraestructura Oficial de Firma Electrnica.
Artculo 22.- De los niveles de seguridad A fin de garantizar el cumplimiento de los requerimientos de seguridad necesarios para la implementacin de los componentes y aplicaciones de la Infraestructura Oficial de Firma Electrnica, se establecen tres niveles: Medio, Medio Alto y Alto, cuyas precisiones adicionales a lo establecido en el presente Reglamento sern definidas por la Autoridad Administrativa Competente.
El nivel de seguridad Alto se emplea en aplicaciones militares.
CAPTULO II DE LOS PRESTADORES DE SERVICIOS DE CERTIFICACIN DIGITAL
Artculo 23.- De las modalidades Los Prestadores de Servicios de Certificacin Digital (PSC) pueden adoptar cualquiera de las modalidades siguientes:
a) Entidad de Certificacin. b) Entidad de Registro o Verificacin. c) Prestador de Servicios de Valor Aadido.
De conformidad con lo establecido en la Ley, resulta factible que una misma Entidad preste sus servicios en ms de una de las modalidades establecidas anteriormente. No obstante, deber contar con una acreditacin independiente y particular para cada una de las modalidades de prestacin de servicios de certificacin que decida adoptar, a efectos de formar parte de la Infraestructura Oficial de Firma Electrnica.
Artculo 24.- De la acreditacin La acreditacin del Prestador de Servicios de Certificacin permite su ingreso a la Infraestructura Oficial de Firma Electrnica, gozando de las presunciones legales que rigen para tal supuesto. A tal efecto, el Prestador de Servicios de Certificacin
17 ser inscrito en el correspondiente Registro de Prestadores de Servicios de Certificacin Digital.
De manera general el proceso de acreditacin se rige por lo establecido en el presente Reglamento y de manera particular por lo establecido en los Reglamentos Especficos y Guas de Acreditacin aprobados para tales efectos por la Autoridad Administrativa Competente.
SECCIN I DE LAS ENTIDADES DE CERTIFICACIN
Artculo 25.- De las funciones Las Entidades de Certificacin tendrn las siguientes funciones:
a) Emitir certificados digitales manteniendo una secuencia correlativa en el nmero de serie.
b) Cancelar certificados digitales.
c) Reconocer certificados digitales emitidos por entidades de certificacin extranjeras que hayan sido incorporadas por reconocimiento a la Infraestructura Oficial de Firma Electrnica conforme al artculo 73 del presente Reglamento. Caso contrario, dichos certificados no gozarn del amparo de la Infraestructura Oficial de Firma Electrnica.
d) Adicionalmente a las anteriores funciones, realizar las sealadas en los artculos 29 y 33 del presente Reglamento, en caso opten por asumir las funciones de Entidad de Registro o Verificacin, o de Prestador de Servicios de Valor Aadido, respectivamente.
Artculo 26.- De las obligaciones Las Entidades de Certificacin registradas tienen las siguientes obligaciones:
a) Cumplir con los requerimientos de la Autoridad Administrativa Competente en lo referente a la Poltica de Certificacin, Declaracin de Prcticas de Certificacin, Poltica de Seguridad, Poltica de Privacidad y Plan de Privacidad. Estos documentos debern ser aprobados por la Autoridad Administrativa Competente dentro del procedimiento de acreditacin.
b) Informar a los usuarios de todas las condiciones de emisin y de uso de sus certificados digitales, incluyendo las referidas a la cancelacin de stos.
c) Mantener el control y la reserva de la clave privada que emplea para firmar digitalmente los certificados digitales que emite. Mantener la debida diligencia y cuidado respecto a la clave privada de la Entidad de Certificacin, estando en la obligacin de comunicar inmediatamente a la Autoridad Administrativa Competente cualquier potencial o real compromiso de la clave privada.
d) Mantener depsito de los certificados digitales emitidos y cancelados, consignando su fecha de emisin y vigencia. No almacenar las claves privadas de los usuarios finales a menos que correspondan a certificados cuyo uso se limite al cifrado de datos.
18 e) Cancelar el certificado digital al suscitarse alguna de las causales establecidas en el artculo 17 del presente Reglamento. Las causales y condiciones bajo las cuales deba efectuarse la cancelacin del certificado deben ser estipuladas en los contratos de los titulares y suscriptores.
f) Mantener la confidencialidad de la informacin relativa a los titulares y suscriptores de certificados digitales limitando su empleo a las necesidades propias del servicio de certificacin, salvo orden judicial o pedido del titular o suscriptor del certificado digital (segn sea el caso) realizado mediante un mecanismo que garantice el no repudio, debiendo respetar para tales efectos los lineamientos establecidos por la Autoridad Administrativa Competente y contenidos en la Norma Marco sobre Privacidad.
g) Mantener la informacin relativa a los certificados digitales, por un perodo mnimo de diez (10) aos a partir de su cancelacin.
h) Cumplir los trminos bajo los cuales obtuvo la acreditacin, as como los requerimientos adicionales que establezca la Autoridad Administrativa Competente conforme a lo establecido en el Reglamento.
i) Informar y solicitar autorizacin a la Autoridad Administrativa Competente respecto de acuerdos de certificacin cruzada que proyecte celebrar, as como los trminos bajo los cuales dichos acuerdos se suscribiran.
j) Informar y solicitar autorizacin a la Autoridad Administrativa Competente para efectos del reconocimiento de certificados emitidos por entidades extranjeras.
k) Cumplir con las disposiciones de la Autoridad Administrativa Competente a que se refiere el artculo 27 del presente Reglamento.
l) Brindar todas las facilidades al personal autorizado por la Autoridad Administrativa Competente para efectos de supervisin y auditora.
m) Demostrar que los controles tcnicos que emplea son adecuados y efectivos a travs de la verificacin independiente del cumplimiento de los requisitos especificados en el estndar WebTrust for Certification Authorities y la obtencin del sello de Webtrust.
n) Acreditar domicilio en el pas.
Estas obligaciones podrn ser precisadas por la Autoridad Administrativa Competente, a excepcin de las que seale expresamente la Ley.
Artculo 27.- De la responsabilidad por riesgos Para operar en el marco de la Infraestructura Oficial de Firma Electrnica y afrontar los riesgos que puedan surgir como resultado de sus actividades de certificacin, las Entidades de Certificacin acreditadas o reconocidas, de acuerdo a los niveles de seguridad establecidos, debern cumplir con mantener vigente la contratacin de seguros o garantas bancarias que respalden sus certificados, as como con informar a los usuarios los montos contratados a tal efecto.
La Autoridad Administrativa Competente establecer la cuanta mnima de las plizas de seguros o garantas bancarias, as como las medidas tecnolgicas correspondientes al nivel de seguridad respectivo.
19 Asimismo, la Autoridad Administrativa Competente determinar los criterios para evaluar el cumplimiento de este requisito.
Artculo 28.- Del cese de operaciones La Entidad de Certificacin cesa sus operaciones en el marco de la Infraestructura Oficial de Firma Electrnica, en los siguientes casos:
a) Por decisin unilateral comunicada a la Autoridad Administrativa Competente, asumiendo la responsabilidad del caso por dicha decisin.
b) Por extincin de su personera jurdica.
c) Por cancelacin de su registro.
d) Por sentencia judicial.
e) Por liquidacin, decidida por la junta de acreedores en el marco de la legislacin concursal, o resolucin judicial de quiebra.
f) Por decisin debidamente sustentada de la Autoridad Administrativa Competente frente al incumplimiento de los requerimientos exigidos en sus Reglamentos Especficos y Guas de Acreditacin, observado en el proceso de evaluacin tcnica anual a que se refiere el artculo 71 del presente Reglamento.
Para los supuestos contemplados en los incisos a) y b) la Entidad de Certificacin tiene un plazo de treinta (30) das calendario para notificar el cese de sus operaciones tanto a la Autoridad Administrativa Competente como a los titulares de los certificados digitales que hubiera emitido. En tales supuestos, la Autoridad Administrativa Competente deber adoptar las medidas necesarias para preservar las obligaciones contenidas en los incisos c), g) y h) del artculo 26 del presente Reglamento.
La Autoridad Administrativa Competente establecer los procedimientos para hacer pblico el cese de operaciones de las entidades de certificacin.
Los certificados digitales emitidos por una Entidad de Certificacin cuyas operaciones han cesado deben ser cancelados a partir del da, hora, minuto y segundo en que se aplica el cese.
SECCIN II DE LAS ENTIDADES DE REGISTRO O VERIFICACIN
Artculo 29.- De las funciones Las Entidades de Registro o Verificacin tienen las siguientes funciones:
a) Identificar a los titulares y/o suscriptores del certificado digital mediante el levantamiento de datos y la comprobacin de la informacin brindada por aqul.
b) Aprobar y/o denegar, segn sea el caso, las solicitudes de emisin, modificacin, re-emisin, suspensin o cancelacin de certificados digitales, comunicndolo a la respectiva Entidad de Certificacin, segn se encuentre estipulado en la correspondiente Declaracin de Prcticas de Certificacin.
Artculo 30.- De las obligaciones
20 Las Entidades de Registro o Verificacin acreditadas tienen las siguientes obligaciones:
a) Cumplir con los requerimientos de la Autoridad Administrativa Competente respecto de la Poltica de Registro o Verificacin, Declaracin de Prcticas de Registro o Verificacin, Poltica de Seguridad y Poltica y Plan de Privacidad. Estos documentos debern ser aprobados por la Autoridad Administrativa Competente dentro del procedimiento de acreditacin.
b) Determinar objetivamente y en forma directa la veracidad de la informacin proporcionada por los solicitantes del certificado digital, bajo su responsabilidad.
c) Mantener la confidencialidad de la informacin relativa a los suscriptores y titulares de certificados digitales, limitando su empleo a las necesidades propias del servicio de registro o verificacin, salvo orden judicial o pedido del titular o suscriptor del certificado digital, segn sea el caso, realizado mediante un mecanismo que garantice el no repudio, debiendo respetar para tales efectos los lineamientos establecidos por la Autoridad Administrativa Competente en la Norma Marco sobre Privacidad.
d) Recoger nicamente informacin o datos personales de relevancia para la emisin de los certificados.
e) Acreditar domicilio en el Per.
f) Cumplir con las disposiciones de la Autoridad Administrativa Competente a que se refiere el artculo 31 del presente Reglamento.
g) Brindar todas las facilidades al personal autorizado por la Autoridad Administrativa Competente para efectos de supervisin y auditora.
Estas obligaciones podrn ser precisadas por la Autoridad Administrativa Competente, a excepcin de las que seale expresamente la Ley.
Artculo 31.- De la responsabilidad por riesgos Para operar en el marco de la Infraestructura Oficial de Firma Electrnica y afrontar los riesgos que puedan surgir como resultado de sus actividades de registro o verificacin, las Entidades de Registro o Verificacin acreditadas, de acuerdo a los niveles de seguridad establecidos, debern cumplir con:
a) Nivel de seguridad Medio: mantener vigente la contratacin de seguros o garantas bancarias y emplear para efectos de la verificacin de la identidad de los ciudadanos:
* De nacionalidad peruana, la base de datos del Registro Nacional de Identificacin y Estado Civil - RENIEC.
* Extranjeros, carn de extranjera actualizado (residentes) o pasaporte (no residentes); o
b) Nivel de seguridad Medio Alto: mantener vigente la contratacin de seguros o garantas bancarias y emplear para efectos de la verificacin de la identidad de los ciudadanos:
21 * De nacionalidad peruana, el sistema de identificacin biomtrica AFIS del Registro Nacional de Identificacin y Estado Civil - RENIEC.
* Extranjeros, carn de extranjera actualizado (residentes) o pasaporte (no residentes).
La Autoridad Administrativa Competente establecer la cuanta mnima de las plizas de seguros o garantas bancarias.
Asimismo, la Autoridad Administrativa Competente determinar los criterios para evaluar el cumplimiento de este requisito.
Artculo 32.- Del cese de operaciones La Entidad de Registro o Verificacin cesa de operar en el marco de la Infraestructura Oficial de Firma Electrnica en los siguientes casos:
a) Por decisin unilateral comunicada a la Autoridad Administrativa Competente, asumiendo la responsabilidad del caso por dicha decisin.
b) Por extincin de su personera jurdica.
c) Por cancelacin de su registro.
d) Por sentencia judicial.
e) Por liquidacin, decidida por la junta de acreedores en el marco de la legislacin concursal o resolucin judicial de quiebra.
f) Por decisin debidamente sustentada de la Autoridad Administrativa Competente frente al incumplimiento de los requerimientos exigidos en sus Reglamentos Especficos y Guas de Acreditacin, observado en el proceso de evaluacin tcnica anual a que se refiere el artculo 71 del presente Reglamento.
Para los supuestos contenidos en los incisos a) y b), la Entidad de Registro o Verificacin tiene un plazo de treinta (30) das calendario para notificar el cese de sus operaciones a la Autoridad Administrativa Competente debiendo dejar constancia ante aqulla de los mecanismos utilizados para preservar el cumplimiento de lo dispuesto en el inciso c) del artculo 30 del presente Reglamento.
SECCIN III DE LOS PRESTADORES DE SERVICIOS DE VALOR AADIDO
Artculo 33.- De las funciones Los Prestadores de Servicios de Valor Aadido tienen las siguientes funciones:
a) Participar en la transmisin o envo de documentos electrnicos firmados digitalmente, siempre que el usuario lo haya solicitado expresamente.
b) Certificar los documentos electrnicos con fecha y hora cierta (Sellado de Tiempo) o en el almacenamiento de tales documentos, aplicando medios que garanticen la integridad y no repudio de los datos de origen y recepcin (Sistema de Intermediacin Digital).
c) Generar certificados de autenticacin a los usuarios que lo soliciten. Dichos certificados sern utilizados slo en caso que se requiera la autenticacin del usuario
22 para el control de acceso a domicilios electrnicos correspondientes a los servicios vinculados a notificaciones electrnicas. Su uso fuera del servicio, en aplicaciones ajenas al Prestador de Servicios de Valor Aadido que lo emiti, no gozar del amparo de la Infraestructura Oficial de Firma Electrnica.
Los usuarios que as lo deseen podrn emplear su propio certificado digital de autenticacin para los usos descritos en el presente inciso.
Artculo 34.- De las modalidades del Prestador de Servicios de Valor Aadido Los Prestadores de Servicios de Valor Aadido pueden adoptar cualquiera de las modalidades siguientes:
a) Prestador de Servicios de Valor Aadido con firma digital del usuario final. En este caso, se requiere en determinada etapa del servicio de valor aadido la firma digital del usuario final en el documento.
b) Prestador de Servicios de Valor Aadido sin firma digital del usuario final. En ninguna parte del servicio de valor aadido se requiere la firma digital del usuario final.
En cualquiera de los casos, el Prestador de Servicios de Valor Aadido puede contar con los servicios de un notario o fedatario con diploma de idoneidad tcnica registrado ante su correspondiente colegio o asociacin profesional, de conformidad con lo establecido en el Decreto Legislativo N 681, para los casos de prestacin de servicios al amparo de lo sealado en el artculo 35 inciso a) del presente Reglamento.
Artculo 35.- De las modalidades del Prestador de Servicios de Valor Aadido con firma digital del usuario final Los Prestadores de Servicios de Valor Aadido que realizan procedimientos con firma digital del usuario final, podrn a su vez adoptar dos modalidades:
a) Sistema de Intermediacin Digital cuyo procedimiento concluye con una microforma o microarchivo.
b) Sistema de Intermediacin Digital cuyo procedimiento no concluye en microforma o microarchivo.
En la modalidad de Sistema de Intermediacin Digital cuyo procedimiento concluye con una microforma o microarchivo y se requiera de una formalidad para la conservacin de documentos electrnicos firmados digitalmente, se deber respetar para tales efectos lo establecido en el artculo 5 del presente Reglamento.
Artculo 36.- De la modalidad del Prestador de Servicios de Valor Aadido sin firma digital del usuario final El Prestador de Servicios de Valor Aadido sin firma digital del usuario final se refiere al sistema de Sellado de Tiempo, el cual permite consignar la fecha y hora cierta de la existencia de un documento electrnico.
Artculo 37.- De las obligaciones Los Prestadores de Servicios de Valor Aadido tienen las siguientes obligaciones:
a) Cumplir con los requerimientos de la Autoridad Administrativa Competente respecto de la Poltica de Valor Aadido, Declaracin de Prcticas de Servicios de Valor Aadido, Poltica de Seguridad, Poltica y Plan de Privacidad. Estos documentos
23 debern ser aprobados por la Autoridad Administrativa Competente dentro del procedimiento de acreditacin.
b) Informar a los usuarios de todas las condiciones para la prestacin de sus servicios.
c) Mantener la confidencialidad de la informacin relativa a los usuarios de los servicios, limitando su empleo a las necesidades propias del servicio de valor aadido prestado, salvo orden judicial o pedido del usuario utilizando medios que garanticen el no repudio, debiendo respetar para tales efectos los lineamientos establecidos en la Norma Marco sobre Privacidad.
d) Tener operativo software, hardware y dems componentes adecuados para la prestacin de servicios de valor aadido y las condiciones de seguridad adicionales basadas en estndares internacionales o compatibles a los internacionalmente vigentes que aseguren la interoperabilidad y las condiciones exigidas por la Autoridad Administrativa Competente.
e) Cumplir los trminos bajo los cuales obtuvo la acreditacin, as como los requerimientos adicionales que establezca la Autoridad Administrativa Competente conforme a lo establecido en el presente Reglamento.
f) Cumplir con las disposiciones de la Autoridad Administrativa Competente a que se refiere el artculo 38 del presente Reglamento.
g) Brindar todas las facilidades al personal autorizado por la Autoridad Administrativa Competente para efectos de supervisin y auditora.
Estas obligaciones podrn ser precisadas por la Autoridad Administrativa Competente, a excepcin de las que seale expresamente la Ley.
Artculo 38.- De la responsabilidad por riesgos Para operar en el marco de la Infraestructura Oficial de Firma Electrnica y afrontar los riesgos que puedan surgir como resultado de sus actividades de valor aadido, los Prestadores de Servicios de Valor Aadido acreditados, de acuerdo a los niveles de seguridad establecidos, debern cumplir con:
a) Nivel de seguridad Medio: mantener vigente la contratacin de seguros o garantas bancarias; o
b) Nivel de seguridad Medio Alto: acreditar una certificacin internacional, segn:
* Sistema de Intermediacin Digital cuyo procedimiento concluye con una microforma o microarchivo: certificacin de acuerdo al Decreto Legislativo N 681.
* Sistema de Intermediacin Digital cuyo procedimiento no concluye con una microforma o microarchivo: certificacin internacional de calidad para la provisin de sus servicios, de acuerdo a lo establecido por la Autoridad Administrativa Competente.
* Sistema de Sellado de Tiempo: certificacin internacional de calidad para la provisin de sus servicios, de acuerdo a lo establecido por la Autoridad Administrativa Competente.
24 La Autoridad Administrativa Competente establecer la cuanta mnima de las plizas de seguros o garantas bancarias, las certificaciones de calidad internacional, as como las medidas tecnolgicas correspondientes a cada nivel de seguridad.
Asimismo, la Autoridad Administrativa Competente determinar los criterios para evaluar el cumplimiento de este requisito.
Artculo 39.- Del cese de operaciones El Prestador de Servicios de Valor Aadido cesa de operar en el marco de la Infraestructura Oficial de Firma Electrnica en los siguientes casos:
a) Por decisin unilateral comunicada a la Autoridad Administrativa Competente), asumiendo la responsabilidad del caso por dicha decisin.
b) Por extincin de su personera jurdica.
c) Por cancelacin de su registro.
d) Por sentencia judicial.
e) Por liquidacin, decidida por la junta de acreedores en el marco de la legislacin concursal o resolucin judicial de quiebra.
Para los supuestos contenidos en los incisos a) y b) el Prestador de Servicios de Valor Aadido tiene un plazo de treinta (30) das calendario para notificar el cese de sus operaciones a la Autoridad Administrativa Competente.
f) Por decisin debidamente sustentada de la Autoridad Administrativa Competente frente al incumplimiento de los requerimientos exigidos en sus Reglamentos Especficos y Guas de Acreditacin.observado en el proceso de evaluacin tcnica anual a que se refiere el artculo 71 del presente Reglamento;
Para los supuestos contenidos en los incisos a) y b), el Prestador de Servicios de Valor Aadido tiene un plazo de treinta (30) das calendario para notificar el cese de sus operaciones a la Autoridad Administrativa Competente debiendo dejar constancia ante aqulla de los mecanismos utilizados para preservar el cumplimiento de lo dispuesto en el inciso c) del artculo 37 del presente Reglamento.
CAPTULO III
DE LA PRESTACIN DE SERVICIOS DE GOBIERNO ELECTRNICO Y DE LA CERTIFICACIN DIGITAL A CARGO DEL ESTADO
SECCIN I ASPECTOS GENERALES
Artculo 40.- Del derecho ciudadano de acceso a servicios pblicos electrnicos seguros El ciudadano tiene derecho al acceso a los servicios pblicos a travs de medios electrnicos seguros para la realizacin de transacciones de gobierno electrnico con las entidades de la Administracin Pblica, como manifestacin de su voluntad y en el marco de lo previsto en la Ley del Procedimiento Administrativo General - Ley N 27444.
25 Artculo 41.- De los principios generales de acceso a los servicios pblicos electrnicos seguros La prestacin de servicios pblicos por medios electrnicos seguros deber respetar lo establecido para tales efectos por la Ley del Procedimiento Administrativo General - Ley N 27444 y en particular deber ajustarse a los principios siguientes:
41.1. Principio de legalidad, que exige respetar y observar las garantas y normativa vigente que regula las relaciones entre los ciudadanos y las entidades de la Administracin Pblica, principalmente observando el marco jurdico establecido por la Ley del Procedimiento Administrativo General - Ley N 27444.
41.2. Principio de responsabilidad y calidad respecto a la veracidad, autenticidad e integridad de la informacin y servicios ofrecidos por las entidades de la Administracin Pblica a travs de medios electrnicos.
41.3. Principio de presuncin, reconocimiento y validez de los documentos electrnicos y medios de identificacin y autenticacin empleados en los trmites y procedimientos administrativos, siempre y cuando se respeten los lineamientos y requisitos establecidos por el presente Reglamento.
41.4. Principio de seguridad en la implantacin y utilizacin de medios electrnicos para la prestacin de servicios de gobierno electrnico, segn el cual se exigir a las entidades de la Administracin Pblica el respeto a los estndares de seguridad y requerimientos de acreditacin necesarios para poder dotar de respaldo tecnolgico y presuncin legal suficiente a las operaciones que realicen por medios electrnicos, segn lo establecido para tales efectos por la Autoridad Administrativa Competente.
41.5. Principio de proteccin de datos personales empleados en los trmites y procedimientos ante las entidades de la Administracin Pblica, as como aquellos mantenidos en sus archivos y sistemas, para lo cual se deber tener en consideracin los lineamientos establecidos por la Norma Marco sobre la Privacidad.
41.6. Principio de cooperacin, tanto en la utilizacin de medios electrnicos, como en el acceso a la informacin obtenida de los ciudadanos por las entidades de la Administracin Pblica, a fin de lograr el intercambio seguro de datos entre ellas y garantizar la interoperabilidad de los sistemas y soluciones que adopten para lograr, de manera progresiva y en la medida de lo posible, la prestacin integrada de servicios a los ciudadanos.
41.7. Principio de usabilidad en la prestacin de los servicios de certificacin, brindando la informacin y los sistemas de ayuda necesarios, de manera que los usuarios puedan acceder a dichos servicios de manera efectiva, eficiente y satisfactoria.
Artculo 42.- De los derechos conexos El derecho ciudadano de acceso a servicios pblicos electrnicos seguros tiene como correlato el reconocimiento de los siguientes derechos:
42.1. A relacionarse con las entidades de la Administracin Pblica por medios electrnicos seguros para el ejercicio de todos los derechos y prerrogativas que incluye, entre otros, los consagrados en el artculo 55 de la Ley del Procedimiento Administrativo General - Ley N 27444. En tal sentido, constituye obligacin de la Administracin Pblica facilitar el ejercicio de estos derechos ciudadanos, debiendo promover la prestacin de servicios por medios electrnicos. Los trmites y
26 procedimientos administrativos ante las entidades de la Administracin Pblica, la constancia documental de la transmisin a distancia por medios electrnicos entre autoridades administrativas o con sus administrados, o cualquier trmite, procedimiento o proceso por parte de los administrados o ciudadanos ante las Entidades Pblicas o entre estas entidades, no excluyendo a las representaciones del Estado Peruano en el exterior, se entendern efectuadas de manera segura siempre y cuando sean realizados empleando firmas y certificados digitales emitidos por los Prestadores de Servicios de Certificacin Digital que se encuentren acreditados y operando dentro de la Infraestructura Oficial de Firma Electrnica.
"Para la prestacin electrnica de los servicios por parte del Estado que requieran el uso de la firma digital de los funcionarios y/o de los administrados, corresponde a las entidades pblicas la acreditacin del software que crea la firma digital del funcionario de conformidad con el artculo 4 y el inciso c) del artculo 54 del Reglamento de la Ley de Firmas y Certificados Digitales aprobado por el Decreto Supremo N 052-2008-PCM. Dicho software verificar adems que la firma digital del administrado est asociada a un certificado digital emitido dentro de la IOFE. "(*)
(*) Prrafo incorporado por el Artculo 2 del Decreto Supremo N 105-2012-PCM, publicado el 21 octubre 2012.
"En ningn caso los administrados a los que estn destinados los servicios que requieran firma digital estn obligados a acreditar el software de firma digital que utilicen. (*)
(*) Prrafo incorporado por el Artculo 2 del Decreto Supremo N 105-2012-PCM, publicado el 21 octubre 2012.
42.2. A optar por relacionarse con las entidades de la Administracin Pblica ya sea empleando los centros de acceso ciudadano o a travs de canales seguros para la realizacin de transacciones de gobierno electrnico que stas debern poner a su disposicin.
42.3. A conocer por medios electrnicos el plazo y los requisitos necesarios para el inicio de cualquier procedimiento o tramitacin ante una entidad de la Administracin Pblica. Teniendo asimismo derecho a conocer por medios electrnicos el estado en el que tales procedimientos o trmites se encuentran y solicitar la emisin de copias y constancias electrnicas. Esto no resulta aplicable para los casos de procedimientos o trmites que pudieran afectar a la intimidad personal, las vinculadas a la seguridad nacional o las que expresamente sean excluidas por Ley.
42.4. A obtener y utilizar firmas y certificados digitales emitidos por Prestadores de Servicios de Certificacin Digital acreditados y que se encuentren dentro de la Infraestructura Oficial de Firma Electrnica como medio de identificacin en todo tipo de trmite y actuacin ante cualquier entidad de la Administracin Pblica.
42.5. A presentar solicitudes, escritos y comunicaciones todos los das del ao durante las veinticuatro (24) horas, para tal efecto las entidades de la Administracin Pblica debern contar con un archivo electrnico detallado de recepcin de solicitudes. Corresponde a la Oficina Nacional de Gobierno Electrnico e Informtica, el establecimiento de los lineamientos para el cmputo de plazos en los casos de solicitudes, escritos y comunicaciones recibidas bajo estas condiciones.
27 42.6. A obtener servicios de gobierno electrnico de calidad, en estricta observancia de los lineamientos y requisitos establecidos para tales efectos por el presente Reglamento y por la Autoridad Administrativa Competente.
Artculo 43.- De las garantas para el acceso de los ciudadanos a los servicios pblicos electrnicos seguros Las diferentes entidades y dependencias de la Administracin Pblica debern garantizar el acceso a los ciudadanos para la realizacin de transacciones de gobierno electrnico, debiendo para tales efectos:
a) Adecuar sus trmites y procedimientos aplicados en sus comunicaciones tanto con los ciudadanos como con las distintas entidades de la Administracin Pblica, a fin de llevarlos a cabo por medios electrnicos; debiendo asegurar en todo momento la disponibilidad de acceso, la integridad, la autenticidad, el no repudio y la confidencialidad de las transacciones realizadas por estos medios, empleando para tales fines los certificados y firmas digitales emitidos dentro de la Infraestructura Oficial de Firma Electrnica de acuerdo al artculo 4 del presente Reglamento, as como canales seguros.
b) Proveer a su personal competente de certificados digitales y sistemas basados en firma digital reconocidos por la Infraestructura Oficial de Firma Electrnica de acuerdo al artculo 4 del presente Reglamento. Asimismo, cada Administracin Pblica deber brindar a sus empleados la capacitacin en la utilizacin de las firmas y certificados digitales, y dems medios electrnicos requeridos en las actividades propias de dicha entidad. Adems, debern ser capacitados en los temas de seguridad y privacidad respecto de los documentos de carcter personal que les competen segn la funcin o cargo que ocupen.
c) Poner a disposicin de los interesados, por va electrnica, la informacin actualizada acerca de los trmites y procedimientos a su cargo, con especial indicacin de aquellos que resulten factibles de ser iniciados por va electrnica.
d) Informar a los ciudadanos de las condiciones tecnolgicas necesarias para el acceso a servicios pblicos electrnicos seguros y, de ser el caso, el modo de obtencin de los implementos o dispositivos requeridos para tal efecto.
e) El equipo informtico constituido por los servidores empleados por las instituciones para la prestacin y realizacin de transacciones de gobierno electrnico, deber brindar las garantas necesarias para una comunicacin segura, debiendo obtener los correspondientes certificados de dispositivo seguro emitidos por una Entidad de Certificacin debidamente acreditada ante la Autoridad Administrativa Competente.
f) Las entidades de la Administracin Pblica debern admitir la recepcin de documentos firmados digitalmente de acuerdo al artculo 4 del presente Reglamento, siempre que hayan sido emitidos por Entidades de Certificacin y Entidades de Registro o Verificacin que se encuentren acreditadas y operen dentro de la Infraestructura Oficial de Firma Electrnica.
g) Contar con personal capacitado para brindar informacin a los usuarios sobre el manejo y uso de la tecnologa requerida (implementos y dispositivos) para la realizacin de transacciones de gobierno electrnico. Esta informacin podr ser proporcionada por el mencionado personal y deber necesariamente estar incorporada en el mismo medio o instrumento requerido para la realizacin del trmite o solicitud correspondiente.
28
h) Contar con una red de puntos de acceso a nivel nacional a travs de centros de acceso ciudadano que por medio de canales seguros permitan la interaccin con otras dependencias de la Administracin Pblica. Estos centros de acceso ciudadano debern estar dotados de personal capacitado para brindar la informacin y facilidades necesarias para que el ciudadano pueda realizar transacciones seguras de gobierno electrnico, debiendo igualmente contar con un servicio integral de atencin de reclamos y solicitudes de informacin respecto al empleo de los mecanismos necesarios para la interaccin con el Estado a travs de medios electrnicos.
i) Implementar los procedimientos necesarios para que en los casos de ciudadanos que no cuenten con el conocimiento y la tecnologa necesaria para poder realizar transacciones electrnicas, su identificacin y autenticacin a efectos de poder acceder a los mismos podr ser realizada por un notario que cuente con Diploma de Idoneidad Tcnica inscrito en su correspondiente Colegio profesional. En este caso, el ciudadano deber identificarse ante el depositario de la fe pblica y prestar su consentimiento expreso, dejando constancia de ello para los casos de discrepancia o litigio.
j) Aplicar los criterios de usabilidad establecidos por la Autoridad Administrativa Competente.
Artculo 44.- De la implementacin de los procedimientos y trmites administrativos por medios electrnicos seguros A fin de lograr una correcta implementacin de la prestacin de servicios de gobierno electrnico a travs del empleo de canales seguros, certificados y firmas digitales reconocidos por la Infraestructura Oficial de Firma Electrnica, de acuerdo con el artculo 4 del presente Reglamento, para el intercambio seguro de datos, resulta indispensable la elaboracin de un anlisis de rediseo funcional y simplificacin de los procedimientos, trmites y servicios administrativos, debindose poner principal nfasis en los aspectos siguientes:
a) La creacin y mantenimiento de archivos electrnicos para el almacenamiento y gestin de los documentos electrnicos generados durante los trmites y procedimientos pblicos: recepcin y envo de solicitudes, escritos y comunicaciones.
Las entidades de la Administracin Pblica, mediante convenios de colaboracin, podrn habilitar sus respectivos archivos electrnicos para la recepcin de solicitudes, escritos y comunicaciones de competencia de otra entidad, segn lo establecido en el convenio.
Los sistemas informticos encargados de la gestin de los archivos electrnicos emitirn automticamente un acuse de recibo o cargo electrnico consistente en una copia autenticada del escrito, solicitud o comunicacin, incluyendo la fecha y la hora de presentacin y el nmero de ingreso al archivo.
b) El establecimiento de convenios que hagan factible el intercambio electrnico seguro de informacin y documentos obtenidos de los ciudadanos, entre las entidades encargadas de su archivo y las entidades interesadas, con el propsito de suprimir su reiterada solicitud.
c) La puesta a disposicin de los ciudadanos de sus servicios empleando firmas digitales, certificados digitales y canales seguros que se encuentren dentro del mbito de la Infraestructura Oficial de Firma Electrnica.
29
d) La proteccin del derecho a la intimidad y a la confidencialidad de las comunicaciones dentro de lo establecido para tales efectos por la Norma Marco sobre Privacidad.
e) El empleo de la direccin oficial de correo electrnico cuando dicho servicio sea implementado.
En cumplimiento de lo establecido en el presente artculo, las entidades de la Administracin Pblica que brinden el servicio de Sistema de Intermediacin Digital debern acreditarse ante la Autoridad Administrativa Competente como Prestador de Servicios de Valor Aadido para el Estado Peruano.
Artculo 45.- Del Documento Nacional de Identidad electrnico (DNIe) El Documento Nacional de Identidad electrnico (DNIe) es un Documento Nacional de Identidad, emitido por el Registro Nacional de Identificacin y Estado Civil - RENIEC, que acredita presencial y electrnicamente la identidad personal de su titular, permitiendo la firma digital de documentos electrnicos y el ejercicio del voto electrnico presencial. A diferencia de los certificados digitales que pudiesen ser provistos por otras Entidades de Certificacin pblicas o privadas, el que se incorpora en el Documento Nacional de Identidad electrnico (DNIe) cuenta con la facultad adicional de poder ser utilizado para el ejercicio del voto electrnico primordialmente no presencial en los procesos electorales.
El voto electrnico presencial o no presencial se dar en la medida que la Oficina Nacional de Procesos Electorales - ONPE reglamente e implante dichas alternativas de conformidad con lo dispuesto por la Ley que establece normas que regirn para las Elecciones Generales del ao 2006 - Ley N 28581.
SECCIN II
DE LAS TRANSACCIONES DE GOBIERNO ELECTRNICO EN LAS QUE INTERVIENEN PRESTADORES DE SERVICIOS DE CERTIFICACION DIGITAL PBLICOS
Artculo 46.- De la Estructura Jerrquica de Certificacin del Estado Peruano Las entidades que presten servicios de certificacin digital en el marco de la Infraestructura Oficial de Firma Electrnica son las entidades de la administracin pblica o personas jurdicas de derecho pblico siguientes:
a) Entidad de Certificacin Nacional para el Estado Peruano, la cual ser la encargada de emitir los certificados raz para las Entidades de Certificacin para el Estado Peruano que lo soliciten, adems de proponer a la Autoridad Administrativa Competente, las polticas y estndares de las Entidades de Certificacin para el Estado Peruano y Entidades de Registro o Verificacin para el Estado Peruano, segn los requerimientos de la Autoridad Administrativa Competente y lo establecido por el presente Reglamento.
b) Entidades de Certificacin para el Estado Peruano acreditadas por la Autoridad Administrativa Competente, las cuales sern las encargadas de proporcionar, emitir o cancelar los certificados digitales:
i. A los administrados, personas naturales y jurdicas, los cuales sern utilizados prioritariamente en los trmites, procedimientos administrativos y similares;
30 ii. A los funcionarios, empleados y servidores pblicos para el ejercicio de sus funciones y la realizacin de actos de administracin interna e interinstitucional, y a las personas expresamente autorizadas por la entidad pblica correspondiente.
c) Entidades de Registro o Verificacin para el Estado Peruano acreditadas por la Autoridad Administrativa Competente, las cuales sern las encargadas del: levantamiento de datos, comprobacin de la informacin del solicitante, identificacin y autenticacin de los titulares y suscriptores, aceptacin y autorizacin de solicitudes de emisin, cancelacin, modificacin, re-emisin y suspensin, si fuera el caso, de certificados digitales adems de su gestin ante las Entidades de Certificacin; para los fines previstos en el inciso b) del presente artculo.
d) Prestador de Servicios de Valor Aadido para el Estado Peruano acreditados por la Autoridad Administrativa Competente, quienes se encargarn de intervenir en la transmisin o envo de documentos electrnicos, pudiendo participar grabando, almacenando o conservando cualquier informacin enviada por medios electrnicos que permitan certificar los datos de envo y recepcin, fecha y hora y no repudio de origen y recepcin, concernientes a alguna tramitacin o procedimiento realizado ante una entidad de la Administracin Pblica.
Las entidades sealadas en los incisos a) y b) podrn brindar servicios de valor aadido en condicin de Prestador de Servicios de Valor Aadido para el Estado Peruano conforme a lo dispuesto en la Ley y el presente Reglamento, siempre y cuando cuenten con la correspondiente acreditacin.
Cualquier entidad pblica que cumpla con lo requerido para su acreditacin ante la Autoridad Administrativa Competente puede operar bajo la modalidad de Entidad de Certificacin para el Estado Peruano, Entidad de Registro o Verificacin para el Estado Peruano y/o Prestador de Servicios de Valor Aadido para el Estado Peruano.
En ningn caso se admitir la existencia de sistemas de certificacin digital fuera de la Infraestructura Oficial de Firma Electrnica por parte de las entidades de la Administracin Pblica.
Los servicios brindados por los Prestadores de Servicios de Certificacin Digital pblicos se sustentan en los principios de acceso universal y no discriminacin del uso de las tecnologas de la informacin y de comunicaciones, procurando que los beneficios resultantes contribuyan a la mejora de la calidad de vida de todos los ciudadanos. En consecuencia, las entidades pblicas que presten servicios como Entidad de Certificacin Nacional para el Estado Peruano, Entidades de Certificacin para el Estado Peruano, Entidades de Registro o Verificacin para el Estado Peruano y Prestador de Servicios de Valor Aadido para el Estado Peruano, slo podrn considerar los costos asociados a la prestacin del servicio al momento de determinar su valor.
Artculo 47.- De la designacin de las entidades responsables Se designa al Registro Nacional de Identificacin y Estado Civil - RENIEC como Entidad de Certificacin Nacional para el Estado Peruano, Entidad de Certificacin para el Estado Peruano y Entidad de Registro o Verificacin para el Estado Peruano. Los servicios a ser prestados en cumplimiento de los roles sealados estarn a disposicin de todas las Entidades Pblicas del Estado Peruano y de todas las personas naturales y jurdicas que mantengan vnculos con l, no excluyendo ninguna representacin del Estado Peruano en el territorio nacional o en el extranjero.
31 A fin de viabilizar la prestacin segura de los servicios pblicos a los ciudadanos, el Registro Nacional de Identificacin y Estado Civil - RENIEC deber realizar los trmites correspondientes para su acreditacin ante la Autoridad Administrativa Competente a fin de ingresar a la Infraestructura Oficial de Firma Electrnica.
Las dems entidades de la Administracin Pblica que opten por constituirse como Entidad de Certificacin para el Estado Peruano y/o Entidad de Registro o Verificacin para el Estado Peruano debern cumplir con las polticas y estndares que sean propuestos por la Entidad de Certificacin Nacional para el Estado Peruano y aprobadas por la Autoridad Administrativa Competente, y solicitar su acreditacin correspondiente a fin de ingresar a la Infraestructura Oficial de Firma Electrnica.
Artculo 48.- De la Entidad de Certificacin Nacional para el Estado Peruano
a) El Registro Nacional de Identificacin y Estado Civil - RENIEC ser la nica Entidad de Certificacin Nacional para el Estado Peruano y actuar tambin como Entidad de Certificacin para el Estado Peruano y Entidad de Registro o Verificacin para el Estado Peruano. Todas las Entidades de Certificacin para el Estado Peruano y las Entidades de Registro o Verificacin para el Estado Peruano deben seguir las polticas y estndares propuestos por la Entidad de Certificacin Nacional para el Estado Peruano y aprobados por la Autoridad Administrativa Competente.
b) La Entidad de Certificacin Nacional para el Estado Peruano contar con una estructura funcional y jurdica estable, no cambiante en el mediano plazo, slo variable en la cantidad de Entidades de Certificacin para el Estado Peruano y Entidades de Registro o Verificacin para el Estado Peruano que pueda tener.
c) La Entidad de Certificacin Nacional para el Estado Peruano y las Entidades de Certificacin para el Estado Peruano observarn los lineamientos establecidos por la Autoridad Administrativa Competente en relacin al grado de seguridad adecuado en la seleccin del algoritmo, en la longitud de la clave, en el medio de almacenamiento de la clave privada y en la implementacin de los algoritmos empleados, as como el contenido de los certificados digitales que permitan la interoperabilidad entre los distintos componentes tecnolgicos, aplicaciones informticas e infraestructuras de firmas digitales.
d) La Entidad de Certificacin Nacional para el Estado Peruano ser auditada peridicamente por la Autoridad Administrativa Competente, de conformidad con lo establecido para tales efectos en el presente Reglamento y en las correspondientes Guas de Acreditacin. Los informes de auditoria deben ser tenidos en cuenta para continuar su operacin.
Artculo 49.- De las Entidades de Certificacin para el Estado Peruano y las Entidades de Registro o Verificacin para el Estado Peruano
a) Las Entidades de Certificacin para el Estado Peruano debern ofrecer un servicio de directorio y permitir que las aplicaciones accedan a los certificados digitales emitidos y a la Lista de Certificados Digitales Cancelados, de conformidad con los lineamientos establecidos para tales efectos por la Autoridad Administrativa Competente en las correspondientes Guas de Acreditacin, debiendo encontrarse actualizado dicho servicio con la frecuencia indicada en las Guas de Acreditacin. Junto al Servicio de Directorio se puede disponer del servicio de consulta en lnea del estado de un certificado digital.
32
b) Una Entidad de Certificacin para el Estado Peruano podr ofrecer distintos servicios y mecanismos para recibir un requerimiento de certificado digital, siendo necesario que en todos los casos de primera emisin de un certificado digital, el solicitante comparezca de manera personal ante la correspondiente Entidad. Adems, deber ofrecer en forma obligatoria los servicios de recepcin de solicitudes de cancelacin y la publicacin peridica de la Lista de Certificados Digitales Cancelados. Asimismo, deber garantizar el acceso permanente a dichos servicios, proponiendo una solucin para una eventual contingencia, todo lo cual deber encontrarse en estricta observancia de lo establecido para tales efectos por la Autoridad Administrativa Competente en sus correspondientes Guas de Acreditacin.
c) Las Entidades de Certificacin para el Estado Peruano debern ofrecer el servicio de emisin y cancelacin de certificados digitales, conforme a los lineamientos establecidos por la Autoridad Administrativa Competente. Podrn ofrecer servicios de re-emisin, modificacin o suspensin de certificados digitales.
d) Las Entidades de Certificacin para el Estado Peruano debern brindar el nivel de seguridad adecuado en relacin a los equipos informticos y de comunicacin utilizados, el personal empleado para operar la Entidad de Certificacin para el Estado Peruano, as como los responsables de operar las claves de la Entidad de Certificacin para el Estado Peruano y los procedimientos utilizados para la autenticacin de los datos a ser incluidos en los certificados digitales, sern establecidos de conformidad con lo sealado para tales efectos en las Guas de Acreditacin aprobadas por la Autoridad Administrativa Competente.
e) Las Entidades de Certificacin para el Estado Peruano y Entidades de Registro o Verificacin para el Estado Peruano sern auditadas peridicamente por la Autoridad Administrativa Competente, de conformidad con lo establecido para tales efectos en el presente Reglamento y en las correspondientes Guas de Acreditacin. Los informes de auditoria deben ser tenidos en cuenta para continuar su operacin.
f) La integridad del Directorio de Certificados Digitales y la Lista de Certificados Digitales Cancelados debe estar permanentemente asegurada. Es responsabilidad de la Entidad de Certificacin para el Estado Peruano garantizar la disponibilidad de este servicio y la calidad de los datos suministrados por ste.
g) Respecto a los elementos que componen el nombre diferenciado de un certificado digital, los nombres correspondientes al titular y suscriptor del certificado debern ser distinguidos unvocamente. Para el caso de los funcionarios, empleados o servidores pblicos y de las personas expresamente autorizadas por la entidad pblica correspondiente, deber incluirse en los certificados digitales, el organismo en el cual desempean sus funciones o el organismo por el cual ha sido autorizada la emisin de los certificados digitales.
h) Los campos que indiquen el perodo de validez o vigencia (no antes de y no despus de) debern detallar la fecha y la hora.
Artculo 50.- De los Prestadores de Servicios de Valor Aadido para el Estado Peruano
a) Los Prestadores de Servicios de Valor Aadido para el Estado Peruano podrn adoptar cualquiera de las dos modalidades de prestacin de servicios de valor aadido a que se refiere el artculo 34 del presente Reglamento.
33 b) En todos los casos, los Prestadores de Servicios de Valor Aadido para el Estado Peruano que realicen procedimientos que incluyan la firma digital del usuario final, y cuyo procedimiento concluya con una microforma o microarchivo, ser indispensable emplear los servicios de un notario o fedatario que cuente con Diploma de Idoneidad Tcnica y se encuentre registrado ante su correspondiente Colegio o Asociacin Profesional, conforme a lo establecido por el Decreto Legislativo Normas que regulan el uso de Tecnologa Avanzada en materia de documentos e informacin - Decreto Legislativo N 681.
c) Los Prestadores de Servicios de Valor Aadido para el Estado Peruano sern auditados peridicamente por la Autoridad Administrativa Competente, de conformidad con lo establecido para tales efectos en el presente Reglamento y en las correspondientes Guas de Acreditacin. Los informes de auditoria deben ser tenidos en cuenta para continuar su operacin.
SECCIN III DE LOS CENTROS DE ACCESO CIUDADANO
Artculo 51.- De los modos de acceso del ciudadano Los ciudadanos titulares y suscriptores de certificados digitales emitidos por un Prestador de Servicios de Certificacin Digital dentro de la Infraestructura Oficial de Firma Electrnica pueden realizar transacciones electrnicas a travs de cualquier computador o punto de acceso que cuente con la tecnologa necesaria para tales efectos, no estn limitados a ningn modo en particular.
Artculo 52.- De los Centros de Acceso Ciudadano Se entiende por Centros de Servicios Ciudadanos a los locales, instituciones o puntos que sirven para el acceso ciudadano a la realizacin de transacciones de gobierno electrnico prioritariamente, a fin que a travs de tales Centros los ciudadanos puedan materializar los derechos a que se refieren los artculos 40, 41 y 42 del presente Reglamento.
Artculo 53.- De los elementos de los Centros de Acceso Ciudadanos A fin de poder dotar al ciudadano de todas las facilidades necesarias para una ptima interaccin con el Estado, resulta indispensable que un Centro de Acceso Ciudadano ponga a disposicin de los usuarios, como mnimo, los siguientes elementos:
a) Equipos de cmputo que cuenten con lectoras de tarjetas inteligentes, incluyendo sus respectivos controladores de dispositivo (drivers), a fin de permitir a los usuarios su autenticacin y empleo de firma digital para las transacciones en que sta sea requerida.
b) Infraestructura tecnolgica adecuada (computadores, equipos de red, etc.).
c) Sistemas que garanticen la seguridad en las transacciones que realizan, confidencialidad, privacidad y no almacenamiento de informacin personal.
d) Personal capacitado para la asistencia en el empleo de los mecanismos y dispositivos necesarios para la realizacin de transacciones de gobierno electrnico
e) Terminales equipados con los componentes de software necesarios para la realizacin de transacciones pblicas a travs de medios electrnicos, incluyendo los componentes de firma digital y verificacin de firma digital.
34 Adicionalmente, los Centros de Acceso Ciudadano podrn tambin encargarse de la prestacin de los servicios siguientes:
* Lnea de produccin de microformas digitales a partir de documentos en formato papel, debiendo respetar para tal efecto lo establecido por el Decreto Legislativo N 681.
* Archivo y almacenamiento de documentos electrnicos, debiendo para tales efectos respetar igualmente lo establecido por el Decreto Legislativo N 681.
* Prestacin de servicios de registro o verificacin, para tales efectos debern contar con la acreditacin correspondiente por parte de la Autoridad Administrativa Competente.
* Prestacin de servicios de valor aadido, para tal efecto debern contar con la acreditacin correspondiente por parte de la Autoridad Administrativa Competente.
Corresponde a la Oficina Nacional de Gobierno Electrnico e Informtica verificar el cumplimiento de los requisitos necesarios para operar un Centro de Acceso Ciudadano, de acuerdo a lo establecido en el presente artculo, debiendo asimismo llevar un Registro Nacional de los Centros de Acceso Ciudadano autorizados para la prestacin de este tipo de servicios.
SECCIN IV
DEL INTERCAMBIO DE INFORMACIN Y COOPERACIN ENTRE ENTIDADES DE LA ADMINISTRACIN PBLICA
Artculo 54.- Del intercambio de documentos electrnicos por medios seguros
a) Todas las entidades de la Administracin Pblica contarn con facultades suficientes para la emisin vlida de comunicaciones y resoluciones por medios electrnicos de todo tipo de documento administrativo, siempre que se respete para tales efectos los lineamientos establecidos por el presente Reglamento y normas complementarias.
b) El intercambio de documentos electrnicos tanto al interior de las entidades de la Administracin Pblica, como aquellos realizados entre entidades, requerir para su validez y a efecto de gozar del principio de equivalencia funcional, del empleo de firmas y certificados digitales.
c) Los certificados digitales a que alude el inciso anterior, necesariamente debern haber sido emitidos por una Entidad de Certificacin para el Estado Peruano que cuente con la correspondiente acreditacin por parte de la Autoridad Administrativa Competente. Las firmas digitales deben ser generadas por programas de software o componentes acreditados por la Autoridad Administrativa Competente segn su Gua de Acreditacin de Software.
Artculo 55.- De la cooperacin de informacin entre las entidades de la Administracin Pblica Cada entidad de la Administracin Pblica deber facilitar, mediante convenios, el acceso de las dems entidades a los documentos de los ciudadanos que obren en su poder y que se encuentren en archivo electrnico, especificando las condiciones y criterios para el acceso a dicha informacin. La disponibilidad de dichos documentos
35 estar limitada estrictamente a aquellos que son requeridos por las entidades de la Administracin Pblica para la tramitacin y resolucin de los procedimientos de su competencia. El acceso a los documentos con informacin de carcter personal estar condicionado al cumplimiento de lo establecido en la Norma Marco sobre Privacidad.
Artculo 56.- De la interoperabilidad de los sistemas para la prestacin de servicios de gobierno electrnico Las entidades de la Administracin Pblica utilizarn las tecnologas y sistemas para la prestacin de sus servicios a los ciudadanos y para sus relaciones con las dems entidades y dependencias del Estado, aplicando medidas informticas, tecnolgicas, organizativas y de seguridad que garanticen la interoperabilidad, en estricta observancia de lo establecido para tales efectos por la Autoridad Administrativa Competente.
TTULO III DE LA AUTORIDAD ADMINISTRATIVA COMPETENTE
CAPTULO I DE LAS FUNCIONES
Artculo 57.- De las funciones La Autoridad Administrativa Competente tiene las siguientes funciones:
a) Aprobar las Polticas de Certificacin, de Registro o Verificacin y de Valor Aadido, las Declaraciones de Prcticas de Certificacin, de Registro o Verificacin y de Valor Aadido, las Polticas de Seguridad y las Polticas y Planes de Privacidad de las Entidades de Certificacin, de Registro o Verificacin y de Valor Aadido, de los Prestadores de Servicios de Certificacin tanto pblicos como privados.
b) Acreditar Entidades de Certificacin nacionales tanto pblicas como privadas y establecer acuerdos de reconocimiento mutuo con otras Infraestructuras compatibles con la Infraestructura Oficial de Firmas Electrnicas.
c) Acreditar Entidades de Registro o de Verificacin tanto pblicas como privadas.
d) Acreditar a los Prestadores de Servicios de Valor Aadido tanto pblicos como privados y el software que emplean en la prestacin de sus servicios en los casos del artculo 34 inciso a).
e) Registrar a las entidades acreditadas sealadas en los incisos c), d) y e) del presente artculo en el Registro de Prestadores de Servicios de Certificacin Digital, previsto en el artculo 15 de la Ley.
f) Supervisar a los Prestadores de Servicios de Certificacin Digital.
g) Cancelar las acreditaciones otorgadas a los Prestadores de Servicios de Certificacin Digital conforme a lo dispuesto en el presente Reglamento.
h) Publicar, por medios telemticos, la relacin de Prestadores de Servicios de Certificacin Digital acreditados.
i) Aprobar el empleo de estndares tcnicos internacionales dentro de la Infraestructura Oficial de Firma Electrnica, as como de otros estndares tcnicos determinando su compatibilidad con los estndares internacionales; cooperar, dentro
36 de su competencia, en la unificacin de los sistemas que se manejan en los organismos de la Administracin Pblica, tendiendo puentes entre todos sus niveles; y, en la obtencin de la interoperabilidad del mayor nmero de aplicaciones, componentes e infraestructuras de firmas digitales (anlogos a la Infraestructura Oficial de Firma Electrnica en otros pases).
CONCORDANCIAS: D.S. N 070-2011-PCM, Art. 3 (Atribucin al INDECOPI para cumplir su funcin de Autoridad Administrativa Competente de la Infraestructura Oficial de Firma Electrnica - IOFE)
j) Formular los criterios para el establecimiento de la idoneidad tcnica de los Prestadores de Servicios de Certificacin Digital, as como aquellas relacionadas con la prevencin y solucin de conflictos.
k) Establecer los requisitos mnimos para la prestacin de los diferentes servicios a cargo de los Prestadores de Servicios de Certificacin Digital.
l) Impulsar la solucin de conflictos por medio de la conciliacin y el arbitraje.
m) Definir los criterios para evaluar el cumplimiento del requisito relativo al riesgo por los daos que los Prestadores de Servicios de Certificacin Digital puedan ocasionar como resultado de sus actividades de certificacin.
n) Suscribir acuerdos de reconocimiento mutuo con Autoridades Administrativas Extranjeras que cumplan funciones similares a las de la Autoridad Administrativa Competente.
o) Autorizar la realizacin de certificaciones cruzadas con entidades de certificacin extranjeras.
p) Fomentar y coordinar el uso y desarrollo de la Infraestructura Oficial de Firma Electrnica en las entidades del sector pblico nacional en coordinacin con la Entidad de Certificacin Nacional para el Estado Peruano.
q) Delegar a terceros, bajo sus rdenes y responsabilidad, las funciones que estime pertinentes conforme a lo previsto en el presente Reglamento.
r) Elaborar el Reglamento de infracciones y sanciones a los usuarios finales y los procedimientos correspondientes en caso de incumplimiento por parte de los Prestadores de Servicios de Certificacin Digital de lo establecido en la Ley, el presente Reglamento y en los Reglamentos y Guas de Acreditacin de la Autoridad Administrativa Competente.
s) Sancionar a los Prestadores de Servicios de Certificacin Digital, por el incumplimiento o infraccin al presente Reglamento y dems disposiciones vinculadas a la Infraestructura Oficial de Firma Electrnica, de acuerdo al Reglamento de infracciones y sanciones a que se refiere el inciso anterior.
t) Definir las precisiones adicionales a lo establecido en el presente Reglamento, correspondientes a cada uno de los niveles de seguridad contemplados en el artculo 22 del referido Reglamento, bajo los cuales podrn operar los Prestadores de Servicios de Certificacin acreditados.
37 u) Definir los criterios para evaluar el cumplimiento de la responsabilidad por riesgos por parte de los Prestadores de Servicios de Certificacin acreditados, considerando los niveles de seguridad establecidos.
v) Las dems que sean necesarias para el buen funcionamiento de la infraestructura Oficial de Firma Electrnica.
Se designa al Instituto Nacional de Defensa de la Competencia y de la Proteccin de la Propiedad Intelectual - INDECOPI como Autoridad Administrativa Competente.
CAPTULO II
DEL RGIMEN DE ACREDITACIN DE LOS PRESTADORES DE SERVICIOS DE CERTIFICACIN DIGITAL
Artculo 58.- De la acreditacin de Entidades de Certificacin Las entidades que soliciten su acreditacin y registro ante la Autoridad Administrativa Competente, como Entidades de Certificacin, incluyendo las Entidades de Certificacin para el Estado Peruano, deben contar con los elementos de la Infraestructura Oficial de Firmas Electrnicas sealados en los incisos b), c) y d) del artculo 20 del presente Reglamento y someterse al procedimiento de evaluacin comprendido en el artculo 70 del presente Reglamento.
Cuando alguno de los elementos sealados en el prrafo precedente sea administrado por un tercero, la entidad solicitante deber demostrar su vinculacin con aqul, asegurando la viabilidad de sus servicios bajo dichas condiciones, y la disponibilidad de estos elementos para la evaluacin y supervisin que la Autoridad Administrativa Competente considere necesarias. La Autoridad Administrativa Competente, de ser el caso, precisar los trminos bajo los cuales se regirn los supuestos del servicio de certificacin.
Artculo 59.- De la presentacin de la solicitud de acreditacin de Entidades de Certificacin La solicitud para la acreditacin de Entidades de Certificacin debe presentarse a la Autoridad Administrativa Competente, observando lo dispuesto en el artculo anterior y adjuntando lo siguiente:
a) El pago por derecho de solicitud de acreditacin por un monto equivalente al 100% de la UIT, vigente a la fecha de pago.
b) Los documentos que acrediten la existencia y vigencia de la persona jurdica mediante los instrumentos pblicos o norma legal respectiva, as como las facultades del representante.
c) Los documentos que acrediten contar con un domicilio en el pas.
d) Los documentos que acrediten contar con la infraestructura e instalaciones necesarias para la prestacin del servicio y presentar declaracin jurada de aceptacin de la visita comprobatoria de la Autoridad Administrativa Competente.
e) Los procedimientos detallados que garanticen el cumplimiento de las funciones establecidas en el presente Reglamento.
38 f) La Poltica de Certificacin, la Declaracin de Prcticas de Certificacin, la Poltica de Seguridad, la Poltica de Privacidad y el Plan de Privacidad, y documentacin que comprende el sistema de gestin implementado conforme al inciso d) del artculo 20 del presente Reglamento.
g) La declaracin jurada del cumplimiento de los requisitos sealados en los Incisos c) y d) del artculo 20 del presente Reglamento; informacin que ser comprobada por la Autoridad Administrativa Competente.
h) La documentacin que acredite el cumplimiento de lo dispuesto en los artculos 26 y 27 del presente Reglamento y dems requisitos que la Autoridad Administrativa Competente seale.
i) El informe favorable de la entidad sectorial correspondiente, cuando lo solicite la Autoridad Administrativa Competente, para el caso de personas jurdicas supervisadas, respecto de la legalidad y seguridad para el desempeo de actividades de certificacin.
j) Otros documentos o requisitos establecidos por la Autoridad Administrativa Competente.
Artculo 60.- De la acreditacin de Entidades de Registro o Verificacin Las entidades que soliciten su acreditacin y registro ante la Autoridad Administrativa Competente, como Entidades de Registro o Verificacin, incluyendo las Entidades de Registro o Verificacin para el Estado Peruano, deben contar con los requerimientos establecidos por la Autoridad Administrativa Competente para la prestacin de sus servicios, los que tendrn que asegurar la verificacin presencial de la identidad del solicitante de un nuevo certificado digital.
Artculo 61.- De la presentacin de la solicitud de acreditacin de Entidades de Registro o Verificacin La solicitud para la acreditacin de Entidades de Registro o Verificacin debe presentarse a la Autoridad Administrativa Competente, observando lo dispuesto en el artculo anterior y adjuntando lo siguiente:
a) El pago por derecho de solicitud de acreditacin por un monto equivalente al cien por ciento (100%) de la UIT, vigente a la fecha de pago.
b) Los documentos que acrediten la existencia y vigencia de la persona jurdica mediante los instrumentos pblicos o norma legal respectiva, as como las facultades del representante.
c) Los documentos que acrediten contar con domicilio en el pas.
d) Los documento que acrediten contar con la infraestructura e instalaciones necesarias para la prestacin del servicio y presentar declaracin jurada de aceptacin de las visitas comprobatorias de la Autoridad Administrativa Competente.
e) Los procedimientos detallados que garanticen el cumplimiento de las funciones establecidas en el presente Reglamento.
f) Las Polticas de Registro, la Declaracin de Prcticas de Registro o Verificacin, la Poltica de Seguridad, la Poltica y el Plan de Privacidad.
39 g) La declaracin jurada del cumplimiento de las obligaciones y los requisitos sealados en los artculos 30 y 31 del presente Reglamento.
h) Otros documentos o requisitos establecidos por la Autoridad Administrativa Competente.
Artculo 62.- De la acreditacin de los Prestadores de Servicios de Valor Aadido Las entidades pblicas y privadas que soliciten su acreditacin y registro ante la Autoridad Administrativa Competente como Prestadores de Servicios de Valor Aadido, deben contar con procedimientos idneos para la prestacin de sus servicios, los cuales se encontrarn recogidos en su correspondiente Declaracin de Prcticas de Valor Aadido. En el caso de los Prestadores de Servicios de Valor Aadido con modalidad de Servicios de Valor Aadido con firma digital del usuario, y cuyo procedimiento concluya con una microforma o microarchivo, sus procedimientos tendrn que asegurar la presencia de un notario o fedatario que cuente con Diploma de Idoneidad Tcnica y se encuentre inscrito en su correspondiente Colegio o Asociacin Profesional, conforme a lo establecido por el Decreto Legislativo N 681.
Artculo 63.- De la acreditacin del Software de los Prestadores de Servicios de Valor Aadido que realizan procedimientos con firma digital del usuario final A fin de garantizar la seguridad de la prestacin de los servicios de los Prestadores de Servicios de Valor Aadido que involucran la realizacin de procesos de firma digital por parte de los usuarios, resulta indispensable la acreditacin del software a ser empleado en la prestacin de los servicios, conforme a los lineamientos y parmetros establecidos por la Autoridad Administrativa Competente.
Artculo 64.- De la presentacin de la solicitud de acreditacin de los Prestadores de Servicios de Valor Aadido La solicitud para la acreditacin de Prestadores de Servicios de Valor Aadido debe presentarse a la Autoridad Administrativa Competente, observando lo sealado en los artculos anteriores y adjuntando lo siguiente:
a) El pago por derecho de solicitud de acreditacin por un monto equivalente al cien por ciento (100%) de la UIT vigente a la fecha de pago.
b) Los documentos que acrediten la existencia y vigencia de la persona jurdica mediante los instrumentos pblicos o norma legal respectiva, as como las facultades del representante.
c) Los documentos que acrediten contar con domicilio en el pas.
d) Los documentos que acrediten contar con la infraestructura e instalaciones necesarias para la prestacin del servicio y presentar declaracin jurada de aceptacin de la visita comprobatoria de la Autoridad Administrativa Competente.
e) Las Polticas de Registro, la Declaracin de Prcticas de Valor Aadido, la Poltica de Seguridad, Poltica y el Plan de Privacidad.
f) La declaracin jurada de tener operativo el software, hardware y dems componentes adecuados para la prestacin de servicios de valor aadido y las condiciones de seguridad adicionales basadas en estndares internacionales o compatibles a los internacionalmente vigentes que aseguren la interoperabilidad y las condiciones exigidas por la Autoridad Administrativa Competente.
40
g) La declaracin jurada del cumplimiento de las obligaciones y los requisitos sealados en los artculos 37 y 38 del presente Reglamento.
h) Otros documentos o requisitos establecidos por la Autoridad Administrativa Competente.
Artculo 65.- Del procedimiento Administrativo de la Acreditacin Admitida la solicitud, la Autoridad Administrativa Competente proceder a la evaluacin del cumplimiento de los requisitos establecidos en la Ley, el Reglamento y las respectivas Guas de Acreditacin.
La evaluacin de los requisitos de competencia tcnica de la Entidad de Certificacin, Entidad de Registro o Verificacin o Prestadores de Servicios de Valor Aadido solicitante podr ser realizada directamente por la Autoridad Administrativa Competente, o a travs de terceros, o reconociendo aquellas realizadas en el extranjero por otras Autoridades Extranjeras que cumplan funciones equivalentes a las de la Autoridad Administrativa Competente, y siempre que los requisitos evaluados por ellas sean equivalentes a los requisitos comprendidos en el Reglamento, para lo cual la Autoridad Administrativa Competente adoptar los requerimientos, estndares y procedimientos empleados a nivel internacional para la realizacin de esta funcin.
En todos los casos, el procedimiento de acreditacin se regir en particular por lo establecido para tales efectos por la Autoridad Administrativa Competente en los correspondientes Reglamentos y Guas de Acreditacin, y en todos los casos de respuesta favorable a la acreditacin, implicar el ingreso de la entidad solicitante a la Infraestructura Oficial de Firmas Electrnicas a travs de su Registro como Prestador de Servicios de Certificacin Digital acreditado.
Artculo 66.- Del reconocimiento de evaluaciones en el extranjero La Autoridad Administrativa Competente reconocer las evaluaciones sobre los requisitos de competencia tcnica de la Entidad de Certificacin solicitante realizadas en el extranjero siempre y cuando se cumpla con las normas establecidas por la Autoridad Administrativa Competente en el marco del Reglamento, en especial si dichas evaluaciones consisten en certificaciones de cumplimiento de estndares internacionales que sean estipuladas por la Autoridad Administrativa Competente.
Artculo 67.- De la subsanacin de observaciones Dentro del procedimiento y en el plazo mximo de seis (6) meses, podrn subsanarse las deficiencias tcnicas observadas durante la evaluacin. Las entidades podrn solicitar la suspensin del procedimiento a fin de implementar las medidas necesarias para superar estas dificultades.
Si, culminada la etapa de evaluacin, subsisten observaciones, se denegar el Registro y se archivar el procedimiento.
Artculo 68.- Del Costo del Registro y otros procedimientos Las entidades solicitantes asumirn los costos por la tramitacin del procedimiento, y aquellos por evaluacin, auditoria y dems previstos por la Autoridad Administrativa Competente.
Artculo 69.- Del otorgamiento y vigencia de la acreditacin La acreditacin se otorga por un perodo de cinco (5) aos, renovable por perodos similares. La Entidad beneficiaria estar sujeta a evaluaciones tcnicas anuales para mantener la vigencia de la referida acreditacin.
41
Artculo 70.- De la cancelacin de la acreditacin La cancelacin de la acreditacin de los Prestadores de Servicios de Certificacin Digital procede:
a) Por decisin unilateral comunicada a la Autoridad Administrativa Competente.
b) Por extincin de su personera jurdica.
c) Por cancelacin de su registro.
d) Por sentencia judicial.
e) Por liquidacin, decidida por la junta de acreedores en el marco de la legislacin concursal o resolucin judicial de quiebra.
f) Por determinacin de la Autoridad Administrativa Competente frente al incumplimiento observado en los procesos de evaluacin tcnica anual, de los requerimientos exigidos en sus Reglamentos Especficos y Guas de Acreditacin.
CAPTULO III DE LOS CERTIFICADOS EMITIDOS POR ENTIDADES EXTRANJERAS
Artculo 71.- De los acuerdos de reconocimiento mutuo La Autoridad Administrativa Competente podr suscribir acuerdos de reconocimiento mutuo con entidades extranjeras que cumplan funciones similares, a fin de reconocer la validez de los certificados digitales otorgados en el extranjero y extender la interoperabilidad de la Infraestructura Oficial de Firmas Electrnicas. Los acuerdos de reconocimiento mutuo deben garantizar en forma equivalente las funciones exigidas por la Ley y su Reglamento.
Artculo 72.- Del reconocimiento La Autoridad Administrativa Competente podr reconocer los certificados digitales emitidos por Entidades Extranjeras, de acuerdo con las prcticas y polticas que para tal efecto apruebe, las que deben velar por el cumplimiento de las obligaciones y responsabilidades establecidas en el presente Reglamento u otra norma posterior.
Asimismo, podr autorizar la operacin de aquellas Entidades de Certificacin nacionales que utilicen los servicios de Entidades de Certificacin extranjeras, de verificarse tal supuesto, las entidades nacionales asumirn las responsabilidades del caso.
Para tal efecto, la entidad extranjera deber comunicar a la Autoridad Administrativa Competente los nombres de aquellas Entidades de Certificacin que autorizarn las solicitudes de emisin de certificados digitales y que asumirn la gestin de tales certificados.
La Autoridad Administrativa Competente emitir las normas que aseguren el cumplimiento de lo establecido en el presente artculo, as como los mecanismos adecuados de informacin a los agentes del mercado.
Artculo 73.- De la certificacin cruzada
42 Las Entidades de Certificacin acreditadas pueden realizar certificaciones cruzadas con Entidades de Certificacin extranjeras a fin de reconocer los certificados digitales que stas emitan en el extranjero, incorporndolos como suyos dentro de la Infraestructura Oficial de Firmas Electrnicas, siempre y cuando obtengan autorizacin previa de la Autoridad Administrativa Competente.
Las entidades que presten servicios de acuerdo a lo establecido en el prrafo precedente, asumirn responsabilidad de daos y perjuicios por la gestin de tales certificados.
Las Entidades de Certificacin acreditadas que realicen certificaciones cruzadas conforme al primer prrafo del presente artculo, garantizarn ante la Autoridad Administrativa Competente que las firmas digitales y/o certificados digitales reconocidos han sido emitidos bajo requisitos equivalentes a los exigidos en la Infraestructura Oficial de Firmas Electrnicas, y que cumplen las funciones sealadas en el artculo 2 de la Ley.
El incumplimiento de lo estipulado en el prrafo anterior ameritar las sanciones correspondientes, de acuerdo a lo establecido en el Reglamento de infracciones y sanciones a que se refiere el inciso r) del artculo 57 del presente Reglamento.
CAPTULO IV DE LA SUPERVISIN DE ENTIDADES ACREDITADAS
Artculo 74.- De las facultades de supervisin La Autoridad Administrativa Competente tiene la facultad de verificar la correcta prestacin de los servicios de certificacin y/o emisin de firmas digitales, as como de los servicios de registro o verificacin y de los servicios de valor aadido, el cumplimiento de las obligaciones legales y tcnicas por parte de las entidades acreditadas que operen bajo la Infraestructura Oficial de Firmas Electrnicas, as como la facultad de verificar el cumplimiento de las disposiciones establecidas en la Ley, el Reglamento, y en sus Resoluciones.
Artculo 75.- De la fiscalizacin La Autoridad Administrativa Competente ejercer su facultad fiscalizadora y sancionadora de conformidad con lo dispuesto en el Decreto Ley de Organizacin y Funciones del Instituto Nacional de Defensa de la Competencia y de la Proteccin de la Propiedad Intelectual - Decreto Ley N 25868. Las sanciones a aplicar son determinadas por la Autoridad Administrativa Competente en el marco de la Decisin Andina 562 dada la naturaleza de reglamento tcnico de la presente norma.
La Autoridad Administrativa Competente deber aplicar el Reglamento de infracciones y sanciones a que se refiere el inciso r) del artculo 58 de este Reglamento a efectos de regular el procedimiento administrativo sancionador a ser seguido en caso de incumplimiento o infraccin al presente Reglamento, las Guas de Acreditacin de los Prestadores de Servicios de Certificacin Digital y dems disposiciones vinculadas a la Infraestructura Oficial de Firma Electrnica; asimismo, debe fiscalizar el cumplimiento de lo establecido en las Polticas de Certificacin, de Registro o Verificacin y de Valor Aadido, las Declaraciones de Prcticas de Certificacin, de Registro o Verificacin y de Valor Aadido, las Polticas de Seguridad y las Polticas y Planes de Privacidad.
DISPOSICIONES COMPLEMENTARIAS FINALES
43 Primera.- De la cooperacin internacional Las entidades del Sector Pblico Nacional pueden suscribir acuerdos de cooperacin con sus similares a nivel mundial o con instituciones de cooperacin internacional, para recibir apoyo, asesora y financiamiento para el empleo de la tecnologa relativa a las firmas digitales y transacciones electrnicas en general en la Administracin Pblica, en el marco de la Ley. Encrguese al Consejo Nacional de Ciencia Tecnologa e Innovacin Tecnolgica - CONCYTEC para que en coordinacin con la Entidad de Certificacin Nacional para el Estado Peruano, la Oficina Nacional de Gobierno Electrnico e Informtica y la Autoridad Administrativa Competente desarrolle las acciones tendientes a masificar el uso de las firmas digitales en la Administracin Pblica, dentro del marco de la investigacin e innovacin tecnolgica.
Segunda.- Del procedimiento administrativo contra decisiones de las Entidades de Certificacin Los Prestadores de Servicios de Certificacin Digital deben establecer procedimientos giles y sencillos para que sus usuarios puedan presentar directamente reclamaciones por la prestacin de sus servicios, las cuales debern ser atendidas en el ms breve plazo. La Autoridad Administrativa Competente aprobar o reformar estos procedimientos y regular lo relativo a las reclamaciones. Agotada la va previa de la reclamacin ante el Prestador de Servicios de Certificacin Digital, proceder recurrir en va administrativa ante la Autoridad Administrativa Competente, con sujecin a la Ley N 27444 - Ley del Procedimiento Administrativo General. La Autoridad Administrativa Competente determinar todos aquellos procedimientos y polticas necesarios para la aplicacin del presente Reglamento. En los casos que proceda la reclamacin, la Autoridad Administrativa Competente adoptar las medidas correctivas pertinentes.
Tercera.- De la compatibilidad de la normativa con los avances tecnolgicos Dentro del marco conformado por la Ley y el presente Reglamento, la Autoridad Administrativa Competente se encargar de emitir las resoluciones que sean necesarias para mantener la presente normativa compatible con la evolucin tecnolgica de la materia y el desarrollo de las necesidades de los usuarios de la Infraestructura Oficial de Firmas Electrnicas.
Cuarta.- Del plan de implementacin de los procedimientos y trmites administrativos por medios electrnicos seguros en las entidades de la Administracin Pblica En el plazo de seis (6) meses a partir de la vigencia del presente Reglamento, las entidades de la Administracin Pblica debern elaborar y presentar a la Oficina Nacional de Gobierno Electrnico e Informtica un plan para el cumplimiento de lo estipulado en los artculos 40, 41, 42, 43, 44 y 45 del presente Reglamento, asimismo debern proponer las normas complementarias necesarias para tal fin. La Oficina Nacional de Gobierno Electrnico e Informtica evaluar y aprobar dichas propuestas.(*)
(*) Prrafo modificado por el Artculo 1 del Decreto Supremo N 105-2012-PCM, publicado el 21 octubre 2012, cuyo texto es el siguiente:
Cuarta.- Del plan de implementacin de los procedimientos y trmites administrativos por medios electrnicos seguros en las entidades de la Administracin Pblica Las entidades de la administracin pblica debern elaborar y presentar a la Oficina Nacional de Gobierno Electrnico e Informtica, en el plazo que se establezca por Decreto Supremo, un plan para el cumplimiento de lo estipulado en los artculos
44 40, 41, 42, 43, 44 y 45 del presente Reglamento, asimismo debern proponer las normas complementarias necesarias para tal fin. La Oficina Nacional de Gobierno Electrnico e Informtica evaluar y aprobar dicha propuesta."
Considerando que las entidades de la Administracin Pblica que brinden el servicio de Sistema de Intermediacin Digital debern acreditarse como Prestadores de Servicios de Valor Aadido ante la Autoridad Administrativa Competente, el mencionado plan deber incorporar las estimaciones de los recursos econmicos, tcnicos y humanos, as como los plazos necesarios para su implantacin. El plazo mximo para la implementacin de lo descrito en dicho plan es de veinticuatro (24) meses a partir de su aprobacin por la Oficina Nacional de Gobierno Electrnico e Informtica.
Durante la implementacin progresiva de los servicios de Gobierno Electrnico por parte de las entidades de la Administracin Pblica, stas debern incentivar la utilizacin de los medios electrnicos para la realizacin de sus trmites y procedimientos, considerando aquellos casos donde los ciudadanos se vean imposibilitados debido a que no cuentan con la tecnologa, conocimientos necesarios para poder acceder a la prestacin de los servicios electrnicos, ni con centros de acceso ciudadano disponibles en su respectiva provincia.
Quinta.- De la capacitacin de empleados pblicos Cada entidad de la Administracin Pblica deber garantizar de manera gradual la capacitacin de sus empleados en los temas competentes a su funcin, que impliquen el uso de certificados y firmas digitales, as como los requerimientos de seguridad en la utilizacin de los medios electrnicos, la proteccin de la informacin personal de los ciudadanos y el respeto a la propiedad intelectual.
Sexta.- De la implementacin del Registro Nacional de Centros de Acceso Ciudadano En un plazo no mayor de ciento veinte (120) das calendario contados a partir de la vigencia del presente Reglamento, la Oficina Nacional de Gobierno Electrnico e Informtica deber tomar las medidas necesarias a fin de implementar el Registro Nacional de los Centros de Acceso Ciudadano a que hace referencia el artculo 53 de este Reglamento.
Sptima.- De la importacin de computadoras personales con lectoras de tarjetas inteligentes para uso en el sector pblico y en aqullas que se vinculen a ste A partir de los ciento veinte (120) das calendario de vigencia del presente Reglamento, las Entidades del Sector Pblico adquirirn, preferentemente, computadoras personales que debern incorporar lectoras de tarjetas inteligentes, incluyendo sus respectivos controladores de dispositivo (drivers), segn los estndares correspondientes.
Octava.- Del plazo de Implementacin de la Entidad de Certificacin Nacional para el Estado Peruano El Registro Nacional de Identificacin y Estado Civil -RENIEC, en su calidad de Entidad de Certificacin Nacional para el Estado Peruano, tendr un plazo de diez (10) meses a partir de la vigencia del presente Reglamento, para implementar y poner al servicio de las personas naturales y jurdicas, as como de las entidades de la Administracin Pblica, la infraestructura indicada en el artculo 48 del presente Reglamento. Dicho plazo podr ser prorrogado si por motivo de fuerza mayor debidamente acreditado, el Registro Nacional de Identificacin y Estado Civil - RENIEC se viera imposibilitado de cumplir con lo sealado.
45
Despus de vencido el plazo, la Entidad de Certificacin Nacional para el Estado Peruano emitir los certificados raz correspondientes a las Entidades de Certificacin para el Estado Peruano acreditadas por la Autoridad Administrativa Competente, con el fin de garantizar la interoperabilidad y la confianza en el uso de los certificados digitales emitidos por las referidas entidades. (*)
(*) Disposicin modificada por el Artculo 1 del Decreto Supremo N 070-2011-PCM, publicado el 27 julio 2011, que entr en vigencia a los treinta (30) das hbiles de su publicacin cuyo texto es el siguiente:
Octava.- Del plazo de Implementacin de la Entidad de Certificacin Nacional para el Estado Peruano El Registro Nacional de Identificacin y Estado Civil (RENIEC), en su calidad de Entidad de Certificacin Nacional para el Estado Peruano, tendr un plazo hasta el 31 de julio del 2012 para iniciar los procedimientos de acreditacin respectivos ante el INDECOPI. Este ltimo contar con un plazo mximo de 120 das hbiles para culminarlos, sin perjuicio de lo dispuesto en el artculo 67 del presente Reglamento.
Autorcese al Registro Nacional de Identificacin y Estado Civil (RENIEC), en su condicin de Entidad de Certificacin Nacional para el Estado Peruano, Entidad de Certificacin para el Estado Peruano y Entidad de Registro o Verificacin para el Estado Peruano, emitir firmas y certificados digitales en tanto no est acreditada ante la Autoridad Administrativa Competente (INDECOPI), reconocindose a los documentos electrnicos soportados en dichos certificados digitales las presunciones legales establecidas en el artculo 8, as como, los efectos jurdicos que corresponde para los fines de los artculos 4 y 43 del presente reglamento.
A tal efecto las entidades de la Administracin Pblica que hagan uso de la firma digital, y de ser el caso, los Colegios de Notarios del Per y/o la Junta de Decanos de los Colegios de Notarios del Per, que as lo soliciten, debern suscribir Convenios con el Registro Nacional de Identificacin y Estado Civil (RENIEC), a fin de llevar un registro de los titulares y/o suscriptores de certificados digitales, as como, de los Certificados Digitales emitidos bajo esta Disposicin Complementaria Final.
Las entidades de la Administracin Pblica que requieran hacer uso de la firma digital debern iniciar el procedimiento de acreditacin de Software de firma digital, ante la Autoridad Administrativa Competente (INDECOPI), a ms tardar en el mes de abril de 2012.(*)
(*) Prrafo modificado por el Artculo 1 del Decreto Supremo N 105-2012-PCM, publicado el 21 octubre 2012, cuyo texto es el siguiente:
"Las entidades de la Administracin Pblica que requieran hacer uso de la firma digital debern iniciar el procedimiento de acreditacin de Software de firma digital, ante la Autoridad Administrativa Competente (INDECOPI), a ms tardar en el mes de julio de 2013."
Asimismo, aquellos que requieran servicios de valor aadido tales como sellado de tiempo y/o sistema de intermediacin electrnica, en tanto no se encuentren acreditados ante la Autoridad Administrativa Competente (INDECOPI), debern cumplir con los requerimientos tcnicos de los estndares sealados en las Guas de Acreditacin: de Prestador de Servicios de Valor Aadido y de Aplicaciones de Software, aprobadas por la Autoridad Administrativa Competente, en lo que le fuese aplicable.
46
Novena.- Del plazo para la habilitacin del Registro de Prestadores de Servicios de Certificacin Digital La Autoridad Administrativa Competente se encargar de la aprobacin de las Guas de Acreditacin de los Prestadores de Servicios de Certificacin Digital y realizar las gestiones, procedimientos legales y tcnicos necesarios para iniciar los procesos de acreditacin, a fin de habilitar el Registro de Prestadores de Servicios de Certificacin Digital sealado en el Artculo 15 de la Ley.
Corresponde a la Oficina Nacional de Gobierno Electrnico e Informtica supervisar la efectiva implementacin de la Infraestructura Oficial de Firma Electrnica y el cumplimiento del plazo establecido en la presente Disposicin Final.
En caso de incumplimiento del plazo establecido, la Oficina Nacional de Gobierno Electrnico e Informtica asumir la responsabilidad de aprobar las mencionadas Guas de Acreditacin en un plazo adicional no mayor de quince (15) das calendario. Corresponder a la Autoridad Administrativa Competente la ejecucin de los procesos de acreditacin aprobados.
Dcima.- De la reutilizacin de aplicaciones de software de propiedad de la Administracin Pblica Las entidades de la Administracin Pblica que sean titulares de derechos de propiedad intelectual de aplicaciones de software desarrolladas para la prestacin de sus servicios o cuyo desarrollo haya sido objeto de contratacin, debern ponerlas a disposicin de cualquier otra entidad de la Administracin Pblica sin necesidad de pago de contraprestacin alguna.
Corresponde a la Oficina Nacional de Gobierno Electrnico e Informtica, llevar un registro actualizado de las diferentes aplicaciones de software desarrolladas por las entidades de la Administracin Pblica o las contrataciones que pudieran haberse realizado para tales efectos, debiendo poner dicha informacin a disposicin de todas las entidades de la Administracin Pblica, a efectos de lograr un efectivo intercambio tecnolgico y reutilizacin de las citadas aplicaciones.
Dcima Primera.- De la contratacin de seguros o garantas bancarias A fin de fomentar el registro de los Prestadores de Servicios de Certificacin Digital ante la Autoridad Administrativa Competente, como presupuesto indispensable para la efectiva operacin de la Infraestructura Oficial de Firma Electrnica y el desarrollo de las transacciones de gobierno y comercio electrnico seguras, exonrese a los Prestadores de Servicios de Certificacin Digital, por un perodo de un (1) ao, a partir de la vigencia del presente Reglamento, de la contratacin de seguros o garantas bancarias, sea cual fuera la modalidad bajo la que decidan operar; sin perjuicio de aquellos que opten voluntariamente por el cumplimiento de dichos requerimientos. (*)
(*) Disposicin modificada por el Artculo 1 del Decreto Supremo N 070-2011-PCM, publicado el 27 julio 2011, que entr en vigencia a los treinta (30) das hbiles de su publicacin cuyo texto es el siguiente:
Dcimo Primera.- De la contratacin de seguros o garantas bancarias A fin de fomentar el registro de los Prestadores de Servicios de Certificacin Digital ante la Autoridad Administrativa Competente, como presupuesto indispensable para la efectiva operacin de la Infraestructura Oficial de Firma Electrnica y el desarrollo de las transacciones de Gobierno Electrnico y de Comercio Electrnico seguras, exonrese a los Prestadores de Servicios de Certificacin Digital, hasta el 31
47 de diciembre de 2012, de la contratacin de seguros o garantas bancarias prevista en los artculos 27, 31 y 38 del presente Reglamento; sin perjuicio de aquellos que opten voluntariamente por el cumplimiento de dichos requerimientos. (*)
(*) Disposicin modificada por el Artculo 1 del Decreto Supremo N 105-2012-PCM, publicado el 21 octubre 2012, cuyo texto es el siguiente:
Dcimo Primera.- De la contratacin de seguros o garantas bancarias A fin de fomentar el registro de los Prestadores de Servicios de Certificacin Digital ante la autoridad Administrativa Competente, como presupuesto indispensable para la efectiva operacin de la infraestructura Oficial de Firma Electrnica y el desarrollo de las transacciones de Gobierno Electrnico y de Comercio seguras, exonrese a los Prestadores de Servicios de Certificacin Digital, hasta el 31 de diciembre de 2013, de la contratacin de seguros o garantas bancarias previstas en los artculos 27, 31 y 38 del presente Reglamento; sin perjuicio de aquellos que opten voluntariamente por el cumplimiento de dichos requerimientos.
Dcima Segunda.- Del cumplimiento de los criterios WebTrust A fin de fomentar el registro de los Entidades de Certificacin ante la Autoridad Administrativa Competente, como presupuesto indispensable para la efectiva operacin de la Infraestructura Oficial de Firmas Electrnicas y el desarrollo de las transacciones de gobierno y comercio electrnico seguras, exonrese a las Entidades de Certificacin, por un perodo de tres (3) aos a partir de la vigencia del presente Reglamento, del cumplimiento de los requisitos especificados en el estndar WebTrust for Certification Authorities y la obtencin del sello de WebTrust; sin perjuicio de aquellos que opten voluntariamente por el cumplimiento de dichos requerimientos. (*)
(*) Disposicin modificada por el Artculo 1 del Decreto Supremo N 070-2011-PCM, publicado el 27 julio 2011, que entr en vigencia a los treinta (30) das hbiles de su publicacin cuyo texto es el siguiente:
Dcimo Segunda.- Del cumplimiento de los criterios Web Trust La obtencin del sello de Web Trust al que hace referencia el artculo 26 numeral m) del presente Reglamento es de cumplimiento obligatorio para las Entidades de Certificacin que acrediten en el Nivel de Seguridad Medio Alto.
A fin de fomentar el registro de las Entidades de Certificacin ante la Autoridad Administrativa Competente, como condicin indispensable para la efectiva operacin de la Infraestructura Oficial de Firmas Electrnicas y el desarrollo de las transacciones de gobierno y comercio electrnico seguras, exonrese a las Entidades de Certificacin hasta el 31 de diciembre de 2012 del cumplimiento de los requisitos especificados en el estndar Web Trust for Certification Authorities y la obtencin del sello de Web Trust; sin perjuicio de aquellos que opten voluntariamente por el cumplimiento de dichos requerimientos.
Dcima Tercera.- Del voto electrnico En tanto no se implemente el Documento Nacional de Identidad electrnico (DNIe), los ciudadanos podrn utilizar los certificados de persona natural emitidos por cualquier Entidad de Certificacin para el Estado Peruano a efectos del ejercicio del voto electrnico en los procesos electorales, en la medida que la Oficina Nacional de Procesos Electorales (ONPE) implemente dicha alternativa.
Dcima Cuarta.- Del glosario de trminos De conformidad con lo establecido por la segunda disposicin complementaria, transitoria y final de la Ley, se incluye el Glosario de Trminos siguiente:
48
Acreditacin.- Es el acto a travs del cual la Autoridad Administrativa Competente, previo cumplimiento de las exigencias establecidas en la Ley, el Reglamento y las disposiciones dictadas por ella, faculta a las entidades solicitantes reguladas en el presente Reglamento a prestar los servicios solicitados en el marco de la Infraestructura Oficial de Firma Electrnica.
Acuse de Recibo.- Son los procedimientos que registran la recepcin y validacin de la Notificacin Electrnica Personal recibida en el domicilio electrnico, de modo tal que impide rechazar el envo y da certeza al remitente de que el envo y la recepcin han tenido lugar en una fecha y hora determinada a travs del sello de tiempo electrnico.
Agente Automatizado.- Son los procesos y equipos programados para atender requerimientos predefinidos y dar una respuesta automtica sin intervencin humana, en dicha fase.
Ancho de banda.- Especifica la cantidad de informacin que se puede enviar a travs de una conexin de red en un perodo de tiempo dado (generalmente un segundo). El ancho de banda se indica generalmente en bites por segundo (bps), kilobits por segundo (Kbps), o megabits por segundo (Mbps).
Cunto ms elevado el ancho de la banda de una red, mayor es su aptitud para transmitir un mayor caudal de informacin.
Archivo.- Es el conjunto organizado de documentos producidos o recibidos por una entidad en el ejercicio de las funciones propias de su fin, y que estn destinados al servicio.
Archivo Electrnico.- Es el conjunto de registros que guardan relacin. Tambin es la organizacin de dichos registros.
Autenticacin.- Es el proceso tcnico que permite determinar la identidad de la persona que firma digitalmente, en funcin del documento electrnico firmado por ste y al cual se le vincula; este proceso no otorga certificacin notarial ni fe pblica.
Autoridad Administrativa Competente.- Es el organismo pblico responsable de acreditar a las Entidades de Certificacin, a las Entidades de Registro o Verificacin y a los Prestadores de Servicios de Valor Aadido, pblicos y privados, de reconocer los estndares tecnolgicos aplicables en la Infraestructura Oficial de Firma Electrnica, de supervisar dicha Infraestructura, y las otras funciones sealadas en el presente Reglamento o aquellas que requiera en el transcurso de sus operaciones. Dicha responsabilidad recae en el Instituto Nacional de Defensa de la Competencia y de la Proteccin de la Propiedad Intelectual - INDECOPI.
Canal seguro.- Es el conducto virtual o fsicamente independiente a travs del cual se pueden transferir datos garantizando una transmisin confidencial y confiable, protegindolos de ser interceptados o manipulados por terceros.
Certificacin Cruzada.- Es el acto por el cual una Entidad de Certificacin acreditada reconoce la validez de un certificado emitido por otra, sea nacional, extranjera o internacional, previa autorizacin de la Autoridad Administrativa Competente; y asume tal certificado como si fuera de propia emisin, bajo su responsabilidad.
49 Certificado Digital.- Es el documento credencial electrnico generado y firmado digitalmente por una Entidad de Certificacin que vincula un par de claves con una persona natural o jurdica confirmando su identidad. El ciclo de vida de un certificado digital podra comprender:
La suspensin consiste en inhabilitar la validez de un certificado digital por un perodo de tiempo establecido en el momento de la solicitud de suspensin, dicho perodo no puede superar la fecha de expiracin del certificado digital.
La modificacin de la informacin contenida en un certificado sin la re-emisin de sus claves.
La re-emisin consiste en generar un nuevo par de claves y un nuevo certificado, correspondiente a una nueva clave pblica pero manteniendo la mayor parte de la informacin del suscriptor contenida en el certificado a expirar.
Clave privada.- Es una de las claves de un sistema de criptografa asimtrica que se emplea para generar una firma digital sobre un documento electrnico y es mantenida en reserva por el titular de la firma digital.
Clave pblica.- Es la otra clave en un sistema de criptografa asimtrica que es usada por el destinatario de un documento electrnico para verificar la firma digital puesta en dicho documento. La clave pblica puede ser conocida por cualquier persona.
Cdigo de verificacin o resumen (hash).- Es la secuencia de bits de longitud fija obtenida como resultado de procesar un documento electrnico con un algoritmo, de tal manera que:
(1) El documento electrnico produzca siempre el mismo cdigo de verificacin (resumen) cada vez que se le aplique dicho algoritmo.
(2) Sea improbable a travs de medios tcnicos, que el documento electrnico pueda ser derivado o reconstruido a partir del cdigo de verificacin (resumen) producido por el algoritmo.
(3) Sea improbable por medios tcnicos, se pueda encontrar dos documentos electrnicos que produzcan el mismo cdigo de verificacin (resumen) al usar el mismo algoritmo.
Controlador de dispositivo (driver).- Es el programa informtico que permite a un Sistema Operativo entender y manejar diversos dispositivos electrnicos fsicos que se conectan o forman parte de la computadora.
Criptografa Asimtrica.- Es la rama de las matemticas aplicadas que se ocupa de transformar documentos electrnicos en formas aparentemente ininteligibles y devolverlas a su forma original, las cuales se basan en el empleo de funciones algortmicas para generar dos claves diferentes pero matemticamente relacionadas entre s. Una de esas claves se utiliza para crear una firma numrica o transformar datos en una forma aparentemente ininteligible (clave privada), y la otra para verificar una firma numrica o devolver el documento electrnico a su forma original (clave pblica). Las claves estn matemticamente relacionadas, de tal modo que cualquiera de ellas implica la existencia de la otra, pero la posibilidad de acceder a la clave privada a partir de la pblica es tcnicamente nfima.
50 Declaracin de Prcticas de Certificacin.- Es el documento oficialmente presentado por una Entidad de Certificacin a la Autoridad Administrativa Competente, mediante el cual define sus Prcticas de Certificacin.
Declaracin de Prcticas de Registro o Verificacin.-Documento oficialmente presentado por una Entidad de Registro o Verificacin a la Autoridad Administrativa Competente, mediante el cual define sus Prcticas de Registro o Verificacin.
Declaracin de Prcticas de Valor Aadido.- Documento oficialmente presentado por una Entidad de Registro o Verificacin a la Autoridad Administrativa Competente, mediante el cual define las prcticas y procedimientos que emplea en la prestacin de sus servicios.
Depsito de Certificados.- Es el sistema de almacenamiento y recuperacin de certificados, as como de la informacin relativa a stos, disponible por medios telemticos.
Destinatario.- Es la persona designada por el iniciador para recibir un documento electrnico, siempre y cuando no acte a ttulo de intermediario.
Direccin de correo electrnico.- Es el conjunto de palabras que identifican a una persona que puede enviar y recibir correo. Cada direccin es nica y pertenece siempre a la misma persona.
Direccin oficial de correo electrnico.- Es la direccin de correo electrnico del ciudadano, reconocido por el Gobierno Peruano para la realizacin confiable y segura de las notificaciones electrnicas personales requeridas en los procesos pblicos.
Esta direccin recibir los mensajes de correo electrnico que sirvan para informar al usuario acerca de cada notificacin o acuse de recibo que haya sido remitida a cualquiera de sus domicilios electrnicos. A diferencia del domicilio electrnico, esta direccin centraliza todas las comunicaciones que sirven para informar al usuario que se ha realizado una actualizacin de los documentos almacenados en sus domicilios electrnicos. Su lectura es de uso obligatorio.
Documento.- Es cualquier escrito pblico o privado, los impresos, fotocopias, facsmil o fax, planos, cuadros, dibujos, fotografas, radiografas, cintas cinematogrficas, microformas tanto en la modalidad de microfilm como en la modalidad de soportes informticos, y otras reproducciones de audio o video, la telemtica en general y dems objetos que recojan, contengan o representen algn hecho, o una actividad humana o su resultado.
Los documentos pueden ser archivados a travs de medios electrnicos, pticos o cualquier otro similar.
Documento electrnico.- Es la unidad bsica estructurada de informacin registrada, publicada o no, susceptible de ser generada, clasificada, gestionada, transmitida, procesada o conservada por una persona o una organizacin de acuerdo a sus requisitos funcionales, utilizando sistemas informticos.
Documento oficial de identidad.- Es el documento oficial que sirve para acreditar la identidad de una persona natural, que puede ser:
a) Documento Nacional de Identidad (DNI);
51 b) Carn de extranjera actualizado, para las personas naturales extranjeras domiciliadas en el pas; o,
c) Pasaporte, si se trata de personas naturales extranjeras no residentes.
Domicilio electrnico.- Est conformado por la direccin electrnica que constituye la residencia habitual de una persona dentro de un Sistema de Intermediacin Digital, para la tramitacin confiable y segura de las notificaciones, acuses de recibo y dems documentos requeridos en sus procedimientos. En el caso de una persona jurdica el domicilio electrnico se asocia a sus integrantes.
Para estos efectos, se emplear el domicilio electrnico como equivalente funcional del domicilio habitual de las personas naturales o jurdicas.
En este domicilio se almacenarn los documentos y expedientes electrnicos correspondientes a los procedimientos y trmites realizados en el respectivo Sistema de Intermediacin Digital. El acceso a este domicilio se realiza empleando un certificado digital de autenticacin.
Entidad de Certificacin.- Es la persona jurdica pblica o privada que presta indistintamente servicios de produccin, emisin, gestin, cancelacin u otros servicios inherentes a la certificacin digital. Asimismo, puede asumir las funciones de registro o verificacin.
Entidad de Certificacin Extranjera.- Es la Entidad de Certificacin que no se encuentra domiciliada en el pas, ni inscrita en los Registros Pblicos del Per, conforme a la legislacin de la materia.
Entidades de la Administracin Pblica.- Es el organismo pblico que ha recibido del poder poltico la competencia y los medios necesarios para la satisfaccin de los intereses generales de los ciudadanos y la industria.
Entidad de Registro o Verificacin.- Es la persona jurdica, con excepcin de los notarios pblicos, encargada del levantamiento de datos, la comprobacin de stos respecto a un solicitante de un certificado digital, la aceptacin y autorizacin de las solicitudes para la emisin de un certificado digital, as como de la aceptacin y autorizacin de las solicitudes de cancelacin de certificados digitales. Las personas encargadas de ejercer la citada funcin sern supervisadas y reguladas por la normatividad vigente.
Entidad final.- Es el suscriptor de un certificado digital.
Estndares Tcnicos Internacionales.- Son los requisitos de orden tcnico y de uso internacional que deben observarse en la emisin de certificados digitales y en las prcticas de certificacin.
Estndares Tcnicos Nacionales.- Son los estndares tcnicos aprobados mediante Normas Tcnicas Peruanas por la Comisin de Reglamentos Tcnicos y Comerciales - CRT del INDECOPI, en su calidad de Organismo Nacional de Normalizacin.
Equivalencia funcional.- Principio por el cual los actos jurdicos realizados por medios electrnicos que cumplan con las disposiciones legales vigentes poseen la misma validez y eficacia jurdica que los actos realizados por medios convencionales, pudindolos sustituir para todos los efectos legales. De conformidad con lo establecido
52 en la Ley y su Reglamento, los documentos firmados digitalmente pueden ser presentados y admitidos como prueba en toda clase de procesos judiciales y procedimientos administrativos.
Expediente electrnico.- El expediente electrnico se constituye en los trmites o procedimientos administrativos en la entidad que agrupa una serie de documentos o anexos identificados como archivos, sobre los cuales interactan los usuarios internos o externos a la entidad que tengan los perfiles de accesos o permisos autorizados.
Gobierno Electrnico.- Es el uso de las Tecnologas de Informacin y Comunicacin para redefinir la relacin del gobierno con los ciudadanos y la industria, mejorar la gestin y los servicios, garantizar la transparencia y la participacin, y facilitar el acceso seguro a la informacin pblica, apoyando la integracin y el desarrollo de los distintos sectores.
Identificador de objeto OID.- Es una cadena de nmeros, formalmente definida usando el estndar ASN.1 (ITU-T Rec. X.660 | ISO/IEC 9834 series), que identifica de forma nica a un objeto. En el caso de la certificacin digital, los OIDs se utilizan para identificar a los distintos objetos en los que sta se enmarca (por ejemplo, componentes de los Nombres Diferenciados, CPS, etc.).
Infraestructura Oficial de Firma Electrnica.- Sistema confiable, acreditado, regulado y supervisado por la Autoridad Administrativa Competente, provisto de instrumentos legales y tcnicos que permiten generar firmas digitales y proporcionar diversos niveles de seguridad respecto de:
1) La integridad de los documentos electrnicos; 2) La identidad de su autor, lo que es regulado conforme a Ley.
El sistema incluye la generacin de firmas digitales, en la que participan entidades de certificacin y entidades de registro o verificacin acreditadas ante la Autoridad Administrativa Competente incluyendo a la Entidad de Certificacin Nacional para el Estado Peruano, las Entidades de Certificacin para el Estado Peruano, las Entidades de Registro o Verificacin para el Estado Peruano y los Prestadores de Servicios de Valor Aadido para el Estado Peruano.
Integridad.- Es la caracterstica que indica que un documento electrnico no ha sido alterado desde la transmisin por el iniciador hasta su recepcin por el destinatario.
Interoperabilidad.- Segn el OASIS Forum Group la interoperabilidad puede definirse en tres reas:
* Interoperabilidad a nivel de componentes: consiste en la interaccin entre sistemas que soportan o consumen directamente servicios relacionados con PKI.
* Interoperabilidad a nivel de aplicacin: consiste en la compatibilidad entre aplicaciones que se comunican entre s.
* Interoperabilidad entre dominios o infraestructuras PKI: consiste en la interaccin de distintos sistemas de certificacin PKI (dominios, infraestructuras), estableciendo relaciones de confianza que permiten el reconocimiento indistinto de los certificados digitales por parte de los terceros que confan.
53 Ley.- Ley N 27269 - Ley de Firmas y Certificados Digitales, modificada por la Ley N 27310.
Lista de Certificados Digitales Cancelados.- Es aquella en la que se deber incorporar todos los certificados cancelados por la entidad de certificacin de acuerdo con lo establecido en el presente Reglamento.
Mecanismos de firma digital.- Es un programa informtico configurado o un aparato informtico configurado que sirve para aplicar los datos de creacin de firma digital. Dichos mecanismos varan segn el nivel de seguridad que se les aplique.
Medios electrnicos.- Son los sistemas informticos o computacionales a travs de los cuales se puede generar, procesar, transmitir y archivar de documentos electrnicos.
Medios electrnicos seguros.- Son los medios electrnicos que emplean firmas y certificados digitales emitidos por Prestadores de Servicios de Certificacin Digital acreditados, donde el intercambio de informacin se realiza a travs de canales seguros.
Medios telemticos.- Es el conjunto de bienes y elementos tcnicos informticos que en unin con las telecomunicaciones permiten la generacin, procesamiento, transmisin, comunicacin y archivo de datos e informacin.
Neutralidad tecnolgica.- Es el principio de no discriminacin entre la informacin consignada sobre papel y la informacin comunicada o archivada electrnicamente; asimismo, implica la no discriminacin, preferencia o restriccin de ninguna de las diversas tcnicas o tecnologas que pueden utilizarse para firmar, generar, comunicar, almacenar o archivar electrnicamente informacin.
Niveles de seguridad.- Son los diversos niveles de garanta que ofrecen las variedades de firmas digitales, cuyos beneficios y riesgos deben ser evaluados por la persona, empresa o institucin que piensa optar por una modalidad de firma digital para enviar o recibir documentos electrnicos.
No repudio.- Es la imposibilidad para una persona de desdecirse de sus actos cuando ha plasmado su voluntad en un documento y lo ha firmado en forma manuscrita o digitalmente con un certificado emitido por una Entidad de Certificacin acreditada en cooperacin de una Entidad de Registro o Verificacin acreditada, salvo que la misma entidad tenga ambas calidades, empleando un software de firmas digitales acreditado, y siempre que cumpla con lo previsto en la legislacin civil.
En el mbito del artculo 2 de la Ley de Firmas y Certificados Digitales, el no repudio hace referencia a la vinculacin de un individuo (o institucin) con el documento electrnico, de tal manera que no puede negar su vinculacin con l ni reclamar supuestas modificaciones de tal documento (falsificacin).
Nombre Diferenciado (X.501).- Es un sistema estndar diseado para consignar en el campo sujeto de un certificado digital los datos de identificacin del titular del certificado, de manera que stos se asocien de forma inequvoca con ese titular dentro del conjunto de todos los certificados en vigor que ha emitido la Entidad de Certificacin. En ingls se denomina Distinguished Name.
Norma Marco sobre Privacidad.- Es la norma basada en la normativa aprobada en la 16 Reunin Ministerial del APEC, que fuera llevada a cabo en Santiago de Chile
54 el 17 y 18 de noviembre de 2004, la cual forma parte integrante de las Guas de Acreditacin aprobadas por la Autoridad Administrativa Competente.
Notificacin electrnica personal.- En virtud del principio de equivalencia funcional, la notificacin electrnica personal de los actos administrativos se realizar en el domicilio electrnico o en la direccin oficial de correo electrnico de las personas por cualquier medio electrnico, siempre que permita confirmar la recepcin, integridad, fecha y hora en que se produce. Si la notificacin fuera recibida en da u hora inhbil, sta surtir efectos al primer da hbil siguiente a dicha recepcin.
Par de claves.- En un sistema de criptografa asimtrica comprende una clave privada y su correspondiente clave pblica, ambas asociadas matemticamente.
Polticas de Certificacin.- Documento oficialmente presentado por una entidad de certificacin a la Autoridad Administrativa Competente, mediante el cual establece, entre otras cosas, los tipos de certificados digitales que podrn ser emitidos, cmo se deben emitir y gestionar los certificados, y los respectivos derechos y responsabilidades de las Entidades de Certificacin. Para el caso de una Entidad de Certificacin Raz, la Poltica de Certificacin incluye las directrices para la gestin del Sistema de Certificacin de las Entidades de Certificacin vinculadas.
Prctica.- Es el modo o mtodo que particularmente observa alguien en sus operaciones.
Prcticas de Certificacin.- Son las prcticas utilizadas para aplicar las directrices de la poltica establecida en la Poltica de Certificacin respectiva.
Prcticas especficas de Certificacin.- Son las prcticas que completan todos los aspectos especficos para un tipo de certificado que no estn definidos en la Declaracin de Prcticas de Certificacin respectiva.
Prcticas de Registro o Verificacin.- Son las prcticas que establecen las actividades y requerimientos de seguridad y privacidad correspondientes al Sistema de Registro o Verificacin de una Entidad de Registro o Verificacin.
Prestador de Servicios de Certificacin.- Es toda entidad pblica o privada que indistintamente brinda servicios en la modalidad de Entidad de Certificacin, Entidad de Registro o Verificacin o Prestador de Servicios de Valor Aadido.
Prestador de Servicios de Valor Aadido.- Es la entidad pblica o privada que brinda servicios que incluyen la firma digital y el uso de los certificados digitales. El presente Reglamento presenta dos modalidades:
a. Prestadores de Servicio de Valor Aadido que realizan procedimientos sin firma digital de usuarios finales, los cuales se caracterizan por brindar servicios de valor aadido, como Sellado de Tiempo que no requieren en ninguna etapa de la firma digital del usuario final en documento alguno.
b. Prestadores de Servicio de Valor Aadido que realizan procedimientos con firma digital de usuarios finales, los cuales se caracterizan por brindar servicios de valor aadido como el sistema de intermediacin electrnico, en donde se requiere en determinada etapa de operacin del procedimiento la firma digital por parte del usuario final en algn tipo de documento.
55 Prestador de Servicios de Valor Aadido para el Estado Peruano.- Es la Entidad pblica que brinda servicios de valor aadido, con el fin de permitir la realizacin de las transacciones pblicas de los ciudadanos a travs de medios electrnicos que garantizan la integridad y el no repudio de la informacin (Sistema de Intermediacin Digital) y/o registran la fecha y hora cierta (Sello de Tiempo).
Reconocimiento de Servicios de Certificacin Prestados en el Extranjero.- Es el proceso a travs del cual la Autoridad Administrativa Competente, acredita, equipara y reconoce oficialmente a las entidades de certificacin extranjeras.
Registro.- En trminos informticos, es un conjunto de datos relacionados entre s, que constituyen una unidad de informacin en una base de datos.
Reglamento.- El presente documento, denominado Reglamento de la Ley N 27269 - Ley de Firmas y Certificados Digitales, modificada por la Ley N 27310.
Servicio de Valor Aadido.- Son los servicios complementarios de la firma digital brindados dentro o fuera de la Infraestructura Oficial de Firma Electrnica que permiten grabar, almacenar, conservar cualquier informacin remitida por medios electrnicos que certifican los datos de envo y recepcin, su fecha y hora, el no repudio en origen y de recepcin. El servicio de intermediacin electrnico dentro de la Infraestructura Oficial de Firma Electrnica es brindado por persona natural o jurdica acreditada ante la Autoridad Administrativa Competente.
Servicio OCSP (Protocolo del estado en lnea del certificado, por sus siglas en ingls).- Es el servicio que permite utilizar un protocolo estndar para realizar consultas en lnea (on line) al servidor de la Autoridad de Certificacin sobre el estado de un certificado.
Sistema de Intermediacin Digital.- Es el sistema WEB que permite la transmisin y almacenamiento de informacin, garantizando el no repudio, confidencialidad e integridad de las transacciones a travs del uso de componentes de firma digital, autenticacin y canales seguros.
Sistema de Intermediacin Electrnico.- Es el sistema WEB que permite la transmisin y almacenamiento de informacin, garantizando el no repudio, confidencialidad e integridad de las transacciones a travs del uso de componentes de firma electrnica, autenticacin y canales seguros.
Sistema WEB (World Wide Web).- Sistema de documentos electrnicos enlazados y accesibles a travs de Internet. Mediante un navegador Web, un usuario visualiza pginas Web que pueden contener texto, imgenes, vdeos u otros contenidos multimedia, y navega a travs de ellas usando hiperenlaces.
Suscriptor.- Es la persona natural responsable de la generacin y uso de la clave privada, a quien se le vincula de manera exclusiva con un documento electrnico firmado digitalmente utilizando su clave privada. En el caso que el titular del certificado digital sea una persona natural, sobre ella recaer la responsabilidad de suscriptor. En el caso que una persona jurdica sea el titular de un certificado digital, la responsabilidad de suscriptor recaer sobre el representante legal designado por esta entidad. Si el certificado est designado para ser usado por un agente automatizado, la titularidad del certificado y de las firmas digitales generadas a partir de dicho certificado correspondern a la persona jurdica. La atribucin de responsabilidad de suscriptor, para tales efectos, corresponde a la misma persona jurdica.
56 Tercero que confa o tercer usuario.- Se refiere a las personas naturales, equipos, servicios o cualquier otro ente que acta basado en la confianza sobre la validez de un certificado y/o verifica alguna firma digital en la que se utiliz dicho certificado.
Titular.- Es la persona natural o jurdica a quien se le atribuye de manera exclusiva un certificado digital.
Usabilidad.- En el contexto de la certificacin digital, el trmino Usabilidad se aplica a todos los documentos, informacin y sistemas de ayuda necesarios que deben ponerse a disposicin de los usuarios para asegurar la aceptacin y comprensin de las tecnologas, aplicaciones informticas, sistemas y servicios de certificacin digital de manera efectiva, eficiente y satisfactoria.
Usuario final.- En lneas generales, es toda persona que solicita cualquier tipo de servicio por parte de un Prestador de Servicios de Certificacin Digital acreditado.
Voto electrnico.- Sistema de votacin que utiliza una combinacin de procedimientos, componentes de hardware y software, y red de comunicaciones que permiten automatizar los procesos de identificacin del elector, emisin del voto, conteo de votos, emisin de reportes y/o presentacin de resultados de un proceso electoral, referndum y otras consultas populares. El voto electrnico se puede clasificar en:
a) Presencial: cuando los procesos de votacin se dan en ambientes o lugares debidamente supervisados por las autoridades electorales; y
b) No presencial: cuando los procesos de identificacin del elector y emisin del voto se dan desde cualquier ubicacin geogrfica o ambiente que el elector elija y disponga de los accesos apropiados.
WebTrust.- Certificacin otorgada a prestadores de servicios de certificacin digital - PSC, especficamente a las Entidades Certificadoras - EC, que de manera consistente cumplen con estndares establecidos por el Instituto Canadiense de Contadores Colegiados (CICA por sus siglas en ingls - ver Cica.ca) y el Instituto Americano de Contadores Pblicos Colegiados (AICPA). Los estndares mencionados se refieren a reas como privacidad, seguridad, integridad de las transacciones, disponibilidad, confidencialidad y no repudio.
DISPOSICION COMPLEMENTARIA TRANSITORIA
nica.- Certificado de firmas digitales para la utilizacin de servicios de gobierno electrnico. Para la utilizacin electrnica de servicios brindados por el Estado en los que la entidad pblica requiera firma digital, excepcionalmente, en tanto no se haya acreditado ante el INDECOPI o no cuente con reconocimiento oficial del INDECOPI, al menos una entidad prestadora de servicios de certificacin, las personas naturales podrn utilizar Certificados Digitales de proveedores que cuenten con la certificacin internacional Web Trust.
Las personas jurdicas privadas, excepcionalmente, en tanto no se haya acreditado ante el INDECOPI o no cuente con reconocimiento oficial del INDECOPI, al menos una entidad privada prestadora de servicios de certificacin, solamente podrn utilizar Certificados Digitales de proveedores privados que cuenten con la certificacin internacional Web Trust.
57
En cualquiera de los supuestos indicados en los prrafos anteriores, el proveedor deber identificar a los titulares y/o suscriptores del certificado digital mediante el levantamiento de datos y la comprobacin de la informacin brindada por aqul.
El uso de los certificados digitales referidos en los anteriores prrafos en cualquier procedimiento, trmite o transaccin con la Administracin Pblica generar, para los documentos electrnicos soportados en ellos, las presunciones legales del artculo 8 as como los efectos jurdicos que corresponde para los fines de los artculos 3, 4 y 43 del presente Reglamento. (*)
(*) Disposicin incorporada por el Artculo 2 del Decreto Supremo N 105-2012-PCM, publicado el 21 octubre 2012.
58
RESOLUCION MINISTERIAL N 381-2008-PCM
Aprueban lineamientos y mecanismos para implementar la interconexin de equipos de procesamiento electrnico de informacin entre las entidades del Estado
CONSIDERANDO:
Que, mediante la Primera Disposicin Complementaria Final del Decreto Legislativo N 1029 se estableci que en un plazo no mayor de 30 das hbiles, contados a partir de la vigencia de la referida norma, la Presidencia del Consejo de Ministros establecer los lineamientos y mecanismos para implementar la interconexin de equipos de procesamiento electrnico de informacin entre las entidades del Estado, a que se refiere el numeral 76.2.2 del artculo 76 de la Ley N 27444, con el fin de hacer efectivo el deber de colaboracin entre las entidades del Estado.
De conformidad con el Decreto Supremo N 063-2007-PCM que aprueba el Reglamento de Organizacin y Funciones de la Presidencia del Consejo de Ministros, modificado por el Decreto Supremo N 057-2008-PCM y con la Ley N 29158 - Ley Orgnica del Poder Ejecutivo;
SE RESUELVE:
Artculo 1.- Aprobacin de los lineamientos y mecanismos para implementar la interconexin de equipos de procesamiento electrnico de informacin entre las entidades del Estado. Aprubanse los lineamientos y mecanismos establecidos en el documento Estndares y Especificaciones de Interoperabilidad del Estado Peruano, que forma parte integrante de la presente Resolucin.
Artculo 2.- Publicacin. La presente Resolucin ser publicada en el Diario Oficial El Peruano.
El documento Estndares y Especificaciones de Interoperabilidad del Estado Peruano, aprobado por el artculo 1 de la presente norma, ser publicado en el Portal del Estado Peruano (www.peru.gob.pe) y el Portal Institucional de la Presidencia del Consejo de Ministros, al da siguiente de publicada la presente norma en el Diario Oficial El Peruano.
Artculo 3.- Vigencia. La presente norma entrar en vigencia a partir del da siguiente de su publicacin en los portales institucionales a que se refiere el artculo 2.
Regstrese, comunquese y publquese.
YEHUDE SIMON MUNARO Presidente del Consejo de Ministros
59 ESTANDERES Y ESPECIFICACIONES INTEROPERATIVIDAD DEL ESTADO PERUANO
El presente documento ha sido elaborado por la Oficina nacional de Gobierno Electrnico e Informtica ONGEI de la Presidencia del Consejo de Ministros- PCM, la Superintendencia Nacional de Administracin Tributaria SUNAT, la Oficina de Informtica del Ministerio Pblico, el Registro Nacional de Identificacin y Estado Civil- RENIEC, el Instituto Nacional de Defensa de la Competencia y la Proteccin de la Propiedad Intelectual INDECOPI, en el que se establecen los lineamientos, polticas estndares y especificaciones para la interoperatividad Electrnica del Estado Peruano.
PDF 1
Estndares y Especificaciones de Interoperabilidad del Estado Peruano 2
(Este texto no fue publicado en el Diario Oficial El Peruano, ha sido enviado por la Presidencia del Consejo de Ministros, mediante correo electrnico.)
PRESIDENCIA DEL CONSEJO DE MINISTROS
Estndares y Especificaciones de Interoperabilidad del Estado Peruano
LIMA - PERU Estndares y Especificaciones de Interoperabilidad del Estado Peruano 3
9. Organizacin e intercambio de informacin ............................................................................. 29
10. Medios de Acceso ................................................................................................................... 35 Estndares y Especificaciones de Interoperabilidad del Estado Peruano 4
CAPITULO I
GENERALIDADES
1. PRESENTACIN
La Oficina Nacional de Gobierno Electrnico e Informtica - ONGEI de la Presidencia del Consejo de Ministros - PCM, con la participacin de la Intendencia Nacional de Sistemas de Informacin de la Superintendencia Nacional de Administracin Tributaria - SUNAT, la Oficina de Informtica del Ministerio Pblico, el Registro Nacional de Identificacin y Estado Civil - RENIEC, el Instituto Nacional de Defensa de la Competencia y de la Proteccin de la Propiedad Intelectual - INDECOPI, entre otros, ha elaborado el presente documento con el propsito de establecer los lineamientos, polticas, estndares y especificaciones para la interoperabilidad electrnica del Estado Peruano.
El propsito es contar con un instrumento tcnico gua, que contiene polticas y especificaciones que deben desplegar las entidades del Estado a fin de hacer posible la interoperabilidad de sus servicios electrnicos, de acuerdo con lo establecido en el Decreto Legislativo N 1029 que modifica la Ley del Procedimiento Administrativo General - Ley N 27444 y la Ley del Silencio Administrativo - Ley N 29060, especficamente relacionado con la Primera y Segunda Disposiciones Complementarias y Finales. Se ha considerado en este documento los siguientes aspectos:
1. Interconexin 2. Seguridad 3. Organizacin e intercambio de informaciones 4. Medios de acceso 5. reas de integracin para Gobierno Electrnico
2. BASE NORMATIVA
Ley N 29158 - Ley Orgnica del Poder Ejecutivo (LOPE): Que reconoce a la Presidencia del Consejo de Ministros, en adelante PCM, la calidad de Ministerio.
Decreto Supremo N 063-2007-PCM: Que aprueba el Reglamento de Organizacin y Funciones de la PCM, en el cual se establece que la Oficina Nacional de Gobierno Electrnico e Informtica de la PCM, tiene entre sus funciones implementar la Poltica Nacional de Gobierno Electrnico e Informtica, as como, proponer los lineamientos de la poltica de contrataciones electrnicas del Sistema Electrnico de Adquisiciones y Contrataciones del Estado - SEACE;
Decreto Supremo N 066-2003-PCM: Que fusiona la Sub Jefatura de Informtica (SJI) del INEI con la PCM, a travs de su Secretara de Gestin Pblica. Estndares y Especificaciones de Interoperabilidad del Estado Peruano 5
Decreto Supremo N 060-2001-PCM: Que crea el Portal de Estado Peruano.
Decreto Supremo N 032-2006-PCM: Que crea el Portal de Servicios al Ciudadano y Empresas - PSCE.
Resolucin Ministerial N 179-2004-PCM: Que aprueba el uso obligatorio de la Norma Tcnica Peruana NTP-ISO/IEC 12207:2004 Tecnologa de la Informacin. Procesos del Ciclo de Vida del Software. 1 edicin en entidades del Sistema Nacional de Informtica.
Resolucin Ministerial N 224-2004-PCM: Que aprueba uso obligatorio de la Norma Tcnica Peruana NTP-ISO/IEC 17799:2004 EDI. Tecnologa de la Informacin: Cdigo de Buenas Prcticas para la gestin de la Seguridad de la Informacin. 1 Edicin. en entidades del Sistema Nacional de Informtica
Decreto Supremo N 059-2004-PCM: Que establece disposiciones relativas a la administracin del Portal del Estado Peruano.
Decreto Supremo N 019-2007-PCM: Que establece el uso de la Ventanilla nica del Estado a travs del Portal de Servicios al Ciudadano y Empresas y crea el Sistema Integrado de Servicios Pblicos Virtuales SISEV.
Decreto Legislativo N 1029: Que modifica la Ley del Procedimiento Administrativo General - Ley N 27444 y la Ley del Silencio Administrativo - Ley N 29060.
Decreto Legislativo N 604 - Ley de Organizacin y Funciones del Instituto Nacional de Estadstica e Informtica: Que establece como uno de los mbitos de competencia del INEI al Sistema Nacional de Informtica.
3. INTRODUCCIN
El desarrollo del Gobierno Electrnico en el Per que propende impulsar el avance de la Sociedad de la Informacin y del Conocimiento se basa en la integracin y optimizacin de sus procesos y servicios, que le permite facilitar el cumplimiento de sus obligaciones y el desarrollo de sus actividades al servicio del ciudadano, tanto de manera individual o en sus diversas formas de organizacin privada.
Es por tanto necesario llevar adelante un enfoque de integracin y calidad de los procesos, con el apoyo de las tecnologas de la informacin y de la comunicacin, transformando la gestin del Estado, aumentando la competitividad global as como el desarrollo empresarial, procurando lograr una sociedad ms equitativa, integrada y democrtica.
Este enfoque adems se realiza dentro del marco del Deber de Colaboracin entre entidades del Estado que contempla la siguiente base legal:
- Ley N 27444 del Procedimiento Administrativo General (en adelante LPAG). Estndares y Especificaciones de Interoperabilidad del Estado Peruano 6
- Decreto Legislativo N 1029, que modifica la LPAG - Ley N 27444 - y la Ley del Silencio Administrativo - Ley N 29060.
La LPAG regula en el Sub-Captulo III, artculos 76 y siguiente, la Colaboracin entre entidades; al respecto, en el numeral 76.1 del citado artculo 76 indica que: Las relaciones entre entidades se rigen por el criterio de colaboracin, sin que ello importe renuncia a la competencia propia sealada por ley.
Atendiendo a dicho criterio de colaboracin, en el numeral 76.2.2 del artculo 76 de la LPAG se manifiesta que las entidades deben: Proporcionar directamente los datos e informacin que posean, sea cual fuere su naturaleza jurdica o posicin institucional, a travs de cualquier medio, sin ms limitacin que la establecida por la Constitucin o la ley, para lo cual se propender a la interconexin de equipos de procesamiento electrnico de informacin, u otros medios similares.
En ese sentido, el presente documento se centra en las polticas, en la identificacin y el reconocimiento de los estndares como mecanismos para la interconexin de equipos de procesamiento electrnico de informacin, esto es, en el logro de la interoperabilidad.
INTEROPERABILIDAD: Segn el Institute of Electrical and Electronics Engineers (IEEE 1 ), la interoperabilidad es la capacidad de dos o ms sistemas o componentes para intercambiar informacin y para utilizar la informacin que ha sido intercambiada.
Considerando la importancia del APEC en la determinacin y la bsqueda de la interoperabilidad a nivel de dominios o economas miembros, y siendo el Per parte de dicho foro, es que se admite el Proyecto de Interoperabilidad PKI del Foro PKI (PKI Forum 2 ) en donde se define a la interoperabilidad en tres niveles: interoperabilidad a nivel de componentes, interoperabilidad a nivel de aplicaciones e interoperabilidad entre dominios:
La interoperabilidad a nivel de componentes, se refiere a la interaccin entre sistemas que directamente soportan y/o consumen servicios relativos a la PKI.
La interoperabilidad a nivel de aplicacin, est referida a la compatibilidad que debe de existir entre las aplicaciones que se ejecutan en las computadoras, que pueden ser suministradas por dos proveedores diferentes, que usan servicios de infraestructura PKI tambin diferentes para la realizacin de sus operaciones.
Los temas y opciones relativos a la interoperabilidad entre dominios estn en relacin al logro de interoperabilidad entre dos dominios PKI que necesitan comunicarse entre s.
En relacin a la interoperabilidad a nivel de dominios, un elemento adicional a considerar es la interoperabilidad a nivel de datos, dentro del marco del Foro de APEC.
1 Institute of Electrical and Electronics Engineers. IEEE Standard Computer Dictionary: A Compilation of IEEE Standard Computer Glossaries 2 PKI Interoperability Framework Whitepaper, March 2001. Documento disponible en: http://www.oasis- pki.org/pdfs/PKIInteroperabilityFramework.pdf. Estndares y Especificaciones de Interoperabilidad del Estado Peruano 7
La presente gua tambin considera los lineamientos de la Organizacin Mundial de Aduanas - OMA, que es una organizacin intergubernamental, reconocida internacionalmente como un centro global de prcticas aduaneras y juega un rol de liderazgo en la discusin, desarrollo, promocin e implementacin de un sistema moderno y seguro de procedimientos aduaneros.
Tambin recoge lineamientos en materia de interoperabilidad de otras organizaciones, de las que nuestro pas forma parte, como Naciones Unidas, ISO, OGC, entre otras.
Por lo tanto, la interoperabilidad no est referida slo a los aspectos tcnicos, sino implica tambin consideraciones funcionales, operacionales, normativas y de poltica, que permiten desarrollar actuaciones coordinadas y cohesionadas, en este caso entre los organismos del Estado y de la Sociedad Civil.
3.1. Plataforma de interoperabilidad del Gobierno Electrnico del Estado Peruano
La plataforma de interoperabilidad del Gobierno Electrnico se refiere al sistema de polticas, lineamientos y especificaciones que definen los estndares empleados en el Estado Peruano que permite de manera efectiva la interoperabilidad de los servicios electrnicos de las distintas entidades de la Administracin Pblica.
4. ALCANCES, ADMINISTRACION Y OBLIGATORIEDAD
4.1. Alcances
Estas polticas y lineamientos deben permitir la interoperabilidad de los sistemas de informacin y la gestin compartida de la informacin del Estado Peruano.
La estructura bsica de los estndares y especificaciones de interoperabilidad del Gobierno Electrnico alcanzan las necesidades conectivas en el mbito interno del Estado, como en relacin con la interaccin con la sociedad, tanto a nivel local, nacional y global (especialmente en el marco del APEC), as como entre personas y organizaciones.
Se promueve que la informacin del Estado pueda ser localizada e intercambiada en forma rpida y sencilla entre las entidades que conforman el Sistema Nacional de Informtica, as como tambin con el sector privado y la sociedad, en condiciones de privacidad y seguridad.
La arquitectura definida en este documento contempla el intercambio de informacin entre los sistemas de informacin del Estado Peruano y abarca las interacciones con los siguientes mbitos:
Poderes del Estado Peruano (Ejecutivo, Legislativo y Judicial). Organismos pblicos y privados, nacionales y extranjeros. Ciudadanos y otras personas individuales. Estndares y Especificaciones de Interoperabilidad del Estado Peruano 8
Empresas y entidades no gubernamentales. Otros Estados y organismos internacionales, en especial los referidos a las economas miembros del APEC especficamente a la interoperabilidad de documentos electrnicos no repudiables, esto es, basados en tecnologa de certificacin digital (PKI).
4.2. Administracin
La plataforma de interoperabilidad del Gobierno Electrnico es administrada por el Grupo de Trabajo de Interoperabilidad del Estado - GTIE.
El GTIE es un grupo de trabajo multisectorial, dependiente de la Presidencia del Consejo de Ministros, que tiene por finalidad establecer las polticas, estndares y mecanismos de interoperabilidad entre entidades pblicas, de acuerdo a lo establecido en el Decreto Legislativo N 1029.
4.3 Funciones del GTIE
1. Proponer a PCM los lineamientos de poltica, los estndares y las especificaciones de interoperabilidad del Estado Peruano.
2. Recoger, clasificar y catalogar las propuestas de nuevos componentes o mejoras de la plataforma de interoperabilidad del Gobierno Electrnico.
3. Proponer a PCM los procedimientos a fin de asegurar una adecuada administracin de los estndares y especificaciones de interoperabilidad.
4. Elaborar el Plan de Interoperabilidad del Estado Peruano PIEP que considere la implementacin estratgica y progresiva de los Estndares y Especificaciones de Interoperabilidad de Gobierno Electrnico en el Per.
5. Proponer a PCM directivas y lineamientos que sean necesarios para una adecuada aplicacin de las especificaciones de interoperabilidad.
6. Emitir opinin tcnica en caso de controversia o dudas respecto a los estndares de interoperabilidad.
7. Ejercer la labor de seguimiento y monitoreo del Plan de Interoperabilidad del Estado Peruano.
8. Elaborar un informe anual de los avances del Plan de Interoperabilidad del Estado Peruano.
4.4 Obligatoriedad
Para las Entidades que pertenecen al Poder Ejectuvito, Poder Legislativo y Poder Judicial, y los organismos autnomos, la adopcin de los estndares y polticas contenidos en este documento es de carcter obligatorio, en forma Estndares y Especificaciones de Interoperabilidad del Estado Peruano 9
progresiva, de acuerdo a los lineamientos establecidos en el Plan de Interoperabilidad del Estado Peruano - PIEP.
Las especificaciones contempladas en este documento pueden ser adoptadas por los gobiernos regionales y gobiernos locales, para el logro de la interoperabilidad con el Estado y entre ellos mismos.
La ONGEI ser la responsable de supervisar el cumplimiento de las polticas y lineamientos de interoperabilidad y de las facilidades brindadas por los organismos del Estado para implementar servicios interoperables basados en los estndares reconocidos propuestos por el GTIE.
5. POLTICAS GENERALES
A fin de establecer un marco general y condiciones de desarrollo tecnolgico que permitan llevar adelante un esquema de conectividad e interoperabilidad viable, se establecen las siguientes polticas generales:
Enfoque de Sistemas. El desarrollo de Sistemas de Informacin y las soluciones informticas del Estado debern ser enmarcadas en un modelo de negocio integrado y contemplando el entorno en el que interopera la organizacin.
Estndares Abiertos. Se define la adopcin fundamentalmente de estndares abiertos en las especificaciones tcnicas de las soluciones informticas del Estado. En el caso de la interaccin con el sector privado, se respetar la plataforma establecida en cada caso y se establecer un plan de operacin temporal.
Estndares Internacionales. Los estndares y patrones establecidos por el Estado, debern mantener la mayor correspondencia posible con los Estndares Internacionales de reconocimiento mundial, regional y nacional, segn est disponible, en dicho orden de prioridad.
Software Libre. El Estado preferir emplear esta tecnologa cuando existan soluciones y componentes en software libre, preferir asimismo la libre disponibilidad del cdigo fuente -entre otras- por razones de seguridad, las que debern contar con el soporte tcnico slido correspondiente y con la capacidad comprobada de soportar eficientemente los servicios electrnicos, de acuerdo con la Resolucin Jefatural N 199-2003-INEI.
Independencia tecnolgica y soporte tcnico. Todas las especificaciones y soluciones informticas, deben estar ampliamente apoyadas por soporte tcnico alternativo en el mercado, evitando la dependencia tecnolgica y reduciendo los riesgos de su adopcin.
Intercambio Electrnico de Datos en el marco de la colaboracin entre entidades del Estado. Las relaciones entre entidades se rigen por el criterio de colaboracin, sin que ello importe renuncia a la competencia propia sealada por ley. El criterio de colaboracin no debe atentar contra la calidad del servicio prestado, esto es, no se debe disminuir ni degradar la prestacin del servicio y tampoco debe de causar perjuicio a los colaboradores en el sentido de infringir gastos en infraestructura de Estndares y Especificaciones de Interoperabilidad del Estado Peruano 10
Tecnologa Informtica y de Telecomunicaciones TICs a efectos de realizar dicha colaboracin.
Intercambio Electrnico de Datos en el marco de Naciones Unidas (UN/EDI). El Estado Peruano adopta en forma homologada, para lo que est establecido, las normas internacionales que en materia de normalizacin estn definidas por Naciones Unidas en particular en materia de definicin de datos, para su intercambio electrnico.
ISO. En todo lo que est establecido, se considerar en forma prioritaria los estndares de la International Organization for Standardization (ISO), especialmente los que se han constituido en Norma Tcnica Peruana por INDECOPI.
XML. Se adopta como estndar primario el Extensible Markup Language para la definicin, transmisin, validacin e interpretacin de datos entre aplicaciones en el intercambio electrnico de datos.
Seguridad y privacidad de la informacin. Todos los organismos responsables de los servicios electrnicos del Estado implementarn progresivamente medios seguros, garantizando la privacidad de la informacin y respetando lo dispuesto en la legislacin peruana en materia de validez, seguridad y proteccin de datos.
Desarrollo de Metadatos del Estado. Basado en estndares internacionales, se adopta un Modelo Arquitectural General de Datos del Estado, cuyo Metadatos es actualizado por las entidades del Estado, bajo la administracin y responsabilidad de la ONGEI.
OGC. Open Geospatial Consortium; las entidades del Estado que generen, desarrollen e implementen aplicaciones que incorporen datos espaciales debern implementar progresivamente aquellos estndares que faciliten el intercambio de la informacin geogrfica
6. GESTIN DE LA PLATAFORMA DE INTEROPERABILIDAD DEL GOBIERNO ELECTRNICO
La plataforma de interoperabilidad del Gobierno Electrnico es una definicin sistmica y dinmica que requiere contar con atributos de coordinacin y cohesin integrada. Es por ello que se requiere establecer los mecanismos que permitan tomar las acciones oportunas y prospectivas, que devengan de los cambios en los procesos y en las tecnologas, aplicando para ello inteligencia colaborativa y estableciendo los mecanismos de definicin de polticas, identificacin y reconocimiento de estndares que permitan hacer el balance entre los cambios y la estabilidad de dicha plataforma.
6.1. Estrategia de Gestin
La plataforma de interoperabilidad del Gobierno Electrnico establece un esquema de versiones, debiendo estos ser revisados en forma contina por el GTIE, fundamentalmente para la publicacin de adendas de mejora a fin de generar la publicacin de una nueva versin en -al menos- un evento especializado anual. Estndares y Especificaciones de Interoperabilidad del Estado Peruano 11
6.2. Conformacin del Grupo de Trabajo
6.2.1. Integrantes del Grupo de Trabajo
El Grupo de Trabajo de Interoperabilidad del Estado - GTIE est conformado por los siguientes miembros: El Jefe de la Oficina Nacional de Gobierno Electrnico e Informtica ONGEI de la PCM, quien la presidir; Un representante del Ministerio de Transportes y Comunicaciones Un representante de la Superintendencia Nacional de Administracin Tributaria - SUNAT Un representante del Registro Nacional de Identificacin y Estado Civil RENIEC Un representante del Instituto Nacional de Defensa de la Competencia y de la Proteccin de la Propiedad Intelectual - INDECOPI-
6.2.2. Del Secretario del GTIE
El Secretario ser el representante de la Superintendencia Nacional de Administracin Tributaria.
Entre las funciones a cargo del Secretario estn las siguientes:
1. Convocar, por encargo del Presidente del GTIE, a las sesiones ordinarias y extraordinarias;
2. Preparar la agenda y los documentos que correspondan para cada sesin;
3. Redactar las actas de las sesiones y servir de depositario de ellas;
4. Brindar apoyo administrativo y logstico al GTIE;
5. Presentar en cada reunin del GTIE, informes sobre el avance de las labores encomendadas por ste, para lo cual solicitar a los Presidentes de los Sub Grupos de Trabajo la informacin respectiva.
6. Presentar al GTIE, para su consideracin, planes, programas, proyectos de dispositivos normativos, otros trabajos realizados al interior de sta, elaborados por los Sub Grupos de Trabajo, relacionados con el tema de Interoperabilidad en el Estado;
7. Solicitar informacin y documentacin a otras entidades pblicas, entidades privadas o especialistas;
8. Coordinar y realizar el seguimiento de las labores de los grupos de trabajo y llevar el registro de reuniones de dichos Estndares y Especificaciones de Interoperabilidad del Estado Peruano 12
grupos, para lo cual los Coordinadores de los Sub Grupos de Trabajo informarn mensualmente de sus actividades al Secretario.
9. El Secretario podr solicitar a las entidades pblicas o privadas y especialistas, el asesoramiento, informacin y apoyo necesarios para el cumplimiento de la labor encomendada.
10. Las dems que le encomiende el Presidente del GTIE.
6.2.3. De los Sub Grupos de Trabajo
El GTIE podr contar con Sub Grupos de Trabajo que colaborarn con su gestin. Los Sub Grupos se referirn a reas especficas que son:
SUB GRUPOS DE TRABAJO COORDINADORES Sub Grupo N. 1: Interconexin MTC Sub Grupo N. 2: Seguridad ONGEI PCM Sub Grupo N. 3: Organizacin e Intercambio de Informacin SUNAT Sub Grupo N. 4: Medios de Acceso RENIEC
6.2.4. Funciones de los Sub Grupos de Trabajo
1. Proponer los planes de seguimiento y evaluacin del Plan de Interoperabilidad del Estado Peruano (PIEP).
2. Opinar y proponer estndares y especificaciones de interoperabilidad para el Estado Peruano, en la materia que le compete.
3. Atender los requerimientos de estudio para el mejoramiento o incorporacin de nuevas especificaciones.
4. Opinar sobre la baja o derogatoria de los estndares y especificaciones de interoperabilidad.
5. Opinar sobre la propuesta de directivas, lineamientos, requisitos, condiciones, ambiente, metodologas y procedimientos, para una adecuada aplicacin de los estndares y especificaciones. Estndares y Especificaciones de Interoperabilidad del Estado Peruano 13
6. Emitir opinin tcnica y hacer propuestas, a pedido de la ONGEI, en caso de controversia o dudas respecto a los estndares y especificaciones de interoperabilidad.
7. Otros que se encomiende a cada Sub Grupo en la resolucin que lo conforme.
CAPITULO II ESTNDARES Y ESPECIFICACIONES DE INTEROPERABILIDAD DEL ESTADO PERUANO
7. INTERCONEXIN
7.1. Polticas tcnicas
1. Los organismos debern interconectarse utilizando Ipv4 y planeando su futura migracin para Ipv6. Las nuevas contrataciones y actualizaciones de redes deben contemplar soporte a la coexistencia de los protocolos Ipv4 e Ipv6 y a productos que contemplen ambos protocolos.
2. Los sistemas de mensajera electrnica de documentos electrnicos de carcter no repudiable (firmados digitalmente) deben estar basados en los domicilios electrnicos, especificados en la Gua de Acreditacin de software (SW) y en la Gua de Servicios de Valor Aadido (SVA) aprobados por la Autoridad Administrativa Competente, INDECOPI.
3. Los sistemas de correo electrnico deben utilizar SMTP/MIME para el transporte de mensajes. Para acceso a los mensajes, se deben utilizar protocolos POP3 y/o IMAP, y se promueve el uso de interfaces Web para el acceso al correo electrnico, teniendo siempre en cuenta aspectos de seguridad.
4. Los organismos deben usar un esquema de Directorio compatible, no propietario e interoperable.
5. Los organismos deben obedecer la poltica de nombramiento de dominios establecida por el Sistema Peruano de Nombres de Dominio (ccTLD pe).
6. El DNS - Domain Name System - se debe utilizar para la resolucin de nombres de dominios en Internet, convirtindolos en direcciones IP e, inversamente, convirtiendo direcciones IP en nombres de dominio.
7. Los protocolos FTP y/o HTTP deben ser utilizados para transferencia de archivos, observando sus funcionalidades para recuperacin de interrupciones y seguridad, cuando sea necesario. El protocolo HTTP debe ser priorizado para transferencia de archivos oriundos de pginas de sitios de Internet. Estndares y Especificaciones de Interoperabilidad del Estado Peruano 14
8. Siempre que sea posible, se debe emplear tecnologa basada en la Web en aplicaciones que utilizaron Emulacin de Terminal, anteriormente.
9. La tecnologa de Web Services es recomendada como estndar de interoperabilidad entre los organismos.
10. Los Web Services debern ser registrados y ubicarse en estructuras de directorio compatibles con el estndar UDDI. El protocolo de acceso a esa estructura deber ser el HTTP.
11. El protocolo SOAP es recomendado para la comunicacin entre los clientes y los Web Services y la especificacin del servicio deber utilizar el lenguaje WSDL.
12. Los Web Servicies para datos Espaciales emplearn los estndares XML y SOAP Estndares y Especificaciones de Interoperabilidad del Estado Peruano 15
7.2. Especificaciones tcnicas
Componente Especificacin SIT Observaciones
A : Adoptado R : Recomendado T : En transicin E : En estudio F : Estudio futuro
Protocolo de transferencia de hipertexto Utilizar HTTP/1.1 (RF 2616) y/o HTTPS (RFC 2660) A
Transporte de mensaje electrnico Utilizar productos de mensajera electrnica que soporten interfaces en conformidad con SMTP/MIME para transferencia de mensajes. RFCs correlacionadas: RFC 2821, RFC2822, RFC 2045, RFC 2046, RFC 2646, RFC 2047, RFC 2231, RFC 2183, RFC 2048, RFC 3023 y RFC 2049 R
Envo de calendarios Para enviar calendarios de eventos y/o citas, se debe utilizar el estndar iCalendar: RFC 2445.
Aplicaciones mviles El protocolo WAP 2.0 deber utilizarse para la comunicacin de aplicaciones inalmbricas, de acuerdo a lo definido por la Open Mobile Alliance (OMA). Para mostrar el contenido se utilizar el lenguaje XHTML-MP y WCSS. http://www.wapforum.org/what/WAPWhite_Paper1.pdf R
Envo de modelos UML Para compartir modelos de UML, se debe de utilizar el estndar XMI de la OMG. ISO 19503:2005 Information technology - XML Metadata Interchange (XMI). R
Seguridad de contenido de mensaje electrnico El S/MIME v3.1, deber utilizarse cuando sea apropiado para seguridad de contenido de mensajes generales del Gobierno, a menos que los requisitos de seguridad determinen otra forma. RFCs correlacionadas: RFC 3852, RFC 2631, RFC 3850 y RFC 3851 R
Acceso al apartado postal A excepcin de que las exigencias de seguridad lo determinen de otra manera, programas de correo debern, como mnimo, estar de acuerdo con POP3 para acceso remoto al apartado postal. RFCs correlacionadas: RFC 1939, RFC 1957 y RFC 2449. Los programas de correo que ofrecen facilidades avanzadas de acceso a la correspondencia, debern estar de acuerdo con IMAP para acceso remoto al apartado postal (siempre teniendo en cuenta las polticas de seguridad). RFCs correlacionadas: RFC 3501, RFC 2342, RFC 2971, RFC 3502, RFC 3503, RFC 3510 Y RFC 2910. R
Acceso seguro al apartado postal El acceso al apartado postal, por medio de redes no seguras, deber utilizar HTTPS, de acuerdo con los padrones de seguridad en el transporte. Cuando sea necesario utilizar IMAP o POP, usarlo a travs de TLS, segn RFC 2595. R
Directorio Utilizar el esquema de Directorio central, basado en LDAP v3. R Servicios de nombramiento de dominio El DNS debe ser utilizado para resolucin de nombres de dominios Internet, conforme la RFC 1035. Siguiendo las polticas y formativas de Sistema Peruano de A
Estndares y Especificaciones de Interoperabilidad del Estado Peruano 16
Componente Especificacin SIT Observaciones
Nombres de Dominio. Los dominios del estado deben seguir la directiva No. 010- 2002-INEI/DTPN que regula la utilizacin de nombres de dominio en las entidades de la Administracin Pblica emitida por INEI, y las dems que le sean aplicables en el presente reglamento.
Direcciones de apartado postal electrnico Se debe revisar si existe una norma a nivel Gobierno, pero al parecer est definido por cada institucin. E
Protocolos de transferencia de archivos FTP (RFC 959 y RFC 2228) (con reinicio y recuperacin) y HTTP (RFC 2616) para transferencia de archivos. R
Protocolos de sealizacin Uso del Protocolo de Inicializacin de Sesin (SIP), definido por la RFC 3261, como protocolo de control en la camada de aplicacin (sealizacin) para crear, modificar y terminar sesiones con uno o ms participantes. R
Mensajera en tiempo real El modelo y requisitos para Instant Messaging and Presence Protocol (IMPP) son definidos por la RFC 2778 y RFC 2779 T
El modelo y requisitos para Extensible Messaging and Presence Protocol (XMPP) son definidos por la RFC 3920 y RFC 3921 R
Servicio de mensajes cortos El Servicio de Mensajes Cortos (SMS por sus siglas en ingls) deber utilizar el protocolo SMPP, de acuerdo a lo definido por el SMS Forum. R
Intercomunicacin LAN/WAN IPv4 (RFC 791) A Ipv6 (RFC 2460) E Transporte TCP (RFC 793) UDP (RFC 768) cuando sea necesario, siempre sometido a las limitaciones de seguridad R
Trfico avanzado Cuando sea necesario, el trfico de red puede ser optimizado por el uso del MPLS (RFC 3031), debiendo este poseer, como mnimo, cuatro formas de servicio. R
Red local inalmbrica Se debe utilizar la norma IEEE 802.11 b/g, en conformidad con las determinaciones del Wi-Fi Alliance. R
Red metropolitana inalmbrica Se debe utilizar la norma IEEE 802.16, en conformidad con las determinaciones del WiMax Forum.
Informacin Geogrfica distribuida Se debe utilizar la especificacin de OpenGIS Web Feature Service (WFS) para requerir datos espaciales en forma de entidades vectoriales a partir de consultas a bases de datos geogrficas distribuidas, mediante GML R
Mapas georeferenciados distribuidos Se debe utilizar la especificacin de OpenGIS WebMap Service para requerir datos espaciales en forma de imgenes georeferenciadas a partir de consultas a bases de datos geogrficas distribuidas
7.3. Web Services
Se puede definir el trmino Web Services como un servicio disponible en la red (Internet o Intranet) que utilice un sistema estndar XML para cambiar mensajes, independiente del sistema operativo operacional o lenguaje de programacin, con dos propiedades bsicas: Estndares y Especificaciones de Interoperabilidad del Estado Peruano 17
a. Publicable: Al crear un Web Service, su publicacin debe ser hecha mediante registro en un catlogo de servicios para que potenciales usuarios puedan encontrarlo y utilizarlo de ser el caso. El catlogo puede utilizar UDDI.
b. Auto describible: Los Web Services ofrecen una descripcin completa de sus servicios y de cmo los usuarios podrn crear aplicaciones para interactuar con ellos. Esa descripcin es realizada a travs de WSDL.
La necesidad de integracin entre los diversos sistemas de informacin del Gobierno, implementados en diferentes tecnologas conlleva la adopcin de un estndar de interoperabilidad que garantice escalabilidad, facilidad de uso, adems de brindar la capacidad de actualizacin de forma simultnea.
En ese contexto, se entiende que el uso de Web Services, es adecuado para esas necesidades.
El soporte de Web Services para integracin directa con otras aplicaciones de software utiliza mensajes escritos en XML como estndar de interoperabilidad. Esos mensajes son involucrados en protocolos de aplicacin estndar de Internet (SOAP).
Componente Especificacin SIT Observaciones
A : Adoptado R : Recomendado T : En transicin E : En estudio F : Estudio futuro
Protocolo de intercambio de informaciones Utilizar SOAP v1.2 como definido por el W3C. http://www.w3.org/TR/soap12-part1 http://www.w3.org/TR/soap12-part2 R
Infraestructura de registro Utilizar la especificacin UDDI v3.0.2 (Universal Description, Discovery and Integration por sus siglas en ingls)definida por OASIS http://uddi.org/pubs/uddi_v3.htm R
Lenguaje de definicin del servicio WSDL 1.1 (Web Services Description Language) como definido por la W3C. http://www.w3.org/TR/wsdl R
WSDL 2.0 (Web Services Description Language) como definido por la W3C. http://www.w3.org/TR/wsdl20 E
Perfil bsico de interoperabilidad Basic Profile 1.1 SE, como definido por la WS-I http://www.ws-i.org/Profiles/BasicProfile-1.1.html E
Portles Remotos WSRP 1.0 (Web Services for Remote Portles) como definido por OASIS. http://www.oasis-open.org/committees/wsrp E
Estndares y Especificaciones de Interoperabilidad del Estado Peruano 18
Componente Especificacin SIT Observaciones Mashup Aplicacin Web hbrida, que utiliza contenido de distintas webs para generar un contenido ms rico y completo. E Actualmente la W3C est en proceso de crear un estndar para su manejo.
7.4. Mensajera electrnica
7.4.1. Certificacin Digital
Para el caso de los documentos electrnicos de carcter no repudiable, especficamente los generados mediante Servicios de Certificacin Digital (PKI), la mensajera electrnica se realizar a travs de Sistemas de Intermediacin Digital (SID), como se especifica en el Reglamento de la Ley de Firmas y Certificados Digitales, Ley N 27269 3 , en la SECCIN III, De los Prestadores de Servicios de Valor Aadido.
La operacin de los SID estn regulados por la Autoridad Administrativa Competente a travs de las respectivas Guas de Acreditacin (Gua de Acreditacin de Servicios de Valor Aadido SVA) y las Guas de Acreditacin de Software.
7.4.2. Correo electrnico Transporte de mensaje electrnico El transporte de mensaje electrnico es definido como la interfaz entre dos sistemas de correo.
Acceso al apartado postal Acceso al apartado postal es definido como la interfaz entre un cliente de correo y un sistema de correo.
Red Privada Virtual VPN por sus siglas en ingls (Virtual Private Network), es un tnel virtual privado construido sobre la infraestructura de una red pblica o privada. En vez de servirse de circuitos digitales dedicados o redes de paquetes para conectar redes remotas, utiliza usualmente, de la infraestructura de la Internet.
Dicha utilizacin, como infraestructura de conexin entre servidores de la red privada, es una buena solucin en trmino de costos, pero no en lo que se refiere a privacidad, pues los datos en trnsito pueden ser ledos por cualquier equipo, siendo necesario el uso de la VPN.
Los tneles virtuales trasmiten datos cifrados sobre redes pblicas o privadas, formando un canal virtual seguro a travs de esas redes. Por tanto, se utilizan protocolos de tneles virtuales.
3 Aprobado por Decreto Supremo N 052-2008-PCM, el 18 de julio de 2008 y publicado en el diario oficial El Peruano el 19 del mismo mes. Estndares y Especificaciones de Interoperabilidad del Estado Peruano 19
Los dispositivos responsables por la administracin de la VPN deben ser capaces de garantizar privacidad, integridad y autenticidad de los datos.
7.5. Redes punto a punto
Tambin conocidas por las siglas P2P, son sistemas distribuidos que consisten en nodos interconectados con capacidad de auto organizacin en topologas de red, con el objetivo de compartir recursos como procesamiento, almacenamiento y anchura de banda, capaces de adaptacin a fallos y acomodar poblaciones de nodos, mientras mantienen conectividad y resultados aceptables, sin depender de la intermediacin o soporte de una autoridad (servidor) central.
8. SEGURIDAD
8.1. Polticas tcnicas
1. Los datos, informaciones y sistemas de informacin del Gobierno deben ser protegidos contra amenazas y vulnerabilidades para as reducir riesgos y garantizar la integridad, confidencialidad y disponibilidad.
2. Los sistemas operativos para aplicaciones de servidores que almacenan informacin y bases de datos relativas a los ciudadanos y aqullas concernientes a aspectos de la seguridad nacional, preferentemente deben de permitir disponer libremente del cdigo fuente de dichos sistemas operativos.
3. Los datos e informaciones deben ser mantenidos con el mismo nivel de proteccin, independiente del medio en que sean procesados, almacenados o en trnsito.
4. Las informaciones que transitan en redes inseguras, incluyendo aquellas inalmbricas, deben adoptar los controles de seguridad necesarios.
5. Los requisitos de seguridad de la informacin, de los servicios y de infraestructura deben ser identificados y tratados de acuerdo con la clasificacin de la informacin, niveles de servicio definidos y resultado del anlisis de riesgo.
6. La seguridad debe ser tratada de forma preventiva. Para los sistemas que dan soporte a procesos crticos se deben elaborar planes de continuidad, en los cuales sern tratados los riesgos residuales tratando de atender los niveles mnimos de produccin.
7. La seguridad es un proceso que debe estar presente en todas las etapas del ciclo de desarrollo del sistema y todos los componentes relacionados a la comunicacin. Estndares y Especificaciones de Interoperabilidad del Estado Peruano 20
8. Los sistemas deben poseer registros histricos (logs) para permitir auditoras y pruebas forenses, siendo imprescindible la adopcin de un sistema de sincronismo de tiempo, bien como se deben utilizar mecanismos que garanticen la autenticidad de los registros almacenados, prioritariamente con firma digital.
9. Los servicios de seguridad de XML deben estar en conformidad con las especificaciones del W3C.
10. En las redes inalmbricas metropolitanas se recomienda la adopcin de valores variables en las asociaciones de seguridad, diferentes identificadores para cada servicio y la limitacin del tiempo de vida de las llaves de autorizacin.
11. El uso de criptografa y certificacin digital, para la proteccin del trfico, almacenamiento de datos, control de acceso, firma digital y firma de cdigo, debe estar en conformidad con las Guas de Acreditacin respectivas aprobadas por la Autoridad Administrativa Competente INDECOPI.
12. La documentacin de los sistemas, de los controles de seguridad y de las topologas de los ambientes debe ser mantenida actualizada y protegida.
13. Los usuarios deben conocer sus responsabilidades respecto a la seguridad y deben estar capacitados para la realizacin de sus tareas y utilizacin correcta de los medios de acceso.
14. Los organismos de la administracin pblica, teniendo como objetivo la mejora de la seguridad, deben tener como referencia la norma NTP ISO/IEC 17799:2007 EDI cdigo de buenas prcticas para la gestin de la seguridad de la informacin.
8.2. Especificaciones tcnicas 8.2.1. Seguridad de IP Componente Especificacin SIT Observaciones
A = Adoptado R =Recomendado T = En transicin E = En estudio F = Estudio futuro
Transferencia de datos en redes inseguras por los protocolos HTTP, LDAP, IMAP, POP3, Telnet siempre que sea posible. Seguridad de redes IPv4 en la capa de transporte TLS Transport Layer Security, RFC4346 (http://www.ietf.org/rfc/rfc4346.txt).
HTTP sobre TLS, RFC 2818 (http://www.ietf.org/rfc/rfc2818.txt) Pudiendo implementar los siguientes algoritmos criptogrficos:
- Algoritmos para cambio de llaves de sesin, durante el handshake: RSA, Diffie-Hellman RSA, Diffie-Hellman DSS, DHE_DSS, DHE_RSA;
- Algoritmos para definicin de llave de cifra: RC4, R
Estndares y Especificaciones de Interoperabilidad del Estado Peruano 21
Componente Especificacin SIT Observaciones
IDEA, 3DES, AES;
- Algoritmos que implementan la funcin de hash para definicin del MAC: SHA-256 o SHA-512.
- Tipo de Certificado Digital - X.509 v3
SASL - Simple Authentication and Security Layer, RFC 4422 (http://www.ietf.org/rfc/rfc4422.txt).
Seguridad de redes Ipv4 IPSec Authentication Header RFC 2402 y RFC 2404 para autenticacin de cabecera del IP. http://www.ietf.org/rfc/rfc2402.txt http://www.ietf.org/rfc/rfc2404.txt
IKE v.2 Internet Key Exchange, RFC 4306 (http://www.ietf.org/rfc/rfc4306.txt), debe ser utilizado siempre que necesario para negociacin de la asociacin de seguridad entre dos entidades para cambio de material de cierre.
ESP Encapsulating Security Payload, RFC 4303 (http://www.ietf.org/rfc/rfc4303.txt) Requisito para VPN Virtual Private Network. R
Seguridad de redes IPv4 para protocolos de aplicacin El S/MIME v3.1 ,RFC3851 (http://www.ietf.org/rfc/rfc3851.txt) deber ser utilizado cuando sea apropiado para seguridad de mensajes generales de Gobierno. R
Seguridad de redes IPv6 en la capa de red El IPv6 definido en la RFC2460 (http://www.ietf.org/rfc/rfc2460.txt) presenta Implementaciones de seguridad nativas en el protocolo. Las especificaciones del IPv6 definieron dos mecanismos de seguridad: la autenticacin de encabezamiento AH (Authentication Header) RFC4302 (http://www.ietf.org/rfc/rfc4302.txt) o autenticacin IP, y la seguridad del ambiente IP, ESP (Encrypted Security Payload) RFC4305 (http://www.ietf.org/rfc/rfc4305.txt). R
8.2.2. Seguridad de correo electrnico
Componente Especificacin SIT Observaciones
A = Adoptado R =Recomendado T = En transicin E = En Estudio F = Estudio futuro
Acceso a casilleros electrnicos El acceso al casillero electrnico deber suceder por intermedio del cliente del software de correo electrnico utilizado, considerando las facilidades de seguridad nativas del cliente. Cuando no sea posible utilizar el cliente especfico o sea necesario acceder al casillero electrnico a travs de redes no seguras (por ejemplo: Internet) se debe utilizar HTTPS de acuerdo con los padrones de seguridad de transporte descritos en la RFC 2595 (http://www.ietf.org/rfc/rfc2595.txt), que trata de la utilizacin del TLS con IMAP, POP3 y ACAP. R
Contenido de El S/MIME V3 deber ser utilizado cuando sea R Estndares y Especificaciones de Interoperabilidad del Estado Peruano 22
Componente Especificacin SIT Observaciones
A = Adoptado R =Recomendado T = En transicin E = En Estudio F = Estudio futuro
Algoritmo de cifrado DES, 3DES o AES, SKIPJACK R Algoritmo para firma DSA Algoritmos de Hashing SHA-1, SHA 224, SHA-256, SHA R
Algoritmos asimtricos RSA, Eliptic Curve DSA R
Algoritmo de intercambio de claves pblicas KEA R
Formatos estndar para certificados de claves pblicas X.509 v3, ETSI TS 102 280
R
Formatos de nombres para certificados de claves pblicas X.500, X.501, X.509, X.521
R
Requisitos de seguridad para mdulos criptogrficos. FIPS 140-2 requisitos mnimos para las soluciones de almacenamiento de llaves privadas y certificados digitales que utilizan dispositivos tanto de software como de hardware tipo token o smart card, Adherencia al estndar: Utilizar los niveles del 1 al 4 de acuerdo a la sensibilidad de la informacin manejada.
R
Gestin de sistemas EC de confianza CWA 14167(1-4)
R
Conformidad con las Directivas CEN para apropiacin y operacin de EC CWA 14172 (1-8)
R
Dispositivos de creacin de firma segura CWA 14355 R
Uso de las Firmas Electrnicas: Aspectos legales y tcnicos CWA 14365 (1-2)
R
Interfaz de aplicacin para tarjetas inteligentes utilizadas como dispositivos de creacin de firma segura CWA 14890 (1-2)
R
Infraestructuras y firmas electrnicas (ESI) Algoritmos y Parmetros para firmas electrnicas seguras
ETSI SR 002 176
R
e-mail adecuado para seguridad de mensajes generales de Gobierno. Eso incluye RFC 3369 (http://www.ietf.org/rfc/rfc3369.txt), RFC 3370 (http://www.ietf.org/rfc/rfc3370.txt), RFC 2631 (http://www.ietf.org/rfc/rfc2631.txt), RFC 3850 (http://www.ietf.org/rfc/rfc3850.txt) y RFC 3851 (http://www.ietf.org/rfc/rfc3851.txt).
Firma Utilizar estndar de firma digital para la firma de e-mail, cuando sea necesario. R
8.2.3. Criptografa y PKI
384, SHA-512, RFC 1231 Estndares y Especificaciones de Interoperabilidad del Estado Peruano 23
Componente Especificacin SIT Observaciones
Perfil de estampa de tiempo ETSI TS 101 861
R
Infraestructuras y firmas electrnicas (ESI) Requisitos de Poltica para Autoridades de Time-Stamping
ETSI TS 102 023
R
Infraestructuras y firmas electrnicas (ESI) Armonizacin Internacional de Requisitos de Poltica para EC
ETSI TS 102 040
R
Requisitos de Poltica para EC que emiten Certificados de Clave Pblica ETSI TS 102 042
R
Juegos de caracteres arbitrarios IETF RFC 373
R
Certificados Digitales, gestin de claves y Lista de Certificados Revocados (CRL)
IETF RFC 1422
R
Protocolo OCSP X.509 para PKI IETF RFC 2560
R
Certificado y perfil CRL X.509 para PKI IETF RFC 2459, IETF RFC 3280
R
Perfil de certificados calificados X.509 para PKI IETF RFC 3039
R
Formato de conversin de la norma ISO 10646 IETF RFC 3629
R
Sistema bsico de Poltica de Certificados y Prcticas de Certificacin X.509 para PKI IETF RFC 3647
R
Criptografa RSA PKCS#1
R
Acuerdo de clave Diffie-Hellman PKCS#3
R
Criptografa basada en contrasea PKCS#5
R
Sintaxis de mensaje criptogrfico PKCS#7
R
Sintaxis de informacin de clave privada PKCS#8
R
Clases de objetos seleccionados y tipos de atributos PKCS#9
R
Sintaxis de solicitud de certificacin PKCS#10 R
Estndares y Especificaciones de Interoperabilidad del Estado Peruano 24
Componente Especificacin SIT Observaciones
Interfaz de token criptogrfico PKCS#11
R
Intercambio de informacin personal PKCS#12
R
Formato estndar de la informacin del token criptogrfico PKCS#15
R
Lineamientos para Declaracin de Prcticas de Certificacin (CPS) y Polticas de Certificados (CP)
RFC 3647 (RFC2527)
R
Diagrama LDAPv2 X.509 para PKI RFC 2587
R
HTTP sobre TLS RFC 2818 R
Requisitos para validacin de ruta delegada y para el protocolo de descubrimiento de Ruta Delegada RFC 3379
R
Generadores de nmeros aleatorios (RNG) FIPS 140-2 Anexo C
R
Generadores determinsticos de bit aleatorios (DRBG) NIST SP 800-90
R
Algoritmo MAC basado en cifrado de bloques (CMAC) NIST SP 800-38B
R
Contador con modo de encadenamiento de bloques cifrados (Counter Chipre-block chaining mode - CCM)
NIST SP 800-38C
R
Suma de chequeo para corroborar la integridad de los datos (Keyed Hashing for Message Authentication) FIPS 198
R
Requisitos de seguridad para mdulos criptogrficos: hardware y firmware
FIPS 140-2
R
Microcontrolador y Unidad de Procesamiento Numrico (NPU) suplementario capaces de calcular operaciones criptogrficas acordes con PKCS#11 y PKCS #15, de conformidad con los requisitos del ISO/IEC 7816-1 al 7816-5
ISO 7816 1-5
R
Certificacin para tarjeta inteligente Certificacin EMC
R
Protocolo de sello de tiempo (TSP) X.509 para PKI RFC 3161
R
Estndares y Especificaciones de Interoperabilidad del Estado Peruano 25
Componente Especificacin SIT Observaciones
Requerimientos de polticas para autoridades de sello de tiempo (TSA) RFC 3628
R
Protocolo TSL RFC 2246 R Protocolos de administracin de certificados X.509 para PKI RFC 2510
R
Sintaxis para mensajes criptogrficos RFC 2630
R
Optimizacin de los servicios de seguridad para S/MIME RFC 2634
R
Proveedor de servicios criptogrficos en el sistema operativo del chip en tarjeta inteligente Software CSP
R
Formato de firma electrnica para formas electrnicas a largo plazo RFC 3126
R
8.2.4. Seguridad para desarrollo de sistemas
Componente Especificacin SIT Observaciones
A = Adoptado R = Recomendado T = En transicin E = En Estudio F = Estudio futuro
Firmas XML Sintaxis y Procesamiento de firma XML (XMLsig) conforme definido por el W3C http://www.w3.org/TR/xmldsig-core/ R
Cifra XML Sintaxis y Procesamiento de Cifra XML (XMLenc) Conforme definido por el W3C http://www.w3.org/TR/xmlenc-core/ R
Firma y cifra XML Transformacin de decodificacin para firma XML conforme definido por el W3C http://www.w3.org/TR/xmlenc-decrypt R
Principales gestiones XML cuando un ambiente PKI es utilizado XML Key Management Specification (XKMS 2.0) (Especificaciones de Gestin de Llave XML) conforme definido por el W3C http://www.w3.org/TR/xkms2/ R
Autenticacin y autorizacin de acceso XML SAML conforme definido por el OASIS cuando un ambiente ICP es utilizado http://www.oasisopen.org/committees/security/index.s HTML R
Intermediacin o Federacin de Identidades WS-Security 1.1 - conjunto de estndares para garantizar integridad y confidencialidad en mensajes SOAP. (http://docs.oasisopen.org/wss/2004/01/oasis- 200401 -wss-soapmessage-security-1.0.pdf).
WS-Trust 1.3 extensiones para el estndar WSSecurity, definiendo el uso de credenciales de seguridad y gestin de confianza distribuida. (http://docs.oasis-open.org/ws-sx/ws-trust/200512). E El componente anterior (SAML) podr juntarse a este componente despus de estudios. Estndares y Especificaciones de Interoperabilidad del Estado Peruano 26
8.2.5. Seguridad para servicios de red
Componente Especificacin SIT Observaciones
A = Adoptado R = Recomendado T = En transicin E = En estudio F = Estudio futuro (http://www.ietf.org/rfc/rfc2251.txt).
Directorio LDAPv3 RFC 3377 LDAP v3 extensin para TLS RFC3377 (http://www.ietf.org/rfc/rfc3377.txt). R
DNS Resolucin no. 7 de 29/07/2002 Comit Ejecutivo del Gobierno Electrnico Prcticas de Seguridad para Administradores de Redes Internet NIC BR Security Office http://www.nbso.nic.br/docs/seg-adm-redes/seg- admchklist.pdf
Versin 1.2 16 de mayo de 2003 Securing an internet name server, CERT ago/2002. R
Transferencia de archivos de forma segura HTTPS RFC 2818 (http://www.ietf.org/rfc/rfc2818.txt).
Securing FTP with TLS, RFC 4217 http://www.faqs.org/rfcs/rfc4217.html y RFC 2246 http://www.faqs.org/rfcs/rfc2246.html R
Sincronismo de tiempo RFC 1305 IETF-Network Time Protocol NTP version 3.0 (http://www.ietf.org/rfc/rfc1305.txt). RFC 2030 IETF- Simple Network Time Protocol - SNTP version 4.0 (http://www.ietf.org/rfc/rfc2030.txt). R
Sello de tiempo RFC 3628 TSAs - Policy Requirements for Time-Stamping Authorities (http://www.ietf.org/rfc/rfc3628.txt), Time-Stamp Protocol, RFC 3161 ETSI TS101861 (Time-Stamping Profile) (http://www.ietf.org/rfc/rfc3161.txt) R
Estndares y Especificaciones de Interoperabilidad del Estado Peruano 27
8.2.6. Seguridad para redes inalmbricas
Componente Especificacin SIT Observaciones
A = Adoptado R = Recomendado T = En transicin E = En estudio F = Estudio futuro
MAN 4
inalmbrico 802.16-2004 5
802.16.2-
2004 6
802.16e 7 e 802.16f 8
Utilizar PKM-EAP (Privacy Key Management - Extensible Autentication Protocol) com: EAP TLS ou TTLS; AES (Advanced Encryption Standard). http://csrc.nist.gov/CryptoToolkit/aes/rijndael/Rijndael.pdf. E
LAN inalmbrico 802.11 Utilizar la especificacin WPA2 (Wi-Fi Protect Access). R
8.2.7. Seguridad para colecta, tratamiento y archivo de evidencias
Componente Especificacin SIT Observaciones
A = Adoptado R =Recomendado T = En transicin E = En Estudio F = Estudio futuro
Preservacin de registros Guidelines for Evidence Collection and Archiving, RFC 3227 (http://www.ietf.org/rfc/rfc3227.txt). R
Respuesta a incidentes Expectations for Computer Security Incident Response, RFC 2350 (http://www.ietf.org/rfc/rfc2350.txt). R
Informtica forense Guide to Integrating Forensic Techniques into Incident Response NIST - Special Publication 800-86 (Draft) (http://csrc.nist.gov/publications/nistpubs/800-86/SP8 00-86.pdf). R
4 El 802.16 es definido por el IEEE como una interfaz tecnolgica para redes de acceso inalmbrico metropolitanas o WMAN (Wireless Metropolitan Access Network). 5 http://standards.ieee.org/getieee802/download/802.16-2004.pdf. 6 http://standards.ieee.org/getieee802/download/802.16.2-2004.pdf. 7 http://standards.ieee.org/getieee802/download/802.16e-2005.pdf. 8 http://standards.ieee.org/getieee802/download/802.16f-2005.pdf. Estndares y Especificaciones de Interoperabilidad del Estado Peruano 28
8.2.8. Gestin de la seguridad de la informacin
Componente Especificacin SIT Observaciones Tecnologas de la informacin Tcnicas de seguridad - Requerimientos ISO 27001 R
Tecnologas de la informacin Tcnicas de seguridad - Cdigo de prcticas para la gestin de la seguridad de la informacin ISO 27002 R
Tecnologas de la informacin Criterios de evaluacin de Tcnicas de seguridad para TI ISO 15408 R
Tecnologa de la informacin Guas para la gestin de la Seguridad TI Directrices respecto al tipo de controles que deben ser implementados y deben ser especificados por una EC ISO/IEC TR13335 R
8.2.9. Infraestructura
Componente Especificacin SIT Observaciones Infraestructura de Telecomunicaciones para Centros de Datos TIA 942 R
Estndares y Especificaciones de Interoperabilidad del Estado Peruano 29
8.2.10. Usabilidad
Componente Especificacin SIT Observaciones Metodologa de usabilidad ISO/TR 16982:2002: Ergonomics of human-system interaction-- Usability methods supporting human- centred design R
Gua de interfaces WWW para usuarios ISO 9241-151:2008: Ergonomics of human-system interaction--Part 151: Guidance on World Wide Web user interfaces R
Gua de accesibilidad en software ISO 9241-171:2008: Ergonomics of human-system interaction--Part 171: Guidance on software accessibility R
CIF para reportes de pruebas de usabilidad ISO/IEC 25062:2006: Software engineering -- Software product Quality Requirements and Evaluation (SQuaRE) -- Common Industry Format (CIF) for usability test reports R
Principios y requerimientos para dispositivos fsicos de entrada ISO 9241-400:2007: Ergonomics of human--system interaction -- Part 400: Principles and requirements for physical input devices R
Criterios de diseo para dispositivos fsicos de entrada ISO 9241-410:2008: Ergonomics of human-system interaction -- Part 410: Design criteria for physical input devices R
Interfaz de descripcin de contenido multimedia ISO/IEC 15938-9:2005: Information technology -- Multimedia content description interface -- Part 9: Profiles and levels R
9. ORGANIZACIN E INTERCAMBIO DE INFORMACIN
9.1. Polticas tcnicas
1. Uso de XML para el intercambio de datos.
2. Uso de XML Schema y de UML(cuando sea el caso) para definicin de los datos para intercambio.
3. Uso de XSL para transformacin de datos.
4. Uso de un estndar de metadatos para la gestin de contenidos electrnicos.
5. Uso del estndar ISO 19115 para elaboracin de metadatos usando como mnimo el perfil bsico de metadatos para la gestin de informacin espacial recomendado por la IDEp
6. Uso del estndar ISO 19139 catlogo de metadatos para los metadatos en XML. La representacin de los metadatos en la web a travs de un sistema de transformacin dinmica del XML en base a estilos, generalizando lo ms posible la representacin de los tags del rbol XML del metadato, para que el usuario pueda discriminar fcilmente la informacin que le hace falta en cada momento. Estndares y Especificaciones de Interoperabilidad del Estado Peruano 30
7. Uso de la Norma ISO 19128: Geographic Information Web Map Server Interface, para los servicios Web Map Services Permite la superposicin visual de informacin geogrfica compleja y distribuida en diferentes tipos de servidores. Tiene establecidas tres tipos de peticiones:
a. GetCapabilities: investiga las capacidades del servidor de mapas interrogado mediante un mensaje XML. El servidor le devuelve la informacin mediante otro mensaje XML.
b. GetMap: conociendo las capacidades del servidor, requiere un mapa mediante un mensaje XML y el servidor interrogado devuelve un mapa en formato rster (PNG, JPEG, GIF). Estos mapas pueden superponerse al definir colores transparentes.
c. GetFeatureInfo: sobre el mapa devuelto se puede interrogar al servidor remoto sobre informacin asociada a algn elemento (que se puede seleccionar, por ejemplo, mediante un clic sobre un pixel del elemento). Tanto la pregunta como la respuesta se vuelven a realizar mediante mensajes XML.
8. Uso del estndar ISO1917 define representacin de Informacin Geografica.
9. Uso de la Norma ISO 19119:2002 Geographic Information- Services
9.2. Especificaciones tcnicas GRUPO 1
Componente Especificacin SIT Observaciones
A = Adoptado R = Recomendado T = En transicin E = En estudio F = Estudio futuro
Lenguaje de Intercambio de datos XML (Extensible Markup Language) como definido Por el W3C http://www.w3.org/XML R
Transformacin de Datos XSL (Extensible Stylesheet Language) como definido por el W3C http://www.w3.org/TR/xsl XSL Transformation (XSLT) como definido por el W3C http://www.w3.org/TR/xslt R
Definicin de los datos para intercambio XML Schema como definido por el W3C: - XML Schema Part 0: Primer http://www.w3.org/TR/2004/RECxmlschema-0-20041028/ - XML Schema Part 1: Structures http://www.w3.org/TR/xmlschema-1/structures - XML Schema Part 2: Datatypes http://www.w3.org/TR/xmlschema-2/datatypes R
Estndares y Especificaciones de Interoperabilidad del Estado Peruano 31
UML (Unified Modeling Language) como definido por el OMG http://www.omg.org/gettingstarted/specsandprods.htm/
Descripcin de Datos RDF (Resource Description Framework) como definido por la W3C. F
Elementos de Metadatos para gestin de contenidos ebXML(Electronic Business XML). R
HL7(Health Level Seven).
Definir un catlogo de metadatos del estado. E
Perfil bsico de metadatos geograficos IDEP Perfil Basico de Metadatos IDEP v1.4 SE, por el Grupo de Trabajo N 2 IDEPI http://www.ccidep.gob.pe E
Datos Espaciales http://www.opengeospatial.org/standards
Definicin de datos Creacin de un catlogo de Padrones de Datos. E
GRUPO 2
Componente Especificacin SIT Observaciones
A = Adoptado R = Recomendado T = En transicin E = En estudio F = Estudio futuro
Agricultura AgXML http://www.agxml.org/ R
Negocios CXML http://www.cxml.org/ R XAML R IATA http://www.iata.org/index.htm R TOGAF http://www.togaf.org/ R OTA http://www.ota.com/index.html R
Estndares y Especificaciones de Interoperabilidad del Estado Peruano 32
Componente Especificacin SIT Observaciones Petrleo PIDX http://www.pidx.org/ R Industria qumica CIDX http://www.cidx.org/ R Salud HL7 http://www.hl7.org/ R Industria martima SMDG http://www.smdg.org/ R Finanzas SWIFT http://www.swift.com/ R
Geografia GML http://www.opengeospatial.org/standards/gml R Opentrans R Construccin E-construct R Comercio electrnico UNeDocs - Naciones Unidas http://www.unece.org/etrades/unedocs/ R
GRUPO 3:
APLICACIONES
SUNAT: 1. Generacin de RUC: i. Web Services: 1. http://wsgr.sunat.gob.pe:8089/ol-ti-etinscripcionsunarp/GeneraRucService ii. Descripcin: Genera RUC en SUNAT, previa verificacin de datos recibidos de SUNARP iii. Requisitos:
RENIEC: 2. Validacin de DNIs: i. Web Services: 1. http://wservices.reniec.gob.pe/wsauth/WSAuthentication 2. http://wservices.reniec.gob.pe/wsauth/WSDataVerification ii. Descripcin: Dado el nmero de DNI, devuelve apellidos y nombres. iii. Requisitos:
SUNARP: 3. Recepcin de datos de CNL: i. Web Services: 1. http://enlinea.sunarp.gob.pe/webapp/extranet/services/SunarpSer viceProvider?wsdl ii. Descripcin: Recibe datos de notaras que prestan servicios de constitucin de empresas en lnea. iii. Requisitos:
PCM: 4. Generacin de Cdigo nico de Operacin - CUO: i. Web Services: Estndares y Especificaciones de Interoperabilidad del Estado Peruano 33
ii. Descripcin: Genera cdigos de operacin para trmites que dependen de 2 o ms instituciones. iii. Requisitos:
9.3. XML y Middleware
No todos los sistemas necesitan tener capacidad de comunicarse directamente en XML, en algunos casos es apropiada la utilizacin de un middleware.
9.4. ebXML
ebXML (Electronic Business eXtensible Markup Language) es un framework que establece las condiciones para hacer comercio electrnico entre las empresas. Proporciona una serie de especificaciones, que debern ser respetadas por el software y los servicios desarrollados sobre ellas. Se basa en la experiencia acumulada con el EDI (Electronic Data Interchange), pero tambin saca provecho de nuevas tecnologas que usa, como la flexibilidad de XML y la ubicuidad de Internet.
ebXML es fruto del trabajo conjunto por parte de OASIS (Organization for the Advancement of Structured Information Standards), encargada de la parte tecnolgica, y UN/CEFACT (United Nations Centre for Trade Facilitation and Electronic Business), que aporta los conocimientos sobre el comercio. Las especificaciones se realizaron en 18 meses y colabor gente de todo el mundo, siendo la primera versin liberada de mayo del 2001.
9.5. HL7 HL7 (Health Level Seven) es un conjunto de estndares para el intercambio electrnico de informacin mdica. Level Seven hace referencia al nivel siete (aplicacin) del modelo OSI. Los estndares HL7 son desarrollados por la organizacin ANSI del mismo nombre.
Componente Especificacin SIT Observaciones
A = Adoptado R = Recomendado T = En transicin E = En estudio F = Estudio futuro
Agricultura AgXML http://www.agxml.org/ R Negocios CXML http://www.cxml.org/ R XAML R IATA http://www.iata.org/index.htm R TOGAF http://www.togaf.org/ R Estndares y Especificaciones de Interoperabilidad del Estado Peruano 34
Petrleo PIDX http://www.pidx.org/ R Industria qumica CIDX http://www.cidx.org/ R Salud HL7 http://www.hl7.org/ R Industria martima SMDG http://www.smdg.org/ R Finanzas SWIFT http://www.swift.com/ R
Geografia GML http://www.opengeospatial.org/standards/gml R Opentrans R Construccin E-construct R Comercio electrnico UNeDocs - Naciones Unidas http://www.unece.org/etrades/unedocs/
R
9.6. Especificaciones del Grupo Metadatos IDEP
Perfil Bsico de Metadatos IDEP
Componente Especificacin SIT Observaciones
A = Adoptado R = Recomendado T = En transicin E = En estudio F = Estudio futuro
Identificacin Titulo A Fecha A Tipo de Fecha R Forma de Presentacin A Resumen A
Propsito R
Estado R
Estndares y Especificaciones de Interoperabilidad del Estado Peruano 35
Componente Especificacin SIT Observaciones
Punto de Contacto R
Palabras Claves A Tipo der epresentacin Espacial R Escala A
Tema o Categora R Extensin A
Restricciones Limitaciones de Uso R Limitaciones de Acceso R
Mantenimiento Frecuencia de Mantenimiento y Actualizacin R Fecha de actualizacin A
Distribucin Recurso en lnea Web R Recurso en lnea WMS R Nombre T Versin T Sistema de referencia Cdigo A Nombre R
Calidad Nivel Jerrquico R Declaracin R Representacin Espacial
Nivel de Topologa
E
Tipo de Objeto geomtrico E Metadato Identificador A Norma y version A Idioma R Juego de Caracteres R Fecha de creacin R Autor del Metadato A
10. MEDIOS DE ACCESO
10.1. Polticas Tcnicas Las polticas tcnicas para permitir el acceso a los servicios electrnicos del Gobierno dirigidas a la sociedad en general, incluyendo a ciudadanos, empresas privadas, esferas y Poderes de Gobierno, servidores pblicos y otras instituciones, son:
10.1.1. Los servicios que presta el Gobierno mediante sistemas informticos deben ser concebidos dentro del respeto a la normatividad vigente, facilitando el acceso a los mismos, particularmente a aquellos ciudadanos con necesidades especiales y a aquellos cuyo riesgo de exclusin social o digital sea elevado. Los servicios de Gobierno Electrnico deberan incluso extenderse a aquellos sectores de poblacin que no puede tener acceso directo a los mismos por medio de los dispositivos previstos. Estndares y Especificaciones de Interoperabilidad del Estado Peruano 36
10.1.2. En relacin a los sistemas informticos orientados a la prestacin de servicios de Gobierno Electrnico:
Debern proyectarse para brindar a los usuarios, servicios de Gobierno Electrnico por intermedio de diversos medios de acceso;
Se utilizar la Internet como medio de comunicacin y las estaciones de trabajo o computadoras personales como medios de acceso, facilitndose la disponibilidad de la informacin con el uso de tecnologas y protocolos de comunicacin web basados en navegadores (browsers);
Al valerse de otros dispositivos de acceso, como por ejemplo telfonos mviles, televisin digital y tarjetas inteligentes (smart cards), podr usarse otras interfaces adems de los navegadores web;
Deben contemplar la sustitucin gradual del uso del login/contrasea por la autenticacin de usuarios con la utilizacin de certificados digitales, conforme a la normatividad establecida para la IOFE (Infraestructura Oficial de Firma Electrnica);
Los nuevos servicios debern crearse ya incorporando soporte a la autenticacin de usuarios por medio de certificados digitales de la IOFE;
En esta versin del documento de definicin de lineamientos y mecanismos de interoperabilidad que se requiere en el D.L. 1029, se trata de los siguientes medios de acceso:
o Estaciones de trabajo; o Tarjetas inteligentes, tokens y otras tarjetas;
Otros mecanismos de acceso, como telfonos mviles, hand- helds y televisin digital sern objeto de estudio futuro para la determinacin de los estndares a ser aceptados por el Gobierno.
10.1.3. Los sistemas de informtica del Gobierno, implementados para dar soporte a un determinado dispositivo de acceso, deben seguir, obligatoriamente, las especificaciones sealadas en este documento para el dispositivo correspondiente.
10.1.4. Todos los sistemas de informacin del Gobierno que ofrezcan servicios electrnicos deben ser capaces de utilizar la Internet como medio de comunicacin, sea de forma directa o por medio de servicios de terceros. Estndares y Especificaciones de Interoperabilidad del Estado Peruano 37
10.1.5. El desarrollo de los servicios de Gobierno Electrnico debe orientarse de manera tal que permitan el dar atencin a aquellos usuarios sin acceso a las tecnologas ms recientes disponibles en el mercado. Por otra parte, tambin se debe considerar la necesidad de atender a aquellos usuarios con necesidades especiales, lo que involucrar la utilizacin de recursos ms sofisticados y de uso especfico. En particular, respecto de las facilidades de acceso a Internet para personas con discapacidad y a la adecuacin de las cabinas pblicas que brindan este servicio, se seguir lo sealado en la Ley 28530 y su Reglamento.
10.1.6. Al utilizarse la Internet como medio de comunicacin, los sistemas informticos del Gobierno deben contemplar el que se pueda acceder a una cantidad mxima de informacin mediante aquellos navegadores que cumplan con el estndar mnimo requerido segn las Especificaciones Tcnicas para Estaciones de Trabajo que se observan a continuacin. Se recomienda que cualquier servicio de Gobierno Electrnico especifique en su pgina web inicial, las Versiones mnimas de navegadores que soportan las funcionalidades requeridas por el servicio asociado. En relacin al estndar mnimo referido arriba, pueden considerarse las excepciones que involucren cuestiones de seguridad en el trato de la informacin.
10.1.7. Cuando la Internet sea utilizada como medio de comunicacin, si no hay alternativa tcnicamente posible, podr utilizarse middleware o plug-ins adicionales para optimizar la funcionalidad del navegador en las estaciones de trabajo. En este caso, ese software adicional deber ofrecerse sin el pago de tasa por licencia, debiendo cumplir las especificaciones tcnicas correspondientes sealadas en el presente documento. Adems, el mismo debera mantenerse en un repositorio seguro del organismo gubernamental responsable de la aplicacin y estar firmado digitalmente con un certificado para firma de cdigo, de manera tal que se garantice la disponibilidad y la autenticidad de la aplicacin y la integridad del cdigo.
10.1.8. Los servicios de Gobierno Electrnico deben concebirse de manera que garanticen a los usuarios la autenticidad de su contenido con la utilizacin de certificados digitales para servidores web, conforme a los estndares sealados para la IOFE. En ese sentido, todos los sitios web debern, de modo obligatorio, utilizar https en vez de http.
10.1.9. La necesidad de la sociedad aunada a la voluntad del Gobierno de desarrollar e implementar servicios electrnicos posibilitar la definicin de las especificaciones tcnicas necesarias para los medios de acceso disponibles. Podr usarse tcnicas de administracin de contenidos y tecnologas que posibiliten la adaptacin de los dispositivos para soportar los servicios de Gobierno Electrnico, de manera tal que se facilite el acceso por medio del estndar mnimo de navegador web establecido. Se Estndares y Especificaciones de Interoperabilidad del Estado Peruano 38
facilitar as el uso de quioscos pblicos multiservicios y de Centros de Acceso Ciudadano.
10.1.10. Los sistemas informticos del Gobierno deben considerar cuando sea necesario, adems de tcnica y econmicamente viable, el desarrollo de adaptadores que posibiliten el acceso a la informacin de los servicios electrnicos en la web dentro de una diversidad de ambientes, presentando tiempos de respuesta aceptables y costos reducidos.
Estos adaptadores pueden utilizarse para poner en cola, convertir y reformatear dinmicamente el contenido web, de modo que se adapte a las exigencias y a las capacidades de exhibicin del dispositivo de acceso. Pueden an, posibilitar la modificacin del contenido de una pgina web, con base en protocolos de datos, XML, XSL, posibilitando el que se sealen preferencias del usuario y parmetros de red y de dispositivos de acceso.
Esos adaptadores tambin podrn utilizarse como una forma alternativa de posibilitar el acceso a minoras lingsticas o con discapacidades como la deficiencia visual (utilizacin de traductores de textos, fuentes y grficos de tamao grande, audio, etc.).
10.1.11. Se considerar preferencialmente aquellos tipos de archivo que tienen como estndar de empaquetamiento el xml, de forma que se facilite la interoperabilidad entre los servicios de Gobierno Electrnico.
10.1.12. Los servicios de Gobierno Electrnico que faciliten documentos a sus usuarios debern hacerlo empleando, en el propio enlace de acceso al documento, informacin clara respecto a origen, versin, fecha de publicacin y formato. Por fecha de publicacin se entiende aquella en la que el documento fue publicado en el diario oficial El Peruano, para los casos en que esta medida se exija, o la fecha de la publicacin en el sitio web, para los otros casos. Otra informacin sobre el documento, tal como, autor, redactor, emisor u otra de relevancia para su identificacin precisa, deber constar en el campo de propiedades del propio documento.
10.2. Especificaciones Tcnicas para Estaciones de Trabajo
Para la elaboracin de documentos o trabajos a ser creados en colaboracin por ms de una persona y/u organismo, pueden utilizarse los formatos previstos en la Tabla 10.
Para la construccin de la versin final de documentos, a ser enviada a otros organismos o incluso archivada digitalmente, se recomienda la utilizacin del formato PDF/A. Estndares y Especificaciones de Interoperabilidad del Estado Peruano 39
Aquellos documentos que necesiten de garanta de integridad y/o autora deben ser firmados digitalmente por su autor utilizando certificados digitales de la IOFE, siendo recomendable que se encuentren en formato PDF/A.
La mencin a los productos que generan los formatos de archivos referidos en la Tabla 10 tiene como objetivo nico la identificacin de una referencia mnima a partir de la cual los servicios de Gobierno Electrnico habrn de intercambiar informacin, de manera tal que queden aptos para recibir o enviar archivos en versiones iguales o posteriores a las mencionadas.
Tabla 10 Especificaciones Tcnicas Estaciones de Trabajo
Componente Especificacin SIT Observaciones
A = Adoptado R = Recomendado T = En Transicin E = En Estudio F = Estudio Futuro
Conjunto de caracteres y alfabetos UNICODE estndar versin 4.0, latin-1, UTF8, ISBN 0-321-18578-1. R
Formato de intercambio de hipertexto HTML versin 4.01 (.html o .htm), generado conforme especificaciones del W3C 15
A
XHTML versiones 1.0 o 1.1 (.xhtml), generado conforme especificaciones del W3C 16
A XML versiones 1.0 o 1.1 (.xml), generado conforme especificaciones del W3C 17
A SHTML (.shtml). R MHTML (.mhtl o .mht) 18 . R Archivos del tipo documento XML versiones 1.0 o 1.1 (.xml), o con formato (opcional) XSL (.xsl), generado conforme especificaciones del W3C 19 . R
Open Document (.odt), generado conforme especificaciones del estndar ISO/IEC 26300 20 . R OpenOffice.org XML (.sxw), generado en el formato del OpenOffice version 1.0. R Rich Text Format (.rtf). R
PDF (.pdf) generado en formato versin 1.3. R 15 HTML 4.01 Specification W3C Recommendation 24 December 1999. Disponible en: http://www.w3.org/TR/html4/. 16 XHTML 1.0 The Extensible HyperText Markup Language (Second Edition): A Reformulation of HTML 4 in XML 1.0 W3C Recommendation 26 January 2000, revised 1 August 2002. Disponible en: http://www.w3.org/TR/xhtml1/. 17 Extensible Markup Language (XML) 1.0 (Third Edition) W3C Recommendation 04 February 2004. Disponible en: http://www.w3.org/TR/2004/REC-xml-20040204/. Extensible Markup Language (XML) 1.1 W3C Recommendation 04 February 2004, edited in place 15 April 2004. Disponible en: http://www.w3.org/TR/2004/REC-xml11-20040204/. 18 (Mime Enscapsulation of Aggregate HTML Documents). Disponible en : http://tools.ietf.org/html/rfc2557 Estndares y Especificaciones de Interoperabilidad del Estado Peruano 40
19 Extensible Stylesheet Language (XSL) Version 1.0 W3C Recommendation 15 October 2001. Disponible en: http://www.w3.org/TR/xsl/. 20 Open Document Format for Office Applications (OpenDocument) v1.0 estndar ISO/IEC 26300. Disponible en: http://www.iso.org/.
Componente Especificacin SIT Observaciones PDF versin abierta PDF/A 21 . R Texto puro (.txt). A HTML versin 4.01 (.html ou .htm), generado conforme especificaciones del W3C. R Office Open XML , formato de documento electrnico ISO/IEC DIS 29500 R Microsoft Word document (.doc), generado en el formato del MS Office versin 2000. R Archivos del tipo planilla Open Document (.ods), generado conforme especificaciones del estndar ISO/IEC 26300. R
OpenOffice.org XML (.sxc). generado en el formato del Open Office versin 1.0. R Planilla MS Excel (.xls), generado en el formato del MS Office versin 2000. R Archivos del tipo presentacin Open Document (.odp), generado conforme especificaciones del estndar ISO/IEC 26300. R
OpenOffice.org XML (.sxi), generado en el formato del Open Office versin 1.0. R HTML (.html o .htm), generado conforme especificaciones del W3C. R Presentacin MS Power Point (.ppt), generado en el formato del MS Office versin 2000. R Archivos del tipo banco de datos para estaciones de trabajo XML versiones 1.0 o 1.1 (.xml) R En las opciones texto plano (txt) y csv, se debe incluir, de modo obligatorio, el lay-out de los campos, de forma a posibilitar su tratamiento. MySQL Database (.myd, .myi), generados en los formatos del MySQL, versin 4.0 o superior. R Texto Puro (.txt) A Texto Puro (.csv) comma-separated values A Archivo del Base (.odb), generado en el formato del BrOffice.org (u OpenOffice.org) versin 2.0 o posterior. R Archivo MS Access (.mdb), generado en el formato del MS Office versin 2000. R
PDF versin abierta PDF/A 21 . R
Intercambio de informaciones grficas e PNG (.png), generado conforme especificaciones del W3C 22 ISO/IEC 15948:2003 (E). R
TIFF (.tif) 23 A Estndares y Especificaciones de Interoperabilidad del Estado Peruano 41
imgenes estticas SVG (.svg), generado conforme especificaciones del W3C 24 . R
JPEG File Interchange Format (.jpeg, .jpg o .jfif) 25 A 21 Document management -- Electronic document file format for long-term preservation -- Part 1: Use of PDF 1.4 (PDF/A -1) estndar ISO 19005-1:2005. Disponible en: http://www.iso.org/. 22 Portable Network Graphics (PNG) Specification (Second Edition). W3C Recommendation 10 November 2003. ISO/IEC 15948:2003 (E) Information technology Computer graphics and image processing Portable Network Graphics (PNG): Functional specification. Disponible en: http://www.w3.org/TR/2003/RECPNG-20031110/ 23 Tagged Image File Format (Adobe Systems). 24 Scalable Vector Graphics (SVG) 1.1 Specification. W3C Recommendation 14 January 2003. Disponible en: http://www.w3.org/TR/2003/REC-SVG11-20030114/. 25JPEG File Interchange Format (version 1.02) 1 September 1992. Disponible en: http://www.jpeg.org/public/jfif.pdf y http://www.w3.org/Graphics/JPEG/itu-t81.pdf
Componente Especificacin SIT Observaciones Open Document (.odg), generado conforme especificaciones del estndar ISO/IEC 26300. R
OpenOffice.org XML (.sxd), generado en el formato del Open Office versin 1.0. R XCF (.xcf), generado en el formato del GIMP versin 1.0 o superior. R BMP (.bmp). A GIF (.gif), generado conforme las especificaciones GIF87a y GIF89a 26
A Imagen Corel Photo-Paint (.cpt), generado en el formato de la suite Corel Draw hasta versin 7. R |Imagen Photoshop (.psd), generado en el formato del Adobe Photoshop versin 4. R WSQ (.wsq), generado conforme a ANSI/NIST-ITL 1-2000, formato de datos para el intercambio de imgenes de huellas dactilares, rostro, cicatrices y tatuajes R Grficos vectoriales SVG (.svg), generado conforme especificaciones del W3C. R
Open Document (.odg), generado conforme especificaciones del estndar ISO/IEC 26300. R OpenOffice.org XML (.sxd), generado en el formato del Open Office versin 1.0. R Grfico Corel Draw (.cdr), generado en el formato hasta versin 7. R MSX (.msx), generado en el formato de la suite Corel Draw hasta versin 7. R Grfico MS Visio (.vss o .vsd), generados en el formato hasta versin 2000. R Estndares y Especificaciones de Interoperabilidad del Estado Peruano 42
Windows Metafile (.wmf). R Especificacin de estndares de animacin SVG (.svg), generado conforme especificaciones del W3C. R
GIF (.gif), gerado conforme a especificacin GIF89a. A Shockwave Flash (.swf), generado en formato de Macromedia Flash versin 4, de Macromedia Shockwave version 1. R Archivos del tipo audio y del tipo video .mpg A Audio y video MPEG-4, Part 14 (.mp4) 27 A
MIDI (.mid) 28 A Audio Ogg Vorbis I (.ogg) 29 R Audio-Video Interleaved (.avi), con codificacin Xvid. A
Audio-Video Interleaved (.avi), con codificacin divX. A
Audio MPEG-1, Audio Layer 3 (.mp3) 30 A 26 Graphics Interchange Format (CompuServe/America Online, Inc.). http://www.w3.org/Graphics/GIF/spec-gif89a.txt 27 ISO/IEC 14496-14:2003 Information Technology Coding of audio-visual objects Part 14: MP4 file format. 28 Musical Instrument Digital Interface, conforme la especificacin The Complete MIDI 1.0 Detailed Specification. Version 96.1, 2.ed., nov. 2001. Disponible en: http://www.midi.org/aboutmidi/specinfos.shtm. 29 Xiph.Org Foundation. Especificacin disponible en: http://xiph.org/vorbis/doc/Vorbis_I_spec.html. 30 ISO/IEC 11172-3:1993 Information technology Coding of moving pictures and associated audio fordigital storage media at up to about 1,5Mbit/s Part 3: Audio. ISO/IEC 11172-3:1993/Cor 1:1996.
Componente Especificacin SIT Observaciones
Real Media (.rm o .rmm), generado en el formato de los aplicativos Real Audio Media Player, versin 8. A
Real Audio (.ra o .ram), generado en el formato de los aplicativos Real Audio Media Player, versin 8. A
WAVE (.wav) A Shockwave Flash (.swf), generado en el formato del Macromedia Flash, hasta versin 4 o por el Macromedia Shockwave, versin 1. R
Windows Media Video (.wmv), generado en el formato del Windows Media Player, versin 6.4. A
Windows Media Audio (.wma), generado en el formato del Windows Media Player, versin 6.4. A
QuickTime (.mov), generado en el formato del Apple Quicktime, versin 6. A
QuickTime (.qt), generado en el formato del Apple Quicktime, versin 6. R
Estndares y Especificaciones de Interoperabilidad del Estado Peruano 43
Compresin de archivos de uso general ZIP (.zip). A RAR (.rar). R GNU ZIP (.gz). R Paquete TAR (.tar). R
Paquete TAR compactado (.tgz o .tar.gz). R
BZIP2 (.bz2). R
Paquete TAR compactado con BZIP2 (.tar.bz2). R
MS Cabinet (.cab). R
GML versin 1.0 o superior 31 .
F Sealado para estructuras vectoriales complejas, abarcando primitivas geogrficas como polgonos, puntos, lneas, superficies, colecciones, y atributos numricos o textuales sin lmites de nmero de caracteres. ShapeFile 32 .
F Sealado para estructuras vectoriales limitadas a lneas, puntos y polgonos, cuyos atributos textuales no sobrepasen 256 caracteres. Puede almacenar tambin las dimensiones M y Z.
Informaciones georreferenciadas estndares de archivos para intercambio entre estaciones de trabajo
GeoTIFF 33 . F Sealado para estructuras matriciales limitadas a matrices de pixel.
SFS. F
Programacin Extendida (Plugins) Tema para consideracin futura. F
33 GeoTIFF Format Especification. Disponible en: http://remotesensing.org/geotiff/geotiff.html. Estndares y Especificaciones de Interoperabilidad del Estado Peruano 44
10.3. Especificaciones Tcnicas para tokens, Tarjetas Inteligentes y Tarjetas en General
Las especificaciones sobre tarjetas inteligentes y tokens se basan fundamentalmente en la familia de estndares ISO/IEC (7816 partes 1 a 6).
Los dispositivos criptogrficos a utilizarse para la firma digital dentro de la IOFE, segn los alcances de lo que seala la Ley de Firmas y Certificados Digitales y su Reglamento, se guiarn adems de por estas normas, por lo referido en las Guas de Acreditacin emitidas por la Autoridad Administrativa Competente (INDECOPI). As, sern pasibles de acreditacin segn lo sealado en las guas pertinentes, las entidades de certificacin, las de registro o verificacin, el software de firma digital, adems de las entidades prestadoras de servicios de valor aadido como el sellado de tiempo, entre otros. Segn all se seala, los medios que generan y almacenan el material criptogrfico (certificados digitales y claves), adems de los sistemas, software y equipos necesarios para la realizacin de la certificacin digital (como los HSM), debern obedecer a estndares y especificaciones tcnicas mnimas, con el fin de garantizar su interoperabilidad y la confiabilidad de los recursos de seguridad de la informacin utilizados por ellos.
Es importante observar que el acceso a los datos almacenados en una determinada tarjeta inteligente o token no deber limitarse bajo ningn tipo de licenciamiento de software que prohba su lectura a excepcin del que pertenece a aquella tarjeta inteligente o token.
Se considera tambin el estndar ISO/IEC 7810, que define las propiedades fsicas tales como flexibilidad, resistencia a la temperatura y dimensiones para tres diferentes tipos de formato de tarjeta (ID-1, ID-2 e ID-3); el estndar PC/SC Workgroup y la estandarizacin para seguridad de dispositivos FIPS- 140, del National Institute of Standards and Technology (http://www.nist.gov). Se incluy adems normas ISO correspondientes a tarjetas magnticas y pticas.
Para cada estndar se sealan las versiones vigentes (ao de publicacin a la fecha).
Para versiones futuras de este documento se debern considerar los estndares de otras tarjetas utilizadas o por utilizarse por los organismos de Gobierno. De verificarse un uso intensivo, ser evaluada su inclusin. De igual manera, sern evaluados los estndares orientados a la comunidad europea.
Tabla 11 Especificaciones para Medios de Acceso Tarjetas Inteligentes, tokens y Tarjetas en General
Componente Especificacin SIT Aplicable a Observaciones
A = Adoptado R = Recomendado T = En Transicin E = En Estudio F = Estudio Futuro
Estndares y Especificaciones de Interoperabilidad del Estado Peruano 45
Definicin de datos Tarjetas de identificacin -- Tarjetas de Circuito(s) Integrado(s)
ISO/IEC 7816-6:2004 Parte 6: Elementos de datos para el intercambio intersectorial. A Todos Identification cards -- Integrated circuit cards -- Part 6: Interindustry data elements for interchange. Tarjetas de identificacin -- Identificacin de los emisores
ISO/IEC 7812-1:2006 Parte 1: Sistema de Numeracin. R Todos Identification cards -- Identification of issuers -- Part 1: Numbering system Tarjetas de transacciones financieras
Mensajes entre la tarjeta de circuito integrado y el dispositivo de aceptacin de la tarjeta
ISO 9992-2:1998 Parte 2: Funciones, mensajes (comandos y respuestas), elementos y estructuras de datos. F Tarjetas financieras Financial transaction cards -- Messages between the integrated circuit card and the card accepting device -- Part 2: Functions, messages (commands and responses), data elements and structures. Sistemas de tarjeta de identificacin. Monedero electrnico intersectorial
BS EN 1546-3:1999 Parte 3: Elementos e intercambio de datos.
BS EN 1546-4:1999 Parte 4: Objetos de datos. F Todos Identification card systems. Inter-sector electronic purse. Data elements and interchanges.
Identification card systems. Inter-sector electronic purse. Data objects
La actual edicin de este estndar britnico es base del trabajo del CEN/TC224/WG10. Tecnologa de la informacin Formatos de intercambio de biometra
ISO/IEC 19794-2:2005 Parte 2: Datos de minucias de huella dactilar.
ISO/IEC 19794-2:2005 Parte 2: Formato de imagen del rostro para el intercambio de datos
R
R Biometra en tarjetas inteligentes
Information technology Biometric data interchange formats Part 2: Finger minutiae data.
Information technology Biometric data interchange formats Part 5: Face Image Format for Data Interchange Estndares y Especificaciones de Interoperabilidad del Estado Peruano 46
Aplicaciones, incluyendo multiaplicaciones Tarjetas de identificacin Tarjetas de circuito integrado
ISO/IEC 7816-4:2005 Parte 4: Comandos intersectoriales para intercambio.
ISO/IEC 7816-5:2004 Parte 5: Sistema de numeracin y tramitacin de registro para identificadores de aplicacin.
ISO/IEC 7816-7:1999 Parte 7: Comandos intersectoriales para Structured Card Query Language (SCQL);
ISO/IEC 7816-11:2004 Parte 11: Estructura para el uso dinmico de aplicaciones mltiples en tarjetas de circuitos integrados.
ISO/IEC 7816-15:2004 Parte 15: Aplicacin de informacin criptogrfica. (con sus correcciones y adendas)
A
A R R F Tarjetas de Circuito(s) Integrado(s) con contactos.
Identification cards -- Integrated circuit cards -- Part 4: Organization, security and commands for interchange
Identification cards -- Integrated circuit cards -- Part 5: Registration of application providers
Identification cards -- Integrated circuit(s) cards with contacts -- Part 7: Interindustry commands for Structured Card Query Language (SCQL)
Identification cards -- Integrated circuit cards -- Part 11: Personal verification through biometric methods
Identification cards -- Integrated circuit cards -- Part 15: Cryptographic information application
Se sealan los aos de publicacin de las versiones vigentes. Existen disponibles adendas y correcciones en el web site de ISO (http://www.iso.org).
Partes 4 y 5 requeridas en Anexo 11 de la Gua de Acreditacin de Entidades de Certificacin EC de la IOFE.
La Parte 15 da continuidad al estndar RSA PKCS#15 mencionado en el Anexo 11 de la Gua de Acreditacin de Entidades de Certificacin EC de la IOFE. en lo que se refiere a estructuras de archivos para aplicaciones criptogrficas en tarjetas inteligentes. Estndares y Especificaciones de Interoperabilidad del Estado Peruano 47
Componente Especificacin SIT Aplicable a Observaciones
Tarjetas de identificacin Tarjetas de circuito(s) Integrado(s) con contactos
ISO/IEC 7816-10:1999 Parte 10: Seales electrnicas y respuesta a reinicio de tarjetas sncronas.
ISO/IEC 7816-12:2005 Parte 12: Interfaz USB. R Tarjetas de circuito(s) integrado(s) con contactos.
Identification cards -- Integrated circuit(s) cards with contacts -- Part 10: Electronic signals and answer to reset for synchronous cards Esta parte se encuentra en revisin por ISO.
Identification cards - Integrated circuit cards -- Part 12: Cards with contacts -- USB electrical interface and operating procedures
Tarjetas de identificacin ISO/IEC 7813:2006 Tarjetas de transacciones financieras. R Tarjetas financieras. Information technology -- Identification cards -- Financial transaction cards Tarjetas de identificacin-- Identificacin de los emisores ISO/IEC 7812-2:2007 Parte 2: Procedimientos de aplicacin y registro. R Todos Identification cards -- Identification of issuers -- Part 2: Application and registration procedures Sistemas de tarjeta de identificacin BS EN 1332-1:1999 Interfaz hombre/mquina Parte 1: Principios de proyecto para interfaz de usuario
BS EN 1332-4:1999 Interfaz hombre/mquina Parte 4: Codificacin de exigencias de usuario para personas con necesidades especiales. R Todos Identification card systems. Man-machine interface. Design principles for the user interface
Identification card systems. Man-machine interface. Coding of user requirements for people with special needs
Estndar britnico.
Elctrico Estndares y Especificaciones de Interoperabilidad del Estado Peruano 48
Componente Especificacin SIT Aplicable a Observaciones
Tarjetas de identificacin Tarjetas de circuito integrado con contactos
ISO/IEC 7816-3:2006
Parte 3: Protocolos de seales y transmisiones electrnicas. R Tarjetas de circuito(s) integrado(s) con contactos. Identification cards -- Integrated circuit cards -- Part 3: Cards with contacts -- Electrical interface and transmission protocols
Sealado en Anexo 11 de la Gua de Acreditacin de Entidades de Certificacin EC de la IOFE.
Tarjetas de identificacin Tarjetas de circuito(s) Integrado(s) sin contacto (CICC) Tarjetas de Proximidad
ISO/IEC 14443-2:2001
Parte 2: Interfaz de potencia y seal de frecuencia de radio. R Tarjetas de circuito integrado de proximidad sin contacto. Identification cards -- Contactless integrated circuit(s) cards -- Proximity cards -- Part 2: Radio frequency power and signal interface
Esta parte define la interfaz de frecuencia de radio, y contiene dos tcnicas de modulacin (Tipos A y B) para la comunicacin de datos entre tarjeta y terminal. Se seala la versin vigente, aunque se encuentra en revisin por ISO. Tarjetas de identificacin -- Tarjetas de circuito(s) integrado(s) sin contacto (CICC) -- Tarjetas de Acoplamiento Cercano
ISO/IEC 10536-3:1996
Parte 3: Procesamiento de seales electrnicas y reinicializacin. F Tarjetas de circuito(s) integrado(s) de acoplamiento cercano sin contacto. Identification cards -- Contactless integrated circuit(s) cards -- Part 3: Electronic signals and reset procedures
Se seala la versin vigente, aunque se encuentra en revisin por ISO. Tarjetas de identificacin -- Tarjetas de circuito(s) integrado(s) sin contacto (CICC) -- Tarjetas de Vecindad
ISO/IEC 15693-2:2006
Parte 2: Interfaz area e inicializacin. R Tarjetas de circuito(s) integrado(s) de vecindad sin contacto. Identification cards -- Contactless integrated circuit cards -- Vicinity cards -- Part 2: Air interface and initialization
Protocolos de Comunicacin Estndares y Especificaciones de Interoperabilidad del Estado Peruano 49
Tarjetas de identificacin Tarjetas de circuito(s) Integrado(s) sin contacto (CICC) Tarjetas de Proximidad
ISO/IEC 14443-3:2001 Parte 3: Inicializacin y anticolisin.
ISO/IEC 14443-4:2008 Parte 4: Protocolos de transmisin. R Tarjetas de circuito(s) integrado(s) de proximidad sin contacto. Identification cards -- Contactless integrated circuit(s) cards -- Proximity cards -- Part 3: Initialization and anticollision
Los procedimientos de anticolisin son mtodos utilizados para identificar y seleccionar una tarjeta cuando varias tarjetas estn activas dentro del campo RF del terminal. La Parte 3 tiene diversas adendas e ingresar a revisin por ISO.
La Parte 4 contiene informaciones de alto nivel (nivel de mensaje) de protocolo de transmisin de datos, equivalentes al protocolo T=1 del ISO/IEC 7816, y es un puente sobre dicho estndar. El ISO/IEC 14443-4 incluye un procedimiento de inicializacin de protocolo para tarjetas Tipo A. Tarjetas de identificacin -- Tarjetas de circuito(s) integrado(s) sin contacto (CICC) -- Tarjetas de Vecindad
ISO/IEC 15693-3:2001
Parte 3: Protocolo de anticolisin y transmisin. R Tarjetas de circuito integrado de proximidad sin contacto. Identification cards - Contactless integrated circuit(s) cards - Vicinity cards -- Part 3: Anticollision and transmission protocol
Se seala la versin vigente, aunque ser revisada por ISO. Estndares y Especificaciones de Interoperabilidad del Estado Peruano 50
Mensajes originados por tarjetas de transacciones financieras
ISO 8583-1:2003
Parte 1: Mensajes, elementos de datos y valores de cdigo.
ISO 8583-2:1998
Parte 2: Procedimientos de solicitud y registro para cdigos de identificacin de instituciones.
ISO 8583-3:2003
Parte 3: Procedimientos de mantenimiento para mensajes, elementos de datos y valores de cdigo. F Tarjetas financieras. Financial transaction card originated messages -- Interchange message specifications -- Part 1: Messages, data elements and code values
Financial transaction card originated messages -- Interchange message specifications -- Part 2: Application and registration procedures for Institution Identification Codes (IIC)
Financial transaction card originated messages -- Interchange message specifications -- Part 3: Maintenance procedures for messages, data elements and code values
Las versiones sealadas de las Partes 2 y 3 se encuentran en revisin peridica por ISO. Tarjetas de transacciones financieras -- Mensajes entre la tarjeta de circuito integrado y el dispositivo de aceptacin de la tarjeta.
ISO 9992-1:1990 Parte 1: Conceptos y estructuras
ISO 9992-2:1998 Parte 2: Funciones, mensajes (comandos y respuestas), elementos y estructuras de datos. F Tarjetas financieras. Financial transaction cards -- Messages between the integrated circuit card and the card accepting device -- Part 2: Functions, messages (commands and responses), data elements and structures.
Financial transaction cards -- Messages between the integrated circuit card and the card accepting device -- Part 1: Concepts and structures Estndares y Especificaciones de Interoperabilidad del Estado Peruano 51
Componente Especificacin SIT Aplicable a Observaciones Estndares de Caractersticas Fsicas. Cubren las dimensiones de la tarjeta adems de la ubicacin de los elementos para el almacenamiento de datos. Caractersticas fsicas -- Tarjetas de identificacin
ISO/IEC 7810:2003 R Todas las tarjetas de contacto y combinacin. Identification cards -- Physical characteristics
Todas las tarjetas deben seguir el formato ID-1, segn se define en ISO/IEC 7810, para asegurar que puedan ser ledas en lectoras estndar.
Este estndar ser revisado por ISO. Tarjeta Magntica
ISO/IEC 7811-2:2001 Parte 2: Banda magntica Baja coercitividad. R Tarjetas con banda magntica. Identification cards -- Recording technique -- Part 2: Magnetic stripe -- Low coercivity
Define las propiedades, ubicacin y codificacin (coding) de la banda magntica de la tarjeta. Estndares y Especificaciones de Interoperabilidad del Estado Peruano 52
Tarjeta de memoria ptica
ISO/IEC 11693:2005
ISO/IEC 11694-1:2005
ISO/IEC 11694-2:2005
ISO/IEC 11694-3:2008 F Tarjetas pticas Identification cards -- Optical memory cards -- General characteristics
Estndar a ser revisado por ISO.
Identification cards -- Optical memory cards -- Linear recording method -- Part 1: Physical characteristics
Identification cards -- Optical memory cards -- Linear recording method -- Part 2: Dimensions and location of the accessible optical area
Identification cards -- Optical memory cards -- Linear recording method -- Part 3: Optical properties and characteristics
Serie de estndares que describe los parmetros para las tarjetas de memoria ptica y su uso para el almacenamiento e intercambio de datos.
Ambos reconocen la existencia de diferentes mtodos de grabacin y lectura en tarjetas con memoria ptica
Estas tarjetas soportan el almacenamiento de varios megabytes.
Las Partes 4, 5 y 6 del ISO/IEC 11694 cubren aspectos de datos y biometra en tarjetas de memoria ptica. Estndares y Especificaciones de Interoperabilidad del Estado Peruano 53
Tarjetas de identificacin
ISO/IEC 7816-1:1998 Parte 1: Caractersticas fsicas Tarjetas de identificacin
ISO/IEC 7816-2:2007 Tarjetas de circuito(s) integrado(s) con contactos Parte 2: Dimensiones y ubicacin de los contactos. A Tarjetas de circuito(s) integrado(s) con contactos. Identification cards -- Integrated circuit(s) cards with contacts -- Part 1: Physical characteristics
Esta parte suplementa la norma ISO/IEC 7810, estableciendo las caractersticas fsicas particulares de las tarjetas de CI con contactos.
Sealados en Anexo 11 de la Gua de Acreditacin de Entidades de Certificacin EC de la IOFE. Tarjetas de identificacin Tarjetas de circuito(s) integrado(s) sin contactos Tarjetas de proximidad
ISO/IEC 14443-1:2008 Parte 1: Caractersticas fsicas. R Tarjetas de circuito integrado de proximidad sin contacto. Identification cards -- Contactless integrated circuit cards -- Proximity cards -- Part 1: Physical characteristics
Esta parte suplementa las caractersticas fsicas definidas en el ISO/IEC 7810. Tarjetas de identificacin Tarjetas de circuito(s) integrado(s) sin contactos Tarjetas de proximidad
ISO/IEC 15693-1:2000 Parte 1: Caractersticas fsicas. R Tarjetas de circuito(s) integrado(s) de vecindad sin contacto. Identification cards -- Contactless integrated circuit(s) cards -- Vicinity cards -- Part 1: Physical characteristics
Esta parte suplementa las caractersticas fsicas definidas en el ISO/IEC 7810.
Componente Especificacin SIT Aplicable a Observaciones
Tarjetas de identificacin Tarjetas de circuito(s) integrado(s) sin contacto
ISO/IEC 10536-1:2000 Parte 1: Caractersticas fsicas
ISO/IEC 10536-2:1995 Parte 2: Dimensiones y ubicacin de las reas de acoplamiento. F Tarjetas de circuito(s) integrado(s) de acoplamiento cercano sin contacto. Identification cards -- Contactless integrated circuit(s) cards -- Close- coupled cards -- Part 1: Physical characteristics
Identification cards -- Contactless integrated circuit(s) cards -- Part 2: Dimensions and location of coupling areas
Esta parte suplementa las caractersticas fsicas definidas en el ISO/IEC 7810. Estndares y Especificaciones de Interoperabilidad del Estado Peruano 54
Sistemas de Tarjetas de identificacin -- Interfaz hombre/mquina -- Identificadores tctiles.
BS EN 1332-2 Parte 2: Dimensiones y ubicacin -un identificador tctil para tarjetas ID-1. F Para identificar el sentido en el que se introducir la tarjeta en el lector, un identificador tctil ayudar a quienes sufren de deficiencias visuales. Identification card systems. Man-machine interface. Dimensions and location of a tactile identifier for ID-1 cards Segn el estndar britnico, Identificadores tctiles del tipo notch (relieve) deberan solicitarse a los fabricantes o a quienes personalicen las tarjetas.
Tarjetas de identificacin -- Tarjetas de circuito(s) integrado(s):
ISO/IEC 7816-8:2004 Parte 8: Comandos de seguridad intersectoriales
ISO/ IEC 7816-9:2004 Parte 9: Comandos adicionales intersectoriales y atributos de Seguridad.
ISO/IEC 7816-11:2004 Parte 11: Verificacin personal Por medio de mtodos biomtricos. Tarjetas de identificacin
ISO/IEC 7816-15:2004 Parte 15: Informacin de dispositivo Criptogrfico en tarjetas CI. A Tarjetas de circuito(s) integrado(s) con contactos.
Identification cards -- Integrated circuit cards -- Part 8: Commands for security operations
Identification cards -- Integrated circuit cards -- Part 9: Commands for card management
Identification cards -- Integrated circuit cards -- Part 11: Personal verification through biometric methods
Identification cards -- Integrated circuit cards -- Part 15: Cryptographic information application Estndar FIPS-140-2 A Todos. Para usos criptogrficos dentro de la IOFE, siguiendo, en cuanto a la aplicacin de los diversos niveles de exigencia de este estndar lo sealado en la Gua de Acreditacin de Entidades de Certificacin EC, en su punto 6.IV, Niveles de seguridad de PKI y en su Anexo 11.
Seguridad Estndares y Especificaciones de Interoperabilidad del Estado Peruano 55
Common Criteria
Para el IC bajo perfiles de proteccin como:
BSI-PP-0002:2001
PP/9806:1998
Como dispositivo seguro de creacin de firmas digitales, bajo los perfiles de proteccin sealados en:
CWA 14169:2004 R
Niveles EAL4+ o superiores
Smartcard IC Protection Profile. Bundesamtes fr Sicherheit in der Informationstechnik
Smartcard Integrated Circuit Protection Profile Registered at the French Certification Body under the number PP/9806
Se hace mencin al nivel EAL4+ en el Anexo 11 de la Gua de Acreditacin de Entidades de Certificacin EC de la IOFE. Infraestructura del terminal Tecnologa de la informacin Diseos de teclados para texto y sistemas de oficina
ISO/IEC 9995-1:2006 Parte 1: Principios generales que gobiernan el diseo de los teclados. R Todos. Information technology -- Keyboard layouts for text and office systems -- Part 1: General principles governing keyboard layouts Estndares y Especificaciones de Interoperabilidad del Estado Peruano 56
Especificacin de Interoperabilidad para ICCs y Sistemas de Ordenador Personal
Estndares del Consorcio Grupo de Trabajo PC/SC
Parte 1. Introduccin y Visin General de la Arquitectura
Parte 2. Requisitos de Interfaz para Tarjetas Compatibles con CI y Dispositivos de Interfaz
Parte 3. Requisitos para Dispositivos de Interfaz Conectados a PC
Parte 4. Consideraciones del proyecto IFD e Informacin de Referencia del Proyect
Parte 5. Definicin del Gestor de Recursos ICC
Parte 6. Definicin de la Interfaz del Surtidor de Servicio ICC
Parte 7. Consideraciones del Proyecto de Dominio / Desarrollador de la Aplicacin
Parte 8. Recomendacin para la Implementacin de Dispositivos de Seguridad y Privacidad ICC. A Todos. Para uso general en PCs.
Certificacin EMC (de compatibilidad electromagntica) A Para lectores de tarjetas inteligentes Segn el Anexo 11 de la Gua de Acreditacin de Entidades de Certificacin EC de la IOFE. Estndares y Especificaciones de Interoperabilidad del Estado Peruano 57
Componente Especificacin SIT Aplicable a Observaciones Tarjetas tipo Java Card API (Application Programming Interface) para la plataforma de tarjetas Java Card. A Esta API define un conjunto de clases a partir de las cuales la tecnologa Java Card basada en applets puede ser construida. Versin general para la tecnologa Java Card es 2.2.2 (marzo de 2006), http://java.sun.com/products/j avacard/ Especificacin para el ambiente de ejecucin (runtime environment) para la plataforma Java Card. A Esta especificacin describe el ambiente requerido para la ejecucin de applets basado en tarjetas Java Card.
Especificacin para la mquina virtual para la plataforma Java Card. A Esta Especificacin define la configuracin requerida para la mquina virtual de la tarjeta.
Especificaciones de Tarjeta GlobalPlatform:2006 R Especificacin de tarjeta que permite una implementacin neutral en cuanto a hardware, proveedores y aplicaciones, posibilitando una arquitectura de seguridad y gestin comn. GlobalPlatform Card Specification, Version 2.2 March 2006. Estndares y Especificaciones de Interoperabilidad del Estado Peruano 58
Requerimientos Funcionales para el Sistema de gestin de Tarjetas Inteligentes GlobalPlatform
Requerimientos Funcionales para el Sistema de Gestin de Claves GlobalPlatform
Gua a la Personalizacin Comn GlobalPlatform
Especificaciones de Requerimientos de Seguridad para Tarjetas GlobalPlatform
Especificacin de Mensajera GlobalPlatform
Gua de Configuracin de Tarjetas GlobalPlatform
Especificaciones del Lenguaje Interpretado para los Sistemas (ECMAScript) GlobalPlatform
Especificaciones de Perfiles para los Sistemas GlobalPlatform F Permite una implementacin estandarizada para la infraestructura de soporte de las tarjetas ICC. GlobalPlatform Smart Card Management System Functional Requirements, Version 4.0, 21 December 2004.
GlobalPlatform Key Management System Functional Requirements, Version 1.0, November 2003.
GlobalPlatform Guide to Common Personalization, Version 1.0, March 2003.
GlobalPlatform Card Security Requirements Specification, Version 1.0, May 2003.
GlobalPlatform Messaging Specification, Version 1.0, October 2003.
GlobalPlatform Card Customization Guide, Version 1.0, 13 August 2002.
GlobalPlatform Systems Scripting Language Specification, An ECMAScript Representation, Version 1.1.0, 24 September 2003.
GlobalPlatform Systems Profiles Specification, An XML Representation, Version 1.1.0, 24 September 2003.
Infraestructura de soporte a tarjetas ICC GlobalPlatform
60
PROYECTO PLATAFORMA INTEROPERATIVIDAD DEL ESTADO
Este Proyecto ha sido elaborado por el equipo Proyecto PIDE, para brindar servicios al ciudadano en: identidad, salud, educacin, garanta de la propiedad individual y colectiva, administracin tributaria, administracin pblica, saneamiento, medios de pago electrnicos y comunicacin social entre otros
PDF 2 Proyecto Plataforma de Interoperabilidad del Estado PIDE Presentacin Preparado por: Equipo de Proyecto PIDE Contenido Introduccin Objetivos del Estado Servicios al Ciudadano Situacin Actual LA PIDE Beneficios para las entidades Servicios al ciudadano enriquecidos Proyeccin de futuro
Introduccin La Gestin Pblica an no es lo eficiente que debiera, que el pas exige Cada entidad pblica duplica esfuerzos al procurar servicios o componentes de servicios que otras entidades ya los tienen El costo de comunicacin y la complejidad que puede llegar a representar la integracin es alto La informacin que le interesa al ciudadano est diseminada en diversas entidades, su integracin le es muy costosa y tediosa
Objetivos del Estado Bienestar al Ciudadano a travs de mejores servicios Modernizacin de la Gestin del Estado: Estado Moderno, Descentralizado y Mayor participacin ciudadana Eficiencia y Eficacia en la Gestin Pblica
Mejores Servicios: Bienestar General Eficiencia y Eficacia en Gestin Pblica Modernizacin del Estado Servicios al Ciudadano Identidad Salud Educacin Garanta de la propiedad individual y colectiva Administracin Tributaria Administracin Pblica Saneamiento Medios de pago electrnicos Comunicacin Social, entre otros
Situacin Actual An existe mucho trmite manual, personal, con tiempos de atencin elevados y costosos, por los trmites y el traslado. El ciudadano tienen que viajar de una oficina a otra en bsqueda de respuesta, evidenciando falta de integracin en el nivel estatal. Las entidades pblicas ofrecen servicios informatizados, va Internet, con esfuerzos independientes Trmites va Internet, an no suficientes, algunos seguros y con esfuerzos independientes Situacin Actual: Las conexiones de una entidad Sus proveedores de servicios Los consumidores de sus servicios Entidad Proveedora de los servicios al ciudadano Situacin Actual: Un grupo de entidades operando (Hipottica) MODELO SOA UNA SOLUCIN: La Plataforma de Interoperabilidad del Estado Enterprise Service Bus (ESB) / Bus de Servicios Corporativos La Plataforma de Interoperabilidad del Estado (PIDE) Plataforma de Hardware
Plataforma SOA
Proposito
Estable Probada Segura Confiable Escalable
Estandarizacin Uniformidad Despliegue fcil. Acceso rpido. Integracin de servicios Catlogo de servicios. Ciudadanos satisfechos Gobernabilidad Reduccin de costos.
La Plataforma de Interoperabilidad del Estado (PIDE) Beneficios para las entidades Centralizacin de comunicaciones y servicios comunes como: Seguridad, Transformacin de mensajes, Enrutamiento, Orquestacin de servicios, Coreografa de Procesos, Flexibilidad y Reusabilidad de Servicios a travs del soporte informtico Reduccin de costos en las Entidades Pblicas para la entrega de sus servicios Establecimientos de estndares de interoperabilidad en trminos de calidad y seguridad para la gestin pblica Servicios al Ciudadano Enriquecidos Identidad Punto central de referencia de informacin sobre identidad del ciudadano Salud Historias clnicas integradas de los pacientes de los diversos CC.HH. Padrn de Mdicos y sus turnos en los diversos CC.HH. Educacin Record acadmico a nivel nacional de cada ciudadano Garanta de la propiedad individual y colectiva Integracin con Municipios, MTC, SUNARP Administracin Pblica Coordinacin ms efectiva de proyectos, recursos, funciones Medios de pago electrnicos Pagos va Internet, fcil y seguro, integrando al Banco de la Nacin. Proyeccin Integracin total de las entidades pblicas, con el aadido de una reingeniera de procesos Gobierno electrnico orientado a servicios y resultados Implementacin de integracin jerrquica en dos o tres niveles Implementacin de la red de gobierno electrnico del Per, con estndares de disponibilidad de nivel de clase mundial (99.999%) Implementacin de nuevos servicios o mejora a los existentes en tiempos record Adaptabilidad de los servicios a las nuevas necesidades del ciudadano en el entorno globalizado Estandares I Etapa Estndares que soporten el BASIC PROFILE 1 SOAP 1.1 Simple Object Acces Protocol HTTP 1.1 XML 1.0 y Namespaces in XML 1.0 XML Schema Part 1 (Structures) y Part 2 (DataTypes) Web Services Description Language WSDL 1.1 UDDI v2 Mecanismos para invocar Servicios Web sobre HTTPS ( HTTP over TLS, etc) GRACIAS POR SU ATENCIN LA PIDE AL SERVICIO DEL PAS