Aprueban disposiciones complementarias al Reglamento de la Ley de
Firmas y Certificados Digitales
RESOLUCION COMISION DE REGLAMENTOS TECNICOS Y COMERCIALES N
0103-2003-CRT-INDECOPI
Lima, 23 de octubre de 2003
VISTO:
El Artculo 36 del Reglamento de la Ley de Firmas y Certificados
Digitales, aprobado mediante Decreto Supremo N 019-2002-JUS modificado por el Decreto Supremo N 024-2002-JUS, que designa al Instituto Nacional de Defensa de la Competencia y Proteccin de la Propiedad Intelectual como Autoridad Administrativa Competente de la Infraestructura Oficial de Firma Digital; y,
CONSIDERANDO:
Que, de conformidad con el Artculo 36 del Reglamento de la Ley
de Firmas y Certificados Digitales el Indecopi como Autoridad Administrativa Competente est a cargo de la acreditacin de Entidades de Certificacin y de Entidades de Registro/Verificacin dentro de la Infraestructura Oficial de Firma Digital, encontrndose facultada para tal efecto a establecer los criterios y requisitos mnimos para la prestacin de ambos servicios;
Que, al interior del Indecopi la Comisin de Reglamentos Tcnicos
y Comerciales ha sido designada como el rgano funcional a cargo de ejercer las funciones de acreditacin y dems que confiere el Reglamento de la Ley de Firmas y Certificados Digitales al Indecopi como Autoridad Administrativa Competente;
Que, para efectos de la acreditacin de entidades de
certificacin y de verificacin/registro de firmas digitales es necesario establecer mayores precisiones al Rgimen de Acreditacin previsto en el Captulo II del Ttulo III del Reglamento de la Ley de Firmas y Certificados Digitales;
Que, asimismo es necesario establecer medidas orientadas a
compatibilizar la legislacin en materia de micrograbacin y las disposiciones sobre el servicio de intermediacin digital previsto en el Reglamento de la Ley de Firmas y Certificados Digitales;
Que, el 18 de diciembre de 2002 la Comisin de Reglamentos
Tcnicos y Comerciales public un proyecto de Disposiciones Complementarias al Reglamento de la Ley de Firmas y Certificados Digitales, a fin de que las empresas e instituciones que a la fecha vienen prestando servicios de certificacin y registro puedan alcanzar las observaciones que consideren pertinentes;
Que, luego de revisar las observaciones alcanzadas por las
distintas instituciones y profesionales vinculados al tema durante el perodo de discusin pblica, y estando a lo recomendado por la Secretara Tcnica, de conformidad con el Reglamento de la Ley de Firmas y Certificados Digitales aprobado mediante Decreto Supremo N 019-2002-JUS y con el acuerdo unnime de sus miembros reunidos en sesin del 23 de octubre de 2003
RESUELVE:
Artculo 1.- APROBAR las Disposiciones Complementarias al
Reglamento de la Ley de Firmas y Certificados Digitales anexas a la presente Resolucin a fin de dar inicio a la acreditacin de entidades de certificacin y de verificacin/registro.
Artculo 2.- En tanto no se incorpore el procedimiento de
acreditacin de entidades de certificacin, y de verificacin/registro de firmas digitales en el Texto nico de Procedimientos Administrativos del Indecopi, la cuanta de los derechos de tramitacin de estos procedimientos ser la prevista para la acreditacin de Organismos de Certificacin de Productos, sin perjuicio de los costos de auditoria que deben ser asumidos por las entidades solicitantes.
Artculo 3.- Encrguese a la Secretara Tcnica la conformacin
de un Comit Tcnico de Normalizacin Especializado para la revisin de la NTP 392.030-2: 1997 MICROFORMAS. Requisitos para las Organizaciones que operan sistemas de produccin de microformas. Parte 2: Medios de archivo electrnico, a fin de adecuarla al servicio de Intermediacin Digital.
Con la intervencin de los seores miembros: Fabin Novak,
Augusto Ruiloba, Jorge Dans, y Jos Dajes.
FABIAN NOVAK TALAVERA
Presidente de la Comisin de Reglamentos Tcnicos y Comerciales
DISPOSICIONES COMPLEMENTARIAS AL REGLAMENTO DE LA LEY DE
FIRMAS Y CERTIFICADOS DIGITALES
Primera.- Naturaleza de la Acreditacin Otorgada por la AAC. De
conformidad con los artculos 1, 2 y 42 del Reglamento, la acreditacin de Entidades de Certificacin y Entidades de Registro/Verificacin, tiene por finalidad reconocer la confiabilidad de los servicios de certificacin digital que se prestan en el mercado, evaluando para tal efecto las polticas y procedimientos de certificacin aplicadas, en especial los procedimientos para la verificacin y registro de identidad de los solicitantes, a cargo de Entidades de Registro/Verificacin, la atencin de reclamos y la actualizacin de mecanismos de seguridad frente al desarrollo de nuevas tecnologas o aplicaciones que puedan afectar los niveles de seguridad que garantizan la autenticacin o vinculacin del titular de la firma digital con el documento suscrito digitalmente.
Segunda.- Participacin de la Comisin de Reglamentos Tcnicos
y Comerciales en la evaluacin de servicios de certificacin no acreditados.- La Comisin de Reglamentos Tcnicos y Comerciales solo respalda la competencia tcnica de las entidades acreditadas, y la confiabilidad de los servicios prestados por ellas en el marco de la Ley y el Reglamento. Excepcionalmente, para efecto de lo dispuesto en los artculos 6 y 7 del Reglamento, la Comisin de Reglamentos Tcnicos y Comerciales podr evaluar firmas digitales emitidas fuera de la Infraestructura Oficial de Firma Digital a solicitud de las autoridades judiciales o administrativas ante las cuales se hayan presentado documentos as firmados como medios de prueba.
Tercera.- Imparcialidad de los servicios de certificacin y de
verificacin/registro acreditados.- En cumplimiento con los literales a) y h) del Artculo 36 del Reglamento, se precisa que los servicios de certificacin y de verificacin/registro son servicios de tercera parte y deben ser prestados en condiciones de transparencia, guardando imparcialidad con respecto a las partes que solicitan y usan sus servicios.
Los servicios acreditados no pueden ser prestados a personas con
las cuales la entidad acreditada mantenga vinculacin econmica. Para calificar la existencia de dicha vinculacin se deben considerar los conceptos de propiedad indirecta, vinculacin y grupo econmico de la Comisin Nacional de Empresas y Valores - CONASEV.
Cuarta.- Procedimiento de Acreditacin.- Para efecto de la
aplicacin del artculo 41 del Reglamento el procedimiento de acreditacin no podr exceder los 120 das tiles. Los plazos de cada una de las etapas de evaluacin previstas a lo largo del procedimiento, son las que a continuacin se sealan:
a) Admisin: 10 das tiles.
b) Evaluacin documentaria: 20 das tiles c) Subsanacin de observaciones: 30 das tiles d) Evaluacin de campo: 20 das tiles e) Subsanacin de observaciones: 10 das tiles Quinta.- Solucin de Reclamos por parte de las entidades acreditadas.- De conformidad con la segunda Disposicin Final del Reglamento, las entidades acreditadas deben contar con procedimientos de atencin de reclamos cuyos trminos deben ser parte de la informacin prestada a sus clientes. Estos procedimientos no constituyen instancia administrativa por lo que sus plazos de evaluacin deben ser breves y no deben exceder de 10 das tiles para su atencin.
Sexta.- Supervisin de Entidades Acreditadas.- De acuerdo a los
artculos 46 y 50 del Reglamento, las entidades acreditadas estn obligadas a mantener las condiciones que sustentan la acreditacin otorgada y a adecuarse a las disposiciones que establezca la Comisin de Reglamentos Tcnicos y Comerciales. El incumplimiento de dichas obligaciones puede motivar la suspensin o revocacin de la acreditacin otorgada. Tratndose de la contravencin de las obligaciones de imparcialidad y transparencia procede la revocacin de la acreditacin.
Considerando que los servicios de certificacin acreditados estn
referidos a aspectos de seguridad en materia de comercio electrnico, con un intenso grado de innovacin, la acreditacin otorgada est sujeta a auditoria de seguimiento anuales para verificar el mantenimiento de los niveles de seguridad inicialmente acreditados.
Cuando se observen cambios en la estructura o en los
procedimientos, as como deficiencias en la infraestructura y recursos inicialmente presentados por las entidades acreditadas, la Comisin de Reglamentos Tcnicos y Comerciales podr disponer la realizacin de evaluaciones para determinar las implicancias de dichos cambios y en el caso de deficiencias, la suspensin de la acreditacin hasta que stas sean superadas, como una medida preventiva destinada a garantizar la confiabilidad de los servicios acreditado.
Stima.- Clase de Certificados comprendidos en la IOFD.- De
acuerdo al artculo 16 del Reglamento, los certificados digitales comprendidos dentro de la Infraestructura Oficial de Firmas Digitales son aquellos que permiten la generacin de firmas para la identificacin de una persona natural, previa verificacin presencial de su identidad, o en su defecto para personas jurdicas a travs de agentes automatizados.
Las entidades acreditadas deben garantizar el nivel de seguridad
requerido al interior de IOFD frente al desarrollo de nuevas tecnologas o aplicaciones que puedan afectar los niveles de seguridad que garantizan la autenticacin o vinculacin del titular de la firma digital con el documento suscrito digitalmente. Octava.- Requisitos de orden tcnico que deben observar las Entidades de Certificacin.- Para efectos del cumplimiento de los requisitos previstos en el artculo 11 del Reglamento, las entidades de certificacin deben contar o tener acceso al uso de soluciones e infraestructura que soporten las polticas tcnicas futuras, que defina la Comisin de Reglamentos Tcnicos y Comerciales, as como los requisitos que se detallan a continuacin que deben ser implementados en el pas:
a) Dominios de confianza en el pas, que permitan verificar los
sistemas en que se soporta la prestacin de los servicios de certificacin digital.
b) Poltica de Confidencialidad, que asegure a los clientes del
servicio de certificacin que la informacin alcanzada para obtencin de un certificado Digital no ser empleada por la entidad de certificacin para otros fines, ni divulgada sin que medie requerimiento de una autoridad judicial o administrativa debidamente motivada.
c) Polticas de Integridad, Autenticacin y No repudio, para ello
debern contar con los procedimientos y mecanismos necesarios fijados en la Ley y el Reglamento.
d) Polticas y Normas de Monitoreo, Reporte y Auditoria de los
servicios de PKI, debern contar con un documento detallado sobre sus polticas de Seguridad y Disponibilidad de los servicios brindados.
e) Contar con un repositorio que contenga los certificados
emitidos garantizando su conservacin por un perodo mnimo de 10 aos.
1. Requisitos de Funcionalidad. Las entidades de certificacin deben
adoptar el estndar ISO X 509 en su versin actualizada u otro estndar compatible a ste como base de los servicios de certificacin digital. Asimismo deben contar con los siguientes requisitos:
1.1. Polticas y procedimientos para la administracin del ciclo de
vida de las claves, las mismas que debern involucrar:
a) Polticas y Normas de recuperacin de las claves.
b) Polticas y Normas de generacin de las claves.
c) Polticas y Normas de distribucin, revocacin, suspensin,
repudio y archivo (almacenamiento) de las claves. Tratndose de revocacin de certificados estas polticas deben propiciar que la cancelacin del certificado se realice en forma automtica. 1.2. Estructura de Manejo de los Certificados sujeta a mecanismos de auditoria peridicos, entendiendo por dicha estructura un sistema que involucra polticas, procedimientos, personal y el soporte tcnico para:
a) La administracin y control de claves (creacin y
mantenimiento, habilidad para enlazar las claves con un nombre, habilidad para preguntar que claves se enlazan a un nombre). Estas polticas no deben estar basadas en la identidad individual. La certificacin del enlace entre una llave pblica y un nombre del directorio ser obligatorio. La certificacin del enlace entre los atributos adicionales y un nombre del directorio sern discrecionales.
b) Dotar de capacidad al certificado para interactuar en
diferentes sectores, tales como el financiero y tributario, considerando las restricciones que cada uno de estos impone.
c) El Intercambio entre certificados (interoperabilidad tcnica)
d) Permitir la transferencia de certificados de una entidad de
certificacin a otra (en el caso de inoperatividad de la entidad que los emiti inicialmente), a fin de garantizar la continuidad del servicio.
e) Permitir la certificacin cruzada entre distintos organismos de
certificacin
f) Superar los problemas de interoperabilidad que se presenten -
en caso de que los caminos de la certificacin sean contradictorios o mltiples - a travs de arbitrajes tcnicos para permitir la aceptabilidad de certificados mediante los dispositivos correspondientes, en funcin a la plataforma de generacin utilizada.
g) Separar los servicios de certificacin de los sistemas de
almacenamiento de los datos obtenidos en la prestacin del servicio, sin que ello perjudique la posibilidad de controlar el flujo de informacin desde el repositorio de datos hacia el sistema de certificacin (requerimiento transaccional)
1.3. Una Infraestructura de Seguridad entendiendo por ella a un sistema
que involucra polticas, procedimientos, personal y soporte tcnico con el objeto de:
a) Proteger la confidencialidad, integridad y disponibilidad de los
servicios de certificacin. b) Garantizar servicios de no repudio tecnolgico1 para mantener la operatividad del certificado,
c) Impedir que el sistema de certificacin implementado permita
revocar sus propias acciones
d) Evitar que los usuarios del servicio de certificacin puedan
revocar tecnolgicamente sus propias acciones
1.4. En caso de incorporar servicios de valor aadido de fechado
y hora (time stamping), deben contar con un proveedor para tal servicio, el mismo que debe estar disponible dentro de una red abierta, accesible desde cualquier plataforma tecnolgica. En todo caso el certificador es responsable por la aptitud de los servicios subcontratados.
1.5. Procedimientos estructurados sobre la base de estndares
internacionales para la integracin de los servicios de certificacin prestados dentro de la Infraestructura Oficial de Firma Digital, con Certificados y datos asociados provenientes de Infraestructuras Oficiales extranjeras o infraestructuras nacionales no oficiales, que presenten diferencias culturales tales como las barreras idiomticas;
2. Requisitos de Arquitectura. Las entidades de certificacin deben
estructurar sus servicios de certificacin digital, involucrando los siguientes componentes:
2.1. Componentes Criptogrficos Bsicos2. Estos componentes
deben contar con soportes de hardware (como smartcards o mdulos criptogrficos) o software. Los Protocolos requeridos en este tipo de componentes deben observar los parmetros del estndar X 509 u otro compatible a ste.
Las Interfaces requeridas estn publicadas en la pgina web del
Indecopi y se actualizan peridicamente.
Los mdulos criptogrficos deben proveer soporte para distintos
tipos de plataformas. Si alguno de los mdulos criptogrficos utilizado tuviese restricciones en su desarrollo por razones de afectacin de la propiedad intelectual u otro motivo, deben ser especificados por la entidad de certificacin al momento de solicitar la acreditacin.
Para efecto del establecimiento de paridad entre aplicaciones
del sistema de certificacin debe primar el de mayor nivel de seguridad. 2.2. Componentes de servicios criptogrficos3. Los Protocolos requeridos en este tipo de componentes deben observar los parmetros del estndar X 509 u otro compatible a ste.
Las Interfaces requeridas estn publicadas en la pgina web del
Indecopi y se actualizan peridicamente.
Los mdulos criptogrficos deben proveer soporte para distintos
tipos de plataformas. Si alguno de los mdulos criptogrficos utilizados tuviese restricciones en su desarrollo por razones de afectacin de la propiedad intelectual u otros motivos, deben ser especificados por la entidad de certificacin al momento de solicitar la acreditacin.
Para efecto del establecimiento de comparacin entre
aplicaciones del sistema de certificacin debe primar el de mayor nivel de seguridad. La interfaz de los servicios criptogrficos debe permitir la seleccin y vinculacin de los mismos, as como entre las aplicaciones disponibles de un solo servicio criptogrfico.
2.3. Componentes de Clave de Servicios a largo plazo, que deben
elaborarse sobre la base del estndar X.509 y sus ampliaciones, y deben involucrar:
a) La administracin del ciclo de vida de las claves (Key Lifecycle
Management)4.
b) La Recuperacin de Claves (Key Recovery)5.
c) El Servicio Virtual de Tarjetas Inteligentes (Virtual Smartcard
Service)6. De acuerdo a la plataforma, las Interfaces requeridas estn publicadas en la pgina web del Indecopi y se actualizan peridicamente.
d) Administracin de Certificados (Certifcate Management)7. Las
interfaces requeridas estn publicadas en la pgina web del Indecopi y se actualizan peridicamente
e) Servicio de Entrega y verificacin de las claves pblicas (Public
Key Delivery and Verification)8. Las interfaces requeridas estn publicadas en la pgina web del Indecopi y se actualizan peridicamente.
En todos los casos los perfiles deben ser definidos de acuerdo a la
funcionalidad del sector en el que se implementen.
2.4. Servicios y Componentes del Protocolo de Seguridad9. Estos
componentes deben: a) Proveer mecanismos de seguridad y proteccin de calidad de los protocolos que permitan la interoperacin entre aplicaciones del sistema, empleados por los usuarios de los servicios de certificacin.
b) Administrar y controlar el nivel de seguridad de la informacin
definido por la Entidad de Certificacin.
c) Encapsular los datos, autenticar el origen, proteger los datos y
definir credenciales y privilegios de transporte dentro de un servicio simple de certificacin digital10.
d) Aplicar mecanismos de seguridad basados en polticas
administrativas de informacin de la Entidad de Certificacin.
2.5. Componentes del Protocolo de Seguridad11. Los protocolos
reconocidos se encuentran publicados en la pgina web del Indecopi y se actualizan peridicamente. La Entidad de certificacin deber establecer un perfil para cada protocolo.
2.6. Componentes de Servicio de la Poltica de seguridad.12
Los protocolos reconocidos se encuentran publicados en la
pgina web del Indecopi y se actualizan peridicamente.
Novena.- Reconocimiento de servicios de certificacin prestados
en el extranjero.- De acuerdo a lo dispuesto en el Artculo 48 del Reglamento, el reconocimiento de certificaciones emitidas por entidades de certificacin que operan en el extranjero requiere la acreditacin previa de dichas entidades para lo cual deben seguir el procedimiento de acreditacin regular poniendo a disposicin de la Comisin de Reglamentos Tcnicos y Comerciales, la documentacin prevista en el artculo 38 del Reglamento, a travs de una empresa que represente sus servicios en el pas.
De contar con la acreditacin en su pas de origen u otros
mecanismos de auditoria con respecto a sus servicios, la entidad de certificacin debe presentar documentacin que acredite tal situacin as como las condiciones acreditadas o auditadas, ello a fin de acogerse al reconocimiento de evaluaciones previsto en los artculos 41 y 42 del Reglamento.
Las entidades de certificacin extranjeras que operen a travs de
representantes nacionales deben mantener las mismas polticas y niveles de seguridad previstos en sus pases de origen para la clase de certificados comprendida en la IOFD, as como las mismas condiciones y coberturas de seguros para cubrir los daos que eventualmente se generen por la prestacin de sus servicios.
Dcima.- Equivalencia de niveles de seguridad.- Las entidades de
certificacin que utilicen servicios de entidades extranjeras, deben garantizar que dichos servicios mantengan los niveles de seguridad previstos en el pas de origen para la clase de certificados comprendida en la IOFD.
Dcimo Primera.- Certificados Digitales de uso limitado.- Los
Certificados Digitales emitidos en el marco de la Infraestructura Oficial de Firma Digital para su empleo en mbitos cerrados pueden ser empleados para la generacin de firmas digitales en otros mbitos bastando para ello la aceptacin de los destinatarios.
Dcimo Segunda.- Entidades de registro/verificacin.- Conforme
al artculo 20 del Reglamento, el proceso de certificacin se inicia con la participacin de entidades de registro/verificacin, en tal sentido para efectos de su acreditacin las entidades de registro/verificacin deben declarar la relacin existente con una Entidad de Certificacin acreditada o reconocida en el pas, documentando la vigencia de dicha relacin por un perodo no menor a la acreditacin solicitada. Asimismo las entidades de registro/verificacin deben contar con mecanismos que permitan una comunicacin ininterrumpida con la Entidad de Certificacin, para garantizar la atencin oportuna de solicitudes de certificacin, as como la actualizacin de informacin o la cancelacin de la certificacin.
Dcimo Tercera.- Procedimientos y requisitos que deben observar
las Entidades de Verificacin/Registro.- De acuerdo a los artculos 32 y 33 las entidades de verificacin acreditadas deben contar con registros que demuestren la presencia de la persona natural o el representante de la persona jurdica solicitante de la certificacin.
No es admisible, tomando en cuenta la naturaleza de los
certificados digitales previstos en la Ley y el Reglamento, la atencin de solicitudes de certificacin por medio de correos electrnicos u otros medios que no garanticen la identidad del solicitante.
Asimismo las entidades de verificacin/registro deben contar con
ambientes de trabajo seguros para custodiarla informacin proporcionada por los solicitantes o titulares de la certificacin, y con medidas de seguridad que eviten su reproduccin por parte del personal que tenga acceso a dicha informacin.
La entidad de registro o verificacin debe contar con
Procedimientos que le permitan: a) Atender las solicitudes de certificacin verificando la veracidad de la informacin proporcionada por el solicitante de la certificacin digital incluyendo la verificacin de la capacidad de ejercicio de derechos civiles tratndose de las personas naturales, o la existencia de la persona jurdica y la vigencia de poderes de ser el caso. Para ello debe mantenerse contacto con las bases de datos nacionales de identificacin y registro civil y de registros pblicos tratndose de personas jurdicas.
b) Informar a los solicitantes el procedimiento a travs del cual se
genera la clave privada as como las condiciones establecidas para la utilizacin del certificado digital y la generacin de firmas digitales, precisando que el incumplimiento de estas condiciones puede motivar la invalidez de las firmas digitales generadas. Los procedimientos deben incluir el tratamiento o condiciones para la generacin de firmas a travs de agentes automatizados, de ser el caso.
c) Remitir las solicitudes aprobadas a la Entidad de Certificacin,
informando al usuario de dicha aprobacin as como la oportunidad en que se le emitir el certificado digital.
d) Actualizar la informacin proveda a la entidad de certificacin
respecto a los titulares del certificado y las firmas digitales.
e) Asegurar que la informacin proporcionada por los solicitantes
no se emplee para fines distintos de la certificacin.
f) Contar con personal que posea la educacin necesaria,
adiestramiento actualizado as como el perfil y la experiencia para las funciones que les son asignadas.
Dcimo Cuarta.- Respaldo Econmico y Financiero.- Las
entidades de certificacin, y de verificacin/registro deben contar con recursos propios para la prestacin de sus servicios, o estar en condiciones de garantizar la continuidad de los mismos. Asimismo, deben contar con una cobertura de seguros para cubrir los daos que eventualmente se generen por la prestacin de sus servicios, ya sean en sus clientes directos o terceros. Dicha informacin debe ser comunicada a los usuarios en forma previa a la prestacin de los servicios.
La Comisin de Reglamentos Tcnicos y Comerciales establecer
en funcin al desarrollo del mercado, valores y porcentajes mnimos asegurables, los mismos que podrn ser reajustados semestralmente. Los servicios de valor aadido requieren en cada caso coberturas de seguros adicionales: Dcimo Quinta.- Sistemas de gestin.- Las entidades de certificacin y de verificacin/registro deben contar sistemas de gestin de calidad aplicadas a sus servicios.
Especficamente en el caso de Entidades de certificacin, su
estructura debe ser tal que proporcione confianza con respecto a sus certificaciones, para tal efecto conjuntamente con su Manual de Procedimiento deben presentar su Organigrama estructural y funcional.
Asimismo, la Entidad de Certificacin debe ser responsable de
todas las decisiones relacionadas con el otorgamiento, mantenimiento y cancelacin de la certificacin. Para tal efecto debe contar con procedimientos para la subcontratacin de los servicios de registro/verificacin.
Tratndose de Entidades de Verificacin/Registro stas deben
contar con procedimientos para el registro o verificacin, la Atencin de quejas y el Manejo y archivo de los registros. La entidad de registro o verificacin debe tener el personal suficiente para llevar a cabo el trabajo para el cual declara ser competente.
Dcimo Sexta.- Servicios de valor aadido.- Las entidades de
certificacin o de verificacin/registro que deseen prestar servicios de valor aadido deben garantizar que los mismos no afectarn los servicios principales de verificacin o certificacin as como la transmisin de los mensajes de datos firmados digitalmente. La calificacin de estos servicios se realizar dentro del proceso de acreditacin, para tal efecto debern presentarse los manuales de procedimientos previstos para su prestacin, as como una declaracin de la infraestructura con la que cuentan para tal efecto, cuando dichos servicios sean subcontratados la entidad acreditada asumir la responsabilidad por los mismos.