por el cual se reglamenta parcialmente la Ley 527 de 1999, en lo relacionado con las entidades de certificación, los certificados y las firmas digitales

Rango Decreto

Publicación 2000-09-14

Estado Derogada

Departamento MINISTERIO DE DESARROLLO ECONOMICO

Fuente SUIN-Juriscol

El Presidente de la República de Colombia, en ejercicio de las facultades constitucionales y legales, en especial de las conferidas en el numeral 11 del artículo 189 de la Constitución Política y en desarrollo de lo previsto en la Ley 527 de 1999,

DECRETA:

CAPITULO I

Aspectos generales

Artículo 1º.Definiciones. Para efectos del presente decreto se entenderá por:

1. Iniciador: persona que actuando por su cuenta, o en cuyo nombre se haya actuado, envíe o genere un mensaje de datos.

1. Suscriptor: persona a cuyo nombre se expide un certificado.

1. Repositorio: sistema de información utilizado para almacenar y recuperar certificados y otra información relacionada con los mismos.

1. Clave privada: valor o valores numéricos que, utilizados conjuntamente con un procedimiento matemático conocido, sirven para generar la firma digital de un mensaje de datos.

1. Clave pública: valor o valores numéricos que son utilizados para verificar que una firma digital fue generada con la clave privada del iniciador.

1. Certificado en relación con las firmas digitales: mensaje de datos firmado por la entidad de certificación que identifica, tanto a la entidad de certificación que lo expide, como al suscriptor y contiene la clave pública de éste.

1. Estampado cronológico: mensaje de datos firmado por una entidad de certificación que sirve para verificar que otro mensaje de datos no ha cambiado en un período que comienza en la fecha y hora en que se presta el servicio y termina en la fecha en que la firma del mensaje de datos generado por el prestador del servicio de estampado, pierde validez.

1. Entidad de certificación cerrada: entidad que ofrece servicios propios de las entidades de certificación sólo para el intercambio de mensajes entre la entidad y el suscriptor, sin exigir remuneración por ello.

1. Entidad de certificación abierta: la que ofrece servicios propios de las entidades de certificación, tales que:

a) Su uso no se limita al intercambio de mensajes entre la entidad y el suscriptor, o

b) Recibe remuneración por éstos.

1. Declaración de Prácticas de Certificación (DPC): manifestación de la entidad de certificación sobre las políticas y procedimientos que aplica para la prestación de sus servicios.

Artículo 2º.Sistema confiable. Los sistemas utilizados para el ejercicio de las actividades de certificación se considerarán confiables si satisfacen los estándares establecidos por la Superintendencia de Industria y Comercio.

CAPITULO II

De las entidades de certificación y certificados digitales

Seccion I

De las entidades de certificación cerradas

Artículo 3º.Acreditación de requisitos de las entidades de certificación cerradas. Quienes pretendan realizar las actividades propias de las entidades de certificación cerradas deberán acreditar ante la Superintendencia de Industria y Comercio que:

1. Los administradores y representantes legales no están incursos en las causales de inhabilidad previstas en el literal c) del artículo 29 de la Ley 527 de 1999, y

1. Están en capacidad de cumplir los estándares mínimos que fije la Superintendencia de Industria y Comercio de acuerdo a los servicios ofrecidos.

Artículo 4º.Información en certificados. Los certificados emitidos por las entidades de certificación cerradas deberán indicar expresamente que sólo podrán ser usados entre la entidad emisora y el suscriptor. Las entidades deberán informar al suscriptor de manera clara y expresa, previa expedición de los certificados, que éstos no cumplen los requisitos del artículo 15 del presente decreto.

Sección II

De las entidades de certificación abiertas

Artículo 5º.Acreditación de requisitos de las entidades de certificación abiertas. Quienes pretendan realizar las actividades propias de las entidades de certificación abiertas deberán particularizarlas y acreditar ante la Superintendencia de Industria y Comercio:

1. Personería jurídica o condición de notario o cónsul.

Cuando se trate de una entidad extranjera, se deberá acreditar el cumplimiento de los requisitos contemplados en el libro segundo, título VIII del Código de Comercio para las sociedades extranjeras que pretendan ejecutar negocios permanentes en territorio colombiano. Igualmente deberá observarse lo establecido en el artículo 48 del Código de Procedimiento Civil.

1. Que los administradores y representantes legales no están incursos en las causales de inhabilidad previstas en el literal c) del artículo 29 de la Ley 527 de 1999.

1. Declaración de Prácticas de Certificación (DPC) satisfactoria, de acuerdo con los requisitos establecidos por la Superintendencia de Industria y Comercio.

1. Patrimonio mínimo de 400 salarios mínimos mensuales legales vigentes al momento de la autorización.

1. Constitución de las garantías previstas en este decreto.

1. Infraestructura y recursos por lo menos en la forma exigida en el artículo 9º de este decreto.

1. Informe inicial de auditoría satisfactorio a juicio de la misma Superintendencia.

1. Un mecanismo de ejecución inmediata para revocar los certificados digitales expedidos a los suscriptores, a petición de estos o cuando se tenga indicios de que ha ocurrido alguno de los eventos previstos en el artículo 37 de la Ley 527 de 1999.

Parágrafo 1º. La Superintendencia de Industria y Comercio tendrá la facultad de solicitar ampliación o aclaración sobre los puntos que estime conveniente.

Parágrafo 2º. Si se solicita autorización para certificaciones recíprocas, se deberán acreditar adicionalmente la entidad reconocida, los certificados reconocidos y el tipo de certificados al cual se remite, la vigencia y los términos del reconocimiento.

Artículo 6º. Declaración de Prácticas de Certificación (DPC). La Superintendencia de Industria y Comercio definirá el contenido de la Declaración de Prácticas de Certificación, DPC, la cual deberá incluir, al menos lo siguiente:

1. Identificación de la entidad de certificación.

1. Política de manejo de los certificados.

1. Obligaciones de la entidad y de los suscriptores del certificado y precauciones que deben observar los terceros.

1. Manejo de la información suministrada por los suscriptores.

1. Garantías que ofrece para el cumplimiento de las obligaciones que se deriven de sus actividades.

1. Límites de responsabilidad por el ejercicio de su actividad.

1. Tarifas de expedición y revocación de certificados.

1. Procedimientos de seguridad para el manejo de los siguientes eventos:

a) Cuando la seguridad de la clave privada de la entidad de certificación se ha visto comprometida;

b) Cuando el sistema de seguridad de la entidad de certificación ha sido vulnerado;

c) Cuando se presenten fallas en el sistema de la entidad de certificación que comprometan la prestación del servicio;

d) Cuando los sistemas de cifrado pierdan vigencia por no ofrecer el nivel de seguridad contratados por el suscriptor.

1. El plan de contingencia encaminado a garantizar la continuidad del servicio de certificación.

1. Modelos y minutas de los contratos que utilizarán con los usuarios.

1. Política de manejo de otros servicios que fuere a prestar, detallando sus condiciones.

Artículo 7º.Patrimonio mínimo. Para determinar el patrimonio mínimo, sólo se tomarán en cuenta las cuentas patrimoniales de capital suscrito y pagado, reserva legal, superávit por prima en colocación de acciones y se deducirán las pérdidas acumuladas y las del ejercicio en curso.

El patrimonio mínimo deberá acreditarse:

1. En el caso de personas jurídicas, por medio de estados financieros, con una antigüedad no superior a 6 meses, certificados por el representante legal y el revisor fiscal si lo hubiere.

1. Tratándose de entidades públicas, por medio del proyecto de gastos y de inversión que generará la actividad de certificación, conjuntamente con los certificados de disponibilidad presupuestal que acrediten la apropiación de recursos para dicho fin.

1. Para las sucursales de entidades extranjeras, por medio del capital asignado.

1. En el caso de los notarios y cónsules, por medio de los recursos dedicados exclusivamente a la actividad de entidad de certificación.

Artículo 8º.Garantías. La entidad debe contar con al menos una de las siguientes garantías:

1. Seguros vigentes que cumplan con los siguientes requisitos:

a) Ser expedidos por una entidad aseguradora autorizada para operar en Colombia. En caso de no ser posible lo anterior, por una entidad aseguradora del exterior que cuente con la autorización previa de la Superintendencia Bancaria;

b) Cubrir todos los perjuicios contractuales y extracontractuales de los suscriptores y terceros de buena fe exenta de culpa derivados de errores y omisiones, o de actos de mala fe de los administradores, representantes legales o empleados de la certificadora en el desarrollo de las actividades para las cuales solicita autorización o cuenta con autorización;

c) Cubrir los anteriores riesgos por una cuantía asegurada por evento igual o superior al mayor entre:

i. 7.500 salarios mínimos mensuales legales por evento; o

ii. El límite de responsabilidad definido en las prácticas de certificación;

d) Incluir cláusula de restitución automática del valor asegurado;

e) Incluir una cláusula que obligue a la entidad aseguradora a informar previamente a la Superintendencia de Industria y Comercio la terminación del contrato o las modificaciones que reduzcan el alcance o monto de la cobertura.

1. Contrato de fiducia con patrimonio autónomo que cumpla con las siguientes características:

a) Tener como objeto exclusivo el cubrimiento de las pérdidas sufridas por los suscriptores y terceros de buena fe exentos de culpa, que se deriven de los errores y omisiones o de actos de mala fe de los administradores, representantes legales o empleados de la certificadora en el desarrollo de las actividades para las cuales solicita o cuenta con autorización;

b) Contar con recursos suficientes para cubrir pérdidas por una cuantía por evento igual o superior al mayor entre:

i. 7.500 salarios mínimos mensuales legales por evento; o

ii. El límite de responsabilidad definido en las prácticas de certificación;

c) Que los fideicomitentes se obliguen a restituir los recursos de la fiducia en caso de una reclamación, por lo menos hasta el monto mínimo exigido en el punto anterior;

d) Que la fiduciaria se obligue a obtener permiso de la Superintendencia de Industria y Comercio, previamente a cualquier cambio en los reglamentos, disminución en el monto o alcance de la cobertura, así como para el retiro de fideicomitentes y para la terminación del contrato;

e) Que las inversiones estén representadas en títulos de renta fija, alta seguridad y liquidez emitidos o garantizados por la Nación, el Banco de la República o calificados como de mínimo riesgo por las sociedades calificadoras de riesgo.

La entidad que pretenda otorgar el reconocimiento recíproco, deberá acreditar la cobertura de las garantías requeridas en este decreto para los perjuicios que puedan causar los certificados reconocidos.

Artículo 9º.Infraestructura y recursos. En desarrollo de lo previsto en el literal b) del artículo 29 de la Ley 527 de 1999, la entidad deberá contar con un equipo de personas, una infraestructura física y tecnológica y unos procedimientos y sistemas de seguridad, tales que:

1. Puedan generar las firmas digitales propias y todos los servicios para los que soliciten autorización.

1. Se garantice el cumplimiento de lo previsto en la Declaración de Prácticas de Certificación (DPC).

1. Se pueda calificar el sistema como confiable de acuerdo con lo señalado en el artículo 2º del presente decreto.

1. Los certificados expedidos por las entidades de certificación cumplan con:

a) Lo previsto en el artículo 35 de la ley 527 de 1999; y

b) Alguno de los estándares de certificados que admita de manera general la Superintendencia de Industria y Comercio.

1. Se garantice la existencia de sistemas de seguridad física en sus instalaciones, un monitoreo permanente de toda su planta física, y acceso restringido a los equipos que manejan los sistemas de operación de la entidad.

1. El manejo de la clave privada de la entidad esté sometido a un procedimiento propio de seguridad que evite el acceso físico o de otra índole a la misma, a personal no autorizado.

1. Cuente con un registro de todas las transacciones realizadas, que permita identificar el autor de cada una de las operaciones.

1. Los sistemas que cumplan las funciones de certificación sólo sean utilizados con ese propósito y por lo tanto no puedan realizar ninguna otra función.

1. Todos los sistemas que participen directa o indirectamente en la función de certificación estén protegidos por sistemas y procedimientos de autenticación y seguridad de alto nivel de protección, que deben ser actualizados de acuerdo a los avances tecnológicos para garantizar la correcta prestación del servicio.

Artículo 10.Infraestructura prestada por un tercero. Cuando quiera que la entidad de certificación requiera o utilice infraestructura o servicios tecnológicos prestados por un tercero, los contratos deberán prever que la terminación de los mismos está condicionada a que la entidad haya implementado o contratado una infraestructura o servicio tecnológico que le permita continuar prestando sus servicios sin ningún perjuicio para los suscriptores. Si la terminación de dichos contratos supone el cese de operaciones, el prestador de infraestructura o servicios no podrá interrumpir sus servicios antes de vencerse el plazo para concluir el proceso previsto en el procedimiento autorizado por la Superintendencia de Industria y Comercio. Estos deben ser enviados con los demás documentos de la solicitud de autorización y remitidos cada vez que sean modificados.

La contratación de esta infraestructura o servicios no exime a la entidad certificadora de la presentación de los informes de auditoría previstos en este decreto, los cuales deben incluir los sistemas y seguridades de dicho prestador.

Artículo 11.Informe de Auditoría. El informe de Auditoría dictaminará que la entidad de certificación actúa o está en capacidad de actuar, de acuerdo con los requerimientos de la Ley 527 de 1999, lo previsto en este decreto y en las normas que los sustituyan, complementen o reglamenten. Así mismo, evaluará todos los servicios a que hace referencia el literal d del artículo 2º de la Ley 527 de 1999 y que sean prestados o pretenda prestar la entidad de certificación.

Artículo 12. Requisitos de las firmas auditoras. La auditoría deberá ser realizada por una entidad del sistema nacional de normalización, certificación y metrología acreditada parael efecto por la Superintendencia de Industria y Comercio.

En caso de tratarse de entidades de certificación que requieran o utilicen infraestructura o servicios tecnológicos prestados desde el extranjero, la auditoría podrá ser realizada por una persona o entidad facultada para realizar este tipo de auditorías en el lugar donde se encuentra la infraestructura, siempre y cuando permita constatar el cumplimiento de lo señalado en el artículo anterior.

En caso de que no existan en el país al menos dos entidades acreditadas para llevar a cabo estas auditorías, las entidades de certificación nacionales podrán hacer uso de firmas de auditorías extranjeras, siempre y cuando el informe cumpla con las instrucciones impartidas por la Superintendencia de Industria y Comercio y la firma auditora se encuentre facultada para realizar este tipo de auditorías en su país de origen.

Artículo 13.Deberes. Además de lo previsto en el artículo 32 de la Ley 527 de 1999, las entidades de certificación deberán:

1. Comprobar por sí o por medio de una persona diferente que actúe en nombre y por cuenta suya, la identidad y cualesquiera otras circunstancias de los solicitantes o de datos de los certificados, relevantes para los fines propios de su procedimiento de verificación previo a su expedición.

1. Mantener a disposición permanente del público la declaración de prácticas de certificación.

1. Cumplir cabalmente con las políticas de certificación acordadas con el suscriptor y con su Declaración de Prácticas de Certificación (DPC).

1. Informar al suscriptor de los certificados que expide, su nivel de confiabilidad, los límites de responsabilidad, y las obligaciones que el suscriptor asume como usuario del servicio de certificación.

1. Garantizar la prestación permanente e ininterrumpida de los servicios autorizados, salvo las interrupciones que autorice la Superintendencia de Industria y Comercio.

1. Informar a la superintendencia de manera inmediata la ocurrencia de cualquier evento establecido en la Declaración de Prácticas de Certificación, que comprometa la prestación del servicio.

1. Abstenerse de acceder o almacenar la clave privada del suscriptor.

La consulta de este documento no sustituye la lectura del Diario Oficial correspondiente. No nos responsabilizamos de posibles incorrecciones producidas en la transcripción del original a este formato.