Norma Legal Oficial del día 05 de noviembre del año 2003 (05/11/2003)


Si dese vizualizar el documento entero como pdf click aqui.

TEXTO DE LA PÁGINA 40

Pag. 254450

NORMAS LEGALES

MORDAZA, miercoles 5 de noviembre de 2003

Con la intervencion de los senores miembros: MORDAZA Novak, MORDAZA Ruiloba, MORDAZA Danos, y MORDAZA Dajes. MORDAZA NOVAK TALAVERA Presidente de la Comision de Reglamentos Tecnicos y Comerciales DISPOSICIONES COMPLEMENTARIAS AL REGLAMENTO DE LA LEY DE FIRMAS Y CERTIFICADOS DIGITALES Primera.- Naturaleza de la Acreditacion Otorgada por la AAC. De conformidad con los articulos 1, 2 y 42 del Reglamento, la acreditacion de Entidades de Certificacion y Entidades de Registro/Verificacion, tiene por finalidad reconocer la confiabilidad de los servicios de certificacion digital que se prestan en el MORDAZA, evaluando para tal efecto las politicas y procedimientos de certificacion aplicadas, en especial los procedimientos para la verificacion y registro de identidad de los solicitantes, a cargo de Entidades de Registro/Verificacion, la atencion de reclamos y la actualizacion de mecanismos de seguridad frente al desarrollo de nuevas tecnologias o aplicaciones que puedan afectar los niveles de seguridad que garantizan la autenticacion o vinculacion del titular de la firma digital con el documento suscrito digitalmente. Segunda.- Participacion de la Comision de Reglamentos Tecnicos y Comerciales en la evaluacion de servicios de certificacion no acreditados.- La Comision de Reglamentos Tecnicos y Comerciales solo respalda la competencia tecnica de las entidades acreditadas, y la confiabilidad de los servicios prestados por ellas en el MORDAZA de la Ley y el Reglamento. Excepcionalmente, para efecto de lo dispuesto en los articulos 6º y 7º del Reglamento, la Comision de Reglamentos Tecnicos y Comerciales podra evaluar firmas digitales emitidas fuera de la Infraestructura Oficial de Firma Digital a solicitud de las autoridades judiciales o administrativas ante las cuales se hayan presentado documentos asi firmados como medios de prueba. Tercera.- Imparcialidad de los servicios de certificacion y de verificacion/registro acreditados.- En cumplimiento con los literales a) y h) del Articulo 36º del Reglamento, se precisa que los servicios de certificacion y de verificacion/registro son servicios de tercera parte y deben ser prestados en condiciones de transparencia, guardando imparcialidad con respecto a las partes que solicitan y usan sus servicios. Los servicios acreditados no pueden ser prestados a personas con las cuales la entidad acreditada mantenga vinculacion economica. Para calificar la existencia de dicha vinculacion se deben considerar los conceptos de propiedad indirecta, vinculacion y grupo economico de la Comision Nacional de Empresas y Valores - CONASEV. Cuarta.- Procedimiento de Acreditacion.- Para efecto de la aplicacion del articulo 41 del Reglamento el procedimiento de acreditacion no podra exceder los 120 dias utiles. Los plazos de cada una de las etapas de evaluacion previstas a lo largo del procedimiento, son las que a continuacion se senalan: a) Admision: 10 dias utiles. b) Evaluacion documentaria: 20 dias utiles c) Subsanacion de observaciones: 30 dias utiles d) Evaluacion de campo: 20 dias utiles e) Subsanacion de observaciones: 10 dias utiles Quinta.- Solucion de Reclamos por parte de las entidades acreditadas.- De conformidad con la MORDAZA Disposicion Final del Reglamento, las entidades acreditadas deben contar con procedimientos de atencion de reclamos cuyos terminos deben ser parte de la informacion prestada a sus clientes. Estos procedimientos no constituyen instancia administrativa por lo que sus plazos de evaluacion deben ser breves y no deben exceder de 10 dias utiles para su atencion. Sexta.- Supervision de Entidades Acreditadas.- De acuerdo a los articulos 46º y 50º del Reglamento, las entidades acreditadas estan obligadas a mantener las condiciones que sustentan la acreditacion otorgada y a adecuarse a las disposiciones que establezca la Comision de Re-

glamentos Tecnicos y Comerciales. El incumplimiento de dichas obligaciones puede motivar la suspension o revocacion de la acreditacion otorgada. Tratandose de la contravencion de las obligaciones de imparcialidad y transparencia procede la revocacion de la acreditacion. Considerando que los servicios de certificacion acreditados estan referidos a aspectos de seguridad en materia de comercio electronico, con un intenso grado de innovacion, la acreditacion otorgada esta sujeta a auditoria de seguimiento anuales para verificar el mantenimiento de los niveles de seguridad inicialmente acreditados. Cuando se observen cambios en la estructura o en los procedimientos, asi como deficiencias en la infraestructura y recursos inicialmente presentados por las entidades acreditadas, la Comision de Reglamentos Tecnicos y Comerciales podra disponer la realizacion de evaluaciones para determinar las implicancias de dichos cambios y en el caso de deficiencias, la suspension de la acreditacion hasta que estas MORDAZA superadas, como una medida preventiva destinada a garantizar la confiabilidad de los servicios acreditado. Setima.- Clase de Certificados comprendidos en la IOFD.- De acuerdo al articulo 16º del Reglamento, los certificados digitales comprendidos dentro de la Infraestructura Oficial de Firmas Digitales son aquellos que permiten la generacion de firmas para la identificacion de una persona natural, previa verificacion presencial de su identidad, o en su defecto para personas juridicas a traves de agentes automatizados. Las entidades acreditadas deben garantizar el nivel de seguridad requerido al interior de IOFD frente al desarrollo de nuevas tecnologias o aplicaciones que puedan afectar los niveles de seguridad que garantizan la autenticacion o vinculacion del titular de la firma digital con el documento suscrito digitalmente. Octava.- Requisitos de orden tecnico que deben observar las Entidades de Certificacion.- Para efectos del cumplimiento de los requisitos previstos en el articulo 11º del Reglamento, las entidades de certificacion deben contar o tener acceso al uso de soluciones e infraestructura que soporten las politicas tecnicas futuras, que defina la Comision de Reglamentos Tecnicos y Comerciales, asi como los requisitos que se detallan a continuacion que deben ser implementados en el pais: a) Dominios de confianza en el MORDAZA, que permitan verificar los sistemas en que se soporta la prestacion de los servicios de certificacion digital. b) Politica de Confidencialidad, que asegure a los clientes del servicio de certificacion que la informacion alcanzada para obtencion de un certificado Digital no sera empleada por la entidad de certificacion para otros fines, ni divulgada sin que medie requerimiento de una autoridad judicial o administrativa debidamente motivada. c) Politicas de Integridad, Autenticacion y No repudio, para ello deberan contar con los procedimientos y mecanismos necesarios fijados en la Ley y el Reglamento. d) Politicas y Normas de Monitoreo, Reporte y Auditoria de los servicios de PKI, deberan contar con un documento detallado sobre sus politicas de Seguridad y Disponibilidad de los servicios brindados. e) Contar con un repositorio que contenga los certificados emitidos garantizando su conservacion por un periodo minimo de 10 anos. 1. Requisitos de Funcionalidad. Las entidades de certificacion deben adoptar el estandar ISO X 509 en su version actualizada u otro estandar compatible a este como base de los servicios de certificacion digital. Asimismo deben contar con los siguientes requisitos: 1.1. Politicas y procedimientos para la administracion del ciclo de MORDAZA de las claves, las mismas que deberan involucrar: a) Politicas y Normas de recuperacion de las claves. b) Politicas y Normas de generacion de las claves. c) Politicas y Normas de distribucion, revocacion, suspension, repudio y archivo (almacenamiento) de las claves. Tratandose de revocacion de certificados estas politicas deben propiciar que la cancelacion del certificado se realice en forma automatica.

Deseo borrar mis datos personales que aparecen en esta página.