TEXTO PAGINA: 40
/G50/GE1/G67/G2E/G20 /G32/G35/G34/G34/G35/G30 /G4E/G4F/G52/G4D/G41/G53/G20/G4C/G45/G47/G41/G4C/G45/G53 Lima, miércoles 5 de noviembre de 2003 Con la intervención de los señores miembros: Fabián Novak, Augusto Ruiloba, Jorge Danós, y José Dajes. FABIAN NOVAK TALAVERA Presidente de la Comisión de Reglamentos Técnicos y Comerciales DISPOSICIONES COMPLEMENTARIAS AL REGLAMENTO DE LA LEY DE FIRMAS Y CERTIFICADOS DIGITALES Primera.- Naturaleza de la Acreditación Otorgada por la AAC. De conformidad con los artículos 1, 2 y 42 del Reglamento, la acreditación de Entidades de Certificación y Entidades de Registro/Verificación, tiene por finalidadreconocer la confiabilidad de los servicios de certificación digital que se prestan en el mercado, evaluando para tal efecto las políticas y procedimientos de certificación apli-cadas, en especial los procedimientos para la verificación y registro de identidad de los solicitantes, a cargo de Enti- dades de Registro/Verificación, la atención de reclamos yla actualización de mecanismos de seguridad frente al de- sarrollo de nuevas tecnologías o aplicaciones que puedan afectar los niveles de seguridad que garantizan la autenti-cación o vinculación del titular de la firma digital con el do- cumento suscrito digitalmente. Segunda.- Participación de la Comisión de Regla- mentos Técnicos y Comerciales en la evaluación de ser- vicios de certificación no acreditados.- La Comisión de Reglamentos Técnicos y Comerciales solo respalda la com- petencia técnica de las entidades acreditadas, y la confia- bilidad de los servicios prestados por ellas en el marco dela Ley y el Reglamento. Excepcionalmente, para efecto de lo dispuesto en los artículos 6º y 7º del Reglamento, la Co- misión de Reglamentos Técnicos y Comerciales podrá eva-luar firmas digitales emitidas fuera de la Infraestructura Oficial de Firma Digital a solicitud de las autoridades judi- ciales o administrativas ante las cuales se hayan presen-tado documentos así firmados como medios de prueba. Tercera.- Imparcialidad de los servicios de certifi- cación y de verificación/registro acreditados.- En cum- plimiento con los literales a) y h) del Artículo 36º del Regla- mento, se precisa que los servicios de certificación y deverificación/registro son servicios de tercera parte y de- ben ser prestados en condiciones de transparencia, guar- dando imparcialidad con respecto a las partes que solici-tan y usan sus servicios. Los servicios acreditados no pueden ser prestados a personas con las cuales la entidad acreditada mantengavinculación económica. Para calificar la existencia de di- cha vinculación se deben considerar los conceptos de pro- piedad indirecta, vinculación y grupo económico de la Co-misión Nacional de Empresas y Valores - CONASEV. Cuarta.- Procedimiento de Acreditación.- Para efec- to de la aplicación del artículo 41 del Reglamento el proce- dimiento de acreditación no podrá exceder los 120 días útiles. Los plazos de cada una de las etapas de evaluaciónprevistas a lo largo del procedimiento, son las que a conti- nuación se señalan: a) Admisión: 10 días útiles. b) Evaluación documentaria: 20 días útiles c) Subsanación de observaciones: 30 días útilesd) Evaluación de campo: 20 días útiles e) Subsanación de observaciones: 10 días útiles Quinta.- Solución de Reclamos por parte de las en- tidades acreditadas.- De conformidad con la segunda Dis- posición Final del Reglamento, las entidades acreditadasdeben contar con procedimientos de atención de reclamos cuyos términos deben ser parte de la información presta- da a sus clientes. Estos procedimientos no constituyen ins-tancia administrativa por lo que sus plazos de evaluación deben ser breves y no deben exceder de 10 días útiles para su atención. Sexta.- Supervisión de Entidades Acreditadas.- De acuerdo a los artículos 46º y 50º del Reglamento, las enti-dades acreditadas están obligadas a mantener las condi- ciones que sustentan la acreditación otorgada y a adecuar- se a las disposiciones que establezca la Comisión de Re-glamentos Técnicos y Comerciales. El incumplimiento de dichas obligaciones puede motivar la suspensión o revo- cación de la acreditación otorgada. Tratándose de la con- travención de las obligaciones de imparcialidad y transpa-rencia procede la revocación de la acreditación. Considerando que los servicios de certificación acredi- tados están referidos a aspectos de seguridad en materiade comercio electrónico, con un intenso grado de innova- ción, la acreditación otorgada está sujeta a auditoría de seguimiento anuales para verificar el mantenimiento de losniveles de seguridad inicialmente acreditados. Cuando se observen cambios en la estructura o en los procedimientos, así como deficiencias en la infraestructu-ra y recursos inicialmente presentados por las entidades acreditadas, la Comisión de Reglamentos Técnicos y Co- merciales podrá disponer la realización de evaluacionespara determinar las implicancias de dichos cambios y en el caso de deficiencias, la suspensión de la acreditación hasta que éstas sean superadas, como una medida pre-ventiva destinada a garantizar la confiabilidad de los servi- cios acreditado. Sétima.- Clase de Certificados comprendidos en la IOFD.- De acuerdo al artículo 16º del Reglamento, los cer- tificados digitales comprendidos dentro de la Infraestructu-ra Oficial de Firmas Digitales son aquellos que permiten la generación de firmas para la identificación de una persona natural, previa verificación presencial de su identidad, o ensu defecto para personas jurídicas a través de agentes automatizados. Las entidades acreditadas deben garantizar el nivel de seguridad requerido al interior de IOFD frente al desarrollo de nuevas tecnologías o aplicaciones que puedan afectar los niveles de seguridad que garantizan la autenticación ovinculación del titular de la firma digital con el documento suscrito digitalmente. Octava.- Requisitos de orden técnico que deben ob- servar las Entidades de Certificación.- Para efectos del cumplimiento de los requisitos previstos en el artículo 11ºdel Reglamento, las entidades de certificación deben con- tar o tener acceso al uso de soluciones e infraestructura que soporten las políticas técnicas futuras, que defina laComisión de Reglamentos Técnicos y Comerciales, así como los requisitos que se detallan a continuación que deben ser implementados en el país: a) Dominios de confianza en el país, que permitan veri- ficar los sistemas en que se soporta la prestación de losservicios de certificación digital. b) Política de Confidencialidad, que asegure a los clien- tes del servicio de certificación que la información alcan-zada para obtención de un certificado Digital no será em- pleada por la entidad de certificación para otros fines, ni divulgada sin que medie requerimiento de una autoridadjudicial o administrativa debidamente motivada. c) Políticas de Integridad, Autenticación y No repu- dio, para ello deberán contar con los procedimientos ymecanismos necesarios fijados en la Ley y el Regla- mento. d) Políticas y Normas de Monitoreo, Reporte y Audito- ría de los servicios de PKI, deberán contar con un docu- mento detallado sobre sus políticas de Seguridad y Dispo- nibilidad de los servicios brindados. e) Contar con un repositorio que contenga los certifica- dos emitidos garantizando su conservación por un período mínimo de 10 años. 1. Requisitos de Funcionalidad. Las entidades de certificación deben adoptar el estándar ISO X 509 en suversión actualizada u otro estándar compatible a éste como base de los servicios de certificación digital. Asimismo deben contar con los siguientes requisitos: 1.1. Políticas y procedimientos para la administración del ciclo de vida de las claves, las mismas que deberáninvolucrar: a) Políticas y Normas de recuperación de las claves. b) Políticas y Normas de generación de las claves. c) Políticas y Normas de distribución, revocación, sus- pensión, repudio y archivo (almacenamiento) de las cla-ves. Tratándose de revocación de certificados estas políti- cas deben propiciar que la cancelación del certificado se realice en forma automática.