TEXTO PAGINA: 9
NORMAS LEGALES El Peruano Lima, sábado 19 de julio de 2008 376395 Reglamento. Caso contrario, dichos certifi cados no gozarán del amparo de la Infraestructura Ofi cial de Firma Electrónica. d) Adicionalmente a las anteriores funciones, realizará las señaladas en los artículos 29º y 33º del presente Reglamento, en caso opten por asumir las funciones de Entidad de Registro o Verifi cación, o de Prestador de Servicios de Valor Añadido, respectivamente. Artículo 26º.- De las obligaciones Las Entidades de Certifi cación registradas tienen las siguientes obligaciones: a) Cumplir con los requerimientos de la Autoridad Administrativa Competente en lo referente a la Política de Certifi cación, Declaración de Prácticas de Certifi cación, Política de Seguridad, Política de Privacidad y Plan de Privacidad. Estos documentos deberán ser aprobados por la Autoridad Administrativa Competente dentro del procedimiento de acreditación. b) Informar a los usuarios de todas las condiciones de emisión y de uso de sus certifi cados digitales, incluyendo las referidas a la cancelación de éstos. c) Mantener el control y la reserva de la clave privada que emplea para fi rmar digitalmente los certifi cados digitales que emite. Mantener la debida diligencia y cuidado respecto a la clave privada de la Entidad de Certifi cación, estando en la obligación de comunicar inmediatamente a la Autoridad Administrativa Competente cualquier potencial o real compromiso de la clave privada. d) Mantener depósito de los certifi cados digitales emitidos y cancelados, consignando su fecha de emisión y vigencia. No almacenar las claves privadas de los usuarios fi nales a menos que correspondan a certifi cados cuyo uso se limite al cifrado de datos. e) Cancelar el certifi cado digital al suscitarse alguna de las causales establecidas en el artículo 17º del presente Reglamento. Las causales y condiciones bajo las cuales deba efectuarse la cancelación del certifi cado deben ser estipuladas en los contratos de los titulares y suscriptores. f) Mantener la confi dencialidad de la información relativa a los titulares y suscriptores de certifi cados digitales limitando su empleo a las necesidades propias del servicio de certifi cación, salvo orden judicial o pedido del titular o suscriptor del certifi cado digital (según sea el caso) realizado mediante un mecanismo que garantice el no repudio, debiendo respetar para tales efectos los lineamientos establecidos por la Autoridad Administrativa Competente y contenidos en la Norma Marco sobre Privacidad. g) Mantener la información relativa a los certifi cados digitales, por un período mínimo de diez (10) años a partir de su cancelación. h) Cumplir los términos bajo los cuales obtuvo la acreditación, así como los requerimientos adicionales que establezca la Autoridad Administrativa Competente conforme a lo establecido en el Reglamento. i) Informar y solicitar autorización a la Autoridad Administrativa Competente respecto de acuerdos de certifi cación cruzada que proyecte celebrar, así como los términos bajo los cuales dichos acuerdos se suscribirían. j) Informar y solicitar autorización a la Autoridad Administrativa Competente para efectos del reconocimiento de certifi cados emitidos por entidades extranjeras. k) Cumplir con las disposiciones de la Autoridad Administrativa Competente a que se refi ere el artículo 27º del presente Reglamento. l) Brindar todas las facilidades al personal autorizado por la Autoridad Administrativa Competente para efectos de supervisión y auditoría. m) Demostrar que los controles técnicos que emplea son adecuados y efectivos a través de la verifi cación independiente del cumplimiento de los requisitos especifi cados en el estándar WebTrust for Certifi cation Authorities y la obtención del sello de Webtrust. n) Acreditar domicilio en el país. Estas obligaciones podrán ser precisadas por la Autoridad Administrativa Competente, a excepción de las que señale expresamente la Ley. Artículo 27º.- De la responsabilidad por riesgos Para operar en el marco de la Infraestructura Ofi cial de Firma Electrónica y afrontar los riesgos que puedan surgir como resultado de sus actividades de certifi cación, las Entidades de Certifi cación acreditadas o reconocidas, de acuerdo a los niveles de seguridad establecidos, deberán cumplir con mantener vigente la contratación de seguros o garantías bancarias que respalden sus certifi cados, así como con informar a los usuarios los montos contratados a tal efecto. La Autoridad Administrativa Competente establecerá la cuantía mínima de las pólizas de seguros o garantías bancarias, así como las medidas tecnológicas correspondientes al nivel de seguridad respectivo. Asimismo, la Autoridad Administrativa Competente determinará los criterios para evaluar el cumplimiento de este requisito. Artículo 28º.- Del cese de operaciones La Entidad de Certifi cación cesa sus operaciones en el marco de la Infraestructura Ofi cial de Firma Electrónica, en los siguientes casos: a) Por decisión unilateral comunicada a la Autoridad Administrativa Competente, asumiendo la responsabilidad del caso por dicha decisión. b) Por extinción de su personería jurídica. c) Por cancelación de su registro.d) Por sentencia judicial.e) Por liquidación, decidida por la junta de acreedores en el marco de la legislación concursal, o resolución judicial de quiebra. f) Por decisión debidamente sustentada de la Autoridad Administrativa Competente frente al incumplimiento de los requerimientos exigidos en sus Reglamentos Específi cos y Guías de Acreditación, observado en el proceso de evaluación técnica anual a que se refi ere el artículo 71º del presente Reglamento. Para los supuestos contemplados en los incisos a) y b) la Entidad de Certifi cación tiene un plazo de treinta (30) días calendario para notifi car el cese de sus operaciones tanto a la Autoridad Administrativa Competente como a los titulares de los certifi cados digitales que hubiera emitido. En tales supuestos, la Autoridad Administrativa Competente deberá adoptar las medidas necesarias para preservar las obligaciones contenidas en los incisos c), g) y h) del artículo 26º del presente Reglamento. La Autoridad Administrativa Competente establecerá los procedimientos para hacer público el cese de operaciones de las entidades de certifi cación. Los certifi cados digitales emitidos por una Entidad de Certifi cación cuyas operaciones han cesado deben ser cancelados a partir del día, hora, minuto y segundo en que se aplica el cese. SECCIÓN II DE LAS ENTIDADES DE REGISTRO O VERIFICACIÓN Artículo 29º.- De las funciones Las Entidades de Registro o Verifi cación tienen las siguientes funciones: a) Identifi car a los titulares y/o suscriptores del certifi cado digital mediante el levantamiento de datos y la comprobación de la información brindada por aquél. b) Aprobar y/o denegar, según sea el caso, las solicitudes de emisión, modifi cación, re-emisión, suspensión o cancelación de certifi cados digitales, comunicándolo a la respectiva Entidad de Certifi cación, según se encuentre estipulado en la correspondiente Declaración de Prácticas de Certifi cación. Artículo 30º.- De las obligaciones Las Entidades de Registro o Verifi cación acreditadas tienen las siguientes obligaciones: a) Cumplir con los requerimientos de la Autoridad Administrativa Competente respecto de la Política de Registro o Verifi cación, Declaración de Prácticas de Registro o V erificación, Política de Seguridad y Política y Plan de Privacidad. Estos documentos deberán ser aprobados por la Autoridad Administrativa Competente dentro del procedimiento de acreditación. b) Determinar objetivamente y en forma directa la veracidad de la información proporcionada por los solicitantes del certifi cado digital, bajo su responsabilidad. c) Mantener la confi dencialidad de la información relativa a los suscriptores y titulares de certifi cados digitales, limitando su empleo a las necesidades propias del servicio de registro o verifi cación, salvo orden judicial o pedido del titular o suscriptor del certifi cado digital, según sea el caso, realizado mediante un mecanismo que garantice Descargado desde www.elperuano.com.pe