Norma Legal Oficial del día 19 de julio del año 2008 (19/07/2008)
Si dese vizualizar el documento entero como pdf click aqui.
TEXTO DE LA PÁGINA 9
El Peruano MORDAZA, sabado 19 de MORDAZA de 2008
NORMAS LEGALES
Descargado desde www.elperuano.com.pe
376395
Reglamento. Caso contrario, dichos certificados no gozaran del MORDAZA de la Infraestructura Oficial de Firma Electronica. d) Adicionalmente a las anteriores funciones, realizara las senaladas en los articulos 29º y 33º del presente Reglamento, en caso opten por asumir las funciones de Entidad de Registro o Verificacion, o de Prestador de Servicios de Valor Anadido, respectivamente. Articulo 26º.- De las obligaciones Las Entidades de Certificacion registradas tienen las siguientes obligaciones:
vigente la contratacion de seguros o garantias bancarias que respalden sus certificados, asi como con informar a los usuarios los montos contratados a tal efecto. La Autoridad Administrativa Competente establecera la cuantia minima de las polizas de seguros o garantias bancarias, asi como las medidas tecnologicas correspondientes al nivel de seguridad respectivo. Asimismo, la Autoridad Administrativa Competente determinara los criterios para evaluar el cumplimiento de este requisito. Articulo 28º.- Del cese de operaciones La Entidad de Certificacion cesa sus operaciones en el MORDAZA de la Infraestructura Oficial de Firma Electronica, en los siguientes casos: a) Por decision unilateral comunicada a la Autoridad Administrativa Competente, asumiendo la responsabilidad del caso por dicha decision. b) Por extincion de su personeria juridica. c) Por cancelacion de su registro. d) Por sentencia judicial. e) Por liquidacion, decidida por la junta de acreedores en el MORDAZA de la legislacion concursal, o resolucion judicial de quiebra. f) Por decision debidamente sustentada de la Autoridad Administrativa Competente frente al incumplimiento de los requerimientos exigidos en sus Reglamentos Especificos y Guias de Acreditacion, observado en el MORDAZA de evaluacion tecnica anual a que se refiere el articulo 71º del presente Reglamento. Para los supuestos contemplados en los incisos a) y b) la Entidad de Certificacion tiene un plazo de treinta (30) dias calendario para notificar el cese de sus operaciones tanto a la Autoridad Administrativa Competente como a los titulares de los certificados digitales que hubiera emitido. En tales supuestos, la Autoridad Administrativa Competente debera adoptar las medidas necesarias para preservar las obligaciones contenidas en los incisos c), g) y h) del articulo 26º del presente Reglamento. La Autoridad Administrativa Competente establecera los procedimientos para hacer publico el cese de operaciones de las entidades de certificacion. Los certificados digitales emitidos por una Entidad de Certificacion cuyas operaciones han cesado deben ser cancelados a partir del dia, hora, minuto y MORDAZA en que se aplica el cese. SECCION II DE LAS ENTIDADES DE REGISTRO O VERIFICACION Articulo 29º.- De las funciones Las Entidades de Registro o Verificacion tienen las siguientes funciones: a) Identificar a los titulares y/o suscriptores del certificado digital mediante el levantamiento de datos y la comprobacion de la informacion brindada por aquel. b) Aprobar y/o denegar, segun sea el caso, las solicitudes de emision, modificacion, re-emision, suspension o cancelacion de certificados digitales, comunicandolo a la respectiva Entidad de Certificacion, segun se encuentre estipulado en la correspondiente Declaracion de Practicas de Certificacion. Articulo 30º.- De las obligaciones Las Entidades de Registro o Verificacion acreditadas tienen las siguientes obligaciones: a) Cumplir con los requerimientos de la Autoridad Administrativa Competente respecto de la Politica de Registro o Verificacion, Declaracion de Practicas de Registro o Verificacion, Politica de Seguridad y Politica y Plan de Privacidad. Estos documentos deberan ser aprobados por la Autoridad Administrativa Competente dentro del procedimiento de acreditacion. b) Determinar objetivamente y en forma directa la veracidad de la informacion proporcionada por los solicitantes del certificado digital, bajo su responsabilidad. c) Mantener la confidencialidad de la informacion relativa a los suscriptores y titulares de certificados digitales, limitando su empleo a las necesidades propias del servicio de registro o verificacion, salvo orden judicial o pedido del titular o suscriptor del certificado digital, segun sea el caso, realizado mediante un mecanismo que garantice
a) Cumplir con los requerimientos de la Autoridad Administrativa Competente en lo referente a la Politica de Certificacion, Declaracion de Practicas de Certificacion, Politica de Seguridad, Politica de Privacidad y Plan de Privacidad. Estos documentos deberan ser aprobados por la Autoridad Administrativa Competente dentro del procedimiento de acreditacion. b) Informar a los usuarios de todas las condiciones de emision y de uso de sus certificados digitales, incluyendo las referidas a la cancelacion de estos. c) Mantener el control y la reserva de la clave privada que emplea para firmar digitalmente los certificados digitales que emite. Mantener la debida diligencia y cuidado respecto a la clave privada de la Entidad de Certificacion, estando en la obligacion de comunicar inmediatamente a la Autoridad Administrativa Competente cualquier potencial o real compromiso de la clave privada. d) Mantener deposito de los certificados digitales emitidos y cancelados, consignando su fecha de emision y vigencia. No almacenar las claves privadas de los usuarios finales a menos que correspondan a certificados cuyo uso se limite al cifrado de datos. e) Cancelar el certificado digital al suscitarse alguna de las causales establecidas en el articulo 17º del presente Reglamento. Las causales y condiciones bajo las cuales deba efectuarse la cancelacion del certificado deben ser estipuladas en los contratos de los titulares y suscriptores. f) Mantener la confidencialidad de la informacion relativa a los titulares y suscriptores de certificados digitales limitando su empleo a las necesidades propias del servicio de certificacion, salvo orden judicial o pedido del titular o suscriptor del certificado digital (segun sea el caso) realizado mediante un mecanismo que garantice el no repudio, debiendo respetar para tales efectos los lineamientos establecidos por la Autoridad Administrativa Competente y contenidos en la MORDAZA MORDAZA sobre Privacidad. g) Mantener la informacion relativa a los certificados digitales, por un periodo minimo de diez (10) anos a partir de su cancelacion. h) Cumplir los terminos bajo los cuales obtuvo la acreditacion, asi como los requerimientos adicionales que establezca la Autoridad Administrativa Competente conforme a lo establecido en el Reglamento. i) Informar y solicitar autorizacion a la Autoridad Administrativa Competente respecto de acuerdos de certificacion cruzada que proyecte celebrar, asi como los terminos bajo los cuales dichos acuerdos se suscribirian. j) Informar y solicitar autorizacion a la Autoridad Administrativa Competente para efectos del reconocimiento de certificados emitidos por entidades extranjeras. k) Cumplir con las disposiciones de la Autoridad Administrativa Competente a que se refiere el articulo 27º del presente Reglamento. l) Brindar todas las facilidades al personal autorizado por la Autoridad Administrativa Competente para efectos de supervision y auditoria. m) Demostrar que los controles tecnicos que emplea son adecuados y efectivos a traves de la verificacion independiente del cumplimiento de los requisitos especificados en el estandar WebTrust for Certification Authorities y la obtencion del sello de Webtrust. n) Acreditar domicilio en el pais. Estas obligaciones podran ser precisadas por la Autoridad Administrativa Competente, a excepcion de las que senale expresamente la Ley.
Articulo 27º.- De la responsabilidad por riesgos Para operar en el MORDAZA de la Infraestructura Oficial de Firma Electronica y afrontar los riesgos que puedan surgir como resultado de sus actividades de certificacion, las Entidades de Certificacion acreditadas o reconocidas, de acuerdo a los niveles de seguridad establecidos, deberan cumplir con mantener