TEXTO PAGINA: 9
584391 NORMAS LEGALES Viernes 29 de abril de 2016 El Peruano / Funciones del Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual - INDECOPI. Las sanciones a aplicar son determinadas por la Autoridad Administrativa Competente en el marco de la Decisión Andina 562 dada la naturaleza de reglamento técnico de la presente norma. La Autoridad Administrativa Competente debe aplicar el Reglamento de infracciones y sanciones a que se refi ere el inciso r) del artículo 57 de este Reglamento a efectos de regular el procedimiento administrativo sancionador a ser seguido en caso de incumplimiento o infracción al presente Reglamento, las Guías de Acreditación de los Prestadores de Servicios de Certifi cación Digital y demás disposiciones vinculadas a la Infraestructura Ofi cial de Firma Electrónica; asimismo, debe fi scalizar el cumplimiento de lo establecido en las Políticas de Certifi cación, de Registro o Verifi cación y de Valor Añadido, las Declaraciones de Prácticas de Certifi cación, de Registro o Verifi cación y de Valor Añadido, las Políticas de Seguridad y las Políticas y Planes de Privacidad” “DISPOSICIONES COMPLEMENTARIAS FINALES (…) Décimo Primera.- De la contratación de seguros o garantías bancarias A fi n de fomentar el registro de los Prestadores de Servicios de Certifi cación Digital ante la Autoridad Administrativa Competente, como presupuesto indispensable para la efectiva operación de la infraestructura Ofi cial de Firma Electrónica y el desarrollo de las transacciones de Gobierno y Comercio electrónico seguras, exonérese a los Prestadores de Servicios de Certifi cación Digital, hasta el 31 de diciembre de 2016, de la contratación de seguros o garantías bancarias previstas en los artículos 27, 31 y 38 del presente Reglamento; sin perjuicio de aquellos que opten voluntariamente por el cumplimiento de dichos requerimientos.” “Décima Cuarta Disposición Complementaria Final.- Glosario de Términos (…) Declaración de Prácticas de Valor Añadido.- Documento ofi cialmente presentado por un Prestador de Servicios de Valor Añadido a la Autoridad Administrativa Competente, mediante el cual defi ne las prácticas y procedimientos que emplea en la prestación de sus servicios.” Segunda: Incorporación de un segundo párrafo en el artículo 23; del inciso “o” en el artículo 26; de un segundo párrafo en el artículo 34; del tercer párrafo en el artículo 45 y el artículo 58-A al Reglamento de la Ley Nº 27269, Ley de Firmas y Certifi cados Digitales, aprobado por Decreto Supremo Nº 052-2008-PCM. Incorpórese el segundo párrafo en el artículo 23; el inciso “o” en el artículo 26; un segundo párrafo en el artículo 34; un tercer párrafo en el artículo 45 y el artículo 58-A en el Reglamento de la Ley Nº 27269, Ley de Firmas y Certifi cados Digitales, aprobado por Decreto Supremo Nº 052-2008-PCM, conforme a los siguientes textos: “Artículo 23.- De las modalidades Los Prestadores de Servicios de Certifi cación Digital (PSC) pueden adoptar cualquiera de las modalidades siguientes: a) Entidad de Certifi cación. b) Entidad de Registro o Verifi cación. c) Prestador de Servicios de Valor Añadido. Cuando la evolución tecnológica lo haga necesario, la AAC puede proponer las modifi caciones que corresponda al Reglamento de la Ley Nº 27269, Ley de Firmas y Certifi cados Digitales, aprobado por Decreto Supremo Nº 052-2008-PCM, a fi n de establecer modalidades adicionales para los Prestadores de Servicios de Certifi cación Digital, en base a estándares técnicos internacionales; servicios que contarán con la presunción de no repudio para las transacciones realizadas por los usuarios de dichos servicios. De conformidad con lo establecido en la Ley, resulta factible que una misma Entidad preste sus servicios en más de una de las modalidades establecidas anteriormente. No obstante, deberá contar con una acreditación independiente y particular para cada una de las modalidades de prestación de servicios de certifi cación que decida adoptar, a efectos de formar parte de la Infraestructura Ofi cial de Firma Electrónica.” “Artículo 26.- De las obligaciones Las Entidades de Certifi cación registradas tienen las siguientes obligaciones: a) Cumplir con los requerimientos de la Autoridad Administrativa Competente en lo referente a la Política de Certificación, Declaración de Prácticas de Certifi cación, Política de Seguridad, Política de Privacidad y Plan de Privacidad. Estos documentos deberán ser aprobados por la Autoridad Administrativa Competente dentro del procedimiento de acreditación. b) Informar a los usuarios de todas las condiciones de emisión y de uso de sus certifi cados digitales, incluyendo las referidas a la cancelación de éstos. c) Mantener el control y la reserva de la clave privada que emplea para fi rmar digitalmente los certifi cados digitales que emite. Mantener la debida diligencia y cuidado respecto a la clave privada de la Entidad de Certifi cación, estando en la obligación de comunicar inmediatamente a la Autoridad Administrativa Competente cualquier potencial o real compromiso de la clave privada. d) Mantener depósito de los certifi cados digitales emitidos y cancelados, consignando su fecha de emisión y vigencia. No almacenar las claves privadas de los usuarios fi nales a menos que correspondan a certifi cados cuyo uso se limite al cifrado de datos. e) Cancelar el certifi cado digital al suscitarse alguna de las causales establecidas en el artículo 17 del presente Reglamento. Las causales y condiciones bajo las cuales deba efectuarse la cancelación del certifi cado deben ser estipuladas en los contratos de los titulares y suscriptores. f) Mantener la confi dencialidad de la información relativa a los titulares y suscriptores de certifi cados digitales limitando su empleo a las necesidades propias del servicio de certifi cación, salvo orden judicial o pedido del titular o suscriptor del certifi cado digital (según sea el caso) realizado mediante un mecanismo que garantice el no repudio, debiendo respetar para tales efectos los lineamientos establecidos por la Autoridad Administrativa Competente y contenidos en la Norma Marco sobre Privacidad. g) Mantener la información relativa a los certifi cados digitales, por un período mínimo de diez (10) años a partir de su cancelación. h) Cumplir los términos bajo los cuales obtuvo la acreditación, así como los requerimientos adicionales que establezca la Autoridad Administrativa Competente conforme a lo establecido en el Reglamento. i) Informar y solicitar autorización a la Autoridad Administrativa Competente respecto de acuerdos de certifi cación cruzada que proyecte celebrar, así como los términos bajo los cuales dichos acuerdos se suscribirían. j) Informar y solicitar autorización a la Autoridad Administrativa Competente para efectos del reconocimiento de certifi cados emitidos por entidades extranjeras. k) Cumplir con las disposiciones de la Autoridad Administrativa Competente a que se refi ere el artículo 27 del presente Reglamento. l) Brindar todas las facilidades al personal autorizado por la Autoridad Administrativa Competente para efectos de supervisión y auditoría. m) Demostrar que los controles técnicos que emplea son adecuados y efectivos a través de la verifi cación independiente del cumplimiento de los requisitos especifi cados en los estándares técnicos o sellos de confi anza vigentes e internacionalmente reconocidos que