HFD> Derecho
Informático - Internet > Legislación y Proyectos
Extranjeros
Resolución 26930 del
26 de Octubre de 2000 de la Superintendencia de Industria
y Comercio del Ministerio de Desarrollo Económico de
la República de Colombia
"Por la cual se fijan
los estándares para la autorización y funcionamiento
de las entidades de certificación y sus auditores"
EL SUPERINTENDENTE
DE INDUSTRIA Y COMERCIO
en uso de las facultades legales, en especial las conferidas
en los artículos 29, 34, 41 y 42 de la ley 527 de 1999
y los decretos 2153 de 1992, 2269 de 1993 y 1747 de 2000,
y
CONSIDERANDO:
En los términos del artículo
41 de la ley 527 de 1999, se faculta a la Superintendencia
de Industria y Comercio para autorizar la actividad de las
entidades de certificación en el territorio nacional,
así como velar por su funcionamiento y la prestación
eficiente del servicio.
En el numeral 11 del artículo 41 de
la ley 527 de 1999 y en el 21 del artículo 2 del decreto
2153 de 1992, se faculta a la Superintendencia de Industria
y Comercio para impartir instrucciones sobre el adecuado cumplimiento
de las normas a las cuales deben sujetarse las entidades de
certificación.
En el artículo 34 de la ley 527 de
1999 se determina que la Superintendencia de Industria y Comercio
autorizará la cesación de actividades de las
entidades de certificación.
En el numeral 10 del artículo 2 del
decreto 2153 de 1992 y en el numeral 5 del artículo
41 de la ley 527 de 1999, se determina que la Superintendencia
de Industria y Comercio podrá solicitar a las personas
naturales o jurídicas el suministro de información,
datos, informes, libros y papeles de comercio que se requieran
para el correcto ejercicio de sus funciones.
RESUELVE:
CAPITULO I
Entidades de certificación cerradas
ARTICULO 1°.
Autorización de entidad de certificación cerrada.
La persona que solicite autorización como entidad de
certificación cerrada, según lo dispuesto en
numeral 8 del artículo 1 del decreto 1747 de 2000,
deberá demostrar el cumplimiento de las condiciones
establecidas en el artículo 29 de la ley 527 de 1999
y en los artículos 3 y 4 del decreto 1747 de 2000,
para lo cual deberá diligenciar el anexo 1 de esta
resolución y adjuntando la siguiente información:
Certificado de existencia y representación
legal, o copia de las normas que le otorgan la calidad de
representante legal de una entidad pública o de notario
o cónsul.
Un formato diligenciado del anexo 2 por cada
uno de los administradores o representantes legales.
ARTICULO 2°.
Cambio de servicios ofrecidos en entidad de certificación
cerrada. Cuando la entidad de certificación cerrada
pretenda ofrecer nuevos servicios como entidad de certificación
dentro del entorno cerrado, según lo dispuesto en el
numeral 8 del artículo 1 del decreto 1747 de 2000,
deberá solicitar autorización previa ante esta
Superintendencia, mediante el diligenciamiento del anexo 4.
ARTICULO 3°.
Remisión de información por cambio o actualización
de datos en entidad de certificación cerrada. De conformidad
con el artículo 21 del decreto 1747 de 2000, cuando
alguno de los datos de la entidad de certificación
cerrada que reposan en esta Superintendencia cambie, la entidad
de certificación deberá remitir la información
correspondiente al cambio, dentro de los 10 días posteriores
a la modificación.
En caso de modificación de la información
o inclusión de un representante legal o administrador,
el nuevo represente legal o administrador deberá diligenciar
el anexo 2 y remitirlo a esta Superintendencia.
ARTICULO 4°.
Información periódica de entidad de certificación
cerrada. La entidad de certificación cerrada deberá
almacenar la información de toda su actividad y enviar
a esta Superintendencia dentro de los 10 primeros días
del inicio de cada trimestre (enero-marzo, abril-junio, julio-septiembre,
octubre-diciembre), un archivo de texto según el anexo
5, con la siguiente información sobre la actividad
del trimestre inmediatamente anterior, discriminada mes a
mes:
Número de certificados emitidos, de
acuerdo con el tipo de certificados.
Número de certificados vigentes, de
acuerdo con el tipo de certificados.
Número de certificados revocados
ARTICULO 5°.
Cesación de actividades en la entidad de certificación
cerrada. Conforme lo dispuesto en el artículo 34 de
la ley 527 de 1999 y el artículo 19 del decreto 1747
de 2000, las entidades de certificación cerradas deberán
solicitar la autorización de cesación de una
o más actividades ante esta superintendencia diligenciando
el anexo 3
Una vez autorizada la cesación, la
entidad de certificación deberá concluir el
ejercicio de las actividades autorizadas para cesar, en la
forma y siguiendo el cronograma que para el efecto se señale.
ARTICULO 6°.
Publicidad de la entidad de certificación cerrada.
En cualquier publicidad o en cualquier medio en el cual la
entidad de certificación ofrezca los servicios deberá
indicar que cuenta con autorización de la Superintendencia
de Industria y Comercio para operar,
según el siguiente texto : "Entidad de certificación
cerrada autorizada por la Superintendencia de Industria y
Comercio".
CAPITULO II
Entidades de certificación abiertas
SECCIÓN I
Autorización
ARTICULO 7°.
Autorización de entidad de certificación abierta.
La persona que solicite autorización como entidad de
certificación abierta según lo dispuesto en
numeral 9 del artículo 1 del decreto 1747 de 2000,
deberá demostrar que la actividad está prevista
en el objeto social principal, el cumplimiento de las condiciones
establecidas en los artículos 29 de la ley 527 de 1999
y 5, 6, 7, 8, 9, 10, 11 del decreto 1747 de 2000 y los estándares,
planes y procedimientos de seguridad establecidos en la sección
V de esta resolución , diligenciando el anexo 1 y adjuntando
la siguiente información:
1. anexo 2 debidamente diligenciado por cada
uno de los administradores o representantes legales adjuntando:
Certificado judicial vigente o documento
equivalente proveniente del país o países donde
haya residido.
Copia del certificado de existencia y representación
legal, o copia de las normas que le otorgan la calidad de
representante legal de una entidad pública o de notario
o cónsul.
2. Copia del acto que le otorga la personería
jurídica, y copia de las normas que le otorgan la calidad
de representante legal de una entidad pública o de
notario o cónsul, o certificado de existencia y representación
legal. Cuando se trate de persona extranjera se deberá
acreditar el cumplimiento de lo señalado en el libro
II titulo XIII del código de comercio y el artículo
48 del código de procedimiento civil, según
lo dispuesto en el numeral 1 artículo 5 del decreto
1747 de 2000.
3. Informe de auditoría en los términos
del artículo 15 de esta resolución.
4. Estados financieros certificados con forme
a la ley y con una antigüedad no superior a seis meses,
según lo dispuesto en el numeral 1 del artículo
7 del decreto 1747 de 2000.
5. Copia del documento que acredite que se
han constituido las garantías de acuerdo a lo dispuesto
en el artículo 8 del decreto 1747 de 2000.
6. Documento con descripción detallada
de la infraestructura, procedimientos, recursos según
lo previsto en el artículo 9 del decreto 1747 de 2000.
El cumplimiento de los requisitos deberá acreditarse
según lo previsto en la sección V del capítulo
II de esta resolución.
En caso de que la infraestructura sea prestada
por un tercero, copia de los contratos o convenios con estos,
en idioma español.
7. Declaración de prácticas
de certificación, en adelante DPC.
SECCIÓN II
Cumplimiento requisitos permanentes
ARTICULO 8°.
Cambio de servicios ofrecidos en entidad de certificación
abierta. Cuando la entidad de certificación abierta
pretenda ofrecer nuevos servicios, deberá solicitar
autorización previa ante esta Superintendencia, mediante
el diligenciamiento del anexo 4, adjuntando el informe de
auditoría correspondiente al nuevo servicio.
ARTICULO 9°.
Remisión de información por cambio o actualización
de datos en entidad de certificación abierta. De conformidad
con el artículo 21 del decreto 1747 de 2000, cuando
alguno de los datos de la entidad de certificación
abierta que reposan en esta Superintendencia cambie, la entidad
de certificación deberá remitir la información
correspondiente al cambio, dentro de los 10 días posteriores
a la modificación.
En caso de modificación de la información
o inclusión de un representante legal o administrador,
el nuevo represente legal o administrador deberá diligenciar
el anexo 2 y remitirlo a esta Superintendencia adjuntando:
Certificado de Judicial vigente o documento
equivalente provenientes del país o países donde
haya residido
Certificado del órgano competente
de los países en que haya residido que certifique que
no ha sido excluido o suspendido por actos graves contra la
ética de la profesión
ARTICULO 10°.
Información periódica de entidad de certificación
abierta. La entidad de certificación abierta deberá
almacenar la información de toda su actividad y enviar
a esta Superintendencia dentro de los 10 primeros días
del inicio de cada trimestre (enero-marzo, abril-junio, julio-septiembre,
octubre-diciembre), un archivo de texto según el anexo
5, con la siguiente información sobre la actividad
del trimestre inmediatamente anterior, discriminada mes a
mes:
Número de certificados emitidos, de
acuerdo con el tipo de certificados.
Número de certificados vigentes, de
acuerdo con el tipo de certificados.
Número de certificados revocados
Compromisos adquiridos por cada tipo de certificado.
ARTICULO 11°.
Actualización anual de información de estados
financieros, garantías y e informe de auditoría.
La entidad de certificación abierta deberá remitir
a esta Superintendencia los estados financieros de fin ejercicio,
el informe de auditoría contemplado en el numeral 3
del artículo 7 de esta resolución, dentro de
los primeros 15 días corrientes de febrero de cada
año calendario.
ARTICULO 12°.
Suspensión programada del servicio. Durante cada año
calendario, las entidades de certificación podrán
cesar temporalmente sus actividades por un lapso máximo
de 3 días continuos o discontinuos, para mantenimiento
del sistema. Cualquier otra suspensión deberá
ser solicitada y aprobada por la Superintendencia de Industria
y Comercio, previa justificación.
La suspensión permitida deberá
informarse a los usuarios con por lo menos con 15 días
de antelación y constancia del aviso remitirse a esta
Entidad, a mas tardar el primer día de la suspensión.
ARTICULO 13°.
Publicidad de la entidad de certificación abierta.
En cualquier publicidad o en cualquier medio en el cual la
entidad de certificación ofrezca los servicios deberá
indicar que cuenta con autorización de la Superintendencia
de Industria y Comercio para operar,
según el siguiente texto : "Entidad de certificación
abierta autorizada por la Superintendencia de Industria y
Comercio".
SECCIÓN III
Firmas auditoras de entidades de certificación
ARTICULO 14°.
Firmas auditoras. La firma auditora nacional que realice el
informe de auditoría referido en el artículo
12 del decreto 1747 de 2000, deberá ser un organismo
de inspección del sistema nacional de normalización,
certificación y metrología acreditada para realizar
inspecciones en sistemas informáticos de seguridad
y contabilidad, de conformidad con lo señalado en el
decreto 2269 de 1993, la resolución 140 de 1994 de
la Superintendencia de Industria y Comercio y las disposiciones
que los sustituyan o complementen.
Estas firmas deberán cumplir, además
de lo requerido en el decreto 2269 de 1993, lo siguiente:
Estar compuesta por un grupo interdisciplinario
de profesionales que incluirá por lo menos 1 ingeniero
de sistemas especializado en sistemas de seguridad, 1 contador
y 1 abogado con amplios conocimientos en el tema, quienes
deberán cumplir con las normas vigentes relacionadas
con cada una de las profesiones.
Acreditar experiencia de la firma o de uno
de sus socios o funcionarios, en auditorías en sistemas
informáticos de seguridad y contabilidad por lo menos
de 3 años.
Acreditar capacidad para certificar el cumplimiento
de los requisitos técnicos y estándares exigidos
en la ley 527 de 1999, el decreto 1747 de 2000 y esta resolución.
ARTICULO 15°.
Contenido obligatorio del informe de auditoría. Tratándose
de entidades extranjeras que obren en las condiciones previstas
en el artículo 12 del decreto 1747 de 2000, los informes
de auditoría deberán anexar certificación
que demuestre que está facultada para realizar este
tipo de auditorías en su país de origen.
El informe de auditoria deberá indicar
por lo menos:
Nombre e identificación de la firma
auditora.
Fecha de inicio y terminación de la
auditoría.
Declaración de conformidad de cada
una de las condiciones previstas en el artículo 29
de la ley 527 de 1999, el decreto 1747 de 2000, a la presente
resolución y las normas que los modifiquen y adicionen.
Manifestación de conformidad de la
declaración de prácticas de certificación
y evaluación de la efectividad de los planes, políticas
y procedimientos de seguridad contenidos tanto en la declaración
como los exigidos en la sección V de esta resolución.
Manifestación del cumplimiento de
los estándares indicados en el artículo 23 de
esta resolución, teniendo en cuenta criterios reconocidos
para el efecto, que cumplan por los menos con los objetivos
del nivel de protección 2 (Evaluation Assurance Level
2) definido por Common Criteria for Information Technology
Security Evaluation (CC 2.1) CCIMB-99-031 desarrollado por
el Common Criteria Project Sponsoring Organization en su parte
3 o su equivalente en la norma ISO/IEC 15408. En el informe
deberá precisar para cada uno de estos objetivos del
artículo 23 de esta resolución el criterio que
observó, la fuente de ese criterio y el reconocimiento
que tiene.
Firma del representan legal de la firma auditora.
SECCIÓN IV
Cesación de actividades
ARTICULO 16°.
Autorización de cesación de entidades de certificación
abiertas Conforme lo dispuesto en el artículo 34 de
la ley 527 de 1999 y el artículo 19 del decreto 1747
de 2000, las entidades de certificación abiertas deberán
solicitar autorización de cesación de una o
más actividades ante esta Superintendencia, diligenciando
el anexo 3 y adjuntando la siguiente información:
Plan que garantice la protección de
la información confidencial de los suscriptores.
Plan de conservación de los archivos
necesarios para futuras verificaciones de los certificados
que emitió, hasta el otorgamiento de la autorización
de cesación del servicio. Dicho plan debe permitir
el acceso y posterior consulta de los documentos y extenderse
hasta una fecha posterior a la fecha en que se extingan las
responsabilidades que se puedan derivar de los certificados
expedidos y el plazo que prevean las normas de conservación
documental para cada uno de los documentos.
Plan que garantice la publicación
en los repositorios propios si no cesa todas las actividades
o en los de otra entidad de certificación abierta que
la Superintendencia de Industria y Comercio determine, si
cesará todas las actividades.
En caso de cesar todas las actividades de
entidad de certificación, un plan de seguridad que
garantice la adecuada destrucción de la clave privada
de la entidad
ARTICULO 17°.
Procedimiento para la cesación de actividades. Una
vez la Superintendencia autorice la cesación de actividades,
la entidad de certificación deberá informar
a todos los suscriptores, mediante dos avisos publicados en
diarios de amplia circulación nacional, con un intervalo
de 15 días, sobre:
La terminación de su actividad o actividades
y la fecha precisa de cesación.
Las consecuencias jurídicas de la
cesación respecto de los certificados expedidos.
En todo caso los suscriptores podrán
solicitar la revocación y el reembolso equivalente
al valor del tiempo de vigencia restante del certificado,
si lo solicitan dentro de los dos (2) meses siguientes a la
segunda publicación.
La terminación de la actividad o actividades
se hará en la forma y siguiendo el cronograma que para
el efecto señale la Superintendencia.
SECCIÓN V
Estándares, planes y procedimientos de seguridad
ARTICULO 18°.
Estándares. Para los efectos previstos en el artículo
27 del decreto 1747 de 2000, admitirán siguientes estándares:
Para algoritmos de firma. a) Algoritmos definidos
en el "draft Representation of Public Keys and Digital
Signatures in Internet X.509 Public Key Infrastructure Certificates"
desarrollado por el PKIX Working group del Internet Engineering
Task Force (IETF), excluyendo el MD2.
b) El algoritmo y la longitud de la clave
seleccionados deben garantizar la unicidad de la firma digital
de los documentos que se firmen de acuerdo con los usos permitidos
del certificado. Esta longitud debe ser superior o igual a
1024 bits en el algoritmo de RSA o su equivalente. Longitudes
inferiores serán admitidas, pero no menores de 512
bits o su equivalente, previa justificación de garantía
de la unicidad.
Para generación de par de claves:
Un método de generación de claves privada y
pública que garantice la unicidad y la imposibilidad
de estar incurso en situaciones contempladas en el artículo
16 del decreto 1747 de 2000.
Para generación de firma digital.
Un sistema de generación de firma digital que utilice
un algoritmo de firma digital admitido.
Para certificados en relación con
firma digital. Los certificados compatibles con el estándar
de la International Telecomunication Union (ITU - T) X –
509 versión 3.
Para listas de certificados revocados. El
estándar de CRL de la ITU X-509 Versión 2.
ARTICULO 19°.
Declaración de Prácticas de Certificación.
La declaración de prácticas de certificación
a que se hace referencia en el artículo 6 del decreto
1747 de 2000, deberá estar accequible desde el "homepage"
de la entidad de certificación, disponible al público
en todo momento y tendrá que incluir:
La identificación de la entidad que
presta los servicios de certificación. Esta información
incluirá el nombre, razón o denominación
social de la entidad, el domicilio social, teléfono,
fax, dirección de correo electrónico y la oficina
responsable de las peticiones, consultas y reclamos de los
suscriptores y usuarios. Si la entidad de certificación
tiene entidades subordinadas o subcontratadas, deberá
incluir esta misma información respecto de cada una
de ellas.
La política de manejo de los certificados,
que debe incluir:
Los requisitos y el procedimiento de expedición
de certificados, incluyendo los procedimientos de identificación
del suscriptor y de las entidades reconocidas, de acuerdo
con lo previsto en el artículo 43 de la Ley 527 de
1999.
Los tipos de certificados que ofrece, sus
diferencias, el grado de confiabilidad y los posibles usos
de cada uno de ellos, limites de responsabilidad y el tiempo
durante el cual se garantiza la condición de unicidad
de la firma digital.
El contenido de cada uno de los distintos
tipos de certificados.
El procedimiento para la actualización
de la información contenida en los certificados.
El procedimiento, las verificaciones, la
oportunidad y las personas que podrán invocar las causales
de suspensión o revocación de los certificados.
La vigencia de cada uno de los tipos de certificados.
La Información sobre el sistema de
seguridad para proteger la información que se recoge
con el fin de expedir los certificados.
Las obligaciones de la entidad de certificación
y de los suscriptores del certificado y las precauciones que
deben observar los terceros que confían en el certificado.
La información que se le va a solicitar
a los suscriptores.
El manejo de la información que se
obtiene de los suscriptores de acuerdo a las normas aplicables
en la materia, detallando:
El manejo de la información de naturaleza
confidencial.
Los eventos en que se revelará la
información confidencial dada por el suscriptor, de
acuerdo con las normas vigentes.
Las garantías que ofrece la entidad
para el cumplimiento de las obligaciones que se deriven de
sus actividades y los clausulados de los seguros que protegen
a los terceros por los perjuicios que pueda causar la entidad
y/o los reglamentos de los contratos de fiducia constituidos
para el efecto.
Los límites de responsabilidad de
la entidad de certificación en cada uno de los tipos
de certificados y por cada documento firmado.
Las tarifas de expedición y revocación
de certificados y los servicios que incluyen.
Los procedimientos de seguridad para el manejo
de los siguientes eventos:
Cuando la seguridad de la clave privada de
la entidad de certificación se ha visto comprometida.
Cuando el sistema de seguridad de la entidad
de certificación ha sido vulnerado.
Cuando se presenten fallas en el sistema
de la entidad de certificación que comprometan la prestación
del servicio.
Cuando los sistemas de cifrado pierdan vigencia
por no ofrecer el nivel de seguridad contratado por el suscriptor.
El plan de contingencia encaminado a garantizar
la continuidad del servicio de certificación, en caso
de que ocurra algún evento que comprometa la prestación
del servicio.
Modelos y minutas de los contratos que utilizará.
En caso de prever su existencia, texto de las cláusulas
compromisorias que establezcan el procedimiento jurídico
para la resolución de conflictos, especificando al
menos la jurisdicción y ley aplicable en el caso en
que alguna de las partes no tenga domicilio en el territorio
colombiano.
La política de manejo de otros servicios
que fuere a prestar, detallando sus condiciones.
ARTICULO 20°.
Sistema confiable. Para los efectos del artículo 2
del decreto 1747 de 2000 un sistema será confiable
cuando cumpla con lo señalado en los artículos
21, 22 y 23 de la presente resolución.
ARTICULO 21°.
Políticas, planes y procedimientos de seguridad. La
entidad debe definir y poner en práctica después
de autorizada las políticas, planes y procedimientos
de seguridad tendientes a garantizar la prestación
continua de los servicios de certificación, que deben
ser revisados y actualizados periódicamente. Estos
deben incluir al menos:
Políticas y procedimientos de seguridad
de las instalaciones físicas y los equipos.
Políticas de acceso a los sistemas
e instalaciones de la entidad, monitoreo constante.
Procedimientos de actualización de
hardware y software, utilizados para la operación de
entidades de certificación.
Procedimientos de contingencia en cada uno
de los riesgos potenciales que atenten en contra del funcionamiento
de la entidad, según estudio que se actualizará
periódicamente.
Plan de manejo, control y prevención
de virus informático.
Procedimiento de generación de claves
de la entidad de certificación que garantice que:
Solo se hace ante la presencia de los administradores
de la entidad.
Los algoritmos utilizados y la longitud de
las claves utilizadas son tales que garanticen la unicidad
de las firmas generadas en los certificados, por el tiempo
de vigencia máximo que duren los mensajes de datos
firmados por sus suscriptores.
ARTICULO 22°.
Corta fuegos (Firewall). La entidad de certificación
debe aislar los servidores de la red interna y externa mediante
la instalación de un corta fuegos o firewall, en el
cual deben ser configuradas las políticas de acceso
y alertas pertinentes.
La red del centro de cómputo debe
estar ubicada en segmentos de red físicos independientes
de la red interna del sistema, garantizando que el corta fuegos
sea el único elemento que permita el acceso lógico
a los sistemas de certificación.
ARTICULO 23°.
Sistemas de emisión y administración de certificados.
Los sistemas de emisión y administración de
certificados deben prestar en forma segura y continua el servicio.
En todo caso las entidades deberán cumplir al menos
con una de las siguientes condiciones:
Cumplir el Certificate Issuing and Management
Components Protection Profile nivel 2 desarrollado por el
National Institute of Standards and Technologies; o
Cumplir con requerimientos técnicos
que correspondan por lo menos con los objetivos del nivel
de protección 2 (Evaluation Assurance Level 2) definido
por Common Criteria for Information Technology Security Evaluation
(CC 2.1) CCIMB-99-031 desarrollado por el Common Criteria
Project Sponsoring Organization en su parte 3 o su equivalente
en la norma ISO/IEC 15408, de:
Sistema de registro de auditoría de
todas las operaciones relativas al funcionamiento y administración
de los elementos de emisión y administración
de certificados, que permita reconstruir en todo momento cualquier
actividad de la entidad;
Sistema de almacenamiento secundario de toda
la información de la entidad, en un segundo dispositivo
que cuente por lo menos con la misma seguridad que el dispositivo
original, para poder reconstruir la información de
forma segura en caso necesario;
Dispositivo de generación y almacenamiento
de la clave privada, tal que se garantice su privacidad y
destrucción en caso de cualquier intento de violación.
El dispositivo y los procedimientos deben garantizar que la
generación de la clave privada de la entidad solo puede
ser generada en presencia de los representantes legales de
la misma; y
Sistema de chequeo de integridad de la información
sistema, los datos y en particular de sus claves.
CAPITULO III
Certificados
ARTICULO 24°.
Contenido de los certificados. Los certificados deberán
cumplir con lo señalado en el numeral 4 del artículo
18 y con los requisitos exigidos en artículo 35 de
la ley 527 de 1999.
ARTICULO 25°.
Contenido de los certificados recíprocos. Los certificados
recíprocos señalados en el parágrafo
del artículo 14 del decreto 1747 de 2000 deben contener
al menos la siguiente información:
Identificador único del certificado.
Clave pública de la entidad que se
está reconociendo.
Tipos de certificados a los que se remite
el reconocimiento.
Duración del reconocimiento.
Referencia de los límites de responsabilidad
del tipo de certificado al cual se remite el reconocimiento.
ARTICULO 26°.
Vigencia. La presente resolución rige a partir de la
fecha de su publicación en diario oficial.
PUBLÍQUESE Y CÚMPLASE
Dada en Bogotá, D.C. a los
El Superintendente de Industria y Comercio,
EMILIO JOSÉ ARCHILA
PEÑALOSA
|
