Horacio Fernandez Delpech - DERECHO INFORMATICO

HFD> Derecho Informático - Internet > Legislación y Proyectos Extranjeros

ORDENANZA REGLAMENTARIA DE LA LEY DE FIRMA DIGITAL DE LA REPUBLICA FEDERAL ALEMANA

TRADUCCIÓN NO OFICIAL

Artículo 1: Procedimiento para el Otorgamiento y la Revocación de Licencias.

1. Se deberá solicitar por escrito a la Autoridad una licencia para la operación de un certificador según lo expresado en el artículo 4 párrafo (1).

2. La Autoridad deberá realizar las determinaciones necesarias para verificar los requerimientos para el otorgamiento de una licencia. Puede requerir del solicitante la presentación de los documentos necesarios, en particular un resumen actualizado del Registro Comercial y los certificados actuales ("fuhrungszeugnisse") según lo expresado en el artículo 30, párrafo 5 de la Ley de Registro Central Federal para las representaciones legales del certificador. Con el fin de demostrar el conocimiento experto necesario, el solicitante deberá demostrar que las personas que realizarán las certificaciones y emitirán de sellados de fecha y hora, posean las calificaciones profesionales necesarias.

3. Antes de rechazar o revocar una licencia, la Autoridad deberá otorgar al solicitante la oportunidad para eliminar los motivos para tal rechazo o revocación.

Artículo 2: Costos

(1) Se impondrán costos (honorarios y gastos) para los siguientes servicios públicos:

1. El otorgamiento de una licencia o su rechazo;

2. La revocación de una licencia;

3. La denegación total o parcial de una apelación;

4. La emisión de certificados;

5. La verificación de informes de auditoría según lo expresado en el Artículo 15, párrafo 2 así como también de los controles según el Artículo 15, párrafo (3);

6. La transferencia de documentación según lo expresado en el artículo 11, párrafo (2) de la Ley de Firma Digital.

(Nota: la versión en inglés difiere de la versión en alemán. Esta última tiene sólo 4 puntos.)

(2) Se deberán utilizar las siguientes tarifas horarias como base para el cálculo de honorarios para servicios públicos, según los expresado en el párrafo anterior, nros. 1, 4, 5, y 6:

1. Funcionarios de categoría media o empleados equivalentes: DM 65.00

2. Funcionarios de categoría superior o empleados equivalentes: DM 85.00

3. Funcionarios de alta categoría o empleados equivalentes: DM 115.00

Un cuarto de tales tarifas horarias se deberá imputar cada 15 minutos durante los cuales se desarrolla cualquier trabajo. Si los empleados de la Autoridad desarrollan servicios públicos fuera de su edificio, entonces los honorarios también se deberán imputar por el tiempo de traslado, dentro del horario habitual de trabajo o sea especialmente reembolsado por la Autoridad, y por el tiempo de espera por el cual estos son responsables. La Autoridad deberá examinar regularmente las tarifas horarias para asegurar que cubran los costos.

(3) El honorario imputado para revocación de una licencia deberá ser un cuarto menos que el honorario imputado para otorgarlo; éste se puede reducir hasta un máximo de un cuarto del honorario cobrado, o no se necesita imputar honorario cuando la situación así lo requiera. Se deberá imputar un honorario de hasta el monto de la acción administrativa cuestionada por la denegación total o parcial de una apelación. Tal denegación, y particularmente la denegación de una apelación dirigida únicamente contra la distribución de los costos, se encuentra sujeta a un honorario de hasta el diez por ciento de la suma cuestionada.

Artículo 3: Procedimiento de solicitud.

1. El certificador deberá identificar a un solicitante según lo expresado en el Capítulo 5 párrafo (1), sentencia 1 de la Ley de Firma Digital, basado en un documento federal de identidad o pasaporte, o por otros medios apropiados. Si una solicitud para un certificado adicional contiene una firma digital del solicitante, entonces el certificador puede obviar una nueva identificación.

2. De incluirse en un certificado información concerniente a un tercero según lo expresado en el artículo 5, párrafo (2) de la Ley de Firma Digital, se debe presentar el permiso escrito o firmado digitalmente de tal tercero. El certificador puede requerir que tal permiso sea certificado formalmente. El permiso de una persona jurídica debe estar firmado o provisto de una firma digital de una persona física con poder de representación; y tal poder debe ser verificado fehacientemente. El tercero deberá ser notificado acerca del contenido del certificado, ya sea por escrito o en forma digital con una firma digital, y se la deberá informar acerca de la posibilidad de bloqueo, según lo expresado en el artículo 9, párrafo (1). Una profesión u otra filiación deberá ser probada mediante la presentación del certificado de admisión.

Artículo 4: Instrucción del solicitante.

(1) El certificador deberá informar al solicitante en el marco del artículo 6, sentencias 1 y 3 de la Ley de Firma Digital, en particular en lo concerniente a las siguientes medidas, las cuales son necesarias para garantizar la seguridad de las firmas digitales:

1. La clave privada de firma privada debe mantenerse bajo control personal. Ante pérdida, el certificado de clave de firma deberá ser bloqueado inmediatamente. Si el certificado ha expirado o la clave de firma no es utilizada por una razón u otra, entonces la clave deberá inutilizarse.

2. Los números de identidad personales o las contraseñas utilizadas para identificación para acceder al registro de datos relacionados con la clave deberán mantenerse confidenciales. Si se sabe o se sospecha que estos datos identificatorios han sido comprometidos, los mismos deben ser cambiados inmediatamente.

3. Los componentes técnicos utilizados para crear y verificar firmas digitales y para la representación de la información que se va a firmar o cuya firma se va a verificar, deben cumplir con los requisitos del capítulo 14 párrafos (1) y (2) de la Ley de Firma Digital, cuya seguridad debe haber sido verificada según el capítulo 14, párrafos (4) y (5) de la Ley de Firma Digital. Deben protegerse del acceso no autorizado.

4. Si un certificado contiene datos según lo expresado en el artículo 7, párrafo (1) nro. 7 o párrafo (2) de la ley de Firma Digital, y tales datos son importantes para el contenido de la información firmada, el certificado se deberá incluir en la firma digital de tales datos.

5. Si fijar el momento en el tiempo puede ser importante para el valor evidencial de la información firmada, se requiere un sellado de fecha y hora.

6. Si la validez de una firma digital debe extenderse por un plazo mayor a 5 años, entonces se deberá agregar una firma digital adicional antes del vencimiento de dicho plazo, mientras que la duración de tal periodo no se extienda según lo expresado en el artículo 18, párrafo (2).

7. Quienes verifiquen firmas deberán determinar si a su juicio el certificado de clave de firma y el certificado de atributos eran válidos en el momento en que la firma se creó, si los certificados contenían restricciones según lo expresado en el artículo 7, párrafo (1) nro. 7 de la ley de Firma Digital, si los certificados se incluyeron en la Firma Digital, de ser necesario (véase nro. 4), y si la información contiene un sellado de fecha y hora, de ser necesario (véase nro. 5)

(2) Se puede prescindir de instrucción adicional si el solicitante ya posee un certificado.

Artículo 5: Creación y Almacenamiento de claves de firma e información de identificación.

1. Si el propietario de la clave de firma genera sus propias claves de firma, entonces el certificador deberá convencerse de que dicho propietario de clave de firma utilizó componentes técnicos apropiados. Esto también es aplicable a los números de identidad personales, a las contraseñas u otros datos que sirvan para identificar al propietario de la clave de firma frente al registro de datos relacionados con dicha clave.

2. Si las claves de firma o los datos de identificación según lo expresado en el párrafo (1), sentencia 2 son provistos por el certificador, éste deberá tomar las medidas necesarias para evitar la divulgación inadvertida de las claves privadas o de los datos de identificación, como así también evitar su almacenamiento por parte del certificador.

Articulo 6: Distribución de claves de firma e Información de identificación.

Si es el certificador quien provee las claves de firma o los datos de identificación, según lo expresado en el artículo 5, párrafo (2), éste deberá entregar personalmente la clave privada de firma y los datos de identificación al propietario de la clave de firma a quién están destinados, y obtener confirmación escrita de recepción de dicho propietario, a menos que este último solicite por escrito un medio de entrega distinto.

Artículo 7: Validez de los certificados.

1. El período de validez de un certificado no puede exceder los 3 años. El lapso entre la emisión y el comienzo del período de validez de un certificado, no podrá exceder los seis meses.

2. El período de validez de un certificado de atributo no podrá superar el período de validez del certificado de clave de firma al cual se refiere.

Articulo 8: Registros públicos de certificados.

1. El certificador deberá registrar los certificados emitidos por él, por un plazo de al menos 10 años a partir del comienzo de su validez, en un registro de acuerdo con las disposiciones del artículo 5, párrafo (1), sentencia 2 de la Ley de Firma Digital.

2. La Autoridad deberá registrar los certificados emitidos por ella, por un plazo de al menos 15 años desde el comienzo de su validez, en un registro de acuerdo con las disposiciones del artículo 4, párrafo (5), sentencia 3 de la Ley de Firma Digital. Si se reconocen certificados extranjeros, lo anterior también se aplica a las claves públicas de firma de los más altos certificadores de dichos países. La Autoridad deberá publicar en el Boletín Federal las conexiones de telecomunicaciones bajo las cuales puede accederse a los certificados.

3. Luego del vencimiento de los plazos mencionados en los párrafos (1) y (2), el certificador y la Autoridad deberán hacer posible una revisión de sus certificados, bajo solicitud en cada caso particular, hasta el vencimiento del plazo mencionado en el artículo 13, párrafo (3).

Artículo 9: Procedimiento para el bloqueo de certificados.

1. El certificador deberá dar a conocer a los propietarios de claves de firma y a los terceros cuya información se encuentra incorporada en un certificado, así como a la Autoridad, un número telefónico por medio del cual podrán hacer que se bloquee inmediatamente un certificado.

2. El certificador deberá bloquear un certificado de acuerdo a los requisitos del capítulo 8 de la ley de firma digital si el propietario de una clave de firma, su representante legal, o un tercero que tenga algún derecho según lo expresado en el párrafo (1), presenta una solicitud con una firma digital o por escrito, o si se utilizó un procedimiento de autenticación acordado.

3. El bloqueo de certificados deberá ser indicado inequívocamente en el registro según lo expresado en el artículo 8, con indicación del momento preciso, y no podrá ser revocado.

Artículo 10: Confiabilidad del Personal.

El certificador deberá convencerse de la confiabilidad de las personas que asisten en la emisión de los certificados de claves de firma o de sellados de fecha y hora. En particular, puede requerir la presentación de un certificado según lo expresado en el artículo 30, párrafo 1 de la Ley del Registro Central Federal. Personas no confiables no podrán tomar parte en tal procedimiento.

Artículo 11: Protección de componentes técnicos.

El certificador deberá tomar medidas necesarias para proteger contra accesos no autorizados a los componentes técnicos y a las claves de firma privadas utilizadas la creación de certificados y sellados de fecha y hora.

Artículo 12: Plan de seguridad.

1. El plan de seguridad, según lo expresado en el artículo 4, párrafo (3) de la ley de Firma Digital deberá contener todas las medidas de seguridad, así como también, particularmente, una descripción general de los componentes técnicos utilizados y una representación del procedimiento organizacional de la actividad certificante. El plan deberá ser modificado inmediatamente para reflejar cualquier cambio que afecte la seguridad.

2. La Autoridad deberá mantener un catálogo de medidas de seguridad apropiadas y deberá publicarlas en el Boletín Federal. Estas medidas deberán tomarse en cuenta al confeccionar un plan de seguridad. El catálogo deberá elaborarse sobre la base de la información de la Oficina Federal para la Seguridad en Tecnología de la Información, en consulta con expertos de las áreas científica y comercial.

Artículo 13: Documentación.

1. La documentación, según lo expresado en el artículo 10 de la Ley de Firma Digital, deberá cubrir el plan de seguridad (incluyendo cualquier modificación), los informes de revisión según lo expresado en el artículo 15, párrafos (1) y (2), los acuerdos contractuales con los solicitantes, y los certificados recibidos de la Autoridad. Se deberá documentar: con relación a las solicitudes de certificados recibidas y a los acuerdos con los propietarios de claves de firma, una copia de la credencial de identidad presentada o de alguna otra prueba de identidad; en cuanto a la información relativa a terceros contenida en un certificado, la documentación necesaria para que dicha información sea incluida; el otorgamiento de un seudónimo; prueba de la instrucción requerida; los certificados que han sido creados; incluyendo el momento de la emisión y de la entrega, así como también la constancia de entrega, el bloqueo de certificados; y la información según lo expresado en el artículo 15, párrafo (2) de la ley de Firma Digital. Si la Autoridad provee las claves de firma o los datos de identificación según lo expresado en el artículo 5 párrafo (2), entonces se deberá documentar el momento de la entrega y de la confirmación. Los registros mantenidos en forma digital deberán ser firmados digitalmente.

2. La documentación, según lo expresado en el párrafo (1), deberá mantenerse por al menos 33 años desde el momento de la emisión del certificado de clave de firma, y deberá asegurarse para que sea accesible durante ese período. La documentación acerca de la información según lo expresado en el artículo 12, párrafo (2), sentencia 2 de la Ley de Firma Digital, se deberá mantener por al menos 10 años.

Artículo 14: Cese de Actividades.

1. Un certificador que desee cesar sus actividades deberá informar a la Autoridad con una antelación mínima de 4 meses.

2. Antes de cesar sus actividades, el certificador deberá informar, para cada certificado que no haya sido bloqueado o que no haya vencido al momento de cesar sus actividades, al propietario de la clave de firma sobre su intención de cesar sus actividades como certificador con una antelación de al menos 3 meses, deberá instruirlo sobre si otro certificador se hará cargo del certificado, y deberá dar el nombre de tal certificador. De no ser así, luego de la expiración del período mencionado en el párrafo (1), deberá bloquear todos los certificados que no hubiesen sido ya bloqueados o que no hubiesen expirado hasta ese momento. Los propietarios de claves de firma de certificados a ser bloqueados deberán ser informados de tal hecho.

3. Se debe notificar a la Autoridad e instruir a los propietarios de claves de firma, por escrito o en forma digital con una firma digital.

4. Un certificador que se haga cargo de la documentación según lo expresado en el artículo 11, párrafo (2) de la Ley de Firma Digital o la Autoridad, deberá registrar los certificados que han sido transferidos en un registro según lo expresado en el artículo 8.

Artículo 15: Control de certificadores.

1. El certificador deberá presentar a la Autoridad su plan de seguridad y los resultados de las revisiones según lo expresado en el artículo 4, párrafo (3), sentencia 3 de la Ley de Firma Digital por lo menos un mes antes de la fecha planificada para el inicio de sus actividades.

(Nota: verificar las referencias con la ley)

2. El certificador deberá requerir una nueva revisión luego de producirse cualquier cambio substancial o al menos cada 2 años, y deberá presentar inmediatamente los resultados a la Autoridad.

3. La Autoridad puede llevar a cabo revisiones, mediando intervalos razonables, y si existen razones para suponer que las disposiciones de la ley de Firma Digital o de esta Ordenanza han sido violadas.

Artículo 16: Requerimientos para componentes técnicos.

1. Los componentes técnicos necesarios para la creación de las claves de firma deberán diseñarse de modo tal que, con un grado casi absoluto de certeza, cada clave ocurra sólo una vez y la clave privada no pueda ser calculada a partir de la clave pública. Se debe asegurar la confidencialidad de la clave privada, la cual no debe poder copiarse. Cualquier cambio en los componentes técnicos respecto de las técnicas de seguridad debe poder ser reconocido para el usuario.

2. Los componentes técnicos necesarios para la creación o verificación de firmas digitales deben ser diseñados de manera tal que la clave privada de firma no pueda ser calculada a partir de la firma, y que la firma no pueda ser falsificada de otro modo. Debe ser posible utilizar la clave privada de firma sólo después de la identificación del propietario, a través de la posesión y del conocimiento, y no debe ser revelada durante el uso. Pueden utilizarse otras características, tales como las biométricas, para la identificación del propietario de la clave de firma. Los componentes técnicos necesarios para recoger los datos de identificación se deben diseñar de manera tal que dichos datos no sean revelados y se encuentren guardados únicamente en el medio de almacenamiento que contiene la clave privada de firma. Cualquier cambio en los componentes técnicos respecto a las técnicas de seguridad debe poder ser reconocido para el usuario.

3. Los componentes técnicos a ser utilizados para la representación de los datos a ser firmados usando los componentes técnicos del párrafo (2) deben ser diseñados de manera tal que puedan reconocerse satisfactoriamente la creación de una firma digital y el contenido de los datos cubiertos por la firma. Los componentes técnicos necesarios para verificar una firma digital deben diseñarse de manera tal que el verificador pueda reconocer satisfactoriamente el contenido de los datos cubiertos por la firma digital, y pueda asegurar ("gewahrleistet") la correspondiente confirmación de correctitud. Si los componentes técnicos, según las sentencias 1 o 2, son ofrecidos a terceros para su utilización en el curso de los negocios, al ser utilizados deben verificar automáticamente su autenticidad así como cualquier alteración de sus técnicas de seguridad, y cualquier alteración de las técnicas de seguridad debe poder ser reconocida por el usuario.

4. Los componentes técnicos utilizados para mantener o acceder en forma verificable a los certificados, según lo expresado en el artículo 5, párrafo (1), sentencia 2 de la Ley de Firma Digital, deben diseñarse de manera tal que sólo personal autorizado pueda efectuar entradas y cambios, que el desbloqueo de un certificado bloqueado no pueda pasar desapercibido, y que pueda ser verificada la autenticidad de los informes. Sólo los certificados que son mantenidos en forma verificable no necesitan ser accedidos públicamente. Cualquier cambio en los componentes técnicos respecto a las técnicas de seguridad debe poder ser reconocido por el operador.

5. La Autoridad deberá mantener un catálogo de las medidas de seguridad apropiadas, que será publicado en el Boletín Federal, cuyas medidas deberán ser tenidas en cuenta en lo que respecta a los componentes técnicos. El catálogo deberá elaborarse sobre la base de la información de la Oficina Federal para la Seguridad en Tecnología de la Información, en consulta con expertos de las áreas científica y comercial.

Artículo 17: Verificación de los componentes técnicos.

(1) Los componentes técnicos deben ser verificados con respecto al cumplimiento de los requerimientos de los "Criterios para la Evaluación de la Seguridad de los Sistemas de Tecnología de la Información" (GMBI del 8 de agosto de 1992, p. 545 et seq), como sigue:

1. Para los componentes técnicos para la creación, carga y almacenamiento de claves privadas de firma o para la creación y verificación de firmas digitales, como mínimo el nivel "E4", con una evaluación de los mecanismos de seguridad de "alta".

2. Para los componentes técnicos para la representación de los datos a ser firmados o para la verificación de los datos firmados, y para la utilización de componentes técnicos según lo expresado en el artículo 16, párrafo (2), o para la recolección de datos de identificación, como mínimo el nivel "E2" y una evaluación de los mecanismos de seguridad como mínimo de "media". Si tales componentes técnicos son ofrecidos a terceros para ser utilizados en el curso de los negocios, entonces son necesarios al menos el nivel "E4" y una evaluación de los mecanismos de seguridad de "alta".

3. Para los componentes técnicos utilizados para mantener en forma verificable o hacer accesibles los certificados según lo expresado en el artículo 5, párrafo 2 de la Ley de Firma Digital, como mínimo nivel "E4", con una evaluación de los mecanismos de seguridad de "alta".

(2) La confirmación del cumplimiento de los requisitos para los componentes técnicos según lo expresado en el párrafo (1) nro. 1 se limita a 5 años, aunque puede ser extendida por hasta 5 años más, siempre que una nueva evaluación de la seguridad así lo permita.

(3) La Autoridad deberá publicar en el Boletín Federal las instancias reconocidas según lo expresado en el artículo 14, párrafo (4) de la Ley de Firma Digital, como así también los componentes técnicos que han recibido confirmación de tales instancias, y deberá notificarlos directamente a los certificadores. También deberá indicarse el plazo de validez de la confirmación de los componentes técnicos.

Artículo 18: Firmas Digitales renovadas después de un cierto plazo

1. Si la información se necesita en forma firmada por un tiempo prolongado, deberá contener la fecha de emisión y deberá ser firmada nuevamente con una firma digital que contenga un sellado de fecha y hora dentro de los 5 años a más tardar. Si las firmas digitales anteriores han retenido su valor de seguridad, la nueva firma debe incluirlas.

2. Si la confirmación de seguridad de los componentes técnicos usados para la creación de firmas digitales se extiende según lo expresado en el artículo 17, párrafo 2, entonces el plazo mencionado en párrafo (1) se extiende correspondientemente.

Artículo 19: Entrada en vigencia.

Esta Ordenanza legal entra en vigencia a partir de ….