Circular Telefax 19/2002, de 5 de julio de 2002

Ciudad de México, D.F., a 5 de julio de 2002.

A LAS INSTITUCIONES DE CRÉDITO DEL PAÍS:

ASUNTO:  INFRAESTRUCTURA EXTENDIDA DE SEGURIDAD.

El Banco de México, con fundamento en lo previsto en los artículos 3° fracción I y 24 de su Ley, y considerando:

a) que con el desarrollo de las nuevas tecnologías de telecomunicaciones y transmisión de datos por vía electrónica, se ha generalizado en el sistema financiero el uso de los sistemas de intercambio electrónico de información y se han ampliado las posibilidades de ofrecer nuevos servicios financieros en línea con el fin de mejorar la productividad y reducir costos;

b) que el Instituto Central administra el sistema denominado “Infraestructura Extendida de Seguridad” (IES) cuya función principal es mantener el control sobre las claves públicas que se utilizan en la verificación de las firmas electrónicas, mediante la expedición y administración de certificados digitales, y

c) que la utilización de la firma electrónica a través de la IES permitirá dar mayor seguridad y confianza a las operaciones bancarias que se realicen a través de medios electrónicos en los sistemas de pagos, ya que hace posible atribuir al signatario cada mensaje de datos firmado  y asegurar que dicho mensaje de datos no ha sido modificado,

ha resuelto autorizar a las instituciones de crédito interesadas, a emitir certificados digitales a sus clientes para celebrar operaciones con ellos y realizar los procesos de registro y distribución de tales certificados, a través de la IES.

Para tales efectos, a partir del día 9 de septiembre de 2002, este Instituto Central podrá expedir en su carácter de Agencia Registradora Central (ARC) de la IES, certificados digitales para actuar como Agencia Registradora (AR) y/o Agencia Certificadora (AC) de dicha Infraestructura, a las instituciones de crédito que lo soliciten por escrito mediante comunicación dirigida a la Dirección de Trámite Operativo del propio Banco de México, en términos del modelo que se adjunta como Anexo 1.

Adicionalmente, las instituciones interesadas deberán cumplir con los requisitos que se señalan en el Anexo 2 y, una vez que su solicitud haya sido aprobada, deberán suscribir el contrato respectivo con Banco de México a fin de estar en posibilidad de emitir y/o registrar certificados digitales a sus clientes para los efectos señalados, según corresponda.

El documento en el que se describen las características y funciones de los participantes de la IES, los manuales para su uso y el directorio para la atención de consultas, están a disposición de esas instituciones en la página que el Banco de México tiene en la red mundial (Internet) que se identifica con el nombre de dominio: www.banxico.org.mx, en el rubro “Infraestructura Extendida de Seguridad” de la sección “Otros Servicios”.

Atentamente,

 BANCO DE MÉXICO

Dr. Manuel Galán Medina

Director de Sistemas Operativos y de Pagos

Lic. Fernando Corvera Caraza

Director de Disposiciones de Banca Central

ANEXO 1.-  MODELO DE COMUNICACIÓN PARA SER ENVIADA POR LAS INSTITUCIONES DE CRÉDITO QUE SOLICITEN LA EXPEDICIÓN POR PARTE DEL BANCO DE MÉXICO DE CERTIFICADOS DIGITALES PARA PODER ACTUAR COMO AC Y/O AR

México, D.F., a ___ de ____________de _____.

BANCO DE MÉXICO           Dirección de Trámite Operativo,  Av. 5 de mayo número 2, 3er. Piso, Col. Centro                            06059 México, D.F.

En relación con la Circular-Telefax  __/2002 del __ de ____ de 2002, (nombre de la institución) solicita a Banco de México la expedición del certificado digital para actuar como (tipo de Agencia(s) cuya función pretende realizar), a nombre de (nombres de los apoderados de la institución para dicho propósito) a fin de estar en posibilidad de actuar con tal carácter en la IES.

Al efecto, adjunto a la presente sometemos a la consideración de ese Instituto Central la documentación que acredita que (nombre de la institución) cumple con los requisitos establecidos en la Circular-Telefax mencionada para actuar como (tipo de Agencia(s) cuya función pretende realizar), así como la copia certificada de la escritura pública en la que consta el poder otorgado a las personas señaladas en el primer párrafo de la presente comunicación.

Asimismo, esta institución se obliga a proporcionar a Banco de México la información adicional que nos requiera en relación con las actividades mencionadas, así como permitir el acceso a nuestras instalaciones al personal autorizado por el Instituto Central a fin de que puedan corroborar el cumplimiento de los citados requisitos.

Atentamente,

 (Denominación de la institución)

(Nombres de los funcionarios facultados)

(Cargos)

ANEXO 2.-  REQUISITOS PARA OPERAR COMO AGENCIA REGISTRADORA Y/O AGENCIA CERTIFICADORA DE LA INFRAESTRUCTURA EXTENDIDA DE SEGURIDAD

I.      Definiciones

Para los efectos de este Anexo, en singular o plural se entenderá por:

Agencia Certificadora (AC)

A la institución de crédito autorizada por Banco de México para prestar servicios de certificación mediante la expedición de Certificados Digitales a través de la IES.

Agencia Registradora (AR)

A la institución de crédito autorizada por Banco de México para llevar el registro electrónico de los Certificados Digitales expedidos por las AC’s.

Agencia Registradora Central (ARC)

A Banco de México en su carácter de administrador de la IES que, entre otras funciones, establece las normas de operación de dicha infraestructura, emite y registra los Certificados Digitales de AC’s y AR’s, y lleva el registro de las claves públicas.

Certificado Digital

Al Mensaje de Datos firmado electrónicamente que confirma el vínculo entre la identidad del Titular con los respectivos Datos de Verificación de Firma Electrónica.

Datos de Creación de Firma Electrónica

A la información única, como códigos o claves criptográficas privadas, que el Titular genera bajo su total control y utiliza personalmente para crear una Firma Electrónica.

Datos de Verificación de Firma Electrónica

A la información única, como códigos o claves criptográficas públicas, que se utiliza para comprobar una Firma Electrónica.

Dispositivo de Creación de Firma Electrónica

Al programa o hardware de computadora que sirve para aplicar los Datos de Creación de Firma Electrónica a un Mensaje de Datos y obtener la Firma Electrónica del referido Mensaje de Datos.

Dispositivo de Verificación de Firma Electrónica

Al programa o hardware de computadora que sirve para aplicar los Datos de Verificación de Firma Electrónica a la Firma Electrónica de un Mensaje de Datos y comprobar su autenticidad.

Firma Electrónica

Al conjunto de datos que se agrega o adjunta a un Mensaje de Datos, el cual está asociado en forma lógica a éste y es atribuible al Titular.

Infraestructura Extendida de Seguridad (IES)

Al sistema de seguridad diseñado y administrado por Banco de México cuyo propósito es fortalecer la seguridad de la información que se transmite en los sistemas de pagos y a su vez acreditar la identidad del remitente, mediante el uso de Firmas Electrónicas y Certificados Digitales.

Mensaje de Datos

A la información generada, enviada, recibida, archivada o comunicada a través de medios electrónicos.

Titular

A la persona que conoce los Datos de Creación de Firma Electrónica y los utiliza bajo su exclusivo control, los cuales están íntimamente relacionados con los Datos de Verificación de Firma Electrónica que aparecen en el Certificado Digital correspondiente.

II. Requisitos

Banco de México podrá autorizar a las instituciones de crédito que lo soliciten, para actuar en la IES como AR y/o AC, expidiendo a su favor en su carácter de ARC Certificados Digitales de AR y/o AC según corresponda.

Con el fin de que en dicha Infraestructura exista un grado adecuado de seguridad, calidad y confianza en la prestación de servicios de certificación de identidad de personas, así como de emisión y registro de Certificados Digitales, las instituciones que soliciten la referida autorización deberán demostrar previamente a Banco de México, con información que a su juicio resulte suficiente, la fiabilidad de los servicios que prestarán y comprobar que tienen la capacidad tecnológica y el personal calificado para realizar adecuadamente las actividades necesarias en el ámbito de la Firma Electrónica y de la IES en lo que resulte conducente.

Asimismo, las instituciones solicitantes deberán presentar las reglas y procedimientos a que se refieren los numerales 1 de los apartados III y IV, según corresponda al tipo de agencia que soliciten, así como asegurar que podrán cumplir con las demás obligaciones que se señalan en dichos apartados.

III. Obligaciones de la Agencia Certificadora.

1. Contar con reglas y procedimientos sobre prácticas de certificación de identidad que sean objetivas, precisas y no discriminatorias.

2.    Emitir Certificados Digitales que cumplan al menos con los requisitos previstos en el apartado V de este Anexo, así como revocarlos inmediatamente después de tener conocimiento de cualquiera de los supuestos previstos en el numeral 3 de dicho apartado.

3.    Requerir para la certificación de la identidad de los Titulares, la comparecencia personal y directa de la persona que solicite un Certificado Digital, así como la presentación de la credencial de elector, pasaporte vigente o cualquier otra identificación oficial fiable.

4.   Hacer del conocimiento del solicitante sus derechos y obligaciones como Titular, conforme a lo señalado en el apartado VI de este Anexo.

5.    Proporcionar al solicitante de un Certificado Digital, los medios necesarios para que genere sus Datos de Creación de Firma Electrónica y Datos de Verificación de Firma Electrónica, en forma secreta y bajo su total control.  Además, poner a su disposición el Dispositivo de Creación de Firma Electrónica y el Dispositivo de Verificación de Firma Electrónica.

6.   Obtener una declaración con firma autógrafa del Titular, en donde manifieste estar de acuerdo con las condiciones siguientes: i) ser responsable del uso de su Firma Electrónica, toda vez que cualquier Mensaje de Datos firmado que se pueda comprobar con sus Datos de Verificación de Firma Electrónica le será atribuible y producirá los mismos efectos que las leyes otorgan a los documentos suscritos con firma autógrafa y, en consecuencia, tendrán el mismo valor probatorio, y  ii) aceptar las condiciones de operación y los límites de responsabilidad de la AC, AR y ARC.

7.    Registrar ante una AR los Certificados Digitales que emita, así como informarle de la revocación de los mismos, para que exista constancia de los Certificados Digitales vigentes y revocados.

8.    Conservar al menos durante 10 años los requerimientos que los interesados formulen a la AC para la emisión de Certificados Digitales.  Dicha conservación deberá efectuarse de conformidad con la Norma Oficial Mexicana NOM-151-SCFI-2002, Prácticas comerciales-Requisitos que deben observarse para la conservación de mensajes de datos, publicada en el Diario Oficial de la Federación el 4 de junio de 2002.

9.    Conservar copia de la información y documentación proporcionada por el Titular para su identificación, así como de la declaración a que se refiere el numeral 6 del presente Apartado, por un plazo de al menos 10 años contados a partir de la emisión del correspondiente Certificado Digital, así como no utilizar dicha infirmación y documentación para fines diferentes a los relacionados con la IES.

10.  Publicar en su página en la red mundial (Internet) las disposiciones que emita Banco de México en relación con la Firma Electrónica y la IES, así como las reglas y procedimientos previstos en el numeral 1 de este apartado III.

11. Proporcionar a Banco de México la información que éste le requiera en relación con sus actividades de certificación y permitir el acceso a sus instalaciones a las personas autorizadas por el propio Banco de México, a fin de que puedan corroborar el cumplimiento de los requisitos previstos en el presente Anexo.

12. Responder por los daños y perjuicios que, con motivo de la realización de sus actividades, ocasione por negligencia en el proceso de identificación del Titular, la emisión o revocación de Certificados Digitales. En todo caso, corresponderá a la AC demostrar que actuó con el debido cuidado.

13. Solicitar a la Dirección de Trámite Operativo de Banco de México con una antelación no menor a 60 días naturales, la revocación de la autorización que éste le haya otorgado, cuando pretenda dejar de prestar servicios como AC.  En dicha solicitud deberá comunicar el nombre de la AC a quién vaya a transferir la información y documentación referida en los numerales 8 y 9 de este apartado, proporcionada por los Titulares cuyos Certificados Digitales haya emitido.  Asimismo, a más tardar el tercer día hábil bancario siguiente a la presentación de su referida solicitud, deberá hacer del conocimiento de dichos Titulares su intención de dejar de actuar como AC y el destino que pretende dar a los datos de identificación que recibió de ellos.

14. Informar a los Titulares de la revocación de su Certificado Digital en la fecha en que ésta se lleve a cabo, cuando dicha revocación se deba a cualquiera de los últimos tres supuestos previstos en el numeral 3.2 del apartado V de este Anexo.

15. Contar con al menos un respaldo de la información referida en los incisos 8 y 9.

IV. Obligaciones de la Agencia Registradora.

1.    Contar con reglas y procedimientos de operación que sean objetivos, precisos y aseguren que los sistemas, las bases de datos y los equipos de cómputo estarán protegidos contra accesos y modificaciones no autorizados, revelaciones indebidas y/o pérdidas de información.

2.      Mantener un registro público de Certificados Digitales, en el que quede constancia de la fecha y hora de su emisión, período de vigencia y, en su caso, fecha y hora de revocación.  Conservar en línea los datos de los Certificados Digitales por lo menos durante 10 años desde su emisión, de conformidad con la Norma Oficial Mexicana NOM-151-SCFI-2002, Prácticas comerciales-Requisitos que deben observarse para la conservación de mensajes de datos, publicada en el Diario Oficial de la Federación el 4 de junio de 2002.

3.      Permitir  la realización de consultas en línea por medios electrónicos al registro público de Certificados Digitales que administre.

4.      No ofrecer servicios que permitan hacer una búsqueda sistemática de Certificados Digitales en el registro público mencionado en el numeral inmediato anterior.

5.      Publicar en su página en la red mundial (Internet) las disposiciones de Banco de México en relación con la Firma Electrónica y la IES, así como las generalidades de las reglas y procedimientos previstos en el numeral 1 de este apartado IV.

6.      Proporcionar a Banco de México la información que éste le requiera en relación con sus actividades de registro y permitir el acceso a sus instalaciones a las personas autorizadas por Banco de México, a fin de que puedan corroborar el cumplimiento de los requisitos previstos en el presente Anexo, incluyendo la revisión de la seguridad física y lógica de su infraestructura de cómputo.

7.      Responder por los daños y perjuicios que, con motivo de la realización de sus actividades, ocasionen por negligencia en el proceso de registro o revocación de Certificados Digitales.  En todo caso, corresponderá a la AR demostrar que se actuó con el debido cuidado. 

8.      Solicitar a la Dirección de Trámite Operativo de Banco de México la revocación de la autorización que éste le haya otorgado, con una antelación no menor a 60 días naturales a la fecha en que pretenda dejar de prestar el servicio de AR.

Dentro de los 3 días hábiles siguientes a la presentación de la mencionada solicitud, deberá notificar a los Titulares cuyos Certificados Digitales administra, su intención de dejar de actuar como AR, así como la fecha en que revocará tales Certificados Digitales. La fecha de dichas revocaciones no podrá ser inferior a 15 ni superior a 20 días hábiles contados a partir de la fecha en que haya hecho la notificación a los aludidos Titulares.

Adicionalmente, deberá transmitir a Banco de México la base de datos de los Certificados Digitales que administra en la forma y términos que éste le indique, dentro de los 3 días hábiles siguientes a la fecha en que haya revocado el último Certificado Digital. Asimismo, deberá proporcionar a Banco de México la demás información que éste le requiera.

9.  Contar con al menos un respaldo electrónico de la base de datos de los Certificados Digitales que administra.

V. Características de los Certificados Digitales.

1.   El formato del Certificado Digital deberá apegarse a la especificación ITU-T X.509v3.

2.   Los Certificados Digitales tendrán al menos el contenido siguiente:

2. 1 La indicación de que se trata de un Certificado Digital.

2.2 Un código de identificación único del Certificado Digital, de 21 dígitos, organizados de izquierda a derecha de la manera siguiente:

2.2.1 Primeros 6 dígitos (posiciones de la 1 a la 6), para identificar a la AR que tiene almacenado el Certificado Digital.  Este número es asignado por la ARC.

2.2.2 Segundos 6 dígitos (posiciones de la 7 a la 12), para identificar a la AC que expidió el Certificado Digital.  Este número es asignado por la ARC.

2.2.3 Últimos 9 dígitos (posiciones de la 13 a la 21), número consecutivo del Certificado Digital emitido por la AC que corresponda.

2.3 Identificación de la AC que emite el Certificado Digital, con indicación de su nombre o razón social, domicilio y dirección de correo electrónico, así como su Firma Electrónica.

2.4 Datos de identificación del Titular, entre los cuales deben necesariamente incluirse nombre, domicilio, dirección de correo electrónico y los Datos de Verificación de Firma Electrónica.

2.5 La fecha y hora del inicio y fin del periodo de validez del Certificado Digital.

3.    Los Certificados Digitales quedarán sin efecto en los casos siguientes:

3.1 Por extinción del periodo de validez del propio Certificado Digital, el cual no podrá exceder de tres años contados desde la fecha de su emisión.

3.2 Por revocación en las circunstancias siguientes:

3.2.1 A solicitud del Titular;

3.2.2 Por fallecimiento del Titular;

3.2.3 Por resolución judicial;

3.2.4 Por incumplimiento del Titular de sus obligaciones en relación con la IES, previa comunicación que le formule la AC en la que especifique la causa, fecha y hora en que se efectuará la revocación, o

3.2.5 Al comprobar la ARC, la AC o la AR, que los Datos de Creación de Firma Electrónica del Titular se han duplicado o por cualquier razón se encuentre comprometida su integridad o confidencialidad.

3.3 Por revocación de la autorización otorgada por Banco de México a la AR o cuando por cualquier otra causa deje de prestar el servicio de AR, o bien el servicio de banca y crédito.

VI. Derechos y obligaciones de los Titulares.

1.    El Titular tendrá los derechos siguientes:

1.1 Ser informado por la AC al menos de:

1.1.1 Las reglas sobre las prácticas de certificación, los procedimientos que se seguirán en la prestación del servicio y los elementos técnicos que se utilizarán para brindar seguridad y confidencialidad a la información que proporcione para acreditar su identificación;

1.1.2 Las tarifas de los servicios de certificación;

1.1.3 Los procedimientos para la utilización del Certificado Digital y sus limitaciones de uso;

1.1.4 Las características generales de los procedimientos de creación y verificación de Firmas Electrónicas;

1.1.5 Los procedimientos para dirimir controversias, así como la ley aplicable y los tribunales competentes;

1.1.6 Los medios que puede utilizar para solicitar aclaraciones, dar cuenta del mal funcionamiento del sistema o presentar reclamaciones;

1.1.7 Los límites de las responsabilidades de la AC, AR y ARC, y

1.1.8 La revocación de su Certificado Digital y la causa de dicha revocación.

1.2 Ser informado por la AR de la revocación de su Certificado Digital en el supuesto previsto en el numeral 8 del apartado IV anterior.

1.3 Estar en posibilidad de generar en secreto y en forma individual sus Datos de Creación de Firma Electrónica y sus Datos de Verificación de Firma Electrónica.

1.4 Mantener en secreto sus Datos de Creación de Firma Electrónica.

1.5 Tener acceso a un servicio que le permita revocar su Certificado Digital en cualquier momento.

1.6 Tener acceso a un servicio en línea, que en todo momento le permita verificar el estado de cualquier Certificado Digital que le interese.

2.   El Titular tendrá las obligaciones siguientes:

2.1 Hacer declaraciones veraces y completas en relación con los datos que proporcione para su identificación personal o con otros datos que sean objeto de certificación.

2.2  Dar aviso a la AC de cualquier modificación de los datos a que se refiere el numeral anterior, inmediatamente después de que éstos cambien.

2.3 Custodiar adecuadamente sus Datos de Creación de Firma Electrónica a fin de mantenerlos en secreto.

2.4 Solicitar inmediatamente a la AC la revocación de su Certificado Digital en caso de que la integridad y/o confidencialidad de sus Datos de Creación de Firma Electrónica, hayan sido comprometidas.

VII. Límites de responsabilidad de la ARC.

La ARC no responderá por los daños y/o perjuicios que se causen, directa o indirectamente, por la utilización que se realice o pretenda realizarse de la IES, incluyendo los que se causen con motivo de la emisión y registro de Certificados Digitales.