Legislacion Informatica de Resolución 26930/2000, de 26 de octubre de la Superintendencia de Industria y Comercio, por la cual se fijan los estándares para la autorización y funcionamiento de las entidades de certificación y sus auditores.

Resolución 26930/2000, de 26 de octubre de la Superintendencia de Industria y Comercio, por la cual se fijan los estándares para la autorización y funcionamiento de las entidades de certificación y sus auditores.

EL SUPERINTENDENTE DE INDUSTRIA Y COMERCIO

en uso de las facultades legales, en especial las conferidas en los artículos 29º, 34º, 41º y 42º de la Ley 527 de 1999 y los decretos 2153 de 1992, 2269 de 1993 y 1747 de 2000, y

CONSIDERANDO:

En los términos del artículo 41º de la Ley 527 de 1999, se faculta a la Superintendencia de Industria y Comercio para autorizar la actividad de las entidades de certificación en el territorio nacional, así como velar por su funcionamiento y la prestación eficiente del servicio.

En el numeral 11 del artículo 41º de la Ley 527 de 1999 y en el 21º del artículo 2 del decreto 2153 de 1992, se faculta a la Superintendencia de Industria y Comercio para impartir instrucciones sobre el adecuado cumplimiento de las normas a las cuales deben sujetarse las entidades de certificación.

En el artículo 34º de la Ley 527 de 1999 se determina que la Superintendencia de Industria y Comercio autorizará la cesación de actividades de las entidades de certificación.

En el numeral 10 del artículo 2º del decreto 2153 de 1992 y en el numeral 5 del artículo 41º de lalLey 527 de 1999, se determina que la Superintendencia de Industria y Comercio podrá solicitar a las personas naturales o jurídicas el suministro de información, datos, informes, libros y papeles de comercio que se requieran para el correcto ejercicio de sus funciones.

RESUELVE

CAPÍTULO I. Entidades de certificación cerradas

Artículo 1°. Autorización de entidad de certificación cerrada. La persona que solicite autorización como entidad de certificación cerrada, según lo dispuesto en numeral 8 del artículo 1º del Decreto 1747 de 2000, deberá demostrar el cumplimiento de las condiciones establecidas en el artículo 29º de la Ley 527 de 1999 y en los artículos 3º y 4º del Decreto 1747 de 2000, para lo cual deberá diligenciar el anexo 1 de esta resolución y adjuntando la siguiente información:

Certificado de existencia y representación legal, o copia de las normas que le otorgan la calidad de representante legal de una entidad pública o de notario o cónsul.
Un formato diligenciado del anexo 2 por cada uno de los administradores o representantes legales.

Artículo 2°. Cambio de servicios ofrecidos en entidad de certificación cerrada. Cuando la entidad de certificación cerrada pretenda ofrecer nuevos servicios como entidad de certificación dentro del entorno cerrado, según lo dispuesto en el numeral 8 del artículo 1º del Decreto 1747 de 2000, deberá solicitar autorización previa ante esta Superintendencia, mediante el diligenciamiento del anexo 4.

Artículo 3°. Remisión de información por cambio o actualización de datos en entidad de certificación cerrada. De conformidad con el artículo 21º del Decreto 1747 de 2000, cuando alguno de los datos de la entidad de certificación cerrada que reposan en esta Superintendencia cambie, la entidad de certificación deberá remitir la información correspondiente al cambio, dentro de los 10 días posteriores a la modificación.

En caso de modificación de la información o inclusión de un representante legal o administrador, el nuevo represente legal o administrador deberá diligenciar el anexo 2 y remitirlo a esta Superintendencia.

Artículo 4°. Información periódica de entidad de certificación cerrada. La entidad de certificación cerrada deberá almacenar la información de toda su actividad y enviar a esta Superintendencia dentro de los 10 primeros días del inicio de cada trimestre (enero-marzo, abril-junio, julio-septiembre, octubre-diciembre), un archivo de texto según el anexo 5, con la siguiente información sobre la actividad del trimestre inmediatamente anterior, discriminada mes a mes:

Número de certificados emitidos, de acuerdo con el tipo de certificados.

Número de certificados vigentes, de acuerdo con el tipo de certificados.

Número de certificados revocados

Artículo 5°. Cesación de actividades en la entidad de certificación cerrada. Conforme lo dispuesto en el artículo 34º de la Ley 527 de 1999 y el artículo 19º del Decreto 1747 de 2000, las entidades de certificación cerradas deberán solicitar la autorización de cesación de una o más actividades ante esta superintendencia diligenciando el anexo 3.

Una vez autorizada la cesación, la entidad de certificación deberá concluir el ejercicio de las actividades autorizadas para cesar, en la forma y siguiendo el cronograma que para el efecto se señale.

Artículo 6°. Publicidad de la entidad de certificación cerrada. En cualquier publicidad o en cualquier medio en el cual la entidad de certificación ofrezca los servicios deberá indicar que cuenta con autorización de la Superintendencia de Industria y Comercio para operar, según el siguiente texto : “Entidad de certificación cerrada autorizada por la Superintendencia de Industria y Comercio”.

CAPÍTULO II. Entidades de certificación abiertas

SECCIÓN I. Autorización

Artículo 7°. Autorización de entidad de certificación abierta. La persona que solicite autorización como entidad de certificación abierta según lo dispuesto en numeral 9 del artículo 1º del Decreto 1747 de 2000, deberá demostrar que la actividad está prevista en el objeto social principal, el cumplimiento de las condiciones establecidas en los artículos 29º de la Ley 527 de 1999 y 5º, 6º, 7º, 8º, 9º, 10º, 11º del Decreto 1747 de 2000 y los estándares, planes y procedimientos de seguridad establecidos en la sección V de esta resolución , diligenciando el anexo 1 y adjuntando la siguiente información:

1. anexo 2 debidamente diligenciado por cada uno de los administradores o representantes legales adjuntando:

Certificado judicial vigente o documento equivalente proveniente del país o países donde haya residido.

Copia del certificado de existencia y representación legal, o copia de las normas que le otorgan la calidad de representante legal de una entidad pública o de notario o cónsul.

2. Copia del acto que le otorga la personería jurídica, y copia de las normas que le otorgan la calidad de representante legal de una entidad pública o de notario o cónsul, o certificado de existencia y representación legal. Cuando se trate de persona extranjera se deberá acreditar el cumplimiento de lo señalado en el libro II titulo XIII del código de comercio y el artículo 48º del código de procedimiento civil, según lo dispuesto en el numeral 1 artículo 5º del Decreto 1747 de 2000.

3. Informe de auditoría en los términos del artículo 15º de esta resolución.

4. Estados financieros certificados con forme a la ley y con una antigüedad no superior a seis meses, según lo dispuesto en el numeral 1 del artículo 7º del Decreto 1747 de 2000.

5. Copia del documento que acredite que se han constituido las garantías de acuerdo a lo dispuesto en el artículo 8º del Decreto 1747 de 2000.

6. Documento con descripción detallada de la infraestructura, procedimientos, recursos según lo previsto en el artículo 9º del Decreto 1747 de 2000. El cumplimiento de los requisitos deberá acreditarse según lo previsto en la sección V del capítulo II de esta resolución.

En caso de que la infraestructura sea prestada por un tercero, copia de los contratos o convenios con estos, en idioma español.

7. Declaración de prácticas de certificación, en adelante DPC.

SECCIÓN II. Cumplimiento requisitos permanentes

Artículo 8°. Cambio de servicios ofrecidos en entidad de certificación abierta. Cuando la entidad de certificación abierta pretenda ofrecer nuevos servicios, deberá solicitar autorización previa ante esta Superintendencia, mediante el diligenciamiento del anexo 4, adjuntando el informe de auditoría correspondiente al nuevo servicio.

Artículo 9°. Remisión de información por cambio o actualización de datos en entidad de certificación abierta. De conformidad con el artículo 21º del Decreto 1747 de 2000, cuando alguno de los datos de la entidad de certificación abierta que reposan en esta Superintendencia cambie, la entidad de certificación deberá remitir la información correspondiente al cambio, dentro de los 10 días posteriores a la modificación.

En caso de modificación de la información o inclusión de un representante legal o administrador, el nuevo represente legal o administrador deberá diligenciar el anexo 2 y remitirlo a esta Superintendencia adjuntando:

Certificado de Judicial vigente o documento equivalente provenientes del país o países donde haya residido

Certificado del órgano competente de los países en que haya residido que certifique que no ha sido excluido o suspendido por actos graves contra la ética de la profesión

Artículo 10°. Información periódica de entidad de certificación abierta. La entidad de certificación abierta deberá almacenar la información de toda su actividad y enviar a esta Superintendencia dentro de los 10 primeros días del inicio de cada trimestre (enero-marzo, abril-junio, julio-septiembre, octubre-diciembre), un archivo de texto según el anexo 5, con la siguiente información sobre la actividad del trimestre inmediatamente anterior, discriminada mes a mes:

Número de certificados emitidos, de acuerdo con el tipo de certificados.

Número de certificados vigentes, de acuerdo con el tipo de certificados.

Número de certificados revocados

Compromisos adquiridos por cada tipo de certificado.

Artículo 11°. Actualización anual de información de estados financieros, garantías y e informe de auditoría. La entidad de certificación abierta deberá remitir a esta Superintendencia los estados financieros de fin ejercicio, el informe de auditoría contemplado en el numeral 3 del artículo 7 de esta resolución, dentro de los primeros 15 días corrientes de febrero de cada año calendario.

Artículo 12°. Suspensión programada del servicio. Durante cada año calendario, las entidades de certificación podrán cesar temporalmente sus actividades por un lapso máximo de 3 días continuos o discontinuos, para mantenimiento del sistema. Cualquier otra suspensión deberá ser solicitada y aprobada por la Superintendencia de Industria y Comercio, previa justificación.

La suspensión permitida deberá informarse a los usuarios con por lo menos con 15 días de antelación y constancia del aviso remitirse a esta Entidad, a mas tardar el primer día de la suspensión.

Artículo 13°. Publicidad de la entidad de certificación abierta. En cualquier publicidad o en cualquier medio en el cual la entidad de certificación ofrezca los servicios deberá indicar que cuenta con autorización de la Superintendencia de Industria y Comercio para operar, según el siguiente texto : “Entidad de certificación abierta autorizada por la Superintendencia de Industria y Comercio”.

SECCIÓN III. Firmas auditoras de entidades de certificación

Artículo 14°. Firmas auditoras. La firma auditora nacional que realice el informe de auditoría referido en el artículo 12º del Decreto 1747 de 2000, deberá ser un organismo de inspección del sistema nacional de normalización, certificación y metrología acreditada para realizar inspecciones en sistemas informáticos de seguridad y contabilidad, de conformidad con lo señalado en el decreto 2269 de 1993, la resolución 140 de 1994 de la Superintendencia de Industria y Comercio y las disposiciones que los sustituyan o complementen.

Estas firmas deberán cumplir, además de lo requerido en el decreto 2269 de 1993, lo siguiente:

1. Estar compuesta por un grupo interdisciplinario de profesionales que incluirá por lo menos 1 ingeniero de sistemas especializado en sistemas de seguridad, 1 contador y 1 abogado con amplios conocimientos en el tema, quienes deberán cumplir con las normas vigentes relacionadas con cada una de las profesiones.

2. Acreditar experiencia de la firma o de uno de sus socios o funcionarios, en auditorías en sistemas informáticos de seguridad y contabilidad por lo menos de 3 años.

3. Acreditar capacidad para certificar el cumplimiento de los requisitos técnicos y estándares exigidos en la Ley 527 de 1999, el Decreto 1747 de 2000 y esta resolución.

Artículo 15°. Contenido obligatorio del informe de auditoría. Tratándose de entidades extranjeras que obren en las condiciones previstas en el artículo 12º del Decreto 1747 de 2000, los informes de auditoría deberán anexar certificación que demuestre que está facultada para realizar este tipo de auditorías en su país de origen.

El informe de auditoria deberá indicar por lo menos:

Nombre e identificación de la firma auditora.

Fecha de inicio y terminación de la auditoría.

Declaración de conformidad de cada una de las condiciones previstas en el artículo 29º de la Ley 527 de 1999, el Decreto 1747 de 2000, a la presente resolución y las normas que los modifiquen y adicionen.

Manifestación de conformidad de la declaración de prácticas de certificación y evaluación de la efectividad de los planes, políticas y procedimientos de seguridad contenidos tanto en la declaración como los exigidos en la sección V de esta resolución.

Manifestación del cumplimiento de los estándares indicados en el artículo 23º de esta resolución, teniendo en cuenta criterios reconocidos para el efecto, que cumplan por los menos con los objetivos del nivel de protección 2 (Evaluation Assurance Level 2) definido por Common Criteria for Information Technology Security Evaluation (CC 2.1) CCIMB-99-031 desarrollado por el Common Criteria Project Sponsoring Organization en su parte 3 o su equivalente en la norma ISO/IEC 15408. En el informe deberá precisar para cada uno de estos objetivos del artículo 23º de esta resolución el criterio que observó, la fuente de ese criterio y el reconocimiento que tiene.

Firma del representan legal de la firma auditora.

SECCIÓN IV. Cesación de actividades

Artículo 16°. Autorización de cesación de entidades de certificación abiertas. Conforme lo dispuesto en el artículo 34º de la Ley 527 de 1999 y el artículo 19º del Decreto 1747 de 2000, las entidades de certificación abiertas deberán solicitar autorización de cesación de una o más actividades ante esta Superintendencia, diligenciando el anexo 3 y adjuntando la siguiente información:

Plan que garantice la protección de la información confidencial de los suscriptores.

Plan de conservación de los archivos necesarios para futuras verificaciones de los certificados que emitió, hasta el otorgamiento de la autorización de cesación del servicio.

Dicho plan debe permitir el acceso y posterior consulta de los documentos y extenderse hasta una fecha posterior a la fecha en que se extingan las responsabilidades que se puedan derivar de los certificados expedidos y el plazo que prevean las normas de conservación documental para cada uno de los documentos.

Plan que garantice la publicación en los repositorios propios si no cesa todas las actividades o en los de otra entidad de certificación abierta que la Superintendencia de Industria y Comercio determine, si cesará todas las actividades.

En caso de cesar todas las actividades de entidad de certificación, un plan de seguridad que garantice la adecuada destrucción de la clave privada de la entidad

Artículo 17°. Procedimiento para la cesación de actividades. Una vez la Superintendencia autorice la cesación de actividades, la entidad de certificación deberá informar a todos los suscriptores, mediante dos avisos publicados en diarios de amplia circulación nacional, con un intervalo de 15 días, sobre:

La terminación de su actividad o actividades y la fecha precisa de cesación.

Las consecuencias jurídicas de la cesación respecto de los certificados expedidos.

En todo caso los suscriptores podrán solicitar la revocación y el reembolso equivalente al valor del tiempo de vigencia restante del certificado, si lo solicitan dentro de los dos (2) meses siguientes a la segunda publicación.

La terminación de la actividad o actividades se hará en la forma y siguiendo el cronograma que para el efecto señale la Superintendencia.

SECCIÓN V. Estándares, planes y procedimientos de seguridad

Artículo 18°. Estándares. Para los efectos previstos en el artículo 27º del Decreto 1747 de 2000, admitirán siguientes estándares:

Para algoritmos de firma. a) Algoritmos definidos en el “draft Representation of Public Keys and Digital Signatures in Internet X.509 Public Key Infrastructure Certificates” desarrollado por el PKIX Working group del Internet Engineering Task Force (IETF), excluyendo el MD2.

b) El algoritmo y la longitud de la clave seleccionados deben garantizar la unicidad de la firma digital de los documentos que se firmen de acuerdo con los usos permitidos del certificado. Esta longitud debe ser superior o igual a 1024 bits en el algoritmo de RSA o su equivalente. Longitudes inferiores serán admitidas, pero no menores de 512 bits o su equivalente, previa justificación de garantía de la unicidad.

Para generación de par de claves: Un método de generación de claves privada y pública que garantice la unicidad y la imposibilidad de estar incurso en situaciones contempladas en el artículo 16 del Decreto 1747 de 2000.

Para generación de firma digital. Un sistema de generación de firma digital que utilice un algoritmo de firma digital admitido.

Para certificados en relación con firma digital. Los certificados compatibles con el estándar de la International Telecomunication Union (ITU – T) X – 509 versión 3.
Para listas de certificados revocados. El estándar de CRL de la ITU X-509 Versión 2.

Artículo 19°. Declaración de Prácticas de Certificación. La declaración de prácticas de certificación a que se hace referencia en el artículo 6º del Decreto 1747 de 2000, deberá estar accequible desde el “homepage” de la entidad de certificación, disponible al público en todo momento y tendrá que incluir:

La identificación de la entidad que presta los servicios de certificación. Esta información incluirá el nombre, razón o denominación social de la entidad, el domicilio social, teléfono, fax, dirección de correo electrónico y la oficina responsable de las peticiones, consultas y reclamos de los suscriptores y usuarios. Si la entidad de certificación tiene entidades subordinadas o subcontratadas, deberá incluir esta misma información respecto de cada una de ellas.

La política de manejo de los certificados, que debe incluir:

Los requisitos y el procedimiento de expedición de certificados, incluyendo los procedimientos de identificación del suscriptor y de las entidades reconocidas, de acuerdo con lo previsto en el artículo 43º de la Ley 527 de 1999.

Los tipos de certificados que ofrece, sus diferencias, el grado de confiabilidad y los posibles usos de cada uno de ellos, limites de responsabilidad y el tiempo durante el cual se garantiza la condición de unicidad de la firma digital.

El contenido de cada uno de los distintos tipos de certificados.

El procedimiento para la actualización de la información contenida en los certificados.

El procedimiento, las verificaciones, la oportunidad y las personas que podrán invocar las causales de suspensión o revocación de los certificados.

La vigencia de cada uno de los tipos de certificados.

La Información sobre el sistema de seguridad para proteger la información que se recoge con el fin de expedir los certificados.

Las obligaciones de la entidad de certificación y de los suscriptores del certificado y las precauciones que deben observar los terceros que confían en el certificado.

La información que se le va a solicitar a los suscriptores.

El manejo de la información que se obtiene de los suscriptores de acuerdo a las normas aplicables en la materia, detallando:

El manejo de la información de naturaleza confidencial.

Los eventos en que se revelará la información confidencial dada por el suscriptor, de acuerdo con las normas vigentes.

Las garantías que ofrece la entidad para el cumplimiento de las obligaciones que se deriven de sus actividades y los clausulados de los seguros que protegen a los terceros por los perjuicios que pueda causar la entidad y/o los reglamentos de los contratos de fiducia constituidos para el efecto.

Los límites de responsabilidad de la entidad de certificación en cada uno de los tipos de certificados y por cada documento firmado.

Las tarifas de expedición y revocación de certificados y los servicios que incluyen.

Los procedimientos de seguridad para el manejo de los siguientes eventos:

Cuando la seguridad de la clave privada de la entidad de certificación se ha visto comprometida.

Cuando el sistema de seguridad de la entidad de certificación ha sido vulnerado.

Cuando se presenten fallas en el sistema de la entidad de certificación que comprometan la prestación del servicio.

Cuando los sistemas de cifrado pierdan vigencia por no ofrecer el nivel de seguridad contratado por el suscriptor.

El plan de contingencia encaminado a garantizar la continuidad del servicio de certificación, en caso de que ocurra algún evento que comprometa la prestación del servicio.

Modelos y minutas de los contratos que utilizará. En caso de prever su existencia, texto de las cláusulas compromisorias que establezcan el procedimiento jurídico para la resolución de conflictos, especificando al menos la jurisdicción y ley aplicable en el caso en que alguna de las partes no tenga domicilio en el territorio colombiano.
La política de manejo de otros servicios que fuere a prestar, detallando sus condiciones.

Artículo 20°. Sistema confiable. Para los efectos del artículo 2º del Decreto 1747 de 2000 un sistema será confiable cuando cumpla con lo señalado en los artículos 21º, 22º y 23º de la presente resolución.

Artículo 21°. Políticas, planes y procedimientos de seguridad. La entidad debe definir y poner en práctica después de autorizada las políticas, planes y procedimientos de seguridad tendientes a garantizar la prestación continua de los servicios de certificación, que deben ser revisados y actualizados periódicamente. Estos deben incluir al menos:

Políticas y procedimientos de seguridad de las instalaciones físicas y los equipos.

Políticas de acceso a los sistemas e instalaciones de la entidad, monitoreo constante.

Procedimientos de actualización de hardware y software, utilizados para la operación de entidades de certificación.

Procedimientos de contingencia en cada uno de los riesgos potenciales que atenten en contra del funcionamiento de la entidad, según estudio que se actualizará periódicamente.

Plan de manejo, control y prevención de virus informático.

Procedimiento de generación de claves de la entidad de certificación que garantice que:

Solo se hace ante la presencia de los administradores de la entidad.

Los algoritmos utilizados y la longitud de las claves utilizadas son tales que garanticen la unicidad de las firmas generadas en los certificados, por el tiempo de vigencia máximo que duren los mensajes de datos firmados por sus suscriptores.

Artículo 22°. Corta fuegos (Firewall). La entidad de certificación debe aislar los servidores de la red interna y externa mediante la instalación de un corta fuegos o firewall, en el cual deben ser configuradas las políticas de acceso y alertas pertinentes.

La red del centro de cómputo debe estar ubicada en segmentos de red físicos independientes de la red interna del sistema, garantizando que el corta fuegos sea el único elemento que permita el acceso lógico a los sistemas de certificación.

Artículo 23°. Sistemas de emisión y administración de certificados. Los sistemas de emisión y administración de certificados deben prestar en forma segura y continua el servicio. En todo caso las entidades deberán cumplir al menos con una de las siguientes condiciones:

Cumplir el Certificate Issuing and Management Components Protection Profile nivel 2 desarrollado por el National Institute of Standards and Technologies; o
Cumplir con requerimientos técnicos que correspondan por lo menos con los objetivos del nivel de protección 2 (Evaluation Assurance Level 2) definido por Common Criteria for Information Technology Security Evaluation (CC 2.1) CCIMB-99-031 desarrollado por el Common Criteria Project Sponsoring Organization en su parte 3 o su equivalente en la norma ISO/IEC 15408, de:

Sistema de registro de auditoría de todas las operaciones relativas al funcionamiento y administración de los elementos de emisión y administración de certificados, que permita reconstruir en todo momento cualquier actividad de la entidad;

Sistema de almacenamiento secundario de toda la información de la entidad, en un segundo dispositivo que cuente por lo menos con la misma seguridad que el dispositivo original, para poder reconstruir la información de forma segura en caso necesario;

Dispositivo de generación y almacenamiento de la clave privada, tal que se garantice su privacidad y destrucción en caso de cualquier intento de violación. El dispositivo y los procedimientos deben garantizar que la generación de la clave privada de la entidad solo puede ser generada en presencia de los representantes legales de la misma; y
Sistema de chequeo de integridad de la información sistema, los datos y en particular de sus claves.

CAPÍTULO III. Certificados

Artículo 24°. Contenido de los certificados. Los certificados deberán cumplir con lo señalado en el numeral 4 del artículo 18º y con los requisitos exigidos en artículo 35º de la Ley 527 de 1999.

Artículo 25°. Contenido de los certificados recíprocos. Los certificados recíprocos señalados en el parágrafo del artículo 14º del Decreto 1747 de 2000 deben contener al menos la siguiente información:

Identificador único del certificado.

Clave pública de la entidad que se está reconociendo.

Tipos de certificados a los que se remite el reconocimiento.

Duración del reconocimiento.

Referencia de los límites de responsabilidad del tipo de certificado al cual se remite el reconocimiento.

Artículo 26°. Vigencia. La presente resolución rige a partir de la fecha de su publicación en diario oficial.

PUBLÍQUESE Y CÚMPLASE

Dada en Bogotá, D.C. a los

El Superintendente de Industria y Comercio, EMILIO JOSÉ ARCHILA PEÑALOSA

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.