ARTICULO I
ASPECTOS JURÍDICOS DE INTERNET Y EL COMERCIO ELECTRÓNICO
DIEGO MARTÍN BUITRAGO BOTERO
ABOGADO U DE M
PRELIMINARES
El mundo moderno se ha transformado de manera acelerada en los
últimos 10 años. Transformación que no solo
ha cambiado la rutina de los hombres, la economía de las
naciones, el poderío mismo de ellas, sino también
la forma de hacer negocios y realizar transacciones, y en especial
la forma como se soportan tales actividades. Ordinariamente la
celebración de contratos y realización de transacciones
comerciales ha requerido de DOCUMENTOS ESCRITOS y FIRMAS AUTÓGRAFAS.
Tales requisito como prueba fundamental que contiene o bien una
oferta, su aceptación, un contrato de compraventa, o u
titulo Valor. Documentos sin los cuales no se podría alegar
la existencia de alguna de tales circunstancia, o por lo menos
la demostración de su existencia será muy engorrosa.
En la actualidad se ha generado una tendencia universal a darle
valor a los documentos llamados ELECTRÓNICOS, documentos generados
por medio electrónicos y que quedan dentro de un sistema
de información con la posibilidad de ser apreciado por
los mismos medios. Esta tendencia no es solo de teorías,
doctrinas o jurisprudencias, sino de las mismas legislaciones,
propiciadas por la LEY MODELO DE COMERCIO ELECTRONICO DE LA UNCITRAL.
Esta ley modelo establece como los documentos electrónicos
tienen el mismo efecto jurídico que los documentos físicos.
En Colombia tal situación se ha establecido por medio de
la ley 527 de 1999 "Por medio de la cual se define y reglamenta
el acceso y uso de los mensajes de datos, del comercio electrónico
y de las firmas digitales, y se establecen las entidades de certificación
y se dictan otras disposiciones". Aunque el tema no ha sido
desarrollado plenamente, esta ley es un inicio de lo que debe
ser la reglamentación de los documentos informaticos.
Pero definitivamente el tema de los documentos electrónicos
no es novedoso, aunque si desconocido.
En el año de 1982 el gobierno expide el DEC. 2328 (Agosto
2) "por medio del cual se dictan normas sobre el servicio
de transmisión o recepción de información
codificada (datos) entre equipos informaticos, es decir, computadoras
y/o terminales en el territorio nacional", y en el año
de 1984 el DEC. 148 (enero 24) "por el cual se dictan normas
sobre los servicios de transmisión de información
codificada 8datos) para correspondencia publica y se reglamentan
parcialmente los artículos 184 y 186 del decreto-ley 222
de 1983". Ya desde la década de los 80 se hace mención
a los servicios de transmisión de información codificada
(datos - hoy mensajes de datos), inclusive se habla de correo
electrónico.
Pese a ello aun no existe una verdadera voluntad política
que plantee la regulación y reglamentación de los
temas informáticos y en especial del derecho infromatico,
consecuencia de ellos la falta de divulgación y conocimiento
del tema de los documentos electrónicos y las firmas digitales,
y aun mas grave es que la rama jurisdiccional del estado aun no
toma la suficiente conciencia de los efectos que estas leyes traen
dentro de los tramites procesales.
se hace urgente pues que el gobierno nacional que se ponga mas
atención a los temas que ya no son del futuro sino del
presente, y propicie campañas de capacitación y
actualización en todas las ramas del poder a fin de que
su Aplicabilidad no se vea frenada por el desconocimiento de la
misma. No basta con expedir la llamada "LEY DE COMERCIO ELECTRONICO",
es necesario que de ella salgan nuevas normas que la reglamenten.
Los abogados que se están formando en las escuelas de derecho,
los litigantes, juristas y tratadistas, estamos en la obligación
de avanzar al ritmo de la tecnología a fin de poder suministrar
u servicio eficiente, confiable y vigente.
ORIGENES DE INTERNET
Internet es un conjunto de redes de información enlazadas
entre sí, que permiten el intercambio de datos de cualquier
tipo, por casi todos los países del mundo; razón
por la que se le conoce también como la "red de redes"
o "Telaraña Mundial de Comunicación".
Las tecnologías en las cuales se basa el funcionamiento
de Internet fueron inicialmente desarrolladas por el Departamento
de Defensa Norteamericano con el proyecto DARPA, a finales de
los años 60. Esta tecnología fue creada inicialmente
con propósitos militares, pero luego las universidades
y centros de investigación se unieron a esta red para compartir
información científica y tener acceso a grandes
centros de cómputo.
Desde entonces se inició el proceso de crecimiento a pasos
agigantados, que permite que este servicio pueda ser disfrutado
por gran cantidad de personas en todo el mundo.
Internet está conformado por la unión de redes
de universidades, centros de investigación, empresas privadas
y comerciales, entre otras; las cuales son administradas independientemente
y cooperan entre sí para funcionar como un todo. Existe
un organismo central llamado el Network Information Center (NIC)
que se encarga de asignar direcciones Internet (números
IP) diferentes a cada usuario, y La ICANN que es la encargada
de asignar los nombres de dominio.
Adicionalmente hay un conjunto de organismos que se encargan
de velar por el desarrollo armónico de la red, desde el
punto de vista técnico. Algunos de ellos son Grupo de trabajo
de ingeniería de Internet (IETF), el consejo de arquitectura
de Internet (IAB) y el grupo de trabajo de investigación
en Internet (IRTF).
En Internet se pueden hacer múltiples cosas, entre ellas:
- Consultar información técnica, científica,
económica, social, deportiva, comercial, etc.
- Enviar y recibir mensajes por el correo electrónico.
- Transferir archivos y programas de un lugar a otro.
- Participar en grupos de discusión sobre temas de interés
específico.
- Establecer comunicación grupal o privada.
- Adquirir bienes y servicios ofrecidos por entidades comerciales
de carácter internacional.
PRESTACION DEL SERVICIO EN INTERNET
El Servicio de acceso a Internet es un servicio que permite acceder
a la información y aplicaciones disponibles en la red Internet,
es decir, es el servicio que posibilita tener ingreso a todos
y cada uno de los servidores y de las paginas que se hospedan
en la red.
La prestación del servicio de Internet es una relación
contractual entre un ISP (Internet Service provider - Proveedor
de Servicio de Internet) y sus respectivos usuarios, por medio
de un Contrato de ADHESION, que se rige por las normas del derecho
civil, comercial y del derecho de autor.
La prestación del servicio se realiza por medio de un
contrato convencional, el cual no tiene mayores complicaciones;
por lo general es un modelo estándar para todos los contratos,
el cual contiene una descripción general del acceso deseado,
la velocidad de la comunicación, el canal de comunicación
digital o analógico, línea arrendada o conmutada,
acceso a un servidor de noticias, un buzón electrónico
y el costo y el método de factura entre otros. Como ya
se advirtió este contrato es de los llamados contratos
de adhesión, en el cual el usuario se adhiere a las condiciones
y parámetros establecidos por el ISP.
Uno de los principales problemas de la conformación de
las ISP, es que no existe unificación a nivel mundial en
cuanto a las exigencias para su constitución y prestación
del servicio. Algunos países exigen una licencias como
es el caso del Reino Unido ; otros por el contrario solo exigen
de una simple declaración ante la autoridad de telecomunicación
sobre el inicio de sus actividades, como en el caso de Alemania
y Bélgica; y otros por el contrario no exigen nada, como
es el caso de E.U y Canadá. Debido a que la legislación
sobre Internet no está unificada en todos los países,
puede suceder el caso que una empresa haga todos los trámites
necesarios para prestar el servicio en el país donde está
domiciliada ella, y no sabe si esta licencia sirve para todos
los demás países donde ella tenga sucursales o agencias.
En Colombia la exigencia recae sobre las empresas que prestan
los servicios de telecomunicaciones, las cuales deben cumplir
con los preceptos que para el efecto consagran las diferentes
normas que regulan la materia.
Este problema en Europa se ha solucionado parcialmente, puesto
que los países de la Unión Europea firmaron una
convención dentro del European Telecomunications Office
(ETO), creada por el European Committee for the regulation of
Telecomunications (ECRT), el 30 de abril de 1994, concerniente
a los regímenes de líneas y autorizaciones en Europa.
Pacto que consiste en que una empresa de un país que haga
parte del mismo, que vaya a prestar sus servicios a otra que también
pertenece a él, lo puede hacer sin necesidad de licencia.
Ya que un proveedor de servicios puede proporcionarlos, sin impedimento,
en otros países de la unión.
Mediante el pacto se creó una oficina encargada de tramitar
todas las autorizaciones o declaraciones, para el uso del Internet.
Aunque cada nación sigue teniendo su legislación
independiente, pero rigiéndose por los parámetros
del pacto.
No obstante estos estados de la Unión Europea, pueden
estipular excepciones a la libre prestación de servicios,
en casos muy específicos y bajo condiciones muy rigurosas,
mediante el establecimiento de restricciones discriminatorias
(por razones de orden publico, seguridad estatal y salud pública)
y en algunos casos de restricciones no discriminatorias (si son
de interés general). La finalidad del control ejercido
por las autoridades de la Unión Europea que suscribieron
el pacto, es verificar que las medidas adoptadas sean proporcionales
al objetivo perseguido.
Pero en el continente americano la problemática existe,
puesto que el único tratado vigente al respecto es el de
libre comercio celebrado entre México, Estados Unidos y
Canadá, en el cual se prohiben las restricciones discriminatorias.
Sin embargo, se respetará la legislación interna
de cada estado, y el país miembro del pacto, queda obligado
a garantizar a los proveedores de servicio de otro estado miembro,
el más favorable de los dos regímenes, ya sea el
aplicable por el estado o a sus propios nacionales o a sus propios
nacionales en condiciones similares.
Internet ha cambiado la forma de contratar y en especial la forma
de la sociedad actual, una sociedad que ha pasado del documento
escrito el documento virtual (el MENSAJE DE DATOS), así
se da plena validez legal a las transacciones y contratos "sin
papel". Pero todo ello obliga a que hoy día se establezcan
acuerdos internacionales que armonicen las diferentes legislaciones
sobre comercio por medio de Internet, lo que comúnmente
se conoce como COMERCIO ELECTRONICO.
Así pues se hace necesario un marco general de regulación
de aspectos tan vitales como el control de las transacciones internacionales,
el cobro de impuestos, la protección de los derechos de
propiedad intelectual, la protección de los consumidores
en cuanto a publicidad engañosa o no deseada, el fraude,
los contenidos ilegales e ilícitos y el uso abusivo de
datos personales; así mismo obliga a generar altos niveles
de seguridad de las transacciones y medios de pago electrónicos.
Todo ello por la falta de estándares consolidados y la
proliferación de aplicaciones y protocolos de comercio
electrónico incompatibles.
USUARIOS DE INTERNET
A Nivel Mundial en millones de usuarios
1997 10
1998 159
1999 212
2000 272
2001 379
2002 459
2003 510
Fuente: Nielse/NetRatings.com
En Colombia
Numero de Usuarios a Octubre de 2000: 700.000
% población con acceso a Internet 1.75% /(40 Millones)
Numero de paginas .CO registradas a Enero de 2000: 40.565
ARTICULO II
COMERCIO ELECTRONICO
Internet constituye la forma primaria de comercio electrónico
y permite a las compañías establecer contactos con
los consumidores potenciales o con otras compañías
por medio del correo electrónico.
En Colombia se expidió la LEY 527 DE 1999 (Agosto 18 de
1999) "Por medio de la cual se define y reglamenta el acceso
y uso de los mensajes de datos, del comercio electrónico
y de las firmas digitales, y se establecen las entidades de certificación
y se dictan otras disposiciones". El objetivo principal de
la ley es adoptar un marco normativo que avale los últimos
desarrollos tecnológicos sobre seguridad en materia de
comercio electrónico, de manera que se pueda dar pleno
valor jurídico a los mensajes electrónicos de datos
que hagan uso de esta tecnología .
Esta ley define en su art. 2 literal b el Comercio electrónico
de la siguiente manera "COMERCIO ELECTRONICO: Abarca las
cuestiones suscitadas por toda relación de índole
comercial, sea o no contractual, estructurada a partir de la utilización
de uno o más mensajes de datos o de cualquier otro medio
similar. Las relaciones de índole comercial comprenden,
sin limitarse a ellas, las siguientes operaciones: toda operación
comercial de suministro o intercambio de bienes o servicios; todo
acuerdo de distribución; toda operación de representación
o mandato comercial; todo tipo de operaciones financieras, bursátiles
y de seguros; de construcción de obras; de consultoría;
de ingeniería; de concesión de licencias; todo acuerdo
de concesión o explotación de un servicio público;
de empresa conjunta y otras formas de cooperación industrial
o comercial; de transporte de mercancías o de pasajeros
por vía aérea, marítima y férrea,
o por carretera"
La nueva ley es clara en establecer que cuando una norma exija
que la información conste por escrito, este requisito queda
satisfecho con un mensaje de datos, si la información que
éste contiene es accesible para su posterior consulta.
ANTECEDENTES
La ley 527 toma como base la Ley Modelo sobre Comercio electrónico
elaborada por la UNCITRAL y aprobada por la Asamblea General de
la ONU en 1996, ella establece:
"COMERCIO ELECTRÓNICO comprende todas aquellas transacciones
comerciales, nacionales e internacionales, que se realizan por
medio del intercambio electrónico de datos y por otros
medios de comunicación, en los que se usan métodos
de comunicación y almacenamiento de información
substitutivos de los que usan papel"
ORGANIZACIÓN MUNDIAL DEL COMERCIO
Estudios estadísticos indican que para el año de
1991 había menos de 5 millones de usuarios en Internet.
En la actualidad existen más de 459 millones (menos de
la decima parte de la población mundial) de ellos América
Latina representa el 4%.
Las transacciones electrónicas requieren contratos electrónicos
y firmas electrónicas que no han sido regulados hasta ahora
por el derecho de muchos países. La mayoría de los
países en desarrollo que deseen participar en el comercio
electrónico, necesitan emprender cambios legislativos importantes
en este sentido.
DECRETO 2328 de 1982
"Por el cual se dictan normas sobre el servicio de transmisión
o recepción de información codificada (datos) entre
equipos informaticos, es decir, computadoras y/o terminales en
el territorio nacional"
"Art. 1. La empresa Nacional de Telecomunicaciones prestará
el servicio de transmisión de datos a través de
los siguientes medios..."
DECRETO 148 de 1984
"Por el cual se dictan normas sobre los servicios de transmisión
de información codificada (datos) para correspondencia
publica y se reglamentan parcialmente los artículos 184
y 186 del decreto-ley 222 de 1983"
Este decreto define Telex, Correo Electrónico, Transmisión
de Datos, etc.
"Correo Electrónico: Servicio que mediante el uso
de diferentes tecnologías electrónicas y medios
de telecomunicación permite la transferencia de mensajes,
documentos, memorandos, oficios y similares almacenándolos
en un lugar y permitiendo su extracción y reproducción
en forma de copia a distancia."
DECRETO 2150 DE 1995
ARTÍCULO 26: Utilización de sistemas electrónicos
de archivo y transmisión de datos. Las entidades de la
administración pública deberán habilitar
sistemas de transmisión electrónica de datos para
que los usuarios envíen o reciban información requerida
en sus actuaciones frente a la administración.
En ningún caso las entidades públicas podrán
limitar el uso de tecnologías para el archivo documental
por parte de los particulares sin perjuicio de los estándares
tecnológicos que las entidades públicas adopten
para el cumplimiento de algunas de las obligaciones legales a
cargo de los particulares.
DECRETO 266 DE 2000
ARTÍCULO 26: Medios tecnológicos.
Se autoriza a la administración pública para el
empleo de cualquier medio tecnológico o documento electrónico.
Toda persona podrá en su relación con la administración
hacer uso de cualquier medio técnico o electrónico.
LEY 527 DE 1999
Por medio de la cual se define y reglamenta el acceso y uso de
los mensajes de datos, del comercio electrónico y de las
firmas digitales y se establecen las entidades de certificación
y se dictan otras disposiciones
DEFINICIONES
Mensaje de datos. La información generada, enviada, recibida,
almacenada o comunicada por medios electrónicos, ópticos
o similares, como pudieran ser, entre otros, el intercambio electrónico
de datos (EDI), Internet, el correo electrónico, el telegrama,
el télex o el telefax
Comercio electrónico. Abarca las cuestiones suscitadas
por toda la relación de índole comercial, sea o
no contractual, estructurada a partir de la utilización
de uno o más mensajes de datos o de cualquier otro medio
similar.
Firma Digital. Se entenderá como un valor numérico
que se adhiere a un mensaje de datos y que, utilizando un procedimiento
matemático conocido, vinculado a la clave del iniciador
y al texto del mensaje permite determinar que este valor se ha
obtenido exclusivamente con la clave del iniciador y que el mensaje
inicial no ha sido modificado después de efectuada la transformación
Entidad de Certificación. Es aquella persona que, autorizada
conforme a la presente ley, esta facultada para emitir certificados
en relación con las firmas digitales de las personas, ofrecer
o facilitar los servicios de registro y estampado cronológico
de la transmisión y recepción de mensajes de datos,
así como cumplir otras funciones relativas a las comunicaciones
basadas en las firmas digitales.
Intercambio electrónico de datos. La transmisión
electrónica de datos de una computadora a otra, que está
estructurada bajo normas técnicas convenidas al efecto.
Sistema de información. Se entenderá todo sistema
utilizado para generar, enviar, recibir, archivar o procesar de
alguna otra forma mensajes de datos.
ARTICULO III
VALOR PROBATORIO DEL DOCUMENTO ELECTRONICO Y FIRMA DIGITAL
EN LA LEY DE COMERCIO ELECTRONICO - LEY 527 DE 1999 -
DOCUMENTOS ELECTRONICO (MENSAJES DE DATOS)
RECONOCIMIENTO JURIDICO DE LOS MENSAJES DE DATOS
Los MENSAJES DE DATOS tiene plena valor jurídico, como
el documento escrito. El Art. 5 determina que "No se negaran
efectos jurídicos, validez o fuerza obligatoria a todo
tipo de información por la sola razón de que esté
en MENSAJE DE DATOS"
MEDIO DE PRUEBA
Prueba Documentaría:
En el campo jurídico, el documento es el elemento esencial
dentro del sistema informativo del derecho
El documento es definido por CARNELLUTI como una cosa que hace
conocer un hecho. De allí se deriva que el documento, es
algo material, tiene una finalidad representativa de un acontecimiento
y debe ser anterior al litigio en el cual pretende utilizar como
prueba
CARNELLUTI, al igual que otros autores, abre las puertas a la
admisión del documento electrónico
Sin embargo hay otra parte de la doctrina que no da cabida a
considerar el documento electrónico como medio de prueba
documental, en la medida en que el documento siempre debe ser
el escrito en un soporte de papel
¿Qué es el documento electrónico?
Aquel proveniente de la elaboración electrónica,
o aquel objeto físico dirigido a conservar y transmitir
informaciones mediante mensajes en lenguaje natural, realizado
con la intermediación de funciones electrónicas.
Resulta importante plantear varios cuestionamientos conducentes
a la determinación de los documentos electrónicos
como verdadero medio de prueba.
1. Se podrían considerar enmarcados dentro de la clasificación
de documentos (Art. 251 C.P.C.)
2. Podrán servir los nuevos documentos electrónicos
o informáticos de medios de prueba, teniendo en cuenta
la ausencia gran cantidad de países de una ley que los
pueda clasificar como tal.
3. Frente al concepto "Documentos original", en el
documento electrónico es difícil determinar la diferencia
entre el documento original y la copia del mismo.
4. la seguridad de los medios electrónicos es suficiente
para contrarrestar la desconfianza, incertidumbre y falta de credibilidad
que el documento electrónico genera, ante las posibles
alteraciones de su contenido.
Estos interrogantes son resueltos por la nueva normativa establecida
en la Ley 527 de 1999. Ley que es clara en determinar que tanto
el documento electrónico (mensaje de datos) como la firma
digital tienen el valor probatorio que la ley otorga a los documentos
escritos y a la firma autógrafa. Para ello determina ciertos
requisitos, los cuales son analizados en las siguientes líneas.
REQUISITOS JURIDICOS DE LOS MENSAJES DE DATOS
ESCRITO
De acuerdo al articulo 6, este requisito queda satisfecho con
un mensaje de datos, si la información que éste
contiene es accesible para su posterior consulta.
El documento debe quedar en algún "lugar" con
la posibilidad de ser apreciado posteriormente en iguales condiciones
a las que fue emitido y recibido.
FIRMA
Es el método, signo o símbolo de naturaleza digital
incorporado por su titular a un documento preparado para ser tratado
por medios telemáticos, con cualquiera de las finalidades
previstas para la firma manual, o como un bloque de caracteres
que acompaña a un documento acreditando quién es
su autor ( autenticación ) y que no ha existido ninguna
manipulación posterior de los datos (integridad )
Es cualquier método o símbolo basado en medios
digitales utilizado o adoptado por una parte con la intención
actual de vincularse o autenticar un documento, cumpliendo todas
o algunas de las funciones características de una firma
manuscrita.
El Articulo 7 establece que el requisito de la firma de un documento
electrónico queda satisfecho por dos aspectos : 1. Que
exista un método de identificación del iniciador
del mensaje y que el contenido del mensaje esta aprobado por el
.
2. Que el método de identificación del mensaje sea
confiable y apropiado para los mismos fines del mensaje.
Lo anterior se refiere básicamente a las entidades de
certificación.
ORIGINAL
Conforme al Articulo 8 el Mensaje de Datos se reconoce como documento
original, cumpliendo los siguientes requisitos: 1. Garantía
confiable que se ha conservado la integridad de la información,
desde el momento en que se genero el mensaje de datos
2. Que la información pueda ser mostrada en forma adecuada.
INTEGRIDAD
Al tenor del articulo 9 se considera la integridad de un mensaje
de datos cuando la información contenida en él ha
permanecido completa y sin alteración de su contenido.
Lo anterior significa que el mensaje de datos es integro si no
ha tenido modificación alguna desde el momento que es generado
y enviado, hasta que ha sido recibido.
FUERZA PROBATORIA
El articulo 10 reconoce fuerza probatoria a los mensajes de datos,
de manera expresa, conforme a las normas del Código de
Procedimiento Civil en sus artículos 251 y siguientes.
Igualmente sucede con las actuaciones administrativas o judiciales
en donde se reconoce eficacia, validez y fuerza probatoria a la
información contenida en mensajes de datos.
VALOR PROBATORIO
Los mensajes electrónicos de datos se valorarán
conforme a la regla general de sana crítica. Esto significa
que un mensaje de datos o una firma digital no tienen ni un mayor
ni un menor valor al que en forma general se le reconoce a los
documentos (Articulo 11).
CONSERVACION
El mensaje de datos debe cumplir, según el articulo 12,
con los siguientes requisitos cuando la ley requiera que sean
conservados: 1. Que la información sea accesible para su
posterior consulta.
2. Que su conservación sea en el formato que se haya generado.
3. Que se conserve la información que determine origen,
destino, fecha y hora de envío o recibo o producción
del documento.
COMUNICACIÓN (Art. 14 y 15)
La oferta y aceptación en la formación del contrato
se puede expresar por medio de mensajes de datos.
No se niegan efectos jurídicos, validez o fuerza obligatoria
a la manifestación de voluntad expresada por mensaje de
datos.
ATRIBUCIONES (Art. 16)
Se entiende un mensaje de datos enviado por el iniciador, cuando:
1. Lo envía el propio iniciador.
2. Lo envía una persona facultada por el iniciador.
3. Lo envía automáticamente un sistema de información
programado por el iniciador.
PRESUNCION DE ORIGEN (Art. 17)
Se presume un mensaje de datos enviado por el iniciador, cuando:
1. Se ha acordado previamente un procedimiento, que determine
que es el iniciador quien lo envíe.
2. El mensaje de datos recibido por el destinatario es producto
de los actos de una persona facultada por el iniciado y que haya
utilizado el procedimiento acordado previamente.
MENSAJE ENVIADO = MENSAJE RECIBIDO
De acuerdo al Art. 18, el destinatario tiene el derecho a considerar
que el mensaje de datos recibido del iniciador, es el que este
quería enviar.
No lo puede hacer cuando el destinatario sabe o pudo saber que
la transmisión había dado lugar a un error.
FIRMAS DIGITALES
La firma digital no es otra cosa que la forma en que una entidad
de certificación señala deben ir firmados los mensajes
de datos emitidos por una empresa o persona por ella certificada
y a quien le ha expedido un certificado digital.
ATRIBUTOS DE LA FIRMA DIGITAL
Cuando una firma digital haya sido fijada en un mensaje de datos
se presume que el suscriptor de aquella tenía la intención
de acreditar ese mensaje de datos y de ser vinculado con el contenido
del mismo.
El uso de una firma digital tendrá la misma fuerza y efectos
que el uso de una firma manuscrita, siempre y cuando reúna
los siguientes requisitos: (Art. 7 y 28)
UNICA
Es única a la persona que la usa. Es absolutamente personal
e intransferible. Usada bajo responsabilidad y riesgo del titular.
SUCEPTIBLE DE VERIFICACION
Es susceptible de ser verificada. Por medios adecuados y utilizando
las entidades de certificación se puede determinar que
una firma digital corresponde a la persona que la emite.
CONTROL EXCLUSIVO DEL USUARIO
Está bajo el control exclusivo de la persona que la usa.
No permite que varias personas sean los responsables de la firma,
es del resorte exclusivo y excluyente del titular de la firma.
VINCULACION A LA INFORMACION
Está ligada a la información o mensaje, de tal
manera que si éstos son cambiados, la firma digital es
invalidada.
SOMETIDA A REGLAMENTACION
Está conforme a las reglamentaciones adoptadas por el
Gobierno Nacional, en este caso la ley 527 de 1999 y el decreto
1747 de 2000.
USO DE LA FIRMA DIGITAL
Las entidades de Certificación dentro de sus actividades
tiene la de prestar los servicios de creación de firmas
digitales, pero a parte de las entidades de certificación,
juegan papel importante en el manejo de la firma digital otros
actores en las transacciones electrónicas.
EL CLIENTE : Es el que inicia la transacción por
medio del lleno de un formulario de pedido y el envío a
través de la aceptación del formulario. El cliente
se identifica ante el comerciante por medio de una firma digital,
enviando el mensaje de datos cifrado mediante su clave privada.
El comerciante mediante la clave publica del cliente desencripta
el mensaje y lee la información.
COMERCIANTE : Es el destinatario del mensaje de datos y
descifra la información mediante la clave publica que el
cliente tiene y ha sido suministrada por medio de su entidad de
certificación. En la mayoría de las transacciones
con tarjeta de crédito, el comerciante no tiene acceso
al número de tarjeta del cliente, solo le llega la autorización
del banco respectivo, aprobando la transacción.
BANCO : Es el intermediario en el pago, recibe la notificación
del pago del cliente al comerciante y autoriza la transacción,
cargando a la cuenta del cliente el valor pagado y abonándola
a la cuenta del comerciante.
ISP : es la empresa que facilita la comunicación
y las transacciones por Internet al permitir el acceso tanto de
cliente como de comerciante a la red, puede ser el mismo o diferentes.
ARTICULO IV
SEGURIDAD DE LOS MENSAJES DE DATOS Y LAS FIRMAS DIGITALES
Mas que la seguridad en Internet, el problema principal es la
INSEGURIDAD, debido a que en buena parte este fenómeno
fue dejado al mutuo respeto y al honor de los usuarios, así
como a la buena fe en las transacciones comerciales. La seguridad
mínima en Internet se basa fundamentalmente en la identificación
del usuario y una palabra o clave de acceso
El crecimiento acelerado y el auge que en los últimos
años ha tenido Internet, empezó a mostrar las falencias
que en seguridad tenia este sistema. Fenómenos como los
famosos agujeros de seguridad, propiciados por errores en la programación
o problemas de protocolos, así como la suplantación
de identidad, han generado una alarma creciente en la transmisión
de datos y en especial en la celebración de Negocios ON-LINE.
La respuesta no se hizo esperar y surgieron así las propuestas
internacionales de establecer los CERTIFICADOS. Estos pretenden
dar la confiabilidad que los usuarios requieren para la realización
de sus transacciones en Internet.
El interés principal en la generación de seguridad
en Internet es motivar a que las negociaciones virtuales no se
suspendan sino por el contrario aumenten. Sin embargo los HACKER
(temibles piratas virtuales que ingresan a las redes y capturan
la información que ella contiene o que por ella se transmite)
han puesto en peligro grandes redes de comunicación y grandes
servidores, así como el servicio de correo electrónico,
como ha sido los famosos casos de Microsoft.com, Hotmail.com y
otros que han sido violados en sus sistemas de seguridad.
En el comercio electrónico intervienen varias partes.
Así los comerciantes ofrecen mercancías, productos
y servicios a los clientes, quienes los solicitan vía servidor
o correo electrónico, llenando un formulario de pedido,
con lo que se inicia la transacción. El comerciante entonces
solicita autorización de cobro a un banco, quien dará
la autorización con base en la que de el emisor de la tarjeta
de crédito.
RIESGOS FRENTE A LOS DOCUMENTOS ELECTRONICOS Y LAS FIRMAS
DIGITALES
Los principales fenómenos de seguridad que se presentan
en Internet son los siguientes :
ROBO DE INFORMACION
Permite obtener la información de los usuarios de la red,
tales como números de cuentas, tarjetas de crédito,
facturación, etc. Así mismo por este sistema se
puede robar servicios exclusivos de suscriptores. De esta manera
se viola la privacidad en las comunicaciones. Por medio de algoritmos
criptograficos (vistos anteriormente) se puede contrarrestar esta
situación.
SUPLANTACION DE IDENTIDAD
una de las actividades mas comunes en Internet. Cuando una persona
utiliza las claves de otra haciéndose pasar por esta y
realizando transacciones en nombre de aquel. De esta manera el
suplantador podría usar el numero de tarjeta de crédito
del suplantado o comprometer su responsabilidad sin que este tenga
la voluntad de obligarse. Por medio del sistema de la FIRMA DIGITAL
se puede obviar esta suplantación. Esto se estudiara mas
adelante.
SNIFFERS
Son herramientas informáticas que permiten obtener las
CLAVES DE ACCESO que permiten entrar a los lugares donde se guarda
la información. Permiten la consumación de "delitos"
de robo de información y suplantación de identidad.
Los sistemas de criptografia y de llaves publicas ofrecen una
adecuada protección.
MODIFICACION DE INFORMACION
Es la forma de alteración del contenido de un mensaje
de datos en el lapso de tiempo que sale del iniciador y llega
al destinatario, cambiando considerablemente el mensaje de salida
al mensaje de llegada. La FIRMA DIGITAL es el mecanismo adecuado
para conservar la integridad de los mensajes de datos.
REPUDIO
Es el rechazo o la negación de una operación por
una de las partes que intervienen en el negocio electrónico,
esto puede causar problemas en los sistemas de pago. Si una de
las partes rechaza un acuerdo previo con la otra parte, se vera
abocado al sobrecosto en la facturación. La FIRMA DIGITAL
genera un buen medio de garantía.
DENEGACION DEL SERVICIO
Es la forma de inhabilitar un sistema para que pueda operar normalmente,
imposibilita que un cliente que tiene suscripción con un
servicio, pueda obtener los beneficios respectivos.
ELEMENTOS DE SEGURIDAD DE LOS MENSAJES DE DATOS Y LAS FIRMAS
DIGITALES
Para contrarrestar los fenómenos mencionados anteriormente
es necesario suministrar unos buenos elementos de seguridad por
partes de los actores intervinientes en Internet, a fin de lograr
la entera confianza y que las transacciones tengan la suficiente
garantía de realización segura. Para ello un sistema
debe ofrecer seguridad a ambos extremos de la comunicación.
Los principales requerimientos para cumplir con la seguridad son
los siguientes :
CONFIDENCIALIDAD
las comunicaciones se deben restringir solo para las partes interesadas
y no permitir el ingreso de terceras personas que nada tiene que
ver con ella. Es esencial para la privacidad del usuario y evita
los problemas de robo de información.
INTEGRIDAD
se debe tener la suficiente garantía que en el proceso
de comunicación no existe la posibilidad de modificación
del mensaje de datos, no en el almacenamiento en los repositorios.
AUTENTICIDAD
Debe existir plena identidad e identificación entre las
partes, de tal manera que tengan la plena seguridad de que las
personas que dicen estarse comunicando son las que realmente dicen
ser.
NO REPUDIO
Realizada la operación no puede existir la posibilidad
de negar dicha operación o de rechazarla.
APLICACIÓN SELECTIVA DE SERVICIOS
Permite la posibilidad de que una parte de la transacción
no sea visible a todas las partes, es decir que en el proceso
de negociación se oculte una información de especial
interés para una de las partes, como es el caso del numero
de la tarjeta de crédito.
En la comunicación comercial existen varios actores que
interactuan y que se deben proporcionar entre ellos la debida
seguridad y garantía de sus transacciones, la mas importante
de ellas son las ENTIDADES DE CERTIFICACION, que son las encargadas
de proveer la garantía de que una comunicación es
segura. VERISING es la certificadora mas importante a nivel mundial.
En Colombia hasta el momento existen tramites para la autorización
de ENTIDADERS DE CERTIFICACION, pero exuiste algunos ejemplos
de entidades ya autorizadas como lo es CERTICAMARA entidad de
certificación abierta en la cual participan Confecamaras,
y las camaras de comercio de Medellín, Bogota, Cali, Aburra
Sur, Cucuta, Bucaramanga, ente otras.
AUTORIDAD DE CERTIFICACION (CA) O ENTIDAD DE CERTIFICACION.
Las ENTIDADES DE CERTIFICACION son empresas especializadas en
brindar la seguridad de las transacciones que se realizan en Internet.
Estas entidades expiden certificados que contienen las llaves
publicas que garantizan la autenticidad de las partes. Las entidades
de certificación mantienen las listas de revocación
de certificados, y sus respectivos repositorios. Una entidad de
Certificación puede pertenecer a la misma empresa (entidad
Cerrada) teniendo de esta forma, la capacidad de definir sus propias
políticas de certificación.
ACTIVIDADES
Las entidades de certificación autorizadas por la Superintendencia
de Industria y Comercio para prestar sus servicios en el país,
podrán realizar, entre otras, las siguientes actividades:
· Emitir certificados en relación con las firmas
digitales de personas naturales o jurídicas.
· Emitir certificados sobre la verificación respecto
de la alteración entre el envío y recepción
del mensaje de datos.
· Emitir certificados en relación con la persona
que posea un derecho u obligación con respecto a los documentos
enunciados en los literales f) y g) del artículo 26 de
la presente ley.
· Ofrecer o facilitar los servicios de creación
de firmas digitales certificadas.
· Ofrecer o facilitar los servicios de registro y estampado
cronológico en la generación, transmisión
y recepción de mensajes de datos.
· Ofrecer los servicios de archivo y conservación
de mensajes
REQUISITOS DE CONSTITUCION
ENTIDADES DE CERTIFICACION CERRADAS
Las entidades de certificación cerradas deben acreditar
ante la Superintendencia de Industria y Comercio:
· Los administradores y representantes legales no están
incursos en las causales de inhabilidad previstas en el literal
c del artículo 29 de la ley 527 de 1999; y
· Están en capacidad de cumplir los estándares
mínimos que fije la Superintendencia de Industria y Comercio
de acuerdo a los servicios ofrecidos.
ENTIDADES DE CERTIFICACION ABIERTAS
Las entidades de certificación abiertas deben acreditar
ante la superintendencia de industria y Comercio:
a) Personería jurídica o condición de notario
o cónsul;
b) Cuando se trate de una entidad extranjera, se deberá
acreditar el cumplimiento de los requisitos contemplados en el
Libro Segundo, Título VIII del Código de Comercio
para las sociedades extranjeras que pretendan ejecutar negocios
permanentes en territorio colombiano. Igualmente deberá
observarse lo establecido en el artículo 48 del Código
de Procedimiento Civil.
c) Que los administradores y representantes legales no están
incursos en las causales de inhabilidad previstas en el literal
c del artículo 29 de la ley 527 de 1999.
d) Declaración de Prácticas de Certificación
(DPC) satisfactoria, de acuerdo con los requisitos establecidos
por la Superintendencia de Industria y Comercio.
e) Patrimonio mínimo de 400 salarios mínimos mensuales
legales vigentes al momento de la autorización.
f) Constitución de las garantías previstas en este
decreto.
g) Infraestructura y recursos por lo menos en la forma exigida
en el artículo 9 de este decreto.
h) Informe inicial de auditoria satisfactorio a juicio de la misma
Superintendencia.
i) Un mecanismo de ejecución inmediata para revocar los
certificados digitales expedidos a los suscriptores, a petición
de estos o cuando se tenga indicios de que ha ocurrido alguno
de los eventos previstos en el artículo 37 de la ley 527
de 1999.
j) En desarrollo de lo previsto en el literal b del artículo
29 de la ley 527 de 1999, la entidad deberá contar con
un equipo de personas, una infraestructura física y tecnológica
y unos procedimientos y sistemas de seguridad, adecuados para
garantizar las exigencias del DEC. 1747 de 2000 art. 8.
CERTIFICADOS DIGITALES
Un certificado es aquel que otorga una entidad de certificación
una vez controla la correcta configuración del proceso
de encriptación de los mensajes, y de comprobar los datos
de la empresa solicitante. Este certificado se concede a una entidad
cuyas referencias han sido comprobadas, para garantizar que efectivamente
quien recibe los datos encriptados es quien debe recibirlos realmente.
Garantizando así la confidencialidad, integridad, autenticidad
y demás elementos que requiere la seguridad en Internet.
Al tenor del Decreto 1747 de 2000, un certificado emitido por
una entidad de certificación autorizada, además
de estar firmado digitalmente por ésta, debe contener por
lo menos lo siguiente:
· Nombre, dirección y domicilio del suscriptor.
· Identificación del suscriptor nombrado en el certificado.
· El nombre, la dirección y el lugar donde realiza
actividades la entidad de certificación.
· La clave pública del usuario.
· La metodología para verificar la firma digital
del suscriptor impuesta en el mensaje de datos.
· El número de serie del certificado.
· Fecha de emisión y expiración del certificado.
