Decreto nº 57-2011, de 24 octubre de 2011. Reglamento de la Ley nº 729, Ley de Firma Electrónica (La Gaceta. Diario Oficial nº 211 de 8 de noviembre de 2011).

El Presidente de la República, Comandante Daniel Ortega Saavedra

 

CONSIDERANDO

 

l.- Que la Ley 729, Ley de Firma Electrónica, publicada en La Gaceta Diario Oficial 165 del 30 de agosto de 2010, establece el marco jurídico general para la utilización transparente, confiable y segura de los documentos electrónicos, firma electrónica y la certificación de dicha firma, y que de conformidad con el articulo 38 la misma debe ser reglamentada.

 

ll.- Que la materia que trata la Ley y el reglamento son de un alto grado de complejidad técnica y de evolución muy rápida, por lo que se requiere un reglamento que permita a través de normas técnicas estar al día con los avances científicos y tecnológicos.

POR TANTO

En uso de las facultades que le confiere la Constitución Política

HA DICTADO

 

El siguiente:

DECRETO

REGLAMENTO DE LA LEY nº 729, LEY DE FIRMA ELECTRÓNICA

 

CAPÍTULO l.- PARTE GENERAL

 

Artículo 1.- El presente Reglamento tiene por objeto establecer las disposiciones para la aplicación de la Ley nº 729, “Ley de Firma Electrónica”, publicada en La Gaceta, Diario Oficial nº 165 del 30 de Agosto del año 2010.

 

Artículo 2.- El presente Reglamento será de aplicación y de observancia obligatoria para los particulares, servidores públicos, los proveedores de servicios de certificación, y la DGTEC-designada como entidad rectora de acreditación en la Ley 729.

 

Artículo 3.- Para efectos de aplicación del presente Reglamento se entenderá por:

1. Archivo Confiable de Mensajes de Datos: servicio prestado por un Proveedor de Servicios de Certificación, que tiene como propósito garantizar la autenticidad, integridad, los extremos de conservación temporal y la posterior consulta de un mensaje de datos a través de un repositorio seguro administrado por un Proveedor de Servicios de Certificación.

2. Autoridad de Registro (AR): Entidad delegada por el certificador registrado para la verificación de la identidad de los solicitantes y otras funciones dentro del proceso de expedición y manejo de certificados de firma electrónica certificada. Representa el punto de contacto entre el usuario y el certificador registrado.

3. Autoridad de Certificación (AC) o Entidades de certificación: Son aquellas a las cuales uno o más usuarios han confiado la creación y asignación de certificados de firma electrónica certificada.

4. Clave privada: valor numérico utilizado conjuntamente con un procedimiento matemático conocido, sirven para generar la firma electrónica certificada de un mensaje de datos.

5. Clave pública: valor numérico utilizado para verificar que una firma electrónica certificada fue generada con la clave privada del iniciador y lo identifica con información pública que este ha proporcionado.

6. Certificado de firma electrónica certificada: mensaje de datos firmado por un proveedor de servicios de certificación autorizado que identifica, tanto al Proveedor de Servicios de Certificación que lo expide, como al titular y contiene la clave pública de éste.

7. Certificación Cruzada: Método mediante el cual se realiza el reconocimiento de certificados emitidos por Prestadores de Servicios de Certificación extranjeros. En tales casos es necesario que entidades certificadoras sustancialmente equivalentes reconozcan mutuamente los servicios prestados, de forma que los respectivos usuarios puedan comunicarse entre ellos de manera más eficaz y con mayor confianza en la fiabilidad de los certificados que se emitan.

8. Declaración de Prácticas de Certificación: manifestación del Proveedor de Servicios de Certificación sobre las políticas y procedimientos que aplica para la prestación de sus servicios.

9. DOCUMENTO ELECTRÓNICO: Cualquier manifestación con carácter representativo o declarativo, expresada o transmitida por un medio electrónico o informático.

10. Entidad Rectora de Acreditación de Firma Electrónica: Dirección General de Tecnología, conocida en adelante como Entidad Rectora, dependencia del Ministerio de Hacienda y Crédito Público.

11. Estampado Cronológico: mensaje de datos firmado por un Proveedor de Servicios de Certificación que sirve para verificar que otro mensaje de datos no ha cambiado en un periodo que comienza en la fecha y hora en que se presta el servicio y termina en la fecha en que la firma del mensaje de datos generado por el proveedor del servicio de estampado, pierde validez.

12. INTEGRIDAD: Propiedad de un documento electrónico que denota que su contenido y características de identificación han permanecido inalterables desde el momento de su emisión, o bien que habiendo sido alterados posteriormente lo fueron con el consentimiento de todas las partes legitimadas.

13. Ley: La Ley de Firma Electrónica, Ley número 729 del primero de julio del año dos mil diez publicada en la Gaceta Diario Oficial nº 165 del treinta de agosto del año dos mil diez.

14. MICROFORMA: Imagen reducida y condensada, o compactada, o digitalizada de un documento, que se encuentra grabado en un medio físico técnicamente idóneo, que le sirve de soporte material portador, mediante un proceso fotoquímico, informático, electrónico, electromagnético, o que emplee alguna tecnología de efectos equivalentes, de modo que tal imagen se conserve y pueda ser vista y leída con la ayuda de equipos visores o métodos análogos; y pueda ser reproducida en copias impresas, esencialmente iguales al documento original.

15. MICRODUPLICADO: Reproducción exacta del elemento original que contiene microformas, efectuada sobre un soporte material idóneo similar, en el mismo o similar formato, configuración y capacidad de almacenamiento; y con efectos equivalentes.

16. MICROARCHIVO: Conjunto ordenado, codificado y sistematizado de los elementos materiales de soporte o almacenamiento portadores de microformas grabados, provisto de sistemas de índice y medios de recuperación que permiten encontrar, examinar visualmente y reproducir en copias exactas los documentos almacenados como microformas.

17. Proveedor de Servicios de Certificación (PSC): Es aquella persona que está facultada para emitir certificados en relación con las firmas electrónicas certificadas de las personas, ofrecer o facilitar los servicios de registro y estampado cronológico de la transmisión y recepción de mensajes de datos, archivo confiable de mensajes de datos, así como cumplir otras funciones relativas a las comunicaciones basadas en las firmas electrónicas certificadas.

18. Repositorio: sistema de información utilizado para almacenar y recuperar certificados y otra información relacionada con los productos o servicios de certificación electrónica.

19. Reglamento: Reglamento de la Ley nº 729 del 30 de Agosto de 2010, publicada en La Gaceta, Diario Oficial nº 165.

20. Titular: Persona a cuyo nombre se expide un certificado de firma electrónica certificada, o es el solicitante de un producto o servicio de certificación electrónica prestado por un Proveedor de Servicios de Certificación acreditado.

 

CAPÍTULO ll.- DE LA FIRMA ELECTRÓNICA EN GENERAL

 

Artículo 4.- De conformidad con lo dispuesto en el artículo 5 y 6 de la Ley, cuando la Ley Sustantiva exija la firma de una persona, ese requisito quedará cumplido en relación con un mensaje de datos si se utiliza una firma electrónica que, a la luz de todas las circunstancias del caso, incluido cualquier acuerdo aplicable, sea fiable y resulte igualmente apropiada para los fines con los cuales se generó o comunicó ese mensaje.

La firma electrónica se considerará fiable siempre y cuando:

a) Los datos de creación de la firma, en el contexto en que son utilizados, corresponden exclusivamente al titular;

b) Los datos de creación de la firma estaban, en el momento de la firma, bajo el control exclusivo del titular;

c) Es posible detectar cualquier alteración de la firma electrónica hecha después del momento de la firma; y

d) Es posible detectar cualquier alteración de esa información hecha después del momento de la firma.

Los anteriores requisitos se darán por satisfechos cuando se esté en presencia de una firma electrónica certificada y por lo tanto en la emisión intervenga un Proveedor de Servicios de Certificación autorizado por la Entidad Rectora.

 

Artículo 5.- Las disposiciones y presunciones de la Ley, del presente Reglamento y las normas técnicas, no excluyen el cumplimiento de las formalidades específicas requeridas para los actos jurídicos y el otorgamiento de fe pública. Tratándose de mensajes de datos firmados electrónicamente con firmas electrónicas certificadas se presume, salvo prueba en contrario, que el mensaje de datos fue firmado por su titular.

 

Artículo 6.- Con la finalidad de diferenciar el ámbito de aplicación de los mecanismos de firma electrónica, se disponen las siguientes reglas para definir el mecanismo apropiado de conformidad con la actuación o trámite a implementar por medios electrónicos:

6.1.-Aplicación de la firma electrónica: Se podrá utilizar firma electrónica como los mecanismos de nombres de usuario, contraseñas o pines entre otros, en aquellos trámites, procedimientos y actuaciones administrativas que hayan sido clasificados al interior de cada entidad como de riesgo bajó o medio.

6.2.-Aplicación de la firma electrónica certificada: Se deberá utilizar firmas electrónicas certificadas en aquellos trámites, procedimientos y actuaciones administrativas que requieran mitigar riesgos considerados altos en su instrumentación electrónica o dar por satisfechos los atributos exigidos en el artículo 4 del presente reglamento, siempre y cuando:

1. El certificado de firma electrónica sea emitido por un Proveedor de Servicios de Certificación, autorizado para ello por la Entidad Rectora.

2. Dicha firma se pueda verificar con la clave pública que se encuentra en el certificado con relación a firmas electrónicas certificadas, emitido por el Proveedor de Servicios de Certificación.

3. La firma sea emitida dentro del tiempo de validez del certificado, sin que éste haya sido revocado.

4. El mensaje de datos firmado se encuentre dentro de los usos aceptados en la Declaración de Practicas de Certificación, de acuerdo al tipo de certificado.

5. El tipo de certificado de firma electrónica se encuentre autorizado por la Entidad Rectora.

 

Artículo 8.- Cuando se requiera la conservación de mensajes de datos, esta deberá utilizar el servicio de Archivo confiable de mensaje de datos.

 

CAPÍTULO lll.- DE LA ENTIDAD RECTORA DE ACREDITACIÓN

 

Artículo 9.- La Entidad Rectora deberá contar con las instalaciones, sistemas, programas informáticos y los recursos humanos necesarios para su funcionamiento.

Sin perjuicio de lo establecido en el artículo 15 de la Ley, tendrá las siguientes potestades:

1. Definir a través de normas técnicas el modelo de confianza y aspectos relacionados para la emisión de firmas electrónicas certificadas en territorio nicaragüense.

2. Contratar expertos de conformidad á la ley de la materia. En los contratos respectivos se incorporarán normas sobre probidad administrativa.

3. Practicar inspecciones sobre los proveedores acreditados de servicios de certificación y, a tal efecto, velará porque los requisitos que se observaron al momento de otorgarse la acreditación y las obligaciones que impone la Ley, este Reglamento y las normas técnicas se cumplan durante la vigencia de la acreditación.

4. Dictar normas técnicas, con el objeto de implementar la Ley y su Reglamento, las cuales se publicarán en. La Gaceta, Diario Oficial, sin perjuicio de su publicación en el portal electrónico de la Entidad Rectora; incluyendo las relativas al expediente y notificación electrónica, que deben utilizar las administraciones públicas.

5. Dictar las normas técnicas en coordinación con el Poder Judicial, relacionadas a las formalidades de las actuaciones notariales, expediente judicial y de notificación.

6. Suscribir todos aquellos contratos, propios de su actividad de Entidad Rectora de Acreditación.

7. Determinar e imponer las infracciones, sanciones y multas establecidas en los artículos 31, 32, 33, 34 y 35 de la Ley, sin perjuicio de las responsabilidades, administrativas, civiles y penales, que correspondan.

8. Conocer y resolver los Recursos de Revisión. El Recurso de Apelación se presentará ante el Director General de la Entidad Rectora, para que lo eleve y resuelva el Ministro de Hacienda y Crédito Público, lo que agota la vía administrativa.

 

Artículo 10.- La Entidad Rectora tiene la facultad de realizar inspecciones ordinarias y extraordinarias.

La inspección ordinaria consiste en la facultad de practicar una visita anual a las instalaciones del proveedor acreditado de servicios de certificación, asimismo requerir, en forma trimestral, información sobre el desarrollo de la actividad.

La inspección extraordinaria será practicada de oficio o por denuncia motivada sobre la prestación del servicio, ordenada por el Director de la Entidad Rectora mediante resolución fundada.

Las inspecciones podrán ser practicadas por medio de funcionarios o peritos especialmente contratados y habilitados para estos fines, los que en el ejercicio de sus funciones podrán requerir al Proveedor de Servicios de Certificación, información adicional a la proporcionada por él.

La información solicitada por la Entidad Rectora deberá ser proporcionada dentro del plazo de cinco días hábiles, contados desde la fecha de la solicitud, sin perjuicio del otorgamiento de plazos especiales.

 

Artículo 11.- La Entidad Rectora mantendrá un Registro Administrativo de Proveedores de Servicios de Certificación, de carácter público, el que deberá contener: el número de la resolución que concede la acreditación, el nombre o razón social del Proveedor de Servicios de Certificación, la dirección social, el número de Registro Único de Contribuyente (RUC), el nombre de su Representante Legal, el número de su teléfono, su sitio de dominio electrónico y correo electrónico así como la compañía de seguros con que ha contratado la póliza de seguros que exige la Ley, y el número de la misma; y cualquier otro documento que acredite identificación que crea pertinente la Entidad Rectora.

Este Registro deberá ser actualizado permanentemente, manteniendo un acceso regular y continuo.

 

CAPÍTULO lV.- DE LOS PROVEEDORES DE SERVICIOS DE CERTIFICACIÓN

 

Artículo 12.- Quienes pretendan realizar las actividades propias de los proveedores de servicios de certificación deberán particularizarlas y acreditar ante la Entidad Rectora:

1. Personería jurídica.

Cuando se trate de una entidad extranjera, se deberá acreditar el cumplimiento de los requisitos contemplados en el Código de Comercio para las sociedades extranjeras que pretendan ejecutar negocios permanentes en territorio nicaragüense.

2. Que los administradores y representantes legales no tengan prohibido el ejercicio del comercio.

3. Declaración de Prácticas de Certificación satisfactoria, de acuerdo con los requisitos establecidos por la Entidad Rectora.

4. Patrimonio mínimo de 800 salarios mínimos mensuales del sector financiero legales vigentes al momento de la solicitud de autorización, esto en caso de que las actividades a desarrollar por el PSC sean las de una Autoridad de Registro (AR). En el caso en que las actividades que desarrolle el PSC incluyan también las de una Autoridad de Certificación (AC), el patrimonio mínimo que deberá evidenciar será de al menos el mismo monto mínimo que el PSC debe asegurar de acuerdo a lo señalado en el artículo 19 inciso (b).

5. Constitución de las garantías previstas en este Reglamento.

6. Infraestructura y recursos por lo menos en la forma exigida en el artículo 20 de este Reglamento.

7. Informe inicial de Inspección satisfactorio a juicio de la misma Entidad Rectora.

8. Un mecanismo de ejecución inmediata para revocar los certificados de firma electrónica expedidos a los titulares, a petición de estos o cuando se tenga indicios de que ha ocurrido alguno de los eventos de revocación previstos en la ley, en este Reglamento o en la Declaración de Practicas de Certificación.

9. En caso de tratarse de proveedores de servicios de certificación que requieran o utilicen infraestructura o servicios tecnológicos prestados desde el extranjero, la inspección o auditoria podrá ser realizada por una persona o entidad facultada para realizar este tipo de inspecciones o auditorías en el lugar donde se encuentra la infraestructura, siempre y cuando permita constatar el cumplimiento de lo señalado en el presente Reglamento.

La Entidad Rectora tendrá la facultad de solicitar ampliación o aclaración sobre los puntos que estime conveniente.

Si se solicita autorización para certificaciones cruzadas, se deberán acreditar adicionalmente la entidad o prestador de servicios de certificación reconocida, los certificados reconocidos y el tipo de certificados al cual se remite, la vigencia y los términos del reconocimiento.

 

Artículo 13.- Son proveedores acreditados de servicios de certificación las personas jurídicas nacionales o extranjeras, públicas o privadas, domiciliadas en Nicaragua y acreditadas de conformidad con la Ley, este Reglamento, y las normas técnicas, que otorguen certificados de firma electrónica certificada, sin perjuicio de los demás servicios que puedan realizar.

 

Artículo 14.- Las normas técnicas que dicte la Entidad Rectora, para la aplicación e implementación del presente Reglamento son de obligatorio cumplimiento para los proveedores acreditados de servicios de certificación y los usuarios de los mismos.

 

Artículo 15.- Los actos administrativos que impliquen la modificación de normas técnicas para la prestación del servicio, establecerán los plazos en los cuales un proveedor acreditado de servicios de certificación, tiene que adecuarse a las mismas.

El incumplimiento en la adecuación a las nuevas normas, facultará a la Entidad Rectora, a dejar sin efecto la acreditación, de conformidad con la Ley y el presente Reglamento.

 

Artículo 16.- A petición de parte o de oficio, y con el objeto de crear o modificar las normas técnicas que dicte la Entidad Rectora, la misma podrá iniciar el procedimiento para la elaboración y fijación de dichas normas. La Entidad Rectora podrá fijar conjuntos alternativos de normas técnicas, para la prestación del servicio, con el objeto de permitir el uso de diversas tecnologías y medios electrónicos, en concordancia a la Ley y el presente Reglamento.

 

Artículo 17.- La Entidad Rectora definirá el contenido de la Declaración de Prácticas de Certificación, la cual deberá incluir, al menos lo siguiente:

1. Identificación del Proveedor de Servicios de Certificación.

2. Política de manejo de los certificados.

3. Obligaciones del PSC y de los Titulares del certificado y precauciones que deben observar los terceros.

4. Manejo de la información suministrada por los Titulares.

5. Garantías que ofrece para el cumplimiento de las obligaciones que se deriven de sus actividades.

6. Límites de responsabilidad por el ejercicio de su actividad.

7. Tarifas de expedición de certificados y de sus servicios.

8. Procedimientos de seguridad para el manejo de los siguientes eventos:

a) Cuando la seguridad de la clave privada del PSC se ha visto comprometida.

b) Cuando el sistema de seguridad del PSC ha sido vulnerado.

c) Cuando se presenten fallas en el sistema del PSC que comprometa la prestación del servicio.

d) Cuando los sistemas de cifrado pierdan vigencia por no ofrecer el nivel de seguridad contratados por el titular.

9. El plan de contingencia encaminado a garantizar la continuidad del servicio de certificación.

10. Modelos y minutas de los contratos que utilizarán con los titulares.

11. Política de manejo de otros servicios que fuere a prestar, detallando sus condiciones.

 

Artículo 18.- Para determinar el patrimonio mínimo del PSC establecido en el artículo 12 numeral 4 del presente reglamento, sólo se tomarán en consideración las cuentas patrimoniales de capital suscrito y pagado, reserva legal, y se deducirán las pérdidas acumuladas y las del ejercicio en curso.

El patrimonio mínimo deberá acreditarse:

1. En el caso de personas jurídicas, por medio de estados financieros, con una antigüedad no superior a 6 meses, certificados por el representante legal y auditado por un Contador Público autorizado independiente.

2. Tratándose de entidades públicas, por medio del proyecto de gastos y de inversión que generará la actividad de certificación, de conformidad con la ley anual del presupuesto general de la república vigente.

3. Para las sucursales de entidades extranjeras, por medio del capital asignado.

 

Artículo 19.- El PSC debe contar con seguros vigentes que cumplan con los siguientes requisitos:

a) Ser expedidos por una entidad aseguradora autorizada para operar en Nicaragua. En caso de no ser posible lo anterior, por una entidad aseguradora del exterior que cuente con la autorización previa de la Superintendencia de Bancos.

b) Cubrir todos los perjuicios contractuales y extracontractuales de los titulares y terceros de buena fe exenta de culpa derivados de errores y omisiones, o de actos de mala fe de los administradores, representantes legales o empleados del PSC en el desarrollo de las actividades para las cuales solicita autorización o cuenta con autorización. Para tal fin se cubrirán los anteriores riesgos por una cuantía asegurada por evento igual o superior al mayor entre:

. 5000 salarios mínimos mensuales legales del sector financiero por evento, o;

. El límite de responsabilidad definido en la Declaración de Prácticas de Certificación, que no podrá ser inferior en ninguna caso a su capital social.

c) Incluir cláusula de restitución automática del valor asegurado.

d) Incluir una cláusula que obligue a la entidad aseguradora a informar previamente a la Entidad Rectora, la terminación del contrato o las modificaciones que reduzcan el alcance o monto de la cobertura.

El PSC que pretenda otorgar el reconocimiento cruzado de certificados de firma electrónica, deberá acreditar la cobertura de las garantías requeridas en este reglamento para los perjuicios que puedan causar los certificados reconocidos.

 

Artículo 20.- En desarrollo de lo previsto en la ley y este Reglamento, el PSC deberá contar con un equipo de personas, una infraestructura física y tecnológica y unos procedimientos y sistemas de seguridad, tales que:

1. Puedan generar las firmas electrónicas certificadas y todos los servicios para los que soliciten autorización que se encuentran descritos en la Ley y este Reglamento.

2. Se garantice el cumplimiento de lo previsto en la Declaración de Prácticas de Certificación.

3. Se pueda calificar el sistema como confiable de acuerdo con lo señalado en el presente Reglamento.

4. Los certificados de firma electrónica certificada expedidos por los PSC cumplan con lo previsto en la Ley y en este Reglamento.

5. Se garantice la existencia de sistemas de seguridad física en sus instalaciones, un monitoreo permanente de toda su planta física, y acceso restringido a los equipos que manejan los sistemas de operación del PSC.

6. El manejo de la clave privada del PSC esté sometido a un procedimiento propio de seguridad que evite el acceso físico o de otra índole de personal no autorizado.

7. Cuente con un registro de todas las transacciones realizadas, que permita identificar el autor de cada una de las operaciones.

8. Los sistemas que cumplan las funciones de certificación sólo sean utilizados con ese propósito y por lo tanto no puedan realizar ninguna otra función.

9. Todos los sistemas que participen directa o indirectamente en la función de certificación estén protegidos por sistemas y procedimientos de autenticación y seguridad de alto nivel de protección, que deben ser actualizados de acuerdo a los avances tecnológicos para garantizar la correcta prestación del servicio.

10. Cuente con Infraestructura de software que permita monitorear el servicio e infraestructura de Hardware y equipos.

11. Cuente con una plataforma de respaldo o contingencia de la plataforma que garantice la operación continua e ininterrumpida del servicio. Dicho esquema de contingencia será auditado por la Entidad Rectora en el caso de así requerirlo.

12. Canales de comunicación mínimos para garantizar disponibilidad de la información de los servicios del. PSC.

13. En caso de tratarse de PSC que requiera o utilice infraestructura o servicios tecnológicos prestados desde el extranjero, todos los requerimientos deberán ser cumplidos tanto en la infraestructura del exterior, así como en el territorio nacional. Para certificar dicha infraestructura la entidad del exterior deberá certificar a través del ente autorizado el cumplimiento de dichos requisitos.

Además se deberán acreditar los siguientes requisitos relativos a la seguridad física, lógica y de la plataforma tecnológica utilizada, que sean determinados por la Entidad Rectora a través de normas técnicas de conformidad con estándares internacionales reconocidos así:

i. Para la operación en el rol de PSC, y para la Autoridad de Estampado Cronológico, según corresponda.

ii. Para la verificación del registro público en línea del PSC.

iii. Para el hardware criptográfico de la raíz del PSC, siempre que corresponda, y para el hardware de la Autoridad de Estampado Cronológico.

iv. Para la prestación del servicio de estampado cronológico.

v. Para el dispositivo en el cual se entregarán los certificados y datos privados de firma electrónica certificada ofrecidos por el PSC a sus clientes.

vi. Para la operación del centro de cómputo, cuando se ofrezca la prestación de servicios de archivo confiable de mensajes de datos.

Lo anterior, sin perjuicio de otras normas técnicas definidas por la Entidad Rectora para la operación del PSC, conforme a estándares nacionales e internacionales.

 

Artículo 21.- Cuando alguna de las operaciones sea subcontratada a terceros por parte del PSC, les serán aplicables las mismas obligaciones del PSC, según conste en su documentación, o en los contratos.

Cuando quiera que el PSC requiera o utilice infraestructura o servicios tecnológicos prestados por un tercero, los contratos deberán prever que la terminación de los mismos está condicionada a que la entidad haya implementado o contratado una infraestructura o servicio tecnológico que le permita continuar prestando sus servicios sin ningún perjuicio para los titulares. Si la terminación de dichos contratos supone el cese de operaciones, el prestador de infraestructura o servicios no podrá interrumpir sus servicios antes de vencerse el plazo para concluir el proceso previsto en el procedimiento autorizado por la Entidad Rectora. Estos deben ser enviados con los demás documentos de la solicitud de autorización y remitidos cada vez que sean modificados.

Todos los requerimientos del presente Reglamento en materia de infraestructura y recursos del tercero deberán encontrarse debidamente certificados ante la Entidad Rectora.

La contratación de esta infraestructura o servicios no exime al PSC de la presentación de los informes previstos en este Reglamento, los cuales deben incluir los sistemas y elementos de seguridad técnica de dicho prestador.

Artículo 22.- Además de lo previsto en la Ley 729, los PSC deberán:

1. Comprobar de forma fehaciente por sí o por medio de una persona diferente que actúe en nombre y por cuenta suya, la identidad, datos y cualquier otra información de los titulares de los certificados, que sea relevante para los fines propios de su procedimiento de verificación previo a su expedición.

2. Mantener a disposición permanente del público la declaración de prácticas de certificación.

3. Cumplir cabalmente con las políticas de certificación acordadas con el titular y con su Declaración de Prácticas de Certificación.

4. Informar al titular de los certificados que expide, su nivel de confiabilidad, los límites de responsabilidad, y las obligaciones que el titular asume como usuario del servicio de certificación.

5. Garantizar la prestación permanente e ininterrumpida de los servicios autorizados, salvo las interrupciones que autorice la Entidad Rectora en circunstancias de caso fortuito o de fuerza mayor debidamente comprobados.

6. Informar a la Entidad Rectora de manera inmediata la ocurrencia de cualquier evento establecido en la Declaración de Prácticas de Certificación, que comprometa la prestación del servicio.

7. Abstenerse de acceder o almacenar la clave privada del titular.

8. Mantener actualizado el registro de los certificados revocados. Los PSC serán responsables de los perjuicios que se causen a terceros por incumplimiento de esta obligación.

9. Garantizar el acceso permanente y eficiente de los titulares y de terceros al repositorio del. PSC.

10. Disponer de una línea telefónica de atención permanente a titulares y terceros, que permita las consultas y la pronta solicitud de revocación de certificados por los titulares.

11. Garantizar la confidencialidad de la información que no figure en el certificado.

12. Conservar la documentación que respalda los certificados emitidos, por el término previsto en la Ley y tomar las medidas necesarias para garantizar la integridad y la confidencialidad que le sean propias.

13. Informar en forma inmediata, la suspensión del servicio o revocación de sus certificados.

14. Capacitar y advertir a los titulares de certificados de firma electrónica certificada, sobre las medidas de seguridad que deben observar para la utilización de estos mecanismos.

15. Mantener el control exclusivo de su clave privada y establecer las condiciones de seguridad necesarias para que no se divulgue o comprometa.

16. Remitir oportunamente a la Entidad Rectora la información prevista en este Reglamento.

17. Remover en el menor término que el procedimiento legal permita, a los administradores o representantes que no puedan ejercer el comercio por prohibición.

18. Informar a los titulares o terceros que lo soliciten, sobre el tiempo y recursos computacionales requeridos para derivar la clave privada a partir de la clave pública contenida en los certificados en relación con las firmas electrónicas certificadas que expide el PSC.

19. Mantener actualizada la información registrada en la solicitud de autorización y enviar la información que la Entidad Rectora establezca.

20. Cumplir con las demás instrucciones que establezca la Entidad Rectora.

 

Artículo 23.- En caso que un PSC cese en la prestación del servicio, deberá notificar oficialmente por escrito o por cualquier medio electrónico habilitado por la Ley tal situación a todos los titulares de los certificados emitidos por él con dos meses de antelación. Dicha notificación deberá ir con copia a la Entidad Rectora.

 

Artículo 24.- El cese de la actividad del proveedor acreditado de servicios de certificación será registrado como asiento de cancelación de la inscripción de la acreditación por la Entidad Rectora.

 

Artículo 25.- El procedimiento de acreditación de los proveedores de servicios de certificación se iniciará por medio de una solicitud presentada a la Entidad Rectora, acompañada del comprobante de pago de los costos de la acreditación y de los antecedentes que permitan verificar el cumplimiento de los requisitos de acreditación.

En la solicitud que presente el interesado deberá individualizarse debidamente y para ello señalará su nombre o denominación social, su Registro Único de Contribuyente, el nombre y Registro Único de Contribuyente del Representante Legal, su domicilio social, número telefónico y dirección de correo electrónico, aceptando expresamente dicho medio electrónico como forma de comunicación.

 

Artículo 26.- Recibida la solicitud, la Entidad Rectora procederá a conocer la admisibilidad de la misma, mediante la verificación de los antecedentes requeridos, dentro del plazo de diez días hábiles.

De ser inadmisible la solicitud, se procederá a comunicar al interesado tal situación, el que podrá completar los antecedentes dentro del plazo de cinco días hábiles, bajo apercibimiento de ser rechazada la solicitud de no cumplirse en tiempo y forma con los requisitos y obligaciones establecidos. Admitida a trámite la solicitud, la Entidad Rectora procederá a un examen sobre el cumplimiento de los requisitos y obligaciones exigidas por la Ley, este Reglamento y las normas técnicas para obtener la acreditación.

 

Artículo 27.- En caso que la Entidad Rectora determine que el proveedor de servicios de certificación no cumple con las normas técnicas fijadas para el desarrollo de la actividad señalará si los incumplimientos son subsanables, y si no afectan el correcto funcionamiento del sistema ni los fines previstos en la Ley para la firma electrónica certificada o para los servicios adicionales de certificación electrónica definidos en este Reglamento.
En caso que los incumplimientos no sean subsanables, la Entidad Rectora procederá a dictar una resolución en la que rechaza la solicitud de acreditación.

Si los incumplimientos son subsanables y no afectan el correcto funcionamiento del sistema ni los fines previstos en la Ley y su Reglamento para la firma electrónica certificada, la Entidad Rectora podrá acreditar temporalmente por un plazo máximo de sesenta días calendario al interesado, previa autorización de un plan de medidas correctivas.

Una vez completados los requisitos exigidos, la Entidad Rectora procederá a acreditar definitivamente al interesado.

 

Artículo 28.- Durante todo el proceso de acreditación, la Entidad Rectora podrá solicitar documentación adicional o realizar visitas a las instalaciones del interesado, por intermedio de sus funcionarios o por expertos especialmente contratados para dichos fines.

 

Artículo 29.- Los costos de acreditación serán pagados por el proveedor de servicios de certificación que solicite acreditarse, los que no serán restituidos en el evento de que la acreditación no se conceda por incumplimiento de los requisitos y obligaciones legales y reglamentarias exigidas para el desarrollo de la actividad de certificación como acreditado.

 

Artículo 30.- La Entidad Rectora podrá dejar sin efecto la acreditación mediante resolución fundada, por las causales previstas en el artículo siguiente.

 

Artículo 31.- La acreditación de los certificadores se dejará sin efecto por las siguientes causas:

1. Por solicitud del proveedor acreditado de servicios de certificación, ante la Entidad Rectora con una antelación de al menos dos meses a la fecha del término previsto por el proveedor acreditado de servicios de certificación para que se haga efectiva, indicando el destino que dará a los certificados y a los datos de ellos, para lo cual deberá cumplir con lo dispuesto en este Reglamento.

2. Por pérdida de las condiciones que sirvieron de fundamento a su acreditación, la que será calificada por los servidores públicos o expertos que la Entidad Rectora ocupe para el cumplimiento de la facultad inspectora.

3. Por incumplimiento grave o reiterado de las obligaciones que establece la Ley, este Reglamento y las normas técnicas.

En los casos de los numerales 2 y 3, la resolución deberá ser adoptada previo traslado de cargos y audiencia del afectado, para lo cual la Entidad Rectora dará un plazo de cinco días hábiles para que éste evacue sus descargos. Recibidos éstos, la Entidad Rectora deberá resolver fundadamente dentro del plazo de quince días hábiles, prorrogables por el mismo período por motivos fundados.

La cancelación de la Acreditación deberá ser publicada en el portal electrónico de la Entidad Rectora.

El aviso deberá señalar que desde esta publicación los certificados quedarán sin efecto, a menos que hayan sido transferidos a otro Proveedor de Servicios de Certificación acreditado.

 

Artículo 32.- Los certificadores cuya inscripción haya sido cancelada, deberán comunicar inmediatamente este hecho a los titulares de las firmas certificadas por ellos.

 

CAPÍTULO V.- DE LOS CERTIFICADOS DE FIRMA ELECTRÓNICA

 

Artículo 33.- Los proveedores de servicios de certificación deberán introducir en los certificados de firma electrónica que emitan, los contenidos señalados en el artículo 8 de la Ley 729.

Los atributos adicionales que los proveedores de servicios de certificación introduzcan con la finalidad de incorporar límites al uso del certificado, no deberán dificultar, o impedir la lectura de los contenidos insertos en el mismo que refiere el artículo 8 de la Ley 729, y de su reconocimiento por terceros.

 

Artículo 34.- Procederá la suspensión de la vigencia del certificado cuando se verifique alguna de las siguientes circunstancias:

1. Solicitud del titular del certificado.

2. Decisión del proveedor de servicios de certificación en virtud de razones técnicas.

El efecto de la suspensión del certificado es el cese temporal de los efectos jurídicos del mismo conforme a los usos que le son propios e impide el uso legítimo del mismo por parte del titular.

La suspensión del certificado terminará por cualquiera de las siguientes causas:

1. Por la decisión del proveedor de servicios de certificación de revocar el certificado, en los casos previstos en la Ley, el presente Reglamento y las normas técnicas.

2. Por la decisión del proveedor de servicios de certificación de levantar la suspensión del certificado, una vez que cesen las causas técnicas que la originaron.

3. Por la decisión del titular del certificado, cuando la suspensión haya sido solicitada por éste.

 

Artículo 35.- Los certificados de firma electrónica certificada podrán revocarse por:

a) El titular de una firma electrónica certificada, el cual podrá solicitar a los PSC la revocación del mismo. En todo caso, estará obligado a solicitar la revocación en los eventos siguientes:

i) Por pérdida de la clave privada, en el caso de la tecnología de criptografía asimétrica.

ii) La clave privada ha sido expuesta o corre peligro de que se le dé un uso indebido, en el caso de la tecnología de criptografía asimétrica.

b) Si el titular no solicita la revocación del certificado en el evento de presentarse las anteriores situaciones, será responsable por las pérdidas o perjuicios en los cuales incurran terceros que confiaron en el contenido del certificado.

c) Un PSC autorizado revocará un certificado emitido por las razones siguientes:

.A petición del titular o un tercero en su nombre y representación.

.Por muerte del titular

.Por liquidación del titularen el caso de las personas jurídicas.

.Por la confirmación de que alguna información o hecho contenido en el certificado es falso.

.La clave privada del PSC o su sistema de seguridad ha sido comprometido de manera material que afecte la confiabilidad del certificado.

.Por el cese de actividades del PSC, y;

.Por orden judicial o de entidad administrativa competente.

 

Artículo 36.- El término de la vigencia del certificado de firma electrónica se establece contractualmente entre el titular de la firma electrónica certificada y el Proveedor de Servicios de Certificación o quien haga sus veces.

 

Artículo 37.- La revocación de un certificado de firma electrónica podrá producirse de oficio o a petición de su titular por la concurrencia de algunas de las causales previstas en la Ley o en este Reglamento. La solicitud de suspensión o revocación, según corresponda, se podrá dirigir al proveedor de servicios de certificación en cualquiera de las formas que prevea su Declaración de prácticas de certificación. La suspensión o revocación del certificado deberá ser comunicada inmediatamente a su titular, sin perjuicio que deba publicarse en el registro de acceso público que señala este Reglamento.

 

Artículo 38.- La certificación cruzada implica, el reconocimiento de los certificados de firmas electrónicas certificadas emitidas por PSC extranjeras, realizado por PSC autorizadas para tal efecto en Nicaragua, y se hará constar en el certificado expedido por estas últimas:

El efecto del reconocimiento de cada certificado, se limitará a las características propias del tipo de certificado reconocido y por el período de validez del mismo.

Los titulares de los certificados reconocidos y los terceros tendrán idénticos derechos que los titulares y terceros respecto de los certificados propios del PSC que hace el reconocimiento.

 

CAPÍTULO Vl.- DE LA FIRMA ELECTRÓNICA EN LA ADMINISTRACIÓN PÚBLICA.

 

Artículo 39.- La Administración Pública deberá administrar los medios que resulten adecuados para la aplicación del artículo 12 de la Ley, en función de los recursos con que cuenten y en el más corto plazo posible.

Los acuerdos administrativos que expida la Administración Pública para la adopción de los artículos 12, 13 y 14 de esta Ley, deberán ajustarse a las normas técnicas emitidas y homologadas por la Entidad Rectora de Acreditación.

Los actos administrativos, formalizados por medio de documentos electrónicos y que consten en decretos o resoluciones, en acuerdos de órganos colegiados, así como la celebración de contratos, la emisión de cualquier otro documento que exprese la voluntad de un órgano o servicio público de la Administración del Estado en ejercicio de sus potestades legales y, en general, todo documento que revista la naturaleza de instrumento público o aquellos que deban producir los efectos jurídicos de éstos, deberán suscribirse mediante firma electrónica certificada.

 

Artículo 40.- La Entidad Rectora de Acreditación elaborará las normas técnicas que permitan que las comunicaciones por medios electrónicos, efectuadas entre los órganos de la Administración del Estado y de éstos con los ciudadanos, produzcan los efectos jurídicos previstos en la Ley.

 

Artículo 41.- Cualquier entidad o dependencia de la administración pública, podrá emplear la firma electrónica certificada contenida en un archivo de datos, mediante el uso de medios electrónicos, bajo los principios de neutralidad tecnológica, equivalencia funcional, autenticidad, confidencialidad, e integridad. Todo ello conforme a las normas técnicas que dicte la Entidad Rectora.

 

CAPÍTULO Vll.- DE LA FIRMA ELECTRÓNICA Y EL EXPEDIENTE DIGITAL

 

Artículo 42.- En el uso de la firma electrónica certificada y el expediente digital, deberá respetarse lo siguiente:

1. Un sistema de notificación permitirá acreditar la fecha y hora en que se produzca la puesta a disposición del interesado del acto objeto de notificación, así como la de acceso a su contenido; momento a partir del cual la notificación se entenderá practicada a todos los efectos legales.

2. Las comunicaciones a través de medios electrónicos serán válidas siempre que exista constancia de la transmisión y recibo, de sus fechas, del contenido íntegro de las comunicaciones y se identifique fidedignamente al remitente y al destinatario de las mismas.

3. Almacenar si existió transmisión y recibo, las fechas, el contenido, el remitente y el destinatario.

4. Cumplir en sus comunicaciones con los requisitos de seguridad e integridad con proporcionalidad y cumpliendo con las norma técnicas dictadas por la Entidad Rectora. Los requisitos de seguridad e integridad de las comunicaciones se establecerán en cada caso de forma apropiada al carácter de los datos objeto de aquellas, de acuerdo con criterios de proporcionalidad.

5. Deberá acreditar el momento de la puesta a disposición del acto objeto de notificación y del acceso al contenido, con las normas técnicas dictadas por la Entidad Rectora.

6. Las plataformas de notificación y de gestión de expedientes tendrán en cuenta los plazos establecidos en el ordenamiento jurídico, según corresponda.

7. Deberá entenderse que la notificación electrónica ha tenido lugar en cuanto el interesado acceda electrónicamente al contenido o hayan transcurrido diez días hábiles desde la puesta a disposición sin que se acceda al contenido, por haber accedido voluntariamente a este sistema de notificación.

8. Producirá los efectos propios de la notificación personal, el acceso electrónico por los interesados al contenido de las actuaciones administrativas correspondientes, siempre que quede constancia de dichos acceso.

La utilización de medios electrónicos en el desarrollo de los procedimientos administrativos y judiciales, que permitan la presentación de documentos, implicará el uso de medios electrónicos para la comunicación y notificación.

Lo referido a la regulación del uso de la firma electrónica y el expediente digital será ampliado en la norma técnica relacionada con el tema.

 

CAPÍTULO Vlll.- DE LAS SANCIONES Y SU CUMPLIMIENTO

 

Artículo 43.- Únicamente podrán imponerse las sanciones contenidas en la Ley de Firma Electrónica y por el término señalado en la misma Ley.

 

Artículo 44.- A efectos de imponer las sanciones a que hubiere lugar la autoridad sancionadora será:

a) La Entidad Rectora, quien impondrá a los proveedores de servicios de certificación las sanciones administrativas que correspondan, sin perjuicio de las demás acciones civiles o penales que procedieren y que determinaren las autoridades competentes conforme a las leyes vigentes.

b) La Entidad Rectora, deberá incoar los procedimientos administrativos correspondientes a fin de determinar la existencia e imputabilidad de las infracciones establecidas en la Ley y, si procediere, la sanción correspondiente.

 

Artículo 45.- Corresponderá a la Entidad Rectora, la carga de la prueba y su imputabilidad al infractor. Ninguna sanción podrá ser impuesta al margen de un debido proceso, ventilado ante la autoridad competente que garantice al presunto infractor su intervención y defensa desde el inicio del proceso, así como la oportunidad de disponer de tiempo y medios adecuados para su defensa.

 

Artículo 46.- Cuando la Entidad Rectora, Considere que, de la infracción del proveedor de servicios de certificación, se hubieren originado responsabilidades civiles o hubiere presunción de responsabilidad penal, deberá denunciar el hecho a la Fiscalía General de la República, para que ésta determine el curso a seguir dentro de sus competencias.

 

Artículo 47.- La Entidad Rectora, en base a los documentos que consten en autos y dentro del término de treinta días hábiles de haber iniciado el procedimiento administrativo sancionador, deberá emitir su resolución final fundamentada sobre el caso, y sea notificada de forma íntegra al proveedor de servicios de certificación.

 

Artículo 48.- Notificada la resolución anterior al prestador de servicios de certificación, éste podrá hacer uso de los recursos administrativos que contempla la Ley nº 290, Ley de Organización, Competencia y Procedimientos del Poder Ejecutivo. Si el prestador de servicios de certificación no hiciere uso de los recursos a que se refiere el presente artículo, se tendrá por firme la resolución.

 

Artículo 49.- Todas las Resoluciones dictadas conforme a la Ley y el presente Reglamento, estarán contenidas en el Libro de Resoluciones que llevará anualmente la Entidad Rectora, el cual podrá ser llevado de forma impresa o electrónica.

 

CAPÍTULO lX.- DISPOSICIÓN FINAL

Artículo 50.- El presente Decreto entrará en vigencia a partir de su publicación en La Gaceta, Diario Oficial.

 

Dado en la Ciudad de Managua, Casa de Gobierno, República de Nicaragua, el día veinticuatro de Octubre del año dos mil once. 

 

Daniel Ortega Saavedra, Presidente de la República de Nicaragua. 

Alberto José Guevara Obregón, Ministro de Hacienda y Crédito Público.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.