Ciudad de México, D.F., a 5 de julio de 2002.
A LAS INSTITUCIONES DE CRÉDITO DEL PAÍS:
ASUNTO: INFRAESTRUCTURA EXTENDIDA DE SEGURIDAD.
El Banco de México, con fundamento en lo previsto en los artículos 3° fracción I y 24 de su Ley, y considerando:
a)
b)
c)
ha resuelto autorizar a las instituciones de crédito interesadas, a emitir certificados digitales a sus clientes para celebrar operaciones con ellos y realizar los procesos de registro y distribución de tales certificados, a través de la IES.
Para tales efectos, a partir del día 9 de septiembre de 2002, este Instituto Central podrá expedir en su carácter de Agencia Registradora Central (ARC) de la IES, certificados digitales para actuar como Agencia Registradora (AR) y/o Agencia Certificadora (AC) de dicha Infraestructura, a las instituciones de crédito que lo soliciten por escrito mediante comunicación dirigida a la Dirección de Trámite Operativo del propio Banco de México, en términos del modelo que se adjunta como Anexo 1.
Adicionalmente, las instituciones interesadas deberán cumplir con los requisitos que se señalan en el Anexo 2 y, una vez que su solicitud haya sido aprobada, deberán suscribir el contrato respectivo con Banco de México a fin de estar en posibilidad de emitir y/o registrar certificados digitales a sus clientes para los efectos señalados, según corresponda.
El documento en el que se describen las características y funciones de los participantes de la IES, los manuales para su uso y el directorio para la atención de consultas, están a disposición de esas instituciones en la página que el Banco de México tiene en la red mundial (Internet) que se identifica con el nombre de dominio: www.banxico.org.mx, en el rubro «Infraestructura Extendida de Seguridad» de la sección «Otros Servicios».
Atentamente,
BANCO DE MÉXICO
Dr. Manuel Galán Medina
Director de Sistemas Operativos y de Pagos
Lic. Fernando Corvera Caraza
Director de Disposiciones de Banca Central
ANEXO 1
México, D.F., a ___ de ____________de _____.
BANCO DE MÉXICO Dirección de Trámite Operativo, Av. 5 de mayo número 2, 3er. Piso, Col. Centro 06059 México, D.F.
En relación con la Circular-Telefax __/2002 del __ de ____ de 2002, (nombre de la institución) solicita a Banco de México la expedición del certificado digital para actuar como (tipo de Agencia(s) cuya función pretende realizar), a nombre de (nombres de los apoderados de la institución para dicho propósito) a fin de estar en posibilidad de actuar con tal carácter en la IES.
Al efecto, adjunto a la presente sometemos a la consideración de ese Instituto Central la documentación que acredita que (nombre de la institución) cumple con los requisitos establecidos en la Circular-Telefax mencionada para actuar como (tipo de Agencia(s) cuya función pretende realizar), así como la copia certificada de la escritura pública en la que consta el poder otorgado a las personas señaladas en el primer párrafo de la presente comunicación.
Asimismo, esta institución se obliga a proporcionar a Banco de México la información adicional que nos requiera en relación con las actividades mencionadas, así como permitir el acceso a nuestras instalaciones al personal autorizado por el Instituto Central a fin de que puedan corroborar el cumplimiento de los citados requisitos.
Atentamente,
(Denominación de la institución)
(Nombres de los funcionarios facultados)
(Cargos)
ANEXO 2
I. Definiciones
Para los efectos de este Anexo, en singular o plural se entenderá por:
Agencia Certificadora (AC)
A la institución de crédito autorizada por Banco de México para prestar servicios de certificación mediante la expedición de Certificados Digitales a través de la IES.
Agencia Registradora (AR)
A la institución de crédito autorizada por Banco de México para llevar el registro electrónico de los Certificados Digitales expedidos por las AC’s.
Agencia Registradora Central (ARC)
A Banco de México en su carácter de administrador de la IES que, entre otras funciones, establece las normas de operación de dicha infraestructura, emite y registra los Certificados Digitales de AC’s y AR’s, y lleva el registro de las claves públicas.
Certificado Digital
Al Mensaje de Datos firmado electrónicamente que confirma el vínculo entre la identidad del Titular con los respectivos Datos de Verificación de Firma Electrónica.
Datos de Creación de Firma Electrónica
A la información única, como códigos o claves criptográficas privadas, que el Titular genera bajo su total control y utiliza personalmente para crear una Firma Electrónica.
Datos de Verificación de Firma Electrónica
A la información única, como códigos o claves criptográficas públicas, que se utiliza para comprobar una Firma Electrónica.
Dispositivo de Creación de Firma Electrónica
Al programa o hardware de computadora que sirve para aplicar los Datos de Creación de Firma Electrónica a un Mensaje de Datos y obtener la Firma Electrónica del referido Mensaje de Datos.
Dispositivo de Verificación de Firma Electrónica
Al programa o hardware de computadora que sirve para aplicar los Datos de Verificación de Firma Electrónica a la Firma Electrónica de un Mensaje de Datos y comprobar su autenticidad.
Firma Electrónica
Al conjunto de datos que se agrega o adjunta a un Mensaje de Datos, el cual está asociado en forma lógica a éste y es atribuible al Titular.
Infraestructura Extendida de Seguridad (IES)
Al sistema de seguridad diseñado y administrado por Banco de México cuyo propósito es fortalecer la seguridad de la información que se transmite en los sistemas de pagos y a su vez acreditar la identidad del remitente, mediante el uso de Firmas Electrónicas y Certificados Digitales.
Mensaje de Datos
A la información generada, enviada, recibida, archivada o comunicada a través de medios electrónicos.
Titular
A la persona que conoce los Datos de Creación de Firma Electrónica y los utiliza bajo su exclusivo control, los cuales están íntimamente relacionados con los Datos de Verificación de Firma Electrónica que aparecen en el Certificado Digital correspondiente.
II. Requisitos
Banco de México podrá autorizar a las instituciones de crédito que lo soliciten, para actuar en la IES como AR y/o AC, expidiendo a su favor en su carácter de ARC Certificados Digitales de AR y/o AC según corresponda.
Con el fin de que en dicha Infraestructura exista un grado adecuado de seguridad, calidad y confianza en la prestación de servicios de certificación de identidad de personas, así como de emisión y registro de Certificados Digitales, las instituciones que soliciten la referida autorización deberán demostrar previamente a Banco de México, con información que a su juicio resulte suficiente, la fiabilidad de los servicios que prestarán y comprobar que tienen la capacidad tecnológica y el personal calificado para realizar adecuadamente las actividades necesarias en el ámbito de la Firma Electrónica y de la IES en lo que resulte conducente.
Asimismo, las instituciones solicitantes deberán presentar las reglas y procedimientos a que se refieren los numerales 1 de los apartados III y IV, según corresponda al tipo de agencia que soliciten, así como asegurar que podrán cumplir con las demás obligaciones que se señalan en dichos apartados.
III. Obligaciones de la Agencia Certificadora.
1. Contar con reglas y procedimientos sobre prácticas de certificación de identidad que sean objetivas, precisas y no discriminatorias.
2. Emitir Certificados Digitales que cumplan al menos con los requisitos previstos en el apartado V de este Anexo, así como revocarlos inmediatamente después de tener conocimiento de cualquiera de los supuestos previstos en el numeral 3 de dicho apartado.
3. Requerir para la certificación de la identidad de los Titulares, la comparecencia personal y directa de la persona que solicite un Certificado Digital, así como la presentación de la credencial de elector, pasaporte vigente o cualquier otra identificación oficial fiable.
4. Hacer del conocimiento del solicitante sus derechos y obligaciones como Titular, conforme a lo señalado en el apartado VI de este Anexo.
5. Proporcionar al solicitante de un Certificado Digital, los medios necesarios para que genere sus Datos de Creación de Firma Electrónica y Datos de Verificación de Firma Electrónica, en forma secreta y bajo su total control. Además, poner a su disposición el Dispositivo de Creación de Firma Electrónica y el Dispositivo de Verificación de Firma Electrónica.
6. Obtener una declaración con firma autógrafa del Titular, en donde manifieste estar de acuerdo con las condiciones siguientes: i) ser responsable del uso de su Firma Electrónica, toda vez que cualquier Mensaje de Datos firmado que se pueda comprobar con sus Datos de Verificación de Firma Electrónica le será atribuible y producirá los mismos efectos que las leyes otorgan a los documentos suscritos con firma autógrafa y, en consecuencia, tendrán el mismo valor probatorio, y ii) aceptar las condiciones de operación y los límites de responsabilidad de la AC, AR y ARC.
7. Registrar ante una AR los Certificados Digitales que emita, así como informarle de la revocación de los mismos, para que exista constancia de los Certificados Digitales vigentes y revocados.
8. Conservar al menos durante 10 años los requerimientos que los interesados formulen a la AC para la emisión de Certificados Digitales. Dicha conservación deberá efectuarse de conformidad con la Norma Oficial Mexicana NOM-151-SCFI-2002, Prácticas comerciales-Requisitos que deben observarse para la conservación de mensajes de datos, publicada en el Diario Oficial de la Federación el 4 de junio de 2002.
9. Conservar copia de la información y documentación proporcionada por el Titular para su identificación, así como de la declaración a que se refiere el numeral 6 del presente Apartado, por un plazo de al menos 10 años contados a partir de la emisión del correspondiente Certificado Digital, así como no utilizar dicha infirmación y documentación para fines diferentes a los relacionados con la IES.
10. Publicar en su página en la red mundial (Internet) las disposiciones que emita Banco de México en relación con la Firma Electrónica y la IES, así como las reglas y procedimientos previstos en el numeral 1 de este apartado III.
11. Proporcionar a Banco de México la información que éste le requiera en relación con sus actividades de certificación y permitir el acceso a sus instalaciones a las personas autorizadas por el propio Banco de México, a fin de que puedan corroborar el cumplimiento de los requisitos previstos en el presente Anexo.
12. Responder por los daños y perjuicios que, con motivo de la realización de sus actividades, ocasione por negligencia en el proceso de identificación del Titular, la emisión o revocación de Certificados Digitales. En todo caso, corresponderá a la AC demostrar que actuó con el debido cuidado.
13. Solicitar a la Dirección de Trámite Operativo de Banco de México con una antelación no menor a 60 días naturales, la revocación de la autorización que éste le haya otorgado, cuando pretenda dejar de prestar servicios como AC. En dicha solicitud deberá comunicar el nombre de la AC a quién vaya a transferir la información y documentación referida en los numerales 8 y 9 de este apartado, proporcionada por los Titulares cuyos Certificados Digitales haya emitido. Asimismo, a más tardar el tercer día hábil bancario siguiente a la presentación de su referida solicitud, deberá hacer del conocimiento de dichos Titulares su intención de dejar de actuar como AC y el destino que pretende dar a los datos de identificación que recibió de ellos.
14. Informar a los Titulares de la revocación de su Certificado Digital en la fecha en que ésta se lleve a cabo, cuando dicha revocación se deba a cualquiera de los últimos tres supuestos previstos en el numeral 3.2 del apartado V de este Anexo.
15. Contar con al menos un respaldo de la información referida en los incisos 8 y 9.
IV. Obligaciones de la Agencia Registradora.
1. Contar con reglas y procedimientos de operación que sean objetivos, precisos y aseguren que los sistemas, las bases de datos y los equipos de cómputo estarán protegidos contra accesos y modificaciones no autorizados, revelaciones indebidas y/o pérdidas de información.
2. Mantener un registro público de Certificados Digitales, en el que quede constancia de la fecha y hora de su emisión, período de vigencia y, en su caso, fecha y hora de revocación. Conservar en línea los datos de los Certificados Digitales por lo menos durante 10 años desde su emisión, de conformidad con la Norma Oficial Mexicana NOM-151-SCFI-2002, Prácticas comerciales-Requisitos que deben observarse para la conservación de mensajes de datos, publicada en el Diario Oficial de la Federación el 4 de junio de 2002.
3. Permitir la realización de consultas en línea por medios electrónicos al registro público de Certificados Digitales que administre.
4. No ofrecer servicios que permitan hacer una búsqueda sistemática de Certificados Digitales en el registro público mencionado en el numeral inmediato anterior.
5. Publicar en su página en la red mundial (Internet) las disposiciones de Banco de México en relación con la Firma Electrónica y la IES, así como las generalidades de las reglas y procedimientos previstos en el numeral 1 de este apartado IV.
6. Proporcionar a Banco de México la información que éste le requiera en relación con sus actividades de registro y permitir el acceso a sus instalaciones a las personas autorizadas por Banco de México, a fin de que puedan corroborar el cumplimiento de los requisitos previstos en el presente Anexo, incluyendo la revisión de la seguridad física y lógica de su infraestructura de cómputo.
7. Responder por los daños y perjuicios que, con motivo de la realización de sus actividades, ocasionen por negligencia en el proceso de registro o revocación de Certificados Digitales. En todo caso, corresponderá a la AR demostrar que se actuó con el debido cuidado.
8. Solicitar a la Dirección de Trámite Operativo de Banco de México la revocación de la autorización que éste le haya otorgado, con una antelación no menor a 60 días naturales a la fecha en que pretenda dejar de prestar el servicio de AR.
Dentro de los 3 días hábiles siguientes a la presentación de la mencionada solicitud, deberá notificar a los Titulares cuyos Certificados Digitales administra, su intención de dejar de actuar como AR, así como la fecha en que revocará tales Certificados Digitales. La fecha de dichas revocaciones no podrá ser inferior a 15 ni superior a 20 días hábiles contados a partir de la fecha en que haya hecho la notificación a los aludidos Titulares.
Adicionalmente, deberá transmitir a Banco de México la base de datos de los Certificados Digitales que administra en la forma y términos que éste le indique, dentro de los 3 días hábiles siguientes a la fecha en que haya revocado el último Certificado Digital. Asimismo, deberá proporcionar a Banco de México la demás información que éste le requiera.
9. Contar con al menos un respaldo electrónico de la base de datos de los Certificados Digitales que administra.
V. Características de los Certificados Digitales.
1. El formato del Certificado Digital deberá apegarse a la especificación ITU-T X.509v3.
2. Los Certificados Digitales tendrán al menos el contenido siguiente:
2. 1
2.2
2.2.1
2.2.2
2.2.3
2.3
2.4
2.5
3. Los Certificados Digitales quedarán sin efecto en los casos siguientes:
3.1
3.2
3.2.1
3.2.2
3.2.3
3.2.4
3.2.5
3.3
VI. Derechos y obligaciones de los Titulares.
1. El Titular tendrá los derechos siguientes:
1.1
1.1.1
1.1.2
1.1.3
1.1.4
1.1.5
1.1.6
1.1.7
1.1.8
1.2
1.3
1.4
1.5
1.6
2. El Titular tendrá las obligaciones siguientes:
2.1
2.2
2.3
2.4
VII. Límites de responsabilidad de la ARC.
La ARC no responderá por los daños y/o perjuicios que se causen, directa o indirectamente, por la utilización que se realice o pretenda realizarse de la IES, incluyendo los que se causen con motivo de la emisión y registro de Certificados Digitales.