Archivos de la etiqueta: mensajes datos

23Dic/10

Ley nº 4017/2010 de validez jurídica de la firma electrónica, la firma digital, los mensajes de datos y el expediente electrónico

Ley nº 4017/2010 de validez jurídica de la firma electrónica, la firma digital, los mensajes de datos y el expediente electrónico, de 23 diciembre de 2010 (Publicada en la Gaceta Oficial de la República del Paraguay nº 252, de 24 de diciembre de 2010)

TÍTULO PRIMERO.- DISPOSICIONES GENERALES

Artículo 1º.- Objeto y ámbito de aplicación. La presente Ley reconoce la validez jurídica de la firma electrónica, la firma digital, los mensajes de datos, el expediente electrónico y regula la utilización de los mismos, las empresas certificadoras, su habilitación y la prestación de los servicios de certificación.

Artículo 2º.- Definiciones. A efectos de la presente Ley, se entenderá por:

Firma electrónica: es el conjunto de datos electrónicos integrados, ligados o asociados de manera lógica a otros datos electrónicos, utilizado por el signatario como su medio de identificación, que carezca de alguno de los requisitos legales para ser considerada firma digital.

Firma digital: es una firma electrónica certificada por un prestador acreditado, que ha sido creada usando medios que el titular mantiene bajo su exclusivo control, de manera que se vincule únicamente al mismo y a los datos a los que se refiere, permitiendo la detección posterior de cualquier modificación, verificando la identidad del titular e impidiendo que desconozca la integridad del documento y su autoría.

Mensaje de datos: es toda información generada, enviada, recibida, archivada o comunicada por medios electrónicos, ópticos o similares, como pudieran ser, entre otros, el intercambio electrónico de datos (EDI), el correo electrónico, el telegrama, el télex o el telefax, siendo esta enumeración meramente enunciativa y no limitativa.

Documento Digital: es un mensaje de datos que representa actos o hechos, con independencia del soporte utilizado para su creación, fijación, almacenamiento, comunicación o archivo.

Firmante, suscriptor o signatario: es toda persona física o jurídica titular de la firma electrónica o digital. Cuando el titular sea una persona jurídica, ésta es responsable de determinar las personas físicas a quienes se autorizará a administrar los datos de creación de la firma electrónica o digital.

Remitente de un mensaje de datos: es toda persona que haya actuado por su cuenta o en cuyo nombre se haya actuado para enviar o generar un mensaje de datos.

Certificado digital: es todo mensaje de datos u otro registro emitido por una entidad legalmente habilitada para el efecto y que confirme la vinculación entre el titular de una firma digital y los datos de creación de la misma.

Prestador de servicios de certificación: entidad prestadora de servicios de certificación de firmas digitales.

Expediente electrónico: se entiende por «expediente electrónico», la serie ordenada de documentos públicos registrados por vía informática, tendientes a la formación de la voluntad administrativa en un asunto determinado.

Parte que confía: es toda persona que pueda actuar sobre la base de un certificado o de una firma electrónica.

Artículo 3º.-   Principios Generales. En la aplicación de la presente Ley, deberán observarse los siguientes principios:

a) Neutralidad tecnológica: Ninguna de las disposiciones de la presente Ley podrá ser aplicada de forma que excluya, restrinja o prive de efectos jurídicos a cualquier otro sistema o método técnico conocido o por conocerse que reúna los requisitos establecidos en la presente Ley.

b) Interoperabilidad: Las tecnologías utilizadas en la aplicación de la presente Ley se basarán en estándares internacionales.

c) Interpretación funcional: Los términos técnicos y conceptos utilizados serán interpretados en base a la buena fe, de manera que no sean negados efectos jurídicos a un proceso o tecnología utilizado por otro Estado por el solo hecho de que se le atribuya una nomenclatura diferente a la prevista en la presente Ley.

TÍTULO SEGUNDO

Sección I.- De los Mensajes de Datos

Artículo 4º.-   Valor jurídico de los mensajes de datos. Se reconoce el valor jurídico de los mensajes de datos y no se negarán efectos jurídicos, validez o fuerza obligatoria a la información por la sola razón de que esté en forma de mensaje de datos.

Tampoco se negarán efectos jurídicos, validez ni fuerza obligatoria a la información por la sola razón de que no esté contenida en el mensaje de datos que se supone ha de dar lugar a este efecto jurídico, sino que figure simplemente en el mensaje de datos en forma de remisión.

Artículo 5º.-   Empleo de mensajes de datos en la formación de los contratos. La oferta, aceptación así como cualquier negociación, declaración o acuerdo realizado por las partes en todo contrato, podrá ser expresada por medio de un mensaje de datos, no pudiendo negarse validez a un contrato por la sola razón de que en su formación se ha utilizado este sistema, siempre y cuando concurran el consentimiento y los demás requisitos necesarios para su validez previstos en el Código Civil.

Para que sea válida la celebración de contratos por vía electrónica, no será necesario el previo acuerdo de las partes sobre la utilización de medios electrónicos.

Artículo 6º.-   Cumplimiento del requisito de escritura. Cuando en el ámbito de aplicación de la presente Ley, la normativa vigente requiera que la información conste por escrito o si las normas prevean consecuencias en el caso de que la información no sea presentada o conservada en su forma original; ese requisito quedará satisfecho con un mensaje de datos firmado digitalmente que permita que la información que éste contiene sea accesible para su ulterior consulta.

En caso de que el mensaje de datos no estuviere vinculado con una firma digital, el mismo será considerado válido, en los términos del parágrafo anterior; si fuera posible determinar por algún medio inequívoco su autenticidad e integridad.

Artículo 7º.-   Admisibilidad y fuerza probatoria de los mensajes de datos. Toda información presentada en forma de mensaje de datos gozará de la debida fuerza probatoria, siempre y cuando el mismo tenga una firma digital válida de acuerdo con la presente Ley.

Los actos y contratos suscritos por medio de firma digital, otorgados o celebrados por personas naturales o jurídicas, públicas o privadas en el ámbito de aplicación de la presente Ley, serán válidos de la misma manera y producirán los mismos efectos que los celebrados por escrito y en soporte de papel. Dichos actos y contratos se reputarán como escritos, en los casos en que la ley exija que los mismos consten por escrito, a los efectos de que surtan consecuencias jurídicas.

Artículo 8º.-   Conservación de los mensajes de datos. Cuando la ley requiera que ciertos documentos, registros o informaciones sean conservados en su forma original, ese requisito quedará satisfecho con un mensaje de datos que los reproduzca, si:

a) existe una garantía confiable de que se ha conservado la integridad de la información, a partir del momento en que se generó por primera vez su forma definitiva, como mensaje de datos u otra forma. Esta garantía quedará cumplida si al mensaje de datos resultante se aplica la firma digital del responsable de la conservación;

b) la información que contenga sea accesible para su ulterior consulta;

c) el mensaje de datos sea conservado con el formato que se haya generado, enviado o recibido o con algún formato que sea demostrable que reproduce con exactitud la información generada, enviada o recibida; y,

d) se conserve, de haber alguno, todo dato que permita determinar el origen y el destino del mensaje, la fecha y la hora que fue enviado o recibido.

Artículo 9º.-   Integridad del documento digital o mensaje de datos. Para efectos del artículo anterior, se considerará que la información consignada en un mensaje de datos es íntegra, si ésta ha permanecido completa e inalterada, salvo la adición de algún endoso o de algún cambio que sea inherente al proceso de comunicación, archivo o presentación. El grado de confiabilidad requerido será determinado a la luz de los fines para los que se generó la información y de todas las circunstancias relevantes del caso.

Artículo 10.-  De la reproducción de documentos originales por medios electrónicos.Cuando sea necesario almacenar documentos y datos de cualquier especie, se podrá almacenar la reproducción de los mismos en mensajes de datos. La reproducción del documento o dato deberá ser realizada en la forma y en los lugares indicados por la reglamentación de la presente Ley.

La reproducción, a la que hace mención el presente artículo, no afectará ni modificará de modo alguno los plazos individualizados en el documento reproducido, ni tampoco implica reconocimiento expreso o tácito de que el contenido sea válido.

Artículo 11.-  De la digitalización de los archivos públicos. El Estado y sus órganos dependientes podrán proceder a la digitalización total o parcial de sus archivos almacenados, para lo cual cada organismo del Estado o el Poder Ejecutivo podrá dictar el reglamento aplicable al proceso de digitalización mencionado, siempre y cuando los mensajes de datos resultantes cumplan con las condiciones mínimas establecidas en la presente Ley y estuvieran firmados digitalmente por el funcionario autorizado para realizar las citadas reproducciones.

Sección II.- Del Envío y Recepción de los Mensajes de Datos

Artículo 12.-  Remitente de los mensajes de datos. A los efectos de la presente Ley, se entenderá que un mensaje de datos:

a) proviene del remitente, si:

i) ha sido enviado por el propio remitente;

ii) ha sido enviado por alguna persona facultada para actuar en nombre del remitente respecto de ese mensaje;

iii) ha sido enviado por un sistema de información programado por el remitente o en su nombre para que opere automáticamente, o

iv) el mensaje de datos que reciba el destinatario resulte de los actos de una persona cuya relación con el remitente, o con algún mandatario suyo, le haya dado acceso a algún método utilizado por el remitente para identificar un mensaje de datos como propio, aun cuando esta persona no hubiese estado debidamente autorizada por el mismo para ese efecto.

Los numerales ii, iii y iv del presente artículo no se aplicarán entre remitente y destinatario, a partir del momento en que el destinatario haya sido informado por el remitente de que los mensajes de datos que provengan en su nombre y/o con su firma digital pueden ser emitidos por personas no autorizadas para el efecto, quedando automáticamente inhabilitada la firma digital entre el remitente y el destinatario debidamente notificado. La notificación aquí mencionada no exime al titular de la firma digital de la obligación de notificar a la autoridad certificadora de esta situación.

Artículo 13.-  Acuse de recibo. El remitente de un mensaje de datos podrá solicitar o acordar con el destinatario que se acuse recibo del mensaje de datos.

1) Cuando el remitente no haya acordado con el destinatario que el acuse de recibo se dé en alguna forma determinada o utilizando un método determinado, se podrá acusar recibo mediante:

a) toda comunicación del destinatario, automatizada o no, o

b) todo acto del destinatario, que baste para indicar al remitente que se ha recibido el mensaje de datos.

2) Cuando el remitente haya indicado que los efectos del mensaje de datos estarán condicionados a la recepción de un acuse de recibo, se considerará que el mensaje de datos no ha sido enviado en tanto que no se haya recibido el acuse de recibo.

3) Cuando el remitente no haya indicado que los efectos del mensaje de datos estarán condicionados a la recepción de un acuse de recibo, si no ha recibido acuse en el plazo fijado o convenido, o no se ha fijado o convenido ningún plazo, en un plazo razonable el remitente:

a) podrá dar aviso al destinatario de que no ha recibido acuse de recibo y fijar un plazo razonable para su recepción; y,

b) de no recibirse acuse dentro del plazo fijado conforme al inciso a), podrá, dando aviso de ello al destinatario, considerar que el mensaje de datos no ha sido enviado o ejercer cualquier otro derecho que pueda tener.

4) Cuando el remitente reciba acuse de recibo del destinatario, se presumirá que éste ha recibido el mensaje de datos correspondiente. Esa presunción no implicará que el mensaje de datos corresponda al mensaje recibido.

5) Cuando en el acuse de recibo se indique que el mensaje de datos recibido cumple con los requisitos técnicos convenidos o enunciados en alguna norma técnica aplicable, se presumirá que ello es así.

Salvo en lo que se refiere al envío o recepción del mensaje de datos, el presente artículo no obedece al propósito de regir las consecuencias jurídicas que puedan derivarse de ese mensaje de datos o de su acuse de recibo.

Artículo 14.- Tiempo y lugar del envío y la recepción de un mensaje de datos.

1) De no convenir otra cosa el remitente y el destinatario, el mensaje de datos se tendrá por expedido cuando entre en un sistema de información que no esté bajo el control del remitente o de la persona que envió el mensaje de datos en nombre del remitente.

2) De no convenir otra cosa el remitente y el destinatario, el momento de recepción de un mensaje de datos se determinará como sigue:

a) si el destinatario ha designado un sistema de información para la recepción de mensajes de datos, la recepción tendrá lugar:

i) en el momento en que entre el mensaje de datos en el sistema de información designado; o

ii) de enviarse el mensaje de datos a un sistema de información del destinatario que no sea el sistema de información designado, en el momento en que el destinatario recupere el mensaje de datos.

b) si el destinatario no ha designado un sistema de información, la recepción tendrá lugar en el momento en que el destinatario recupere el mensaje de datos  de un sistema de información que no esté bajo su control.

3) El párrafo 2) será aplicable aun cuando el sistema de información esté ubicado en un lugar distinto de donde se tenga por recibido el mensaje conforme al párrafo 4).

4) De no convenir otra cosa el remitente y el destinatario, el mensaje de datos se tendrá por expedido en el lugar donde el remitente tenga su establecimiento y por recibido en el lugar donde el destinatario tenga el suyo. Para los fines del presente párrafo:

a) si el remitente o el destinatario tienen más de un establecimiento, será válido el que guarde una relación más estrecha con la operación subyacente o, de no haber una operación subyacente, será válido su establecimiento principal; y,

b) si el remitente o el destinatario no tienen establecimiento, se tendrá en cuenta su lugar de residencia habitual.

TÍTULO TERCERO.-DE LA FIRMA ELECTRÓNICA

Sección I.- Disposiciones Generales

Artículo 15.-  Titulares de una firma electrónica. Podrán ser titulares de una firma electrónica personas físicas o jurídicas.

Para el caso de las personas jurídicas, la aplicación o utilización de la firma electrónica por sus representantes se considerará como efectuada por la persona jurídica con todos los alcances previstos en los estatutos o normas correspondientes a su funcionamiento que se encuentren vigentes al momento de la firma.

Corresponde a la persona jurídica, a través de sus órganos directivos, determinar las personas autorizadas para emplear la firma electrónica que le fuera asignada.

Artículo 16.-  Obligaciones de los titulares de firmas electrónicas. Los titulares de firmas electrónicas deberán:

a) actuar con diligencia razonable para evitar la utilización no autorizada de sus datos de creación de la firma;

b) dar aviso sin dilación indebida a cualquier persona que, según pueda razonablemente prever el titular, que puedan considerar fiable la firma electrónica o que puedan prestar servicios que la apoyen si:

i) sabe que los datos de creación de la firma han quedado en entredicho; o sabe que los datos de creación de la firma han quedado en entredicho; o

ii) las circunstancias de que tiene conocimiento dan lugar a un riesgo considerable de que los datos de creación de la firma hayan quedado en entredicho.

c) cuando se emplee un certificado para refrendar la firma electrónica, actuar con diligencia razonable para cerciorarse de que todas las declaraciones que haya hecho en relación con su período de validez o que hayan de consignarse en él sean exactas y cabales.

El titular de la firma electrónica incurrirá en responsabilidad personal, solidaria e intransferible por el incumplimiento de los requisitos enunciados en este artículo.

Artículo 17.-  Efectos del empleo de una firma electrónica. La aplicación de la firma electrónica a un mensaje de datos implica para las partes la presunción de:

a) que el mensaje de datos proviene del firmante;

b) que el firmante aprueba el contenido del mensaje de datos.

Artículo 18.-  Validez jurídica de la firma electrónica. En caso de ser desconocida la firma electrónica corresponde a quien la invoca acreditar su validez.

Artículo 19.-  De la revocación de una firma electrónica. La asignación de una firma electrónica a su titular quedará sin efecto y la misma perderá todo valor como firma en los siguientes casos:

1) Por extinción del plazo de vigencia de la misma.

2) A solicitud del titular de la firma.

3) Por fallecimiento del titular o disolución de la persona jurídica que represente, en su caso.

4) Por resolución judicial ejecutoriada, o

5) Por incumplimiento de las obligaciones del usuario establecidas en la presente Ley.

Sección II.- De la Firma Digital

Artículo 20.-  Validez  jurídica de la firma digital. Cuando la ley requiera una firma manuscrita, esa exigencia también queda satisfecha por una firma digital. Este principio es aplicable a los casos en que la ley establece la obligación de firmar o prescribe consecuencias para su ausencia.

Artículo 21.- Exclusiones. Las disposiciones de esta Ley no son aplicables:

a) a las disposiciones por causa de muerte;

b) a los actos jurídicos del derecho de familia;

c) a los actos que deban ser instrumentados bajo exigencias o formalidades incompatibles con la utilización de la firma digital, ya sea como consecuencia de disposiciones legales o acuerdo de partes; y,

d) a los actos personalísimos en general.

Artículo 22.- Requisitos de validez de la firma digital. Una firma digital es válida si cumple con los siguientes requisitos:

a)   haber sido creada durante el período de vigencia del certificado digital válido del firmante;

b)   haber sido debidamente verificada la relación entre el firmante y la firma digital, por la referencia a los datos indicados en el certificado digital, según el procedimiento de verificación correspondiente. Se exigirá la presencia física del solicitante del certificado con documento de identidad vigente y válido en la República del Paraguay;

c)   que dicho certificado haya sido emitido por una entidad prestadora de servicios de certificación autorizada por la presente Ley;

d)   que los datos de creación de la firma hayan estado, en el momento de la firma, bajo el control del firmante;

e)   que sea posible detectar cualquier alteración de la firma electrónica hecha después del momento de la firma;

f)    que sea posible detectar cualquier alteración de la información contenida en  el mensaje de datos al cual está asociada, hecha después del momento de la firma;

g)   el  solicitante es el responsable respecto de la clave privada cuya clave pública correspondiente se consigna en el certificado y todos los usos que a la misma se le dieran;

h)   el solicitante deberá manifestar su total conocimiento y aceptación de la Declaración de Prácticas de Certificación y/o Política de Certificación correspondientes al certificado solicitado.

Artículo 23.-  Efectos del empleo de una firma digital. La aplicación de la firma digital a un mensaje de datos implica para las partes la presunción de:

a) que el mensaje de datos proviene del remitente;

b) que el contenido del mensaje de datos no ha sido adulterado desde el momento de la firma y el firmante aprueba el contenido del mensaje de datos.

Para que la presunción expresada en el parágrafo anterior sea efectiva, la firma digital aplicada al mensaje de datos debe poder ser verificada con el certificado digital respectivo expedido por la prestadora de servicios de firma digital.

Los efectos enumerados en el presente artículo continuarán vigentes por tiempo indefinido para el mensaje de datos al que fuera aplicada la firma digital, aun cuando con posterioridad a la aplicación de la misma, ésta fuera revocada por cualquiera de los motivos indicados en la presente Ley.

Artículo 24.-  De la revocación de una firma digital. La asignación de una firma digital a su titular quedará sin efecto y la misma perderá todo valor como firma digital en los siguientes casos:

1) Por extinción del plazo de vigencia de la firma digital, el cual no podrá exceder de dos años, contados desde la fecha de adjudicación de la misma a su titular por parte del prestador de servicios de firmas digitales respectivo.

2) Por revocación realizada por el prestador de servicios de certificación, la que tendrá lugar en las siguientes circunstancias:

a) a solicitud del titular de la firma;

b) por fallecimiento del titular o disolución de la persona jurídica que represente, en su caso;

c) por resolución judicial ejecutoriada, o

d) por incumplimiento de las obligaciones del usuario establecidas en la presente Ley.

La revocación de un certificado en las circunstancias del inciso d) del numeral 2) de este artículo, será comunicada previamente al prestador de servicios de certificación que hubiera emitido la misma, indicando la causa. En cualquier caso, la revocación no privará de valor a las firmas digitales antes del momento exacto que sea verificada por el prestador.

En caso de que el prestador de servicios de certificación que originalmente haya adjudicado la firma digital a ser revocada ya no existiera o su funcionamiento se encontrase suspendido, el titular deberá comunicar la revocación de su firma digital al prestador de servicios de firma digital que haya sido designado responsable de la verificación de las firmas emitidas por aquella.

Igualmente, cuando ocurriere una suspensión por causas técnicas, se aplicará lo dispuesto en el párrafo anterior.

Sección III.- De los Prestadores de Servicios de Certificación

Artículo 25.-  Del prestador de servicios de certificación. Podrán ser prestadores de servicios de certificación, las personas jurídicas que fueran habilitadas por la autoridad normativa indicada en la presente Ley, en base a las disposiciones de la presente Ley, así como a las disposiciones del decreto reglamentario correspondiente.

Artículo 26.-  Del procedimiento de habilitación de prestadores de servicios de certificación. La autoridad normativa autorizará el funcionamiento de prestadores de servicios de certificación que hubiesen solicitado la habilitación requerida por esta Ley, siempre y cuando las mismas cumplan con todos los requisitos básicos individualizados en ella.

Una vez habilitado un prestador de servicios de certificación, el mismo deberá auto asignarse una firma digital, debiendo entregar la clave verificadora de la misma a la autoridad normativa quien tendrá habilitado al efecto un registro de prestadores de servicios de certificación habilitados en la República del Paraguay, y a la cual podrá recurrirse para verificar la firma digital del prestador.

Artículo 27.-  De la resolución ficta de habilitación de prestadores de servicios de certificación. Cuando la autoridad normativa considere que el solicitante de la habilitación para prestar servicios de certificación no cumple con los requisitos mínimos establecidos, deberá demostrarlo así en un procedimiento sumario que deberá completarse en un plazo máximo de cincuenta días hábiles, contados a partir de la fecha de presentación de la solicitud de habilitación respectiva.

En caso de que vencido el plazo no pudiera demostrarse el incumplimiento de los requisitos básicos establecidos, se producirá resolución ficta concediendo la habilitación solicitada y debiendo expedirse inmediatamente la documentación que acredite la habilitación del prestador.

Artículo 28.-  Requisitos básicos que deben cumplir los prestadores de servicios de certificación para ser habilitados. Los proveedores de servicios de certificación deberán:

a) garantizar la utilización de un servicio rápido y seguro de guía de usuarios y de un servicio de revocación seguro e inmediato;

b) garantizar que pueda determinarse con precisión la fecha y la hora en que se expidió o revocó un certificado;

c) comprobar debidamente, de conformidad con el derecho nacional, la identidad y, si procede, cualesquiera atributos específicos de la persona a la que se expide un certificado reconocido;

d) emplear personal que tenga los conocimientos especializados, la experiencia y las cualificaciones necesarias correspondientes a los servicios prestados, en particular: competencia en materia de gestión, conocimientos técnicos en el ámbito de la firma electrónica y familiaridad con los procedimientos de seguridad adecuados; deben poner asimismo en práctica los procedimientos administrativos y de gestión adecuados y conformes a normas reconocidas;

e) utilizar sistemas y productos fiables que se requiera para prestar servicios de certificación y que estén protegidos contra toda alteración y que garanticen la seguridad técnica y criptográfica de los procedimientos con que trabajan;

f) tomar medidas contra la falsificación de certificados y, en caso de que el proveedor de servicios de certificación genere datos de creación de firma, garantizar la confidencialidad durante el proceso de generación de dichos datos;

g) disponer de recursos económicos suficientes para operar de conformidad con lo dispuesto en la presente Ley, en particular para afrontar el riesgo de responsabilidad por daños y perjuicios, pudiendo emplearse para el efecto fianzas, avales, seguros o cualquier otro medio;

h) registrar toda la información pertinente relativa a un certificado reconocido durante un período de tiempo adecuado, en particular para aportar pruebas de certificación en procedimientos judiciales. Esta actividad de registro podrá realizarse por medios electrónicos;

i) no almacenar ni copiar los datos de creación de firma de la persona a la que el proveedor de servicios de certificación ha prestado servicios de asignación de firmas electrónicas;

j) utilizar sistemas fiables para almacenar certificados de forma verificable, de modo que:

– sólo personas autorizadas puedan hacer anotaciones y modificaciones;

– pueda comprobarse la autenticidad de la información;

– los certificados estén a disposición del público para su consulta sólo en los casos en los que se haya obtenido el consentimiento del titular del certificado; y

– el agente pueda detectar todos los cambios técnicos que pongan en entredicho los requisitos de seguridad mencionados.

k) demostrar la honestidad de sus representantes legales, administradores y funcionarios, a través de certificaciones de antecedentes policiales y judiciales.

Artículo 29.-  Requisitos de validez de los certificados digitales. Los certificados digitales para ser válidos deberán:

a) ser emitidos por una entidad prestadora de servicios de certificación habilitada por la presente Ley; y,

b) responder a formatos estándares tecnológicos preestablecidos reconocidos internacionalmente, fijados por la presente Ley y la reglamentación respectiva, y contener, como mínimo, los datos que permitan:

1. identificar indubitablemente a su titular y la entidad que lo emitió, indicando su período de vigencia y los datos que permitan su identificación única;

2. ser susceptible de verificación respecto de su vigencia o revocación;

3. establecer claramente la información incluida en el certificado que haya podido ser verificada;

4. contemplar la información necesaria para la verificación de la firma;

5. identificar la política de certificación bajo la cual fue emitido, en especial si la misma implica limitación en los fines en que ha de utilizarse o de la de responsabilidad que asume el prestador con relación al certificado emitido;

6. la firma digital del prestador de servicios de certificación.

Artículo 30.-  Políticas de Certificación. El certificado de firma digital podrá establecer límites en cuanto a sus posibles usos, siempre y cuando los límites sean reconocibles por terceros. La Autoridad de aplicación deberá aprobar la Política de Certificación, que será empleada por las empresas prestadoras de los servicios de certificación.

Artículo 31.-  De las prestadoras de servicios de certificación aprobadas por leyes anteriores. Las entidades prestadoras de servicios de certificación cuyo funcionamiento hubiera sido autorizado con anterioridad a la presente Ley, deberán adecuar su funcionamiento a las disposiciones de ésta en un plazo perentorio máximo de seis meses y de no hacerlo así, su habilitación será revocada automáticamente, siendo a cargo exclusivo de las mismas las responsabilidades emergentes de su funcionamiento sin la habilitación pertinente.

La firma digital empleada en base a las disposiciones de la presente Ley será suficiente para su empleo ante cualquier dependencia estatal o privada, aun cuando por ley anterior estuviere establecido el empleo de una firma expedida por prestadoras de servicios de certificación determinados.

Artículo 32.-  Obligaciones del prestador de servicios de certificación. El prestador de servicios de certificación deberá:

a) adjudicar una firma digital a quien lo solicite sin distinciones ni privilegios de ninguna clase, siempre y cuando el solicitante presente los recaudos establecidos para el efecto;

b) actuar con diligencia razonable para cerciorarse de que todas las declaraciones importantes que haya hecho en relación con el ciclo vital del certificado o que estén consignadas en él sean exactas y cabales;

c) proporcionar medios de acceso razonablemente fácil que permitan a la parte que confía en el certificado determinar mediante éste:

i) la identidad del prestador de servicios de certificación;

ii) que el firmante nombrado en el certificado haya tenido bajo su control los datos de creación de la firma en el momento en que se aplicó ésta al mensaje de datos;

iii) que los datos de creación de la firma hayan sido válidos en la fecha que se expidió el certificado o antes de ella.

d) proporcionar medios de acceso razonablemente fácil que, según proceda, permitan a la parte que confía en el certificado determinar mediante éste o de otra manera:

i) el método utilizado para identificar al firmante;

ii) cualquier limitación en los fines o el valor respecto de los cuales puedan utilizarse los datos de creación de la firma o el certificado;

iii) si los datos de creación de la firma son válidos y no están en entredicho;

iv) cualquier limitación en cuanto al ámbito o el alcance de la responsabilidad indicada por el prestador de servicios de certificación;

v) si existe un medio para que el firmante dé aviso de que los datos de creación de la firma están en entredicho;

vi) si se ofrece un servicio de revocación oportuna del certificado.

e) además deberá informar a quien solicita la adjudicación de una firma digital con carácter previo a su emisión las condiciones precisas de utilización de la firma digital, sus características y efectos, forma que garantiza su posible responsabilidad patrimonial. Esa información deberá estar libremente accesible en lenguaje fácilmente comprensible. La parte pertinente de dicha información estará también disponible para terceros;

f) abstenerse de generar, exigir, o por cualquier otro medio tomar conocimiento o acceder bajo ninguna circunstancia, a los datos de creación de firma digital de los titulares de certificados digitales por él emitidos;

g) mantener el control exclusivo de sus propios datos de creación de firma digital e impedir su divulgación;

h) operar utilizando un sistema técnicamente confiable;

i) notificar al solicitante las medidas que está obligado a adoptar y las obligaciones que asume por el solo hecho de ser titular de una firma digital;

j) recabar únicamente aquellos datos personales del titular de la firma digital que sean necesarios para su emisión, quedando el solicitante en libertad de proveer información adicional;

k) mantener la confidencialidad de toda información que reciba y que no figure en el certificado digital;

l) poner a disposición del solicitante de una firma digital, toda la información relativa a su tramitación;

m) mantener la documentación respaldatoria de las firmas digitales y los certificados digitales emitidos, por diez años a partir de su fecha de vencimiento o revocación;

n) publicar en Internet o cualquier otra red de acceso público de transmisión o difusión de datos que la sustituya en el futuro, en forma permanente e ininterrumpida, la lista de firmas digitales vigentes y revocadas, las políticas de certificación, la información relevante de los informes de la última auditoría de que hubiera sido objeto, su manual de procedimientos y toda información que considere pertinente;

ñ) registrar las presentaciones que le sean formuladas, así como el trámite conferido a cada una de ellas;

o) verificar, de acuerdo con lo dispuesto en su manual de procedimientos, toda otra información que deba ser objeto de verificación, la que debe figurar en las políticas de certificación y en los certificados digitales;

p) emplear personal idóneo que tenga los conocimientos específicos, la experiencia necesaria para proveer los servicios ofrecidos y en particular, competencia en materia de gestión, conocimientos técnicos en el ámbito de la firma digital y experiencia adecuada en los procedimientos de seguridad pertinentes;

q) llevar un registro de las claves públicas de las firmas digitales existentes, a los efectos de confirmar la veracidad de las mismas cuando éstos son empleados;

r) velar por la vigencia y, en su caso, cancelación oportuna de las firmas digitales cuando existan razones válidas para ello;

s) actuar con diligencia razonable para evitar la utilización no autorizada de sus datos de creación de firmas, así como de cualquier otra información obrante en su poder relacionada a las firmas electrónicas que administre o certifique;

t) dar aviso sin dilación indebida por lo menos en dos medios masivos de comunicación si:

i) sabe que los datos de creación de su firma digital o cualquier otra información relacionada a la misma ha quedado en entredicho; o

ii) las circunstancias de que tiene conocimiento dan lugar a un riesgo considerable de que datos de creación de su firma digital o cualquier otra información relacionada a la misma ha quedado en entredicho.

Artículo 33.-  Responsabilidades de los prestadores de servicios de certificación. Los prestadores de servicios de certificación autorizados en base a la presente Ley serán responsables por los daños y perjuicios causados a toda persona física o jurídica que confíe razonablemente en el certificado digital por él emitido, en lo que respecta a:

a) la inclusión de todos los campos y datos requeridos por la ley y a la exactitud de los mismos, al momento de su emisión;

b) que al momento de la emisión de un certificado reconocido por el prestador de servicios de certificación autorizado, la firma en él identificada obedezca a los datos de creación de las firmas correspondientes a los datos de verificación incluidos en el certificado reconocido por el prestador, con el objeto de asegurar la cadena de confianza;

c) los errores u omisiones que presenten los certificados digitales que emitan; y,

d) el registro, en tiempo y forma, de la revocación de los certificados reconocidos que haya emitido, cuando así correspondiere.

Corresponde al prestador de servicios de certificación autorizado demostrar que no actuó ni con culpa ni con dolo.

Los prestadores no serán responsables de los daños y perjuicios causados por el uso que exceda de los límites de las Políticas de Certificación indicados en el certificado, ni de aquéllos que tengan su origen en el uso indebido o fraudulento de un certificado de firma digital.

Tampoco responderá por eventuales inexactitudes en el certificado reconocido que resulten de la información verificada facilitada por el titular, siempre que el prestador de servicios de certificación acreditado pueda demostrar que ha cumplido todas las medidas previstas en sus políticas y procedimientos de certificación.

A los efectos de salvaguardar los intereses de las partes que utilizan los servicios de certificación, el prestador de servicios de certificación deberá contar con un medio de garantía suficiente para cubrir las responsabilidades inherentes a su gestión, entre los que se podría citar: pólizas de seguros, cauciones bancarias o financieras o en fin cualquier sistema que el Reglamento de la presente Ley establezca para el efecto.

Artículo 34.-  Protección de datos personales. Los prestadores de servicios de certificación sólo podrán recolectar los datos personales directamente de la persona a quien esos datos se refieran, después de haber obtenido su consentimiento expreso y sólo en la medida en que los mismos sean necesarios para la emisión y mantenimiento del certificado. Los datos no podrán ser obtenidos o utilizados para otro fin, sin el consentimiento expreso del titular de los datos.

Artículo 35.-  De los aranceles. Los aranceles por la prestación de servicios de certificación serán fijados por la autoridad normativa, quien podrá establecer los montos máximos a ser cobrados por los mismos. Podrá la misma permitir que los aranceles sean fijados libremente por los prestadores siempre que a su criterio el mercado estuviera en condiciones de regularlos en un marco de libre competencia.

Artículo 36.-  Reconocimiento de certificados extranjeros. Los certificados digitales emitidos por certificadores extranjeros podrán ser reconocidos en los mismos términos y condiciones exigidos en la presente Ley y sus normas reglamentarias cuando:

a) reúnan las condiciones que establece la presente Ley y la reglamentación correspondiente;

b) tales certificados provengan de proveedores extranjeros que sean reconocidos o aprobados por la autoridad normativa, facultándose a ésta a reglamentar el procedimiento para este reconocimiento o aprobación.

TÍTULO CUARTO.- DEL EXPEDIENTE ELECTRÓNICO Y DEL TRÁMITE ADMINISTRATIVO

Artículo 37.-  Expediente electrónico. Se entiende por «expediente electrónico» la serie ordenada de documentos públicos registrados por vía informática, tendientes a la formación de la voluntad administrativa en un asunto determinado.

En la tramitación de expedientes administrativos, podrán utilizarse expedientes electrónicos total o parcialmente, de acuerdo con las siguientes reglas:

1) El expediente electrónico tendrá la misma validez jurídica y probatoria que el expediente tradicional.

2) La documentación emergente de la transmisión a distancia, por medios electrónicos, entre dependencias oficiales, constituirá, de por sí, documentación auténtica y hará plena fe a todos sus efectos en cuanto a la existencia del original trasmitido.

3) La sustanciación de actuaciones en la Administración Pública, así como los actos administrativos que se dicten en las mismas, podrán realizarse por medios informáticos.

Cuando dichos trámites o actos, revestidos de carácter oficial, hayan sido redactados o extendidos por funcionarios competentes, según las formas requeridas, dentro del límite de sus atribuciones, y que aseguren su inalterabilidad por medio de la firma digital reconocida en la presente Ley tendrán el mismo valor probatorio y jurídico que se le asigna cuando son realizados por escrito en papel.

4) Cuando la sustanciación de las actuaciones administrativas se realice por medios informáticos, las firmas autógrafas que la misma requiera podrán ser sustituidas por firmas digitales.

5) Todas las normas sobre procedimiento administrativo serán de aplicación a los expedientes tramitados en forma electrónica, en la medida en que no sean incompatibles con la naturaleza del medio empleado.

6) Toda petición o recurso administrativo que se presente ante la Administración podrá realizarse por medio de documentos electrónicos. A tales efectos, los mismos deberán ajustarse a los formatos o parámetros técnicos establecidos por la autoridad normativa.

En caso de incumplimiento de dichas especificaciones, tales documentos se tendrán por no recibidos.

7) Toda vez que se presente un documento mediante transferencia electrónica, la Administración deberá expedir una constancia de su recepción. La constancia o acuse de recibo de un documento electrónico será prueba suficiente de su presentación. Su contenido será la fecha, lugar y firma digital del receptor.

8) La Administración admitirá la presentación de documentos registrados en papel para su utilización en un expediente electrónico. En tales casos, podrá optar entre la digitalización de dichos documentos para su incorporación al expediente electrónico, o la formación de una pieza separada, o una combinación de ambas, fijando como meta deseable la digitalización total de los documentos.

En caso de proceder a la digitalización del documento registrado en papel, se certificará la copia mediante la firma digital del funcionario encargado del proceso, así como la fecha y lugar de recepción.

9) Autorízase la reproducción y almacenamiento por medios informáticos de los expedientes y demás documentos registrados sobre papel, que fueran fruto de la aplicación de la presente Ley.

10) Podrán reproducirse sobre papel los expedientes electrónicos cuando sea del caso su sustanciación por ese medio, ya sea dentro o fuera de la repartición administrativa de que se trate, o para proceder a su archivo sobre papel. El funcionario responsable de dicha reproducción certificará su autenticidad.

11) Tratándose de expedientes totalmente digitalizados, el expediente original en papel deberá radicarse en un archivo centralizado. En caso de la tramitación de un expediente parcialmente digitalizado, la pieza separada que contenga los documentos registrados en papel, se radicará en un archivo a determinar por la repartición respectiva. En ambos casos, el lugar dispuesto propenderá a facilitar la consulta, sin obstaculizar el trámite del expediente.

12) Los plazos para la sustanciación de los expedientes electrónicos, se computarán a partir del día siguiente de su recepción efectiva por el funcionario designado.

Se entiende por «recepción efectiva» la fecha de ingreso del documento al subsistema de información al cual tiene acceso el funcionario designado a tales efectos.

13) Los sistemas de información de expedientes electrónicos deberán prever y controlar las demoras en cada etapa del trámite. A su vez, deberán permitir al superior jerárquico modificar el trámite para sortear los obstáculos detectados, minimizando demoras.

14) Los órganos administrativos que utilicen expedientes electrónicos, adoptarán procedimientos y tecnologías de respaldo o duplicación, a fin de asegurar su inalterabilidad y seguridad, según los estándares técnicos establecidos por la Autoridad Normativa.

15) Los documentos que hayan sido digitalizados en su totalidad, a través de los medios técnicos incluidos en el artículo anterior, se conservarán de acuerdo con lo dispuesto en la presente Ley. Los originales de valor histórico, cultural o de otro valor intrínseco, no podrán ser destruidos; por lo que luego de almacenados serán enviados para su guarda a la repartición pública que corresponda, en aplicación de las normas vigentes sobre conservación del patrimonio histórico y cultural del Estado.

16) La divulgación de la clave o contraseña personal de cualquier funcionario autorizado a documentar su actuación mediante firmas digitales, constituirá falta gravísima, aun cuando la clave o contraseña no llegase a ser utilizada.

17) Cuando los documentos electrónicos que a continuación se detallan, sean registrados electrónicamente, deberán identificarse mediante la firma digital de su autor:

a) los recursos administrativos, así como toda petición que se formule a la Administración;

b) los actos administrativos definitivos;

c) los actos administrativos de certificación o destinados a hacer fe pública; y,

d) los dictámenes o asesoramientos previos a una resolución definitiva.

TÍTULO QUINTO.- DE LA AUTORIDAD DE APLICACIÓN

Artículo 38.-  Autoridad de Aplicación. La Autoridad de Aplicación de la presente Ley será el Instituto Nacional de Tecnología y Normalización.

Artículo 39.-  Funciones. El Instituto Nacional de Tecnología y Normalización sin perjuicio de las funciones específicas del mismo, en su carácter de Autoridad de Aplicación de la presente Ley tendrá las siguientes atribuciones:

a) dictar las normas reglamentarias y de aplicación de la presente Ley;

b) establecer  los estándares tecnológicos y operativos de la implementación de la presente Ley;

c) autorizar, conforme a la reglamentación expedida por el Poder Ejecutivo, la operación de entidades de certificación en el territorio nacional;

d) velar por el adecuado funcionamiento y la eficiente prestación del servicio por parte de las entidades de certificación y el cabal cumplimiento de las disposiciones legales y reglamentarias de la actividad;

e) efectuar las auditorías de que trata la presente Ley;

f) determinar los efectos de la revocación de los certificados de los prestadores de servicios de certificación;

g) instrumentar acuerdos nacionales e internacionales, a fin de otorgar validez jurídica a las firmas digitales creadas sobre la base de certificados emitidos por certificadores de otros países;

h) determinar las pautas de auditoría, incluyendo los dictámenes tipo que deban emitirse como conclusión de las revisiones;

i) requerir en cualquier momento a las entidades de certificación para que suministren información relacionada con los certificados, las firmas digitales emitidas y los documentos en soporte informático que custodien o administren;

j) imponer  sanciones  a  las entidades  de  certificación por el  incumplimiento o cumplimiento parcial de las obligaciones derivadas de la prestación del servicio; 

k) otorgar o revocar las licencias a los prestadores del servicio de certificación habilitados y supervisar su actividad, según las exigencias establecidas por la reglamentación;

l) homologar  los  dispositivos  de  creación  y  verificación  de  firmas digitales,  con  ajuste a las normas y procedimientos establecidos por la reglamentación; y,

m) aplicar las sanciones previstas en la reglamentación.

Artículo 40.-  Obligaciones. En su calidad de titular de certificado digital, la Autoridad de Aplicación tiene las mismas obligaciones que los titulares de certificados y que los certificadores licenciados. En especial y en particular, debe:

a) abstenerse de generar, exigir, o por cualquier otro medio tomar conocimiento o acceder, bajo ninguna circunstancia, a los datos utilizados para generar la firma digital de los certificadores licenciados;

b) mantener el control exclusivo de los datos utilizados para generar su propia firma digital e impedir su divulgación;

c) publicar en Internet o en la red de acceso público de transmisión o difusión de datos que la sustituya en el futuro, en forma permanente e ininterrumpida, los domicilios, números telefónicos y direcciones de Internet tanto de los certificadores licenciados como los propios y su certificado digital; y,

d) supervisar la ejecución del plan de cese de actividades de los prestadores de servicio de certificación habilitados que discontinúan sus funciones.

Artículo 41.-  Recursos. Los recursos que perciba la Autoridad Acreditadora por parte de los prestadores acreditados de servicios de certificación constituirán ingresos propios de dicha entidad y se incorporarán a su presupuesto.

Artículo 42.-  Sistema de Auditorías. Los prestadores de servicios de certificación deben ser auditados periódicamente, de acuerdo con el sistema de auditoría que diseñe y apruebe la Autoridad de Aplicación.

La Autoridad de Aplicación podrá implementar el sistema de auditoría por sí o por terceros habilitados a tal efecto. Las auditorías deben como mínimo evaluar la confiabilidad y calidad de los sistemas utilizados, la integridad, confidencialidad y disponibilidad de los datos, así como también el cumplimiento de las reglamentaciones vigentes.

TÍTULO SEXTO.- DE LAS DISPOSICIONES FINALES Y TRANSITORIAS

Artículo 43.-  Los datos de creación de firma digital son los datos únicos que el firmante utiliza para crear la firma digital, están contenidos en la clave privada, que es generada por un proceso matemático, que contiene datos únicos que el firmante utiliza para crear la firma digital. Su conocimiento y control es exclusivo del firmante. Si el firmante decidiera compartirla, se imputará como suyo todo aquello que fuera realizado mediante el uso de la misma.

Artículo 44.- Original. Los documentos electrónicos firmados digitalmente y los reproducidos en formato digital firmados digitalmente a partir de originales de primera generación en cualquier otro soporte, también serán considerados originales y poseen, como consecuencia de ello, valor probatorio como tales, según los procedimientos que determine la reglamentación.

Artículo 45.- Reglamento de la ley. El Poder Ejecutivo reglamentará la presente Ley, en un plazo de noventa días, contados desde su publicación.

Artículo 46.- Derogación. Quedan derogadas todas las disposiciones legales que se opongan a la presente Ley.

Artículo 47.- Comuníquese al Poder Ejecutivo

Aprobado el Proyecto de Ley por la Honorable Cámara de Diputados, a los ocho días del mes de abril del año dos mil diez, y por la Honorable Cámara de Senadores, a los tres días del mes de junio del año dos mil diez, quedando sancionado el mismo, de conformidad con lo dispuesto en el Artículo 207, numeral 2 de la Constitución Nacional. Objetado totalmente por Decreto del Poder Ejecutivo nº 4.711, del 15 de julio de 2010. Rechazada la objeción total por la H. Cámara de Diputados el nueve de setiembre de 2010 y por la H. Cámara de Senadores, el once de noviembre de 2010, de conformidad con lo establecido en el Artículo 209 de la Constitución Nacional.

 

Victor Alcídes Bogardo González, Presidente H. Cámara de Diputados

Oscar González Daher, Presidente H. Cámara de Senadores

Jorge Ramón Avalos Mariño, Secretario Parlamentario

María Digna Rosa Rojas, Secretaria Parlamentaria.

 

Asunción, 23 de diciembre de 2010

Tengase por Ley de la República, publíquese e insértese en el Registro Oficial

El Presidente de la República: Fernando Lugo Méndez

Ministro de Industria y Comercio. Francisco José Rivas Almada.

01Ene/02

NORMA Oficial Mexicana NOM-151-SCFI-2002

NORMA Oficial Mexicana NOM-151-SCFI-2002, Prácticas comerciales-Requisitos que deben observarse para la conservación de mensajes de datos.

Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- Secretaría de Economía.

La Secretaría de Economía, por conducto de la Dirección General de Normas, con fundamento en los artículos 34 fracciones XIII y XXX de la Ley Orgánica de la Administración Pública Federal; 39 fracción V, 40 fracciones III y XVIII, 47 fracción IV de la Ley Federal sobre Metrología y Normalización, y 23 fracciones I y XV del Reglamento Interior de esta Secretaría, y

CONSIDERANDO

Que es responsabilidad del Gobierno Federal procurar las medidas que sean necesarias para garantizar que los servicios que se comercialicen en territorio nacional contengan los requisitos necesarios, con el fin de garantizar los aspectos de información para lograr una efectiva protección del consumidor;

Que con fecha 28 de septiembre de 2001 el Comité Consultivo Nacional de Normalización de Seguridad al Usuario, Información Comercial y Prácticas de Comercio aprobó la publicación del proyecto de Norma Oficial Mexicana PROY-NOM-151-SCFI-2002, Prácticas comerciales-Requisitos que deben observarse para la conservación de mensajes de datos, lo cual se realizó en el Diario Oficial de la Federación el 16 de noviembre del mismo año, con objeto de que los interesados presentaran sus comentarios;

Que durante el plazo de 60 días naturales contados a partir de la fecha de publicación de dicho proyecto de Norma Oficial Mexicana, la Manifestación de Impacto Regulatorio a que se refiere el artículo 45 de la Ley Federal sobre Metrología y Normalización estuvo a disposición del público en general para su consulta; y que dentro del mismo plazo, los interesados presentaron sus comentarios al proyecto de norma, los cuales fueron analizados por el citado Comité Consultivo, realizándose las modificaciones procedentes;

Que con fecha 20 de marzo de 2002 el Comité Consultivo Nacional de Normalización de Seguridad al Usuario, Información Comercial y Prácticas de Comercio, aprobó por unanimidad la norma referida;

Que la Ley Federal sobre Metrología y Normalización establece que las Normas Oficiales Mexicanas se constituyen como el instrumento idóneo para la protección de los intereses del consumidor, se expide la siguiente Norma Oficial Mexicana NOM-151-SCFI-2002, Prácticas comerciales-Requisitos que deben observarse para la conservación de mensajes de datos.

México, D.F., a 20 de marzo de 2002.- El Director General, Miguel Aguilar Romo.-

NORMA OFICIAL MEXICANA NOM-151-SCFI-2002, PRACTICAS COMERCIALES-REQUISITOS QUE DEBEN OBSERVARSE PARA LA CONSERVACION DE MENSAJES DE DATOS

PREFACIO

En la elaboración de la presente Norma Oficial Mexicana participaron las siguientes empresas e instituciones:

– ACERTIA NETWORKS, S.A. DE C.V.

– ALESTRA, S. DE R.L. DE C.V.

– ASOCIACION MEXICANA DE ESTANDARES PARA EL COMERCIO ELECTRONICO, A.C.

– ASOCIACION MEXICANA DE LA INDUSTRIA DE TECNOLOGIAS DE INFORMACION, A.C.

– ASOCIACION NACIONAL DE TIENDAS DE AUTOSERVICIO Y DEPARTAMENTALES, A.C.

– BANCO DE MEXICO.

– BANCO INTERNACIONAL, S.A.

– BANCO NACIONAL DE MEXICO, S.A.

– BBVA BANCOMER, S.A.

– CAMARA NACIONAL DE COMERCIO DE LA CIUDAD DE MEXICO.

– CAMARA NACIONAL DE LA INDUSTRIA ELECTRONICA, DE TELECOMUNICACIONES E INFORMATICA.

– CECOBAN, S.A. DE C.V.

– CONSEJO MEXICANO DE LA INDUSTRIA DE PRODUCTOS DE CONSUMO, A.C.

– COMISION FEDERAL DE TELECOMUNICACIONES.

– COMPAÑIA PROCTER & GAMBLE MEXICO, S. DE R.L. DE C.V.

– HEWLETT PACKARD DE MEXICO, S.A. DE C.V.

– IBM DE MEXICO, S.A. DE C.V.

– INSTITUTO NACIONAL DE ESTADISTICA, GEOGRAFIA E INFORMATICA.
Dirección General de Políticas y Normas en Informática.

– KPMG CARDENAS DOSAL, S.C.

– PEGASO COMUNICACIONES Y SISTEMAS, S.A. DE C.V.

– PETROLEOS MEXICANOS.
Gerencia de Informática y Sistemas Financieros.

– PODER JUDICIAL FEDERAL.
Instituto Federal de Especialistas de Concursos Mercantiles.

– PROMOCION Y OPERACION, S.A. DE C.V.

– SECRETARIA DE ECONOMIA.
-Dirección General de Normas.
-Dirección General de Fomento al Comercio Interior.
-Dirección General de Política de Comercio Interior y Abasto.

– SEGURIDATA PRIVADA, S.A. DE C.V.

– SERVICIO DE ADMINISTRACION TRIBUTARIA.
Administración General de Grandes Contribuyentes.
Administración General de Tecnología de la Información.

– SOFTWARE AG, S.A. DE C.V.

– VERA ABOGADOS, S.C.

– WAL-MART DE MEXICO, S.A. DE C.V.

– XEROX MEXICANA, S.A. DE C.V.

– X WEB ADOBE, S.A. DE C.V.

INDICE

0. Introducción

1. Objetivo

2. Campo de aplicación

3. Definiciones

4. Disposiciones generales

5. Elementos que intervienen en la conservación de mensajes de datos

6. Vigilancia

7. Apéndice normativo

8. Bibliografía

9. Concordancia con normas internacionales

Transitorio

0. Introducción

De conformidad con lo dispuesto por los artículos 40 de la Ley Federal sobre Metrología y Normalización en relación con el 49 del Código de Comercio, la Secretaría de Economía deberá emitir una Norma Oficial Mexicana que permita el cumplimiento de la obligación, a cargo de los comerciantes que utilicen mensajes de datos para realizar actos de comercio, de conservar por el plazo establecido en dicho Código, el contenido de los mensajes de datos en que se hayan consignado contratos, convenios o compromisos que den nacimiento a derechos y obligaciones; y cuyo contenido debe mantenerse íntegro e inalterado a partir del momento en que se generó por primera vez en su forma definitiva, debiendo ser accesible para su ulterior consulta.

1. Objetivo

La presente Norma Oficial Mexicana establece los requisitos que deben observarse para la conservación del contenido de mensajes de datos que consignen contratos, convenios o compromisos y que en consecuencia originen el surgimiento de derechos y obligaciones.

2. Campo de aplicación

La presente Norma Oficial Mexicana es de observancia general para los comerciantes que deban conservar los mensajes de datos en que se consignen contratos, convenios o compromisos que den nacimiento a derechos y obligaciones, así como para todas aquellas personas con quienes los comerciantes otorguen o pacten dichos contratos, convenios o compromisos.

3. Definiciones

3.1 Aceptación de autoría

A la propiedad de un algoritmo de firma digital que permite atribuir a una persona física o moral la autoría de un mensaje de datos inequívocamente.

3.2 Acto de comercio

A todo acto que la legislación vigente considera como tal.

3.3 Autenticación

Al proceso en virtud del cual se constata que una entidad es la que dice ser y que tal situación es demostrable ante terceros.

3.4 Archivo parcial

Al mensaje de datos representado en formato ASN.1, conforme al apéndice de la presente Norma Oficial Mexicana.

3.5 ASN.1

A la versión 1 de Abstracts Sintax Notation (Notación Abstracta de Sintaxis).

3.6 Bits

A la unidad mínima de información que puede ser procesada por una computadora.

3.7 Bytes

A la secuencia de 8 bits.

3.8 Clave pública

A la cadena de bits perteneciente a una entidad particular y susceptible de ser conocida públicamente, que se usa para verificar las firmas electrónicas de la entidad, la cual está matemáticamente asociada a su clave privada.

3.9 Clave privada

A la cadena de bits conocida únicamente por una entidad, que se usa en conjunto con un mensaje de datos para la creación de la firma digital, relacionada con ambos elementos.

3.10 Certificado digital

Al mensaje de datos firmado electrónicamente que vincula a una entidad con una clave pública.

3.11 Código

Al Código de Comercio.

3.12 Código de error

A la clave indicativa de un suceso incorrecto.

3.13 Comerciantes

A las personas físicas o morales a los que la legislación les otorga tal carácter.

3.14 Compromiso

A cualquier acto jurídico diferente del contrato o del convenio, que genere derechos y obligaciones.

3.15 Confidencialidad

Al estado que existe cuando la información permanece controlada y es protegida de su acceso y distribución no autorizada.

3.16 Contrato

Al acuerdo de voluntades que crea o transfiere derechos y obligaciones.

3.17 Convenio

Al acuerdo de voluntades que crea, transfiere, modifica o extingue derechos y obligaciones.

3.18 Constancia del prestador de servicios de certificación

Al mensaje de datos representado en formato ASN.1, conforme al Apéndice de la presente Norma Oficial Mexicana.

3.19 Criptografía

Al conjunto de técnicas matemáticas para cifrar información.

3.20 Destinatario

A aquella entidad a quien va dirigido un mensaje de datos.

3.21 Emisor

A aquella entidad que genera y transmite un mensaje de datos.

3.22 Entidad

A las personas físicas o morales.

3.23 Expediente electrónico

Al mensaje de datos representado en formato ASN.1, conforme al Apéndice de la presente norma oficial mexicana.

3.24 Firma digital

A la firma electrónica que está vinculada al firmante de manera única, permitiendo así su identificación, creada utilizando medios que aquél pueda mantener bajo su exclusivo control, estando vinculada a los datos a que se refiere de modo que cualquier cambio ulterior de los mismos sea detectable. La firma digital es una especie de firma electrónica que garantiza la autenticidad e integridad y la posibilidad de detectar cualquier cambio ulterior.

3.25 Firma electrónica

A los datos en forma electrónica consignados en un mensaje de datos, o adjuntados, o lógicamente asociados al mismo, que puedan ser utilizados para identificar al firmante en relación con el mensaje de datos e indicar que dicho firmante aprueba la información recogida en el mensaje de datos. La firma electrónica establece la relación entre los datos y la identidad del firmante.

3.26 Formato

A la secuencia claramente definida de caracteres, usada en el intercambio o generación de información.

3.27 Legislación

A las normas jurídicas generales y abstractas emanadas del Congreso de la Unión, así como la normatividad emanada del Poder Ejecutivo.

3.28 Mensaje de datos

A la información generada, enviada, recibida, archivada o comunicada a través de medios electrónicos, ópticos o cualquier otra tecnología.

3.29 Objetos

A las definiciones del lenguaje ASN.1

3.30 Original

A la información contenida en un mensaje de datos que se ha mantenido íntegra e inalterada desde el momento en que se generó por primera vez en su forma definitiva.

3.31 Prestador de servicios de certificación

A la entidad que presta los servicios de certificación a que se refiere la presente Norma Oficial Mexicana.

3.32 Red

Al sistema de telecomunicaciones entre computadoras.

3.33 Resumen o compendio

Al resultado de aplicarle a un mensaje de datos una función de criptografía del tipo hash.

3.34 Sello del prestador de servicios de certificación

Al mensaje de datos representado en formato ASN.1, conforme al Apéndice de la presente Norma Oficial Mexicana.

3.35 Secretaría

A la Secretaría de Economía.

4. Disposiciones generales

4.1 Los comerciantes deberán conservar los mensajes de datos de acuerdo al método que se describe en el Apéndice de la presente Norma Oficial Mexicana.

4.2 La información que se desee conservar se podrá almacenar en uno o varios archivos diferentes y/o en una o varias computadoras.

4.3 Sin perjuicio de lo que dispongan otros ordenamientos jurídicos aplicables, cuando se pretenda conservar en un medio electrónico, óptico o de cualquier otra tecnología, información derivada de un acto de comercio, que se encuentre soportada en un medio físico similar o distinto a aquéllos, los comerciantes podrán optar por migrar dicha información a una forma digital y, observar para su conservación en forma digital, las disposiciones a que se refiere la presente Norma Oficial Mexicana. La migración de la información deberá ser cotejada por un tercero legalmente autorizado, que constatará que dicha migración se realice íntegra e inalterablemente tal y como se generó por primera vez en su forma definitiva. El tercero legalmente autorizado deberá ser una persona física o moral que cuente con la capacidad tecnológica suficiente
y cumpla con los requisitos legales aplicables.

4.4 Los programas de cómputo (software) para la conservación de los mensajes de datos deberán dar cumplimiento a lo establecido por la presente Norma Oficial Mexicana.

5. Elementos que intervienen en la conservación de mensajes de datos

5.1 Para la emisión de la firma electrónica y/o digital, así como el prestador de servicios de certificación, deberán observar los requisitos que la normatividad aplicable señale para su operación.

5.2 La constancia emitida por el prestador de servicios de certificación deberá observar los términos establecidos en el Apéndice de la presente Norma Oficial Mexicana.

5.3 Los programas informáticos en y con los que se almacenen los mensajes de datos a los que se refiere la presente Norma Oficial Mexicana, utilizarán los formatos para mensajes de datos en los términos establecidos en el Apéndice del mismo.

6. Vigilancia

La vigilancia de la Norma Oficial Mexicana estará a cargo de la Secretaría conforme a sus atribuciones y la legislación aplicable.

7. Apéndice Normativo

INTRODUCCION

En este Apéndice normativo se presentan los elementos necesarios para la implantación de la presente Norma Oficial Mexicana; la descripción del algoritmo de conservación de información y la definición ASN.1 de los objetos usados.

Se describe brevemente el algoritmo y se muestran dos archivos de texto que serán usados para construir los objetos ASN.1 resultantes de aplicar la presente Norma Oficial Mexicana a estos dos archivos.
Los objetos ASN.1 creados son mostrados a través de un vaciado hexadecimal de su contenido en formato BER. Se incluyen las claves de criptografía que se usaron en la creación de los ejemplos con el propósito de que se pueda verificar la implantación de la presente Norma Oficial Mexicana.

El contenido de los archivos, las definiciones pertenecientes al lenguaje ASN.1 y los archivos ASN.1 aparecen con el tipo Courier New. Cuando se use el nombre de un objeto ASN.1 dentro del texto, éste aparecerá en itálicas. Como referencia se presenta el juego de caracteres ISO 8859-1 (Latín 1).

FORMACION DE ARCHIVOS PARCIALES

Para formar un archivo parcial se crea un mensaje en formato ASN.1 que contiene (i) el nombre del archivo del sistema de información en el que está o estuvo almacenado el contenido del archivo, (ii) el tipo del archivo, y (iii) el contenido del mismo; con el objetivo de guardar la relación lógica que existe entre estos tres elementos.

OBTENCION DE LOS COMPENDIOS O RESUMENES DIGITALES

Se calcula el compendio o resumen digital del archivo o archivos parciales resultado del proceso anterior, usando el algoritmo MD5.

INTEGRACION DEL EXPEDIENTE ELECTRONICO

Para conformar un expediente electrónico se creará un mensaje ASN.1 que contiene (i) el nombre del expediente, que debe de coincidir con el nombre con el que se identifica en el sistema de información en donde está o estuvo almacenado, (ii) un índice, que contiene el nombre y el compendio de cada archivo parcial que integra el expediente, (iii) la identificación del operador del sistema de conservación, y (iv) su firma digital de acuerdo a la definición correspondiente en la presente Norma Oficial Mexicana.

OBTENCION DE LA CONSTANCIA DEL PRESTADOR DE SERVICIOS DE CERTIFICACION

Para la obtención de la constancia el sistema de conservación deberá usar el protocolo de aplicación descrito en este apéndice para enviar el expediente al prestador de servicios de certificación, quien
emitirá una constancia en formato ASN.1 y la regresará al sistema de conservación, haciendo uso del
mismo protocolo.

El expediente opcionalmente podrá enviarse como un anexo de correo electrónico, siendo aplicables en este caso los protocolos Internet correspondientes.

También podrá usarse la transmisión vía Web siempre que el expediente se reciba como un archivo y siempre que se utilice un directorio protegido por nombre de usuario y contraseña. Para ello, la forma en que lo envíe deberá ser como la siguiente:

enctype=»multipart/for-data»>

Expediente: 

La constancia deberá regresar al cliente como un archivo de tipo mime application/octet-stream (1)

El prestador de servicios de certificación podrá recibir, si así lo acuerda con sus clientes, medios físicos conteniendo los archivos correspondientes a los expedientes.

FORMACION DE LA CONSTANCIA

El prestador de servicios de certificación formará una constancia en formato ASN.1 que contendrá (i) el nombre del archivo en donde está almacenada la constancia, (ii) el expediente enviado por el sistema de conservación, (iii) fecha y hora del momento en que se crea la constancia, (iv) la identificación del prestador de servicios de certificación y (v) su firma digital de acuerdo a la definición correspondiente de esta Norma Oficial Mexicana.

METODO DE VERIFICACION DE AUTENTICIDAD

La verificación de la autenticidad de una constancia se realizará por medio del uso de un sistema de verificación que lleve a cabo los pasos siguientes:

i) verificar la firma digital del prestador de servicios de certificación en la constancia;

ii) verificar la firma digital del operador del sistema de conservación en el expediente contenido en la constancia, y

iii) recalcular el compendio de él o los archivos parciales y verificar que coincidan con los compendios asentados en el expediente.

Definición ASN.1

NCI-NOM-000-SECOFI DEFINITIONS : :=

BEGIN

.......................

nomIdentificacion OBJECT IDENTIFIER ::= {nom 373}

nomIPersonaFisica OBJECT IDENTIFIER ::= {nomIdentificacion 1}

nomIF-NOMBRE OBJECT IDENTIFIER ::= {nomIPersonaFisica 1}

nomIF-IFE OBJECT IDENTIFIER ::= {nomIPersonaFisica 2}

nomIF-CURP OBJECT IDENTIFIER ::= {nomIPersonaFisica 3}

nomIF-PASAPORTE OBJECT IDENTIFIER ::= {nomIPersonaFisica 4}

nomIF-CEDULAFISCAL OBJECT IDENTIFIER ::= {nomIPersonaFisica 5}

nomIPersonaMoral OBJECT IDENTIFIER ::= {nomIdentificacion 2}

nomIM-NOMBRE OBJECT IDENTIFIER ::= {nomIPersonaMoral 1}

nomIM-CURP OBJECT IDENTIFIER ::= {nomIPersonaMoral 2}

nomIM-CEDULAFISCAL OBJECT IDENTIFIER ::= {nomIPersonaMoral 3}

NombrePersonaFisica ::= SEQUENCE {

   nombreIdP PrintableString,

apellido1IdP PrintableString,

apellido2IdP PrintableString

}

IdentificadorPersona ::= SEQUENCE {

nombreIdP NombrePersonaFisica,

   tipoIdP OBJECT IDENTIFIER,

   contenidoIdP PrintableString

}

NumeroCertificado ::= PrintableString

IdentificadorUsuario ::= SEQUENCE {

personaFisicaMoral OBJECT IDENTIFIER,

nombreRazonSocialIdU CHOICE {NombrePersonaFisica, PrintableString},

   tipoIdU OBJECT IDENTIFIER,

   contenidoIdU PrintableString,

numeroCertificadoU NumeroCertificado,

representanteIdU IdentificadorPersona OPTIONAL -- Este campo es para el -- representante legal

}

AlgorithmIdentifier ::= SEQUENCE {

   algorithm OBJECT IDENTIFIER,

   NULL

}

NombreConstanciaOP ::= PrintableString

FirmaUsuarioOP ::= SEQUENCE {

algoritmoFirma AlgorithmIdentifier,

   firma BIT STRING

}

FirmaConstanciaOP ::= SEQUENCE {

algoritmoFirma AlgorithmIdentifier,

   firma BIT STRING

}

ResumenOP ::= SEQUENCE {

   algoritmoresumen AlgorithmIdentifier,

   resumen BIT STRING

}

Folio-UsuarioOP ::= INTEGER

ArchivoParcial ::= SEQUENCE {

titulo NombreOP,

tipo TipoOP,

contenido BIT STRING

}

Entrada-al-Indice ::= SEQUENCE {

titulo NombreOP,

resumen ResumenOP

}

Expediente ::= SEQUENCE {

nombre-expediente PrintableString,

indice SET OF Entrada-al-Indice,

id-usuario IdUsuarioOP,

firma-usuario FirmaUsuarioOP

}

Sello ::= SEQUENCE {

   estampa-de-tiempo UTCTime,

emisor EmisorOP,

folio-usuario Folio-UsuarioOP

}

Constancia ::= SEQUENCE {

nombre-de-la-constancia NombreConstanciaOP,

expediente Expediente,

marca-de-tiempo Sello,

firma-constancia FirmaConstanciaOP

}

END

======================================================================

En el programa ASN.1 se definen primeramente los identificadores de objeto necesarios para identificar los tipos de archivo que se podrán almacenar observando la presente Norma Oficial Mexicana; estas definiciones podrían ser objeto de revisiones periódicas para incluir nuevos formatos, luego los objetos necesarios para almacenar los archivos o mensajes de datos que serán conservados.

A lo largo del programa se definen diferentes objetos ASN.1 cuyo uso dentro del programa aclara
su función.

El campo firma-usuario del objeto expediente es la firma digital de los campos nombre-expediente, índice e id-usuario concatenados en ese orden, vistos como una secuencia de bytes.

En el objeto sello, el campo estampa-de-tiempo es la fecha y hora en formato GMT o IMT con la cual se creó el sello, emisor es el representante del prestador de servicios de certificación que está creando el sello
y folio-usuario es un número secuencial ascendente para cada usuario registrado del prestador de servicios de certificación. Es decir, cada usuario llevará un registro numerado consecutivamente de cada operación que registra el prestador de servicios de certificación.

El objeto Constancia contiene un campo nombre-de-la-constancia que almacena el nombre del archivo de computadora donde se guardará dicha constancia en el sistema de información del prestador de servicios
de certificación, expediente que es de tipo Expediente y es la información que se registra con el prestador de servicios de certificación con un sello emitido por ella, este sello contiene la fecha y la hora del momento
en que se crea la Constancia. El campo firma-constancia es la firma digital de los campos nombre-de-la-constancia, expediente, marca-de-tiempo concatenados en ese orden y vistos como una secuencia de bytes.

El ejemplo de codificación está organizado de la siguiente forma: primero se presentan dos archivos que se desea conservar, a continuación se construyen cada uno de los objetos ASN.1 correspondientes, (i) los archivos parciales, (ii) el expediente que está almacenado en un archivo de nombre «docusuario.ber» y (iii) la Constancia que está en el archivo «recibo.ber». Los nombres de los archivos que almacenan al expediente, constancia y archivos parciales están almacenados en los campos nombre-expediente, nombre-de-la-constancia y título respectivamente (ver Definición ASN.1).

Enseguida se presenta el contenido de los objetos ASN.1 correspondientes. La línea «============================================» representa el principio y el fin del archivo respectivamente y no forma parte del archivo.

Los objetos ASN.1 que se presentan están en formato BER y se muestra un vaciado hexadecimal comentado.

Archivo «mensaje.txt»

============================================

Archivo de texto utilizado para ejemplificar la creación de documentos de usuario y constancias de la Oficialia de Partes. Este es uno de dos archivos que se utilizaran en dicho ejemplo.

============================================

Archivo «mensaje1.txt»

============================================

Segundo archivo de texto que se utilizara en la creación de un ejemplos para mostrar un documento usuario y una constancia de la oficialía de partes.

============================================

……….

Claves privadas usadas para firmar

Con el propósito de poder verificar los objetos ASN.1 definidos en este documento se incluyen las claves privadas que fueron usadas para generar las firmas de los documentos mencionados. Durante el proceso de generación de claves no se generó la clave pública y ya se ha perdido la información de generación
de dichas claves. Las claves y los resultados presentados pueden ser usadas únicamente para verificar los formatos de este ejemplo.

Clave privada de usuario

……..

Front End de Comunicaciones (FEC, referencia de implantación para el prestador de
servicios de certificación)

Introducción

El FEC es un programa desarrollado para manejar las comunicaciones en aplicaciones con arquitectura cliente/servidor, fue diseñado pensando en aplicaciones que requieran intercambiar mensajes en tiempo real. Se puede usar la definición de este sistema para especificar el protocolo de comunicación entre los clientes del prestador de servicios de certificación y los sistemas que se indican en la presente Norma Oficial Mexicana. La Secretaría de Economía deberá contar con un sistema de referencia para que el o los prestadores de servicios de certificación tengan un estándar contra el cual verificar que la implantación de la norma es correcta.

Los objetivos del FEC son:

§ Simplificar la programación de los sistemas con arquitectura cliente/servidor, de tal manera que al desarrollar un sistema se dejen a un lado los detalles relacionados al manejo de las comunicaciones y el esfuerzo se centre en los detalles propios del sistema.

§ Lograr un ambiente de operación flexible que permita la interacción de programas desarrollados en distintas plataformas, sistemas operativos y lenguajes.

§ Optimar el uso de los recursos y permitir que los sistemas que lo usen operen en tiempo real.

El FEC se encarga de realizar algunas tareas que, en la arquitectura cliente/servidor tradicional, serían realizadas por el servidor, por ejemplo:

§ Autenticar a los clientes que desean establecer comunicación con algún servidor.

§ Notificar la conexión o desconexión de un cliente al servidor adecuado.

§ Notificar a los clientes si un servidor está o no en servicio.

§ Verificar continuamente el estado de los clientes y servidores conectados.

Es por ello que su uso proporciona las siguientes ventajas:

§ Provee de transparencia en la localización de clientes y servidores.

§ Simplifica la programación de servidores.

§ Permite la interacción de programas desarrollados en distintas plataformas.

§ Minimiza el uso de recursos de la red de comunicaciones.

Esquema de operación

El modelo básico de operación del FEC se muestra en la figura 1, en ella se esquematiza un programa cliente, el FEC y un programa servidor. El esquema de operación es simple: el FEC se encarga de aceptar las conexiones de los clientes, autentificar y, en caso de que el servicio al que se deseen conectar se encuentre en operación, avisar a este último de la conexión del cliente.

Cliente <—> FEC <—> Servidor

Figura 1. Esquema básico de operación del FEC

En este esquema los clientes no establecen comunicación directa con el servidor, en lugar de ello envían sus mensajes a través del FEC, éste los toma y los entrega al servidor adecuado.

Del mismo modo, el FEC recibe los mensajes del servidor y los entrega al cliente indicado por éste.

Visto a grandes rasgos, una vez realizada la autenticación de clientes y servidores, la labor del FEC se limita a registrar y transmitir los mensajes de los clientes al servidor adecuado y viceversa, es decir, el FEC es únicamente un mecanismo de enlace entre clientes y servidores.

En la figura 2 se muestra un esquema de la operación del FEC

Comunicaciones en el FEC

Manejo de Comunicaciones en el FEC

A fin de minimizar el tráfico en la red de comunicaciones y permitir el intercambio de información entre programas desarrollados en distintos lenguajes y sistemas operativos, el FEC utiliza un protocolo de comunicación abierto.

En este protocolo todos los mensajes constan de dos partes: encabezado y cuerpo, como se muestra en la figura 3.

mensaje = encabezado + cuerpo

Figura 3. Todos los mensajes están formados por encabezado y cuerpo

Tanto el encabezado como el cuerpo de los mensajes se construyen con los tipos de datos básicos de todos los lenguajes de programación: char, int, short, string.

Es importante mencionar que el protocolo utilizado permite, a partir de los tipos de datos mencionados y respetando ciertas reglas (similares a las de las expresiones regulares), construir cualquier tipo de mensaje. La única restricción para que los programas intercambien información es que acuerden de antemano el «formato» de los mensajes que se enviarán durante la operación.

Encabezado de los Mensajes

En el protocolo del FEC, la longitud del encabezado de un mensaje depende del destinatario, por ejemplo, en los mensajes que envían los clientes y servidores hacia el FEC, así como los mensajes que envía el FEC a los clientes, el encabezado tiene una longitud de 4 bytes con la estructura que se muestra en la figura 4.

Encabezado

FEC§Cliente

Destino + Acción + Tamaño

1 byte           1 byte       1 byte

Figura 4. Encabezado de un mensaje FEC Cliente

A continuación se explican los campos que lo forman:

§ Destino Servidor o Cliente a quien se desea enviar el mensaje (1 byte).

§ Acción. Instrucción o procesamiento que se desea realizar (1 byte).

§ Tamaño. Longitud en bytes del cuerpo del mensaje, sin incluir el encabezado (2 bytes).

Por otra parte, el encabezado de los mensajes que el FEC envía a los servidores tiene una longitud de 12 bytes y la estructura que se muestra en la figura 5.

Los elementos que conforman este encabezado son:

§ Origen. Cliente que envía el mensaje (1 byte).

§ Acción. Instrucción o procesamiento que se desea realizar (1 byte).

§ Año, Mes, Día. Fecha en que el FEC recibió el mensaje (2 bytes cada campo).

§ Hora. Hora en que el FEC recibió el mensaje.

§ Tamaño. Longitud en bytes del cuerpo del mensaje, sin incluir el encabezado (2 bytes).

La existencia de estos dos tipos de encabezado se debe a la necesidad de llevar un registro detallado de los mensajes que se transfieren a los servidores a través del FEC, además de proveer un cierto grado de seguridad. Es por ello que antes de transferir un mensaje a un servidor, el FEC debe colocarle una estampa de tiempo que certifique la fecha y hora en que se recibió.

Encabezado

FEC=>

Servidor

 

= Origen + Acción +    Año    +   Mes +   Día   +  Hora +  Tamaño

1 byte     1 byte      2 byte      2 byte    2 byte     2 byte     2 byte

Figura 5. Encabezado de un mensaje FEC => Servidor

Cuerpo de los mensajes

Esta parte del mensaje es de longitud variable y puede construirse como una expresión regular a partir de los tipos de datos mencionados anteriormente.

El elemento Acción en el encabezado de un mensaje indica la solicitud de que se ejecute una determinada instrucción o procesamiento. En algunos casos, para realizar dicha Acción se requiere de información adicional. El contenido e interpretación del cuerpo de un mensaje depende de la Acción indicada en su encabezado, es decir, el cuerpo de un mensaje debe respetar un «formato» previamente establecido entre quien lo envía y quien debe ejecutar la acción solicitada.

Como este «formato» se establece de antemano entre los interesados, cuando se recibe un mensaje basta conocer la Acción del encabezado para deducir la forma en que debe interpretarse el cuerpo, es decir, su «formato».

El «formato» de un mensaje es una secuencia de tipos de datos básicos que describe su contenido. Para facilitar la lectura e interpretación de estas secuencias, a cada tipo de dato se le ha asignado un símbolo, el cual se muestra a continuación (2) :

 

Tipo de dato

Símbolo

Tamaño en bytes

Char

 

%c

 

1

 

Int

 

%l

 

4

 

Short

 

%d

 

2

 

String

 

%s

 

Libre

 

N

 

n

 

4

 

 

Nota: Dado que el protocolo de comunicación del FEC es abierto, toda la información viaja en formato de red.

Interpretación del formato de un mensaje

Para reafirmar la idea de «formato», a continuación se muestra el «formato» del encabezado y cuerpo de algunos mensajes utilizados por el protocolo del FEC.

§ Formato del encabezado de 4 bytes: «%c%c%d». En una trama de bytes con este formato viajan tres datos. El primer y segundo dato vienen en el primer y segundo bytes de la trama respectivamente.
El valor del tercer dato debe obtenerse de los dos últimos bytes de la trama. Lo anterior puede deducirse de la tabla donde se muestra la longitud de los elementos que conforman los mensajes (3)

§ Formato del encabezado de 12 bytes: «%c%c%d%d%d%d%d». En una trama de bytes con este formato contiene siete datos. Los dos primeros tienen una longitud de un byte y los restantes 5 de dos bytes cada uno

§ Formato del mensaje Greeting «%s %l». Este mensaje se utiliza para avisar a un servidor de la conexión de un cliente. Contiene dos datos: el nombre del cliente en una cadena de longitud indefinida, pero terminada con el carácter de fin de cadena, y a continuación su clave en un valor de 4 bytes.

§ Formato del mensaje Login: «%s». Se utiliza cuando un cliente envía su login a un servidor, contiene una cadena con la información.

§ Formato cualquiera: «%c %d %l %s n(%c %d %l %s)». Este formato contiene un número variable
de datos. Podemos deducir que primero viene un dato que ocupa un byte (es decir un valor entre 0 y 255), después un dato que ocupa 2 bytes, luego uno que ocupa 4 bytes, a continuación una cadena cuya longitud se desconoce y después una serie de «n» elementos, este número «n» es un valor de 4 bytes. A continuación vienen «n» elementos de un byte, «n» elementos de 2 bytes, «n» elementos de 4 bytes y finalmente «n» cadenas.

Este último formato muestra el potencial del protocolo de comunicación, el cual permite construir mensajes de longitud y contenido variable.

Construcción de mensajes

Dado que el campo Acción en el encabezado de un mensaje tiene una longitud de 1 byte, existen únicamente 255 acciones válidas en la operación de un sistema.

Aunque cada aplicación es la encargada de determinar el número de acciones que requiere y la información que debería incluirse en el cuerpo de los mensajes a enviar, resulta evidente que existe un conjunto de acciones comunes a todos los sistemas que interactúen con el FEC (por ejemplo los mensajes para establecer o terminar la conexión con el FEC); es por ello que algunos de los 255 posibles mensajes están reservados a estas acciones comunes a todos los sistemas. En esta sección se indican cuáles son estos mensajes reservados y se dan ejemplos de su construcción.

Mensajes reservados

En esta sección se muestran los mensajes que deben usar los programas que se desee establecer comunicación con el FEC y el formato de éstos el hecho de que no aparezca un formato asociado a un tipo de mensaje indica que no se requiere información adicional para realizar la acción solicitada, es decir, este tipo de mensajes tienen un cuerpo nulo. En la siguiente sección se muestra la manera de construirlos.

Mensajes reservados para el FEC

Acción

Nombre

Formato

Descripción

236

 

CONFPASSWD

 

Confirma a un cliente que su contraseña fue cambiada exitosamente

 

243

 

DEADSRVR

 

Avisa a un cliente que el servidor ha dejado de operar

 

244

 

BYE

 

Avisa a un servidor que un cliente se desconectó

 

245

 

AREYOUALIVE

 

Pregunta a un cliente/servidor si opera correctamente

 

247

 

GREETING

 

%s%l

 

Avisa a un servidor de la conexión de un cliente. Incluye nombre y clave del cliente

 

249

 

CHPSWDFAIL

 

Avisa a un cliente que su contraseña no pudo ser cambiada

 

251

 

LOGINFAIL

 

Avisa a un cliente que su conexión fue rechazada

 

252

 

NOSERVICE

 

El servidor al que desea conectarse está fuera de servicio

 

253

 

LOGGED

 

%d

 

Avisa a un cliente que su conexión fue aceptada

 

254

 

LOGINREQ

 

Solicita a un cliente su clave de usuario para autenticarlo

 

255

 

PASSWREQ

 

Solicita a un cliente su contraseña para autenticarla

 

Mensajes comunes a todos los clientes

Acción

Nombre

Formato

Descripción

0

 

LOGOUT

 

Avisa al FEC del fin de la conexión

 

1

 

LOGIN

 

%s

 

Envía clave de usuario al FEC

 

2

 

PASSWD

 

%s

 

Envía contraseña al FEC

 

7

 

IAMALIVE

 

Avisa al FEC que opera sin problemas

 

16

 

CONEXION

 

Solicita conexión al FEC

 

212

 

CHANGEPASS

 

%s

 

Solicita cambio de contraseña, envía nueva contraseña al FEC

 

Ejemplos de construcción de mensajes

Para lograr que nuestro protocolo sea abierto debemos enviar los datos en una forma tal que cualquier computadora pueda interpretarlos adecuadamente. Por ejemplo, cuando una computadora envía un entero de 32 bits a otra. El hardware se encarga de transportar los bits desde la primer computadora a la segunda sin cambiar el orden, sin embargo, no todas las computadoras almacenan los enteros de 32 bits de la misma manera.

En algunos casos la dirección más baja de memoria contiene el byte menos significativo del entero (formato Little Endian). En otros, la dirección más baja de memoria contiene el byte más significativo del entero (Formato Big Endian). Estas dos maneras de almacenar datos se ilustran en la figura 6 (4)

Internet resuelve el problema del orden de los bytes al definir un estándar de red que debe utilizarse para intercambiar datos. Las computadoras que intercambian información deben convertir sus datos de la representación local a la representación estándar de red antes de enviarlos. Al recibir datos deben convertirlos de la representación estándar de red a la representación local.

BIG ENDIAN                                    LITTLE ENDIAN                                        VALOR

00  00  00  01                           01   00  00   00                                                  1

00  00 00   ff                             ff    00  00  00                                               255

00  00 01  f4                             f4   01  00  00                                               500

BYTE  0        1      2       3                                0       1       2       3

MENSAJE         ENCABEZADO                          CUERPO

Figura 6. Diferentes Representaciones de Datos

El estándar de red de Internet indica que primero debe enviarse el byte más significativo de un entero, es decir, si uno considera los bytes sucesivos de un paquete viajando de una computadora a otra, los enteros en ese paquete tienen su byte más significativo cerca del inicio y el byte menos significativo cerca del final del paquete.

Nuestro protocolo utiliza el estándar de red de Internet para intercambiar información. En la figura 7 representamos los mensajes necesarios para que un cliente establezca comunicación con el FEC siguiendo el estándar antes mencionado5 . No olvide que los valores deben enviarse en formato de red.

Destino   Acción      Tamaño

CONEXIÓN            1           16              0

LOGIN                     1             1           8    m     i    l    o    g    i    n

PASSWD                  1             2            7   m     i    P    a   s    s

IMALIVE                 1            7           0

Byte                          0             1              2, 3

Figura 7. Construcción de Mensajes para Conectarse al FEC

Secuencia de Conexión

Recepción y transmisión de mensajes en el FEC

La secuencia de recepción y transmisión de mensajes en el FEC se muestra en la figura 8.

El mecanismo es el siguiente:

1. El cliente C envía al FEC un mensaje destinado al servidor S, este mensaje tiene un encabezado de 4 bytes.

2. El FEC recibe el mensaje y analiza el encabezado para determinar a quién debe transferirlo, incluye en el encabezado original una estampa de tiempo y lo envía al destinatario adecuado.

3. El servidor S recibe un mensaje del FEC cuyo encabezado es de 12 bytes, en él se indica quien lo originó y a que hora se recibió en el FEC.

4. El servidor S envía un mensaje dirigido al cliente C, este mensaje tiene un encabezado de 4 bytes.

5. El FEC recibe el mensaje del Servidor S, analiza el encabezado, determina a quién debe transferirlo y lo envía.

1                              2                               2

4 bytes       xxxxxx             F               12 bytes     xxxxxx

C       ———————>               E               ————————>     S

4 bytes     xxxxxx               C                 4 bytes     xxxxxx

<—————— 5                              <——————  4

Figura 8. Secuencia de transmisión y recepción de Mensajes en el FEC

Conexión entre un Cliente y el FEC

El intercambio de mensajes que debe llevarse a cabo para que un cliente establezca conexión con el FEC se esquematiza en la figura 9.

              CLIENTE             TIEMPO                      FEC

Solicita conexion                     |

———————>                  |

CONEXION                            |  Solicita Login

|  <———————

Envia Login                             |

———————>                  |

LOGIN                                    |  Solicita Password

|  <———————

Envia Password                       | PASSWDREQ

———————>                  |  Conexión: Aceptada/Rechazada

PASSWORD                           |  <———————

|    LOGGED/LOGINFAIL

|   LOGINREQ

|

MENSAJES PARTICULARES DE LA APLICACION

Figura 9. Esquema de conexión de un cliente con el FEC

Protocolo de comunicación entre el software de almacenamiento y el prestador de
servicios de certificación

Se define el protocolo para solicitar una constancia como el procedimiento siguiente:

1. El usuario genera, a partir de sus mensajes de datos los archivos parciales necesarios para hacer con ellos un expediente el cual enviará al prestador de servicios de certificación. Solicitud de conexión por parte del usuario ante el prestador de servicios de certificación e identificación entre ellos usando un esquema seguro de identificación con certificados digitales (este proceso puede darse mediante un esquema de clave de usuario y contraseña en una primera etapa).

2. El prestador de servicios de certificación genera una Constancia a partir del Expediente recibido, dicha constancia se registra en las bases de datos del prestador de servicios de certificación y se envía una copia de ese mensaje ASN.1 al usuario.

3. El usuario almacena su Constancia como considere conveniente.

MENSAJES TIPO FEC

Mensajes del usuario al prestador de servicios de certificación.

Nombre

Acción

Formato

Descripción

Posible respuesta

SolConsta

 

12

 

%l %d n(%c)

 

Envío de un Expediente a la OP.

El campo %l contiene un identificador del documento (por sesión) para la transmisión.

El campo %d puede tener los siguientes valores:

0 – Primer y único envío

1 – Primero de varios envíos

2 – Envío intermedio

3 – Ultimo envío

El campo n(%c) representa el Expediente como una secuencia de caracteres, en formato ASN.1

 

ConstaOP/

DocNoVal

 

Mensajes del prestador de servicios de certificación al usuario

Nombre

Acción

Formato

Descripción

ConstaOP

 

22

 

%l %d n(%c)

 

La OP envía una Constancia al usuario.

El campo %l contiene un identificador del documento (por sesión) para la transmisión, éste es el mismo valor que el enviado por el usuario en el mensaje SolConsta.

El campo %d puede tener los siguientes valores:

0 – Primer y único envío

1 – Primero de varios envíos

2 – Envío intermedio

3 – Ultimo envío

El campo n(%c) representa el Constancia como una secuencia de caracteres, en formato ASN.1

 

DocNoVal

 

23

 

%d

 

Contiene un código de error que indica el motivo por el cual no se llevó a cabo la creación de la constancia solicitada.

Los posibles valores son:

-1 Error en los tipos de datos básicos

-2 Expediente electrónico de usuario incompleto

-3 Algoritmo de resumen o compendio de firma desconocido

-4 Identificador de usuario inválido

-5 Firma de usuario inválida

 

Juego de caracteres ISO 8859-1 (Latín 1)

Char

Code
(código)
(en decimal)

Name
(nombre)

Description
(descripción)

32

Normal space

 

!

33

Exclamation

 

«

34

quot

Double quote

 

#

35

Hash or pound

 

$

36

Dollar

 

%

37

Percent

 

&

38

Ampersand

 

39

Apostrophe

 

(

40

Open bracket

 

)

41

Close bracket

 

*

42

Asterik

 

+

43

Plus sign

 

,

44

Comma

 

45

Minus sign

 

.

46

Period

 

/

47

Forward slash

 

0

48

Digit 0

 

1

49

Digit 1

 

2

50

Digit 2

 

3

51

Digit 3

 

4

52

Digit 4

 

5

53

Digit 5

 

6

54

Digit 6

 

7

55

Digit 7

 

8

56

Digit 8

 

9

57

Digit 9

 

:

58

Colon

 

;

59

Semicolon

 

<

60

It

Less than

 

=

61

Equals

 

>

62

gt

Greather than

 

?

63

Question mark

 

@

64

At sign

 

A

65

A

 

B

 

66

B

 

C

 

67

C

 

D

 

68

D

 

E

 

69

E

 

F

70

F

 

G

71

G

 

H

72

H

 

I

73

I

 

J

74

J

 

K

75

K

 

L

76

L

 

M

77

M

 

N

 

78

N

 

O

 

79

O

 

P

 

80

P

 

Q

81

Q

 

R

82

R

 

S

83

S

 

T

84

T

 

U

85

U

 

V

 

86

V

 

W

87

W

 

X

88

X

 

Y

 

89

Y

 

Z

90

Z

 

[

91

Open square bracket

 

92

Backslash

 

]

93

Close square bracket

 

^

94

Pointer

 

_

95

Underscore

 

`

96

Grave accent

 

a

97

a

 

b

 

98

b

 

c

 

99

c

 

d

 

100

d

 

e

 

101

e

 

f

 

102

f

 

g

103

g

 

h

104

h

 

i

105

i

 

j

106

j

 

k

107

k

 

l

108

l

 

m

109

m

 

n

 

110

n

 

o

 

111

o

 

p

112

p

 

q

113

q

 

r

114

r

 

s

115

s

 

t

116

t

 

u

117

u

 

v

118

v

 

w

119

w

 

x

120

x

 

y

121

y

 

z

122

z

 

{

123

Left brace

 

|

124

Vertical bar

 

}

125

Right brace

 

~

126

Tilde

 

160

nbsp

Non-breaking space

 

¡

161

iexcl

Inverted exclamation

 

¢

162

cent

Cent sign

 

£

163

pound

Pound sign

 

¤

164

curren

Currency sign

 

¥

165

yen

Yen sign

 

¦

166

brvbar

Broken bar

 

§

167

sect

Section sign

 

¨

168

uml

Umlaut or diaeresis

 

©

169

copy

Copyright sign

 

ª

170

ordf

Feminine ordinal

 

«

171

laquo

Left angle quotes

 

¬

172

not

Logical not sign

 

­

173

shy

Soft hyphen

 

®

174

reg

Registered trademark

 

¯

175

macr

Spacing macron

 

°

176

deg

Degree sign

 

±

177

plusmn

Plus-minus sign

 

²

178

sup2

Superscript 2

 

³

179

sup3

Superscript 3

 

´

180

acute

Spacing acute

 

µ

181

micro

Micro sign

 

182

para

Paragraph sign

 

183

middot

Middle dot

 

¸

184

cedil

Spacing cedilla

 

¹

185

sup1

Superscript 1

 

º

186

ordm

Masculine ordinal

 

«

187

raquo

Right angle quotes

 

¼

188

frac14

One quarter

 

½

189

frac12

One half

 

¾

190

frac34

Three quarters

 

¿

191

iquest

Inverted question mark

 

À

192

Agrave

A grave

 

Á

 

193

Aacute

A acute

 

Â

194

Acirc

A circumflex

 

Ã

195

Atilde

A tilde

 

Ä

196

Auml

A umlaut

 

Å

197

Aring

A ring

 

Æ

198

AElig

AE ligature

 

Ç

199

Ccedil

C cedilla

 

È

 

200

Egrave

E grave

 

É

 

201

Eacute

E acute

 

Ê

 

202

Ecirc

E circumflex

 

Ë

 

203

Euml

E umlaut

 

Ì

204

Igrave

I grave

 

Í

205

Iacute

I acute

 

Î

206

Icirc

I circumflex

 

Ï

207

Iuml

I umlaut

 

Ð

208

ETH

ETH

 

Ñ

209

Ntilde

N tilde

 

Ò

210

Ograve

O grave

 

Ó

 

211

Oacute

O acute

 

Ô

 

212

Ocirc

O circumflex

 

Õ

 

213

Otilde

O tilde

 

Ö

 

214

Ouml

O umlaut

 

×

215

times

Multiplication sign

 

Ø

216

Oslash

O slash

 

Ù

217

Ugrave

U grave

 

Ú

 

218

Uacute

U acute

 

Û

 

219

Ucirc

U circumflex

 

Ü

 

220

Uuml

U umlaut

 

Ý

 

221

Yacute

Y acute

 

Þ

222

THORN

THORN

 

ß

223

szlig

sharp s

 

à

224

agrave

a grave

 

á

225

aacute

a acute

 

â

226

acirc

a circumflex

 

ã

227

atilde

a tilde

 

ä

228

auml

a umlaut

 

å

229

aring

a ring

 

æ

230

aelig

ae ligature

 

ç

231

ccedil

c cedilla

 

è

 

232

egrave

e grave

 

é

 

233

eacute

e acute

 

ê

 

234

ecirc

e circumflex

 

ë

 

235

euml

e umlaut

 

ì

236

igrave

i grave

 

í

237

iacute

i acute

 

î

238

icirc

i circumflex

 

ï

239

iuml

i umlaut

 

ð

240

eth

eth

 

ñ

241

ntilde

n tilde

 

ò

242

ograve

o grave

 

ó

 

243

oacute

o acute

 

ô

 

244

ocirc

o circumflex

 

õ

 

245

otilde

o tilde

 

ö

 

246

ouml

o umlaut

 

÷

247

divide

division sign

 

ø

248

oslash

o slash

 

ù

249

ugrave

u grave

 

ú

 

250

uacute

u acute

 

û

 

251

ucirc

U circumflex

 

ü

 

252

uuml

u umlaut

 

ý

 

253

yacute

y acute

 

þ

254

thorn

thorn

 

ÿ

255

yuml

y umlaut

 

7. Bibliografía

– Código de Comercio.

– Ley Federal sobre Metrología y Normalización.

– Reglamento de la Ley Federal sobre Metrología y Normalización.

– NMX-Z-13-1997, Guía para la redacción, estructuración y presentación de las normas oficiales mexicanas.

– Schneier, Bruce. Applied Cryptography.

– Leyes Modelo de la CNUDMI sobre las Firmas Electrónicas y sobre Comercio Electrónico en General.

– ISO/IEC 8859-1:1998 Information technology-8bit single-byte coded graphic character sets-Part 1: Latin alphabet nº 1.

8. Concordancia con normas internacionales

– La presente Norma Oficial Mexicana no tiene concordancia con norma internacional por no existir referencia alguna al momento de su elaboración.

TRANSITORIO

UNICO.- La presente Norma Oficial Mexicana entrará en vigor una vez que la Secretaría de Economía por conducto de la Dirección General de Normas, publique en el Diario Oficial de la Federación el aviso mediante el cual dé a conocer la existencia de infraestructura para llevar a cabo la evaluación de la conformidad en los términos de la Ley Federal sobre Metrología y Normalización y su Reglamento.

México, D.F., a 20 de marzo de 2002.- El Director General, Miguel Aguilar Romo.-

(1) Los MIME Types (Multipupose Internet Mail Extensions) son la manera estándar de mandar contenido a través de la red. Los tipos MIME especifican tipos de datos, como por ejemplo texto, imagen, audio, etc.

(2) El tipo de dato string que se maneja en el protocolo no tiene una longitud fija e incluye el carácter de fin de cadena. Es muy importante que se considere la longitud de cada tipo de dato al desarrollar su software, sobretodo si utiliza un sistema operativo diferente a Linux.

(3) Tome en cuenta las longitudes de los tipos de datos mostrados en la tabla de la sección anterior y además recuerde que los datos viajan en formato de red, es decir, una vez obtenidos deberán transformarse al formato de la computadora receptora.

(4) En la figura 6 el contenido de cada byte se ha representado en formato hexadecimal únicamente con fines ilustrativos, esto no significa que en el protocolo los valores deban enviarse en formato hexadecimal.

(5) Observe que en el campo Destino se ha colocado el valor «1», esto indica que se quiere establecer comunicación con un servidor cuya clave de identificación es «1». Todos los servidores conectados al FEC tienen asignada una clave de identificación.

 

18Ago/99

Ley 527 Mensajes de Datos, Comercio Electrónico y Firma Digital

Ley 527 Mensajes de Datos, Comercio Electrónico y Firma Digital de 18 de agosto de 1.999

PARTE GENERAL

CAPÍTULO I.  Disposiciones generales

Artícuos 1, 2, 3, 4 y 5

CAPITULO II. Aplicación de los requisitos jurídicos de los mensajes de datos

Artículos6, 7, 8, 9, 10, 11, 12 y 13

CAPITULO III. Comunicación de los mensajes de datos

Artículos 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24 y 25  

PARTE II. COMERCIO ELECTRÓNICO EN MATERIA DE TRANSPORTE DE MERCANCIAS

Artículos 26 y 27 

PARTE III. FIRMAS DIGITALES, CERTIFICADOS Y ENTIDADES DE CERTIFICACIÓN 

CAPITULO I. Firmas digitales

Artículo 28

CAPITULO II.  Entidades de certificación

Artículos 29, 30, 31, 32, 33 y 34 

CAPÍTULO III. Certificados

Artículos 35, 36, 37 y 38 

CAPITULO IV.  Suscriptores de firmas digitales

Artículos 39 y 40 

CAPITULO V.  Superintendencia de Industria y Comercio

Artículos 41 y 42 

CAPITULO VI. Disposiciones varias

Artículos 43 y 44

PARTE IV. REGLAMENTACIÓN Y VIGENCIA

Artículos 45, 46 y 47 

Ley 527 Por medio de la cual se define y reglamenta el acceso y uso de los ensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones

18 de agosto de 1999

Diario Oficial (Colombia)

El Congreso de Colombia

DECRETA:

PARTE I. PARTE GENERAL

CAPITULO I. Disposiciones Generales

Artículo 1. Ámbito de aplicación.

La presente ley será aplicable a todo tipo de información en forma de mensaje de datos, salvo en los siguientes casos:

a) En las obligaciones contraídas por el Estado colombiano en virtud de Convenios o Tratados internacionales.

b) En las advertencias escritas que por disposición legal deban ir necesariamente impresas en cierto tipo de productos en razón al riesgo que implica su comercialización, uso o consumo.

Artículo 2. Definiciones.

Para los efectos de la presente ley se entenderá por:

a) Mensaje de Datos. La información generada, enviada, recibida, almacenada o comunicada por medios electrónicos, ópticos o similares, como pudieran ser, entre otros, el Intercambio Electrónico de Datos (EDI), Internet, el correo electrónico, el telegrama, el télex o el telefax

b) Comercio electrónico. Abarca las cuestiones suscitadas por toda relación de índole comercial, sea o no contractual, estructurada a partir de la utilización de uno o más mensajes de datos o de cualquier otro medio similar. Las relaciones de índole comercial comprenden, sin limitarse a ellas, las siguientes operaciones: toda operación comercial de suministro o intercambio de bienes o servicios; todo acuerdo de distribución; toda operación de representación o mandato comercial; todo tipo de operaciones financieras, bursátiles y de seguros; de construcción de obras; de consultoría; de ingeniería; de concesión de licencias; todo acuerdo de concesión o explotación de un servicio público; de empresa conjunta y otras formas de cooperación industrial o comercial; de transporte de mercancías o de pasajeros por vía aérea, marítima y férrea, o por carretera;

c) Firma Digital. Se entenderá como un valor numérico que se adhiere a un mensaje de datos y que, utilizando un procedimiento matemático conocido, vinculado a la clave del iniciador y al texto del mensaje, permite determinar que este valor se ha obtenido exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido modificado después de efectuada la transformación;

d) Entidad de Certificación. Es aquella persona que, autorizada conforme a la presente Ley, está facultada para emitir certificados en relación con las firmas digitales de las personas, ofrecer o facilitar los servicios de registro y estampado cronológico de la transmisión y recepción de mensajes de datos, así como cumplir otras funciones relativas a las comunicaciones basadas en las firmas digitales.

e) Intercambio Electrónico de Datos (EDI). La transmisión electrónica de datos de una computadora a otra, que está estructurada bajo normas técnicas convenidas al efecto;

f) Sistema de Información. Se entenderá todo sistema utilizado para generar, enviar, recibir, archivar o procesar de alguna otra forma mensajes de datos.

Artículo 3. Interpretación.

En la interpretación de la presente ley habrán de tenerse en cuenta su origen internacional, la necesidad de promover la uniformidad de su aplicación y la observancia de la buena fe.

Las cuestiones relativas a materias que se rijan por la presente ley y que no estén expresamente resueltas en ella, serán dirimidas de conformidad con los principios generales en que ella se inspira.

Artículo 4. Modificación mediante acuerdo.

Salvo que se disponga otra cosa, en las relaciones entre partes que generan, envían, reciben, archivan o procesan de alguna otra forma mensajes de datos, las disposiciones del Capítulo III, Parte I, podrán ser modificadas mediante acuerdo.

Artículo 5. Reconocimiento jurídico de los mensajes de datos.

No se negarán efectos jurídicos, validez o fuerza obligatoria a todo tipo de información por la sola razón de que esté en forma de mensaje de datos.

CAPITULO II. Aplicación de los requisitos jurídicos de los mensajes de datos

Artículo 6. Escrito.

Cuando cualquier norma requiera que la información conste por escrito, ese requisito quedará satisfecho con un mensaje de datos, si la información que éste contiene es accesible para su posterior consulta.

Lo dispuesto en este artículo se aplicará tanto si el requisito establecido en cualquier norma constituye una obligación, como si las normas prevén consecuencias en el caso de que la información no conste por escrito.

Artículo 7. Firma.

Cuando cualquier norma exija la presencia de una firma o establezca ciertas consecuencias en ausencia de la misma, en relación con un mensaje de datos, se entenderá satisfecho dicho requerimiento si:

a) Se ha utilizado un método que permita identificar al iniciador de un mensaje de datos y para indicar que el contenido cuenta con su aprobación.

b) Que el método sea tanto confiable como apropiado para el propósito por el cual el mensaje fue generado o comunicado.

Lo dispuesto en este artículo se aplicará tanto si el requisito establecido en cualquier norma constituye una obligación, como si las normas simplemente prevén consecuencias en el caso de que no exista una firma.

Artículo 8. Original.

Cuando cualquier norma requiera que la información sea presentada y conservada en su forma original, ese requisito quedará satisfecho con un mensaje de datos, si:

a) Existe alguna garantía confiable de que se ha conservado la integridad de la información, a partir del momento en que se generó por primera vez en su forma definitiva, como mensaje de datos o en alguna otra forma;

b) De requerirse que la información sea presentada, si dicha información puede ser mostrada a la persona que se deba presentar.

Lo dispuesto en este artículo se aplicará tanto si el requisito establecido en cualquier norma constituye una obligación, como si las normas simplemente prevén consecuencias en el caso de que la información no sea presentada o conservada en su forma original.

Artículo 9. Integridad de un mensaje de datos.

Para efectos del artículo anterior, se considerará que la información consignada en un mensaje de datos es íntegra, si ésta ha permanecido completa e inalterada, salvo la adición de algún endoso o de algún cambio que sea inherente al proceso de comunicación, archivo o presentación. El grado de confiabilidad requerido, será determinado a la luz de los fines para los que se generó la información y de todas las circunstancias relevantes del caso.

Artículo 10. Admisibilidad y fuerza probatoria de los mensajes de datos.

Los mensajes de datos serán admisibles como medios de prueba y su fuerza probatoria es la otorgada en las disposiciones del Capítulo VIII del Título XIII, Sección Tercera, Libro Segundo del Código de Procedimiento Civil.

En toda actuación administrativa o judicial, no se negará eficacia, validez o fuerza obligatoria y probatoria a todo tipo de información en forma de un mensaje de datos, por el sólo hecho que se trate de un mensaje de datos o en razón de no haber sido presentado en su forma original.

Artículo 11. Criterio para valorar probatoriamente un mensaje de datos

Para la valoración de la fuerza probatoria de los mensajes de datos a que se refiere esta ley, se tendrán en cuenta las reglas de la sana crítica y demás criterios reconocidos legalmente para la apreciación de las pruebas. Por consiguiente habrán de tenerse en cuenta: la confiabilidad en la forma en la que se haya generado, archivado o comunicado el mensaje, la confiabilidad en la forma en que se haya conservado la integridad de la información, la forma en la que se identifique a su iniciador y cualquier otro factor pertinente.

Artículo 12. Conservación de los mensajes de datos y documentos. 

Cuando la Ley requiera que ciertos documentos, registros o informaciones sean conservados, ese requisito quedará satisfecho, siempre que se cumplan las siguientes condiciones:

1. Que la información que contengan sea accesible para su posterior consulta;

2. Que el mensaje de datos o el documento sea conservado en el formato en que se haya generado, enviado o recibido o en algún formato que permita demostrar que reproduce con exactitud la información generada, enviada o recibida, y

3. Que se conserve, de haber alguna, toda información que permita determinar el origen, el destino del mensaje, la fecha y la hora en que fue enviado o recibido el mensaje o producido el documento.

No estará sujeta a la obligación de conservación, la información que tenga por única finalidad facilitar el envío o recepción de los mensajes de datos.

Los libros y papeles del comerciante podrán ser conservados en cualquier medio técnico que garantice su reproducción exacta.

Artículo 13. Conservación de mensajes de datos y archivo de documentos a través de terceros.

El cumplimiento de la obligación de conservar documentos, registros o informaciones en mensajes de datos, se podrá realizar directamente o a través de terceros, siempre y cuando se cumplan las condiciones enunciadas en el artículo anterior.

CAPÍTULO III. Comunicación de los mensajes de datos

Artículo 14. Formación y validez de los contratos.

En la formación del contrato, salvo acuerdo expreso entre las partes, la oferta y su aceptación podrán ser expresadas por medio de un mensaje de datos. No se negará validez o fuerza obligatoria a un contrato por la sola razón de haberse utilizado en su formación uno o más mensajes de datos.

Artículo 15. Reconocimiento de los mensajes de datos por las partes.

En las relaciones entre el iniciador y el destinatario de un mensaje de datos, no se negarán efectos jurídicos, validez o fuerza obligatoria a una manifestación de voluntad u otra declaración por la sola razón de haberse hecho en forma de mensaje de datos.

Artículo 16. Atribución de un mensaje de datos.

Se entenderá que un mensaje de datos proviene del iniciador, cuando éste ha sido enviado por:

1. El propio iniciador.

2. Por alguna persona facultada para actuar en nombre del iniciador respecto de ese mensaje, o

3. Por un sistema de información programado por el iniciador o en su nombre para que opere automáticamente.

Artículo 17. Presunción del origen de un mensaje de datos

Se presume que un mensaje de datos ha sido enviado por el iniciador, cuando:

1. Haya aplicado en forma adecuada el procedimiento acordado previamente con el iniciador, para establecer que el mensaje de datos provenía efectivamente de éste, o

2. El mensaje de datos que reciba el destinatario resulte de los actos de una persona cuya relación con el iniciador, o con algún mandatario suyo, le haya dado acceso a algún método utilizado por el iniciador para identificar un mensaje de datos como propio.

Artículo 18. Concordancia del mensaje de datos enviado con el mensaje de datos recibido.

Siempre que un mensaje de datos provenga del iniciador o que se entienda que proviene de él, o siempre que el destinatario tenga derecho a actuar con arreglo a este supuesto, en las relaciones entre el iniciador y el destinatario, éste último tendrá derecho a considerar que el mensaje de datos recibido corresponde al que quería enviar el iniciador, y podrá proceder en consecuencia.

El destinatario no gozará de este derecho si sabía o hubiera sabido, de haber actuado con la debida diligencia o de haber aplicado algún método convenido, que la transmisión había dado lugar a un error en el mensaje de datos recibido.

Artículo 19. Mensajes de datos duplicados.

Se presume que cada mensaje de datos recibido es un mensaje de datos diferente, salvo en la medida en que duplique otro mensaje de datos, y que el destinatario sepa, o debiera saber, de haber actuado con la debida diligencia o de haber aplicado algún método convenido, que el nuevo mensaje de datos era un duplicado.

Artículo 20. Acuse de recibo.

Si al enviar o antes de enviar un mensaje de datos, el iniciador solicita o acuerda con el destinatario que se acuse recibo del mensaje de datos, pero no se ha acordado entre éstos una forma o método determinado para efectuarlo, se podrá acusar recibo mediante:

a) Toda comunicación del destinatario, automatizada o no, o

b) Todo acto del destinatario que baste para indicar al iniciador que se ha recibido el mensaje de datos.

Si el iniciador ha solicitado o acordado con el destinatario que se acuse recibo del mensaje de datos, y expresamente aquél ha indicado que los efectos del mensaje de datos estarán condicionados a la recepción de un acuse de recibo, se considerará que el mensaje de datos no ha sido enviado en tanto que no se haya recepcionado el acuse de recibo.

Artículo 21. Presunción de recepción de un mensaje de datos.

Cuando el iniciador recepcione acuse recibo del destinatario, se presumirá que éste ha recibido el mensaje de datos.

Esa presunción no implicará que el mensaje de datos corresponda al mensaje recibido. Cuando en el acuse de recibo se indique que el mensaje de datos recepcionado cumple con los requisitos técnicos convenidos o enunciados en alguna norma técnica aplicable, se presumirá que ello es así.

Artículo 22. Efectos jurídicos.

Los artículos 20 y 21 únicamente rigen los efectos relacionados con el acuse de recibo. Las consecuencias jurídicas del mensaje de datos se regirán conforme a las normas aplicables al acto o negocio jurídico contenido en dicho mensaje de datos.

Artículo 23. Tiempo del envío de un mensaje de datos.

De no convenir otra cosa el iniciador y el destinatario, el mensaje de datos se tendrá por expedido cuando ingrese en un sistema de información que no esté bajo control del iniciador o de la persona que envió el mensaje de datos en nombre de éste.

Artículo 24. Tiempo de la recepción de un mensaje de datos.

De no convenir otra cosa el iniciador y el destinatario, el momento de la recepción de un mensaje de datos se determinará como sigue:

a. Si el destinatario ha designado un sistema de información para la recepción de mensaje de datos, la recepción tendrá lugar:

1. En el momento en que ingrese el mensaje de datos en el sistema de información designado; o

2. De enviarse el mensaje de datos a un sistema de información del destinatario que no sea el sistema de información designado, en el momento en que el destinatario recupere el mensaje de datos;

b. Si el destinatario no ha designado un sistema de información, la recepción tendrá lugar cuando el mensaje de datos ingrese a un sistema de información del destinatario.

Lo dispuesto en este artículo será aplicable aun cuando el sistema de información esté ubicado en lugar distinto de donde se tenga por recibido el mensaje de datos conforme al artículo siguiente.

Artículo 25. Lugar del envío y recepción del mensaje de datos.

De no convenir otra cosa el iniciador y el destinatario, el mensaje de datos se tendrá por expedido en el lugar donde el iniciador tenga su establecimiento y por recibido en el lugar donde el destinatario tenga el suyo. Para los fines del presente artículo:

a) Si el iniciador o destinatario tienen más de un establecimiento, su establecimiento será el que guarde una relación más estrecha con la operación subyacente o, de no haber una operación subyacente, su establecimiento principal.

b) Si el iniciador o el destinatario no tienen establecimiento, se tendrá en cuenta su lugar de residencia habitual.

PARTE II. COMERCIO ELECTRÓNICO EN MATERIA DE TRANSPORTE DE MERCANCÍAS

Artículo 26. Actos relacionados con los contratos de transporte de mercancías.

Sin perjuicio de lo dispuesto en la parte I de la presente ley, este capítulo será aplicable a cualquiera de los siguientes actos que guarde relación con un contrato de transporte de mercancías, o con su cumplimiento, sin que la lista sea taxativa:

a) I. Indicación de las marcas, el número, la cantidad o el peso de las mercancías.

II. Declaración de la naturaleza o valor de las mercancías.

III. Emisión de un recibo por las mercancías.

IV. Confirmación de haberse completado el embarque de las mercancías.

b) I. Notificación a alguna persona de las cláusulas y condiciones del contrato.

II. Comunicación de instrucciones al transportador.

c) I. Reclamación de la entrega de las mercancías.

II. Autorización para proceder a la entrega de las mercancías.

III. Notificación de la pérdida de las mercancías o de los daños que hayan sufrido;

d) Cualquier otra notificación o declaración relativas al cumplimiento del contrato;

e) Promesa de hacer entrega de las mercancías a la persona designada o a una persona autorizada para reclamar esa entrega;

f) Concesión, adquisición, renuncia, restitución, transferencia o negociación de algún derecho sobre mercancías;

g) Adquisición o transferencia de derechos y obligaciones con arreglo al contrato.

Artículo 27. Documentos de transporte.

Con sujeción a lo dispuesto en el inciso tercero (3°) del presente artículo, en los casos en que la ley requiera que alguno de los actos enunciados en el artículo 26 se lleve a cabo por escrito o mediante documento emitido en papel, ese requisito quedará satisfecho cuando el acto se lleve a cabo por medio de uno o más mensajes de datos.

El inciso anterior será aplicable, tanto si el requisito en él previsto está expresado en forma de obligación o si la ley simplemente prevé consecuencias en el caso de que no se lleve a cabo el acto por escrito o mediante un documento emitido en papel.

Cuando se conceda algún derecho a una persona determinada y a ninguna otra, o ésta adquiera alguna obligación, y la ley requiera que, para que ese acto surta efecto, el derecho o la obligación hayan de transferirse a esa persona mediante el envío o utilización de un documento emitido en papel, ese requisito quedará satisfecho si el derecho o la obligación se transfiere mediante la utilización de uno o más mensajes de datos, siempre que se emplee un método confiable para garantizar la singularidad de ese mensaje o esos mensajes de datos.

Para los fines del inciso tercero, el nivel de confiabilidad requerido será determinado a la luz de los fines para los que se transfirió el derecho o la obligación y de todas las circunstancias del caso, incluido cualquier acuerdo pertinente.

Cuando se utilicen uno o más mensajes de datos para llevar a cabo alguno de los actos enunciados en los incisos f) y g) del artículo 26, no será válido ningún documento emitido en papel para llevar a cabo cualquiera de esos actos, a menos que se haya puesto fin al uso de mensajes de datos para sustituirlo por el de documentos emitidos en papel. Todo documento con soporte en papel que se emita en esas circunstancias deberá contener una declaración en tal sentido. La sustitución de mensajes de datos por documentos emitidos en papel no afectará los derechos ni las obligaciones de las partes.

Cuando se aplique obligatoriamente una norma jurídica a un contrato de transporte de mercancías que esté consignado, o del que se haya dejado constancia en un documento emitido en papel, esa norma no dejará de aplicarse a dicho contrato de transporte de mercancías del que se haya dejado constancia en uno o más mensajes de datos por razón de que el contrato conste en ese mensaje o esos mensajes de datos en lugar de constar en documentos emitidos en papel.

PARTE III. FIRMAS DIGITALES, CERTIFICADOS Y ENTIDADES DE CERTIFICACIÓN

CAPÍTULO I. Firmas digitales

Artículo 28. Atributos jurídicos de una firma digital.

Cuando una firma digital haya sido fijada en un mensaje de datos se presume que el suscriptor de aquella tenía la intención de acreditar ese mensaje de datos y de ser vinculado con el contenido del mismo.

Parágrafo. El uso de una firma digital tendrá la misma fuerza y efectos que el uso de una firma manuscrita, si aquélla incorpora los siguientes atributos:

1) Es única a la persona que la usa.

2) Es susceptible de ser verificada.

3) Está bajo el control exclusivo de la persona que la usa.

4) Está ligada a la información o mensaje, de tal manera que si éstos son cambiados, la firma digital es invalidada.

5) Está conforme a las reglamentaciones adoptadas por el Gobierno Nacional.

CAPÍTULO II. Entidades de certificación

Artículo 29. Características y requerimientos de las entidades de certificación.

Podrán ser entidades de certificación, las personas jurídicas, tanto públicas como privadas, de origen nacional o extranjero y las cámaras de comercio, que previa solicitud sean autorizadas por la Superintendencia de Industria y Comercio y que cumplan con los requerimientos establecidos por el Gobierno Nacional, con base en las siguientes condiciones:

a) Contar con la capacidad económica y financiera suficiente para prestar los servicios autorizados como entidad de certificación.

b) Contar con la capacidad y elementos técnicos necesarios para la generación de firmas digitales, la emisión de certificados sobre la autenticidad de las mismas y la conservación de mensajes de datos en los términos establecidos en esta ley.

c) Los representantes legales y administradores no podrán ser personas que hayan sido condenadas a pena privativa de la libertad, excepto por delitos políticos o culposos; o que hayan sido suspendidas en el ejercicio de su profesión por falta grave contra la ética o hayan sido excluidas de aquélla. Esta inhabilidad estará vigente por el mismo período que la ley penal o administrativa señale para el efecto.

Artículo 30. Actividades de las entidades de certificación.

Las entidades de certificación autorizadas por la Superintendencia de Industria y Comercio para prestar sus servicios en el país, podrán realizar, entre otras, las siguientes actividades:

1. Emitir certificados en relación con las firmas digitales de personas naturales o jurídicas.

2. Emitir certificados sobre la verificación respecto de la alteración entre el envío y recepción del mensaje de datos.

3. Emitir certificados en relación con la persona que posea un derecho u obligación con respecto a los documentos enunciados en los literales f) y g) del artículo 26 de la presente Ley.

4. Ofrecer o facilitar los servicios de creación de firmas digitales certificadas.

5. Ofrecer o facilitar los servicios de registro y estampado cronológico en la generación, transmisión y recepción de mensajes de datos.

6. Ofrecer los servicios de archivo y conservación de mensajes de datos.

Artículo 31. Remuneración por la prestación de servicios.

La remuneración por los servicios de las entidades de certificación serán establecidos libremente por éstas.

Artículo 32. Deberes de las entidades de certificación.

Las entidades de certificación tendrán, entre otros, los siguientes deberes:

a) Emitir certificados conforme a lo solicitado o acordado con el suscriptor;

b) Implementar los sistemas de seguridad para garantizar la emisión y creación de firmas digitales, la conservación y archivo de certificados y documentos en soporte de mensaje de datos;

c) Garantizar la protección, confidencialidad y debido uso de la información suministrada por el suscriptor;

d) Garantizar la prestación permanente del servicio de entidad de certificación;

e) Atender oportunamente las solicitudes y reclamaciones hechas por los suscriptores;

f) Efectuar los avisos y publicaciones conforme a lo dispuesto en la ley;

g) Suministrar la información que le requieran las entidades administrativas competentes o judiciales en relación con las firmas digitales y certificados emitidos y en general sobre cualquier mensaje de datos que se encuentre bajo su custodia y administración;

h) Permitir y facilitar la realización de las auditorías por parte de la Superintendencia de Industria y Comercio;

i) Elaborar los reglamentos que definen las relaciones con el suscriptor y la forma de prestación del servicio;

j) Llevar un registro de los certificados.

Artículo 33. Terminación unilateral. 

Salvo acuerdo entre las partes, la entidad de certificación podrá dar por terminado el acuerdo de vinculación con el suscriptor dando un preaviso no menor de noventa (90) días. Vencido este término, la entidad de certificación revocará los certificados que se encuentren pendientes de expiración.

Igualmente, el suscriptor podrá dar por terminado el acuerdo de vinculación con la entidad de certificación dando un preaviso no inferior a treinta (30) días.

Artículo 34. Cesación de actividades por parte de las entidades de certificación.

Las entidades de certificación autorizadas pueden cesar en el ejercicio de actividades, siempre y cuando hayan recibido autorización por parte de la Superintendencia de Industria y Comercio.

CAPÍTULO III. Certificados

Artículo 35. Contenido de los certificados.

Un certificado emitido por una entidad de certificación autorizada, además de estar firmado digitalmente por ésta, debe contener por lo menos lo siguiente:

1. Nombre, dirección y domicilio del suscriptor.

2. Identificación del suscriptor nombrado en el certificado.

3. El nombre, la dirección y el lugar donde realiza actividades la entidad de certificación.

4. La clave pública del usuario.

5. La metodología para verificar la firma digital del suscriptor impuesta en el mensaje de datos.

6. El número de serie del certificado.

7. Fecha de emisión y expiración del certificado.

Artículo 36. Aceptación de un certificado.

Salvo acuerdo entre las partes, se entiende que un suscriptor ha aceptado un certificado cuando la entidad de certificación, a solicitud de éste o de una persona en nombre de éste, lo ha guardado en un repositorio.

Artículo 37. Revocación de certificados.

El suscriptor de una firma digital certificada, podrá solicitar a la entidad de certificación que expidió un certificado, la revocación del mismo. En todo caso, estará obligado a solicitar la revocación en los siguientes eventos:

1. Por pérdida de la clave privada.

2. La clave privada ha sido expuesta o corre peligro de que se le dé un uso indebido.

Si el suscriptor no solicita la revocación del certificado en el evento de presentarse las anteriores situaciones, será responsable por las pérdidas o perjuicios en los cuales incurran terceros de buena fe exenta de culpa que confiaron en el contenido del certificado.

Una entidad de certificación revocará un certificado emitido por las siguientes razones:

1. A petición del suscriptor o un tercero en su nombre y representación.

2. Por muerte del suscriptor.

3. Por liquidación del suscriptor en el caso de las personas jurídicas.

4. Por la confirmación de que alguna información o hecho contenido en el certificado es falso.

5. La clave privada de la entidad de certificación o su sistema de seguridad ha sido comprometido de manera material que afecte la confiabilidad del certificado.

6. Por el cese de actividades de la entidad de certificación, y

7. Por orden judicial o de entidad administrativa competente.

Artículo 38. Término de conservación de los registros.

Los registros de certificados expedidos por una entidad de certificación deben ser conservados por el término exigido en la ley que regule el acto o negocio jurídico en particular.

CAPÍTULO IV. Suscriptores de firmas digitales

Artículo 39. Deberes de los suscriptores.

Son deberes de los suscriptores:

1. Recibir la firma digital por parte de la entidad de certificación o generarla, utilizando un método autorizado por ésta.

2. Suministrar la información que requiera la entidad de certificación.

3. Mantener el control de la firma digital.

4. Solicitar oportunamente la revocación de los certificados.

Artículo 40. Responsabilidad de los suscriptores.

Los suscriptores serán responsables por la falsedad, error u omisión en la información suministrada a la entidad de certificación y por el incumplimiento de sus deberes como suscriptor.

CAPÍTULO V. Superintendencia de Industria y Comercio

Artículo 41. Funciones de la Superintendencia.

La Superintendencia de Industria y Comercio ejercerá las facultades que legalmente le han sido asignadas respecto de las entidades de certificación, y adicionalmente tendrá las siguientes funciones:

1. Autorizar la actividad de las entidades de certificación en el territorio nacional.

2. Velar por el funcionamiento y la eficiente prestación del servicio por parte de las entidades de certificación.

3. Realizar visitas de auditoría a las entidades de certificación.

4. Revocar o suspender la autorización para operar como entidad de certificación.

5. Solicitar la información pertinente para el ejercicio de sus funciones.

6. Imponer sanciones a las entidades de certificación en caso de incumplimiento de las obligaciones derivadas de la prestación del servicio.

7. Ordenar la revocación de certificados cuando la entidad de certificación los emita sin el cumplimiento de las formalidades legales.

8. Designar los repositorios y entidades de certificación en los eventos previstos en la ley.

9. Emitir certificados en relación con las firmas digitales de las entidades de certificación.

10. Velar por la observancia de las disposiciones constitucionales y legales sobre la promoción de la competencia y prácticas comerciales restrictivas, competencia desleal y protección del consumidor, en los mercados atendidos por las entidades de certificación.

11. Impartir instrucciones sobre el adecuado cumplimiento de las normas a las cuales deben sujetarse las entidades de certificación.

Artículo 42. Sanciones.

La Superintendencia de Industria y Comercio de acuerdo con el debido proceso y el derecho de defensa, podrá imponer según la naturaleza y la gravedad de la falta, las siguientes sanciones a las entidades de certificación:

1) Amonestación.

2) Multas institucionales hasta por el equivalente a dos mil (2.000) salarios mínimos legales mensuales vigentes, y personales a los administradores y representantes legales de las entidades de certificación, hasta por trescientos (300) salarios mínimos legales mensuales vigentes, cuando se les compruebe que han autorizado, ejecutado o tolerado conductas violatorias de la ley.

3) Suspender de inmediato todas o algunas de las actividades de la entidad infractora.

4) Prohibir a la entidad de certificación infractora prestar directa o indirectamente los servicios de entidad de certificación hasta por el término de cinco (5) años.

5) Revocar definitivamente la autorización para operar como entidad de certificación.

CAPÍTULO VI. Disposiciones varias

Artículo 43. Certificaciones recíprocas.

Los certificados de firmas digitales emitidos por entidades de certificación extranjeras, podrán ser reconocidos en los mismos términos y condiciones exigidos en la ley para la emisión de certificados por parte de las entidades de certificación nacionales, siempre y cuando tales certificados sean reconocidos por una entidad de certificación autorizada que garantice en la misma forma que lo hace con sus propios certificados, la regularidad de los detalles del certificado, así como su validez y vigencia.

Artículo 44. Incorporación por remisión. Salvo acuerdo en contrario entre las partes, cuando en un mensaje de datos se haga remisión total o parcial a directrices, normas, estándares, acuerdos, cláusulas, condiciones o términos fácilmente accesibles con la intención de incorporarlos como parte del contenido o hacerlos vinculantes jurídicamente, se presume que esos términos están incorporados por remisión a ese mensaje de datos. Entre las partes y conforme a la ley, esos términos serán jurídicamente válidos como si hubieran sido incorporados en su totalidad en el mensaje de datos.

PARTE IV. REGLAMENTACIÓN Y VIGENCIA

Artículo 45.

La Superintendencia de Industria y Comercio contará con un término adicional de doce (12) meses, contados a partir de la publicación de la presente ley, para organizar y asignar a una de sus dependencias la función de inspección, control y vigilancia de las actividades realizadas por las entidades de certificación, sin perjuicio de que el Gobierno Nacional cree una unidad especializada dentro de ella para tal efecto.

Artículo 46. Prevalencia de las leyes de protección al consumidor.

La presente Ley se aplicará sin perjuicio de las normas vigentes en materia de protección al consumidor.

Artículo 47. Vigencia y Derogatorias.

La presente ley rige desde la fecha de su publicación y deroga las disposiciones que le sean contrarias.