ARTICULO I
ASPECTOS JURÍDICOS DE INTERNET Y EL COMERCIO ELECTRÓNICO
DIEGO MARTÍN BUITRAGO BOTERO
ABOGADO U DE M
PRELIMINARES
El mundo moderno se ha transformado de manera acelerada en los últimos 10 años. Transformación que no solo ha cambiado la rutina de los hombres, la economía de las naciones, el poderío mismo de ellas, sino también la forma de hacer negocios y realizar transacciones, y en especial la forma como se soportan tales actividades. Ordinariamente la celebración de contratos y realización de transacciones comerciales ha requerido de DOCUMENTOS ESCRITOS y FIRMAS AUTÓGRAFAS. Tales requisito como prueba fundamental que contiene o bien una oferta, su aceptación, un contrato de compraventa, o u titulo Valor. Documentos sin los cuales no se podría alegar la existencia de alguna de tales circunstancia, o por lo menos la demostración de su existencia será muy engorrosa.
En la actualidad se ha generado una tendencia universal a darle valor a los documentos llamados ELECTRÓNICOS, documentos generados por medio electrónicos y que quedan dentro de un sistema de información con la posibilidad de ser apreciado por los mismos medios. Esta tendencia no es solo de teorías, doctrinas o jurisprudencias, sino de las mismas legislaciones, propiciadas por la LEY MODELO DE COMERCIO ELECTRONICO DE LA UNCITRAL.
Esta ley modelo establece como los documentos electrónicos tienen el mismo efecto jurídico que los documentos físicos. En Colombia tal situación se ha establecido por medio de la ley 527 de 1999 «Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones». Aunque el tema no ha sido desarrollado plenamente, esta ley es un inicio de lo que debe ser la reglamentación de los documentos informaticos.
Pero definitivamente el tema de los documentos electrónicos no es novedoso, aunque si desconocido.
En el año de 1982 el gobierno expide el DEC. 2328 (Agosto 2) «por medio del cual se dictan normas sobre el servicio de transmisión o recepción de información codificada (datos) entre equipos informaticos, es decir, computadoras y/o terminales en el territorio nacional», y en el año de 1984 el DEC. 148 (enero 24) «por el cual se dictan normas sobre los servicios de transmisión de información codificada 8datos) para correspondencia publica y se reglamentan parcialmente los artículos 184 y 186 del decreto-ley 222 de 1983». Ya desde la década de los 80 se hace mención a los servicios de transmisión de información codificada (datos – hoy mensajes de datos), inclusive se habla de correo electrónico.
Pese a ello aun no existe una verdadera voluntad política que plantee la regulación y reglamentación de los temas informáticos y en especial del derecho infromatico, consecuencia de ellos la falta de divulgación y conocimiento del tema de los documentos electrónicos y las firmas digitales, y aun mas grave es que la rama jurisdiccional del estado aun no toma la suficiente conciencia de los efectos que estas leyes traen dentro de los tramites procesales.
se hace urgente pues que el gobierno nacional que se ponga mas atención a los temas que ya no son del futuro sino del presente, y propicie campañas de capacitación y actualización en todas las ramas del poder a fin de que su Aplicabilidad no se vea frenada por el desconocimiento de la misma. No basta con expedir la llamada «LEY DE COMERCIO ELECTRONICO», es necesario que de ella salgan nuevas normas que la reglamenten.
Los abogados que se están formando en las escuelas de derecho, los litigantes, juristas y tratadistas, estamos en la obligación de avanzar al ritmo de la tecnología a fin de poder suministrar u servicio eficiente, confiable y vigente.
ORIGENES DE INTERNET
Internet es un conjunto de redes de información enlazadas entre sí, que permiten el intercambio de datos de cualquier tipo, por casi todos los países del mundo; razón por la que se le conoce también como la «red de redes» o «Telaraña Mundial de Comunicación».
Las tecnologías en las cuales se basa el funcionamiento de Internet fueron inicialmente desarrolladas por el Departamento de Defensa Norteamericano con el proyecto DARPA, a finales de los años 60. Esta tecnología fue creada inicialmente con propósitos militares, pero luego las universidades y centros de investigación se unieron a esta red para compartir información científica y tener acceso a grandes centros de cómputo.
Desde entonces se inició el proceso de crecimiento a pasos agigantados, que permite que este servicio pueda ser disfrutado por gran cantidad de personas en todo el mundo.
Internet está conformado por la unión de redes de universidades, centros de investigación, empresas privadas y comerciales, entre otras; las cuales son administradas independientemente y cooperan entre sí para funcionar como un todo. Existe un organismo central llamado el Network Information Center (NIC) que se encarga de asignar direcciones Internet (números IP) diferentes a cada usuario, y La ICANN que es la encargada de asignar los nombres de dominio.
Adicionalmente hay un conjunto de organismos que se encargan de velar por el desarrollo armónico de la red, desde el punto de vista técnico. Algunos de ellos son Grupo de trabajo de ingeniería de Internet (IETF), el consejo de arquitectura de Internet (IAB) y el grupo de trabajo de investigación en Internet (IRTF).
En Internet se pueden hacer múltiples cosas, entre ellas:
– Consultar información técnica, científica, económica, social, deportiva, comercial, etc.
– Enviar y recibir mensajes por el correo electrónico.
– Transferir archivos y programas de un lugar a otro.
– Participar en grupos de discusión sobre temas de interés específico.
– Establecer comunicación grupal o privada.
– Adquirir bienes y servicios ofrecidos por entidades comerciales de carácter internacional.
PRESTACION DEL SERVICIO EN INTERNET
El Servicio de acceso a Internet es un servicio que permite acceder a la información y aplicaciones disponibles en la red Internet, es decir, es el servicio que posibilita tener ingreso a todos y cada uno de los servidores y de las paginas que se hospedan en la red.
La prestación del servicio de Internet es una relación contractual entre un ISP (Internet Service provider – Proveedor de Servicio de Internet) y sus respectivos usuarios, por medio de un Contrato de ADHESION, que se rige por las normas del derecho civil, comercial y del derecho de autor.
La prestación del servicio se realiza por medio de un contrato convencional, el cual no tiene mayores complicaciones; por lo general es un modelo estándar para todos los contratos, el cual contiene una descripción general del acceso deseado, la velocidad de la comunicación, el canal de comunicación digital o analógico, línea arrendada o conmutada, acceso a un servidor de noticias, un buzón electrónico y el costo y el método de factura entre otros. Como ya se advirtió este contrato es de los llamados contratos de adhesión, en el cual el usuario se adhiere a las condiciones y parámetros establecidos por el ISP.
Uno de los principales problemas de la conformación de las ISP, es que no existe unificación a nivel mundial en cuanto a las exigencias para su constitución y prestación del servicio. Algunos países exigen una licencias como es el caso del Reino Unido ; otros por el contrario solo exigen de una simple declaración ante la autoridad de telecomunicación sobre el inicio de sus actividades, como en el caso de Alemania y Bélgica; y otros por el contrario no exigen nada, como es el caso de E.U y Canadá. Debido a que la legislación sobre Internet no está unificada en todos los países, puede suceder el caso que una empresa haga todos los trámites necesarios para prestar el servicio en el país donde está domiciliada ella, y no sabe si esta licencia sirve para todos los demás países donde ella tenga sucursales o agencias. En Colombia la exigencia recae sobre las empresas que prestan los servicios de telecomunicaciones, las cuales deben cumplir con los preceptos que para el efecto consagran las diferentes normas que regulan la materia.
Este problema en Europa se ha solucionado parcialmente, puesto que los países de la Unión Europea firmaron una convención dentro del European Telecomunications Office (ETO), creada por el European Committee for the regulation of Telecomunications (ECRT), el 30 de abril de 1994, concerniente a los regímenes de líneas y autorizaciones en Europa. Pacto que consiste en que una empresa de un país que haga parte del mismo, que vaya a prestar sus servicios a otra que también pertenece a él, lo puede hacer sin necesidad de licencia. Ya que un proveedor de servicios puede proporcionarlos, sin impedimento, en otros países de la unión.
Mediante el pacto se creó una oficina encargada de tramitar todas las autorizaciones o declaraciones, para el uso del Internet. Aunque cada nación sigue teniendo su legislación independiente, pero rigiéndose por los parámetros del pacto.
No obstante estos estados de la Unión Europea, pueden estipular excepciones a la libre prestación de servicios, en casos muy específicos y bajo condiciones muy rigurosas, mediante el establecimiento de restricciones discriminatorias (por razones de orden publico, seguridad estatal y salud pública) y en algunos casos de restricciones no discriminatorias (si son de interés general). La finalidad del control ejercido por las autoridades de la Unión Europea que suscribieron el pacto, es verificar que las medidas adoptadas sean proporcionales al objetivo perseguido.
Pero en el continente americano la problemática existe, puesto que el único tratado vigente al respecto es el de libre comercio celebrado entre México, Estados Unidos y Canadá, en el cual se prohiben las restricciones discriminatorias. Sin embargo, se respetará la legislación interna de cada estado, y el país miembro del pacto, queda obligado a garantizar a los proveedores de servicio de otro estado miembro, el más favorable de los dos regímenes, ya sea el aplicable por el estado o a sus propios nacionales o a sus propios nacionales en condiciones similares.
Internet ha cambiado la forma de contratar y en especial la forma de la sociedad actual, una sociedad que ha pasado del documento escrito el documento virtual (el MENSAJE DE DATOS), así se da plena validez legal a las transacciones y contratos «sin papel». Pero todo ello obliga a que hoy día se establezcan acuerdos internacionales que armonicen las diferentes legislaciones sobre comercio por medio de Internet, lo que comúnmente se conoce como COMERCIO ELECTRONICO.
Así pues se hace necesario un marco general de regulación de aspectos tan vitales como el control de las transacciones internacionales, el cobro de impuestos, la protección de los derechos de propiedad intelectual, la protección de los consumidores en cuanto a publicidad engañosa o no deseada, el fraude, los contenidos ilegales e ilícitos y el uso abusivo de datos personales; así mismo obliga a generar altos niveles de seguridad de las transacciones y medios de pago electrónicos. Todo ello por la falta de estándares consolidados y la proliferación de aplicaciones y protocolos de comercio electrónico incompatibles.
USUARIOS DE INTERNET
A Nivel Mundial en millones de usuarios
1997 10
1998 159
1999 212
2000 272
2001 379
2002 459
2003 510
Fuente: Nielse/NetRatings.com
En Colombia
Numero de Usuarios a Octubre de 2000: 700.000
% población con acceso a Internet 1.75% /(40 Millones)
Numero de paginas .CO registradas a Enero de 2000: 40.565
ARTICULO II
COMERCIO ELECTRONICO
Internet constituye la forma primaria de comercio electrónico y permite a las compañías establecer contactos con los consumidores potenciales o con otras compañías por medio del correo electrónico.
En Colombia se expidió la LEY 527 DE 1999 (Agosto 18 de 1999) «Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones». El objetivo principal de la ley es adoptar un marco normativo que avale los últimos desarrollos tecnológicos sobre seguridad en materia de comercio electrónico, de manera que se pueda dar pleno valor jurídico a los mensajes electrónicos de datos que hagan uso de esta tecnología .
Esta ley define en su art. 2 literal b el Comercio electrónico de la siguiente manera «COMERCIO ELECTRONICO: Abarca las cuestiones suscitadas por toda relación de índole comercial, sea o no contractual, estructurada a partir de la utilización de uno o más mensajes de datos o de cualquier otro medio similar. Las relaciones de índole comercial comprenden, sin limitarse a ellas, las siguientes operaciones: toda operación comercial de suministro o intercambio de bienes o servicios; todo acuerdo de distribución; toda operación de representación o mandato comercial; todo tipo de operaciones financieras, bursátiles y de seguros; de construcción de obras; de consultoría; de ingeniería; de concesión de licencias; todo acuerdo de concesión o explotación de un servicio público; de empresa conjunta y otras formas de cooperación industrial o comercial; de transporte de mercancías o de pasajeros por vía aérea, marítima y férrea, o por carretera»
La nueva ley es clara en establecer que cuando una norma exija que la información conste por escrito, este requisito queda satisfecho con un mensaje de datos, si la información que éste contiene es accesible para su posterior consulta.
ANTECEDENTES
La ley 527 toma como base la Ley Modelo sobre Comercio electrónico elaborada por la UNCITRAL y aprobada por la Asamblea General de la ONU en 1996, ella establece:
«COMERCIO ELECTRÓNICO comprende todas aquellas transacciones comerciales, nacionales e internacionales, que se realizan por medio del intercambio electrónico de datos y por otros medios de comunicación, en los que se usan métodos de comunicación y almacenamiento de información substitutivos de los que usan papel»
ORGANIZACIÓN MUNDIAL DEL COMERCIO
Estudios estadísticos indican que para el año de 1991 había menos de 5 millones de usuarios en Internet. En la actualidad existen más de 459 millones (menos de la decima parte de la población mundial) de ellos América Latina representa el 4%.
Las transacciones electrónicas requieren contratos electrónicos y firmas electrónicas que no han sido regulados hasta ahora por el derecho de muchos países. La mayoría de los países en desarrollo que deseen participar en el comercio electrónico, necesitan emprender cambios legislativos importantes en este sentido.
DECRETO 2328 de 1982
«Por el cual se dictan normas sobre el servicio de transmisión o recepción de información codificada (datos) entre equipos informaticos, es decir, computadoras y/o terminales en el territorio nacional»
«Art. 1. La empresa Nacional de Telecomunicaciones prestará el servicio de transmisión de datos a través de los siguientes medios…»
DECRETO 148 de 1984
«Por el cual se dictan normas sobre los servicios de transmisión de información codificada (datos) para correspondencia publica y se reglamentan parcialmente los artículos 184 y 186 del decreto-ley 222 de 1983»
Este decreto define Telex, Correo Electrónico, Transmisión de Datos, etc.
«Correo Electrónico: Servicio que mediante el uso de diferentes tecnologías electrónicas y medios de telecomunicación permite la transferencia de mensajes, documentos, memorandos, oficios y similares almacenándolos en un lugar y permitiendo su extracción y reproducción en forma de copia a distancia.»
DECRETO 2150 DE 1995
ARTÍCULO 26: Utilización de sistemas electrónicos de archivo y transmisión de datos. Las entidades de la administración pública deberán habilitar sistemas de transmisión electrónica de datos para que los usuarios envíen o reciban información requerida en sus actuaciones frente a la administración.
En ningún caso las entidades públicas podrán limitar el uso de tecnologías para el archivo documental por parte de los particulares sin perjuicio de los estándares tecnológicos que las entidades públicas adopten para el cumplimiento de algunas de las obligaciones legales a cargo de los particulares.
DECRETO 266 DE 2000
ARTÍCULO 26: Medios tecnológicos.
Se autoriza a la administración pública para el empleo de cualquier medio tecnológico o documento electrónico.
Toda persona podrá en su relación con la administración hacer uso de cualquier medio técnico o electrónico.
Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales y se establecen las entidades de certificación y se dictan otras disposiciones
DEFINICIONES
Mensaje de datos. La información generada, enviada, recibida, almacenada o comunicada por medios electrónicos, ópticos o similares, como pudieran ser, entre otros, el intercambio electrónico de datos (EDI), Internet, el correo electrónico, el telegrama, el télex o el telefax
Comercio electrónico. Abarca las cuestiones suscitadas por toda la relación de índole comercial, sea o no contractual, estructurada a partir de la utilización de uno o más mensajes de datos o de cualquier otro medio similar.
Firma Digital. Se entenderá como un valor numérico que se adhiere a un mensaje de datos y que, utilizando un procedimiento matemático conocido, vinculado a la clave del iniciador y al texto del mensaje permite determinar que este valor se ha obtenido exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido modificado después de efectuada la transformación
Entidad de Certificación. Es aquella persona que, autorizada conforme a la presente ley, esta facultada para emitir certificados en relación con las firmas digitales de las personas, ofrecer o facilitar los servicios de registro y estampado cronológico de la transmisión y recepción de mensajes de datos, así como cumplir otras funciones relativas a las comunicaciones basadas en las firmas digitales.
Intercambio electrónico de datos. La transmisión electrónica de datos de una computadora a otra, que está estructurada bajo normas técnicas convenidas al efecto.
Sistema de información. Se entenderá todo sistema utilizado para generar, enviar, recibir, archivar o procesar de alguna otra forma mensajes de datos.
ARTICULO III
VALOR PROBATORIO DEL DOCUMENTO ELECTRONICO Y FIRMA DIGITAL EN LA LEY DE COMERCIO ELECTRONICO – LEY 527 DE 1999 –
DOCUMENTOS ELECTRONICO (MENSAJES DE DATOS)
RECONOCIMIENTO JURIDICO DE LOS MENSAJES DE DATOS
Los MENSAJES DE DATOS tiene plena valor jurídico, como el documento escrito. El Art. 5 determina que «No se negaran efectos jurídicos, validez o fuerza obligatoria a todo tipo de información por la sola razón de que esté en MENSAJE DE DATOS»
MEDIO DE PRUEBA
Prueba Documentaría:
En el campo jurídico, el documento es el elemento esencial dentro del sistema informativo del derecho
El documento es definido por CARNELLUTI como una cosa que hace conocer un hecho. De allí se deriva que el documento, es algo material, tiene una finalidad representativa de un acontecimiento y debe ser anterior al litigio en el cual pretende utilizar como prueba
CARNELLUTI, al igual que otros autores, abre las puertas a la admisión del documento electrónico
Sin embargo hay otra parte de la doctrina que no da cabida a considerar el documento electrónico como medio de prueba documental, en la medida en que el documento siempre debe ser el escrito en un soporte de papel
¿Qué es el documento electrónico?
Aquel proveniente de la elaboración electrónica, o aquel objeto físico dirigido a conservar y transmitir informaciones mediante mensajes en lenguaje natural, realizado con la intermediación de funciones electrónicas.
Resulta importante plantear varios cuestionamientos conducentes a la determinación de los documentos electrónicos como verdadero medio de prueba.
1. Se podrían considerar enmarcados dentro de la clasificación de documentos (Art. 251 C.P.C.)
2. Podrán servir los nuevos documentos electrónicos o informáticos de medios de prueba, teniendo en cuenta la ausencia gran cantidad de países de una ley que los pueda clasificar como tal.
3. Frente al concepto «Documentos original», en el documento electrónico es difícil determinar la diferencia entre el documento original y la copia del mismo.
4. la seguridad de los medios electrónicos es suficiente para contrarrestar la desconfianza, incertidumbre y falta de credibilidad que el documento electrónico genera, ante las posibles alteraciones de su contenido.
Estos interrogantes son resueltos por la nueva normativa establecida en la ley 527 de 1999. Ley que es clara en determinar que tanto el documento electrónico (mensaje de datos) como la firma digital tienen el valor probatorio que la ley otorga a los documentos escritos y a la firma autógrafa. Para ello determina ciertos requisitos, los cuales son analizados en las siguientes líneas.
REQUISITOS JURIDICOS DE LOS MENSAJES DE DATOS
ESCRITO
De acuerdo al articulo 6, este requisito queda satisfecho con un mensaje de datos, si la información que éste contiene es accesible para su posterior consulta.
El documento debe quedar en algún «lugar» con la posibilidad de ser apreciado posteriormente en iguales condiciones a las que fue emitido y recibido.
FIRMA
Es el método, signo o símbolo de naturaleza digital incorporado por su titular a un documento preparado para ser tratado por medios telemáticos, con cualquiera de las finalidades previstas para la firma manual, o como un bloque de caracteres que acompaña a un documento acreditando quién es su autor ( autenticación ) y que no ha existido ninguna manipulación posterior de los datos (integridad )
Es cualquier método o símbolo basado en medios digitales utilizado o adoptado por una parte con la intención actual de vincularse o autenticar un documento, cumpliendo todas o algunas de las funciones características de una firma manuscrita.
El Articulo 7 establece que el requisito de la firma de un documento electrónico queda satisfecho por dos aspectos : 1. Que exista un método de identificación del iniciador del mensaje y que el contenido del mensaje esta aprobado por el .
2. Que el método de identificación del mensaje sea confiable y apropiado para los mismos fines del mensaje.
Lo anterior se refiere básicamente a las entidades de certificación.
ORIGINAL
Conforme al Articulo 8 el Mensaje de Datos se reconoce como documento original, cumpliendo los siguientes requisitos: 1. Garantía confiable que se ha conservado la integridad de la información, desde el momento en que se genero el mensaje de datos
2. Que la información pueda ser mostrada en forma adecuada.
INTEGRIDAD
Al tenor del articulo 9 se considera la integridad de un mensaje de datos cuando la información contenida en él ha permanecido completa y sin alteración de su contenido. Lo anterior significa que el mensaje de datos es integro si no ha tenido modificación alguna desde el momento que es generado y enviado, hasta que ha sido recibido.
FUERZA PROBATORIA
El articulo 10 reconoce fuerza probatoria a los mensajes de datos, de manera expresa, conforme a las normas del Código de Procedimiento Civil en sus artículos 251 y siguientes.
Igualmente sucede con las actuaciones administrativas o judiciales en donde se reconoce eficacia, validez y fuerza probatoria a la información contenida en mensajes de datos.
VALOR PROBATORIO
Los mensajes electrónicos de datos se valorarán conforme a la regla general de sana crítica. Esto significa que un mensaje de datos o una firma digital no tienen ni un mayor ni un menor valor al que en forma general se le reconoce a los documentos (Articulo 11).
CONSERVACION
El mensaje de datos debe cumplir, según el articulo 12, con los siguientes requisitos cuando la ley requiera que sean conservados: 1. Que la información sea accesible para su posterior consulta.
2. Que su conservación sea en el formato que se haya generado.
3. Que se conserve la información que determine origen, destino, fecha y hora de envío o recibo o producción del documento.
COMUNICACIÓN (Art. 14 y 15)
La oferta y aceptación en la formación del contrato se puede expresar por medio de mensajes de datos.
No se niegan efectos jurídicos, validez o fuerza obligatoria a la manifestación de voluntad expresada por mensaje de datos.
ATRIBUCIONES (Art. 16)
Se entiende un mensaje de datos enviado por el iniciador, cuando: 1. Lo envía el propio iniciador.
2. Lo envía una persona facultada por el iniciador.
3. Lo envía automáticamente un sistema de información programado por el iniciador.
PRESUNCION DE ORIGEN (Art. 17)
Se presume un mensaje de datos enviado por el iniciador, cuando: 1. Se ha acordado previamente un procedimiento, que determine que es el iniciador quien lo envíe.
2. El mensaje de datos recibido por el destinatario es producto de los actos de una persona facultada por el iniciado y que haya utilizado el procedimiento acordado previamente.
MENSAJE ENVIADO = MENSAJE RECIBIDO
De acuerdo al Art. 18, el destinatario tiene el derecho a considerar que el mensaje de datos recibido del iniciador, es el que este quería enviar.
No lo puede hacer cuando el destinatario sabe o pudo saber que la transmisión había dado lugar a un error.
FIRMAS DIGITALES
La firma digital no es otra cosa que la forma en que una entidad de certificación señala deben ir firmados los mensajes de datos emitidos por una empresa o persona por ella certificada y a quien le ha expedido un certificado digital.
ATRIBUTOS DE LA FIRMA DIGITAL
Cuando una firma digital haya sido fijada en un mensaje de datos se presume que el suscriptor de aquella tenía la intención de acreditar ese mensaje de datos y de ser vinculado con el contenido del mismo.
El uso de una firma digital tendrá la misma fuerza y efectos que el uso de una firma manuscrita, siempre y cuando reúna los siguientes requisitos: (Art. 7 y 28)
UNICA
Es única a la persona que la usa. Es absolutamente personal e intransferible. Usada bajo responsabilidad y riesgo del titular.
SUCEPTIBLE DE VERIFICACION
Es susceptible de ser verificada. Por medios adecuados y utilizando las entidades de certificación se puede determinar que una firma digital corresponde a la persona que la emite.
CONTROL EXCLUSIVO DEL USUARIO
Está bajo el control exclusivo de la persona que la usa. No permite que varias personas sean los responsables de la firma, es del resorte exclusivo y excluyente del titular de la firma.
VINCULACION A LA INFORMACION
Está ligada a la información o mensaje, de tal manera que si éstos son cambiados, la firma digital es invalidada.
SOMETIDA A REGLAMENTACION
Está conforme a las reglamentaciones adoptadas por el Gobierno Nacional, en este caso la ley 527 de 1999 y el Decreto 1747 de 2000.
USO DE LA FIRMA DIGITAL
Las entidades de Certificación dentro de sus actividades tiene la de prestar los servicios de creación de firmas digitales, pero a parte de las entidades de certificación, juegan papel importante en el manejo de la firma digital otros actores en las transacciones electrónicas.
EL CLIENTE : Es el que inicia la transacción por medio del lleno de un formulario de pedido y el envío a través de la aceptación del formulario. El cliente se identifica ante el comerciante por medio de una firma digital, enviando el mensaje de datos cifrado mediante su clave privada. El comerciante mediante la clave publica del cliente desencripta el mensaje y lee la información.
COMERCIANTE : Es el destinatario del mensaje de datos y descifra la información mediante la clave publica que el cliente tiene y ha sido suministrada por medio de su entidad de certificación. En la mayoría de las transacciones con tarjeta de crédito, el comerciante no tiene acceso al número de tarjeta del cliente, solo le llega la autorización del banco respectivo, aprobando la transacción.
BANCO : Es el intermediario en el pago, recibe la notificación del pago del cliente al comerciante y autoriza la transacción, cargando a la cuenta del cliente el valor pagado y abonándola a la cuenta del comerciante.
ISP : es la empresa que facilita la comunicación y las transacciones por Internet al permitir el acceso tanto de cliente como de comerciante a la red, puede ser el mismo o diferentes.
ARTICULO IV
SEGURIDAD DE LOS MENSAJES DE DATOS Y LAS FIRMAS DIGITALES
Mas que la seguridad en Internet, el problema principal es la INSEGURIDAD, debido a que en buena parte este fenómeno fue dejado al mutuo respeto y al honor de los usuarios, así como a la buena fe en las transacciones comerciales. La seguridad mínima en Internet se basa fundamentalmente en la identificación del usuario y una palabra o clave de acceso
El crecimiento acelerado y el auge que en los últimos años ha tenido Internet, empezó a mostrar las falencias que en seguridad tenia este sistema. Fenómenos como los famosos agujeros de seguridad, propiciados por errores en la programación o problemas de protocolos, así como la suplantación de identidad, han generado una alarma creciente en la transmisión de datos y en especial en la celebración de Negocios ON-LINE. La respuesta no se hizo esperar y surgieron así las propuestas internacionales de establecer los CERTIFICADOS. Estos pretenden dar la confiabilidad que los usuarios requieren para la realización de sus transacciones en Internet.
El interés principal en la generación de seguridad en Internet es motivar a que las negociaciones virtuales no se suspendan sino por el contrario aumenten. Sin embargo los HACKER (temibles piratas virtuales que ingresan a las redes y capturan la información que ella contiene o que por ella se transmite) han puesto en peligro grandes redes de comunicación y grandes servidores, así como el servicio de correo electrónico, como ha sido los famosos casos de Microsoft.com, Hotmail.com y otros que han sido violados en sus sistemas de seguridad.
En el comercio electrónico intervienen varias partes. Así los comerciantes ofrecen mercancías, productos y servicios a los clientes, quienes los solicitan vía servidor o correo electrónico, llenando un formulario de pedido, con lo que se inicia la transacción. El comerciante entonces solicita autorización de cobro a un banco, quien dará la autorización con base en la que de el emisor de la tarjeta de crédito.
RIESGOS FRENTE A LOS DOCUMENTOS ELECTRONICOS Y LAS FIRMAS DIGITALES
Los principales fenómenos de seguridad que se presentan en Internet son los siguientes :
ROBO DE INFORMACION
Permite obtener la información de los usuarios de la red, tales como números de cuentas, tarjetas de crédito, facturación, etc. Así mismo por este sistema se puede robar servicios exclusivos de suscriptores. De esta manera se viola la privacidad en las comunicaciones. Por medio de algoritmos criptograficos (vistos anteriormente) se puede contrarrestar esta situación.
SUPLANTACION DE IDENTIDAD
una de las actividades mas comunes en Internet. Cuando una persona utiliza las claves de otra haciéndose pasar por esta y realizando transacciones en nombre de aquel. De esta manera el suplantador podría usar el numero de tarjeta de crédito del suplantado o comprometer su responsabilidad sin que este tenga la voluntad de obligarse. Por medio del sistema de la FIRMA DIGITAL se puede obviar esta suplantación. Esto se estudiara mas adelante.
SNIFFERS
Son herramientas informáticas que permiten obtener las CLAVES DE ACCESO que permiten entrar a los lugares donde se guarda la información. Permiten la consumación de «delitos» de robo de información y suplantación de identidad. Los sistemas de criptografia y de llaves publicas ofrecen una adecuada protección.
MODIFICACION DE INFORMACION
Es la forma de alteración del contenido de un mensaje de datos en el lapso de tiempo que sale del iniciador y llega al destinatario, cambiando considerablemente el mensaje de salida al mensaje de llegada. La FIRMA DIGITAL es el mecanismo adecuado para conservar la integridad de los mensajes de datos.
REPUDIO
Es el rechazo o la negación de una operación por una de las partes que intervienen en el negocio electrónico, esto puede causar problemas en los sistemas de pago. Si una de las partes rechaza un acuerdo previo con la otra parte, se vera abocado al sobrecosto en la facturación. La FIRMA DIGITAL genera un buen medio de garantía.
DENEGACION DEL SERVICIO
Es la forma de inhabilitar un sistema para que pueda operar normalmente, imposibilita que un cliente que tiene suscripción con un servicio, pueda obtener los beneficios respectivos.
ELEMENTOS DE SEGURIDAD DE LOS MENSAJES DE DATOS Y LAS FIRMAS DIGITALES
Para contrarrestar los fenómenos mencionados anteriormente es necesario suministrar unos buenos elementos de seguridad por partes de los actores intervinientes en Internet, a fin de lograr la entera confianza y que las transacciones tengan la suficiente garantía de realización segura. Para ello un sistema debe ofrecer seguridad a ambos extremos de la comunicación. Los principales requerimientos para cumplir con la seguridad son los siguientes :
CONFIDENCIALIDAD
las comunicaciones se deben restringir solo para las partes interesadas y no permitir el ingreso de terceras personas que nada tiene que ver con ella. Es esencial para la privacidad del usuario y evita los problemas de robo de información.
INTEGRIDAD
se debe tener la suficiente garantía que en el proceso de comunicación no existe la posibilidad de modificación del mensaje de datos, no en el almacenamiento en los repositorios.
AUTENTICIDAD
Debe existir plena identidad e identificación entre las partes, de tal manera que tengan la plena seguridad de que las personas que dicen estarse comunicando son las que realmente dicen ser.
NO REPUDIO
Realizada la operación no puede existir la posibilidad de negar dicha operación o de rechazarla.
APLICACIÓN SELECTIVA DE SERVICIOS
Permite la posibilidad de que una parte de la transacción no sea visible a todas las partes, es decir que en el proceso de negociación se oculte una información de especial interés para una de las partes, como es el caso del numero de la tarjeta de crédito.
En la comunicación comercial existen varios actores que interactuan y que se deben proporcionar entre ellos la debida seguridad y garantía de sus transacciones, la mas importante de ellas son las ENTIDADES DE CERTIFICACION, que son las encargadas de proveer la garantía de que una comunicación es segura. VERISING es la certificadora mas importante a nivel mundial. En Colombia hasta el momento existen tramites para la autorización de ENTIDADERS DE CERTIFICACION, pero exuiste algunos ejemplos de entidades ya autorizadas como lo es CERTICAMARA entidad de certificación abierta en la cual participan Confecamaras, y las camaras de comercio de Medellín, Bogota, Cali, Aburra Sur, Cucuta, Bucaramanga, ente otras.
AUTORIDAD DE CERTIFICACION (CA) O ENTIDAD DE CERTIFICACION.
Las ENTIDADES DE CERTIFICACION son empresas especializadas en brindar la seguridad de las transacciones que se realizan en Internet. Estas entidades expiden certificados que contienen las llaves publicas que garantizan la autenticidad de las partes. Las entidades de certificación mantienen las listas de revocación de certificados, y sus respectivos repositorios. Una entidad de Certificación puede pertenecer a la misma empresa (entidad Cerrada) teniendo de esta forma, la capacidad de definir sus propias políticas de certificación.
ACTIVIDADES
Las entidades de certificación autorizadas por la Superintendencia de Industria y Comercio para prestar sus servicios en el país, podrán realizar, entre otras, las siguientes actividades:
· Emitir certificados en relación con las firmas digitales de personas naturales o jurídicas.
· Emitir certificados sobre la verificación respecto de la alteración entre el envío y recepción del mensaje de datos.
· Emitir certificados en relación con la persona que posea un derecho u obligación con respecto a los documentos enunciados en los literales f) y g) del artículo 26 de la presente ley.
· Ofrecer o facilitar los servicios de creación de firmas digitales certificadas.
· Ofrecer o facilitar los servicios de registro y estampado cronológico en la generación, transmisión y recepción de mensajes de datos.
· Ofrecer los servicios de archivo y conservación de mensajes
REQUISITOS DE CONSTITUCION
ENTIDADES DE CERTIFICACION CERRADAS
Las entidades de certificación cerradas deben acreditar ante la Superintendencia de Industria y Comercio:
· Los administradores y representantes legales no están incursos en las causales de inhabilidad previstas en el literal c del artículo 29 de la ley 527 de 1999; y
· Están en capacidad de cumplir los estándares mínimos que fije la Superintendencia de Industria y Comercio de acuerdo a los servicios ofrecidos.
ENTIDADES DE CERTIFICACION ABIERTAS
Las entidades de certificación abiertas deben acreditar ante la superintendencia de industria y Comercio:
a) Personería jurídica o condición de notario o cónsul;
b) Cuando se trate de una entidad extranjera, se deberá acreditar el cumplimiento de los requisitos contemplados en el Libro Segundo, Título VIII del Código de Comercio para las sociedades extranjeras que pretendan ejecutar negocios permanentes en territorio colombiano. Igualmente deberá observarse lo establecido en el artículo 48 del Código de Procedimiento Civil.
c) Que los administradores y representantes legales no están incursos en las causales de inhabilidad previstas en el literal c del artículo 29 de la ley 527 de 1999.
d) Declaración de Prácticas de Certificación (DPC) satisfactoria, de acuerdo con los requisitos establecidos por la Superintendencia de Industria y Comercio.
e) Patrimonio mínimo de 400 salarios mínimos mensuales legales vigentes al momento de la autorización.
f) Constitución de las garantías previstas en este decreto.
g) Infraestructura y recursos por lo menos en la forma exigida en el artículo 9 de este decreto.
h) Informe inicial de auditoria satisfactorio a juicio de la misma Superintendencia.
i) Un mecanismo de ejecución inmediata para revocar los certificados digitales expedidos a los suscriptores, a petición de estos o cuando se tenga indicios de que ha ocurrido alguno de los eventos previstos en el artículo 37 de la ley 527 de 1999.
j) En desarrollo de lo previsto en el literal b del artículo 29 de la ley 527 de 1999, la entidad deberá contar con un equipo de personas, una infraestructura física y tecnológica y unos procedimientos y sistemas de seguridad, adecuados para garantizar las exigencias del DEC. 1747 de 2000 art. 8.
CERTIFICADOS DIGITALES
Un certificado es aquel que otorga una entidad de certificación una vez controla la correcta configuración del proceso de encriptación de los mensajes, y de comprobar los datos de la empresa solicitante. Este certificado se concede a una entidad cuyas referencias han sido comprobadas, para garantizar que efectivamente quien recibe los datos encriptados es quien debe recibirlos realmente. Garantizando así la confidencialidad, integridad, autenticidad y demás elementos que requiere la seguridad en Internet.
Al tenor del Decreto 1747 de 2000, un certificado emitido por una entidad de certificación autorizada, además de estar firmado digitalmente por ésta, debe contener por lo menos lo siguiente:
· Nombre, dirección y domicilio del suscriptor.
· Identificación del suscriptor nombrado en el certificado.
· El nombre, la dirección y el lugar donde realiza actividades la entidad de certificación.
· La clave pública del usuario.
· La metodología para verificar la firma digital del suscriptor impuesta en el mensaje de datos.
· El número de serie del certificado.
· Fecha de emisión y expiración del certificado.