Artículos
 
   
 

REQUISITOS Y OBLIGACIONES DE LAS ENTIDADADES DECERTIFICACIÓN EN EL ECUADOR

En el Ecuadorpara que puedaoperar como Entidad de Certificación, debesolicitar al Consejo Nacional de Telecomunicaciones (CONATEL)un título habilitante, pero previamente, la empresa debe encontrarse legalmente estar establecida y representada en el país, además cumplir con todos los requisitos que lanormativa vigente de autorizaciones así lo exige.

Nuestra legislación ecuatoriana ha tomando como referenciala Ley Modelo de CNUDMI-UNCITRAL, dentro de la cual, se establecen requisitos legales y técnicos que deben cumplir todas aquellas empresas que deseen calificarse como (AC) entre los que se encuentran:

  • Requisitos legales:
    • Identificación y generales de ley del solicitante, socios y representantes con los certificados…:nombramientos, contratos de prestación de servicios, certificados de antecedentes penales, certificados profesionales, y certificados legales en general de acuerdo al tipo de servicio a prestar.
  • Requisitos técnicos:
    • Diagrama esquemático y descripción técnica detallada del sistema.
    • Descripción detallada de cada servicio propuesto y de los recursos e infraestructura disponibles para su prestación, cumpliendo con los requisitos de sitio seguro establecidos en el Art. 15 del presente reglamento.
    • Documentos de soporte que confirmen que se disponen de medidas para evitar la falsificación de certificados, y, en el caso que el Proveedor de Servicios de Certificación intervenga en la generación de claves criptográficas privadas, se garantice la seguridad y confidencialidad durante el proceso de generación de dichas claves

Nuestra Ley de Comercio Electrónico, ha puesto especial énfasis, para que dichas Entidades además de cumplir con todos los requisitos legales y técnicos que exige la normativa vigente, cumpla con ciertos requisitos quedemuestren solvencia técnica, logística y financiera. Sobre este punto, es importante mencionar que los requisitos que exige Ecuador son similares a Colombia.

Respecto ala capacidad económica y financiera suficiente para prestar los servicios autorizados como AC, se entendería como la liquidez o solvencia que debe tener la persona jurídica, para que en un futuro, si llegare a presentarse una eventual responsabilidad civil, contractual o extracontractual se cubracon su patrimonio.

Otro requisito muy importante, es contar con la capacidad técnica necesaria para la emisión de certificados sobre la autenticación de las firmas electrónicas.

Sobre este punto,la(AC) utilizará tecnología de punta y lo más importante debe teneraltos índices de seguridad, pero para que aquello se cumpla, toda Entidad de Certificación debe basarse y acatar laDeclaración de Prácticas de Certificación.

Por último, es oportuno mencionar, que en el Ecuador,hasta la presente fecha no existe ninguna Entidad acreditada por el CONATEL que preste el mencionadoservicio, por lo que aspiramos que pronto tengamos una empresa calificada.

Obligaciones delas Entidades de Certificación

Es importante manifestar, que las Entidades de Certificación, son aquellas que dan fe, que una determinada clave pública corresponde a un sujeto específico, mediante la expedición de un certificado.

Dentro de nuestra legislación ecuatoriana, al referirse a las Entidades de Certificación, se ha tomado como referencia la Ley Modelo de la CNUDMI/UNCITRAL, dentro de la cual, establece obligaciones que se debe cumplir, dentro de las cuales se encuentran las siguientes:

“Cuando un prestador de servicios de certificación preste servicios para apoyar una firma electrónica que pueda utilizarse como firma con efectos

jurídicos, ese prestador de servicios de certificación deberá:

a) actuar de conformidad con las declaraciones que haga respecto de

sus normas y prácticas;

b) actuar con diligencia razonable para cerciorarse de que todas las declaraciones importantes que haya hecho en relación con el ciclo vital del certificado o que estén consignadas en él son exactas y cabales;

c) proporcionar a la parte que confía en el certificado medios razonablementeaccesibles que permitan a ésta determinar mediante el certificado:

i) la identidad del prestador de servicios de certificación;

ii) que el firmante nombrado en el certificado tenía bajo su control los datos de creación de la firma en el momento en que se expidió el certificado;

iii) que los datos de creación de la firma eran válidos en la

fecha en que se expidió el certificado o antes de ella”

Dentro de las principales obligaciones que debe cumplir una (AC) se encuentranlas siguientes:

  • Garantizar al usuario la prestación permanente, inmediata, oportuna, ágil y segura del servicio de certificación.
  • Tener un respaldo de información relativo a los certificados, incluyendo un sitio seguro. Debe proteger las claves privadas contra el peligro de usurpación.
  • Mantener una publicación del estado de los certificados emitidos y una página web actualizada, para que los usuarios lopuedan utilizar.
  • Emitir certificados de acuerdo a las Políticas de Certificación que le sean aplicables.
  • Conservar registrada toda la información y documentación relativa a un certificado emitido por la (AC) por un plazo no inferior a 4 años contando desde la fecha de caducidad del mismo.
  • La información sobre los programas o equipos requeridos para acceder a registros o mensajes de datos deberá ser proporcionada a losusuarios de dichos registros o mensajes de datos, mediante medios electrónicos o físicos.

En tal virtud, una vez que obtenga el titulo habilitante, la (AC)está autorizada para emitir certificados en relación a claves criptográficas, ofrecer y facilitar los servicios de registroy recepción de datos, entre otras. Dicha Entidad expedirá certificados, producto del resultado de verificación que efectúa sobre la autenticidad, veracidad y legitimación de las claves criptográficas y la integridad de un mensaje de datos.

De otra parte, es oportuno mencionar que en Colombia existen dos clases de entidades de certificación:cerradas y abiertas.

“Las entidades de certificación cerradas son aquellas que ofrecen servicios propios sólo para el intercambio de mensajes entre la entidad y el suscriptor sin exigir remuneración por ello.La entidad de certificación abierta, es aquella que ofrece servicios propios de la entidad de certificación tales que (a) su uso no se limita al intercambio de mensajes entre la entidad y el suscriptor o (b) recibe remuneración por la prestación de servicios”. 

De lo que se colige,que los certificados digitales de la entidad cerrada, deberán indicar expresamente que sólo podrán ser usados entre la entidad emisora y el suscriptor.

Mientras que la abierta, lo que pretende es masificar el uso de los certificadosdigitales para las transacciones en la red, como es el caso de Certicámara de Confecámaras, que recibe una remuneración por la prestación de los servicios.

De otro parte,enEspaña existen dos Entidades que gestionan todo lo que se refiere a firma electrónica y son las: Entidades de Certificación y Autoridades de Registro.A su vez las dos se incluyen en una clasemás general de instituciones destinadas a generar confianza en todo el sistema de relaciones telemáticas que se avecina, conocidas como “Terceras partes de confianza”y abreviadamente por sus siglas inglesas TTP (Trusted Third Party) que incluyen las Autoridades de sellado de tiempo.

De entre las TTP en España, las más importantes sonlas Entidades de Certificación (AC),porque son Entidades independientes y de confianza que actúan como fedatariosde los certificadosque firman, responsabilizándose de su generación, publicación, revocación y suspensión, de dichos certificados.

En España existen varias Entidades de Certificación, entre las que se destacan Banesto,que emite certificados para SSL Y S/MIME (medios para garantizar la seguridad en las redes telemáticas), otra conocida es ACE (Autoridad de Certificación Española) que emite los mismos certificados quela anterior, pero su objetivo prioritario es emitir certificados SET, cuyasmedidas se seguridad son muy estrictas, tantoen lo que se refiere a aspectos físicos como por ejemplo al acceso físico a los equipos de firma), como en los aspectos técnicos (por ejemplo, el acceso remoto a los mismos equipos), o en los de gestión (es decir, los procedimientos administrativos y organizativos de la seguridad).

De otra parte, existe similitud en la legislación de España y Colombia, respecto a los procedimientos de seguridad que todaslas Autoridades deCertificación deben poseer para evitar falsificaciones de certificados.En tal virtud, la (AC)proporciona la Declaración de Prácticas de Certificación (Certification Practice Statement o CPS), el mismo que indica sus políticas y prácticas relativas a la seguridad y mantenimiento de los certificados, responsabilidades de la (AC) y obligaciones de los suscriptores de certificados de firma.

En el Ecuador,existe la Entidad de Certificación (AC) que se constituye en fedatario de certificados de firma electrónica yque presta ademásservicios de Sellado de tiempo, cuya función es establecer la hora y fecha exacta en que el mensaje de datos fue recibido por la Entidad de Certificacióno el tercero registrado por el CONATEL y la fecha y hora exacta en las que dicho mensaje de datos fue entregado al destinatario, además de las Entidades de Registro.

En conclusión, es claro observar, que la legislación ecuatoriana tiene mucha similitud con la Española y Colombiana en lo que se refiere a firma electrónica y Entidad de Certificación,ya que los mencionados países han tomado como referencia la Ley Modelo de la CDUDMI/UNCITRAL, para las firmas electrónicas.

Reglamento para la acreditación, registro y regulación de entidades habilitadas para prestar servicios de certificación de información y servicios relacionados. (Artículo 21) Registro Oficial196 de 23 de octubre del 2003

www. uncitral.org/spanish/texts/electcom/ML-ELECSIGNnew.pdf

Peña Valenzuela, Daniel. El Documento electrónico: revolución o cambio? Universidad Externado de Colombia. 2003

RIBAGORDA GARNACHO, Arturo. Sistema de certificación:la firma y el certificado digital”. Régimen Jurídico de Internet. Editorial La Ley. Madrid. 2002, p. 1332

 

 

Proasetel © 2003 - 2006 Derechos reservados :-: Sitio Diseñado por Metamorf