Lima, jueves 21 de junio de 2001

EP

UB

LICA DEL P E

PREPUBLICACION
R

DIARIO OFICIAL

Pg. 1

Director: Manuel Jess Orbegozo

Lima, jueves 21 de junio de 2001

Ministerio de Justicia

PREPUBLICACIN
Reglamento de la Ley de Firmas y Certificados Digitales Ley N 27269

Las opiniones y sugerencias podrn ser remitidas por escrito a la Direccin Nacional de Asuntos Jurdicos del Ministerio de Justicia, sito en la Sede del Ministerio de Justicia, (mdulo 14), Jr. Scipin Llona N 350 Miraflores, Lima 18 - Per, Central Telefnica: 440-4310, o va Correo Electrnico a: jespinoz@minjus.gob.pe, hasta el 4 de julio de 2001.

SEPARA ARAT SEPARATA ESPECIAL

Pg. 2

PREPUBLICACION

Lima, jueves 21 de junio de 2001

PROYECTO DE REGLAMENTO DE LA LEY DE FIRMAS Y CERTIFICADOS DIGITALES. LEY. N 27269

TTULO I NORMAS GENERALES CAPTULO I Artculo 1.- Objeto El presente Reglamento regula la utilizacin de firmas electrnicas en mensaje de datos y documentos electrnicos, generadas bajo la Infraestructura Oficial de Firma Electrnica comprendiendo el rgimen de acreditacin y supervisin de las entidades de certificacin, as como de las entidades de registro o verificacin, establecidas en la Ley N 27269 -Ley de Firmas y Certificados Digitales-, modificada en su Artculo 11 por la Ley N 27310, en adelante se denominar la Ley. Cualquier otra firma electrnica podr tener los mismos efectos que los de las firmas generadas bajo la Infraestructura Oficial de Firma Electrnica, siempre que la autoridad administrativa competente apruebe su utilizacin conforme a lo establecido en el presente Reglamento. Artculo 2.- Principio de la autonoma de la voluntad Las disposiciones contenidas en el presente Reglamento no restringen la autonoma privada para el uso de otras firmas electrnicas generadas fuera de la Infraestructura Oficial de Firmas Electrnicas. Artculo 3.- Rgimen de servicios de certificacin La prestacin de servicios de certificacin as como los de registro o verificacin se realiza en el rgimen de libre competencia. Artculo 4.- Definiciones Para efectos del presente Reglamento, entindase por: Registro.- Incorporacin de una entidad de certificacin o de una entidad de registro o verificacin, a la Infraestructura Oficial de Firma Electrnica como resultado del proceso de acreditacin. Acreditacin.- Proceso a travs del cual la autoridad administrativa competente, previo cumplimiento de las exigencias establecidas en la Ley, faculta a las entidades solicitantes reguladas en el presente Reglamento a prestar los servicios solicitados en el marco de la Infraestructura Oficial de Firma Electrnica. Documento Electrnico.- Conjunto de datos basados en bits o impulsos electromagnticos, elaborados, generados, transmitidos, comunicados y archivados a travs de medios electrnicos, pticos o cualquier otro anlogo. Mensaje de datos.- Es la informacin generada, transmitida, recibida, archivada, comunicada por medios electrnicos, pticos o cualquier otro anlogo; tales como, el Intercambio Electrnico de Datos (EDI, por sus siglas en ingls), el correo electrnico, el telegrama, el tlex, el telefax, entre otros. Firma electrnica.- Cualquier smbolo basado en medios electrnicos utilizado o adoptado por una parte con la intencin precisa de vincularse, autenticar y garantizar la integridad de un documento electrnico o un mensaje de datos cumpliendo todas o algunas de las funciones caractersticas de una firma manuscrita. Se incluye dentro de esta definicin a la firma o signatura informtica. Infraestructura Oficial de Firma Electrnica.- Sistema confiable, acreditado, regulado, y supervisado por la autoridad administrativa competente constituido por programas, equipos, estndares, polticas, procesos, procedimientos u otros recursos que permiten la generacin de firmas electrnicas y que garantizan la autenticacin e integridad de los documentos electrnicos. Criptografa asimtrica.- Es una tcnica basada en el uso de un par de claves nicas; una clave privada y una clave pblica relacionadas matemticamente en-

tre s de tal manera que una no pueda operar sin la otra y de tal forma que las personas que conocen la clave pblica no puedan derivar de ella la clave privada. Autenticacin.- Proceso tcnico que permite determinar la identidad de la persona que emite un mensaje de datos firmado electrnicamente, vinculndolo con dicho mensaje; este proceso no otorga certificacin notarial ni fe pblica. Integridad.- Caracterstica que indica que un mensaje de datos o un documento electrnico no han sido alterados desde la transmisin por el emisor hasta su recepcin por el destinatario. Destinatario.- Persona designada por el emisor para recibir un mensaje de datos o un documento electrnico, siempre y cuando no acte a ttulo de intermediario. Firma digital.- Aquella firma electrnica que utiliza una tcnica de criptografa asimtrica y que tiene la finalidad de asegurar la integridad del mensaje de datos a travs de un cdigo de verificacin, as como la vinculacin entre el titular de la firma digital y el mensaje de datos remitido. Titular de firma digital.- Persona natural a quien se le vincula de manera exclusiva con un mensaje de datos firmado digitalmente utilizando su clave privada. Por excepcin, en el caso de firmas digitales generadas a travs de agentes automatizados, se considera titular de la firma digital a la persona natural o jurdica titular del certificado digital a partir del cual se generan dichas firmas digitales. Agente automatizado.- Procesos y equipos programados para atender requerimientos predefinidos y dar una respuesta automtica sin intervencin humana. Par de claves.- En un sistema de criptografa asimtrica, comprende una clave privada y su correspondiente clave pblica, ambas asociadas matemticamente. Clave pblica.- En un sistema de criptografa asimtrica, es aquella usada por el receptor de un mensaje de datos para verificar la firma digital puesta en dicho mensaje y que puede ser conocida por cualquier persona. Clave privada.- En un sistema de criptografa asimtrica, es aquella que se emplea para generar una firma digital sobre un mensaje de datos y es mantenida en reserva por el titular de la firma digital. Cdigo de verificacin.- Secuencia de bits de longitud fija obtenida como resultado de procesar un mensaje de datos con un algoritmo, de tal manera que: (1) El mensaje de datos produzca siempre el mismo cdigo de verificacin cada vez que se le aplique dicho algoritmo. (2) Sea improbable, a travs de medios tcnicos, que el mensaje de datos pueda ser derivado o reconstruido a partir del cdigo de verificacin producido por el algoritmo. (3) Sea improbable que, por medios tcnicos, se pueda encontrar dos mensajes de datos que produzcan el mismo cdigo de verificacin al usar el mismo algoritmo. Bit.- (Binary Digit) Dgito simple del sistema binario, que representa una unidad mnima de almacenamiento de datos o informacin en un sistema informtico o de cmputo. Certificado digital.- Documento electrnico generado y firmado digitalmente por una entidad de certificacin el cual vincula un par de claves con una persona natural o jurdica confirmando su identidad. Titular de certificado digital.- Persona natural o jurdica a quien se le atribuye de manera exclusiva un certificado digital. Infraestructura Oficial de Firma Digital.- Sistema confiable, acreditado, regulado, y supervisado por la autoridad administrativa competente en el marco de la Infraestructura Oficial de Firma Electrnica mediante el uso de tecnologa de firma digital, en la que partici-

Lima, jueves 21 de junio de 2001

PREPUBLICACION

Pg. 3

pan entidades de certificacin y entidades de registro o verificacin acreditadas ante la autoridad administrativa competente. Autoridad Administrativa Competente.- Organismo pblico responsable de acreditar a las entidades de certificacin y a las entidades de registro o verificacin, de reconocer los estndares tecnolgicos aplicables en la Infraestructura Oficial de Firma Electrnica, de supervisar dicha Infraestructura, as como la reglamentacin y prestacin de servicios de valor aadido relacionados con la misma y las otras funciones sealadas en el presente Reglamento o aquellas que requiera en el transcurso de sus operaciones. Entidad de Certificacin.- Persona jurdica que presta servicios de emisin, gestin, cancelacin u otros servicios inherentes a la certificacin digital. Asimismo, puede asumir las funciones de registro o verificacin. Entidad de Registro o Verificacin.- Persona jurdica encargada del levantamiento de datos, la comprobacin de stos respecto a un solicitante de certificado digital, la identificacin y autenticacin del suscriptor de una firma digital, la aceptacin y autorizacin de las solicitudes para la emisin de certificados digitales, as como de la aceptacin y autorizacin de las solicitudes de cancelacin de certificados digitales. Declaracin de Prcticas de Certificacin.- Conjunto de polticas y procedimientos que sigue una entidad de certificacin para la prestacin de sus servicios. Depsito de certificados digitales.- Sistema de almacenamiento y recuperacin de certificados digitales, as como de la informacin relativa a stos, disponible por medios telemticos. Medios Telemticos.- Conjunto de bienes y elementos tcnicos informticos que en unin con las telecomunicaciones permiten la generacin, procesamiento, transmisin, comunicacin y archivo de datos e informacin. Neutralidad Tecnolgica.- Principio que fomenta la creacin y uso de diversas tecnologas, sin preferir, restringir, ni discriminar a ninguna de ellas. Tiempo Universal Coordinado (UTC).- Hora relacionada con el Meridiano de Greenwich. Servicio de Valor Aadido.- Servicio complementario a las funciones de certificacin, verificacin o registro al interior de la Infraestructura Oficial de Firma Electrnica. CAPTULO II VALIDEZ Y EFECTOS JURDICOS DE LAS FIRMAS Y DOCUMENTOS ELECTRNICOS Artculo 5.- Validez de las firmas electrnicas Para efectos de la manifestacin de voluntad, las firmas electrnicas aadidas o asociadas lgicamente a un mensaje de datos tienen la misma validez y eficacia jurdica que las firmas manuscritas, siempre que vinculen e identifiquen al firmante y garanticen la autenticacin e integridad de los documentos electrnicos. Artculo 6.- Firmas en la Infraestructura Oficial de Firma Electrnica Toda firma electrnica aadida o asociada lgicamente a un mensaje de datos y generada bajo la Infraestructura Oficial de Firma Electrnica, cumple con lo dispuesto en el Artculo 5 del presente Reglamento. Artculo 7.- Documentos Firmados Electrnicamente como medio de prueba Los documentos firmados electrnicamente podrn ser ofrecidas como prueba en toda clase de procesos o procedimientos. Artculo 8.- Presunciones acerca de las firmas electrnicas bajo la Infraestructura Oficial de Firma Electrnica Las disposiciones y presunciones del presente Reglamento no excluyen el cumplimiento de las formalidades

especficas requeridas para los actos jurdicos y el otorgamiento de fe pblica. Trantndose de documentos firmados electrnicamente con firmas generadas bajo la Infraestructura Oficial de Firma Electrnica, se presume, salvo prueba en contrario, que el documento fue firmado por su titular. Artculo 9.- Conservacin de documentos electrnicos Cuando el usuario lo requiera o la legislacin exija que los documentos, registros o informaciones sean conservados, este requisito tratndose de mensajes de datos o documentos firmados electrnicamente, queda satisfecho cuando se cumplan las siguientes condiciones: a) Que sean accesibles para su posterior consulta. b) Que sean conservados con su formato original de generacin, transmisin, recepcin u otro formato que reproduzca en forma demostrable la autenticacin e integridad del documento electrnico, en concordancia con la legislacin de la materia. c) Que sea conservado todo dato que permita determinar el origen, destino, fecha y hora del envo y recepcin, en concordancia con la legislacin de la materia. TTULO II DE LA INFRAESTRUCTURA OFICIAL DE FIRMA DIGITAL CAPTULO I ASPECTOS GENERALES Artculo 10.- Tecnologas de firmas electrnicas al interior de la Infraestructura Oficial de Firma Electrnica La Infraestructura Oficial de Firma Electrnica se puede basar en las siguientes tecnologas de firmas electrnicas: a) Tecnologas de firmas digitales, sobre la cual se basa la Infraestructura Oficial de Firma Digital. b) Otras tecnologas de firmas electrnicas que sean aprobadas por la autoridad administrativa competente de acuerdo con el principio de neutralidad tecnolgica. Artculo 11.- Elementos de la Infraestructura Oficial de Firma Digital La Infraestructura Oficial de Firma Digital est constituida por: a) Procedimientos de certificacin basados en estndares internacionales o compatibles a los empleados internacionalmente, de acuerdo con lo establecido por la autoridad administrativa competente. b) El soporte lgico o conjunto de instrucciones para los equipos de cmputo y comunicaciones, los elementos fsicos y dems componentes adecuados a los procedimientos de certificacin y a las condiciones de seguridad adicionales, comprendidas en los estndares sealados en el literal a). c) Personal competente para la conduccin de los procedimientos de certificacin y el mantenimiento de la Infraestructura Oficial de Firma Digital. d) Sistema de gestin que permita el mantenimiento de las condiciones sealadas en los literales anteriores, as como la seguridad, confidencialidad, transparencia y no-discriminacin en la prestacin de sus servicios. e) Autoridad Administrativa Competente, as como entidades de certificacin y entidades de registro o verificacin debidamente acreditadas. Artculo 12.- Estndares aplicables bajo la Infraestructura Oficial de Firma Digital Los procedimientos de certificacin comprendidos en la Infraestructura Oficial de Firma Digital deben estar basados sobre los estndares tcnicos internacionales vigentes que aseguren las funciones exigidas en el Artculo 2 de la Ley y la interoperabilidad. La autoridad administrativa competente determinar los estndares compatibles aplicando el principio de neutralidad tecnolgica con la necesidad de cumplir los requisitos mencionados en el prrafo anterior.

Pg. 4
CAPTULO II DE LA FIRMA DIGITAL

PREPUBLICACION

Lima, jueves 21 de junio de 2001

Artculo 18.- Invalidez de la firma digital Una firma digital generada bajo la Infraestructura Oficial de Firma Digital pierde validez si es utilizada: a) En fines distintos para el que fue extendido el certificado digital. b) En operaciones que superen el valor para el cual fue autorizado. c) Cuando el certificado haya sido cancelado conforme a lo establecido en el Captulo IV del presente Ttulo. CAPTULO III DEL CERTIFICADO DIGITAL Artculo 19.- Requisitos para obtener un certificado digital Para la obtencin de un certificado digital el solicitante deber acreditar lo siguiente: a) Tratndose de personas naturales, tener plena capacidad de ejercicio de sus derechos civiles. b) Tratndose de personas jurdicas, estar inscritas en el registro correspondiente, solicitado por la autoridad administrativa competente. Artculo 20.- Especificaciones adicionales para ser titular de un certificado digital Para ser titular de un certificado digital adicionalmente se deber cumplir con: Entregar la informacin solicitada por la entidad de certificacin o la entidad de registro o verificacin, asumiendo responsabilidad por la veracidad y exactitud de la informacin proporcionada, sin perjuicio de la respectiva comprobacin. En el caso de personas naturales, la solicitud del certificado digital y el registro o verificacin de su identidad son estrictamente personales. La persona natural solicitante se constituir en titular del certificado digital y de las firmas digitales que se generen. Para el caso de personas jurdicas, la solicitud del certificado digital del cual sta ser titular y el registro o verificacin de su identidad deben ser realizados a travs de un representante debidamente acreditado. Conjuntamente con la solicitud debe indicarse el representante, persona natural, al cual se le asignar la facultad de generar y usar la clave privada, sealando para tal efecto las atribuciones y los poderes de representacin correspondientes. Dicha persona natural ser el titular de las firmas digitales. Tratndose de certificados digitales solicitados por personas jurdicas para su utilizacin a travs de agentes automatizados, la titularidad del certificado digital y de las firmas digitales generadas a partir de dicho certificado digital corresponder a la persona jurdica. Artculo 21 .- Procedimiento para ser titular de un certificado digital Para el caso de personas naturales, stas debern presentar una solicitud a la entidad de certificacin o a la entidad de registro o verificacin, segn sea el caso; dicha solicitud deber estar acompaada de toda la informacin requerida por la declaracin de prcticas de certificacin o en la declaracin de prcticas de registro. La entidad de registro o verificacin deber comprobar la identidad del solicitante a travs de su documento nacional de identidad, su pasaporte o su carn de extranjera. En el caso de una persona jurdica, la solicitud deber ser presentada por la persona facultada para tal fin, debiendo demostrar que la persona jurdica se encuentra debidamente inscrita en el registro correspondiente, acreditando la veracidad de la informacin comprendida en su solicitud. Asimismo, deber presentar toda la informacin requerida por la declaracin de prcticas de certificacin de la entidad de certificacin. Artculo 22.- Obligaciones del titular de certificado digital a) Actualizar permanentemente la informacin proveda tanto a la entidad de certificacin como a la entidad de registro o verificacin, asumiendo responsabilidad por la veracidad y exactitud de sta.

Artculo 13.- Firmas digitales generadas bajo la Infraestructura Oficial Las Firmas digitales que gozan de las presunciones establecidas en los Artculos 6 y 7 del presente Reglamento son las generadas a partir de certificados digitales: a) Emitidos conforme a lo dispuesto en el presente Reglamento por entidades de certificacin acreditadas ante la autoridad administrativa competente. b) Incorporados a la Infraestructura Oficial de Firma Digital bajo acuerdos de certificacin cruzada, conforme al Artculo 48 del presente Reglamento. c) Reconocidos al amparo de acuerdos de reconocimiento mutuo suscritos por la autoridad administrativa competente conforme al Artculo 46 del presente Reglamento. d) Emitidos por entidades de certificacin extranjeras que hayan sido incorporados a la Infraestructura Oficial de Firma Digital conforme al Artculo 47 del presente Reglamento. Artculo 14.- Caractersticas de la firma digital Las caractersticas mnimas de la firma digital generadas bajo la Infraestructura Oficial de Firma Digital son: a) Se genera al cifrar el cdigo de verificacin de un mensaje de datos usando la clave privada del titular del certificado digital. b) Es nica al titular de la firma digital y a cada mensaje de datos firmado por ste. c) Es susceptible de ser verificada usando la clave pblica del titular de la firma digital. d) Su generacin est bajo el control exclusivo del titular de la firma digital. e) Est aadida o asociada lgicamente al mensaje de datos de tal manera que es posible detectar si la firma digital o el mensaje de datos ha sido alterado. Artculo 15.- Funciones de la firma digital Dadas las caractersticas sealadas en el Artculo anterior, tcnicamente la firma digital debe garantizar: a) Que el mensaje de datos fuera firmado con la clave privada del titular de la firma digital. b) La integridad del mensaje de datos firmado digitalmente, dado que cualquier alteracin en el mensaje de datos o en la firma digital puede ser detectada. c) Que el titular de la firma digital no pueda repudiar o desconocer un mensaje de datos que ha sido firmado digitalmente usando su clave privada, dado que sta se mantiene bajo su control exclusivo. Artculo 16.- Del titular de la firma digital Dentro de la Infraestructura Oficial de Firma Digital, la responsabilidad sobre los efectos jurdicos generados por la utilizacin de una firma digital corresponde al titular del certificado digital. Tratndose de personas naturales, stas son titulares del certificado y de las firmas digitales que se generen a partir de aqul, incluyendo las firmas digitales que genere a travs de agentes automatizados. En el caso de personas jurdicas, son stas las titulares del certificado digital, y sus representantes los titulares de la firma digital, con excepcin de las firmas digitales que se generen a travs de agentes automatizados, situacin en la cual las personas jurdicas son titulares del certificado y las firmas digitales generadas a partir de stos. Artculo 17.- Obligaciones del titular de la firma digital Las obligaciones del titular de la firma digital son: a) Entregar informacin veraz bajo su responsabilidad. b) Mantener el control y la reserva de la clave privada bajo su responsabilidad. c) Observar las condiciones establecidas por la entidad de certificacin para la utilizacin del certificado digital y la generacin de firmas digitales.

Lima, jueves 21 de junio de 2001

PREPUBLICACION

Pg. 5

b) Solicitar de inmediato la cancelacin de su certificado digital en caso de que la reserva sobre la clave privada se haya visto comprometida, bajo responsabilidad. c) Observar permanentemente las condiciones establecidas por la entidad de certificacin para la utilizacin del certificado digital. Artculo 23.- Contenido del certificado digital Los certificados digitales emitidos dentro de la Infraestructura Oficial de Firma Digital debern contener como mnimo lo establecido en el Artculo 7 de la Ley. La entidad de certificacin podr incluir, a pedido del solicitante del certificado digital, informacin adicional siempre y cuando la entidad de registro o verificacin compruebe fehacientemente la veracidad de sta. Artculo 24.- Perodo de vigencia El periodo de vigencia de los certificados digitales comienza y finaliza en las fechas indicadas en l, salvo en los supuestos de cancelacin conforme al Artculo 9 de la Ley. CAPTULO IV DE LA CANCELACIN DE CERTIFICADOS DIGITALES Artculo 25.- Causales de cancelacin del certificado digital a) Por solicitud del titular sin previa justificacin, siendo necesaria para tal efecto la aceptacin y autorizacin de la entidad de certificacin o la entidad de registro o verificacin. La misma que deber ser aceptada y autorizada como mximo dentro de las 36 horas siguientes a su presentacin, si en el plazo indicado la entidad no se pronuncia, se entender la cancelacin del certificado. c) Por revocacin. d) Por expiracin del plazo de vigencia. e) Por el cese de operaciones de la entidad de certificacin que lo emiti. f) Por resolucin judicial que lo ordene. g) Por muerte, interdiccin civil judicialmente declarada, declaracin de ausencia o de muerte presunta. Artculo 26.- Cancelacin del certificado digital a solicitud de su titular La solicitud de cancelacin de un certificado digital puede ser realizada por su titular o a travs de un representante debidamente acreditado; pudiendo realizarse mediante documento electrnico firmado digitalmente, de acuerdo con los procedimientos definidos en cada caso por las entidades de certificacin. El titular del certificado digital est obligado a solicitar la cancelacin al tomar conocimiento de la ocurrencia de alguna de las siguientes circunstancias: a) Por exposicin, puesta en peligro o uso indebido de la clave privada. b) Por deterioro, alteracin o cualquier otro hecho u acto que afecte la clave privada. Si en estos casos el titular no solicita la cancelacin, ser responsable por los daos o perjuicios generados a terceros de buena fe que confiaron en el contenido del certificado. Artculo 27.- Cancelacin por revocacin Para efectos de la cancelacin de oficio o revocacin de certificados digitales, la entidad de certificacin debe contar con procedimientos detallados en su declaracin de prcticas de certificacin. La revocacin tambin puede ser solicitada por un tercero que informe fehacientemente de alguno de los supuestos de revocacin contenidos en los numerales 1) y 2) del Artculo 10 de la Ley. La revocacin debe indicar el momento desde el cual se aplica precisando como mnimo: minutos y segundos. La revocacin no puede ser aplicada retroactivamente y debe ser notificada al titular del certificado digital. La entidad de certificacin debe inmediatamente incluir la

revocacin del certificado en la relacin de certificados digitales cancelados firmada digitalmente por ella. CAPTULO V DE LA ENTIDAD DE CERTIFICACIN Artculo 28.- De las funciones de la Entidad de Certificacin Las entidades de certificacin tienen las siguientes funciones: a) Emitir certificados digitales manteniendo su numeracin correlativa. b) Cancelar certificados digitales. c) Gestionar certificados digitales emitidos en el extranjero. d) Las sealadas en el Artculo 32 del presente Reglamento, en caso opten por asumir las funciones de entidad de registro o verificacin. Adicionalmente las entidades de certificacin podrn brindar otros servicios inherentes a los de certificacin, cuyas caractersticas y procedimientos estarn contenidos en su declaracin de prcticas de certificacin. Artculo 29.- De las obligaciones de la Entidad de Certificacin Las entidades de certificacin tienen las siguientes obligaciones: a) Cumplir con su declaracin de prcticas de certificacin. b) Informar a los usuarios todas las condiciones de emisin y de uso de sus certificados digitales, incluyendo las referidas a la cancelacin de stos. c) Mantener el control y la reserva de la clave privada que emplea para firmar los certificados digitales que emite, bajo responsabilidad. d) Mantener depsito de los certificados digitales emitidos y cancelados, consignando su fecha de emisin y vigencia. e) Publicar permanente e ininterrumpidamente por medios telemticos la relacin de los certificados digitales emitidos y cancelados. f) Cancelar el certificado digital a solicitud de su titular o, de ser el caso, a solicitud del titular de la firma digital; o cuando advierta que la informacin contenida en el certificado digital fuera inexacta o hubiera sido modificada, o que el titular incurriera en alguna de las causales previstas en el Artculo 25 del presente Reglamento. g) Mantener la confidencialidad de la informacin relativa a los solicitantes y titulares de certificados digitales, limitando su empleo a las necesidades propias del servicio de certificacin, salvo orden judicial o pedido expreso del titular del certificado digital. h) Brindar todas las facilidades al personal autorizado por la autoridad administrativa competente para efectos de supervisin y auditora. i) Mantener la informacin relativa a los certificados digitales que hubieren sido cancelados, por un perodo mnimo de diez (10) aos a partir de su cancelacin. j) Cumplir los trminos bajo los cuales obtuvo la acreditacin, as como los requerimientos adicionales que establezca la autoridad administrativa competente conforme a lo establecido en el presente Reglamento. k) Informar y solicitar autorizacin a la autoridad administrativa competente para realizara acuerdos de certificacin cruzada que proyecte celebrar, as como los trminos bajo los cuales dichos acuerdos se suscribiran. l) Informar y solicitar autorizacin a la autoridad administrativa competente para efectos del reconocimiento de certificados emitidos por entidades extranjeras. m) Cumplir sus funciones dentro de los plazos sealados en su declaracin de prcticas de certificacin. n) Contratar los seguros o garantas bancarias necesarias que permitan indemnizar al titular por los daos que pueda ocasionar como resultado de las actividades de certificacin.

Pg. 6

PREPUBLICACION

Lima, jueves 21 de junio de 2001

Artculo 30.- Respaldo financiero Las entidades de certificacin acreditadas debern contar con el respaldo econmico suficiente para operar bajo la Infraestructura Oficial de Firma Digital, as como para afrontar el riesgo de responsabilidad por daos, de conformidad con lo dispuesto en la Ley y el presente Reglamento. La autoridad administrativa competente definir los criterios para evaluar el cumplimiento de este requisito. Artculo 31.- Del cese de operaciones de la Entidad de Certificacin La entidad de certificacin cesa sus operaciones en el marco de la Infraestructura Oficial de Firma Digital, en los siguientes casos: a) Por decisin unilateral comunicada ante la autoridad administrativa competente. b) Por extincin de su personera jurdica. c) Por revocacin de su registro. d) Por disposicin de la autoridad administrativa competente. e) Por orden judicial. f) Por declaracin de insolvencia, siempre que en el plazo fijado por ley, no se levante dicho estado. Para los supuestos contemplados en los incisos a) y b) la autoridad administrativa competente establecer el plazo en el cual las entidades de certificacin notificarn tanto a aqulla como a los titulares de certificados digitales el cese de sus actividades. La autoridad administrativa competente deber adoptar las medidas necesarias para preservar las obligaciones contenidas en los incisos d), g) e i) del Artculo 29 del presente Reglamento. La autoridad administrativa competente reglamentar los procedimientos para hacer pblico el cese de operaciones de las entidades de certificacin. Los certificados digitales emitidos por una entidad de certificacin cuyas operaciones han cesado deben ser cancelados a partir del da, hora, minuto y segundo en que se aplica el cese. El uso de certificados digitales con posteriodad a su cancelacin implica la prdida de las presunciones descritas en los Artculos 6 y 7 del presente Reglamento. CAPTULO VI DE LA ENTIDAD DE REGISTRO O VERIFICACIN Artculo 32.- De las funciones de la Entidad de Registro o Verificacin Las entidades de registro o verificacin tienen las siguientes funciones: a) Identificar al solicitante del certificado digital mediante el levantamiento de datos y la comprobacin de la informacin brindada por aqul. b) Aceptar, autorizar segn sea el caso, la conformidad de las solicitudes de emisin, modificacin o cancelacin de certificados digitales, comunicndolo a la entidad de certificacin bajo responsabilidad. Artculo 33.- De las obligaciones de la Entidad de Registro o Verificacin Las entidades de registro o verificacin acreditadas tienen las siguientes obligaciones: a) Cumplir los procedimientos declarados para la prestacin del servicio. b) Determinar objetivamente la veracidad de la informacin proporcionada por el solicitante de certificado digital bajo responsabilidad. c) Mantener la confidencialidad de la informacin relativa a los solicitantes y titulares de certificados digitales limitando su empleo a las necesidades propias del servicio de registro o verificacin, salvo orden judicial o pedido expreso del titular del certificado digital. d) Recoger nicamente informacin o datos personales de relevancia para la emisin de los certificados. e) Informar y solicitar autorizacin a la autoridad administrativa, especialmente en el supuesto previsto en el Artculo 47 del presente Reglamento.

f) Acreditar domicilio en el Per. g) Contratar los seguros necesarios que le permitan indemnizar por los daos que puedan ocasionar como resultado de las actividades de registro o verificacin. Artculo 34.- Respaldo financiero Las entidades de registro o verificacin acreditada debern contar con el respaldo econmico suficiente para operar bajo la Infraestructura Oficial de Firma Digital; as como para afrontar el riesgo de responsabilidad por daos, de conformidad con lo dispuesto en la Ley y por el presente Reglamento. La autoridad administrativa competente definir los criterios para evaluar el cumplimiento de este requisito. Artculo 35.- Del cese de operaciones de la entidad de registro o verificacin La entidad de registro o verificacin cesa de operar en el marco de la Infraestructura Oficial de Firma Digital: a) Por decisin unilateral comunicada ante la autoridad administrativa competente, asumiendo la responsabilidad del caso por dicha decisin. b) Por extincin de su personera jurdica. c) Por revocacin de su registro. d) Por sancin dispuesta por la autoridad administrativa competente. e) Por orden judicial. f) Por declaracin de insolvencia, siempre que en el plazo fijado por ley no se levante dicho estado. Para los supuestos contenidos en los incisos a) y b), la entidad de registro o verificacin debe notificar el cese de sus actividades a la autoridad administrativa competente con una anticipacin mnima que ser establecida por sta, debiendo dejar constancia ante aqulla de los mecanismos utilizados para preservar el cumplimiento de lo dispuesto en el inciso c) del Artculo 33 del presente Reglamento. TTULO III DE LA AUTORIDAD ADMINISTRATIVA COMPETENTE CAPTULO I FUNCIONES DE LA AUTORIDAD ADMINISTRATIVA COMPETENTE Artculo 36.- Funciones La autoridad administrativa competente tiene las siguientes funciones: a) Acreditar entidades de certificacin. b) Acreditar entidades de registro o verificacin. c) Supervisar a las entidades de certificacin y a las entidades de registro o verificacin, estableciendo de ser el caso las sanciones correspondientes. d) Cancelar las acreditaciones otorgados a las entidades de certificacin y a las entidades de registro o verificacin conforme a lo dispuesto en el presente Reglamento. e) Publicar ininterrumpidamente la relacin de entidades acreditadas. f) Aprobar el empleo de estndares tcnicos internacionales dentro de la Infraestructura Oficial de Firma Electrnica y determinar la compatibilidad de otros estndares tcnicos con los estndares internacionales. g) Establecer los requisitos mnimos para la prestacin de los servicios de certificacin y los servicios de registro o verificacin. h) Definir los criterios para evaluar la suficiencia del respaldo financiero con el que deben contar las entidades de certificacin y las entidades de registro o verificacin . i) Aprobar la utilizacin de otras tecnologas de firmas electrnicas distintas a las firmas digitales, previa verificacin del cumplimiento de los requisitos establecidos en el Artculo 2 de la Ley y regular su utilizacin al interior de la Infraestructura Oficial de Firma Electrnica. j) Suscribir acuerdos de reconocimiento mutuo con autoridades administrativas extranjeras que cum-

Lima, jueves 21 de junio de 2001

PREPUBLICACION

Pg. 7

plan funciones similares a las de la autoridad administrativa competente. k) Dictar medidas cautelares. l) Autorizar la realizacin de certificaciones cruzadas con entidades de certificacin extranjeras. m) Delegar a terceros bajo sus rdenes y responsabilidad las funciones que determine. n) Fomentar y coordinar el uso y desarrollo de la Infraestructura oficial de firma electrnica al interior de las entidades del sector pblico nacional. o) Aprobar y regular los servicios de valor aadido al interior de la Infraestructura Oficial de Firma Electrnica. CAPTULO II RGIMEN DE ACREDITACIN DE ENTIDADES DE CERTIFICACIN Y DE LAS ENTIDADES DE REGISTRO O VERIFICACIN Artculo 37.- Acreditacin de Entidades de Certificacin Las entidades que soliciten su acreditacin como entidades de certificacin ante la autoridad administrativa competente deben contar con los elementos de la Infraestructura Oficial de Firma Digital sealados en los incisos a), b), c) y d) del Artculo 11, y someterse al procedimiento de evaluacin comprendido en el Artculo 41 del presente Reglamento. Cuando alguno de los elementos sealados en el prrafo precedente sea administrado por un tercero, la entidad solicitante deber demostrar su vinculacin con aqul, asegurando la viabilidad de sus servicios bajo dichas condiciones, y la disponibilidad de estos elementos para la evaluacin y supervisin que la autoridad administrativa competente considere necesarias. La autoridad administrativa competente, de ser el caso, precisar los trminos bajo los cuales se rigen estos supuestos del servicio de certificacin. Artculo 38.- Presentacin de la solicitud de acreditacin de Entidad de Certificacin La solicitud de acreditacin de entidades de certificacin debe presentarse a la autoridad administrativa competente, observando lo dispuesto en el Artculo anterior y adjuntando lo siguiente: a) Acreditacin de la existencia y vigencia de la persona jurdica mediante los instrumentos pblicos o norma legal respectivos, as como las facultades del representante. b) Acreditar domicilio en el pas. c) Declaracin jurada de contar con la infraestructura e instalaciones necesarias para la prestacin del servicio, as como la declaracin jurada de aceptacin de la visita comprobatoria de la autoridad administrativa competente. d) Declaracin de prcticas de certificacin y documentacin que comprenda el sistema de gestin implementado conforme a los incisos a) y d) del Artculo 11 del presente Reglamento. e) Declaracin jurada del cumplimiento de los requisitos sealados en los incisos b) y c) del Artculo 11 del presente Reglamento; informacin que ser comprobada por la autoridad administrativa competente. f) Documentacin que acredite el cumplimiento de lo dispuesto en el Artculo 29 y 30 del presente Reglamento y dems que la autoridad administrativa competente seale. Artculo 39.- Acreditacin de Entidades de Registro o Verificacin Las entidades que soliciten su acreditacin como entidades de registro o verificacin ante la autoridad administrativa competente deben contar con procedimientos para la prestacin de sus servicios. Artculo 40.- Presentacin de la solicitud de acreditacin de Entidades de Registro o Verificacin La solicitud para la acreditacin de entidades de registro o verificacin debe presentarse a la autoridad administrativa competente, observando lo dispuesto en el Artculo anterior y adjuntando la informacin y documentos siguientes:

a) Acreditacin de la existencia y vigencia de la persona jurdica mediante los instrumentos pblicos o norma legal respectivos, as como las facultades del representante. b) Acreditar domicilio en el pas. c) Declaracin jurada de contar con la infraestructura e instalaciones necesarias para la prestacin del servicio, as como la declaracin jurada de aceptacin de la visita comprobatoria de la autoridad administrativa competente. d) Declaracin de prcticas de verificacin o registro. e) Declaracin jurada del cumplimiento de los requisitos sealados en los Artculos 33 y 34 del presente Reglamento. Artculo 41.- Procedimiento Administrativo de la Acreditacin Admitida la solicitud, la autoridad administrativa competente proceder a la evaluacin del cumplimiento de los requisitos establecidos en la Ley como en el presente Reglamento. La evaluacin de los requisitos de competencia tcnica de la entidad de certificacin solicitante podr ser realizada directamente por la autoridad administrativa competente, o a travs de terceros, o reconociendo aquellas realizadas en el extranjero por otras autoridades extranjeras que cumplan funciones equivalentes a las de la autoridad administrativa competente, y siempre que los requisitos evaluados por ellas sean equivalentes a los requisitos comprendidos en el presente Reglamento. Artculo 42.- Reconocimiento de evaluaciones en el extranjero La autoridad administrativa competente reconocer las evaluaciones sobre los requisitos de competencia tcnica de la entidad de certificacin solicitante realizadas en el extranjero siempre y cuando se cumplan con las normas establecidas por la autoridad administrativa competente en el marco del presente Reglamento. Artculo 43.- Subsanacin de observaciones Dentro del procedimiento podrn subsanarse las deficiencias tcnicas observadas durante la evaluacin. Las entidades podrn solicitar la suspensin del procedimiento a fin de implementar las medidas necesarias para superar estas dificultades. Si culminada la etapa de evaluacin, se mantienen observaciones, se denegar el Registro y se archivar el procedimiento. Artculo 44.- Costos del Registro Las entidades solicitantes asumirn los costos por la tramitacin del procedimiento, y aquellos por evaluacin, auditora y dems previstos por la autoridad administrativa competente. Artculo 45.- Cancelacin de la Acreditacin La cancelacin de la acreditacin procede por: a) Solicitud de la entidad de certificacin o de la entidad de verificacin o registro. b) Extincin de su personera jurdica. c) Sancin impuesta por la autoridad administrativa competente o por decisin judicial. d) Por declaracin de insolvencia, siempre que en el plazo fijado por ley no se levante dicho estado. CAPTULO III DE LOS CERTIFICADOS EMITIDOS POR ENTIDADES EXTRANJERAS Artculo 46.- Acuerdos de reconocimiento mutuo La autoridad administrativa competente podr suscribir acuerdos de reconocimiento mutuo con entidades similares, a fin de reconocer la validez de certificados digitales otorgados en el extranjero y extender la validez de la Infraestructura Oficial de Firma Digital. Los acuerdos de reconocimiento mutuo deben garantizar en forma equivalente las funciones exigidas por la Ley como en el presente Reglamento.

Pg. 8

PREPUBLICACION

Lima, jueves 21 de junio de 2001

Artculo 47.- Reconocimiento de certificados emitidos por entidades extranjeras La autoridad administrativa competente podr reconocer certificados digitales emitidos por entidades extranjeras, siempre y cuando se garantice el cumplimiento de las obligaciones y responsabilidades establecidas en el presente Reglamento y en las normas de la Infraestructura Oficial de Firma Digital u otro mecanismo que apruebe la autoridad administrativa competente. Para los efectos de lo dispuesto en el prrafo precedente, la entidad extranjera deber comunicar a la autoridad administrativa competente el nombre de aquellas entidades que autorizarn las solicitudes de emisin de certificados digitales as como la gestin de los mismos. La autoridad administrativa competente emitir las normas que aseguren el cumplimiento de lo establecido en el presente Artculo; as como los mecanismos adecuados de informacin a los agentes del mercado. Artculo 48.- Certificacin cruzada Las entidades de certificacin acreditadas pueden realizar certificaciones cruzadas con entidades de certificacin extranjeras a fin de reconocer los certificados digitales que stas emitan en el extranjero incorporndolos como suyos dentro de la Infraestructura Oficial de Firma Digital de conformidad con el Artculo 11 de la Ley, siempre y cuando obtengan autorizacin previa de la autoridad administrativa competente. Las entidades que presten servicios de acuerdo a lo establecido en el prrafo precedente, asumirn responsabilidad de daos y perjuicios por la gestin de tales certificados. Las entidades de certificacin acreditadas que realicen certificaciones cruzadas conforme al primer prrafo del presente Artculo, garantizarn ante la autoridad administrativa competente que los certificados digitales reconocidos han sido emitidos bajo requisitos equivalentes a los exigidos en la Infraestructura Oficial de Firma Digital, y que cumplen las funciones sealadas en el Artculo 2 de la Ley. CAPTULO IV SUPERVISIN DE ENTIDADES ACREDITADAS Artculo 49 - Facultades de supervisin La autoridad administrativa competente tiene la facultad de verificar la correcta prestacin de los servicios de certificacin as como de los servicios de registro o verificacin y el cumplimiento de las obligaciones legales y tcnicas por parte de las entidades acreditadas que operen bajo la Infraestructura Oficial de Firma Electrnica, as como la facultad de verificar el cumplimiento de las disposiciones establecidas en la Ley, en el presente Reglamento, y en las resoluciones emitidas por la autoridad administrativa competente. Artculo 50 - Facultad sancionadora La autoridad administrativa competente tiene la facultad de tipificar los hechos u omisiones que configuran infracciones administrativas dentro de la Infraestructura Oficial de Firma Electrnica, y tiene la facultad de imponer las sanciones que correspondan, dentro de su mbito de competencia y con las limitaciones contenidas en la Ley y en el presente Reglamento. Artculo 51 - Infracciones aplicables Las infracciones administrativas se clasifican en leves, graves y muy graves. Dependiendo de su gravedad, las infracciones administrativas son pasibles de las siguientes sanciones: a) Faltas leves: amonestacin escrita o multa de hasta 25 Unidades Impositivas Tributarias. b) Faltas graves: multa de ms de 25 hasta 100 Unidades Impositivas Tributarias. c) Faltas muy graves: multa de ms de 100 hasta 200 Unidades Impositivas Tributarias. La determinacin de una falta muy grave podr implicar adems la cancelacin de la acreditacin otorgada. En estos casos, la entidad cuya acreditacin haya sido

cancelada slo podr obtenerla luego de transcurridos tres aos desde su la cancelacin. Las sanciones previstas en el presente Artculo sern establecidas e impuestas por la autoridad administrativa competente mediante resolucin motivada, pudiendo disponer la publicacin de la misma. Artculo 52 - Gradacin de la sancin La autoridad administrativa competente determinar la gradacin de la sancin a imponerse, aplicando los siguientes criterios: a) Naturaleza y gravedad de la infraccin. b) El dao causado o grado de afectacin generado por la infraccin en los usuarios. c) El beneficio obtenido con la infraccin, a fin de evitar, en lo posible, que dicho beneficio sea superior al monto de la sancin. d) La reincidencia y la reiterancia. e) La conducta de la entidad acreditada infractora a lo largo del procedimiento de imposicin de sancin, que comprende la continuacin de la prctica materia del procedimiento de infracciones y especialmente la disposicin para reparar el dao o mitigar sus efectos. f) La intencionalidad del infractor. g) Necesidad de dictar medidas cautelares. h) Cualquier otro que la autoridad administrativa competente deba imponer. Disposiciones Finales Artculo Primero.- Designada la autoridad administrativa competente, conforme a lo establecido en el Artculo 15 de la Ley, esta deber contar con la asesora permanente de una Comisin Multisectorial integrada por representantes de instituciones pblicas y privadas. La Comisin antes indicada que estar bajo la presidencia de un representante de la autoridad administrativa competente, actuar como rgano asesor y consultivo de dicha autoridad administrativa. Artculo Segundo.- Las entidades del Sector Pblico Nacional pueden suscribir acuerdos de cooperacin con sus similares a nivel mundial o con instituciones de cooperacin, para recibir apoyo, asesora y financiamiento para el desarrollo del comercio electrnico en general, las firmas electrnicas, las firmas y certificados digitales en particular. Artculo Tercero.- Las entidades de certificacin deben establecer procedimientos giles y sencillos para que sus usuarios puedan presentar directamente reclamaciones por la prestacin de sus servicios, las mismas que debern ser atendidas en el ms breve plazo. La autoridad administrativa competente aprueba o reforma estos procedimientos y regula todo lo relativo a las reclamaciones. Agotada la va previa de la reclamacin ante la entidad de certificacin, procede recurrir en va administrativa ante la autoridad administrativa competente, con sujecin a la Ley N 27444 - Ley del Procedimiento Administrativo General. La autoridad administrativa competente determinar todos aquellos procedimientos necesarios para la aplicacin del presente Reglamento. En los casos que proceda la reclamacin, adoptar las medidas correctivas pertinentes y sancionar a la empresa. Artculo Cuarto.- Los mensajes de datos y los documentos transmitidos electrnicamente cuyo emisor se identifica mediante firmas electrnicas pueden ser convertidos a microformas a solicitud de parte interesada de acuerdo al Decreto Legislativo N 681 y dems normas respectivas. Se incluyen las comunicaciones, mensajes y documentos con cualquier tipo de firma electrnica; as como los certificados digitales, reportes de envo y recepcin de mensajes, y aquellos documentos usados en actividades de certificacin, verificacin o registro. Los notarios y fedatarios con Certificado de Idoneidad Tcnica expiden testimonios, copias fieles, legalizan y autentican documentos y mensajes de datos de acuerdo a la Ley de la materia. 25613