Cargando el Contenido del Documento | |
Por favor espere... |
RESOLUCIÓN 26930 DE 2000 (Octubre 26) "Por la cual se fijan los estándares para la autorización y funcionamiento de las entidades de certificación y sus auditores" EL SUPERINTENDENTE DE INDUSTRIA Y COMERCIO en uso de las facultades legales, en especial las conferidas en los artículos 29, 34, 41 y 42 de la ley 527 de 1999 y los decretos 2153 de 1992, 2269 de 1993 y 1747 de 2000, y CONSIDERANDO: En los términos del artículo 41 de la ley 527 de 1999, se faculta a la Superintendencia de Industria y Comercio para autorizar la actividad de las entidades de certificación en el territorio nacional, así como velar por su funcionamiento y la prestación eficiente del servicio. En el numeral 11 del artículo 41 de la ley 527 de 1999 y en el 21 del artículo 2 del decreto 2153 de 1992, se faculta a la Superintendencia de Industria y Comercio para impartir instrucciones sobre el adecuado cumplimiento de las normas a las cuales deben sujetarse las entidades de certificación. En el artículo 34 de la ley 527 de 1999 se determina que la Superintendencia de Industria y Comercio autorizará la cesación de actividades de las entidades de certificación. En el numeral 10 del artículo 2 del decreto 2153 de 1992 y en el numeral 5 del artículo 41 de la ley 527 de 1999, se determina que la Superintendencia de Industria y Comercio podrá solicitar a las personas naturales o jurídicas el suministro de información, datos, informes, libros y papeles de comercio que se requieran para el correcto ejercicio de sus funciones. Ver art. 34 Ley 527 de 1999 Ver art. 41 Ley 527 de 1999 Ver art. 41 num. 5 Ley 527 de 1999RESUELVE: CAPITULO I ARTICULO 1° . Autorización de entidad de certificación cerrada. La persona que solicite autorización como entidad de certificación cerrada, según lo dispuesto en el numeral 8 del artículo 1 del decreto 1747 de 2000, deberá demostrar el cumplimiento de las condiciones establecidas en el artículo 29 de la ley 527 de 1999 y en los artículos 3 y 4 del decreto 1747 de 2000, para lo cual deberá adjuntar la siguiente información:
ARTICULO 2° . Cambio de servicios ofrecidos en entidad de certificación cerrada. Cuando la entidad de certificación cerrada pretenda ofrecer nuevos servicios como entidad de certificación dentro del entorno cerrado, según lo dispuesto en el numeral 8 del artículo 1 del decreto 1747 de 2000, deberá solicitar autorización previa ante esta Superintendencia.ARTICULO 3° . Remisión de información por cambio o actualización de datos en entidad de certificación cerrada. De conformidad con el artículo 21 del decreto 1747 de 2000, cuando alguno de los datos de la entidad de certificación cerrada que reposan en esta Superintendencia cambie, la entidad de certificación deberá remitir la información correspondiente al cambio, dentro de los 10 días posteriores a la modificación.En caso de modificación de la información o inclusión de un representante legal o administrador, el nuevo represente legal o administrador deberá diligenciar el formato y remitirlo a esta Superintendencia. ARTICULO 4° . Información periódica de entidad de certificación cerrada. La entidad de certificación cerrada deberá almacenar la información de toda su actividad y enviar a esta Superintendencia dentro de los 10 primeros días del inicio de cada trimestre (enero-marzo, abril-junio, julio-septiembre, octubre-diciembre), un archivo de texto, con la siguiente información sobre la actividad del trimestre inmediatamente anterior, discriminada mes a mes:
ARTICULO 5° . Cesación de actividades en la entidad de certificación cerrada. Conforme lo dispuesto en el artículo 34 de la ley 527 de 1999 y el artículo 19 del decreto 1747 de 2000, las entidades de certificación cerradas deberán solicitar la autorización de cesación de una o más actividades ante esta superintendencia.Una vez autorizada la cesación, la entidad de certificación deberá concluir el ejercicio de las actividades autorizadas para cesar, en la forma y siguiendo el cronograma que para el efecto se señale. ARTICULO 6° . Publicidad de la entidad de certificación cerrada. En cualquier publicidad o en cualquier medio en el cual la entidad de certificación ofrezca los servicios deberá indicar que cuenta con autorización de la Superintendencia de Industria y Comercio para operar,según el siguiente texto : "Entidad de certificación cerrada autorizada por la Superintendencia de Industria y Comercio". CAPITULO II SECCIÓN I ARTICULO 7° . Autorización de entidad de certificación abierta. La persona que solicite autorización como entidad de certificación abierta según lo dispuesto en numeral 9 del artículo 1 del decreto 1747 de 2000, deberá demostrar que la actividad está prevista en el objeto social principal, el cumplimiento de las condiciones establecidas en los artículos 29 de la ley 527 de 1999 y 5, 6, 7, 8, 9, 10, 11 del decreto 1747 de 2000 y los estándares, planes y procedimientos de seguridad establecidos en la sección V de esta resolución, adjuntando la siguiente información:1. Formato debidamente diligenciado por cada uno de los administradores o representantes legales adjuntando:
2. Copia del acto que le otorga la personería jurídica, y copia de las normas que le otorgan la calidad de representante legal de una entidad pública o de notario o cónsul, o certificado de existencia y representación legal. Cuando se trate de persona extranjera se deberá acreditar el cumplimiento de lo señalado en el libro II titulo XIII del código de comercio y el artículo 48 del código de procedimiento civil, según lo dispuesto en el numeral 1 artículo 5 del decreto 1747 de 2000. 3. Informe de auditoría en los términos del artículo 15 de esta resolución. 4. Estados financieros certificados con forme a la ley y con una antigüedad no superior a seis meses, según lo dispuesto en el numeral 1 del artículo 7 del decreto 1747 de 2000. 5. Copia del documento que acredite que se han constituido las garantías de acuerdo a lo dispuesto en el artículo 8 del decreto 1747 de 2000. 6. Documento con descripción detallada de la infraestructura, procedimientos, recursos según lo previsto en el artículo 9 del decreto 1747 de 2000. El cumplimiento de los requisitos deberá acreditarse según lo previsto en la sección V del capítulo II de esta resolución. En caso de que la infraestructura sea prestada por un tercero, copia de los contratos o convenios con estos, en idioma español. 7. Declaración de prácticas de certificación, en adelante DPC. SECCIÓN II ARTICULO 8° . Cambio de servicios ofrecidos en entidad de certificación abierta. Cuando la entidad de certificación abierta pretenda ofrecer nuevos servicios, deberá solicitar autorización previa ante esta Superintendencia, adjuntando el informe de auditoría correspondiente al nuevo servicio.ARTICULO 9° . Remisión de información por cambio o actualización de datos en entidad de certificación abierta. De conformidad con el artículo 21 del decreto 1747 de 2000, cuando alguno de los datos de la entidad de certificación abierta que reposan en esta Superintendencia cambie, la entidad de certificación deberá remitir la información correspondiente al cambio, dentro de los 10 días posteriores a la modificación.En caso de modificación de la información o inclusión de un representante legal o administrador, el nuevo represente legal o administrador deberá remitirlo a esta Superintendencia adjuntando:
ARTICULO 10° . Información periódica de entidad de certificación abierta. La entidad de certificación abierta deberá almacenar la información de toda su actividad y enviar a esta Superintendencia dentro de los 10 primeros días del inicio de cada trimestre (enero-marzo, abril-junio, julio-septiembre, octubre-diciembre), un archivo de texto con la siguiente información sobre la actividad del trimestre inmediatamente anterior, discriminada mes a mes:
ARTICULO 11° . Actualización anual de información de estados financieros, garantías y e informe de auditoría. La entidad de certificación abierta deberá remitir a esta Superintendencia los estados financieros de fin ejercicio, el informe de auditoría contemplado en el numeral 3 del artículo 7 de esta resolución, dentro de los primeros 15 días corrientes de febrero de cada año calendario.ARTICULO 12° . Suspensión programada del servicio. Durante cada año calendario, las entidades de certificación podrán cesar temporalmente sus actividades por un lapso máximo de 3 días continuos o discontinuos, para mantenimiento del sistema. Cualquier otra suspensión deberá ser solicitada y aprobada por la Superintendencia de Industria y Comercio, previa justificación.La suspensión permitida deberá informarse a los usuarios con por lo menos con 15 días de antelación y constancia del aviso remitirse a esta Entidad, a mas tardar el primer día de la suspensión. ARTICULO 13° . Publicidad de la entidad de certificación abierta. En cualquier publicidad o en cualquier medio en el cual la entidad de certificación ofrezca los servicios deberá indicar que cuenta con autorización de la Superintendencia de Industria y Comercio para operar,según el siguiente texto : "Entidad de certificación abierta autorizada por la Superintendencia de Industria y Comercio". SECCIÓN III ARTICULO 14° . Firmas auditoras. La firma auditora nacional que realice el informe de auditoría referido en el artículo 12 del decreto 1747 de 2000, deberá ser un organismo de inspección del sistema nacional de normalización, certificación y metrología acreditada para realizar inspecciones en sistemas informáticos de seguridad y contabilidad, de conformidad con lo señalado en el decreto 2269 de 1993, la resolución 140 de 1994 de la Superintendencia de Industria y Comercio y las disposiciones que los sustituyan o complementen.Estas firmas deberán cumplir, además de lo requerido en el decreto 2269 de 1993, lo siguiente: 1. Estar compuesta por un grupo interdisciplinario de profesionales que incluirá por lo menos 1 ingeniero de sistemas especializado en sistemas de seguridad, 1 contador y 1 abogado con amplios conocimientos en el tema, quienes deberán cumplir con las normas vigentes relacionadas con cada una de las profesiones. 2. Acreditar experiencia de la firma o de uno de sus socios o funcionarios, en auditorías en sistemas informáticos de seguridad y contabilidad por lo menos de 3 años. 3. Acreditar capacidad para certificar el cumplimiento de los requisitos técnicos y estándares exigidos en la ley 527 de 1999, el decreto 1747 de 2000 y esta resolución. ARTICULO 15° . Contenido obligatorio del informe de auditoría. Tratándose de entidades extranjeras que obren en las condiciones previstas en el artículo 12 del decreto 1747 de 2000, los informes de auditoría deberán anexar certificación que demuestre que está facultada para realizar este tipo de auditorías en su país de origen.El informe de auditoria deberá indicar por lo menos:
SECCIÓN IV ARTICULO 16° . Autorización de cesación de entidades de certificación abiertas Conforme lo dispuesto en el artículo 34 de la ley 527 de 1999 y el artículo 19 del decreto 1747 de 2000, las entidades de certificación abiertas deberán solicitar autorización de cesación de una o más actividades ante esta Superintendencia, adjuntando la siguiente información:
ARTICULO 17° . Procedimiento para la cesación de actividades. Una vez la Superintendencia autorice la cesación de actividades, la entidad de certificación deberá informar a todos los suscriptores, mediante dos avisos publicados en diarios de amplia circulación nacional, con un intervalo de 15 días, sobre:
En todo caso los suscriptores podrán solicitar la revocación y el reembolso equivalente al valor del tiempo de vigencia restante del certificado, si lo solicitan dentro de los dos (2) meses siguientes a la segunda publicación. La terminación de la actividad o actividades se hará en la forma y siguiendo el cronograma que para el efecto señale la Superintendencia. SECCIÓN V ARTICULO 18° . Estándares. Para los efectos previstos en el artículo 27 del decreto 1747 de 2000, admitirán siguientes estándares:
a) Algoritmos definidos en el "draft Representation of Public Keys and Digital Signatures in Internet X.509 Public Key Infrastructure Certificates" desarrollado por el PKIX Working group del Internet Engineering Task Force (IETF), excluyendo el MD2. b) El algoritmo y la longitud de la clave seleccionados deben garantizar la unicidad de la firma digital de los documentos que se firmen de acuerdo con los usos permitidos del certificado. Esta longitud debe ser superior o igual a 1024 bits en el algoritmo de RSA o su equivalente. Longitudes inferiores serán admitidas, pero no menores de 512 bits o su equivalente, previa justificación de garantía de la unicidad. ARTICULO 19° . Declaración de Prácticas de Certificación. La declaración de prácticas de certificación a que se hace referencia en el artículo 6 del decreto 1747 de 2000, deberá estar accequible desde el "homepage" de la entidad de certificación, disponible al público en todo momento y tendrá que incluir:
ARTICULO 20° . Sistema confiable. Para los efectos del artículo 2 del decreto 1747 de 2000 un sistema será confiable cuando cumpla con lo señalado en los artículos 21, 22 y 23 de la presente resolución.ARTICULO 21° . Políticas, planes y procedimientos de seguridad. La entidad debe definir y poner en práctica después de autorizada las políticas, planes y procedimientos de seguridad tendientes a garantizar la prestación continua de los servicios de certificación, que deben ser revisados y actualizados periódicamente. Estos deben incluir al menos:
ARTICULO 22° . Corta fuegos (Firewall). La entidad de certificación debe aislar los servidores de la red interna y externa mediante la instalación de un corta fuegos o firewall, en el cual deben ser configuradas las políticas de acceso y alertas pertinentes.La red del centro de cómputo debe estar ubicada en segmentos de red físicos independientes de la red interna del sistema, garantizando que el corta fuegos sea el único elemento que permita el acceso lógico a los sistemas de certificación. ARTICULO 23° . Sistemas de emisión y administración de certificados. Los sistemas de emisión y administración de certificados deben prestar en forma segura y continua el servicio. En todo caso las entidades deberán cumplir al menos con una de las siguientes condiciones:
CAPITULO III ARTICULO 24° . Contenido de los certificados. Los certificados deberán cumplir con lo señalado en el numeral 4 del artículo 18 y con los requisitos exigidos en artículo 35 de la ley 527 de 1999.ARTICULO 25° . Contenido de los certificados recíprocos. Los certificados recíprocos señalados en el parágrafo del artículo 14 del decreto 1747 de 2000 deben contener al menos la siguiente información:
ARTICULO 26° . Vigencia. La presente resolución rige a partir de la fecha de su publicación en diario oficial.PUBLÍQUESE Y CÚMPLASE Dada en Bogotá, D.C. a los El Superintendente de Industria y Comercio, EMILIO JOSÉ ARCHILA PEÑALOSA |