PARTE III: FIRMAS DIGITALES, CERTIFICADOS Y ENTIDADES DE
CERTIFICACION
CAPITULO I: Firmas digitales
Artículo 28. Atributos
jurídicos de una firma digital.
Cuando una firma digital haya sido fijada en un mensaje de datos
se presume que el suscriptor de aquella tenía la intención de
acreditar ese mensaje de datos y de ser vinculado con el contenido
del mismo.
Parágrafo. El uso de una firma digital tendrá la misma fuerza y
efectos que el uso de una firma manuscrita, si aquélla incorpora los
siguientes atributos:
- Es única a la persona que la usa.
- Es susceptible de ser verificada.
- Está bajo el control exclusivo de la persona que la usa.
- Está ligada a la información o mensaje, de tal manera que si
éstos son cambiados, la firma digital es invalidada.
- Está conforme a las reglamentaciones adoptadas por el Gobierno
Nacional.
CAPITULO II: Entidades de
certificación
Artículo 29. Características y requerimientos de las
entidades de certificación.
Podrán ser entidades de certificación, las personas jurídicas,
tanto públicas como privadas, de origen nacional o extranjero y las
cámaras de comercio, que previa solicitud sean autorizadas por la
Superintendencia de Industria y Comercio y que cumplan con los
requerimientos establecidos por el Gobierno Nacional, con base en
las siguientes condiciones:
- Contar con la capacidad económica y financiera suficiente para
prestar los servicios autorizados como entidad de certificación;
- Contar con la capacidad y elementos técnicos necesarios para la
generación de firmas digitales, la emisión de certificados sobre la
autenticidad de las mismas y la conservación de mensajes de datos en
los términos establecidos en esta ley;
- Los representantes legales y administradores no podrán ser
personas que hayan sido condenadas a pena privativa de la libertad,
excepto por delitos políticos o culposos; o que hayan sido
suspendidas en el ejercicio de su profesión por falta grave contra
la ética o hayan sido excluidas de aquélla. Esta inhabilidad estará
vigente por el mismo período que la ley penal o administrativa señale
para el efecto.
Artículo 30. Actividades
de las entidades de certificación.
Las entidades de certificación autorizadas por la Superintendencia
de Industria y Comercio para prestar sus servicios en el país,
podrán realizar, entre otras, las siguientes actividades:
- Emitir certificados en relación con las firmas digitales de
personas naturales o jurídicas.
- Emitir certificados sobre la verificación respecto de la
alteración entre el envío y recepción del mensaje de datos.
- Emitir certificados en relación con la persona que posea un
derecho u obligación con respecto a los documentos enunciados en
los literales f) y g) del artículo 26 de la presente ley.
- Ofrecer o facilitar los servicios de creación de firmas
digitales certificadas.
- Ofrecer o facilitar los servicios de registro y estampado
cronológico en la generación, transmisión y recepción de mensajes
de datos.
- Ofrecer los servicios de archivo y conservación de mensajes
de datos.
Artículo 31. Remuneración por la prestación de servicios.
La remuneración por los servicios de las entidades de
certificación serán establecidos libremente por éstas.
Artículo 32. Deberes de
las entidades de certificación.
Las entidades de certificación tendrán, entre otros, los siguientes
deberes:
- Emitir certificados conforme a lo solicitado o acordado con el
suscriptor;
- Implementar los sistemas de seguridad para garantizar la
emisión y creación de firmas digitales, la conservación y archivo
de certificados y documentos en soporte de mensaje de datos;
- Garantizar la protección, confidencialidad y debido uso de la
información suministrada por el suscriptor;
- Garantizar la prestación permanente del servicio de entidad de
certificación;
- Atender oportunamente las solicitudes y reclamaciones hechas
por los suscriptores;
- Efectuar los avisos y publicaciones conforme a lo dispuesto en
la ley;
- Suministrar la información que le requieran las entidades
administrativas competentes o judiciales en relación con las firmas
digitales y certificados emitidos y en general sobre cualquier
mensaje de datos que se encuentre bajo su custodia y administración;
- Permitir y facilitar la realización de las auditorías por
parte de la Superintendencia de Industria y Comercio;
- Elaborar los reglamentos que definen las relaciones con el
suscriptor y la forma de prestación del servicio;
- Llevar un registro de los certificados.
Artículo 33. Terminación
unilateral.
Salvo acuerdo entre las partes, la entidad de certificación
podrá dar por terminado el acuerdo de vinculación con el suscriptor
dando un preaviso no menor de noventa (90) días. Vencido este
término, la entidad de certificación revocará los certificados que
se encuentren pendientes de expiración.
Igualmente, el suscriptor podrá dar por terminado el acuerdo de
vinculación con la entidad de certificación dando un preaviso no
inferior a treinta (30) días.
Artículo 34. Cesación de actividades por parte de las entidades
de certificación.
Las entidades de certificación autorizadas pueden cesar en el
ejercicio de actividades, siempre y cuando hayan recibido
autorización por parte de la Superintendencia de Industria y
Comercio.
CAPITULO III: Certificados
Artículo 35. Contenido de los certificados.
Un certificado emitido por una entidad de certificación
autorizada, además de estar firmado digitalmente por ésta, debe
contener por lo menos lo siguiente:
- Nombre, dirección y domicilio del suscriptor.
- Identificación del suscriptor nombrado en el certificado.
- El nombre, la dirección y el lugar donde realiza actividades
la entidad de certificación.
- La clave pública del usuario.
- La metodología para verificar la firma digital del suscriptor
impuesta en el mensaje de datos.
- El número de serie del certificado.
- Fecha de emisión y expiración del certificado.
Artículo 36. Aceptación
de un certificado.
Salvo acuerdo entre las partes, se entiende que un suscriptor
ha aceptado un certificado cuando la entidad de certificación, a
solicitud de éste o de una persona en nombre de éste, lo ha guardado
en un repositorio.
Artículo 37. Revocación
de certificados.
El suscriptor de una firma digital certificada, podrá solicitar
a la entidad de certificación que expidió un certificado, la
revocación del mismo. En todo caso, estará obligado a solicitar
la revocación en los siguientes eventos:
- Por pérdida de la clave privada.
- La clave privada ha sido expuesta o corre peligro de que se le
dé un uso indebido.
Si el suscriptor no solicita la revocación del certificado en
el evento de presentarse las anteriores situaciones, será responsable
por las pérdidas o perjuicios en los cuales incurran terceros de
buena fe exenta de culpa que confiaron en el contenido del
certificado.
Una entidad de certificación revocará un certificado emitido por
las siguientes razones:
- A petición del suscriptor o un tercero en su nombre y
representación.
- Por muerte del suscriptor.
- Por liquidación del suscriptor en el caso de las personas
jurídicas.
- Por la confirmación de que alguna información o hecho contenido
en el certificado es falso.
- La clave privada de la entidad de certificación o su sistema de
seguridad ha sido comprometido de manera material que afecte la
confiabilidad del certificado.
- Por el cese de actividades de la entidad de certificación, y
- Por orden judicial o de entidad administrativa competente.
Artículo 38. Término de
conservación de los registros.
Los registros de certificados expedidos por una entidad de
certificación deben ser conservados por el término exigido en la
ley que regule el acto o negocio jurídico en particular.
CAPITULO IV: Suscriptores
de firmas digitales
Artículo 39. Deberes de los
suscriptores.
Son deberes de los suscriptores:
- Recibir la firma digital por parte de la entidad de
certificación o generarla, utilizando un método autorizado por ésta.
- Suministrar la información que requiera la entidad de
certificación.
- Mantener el control de la firma digital.
- Solicitar oportunamente la revocación de los certificados.
Artículo 40. Responsabilidad
de los suscriptores.
Los suscriptores serán responsables por la falsedad, error u
omisión en la información suministrada a la entidad de certificación
y por el incumplimiento de sus deberes como suscriptor.
CAPITULO V: Superintendencia
de Industria y Comercio
Artículo 41. Funciones
de la Superintendencia.
La Superintendencia de Industria y Comercio ejercerá las
facultades que legalmente le han sido asignadas respecto de las
entidades de certificación, y adicionalmente tendrá las siguientes
funciones:
- Autorizar la actividad de las entidades de certificación en el territorio nacional.
- Velar por el funcionamiento y la eficiente prestación del servicio por parte de las entidades de certificación.
- Realizar visitas de auditoría a las entidades de certificación.
- Revocar o suspender la autorización para operar como entidad de certificación.
- Solicitar la información pertinente para el ejercicio de sus funciones.
- Imponer sanciones a las entidades de certificación en caso de incumplimiento de las obligaciones derivadas de la prestación del servicio.
- Ordenar la revocación de certificados cuando la entidad de certificación los emita sin el cumplimiento de las formalidades legales.
- Designar los repositorios y entidades de certificación en los eventos previstos en la ley.
- Emitir certificados en relación con las firmas digitales de las entidades de certificación.
- Velar por la observancia de las disposiciones constitucionales y legales sobre la promoción de la competencia y prácticas comerciales restrictivas, competencia desleal y protección del consumidor, en los mercados atendidos por las entidades de certificación.
- Impartir instrucciones sobre el adecuado cumplimiento de las normas a las cuales deben sujetarse las entidades de certificación.
Artículo 42. Sanciones.
La Superintendencia de Industria y Comercio de acuerdo con el
debido proceso y el derecho de defensa, podrá imponer según la
naturaleza y la gravedad de la falta, las siguientes sanciones a
las entidades de certificación:
- Amonestación.
- Multas institucionales hasta por el equivalente a dos mil
(2.000) salarios mínimos legales mensuales vigentes, y personales
a los administradores y representantes legales de las entidades de
certificación, hasta por trescientos (300) salarios mínimos legales
mensuales vigentes, cuando se les compruebe que han autorizado,
ejecutado o tolerado conductas violatorias de la ley.
- Suspender de inmediato todas o algunas de las actividades de
la entidad infractora.
- Prohibir a la entidad de certificación infractora prestar
directa o indirectamente los servicios de entidad de certificación
hasta por el término de cinco (5) años.
- Revocar definitivamente la autorización para operar como
entidad de certificación.
CAPITULO VI: Disposiciones
varias
Artículo 43. Certificaciones
recíprocas.
Los certificados de firmas digitales emitidos por entidades de
certificación extranjeras, podrán ser reconocidos en los mismos
términos y condiciones exigidos en la ley para la emisión de
certificados por parte de las entidades de certificación nacionales,
siempre y cuando tales certificados sean reconocidos por una entidad
de certificación autorizada que garantice en la misma forma que lo
hace con sus propios certificados, la regularidad de los detalles
del certificado, así como su validez y vigencia.
Artículo 44. Incorporación
por remisión.
Salvo acuerdo en contrario entre las partes, cuando en un
mensaje de datos se haga remisión total o parcial a directrices,
normas, estándares, acuerdos, cláusulas, condiciones o términos
fácilmente accesibles con la intención de incorporarlos como parte
del contenido o hacerlos vinculantes jurídicamente, se presume que
esos términos están incorporados por remisión a ese mensaje de datos.
Entre las partes y conforme a la ley, esos términos serán
jurídicamente válidos como si hubieran sido incorporados en su
totalidad en el mensaje de datos.
Volver al inicio
Ir al anterior documento
Ir al siguiente documento
|