CONCEPTO FIRMA DIGITAL

1. La firma digital tendrá los mismos efectos que la firma escrita, siempre y cuando ella cumpla con el lleno de los requisitos establecidos en la ley y demás normas concordantes.
2. Con el fin de asociar la firma digital del mensaje del receptor, podrá existir una autoridad que certifique que la llave pública efectivamente le corresponde al emisor. La entidad certificadora es aquella que da fe que la clave pública le corresponde a un sujeto específico por medio de la expedición de un certificado que a su vez cumple con el lleno de los requisitos legalmente establecidos para tal fin. Este a su vez le es entregado al suscriptor una vez generado el par de llaves, siendo una la pública y la otra la privada, las cuales se utilizaran por el suscriptor para identificarse en internet.

BOBLIOGRAFIA: www.sic.gov.co

FIRMA DIGITAL EN COLOMBIA

Después de seis años de haber sido aprobado en Colombia el uso de la firma digital, esta forma de firmar ya se está comenzando a implementar.La firma digital es una tecnología que permite firmar un documento electrónico, como por ejemplo, un archivo de Office, de música, el envío de datos vía correo electrónico y mediante un formulario en Internet, entre otros.Por ser tan innovadora, muchas personas no entienden en qué consiste o la confunden con la firma escaneada, por lo tanto no la aprovechan. Pero lo cierto es que la firma digital existe y se hace necesaria cuando se maneja información, en el entorno electrónico, que tradicionalmente requiere firma manuscrita.Así lo han entendido entidades públicas como las Superintendencias Bancaria y de Salud, que a través de Circulares Externas (No. 027 de julio de 2004 y No. 011 de diciembre de 2004, respectivamente), han exigido a sus vigiladas la adquisición de firmas digitales para firmar información remitida a estos entes de control, a través de Internet.El Ministerio de Comercio, luego de crear la Ventanilla Única de Comercio Exterior para canalizar por Internet algunos trámites para las operaciones de importación y exportación, también exigió la firma digital. A través de Circular Externa No. 038 de junio de 2005, impuso su obtención a las Sociedades de Intermediación Aduanera – SIA-, a los Usuarios Aduaneros Permanentes – UAP- y a los Usuarios Altamente Exportadores –ALTEX-.Uno de los atributos de esta firma es ser única a quien la usa, es decir, que no puede haber una firma digital para más de una persona. Por lo tanto, quien debe cumplir con la firma de un documento electrónico, debe obtenerla individualmente. Si es el representante legal, o el revisor fiscal o el contador quien debe firmar, cada cual debe obtener su propia firma digital.La única entidad en Colombia que ofrece este producto es Certicámara S.A., autorizada por el gobierno para operar como Entidad de Certificación Abierta, es decir, está al servicio del público en general y cobra una tarifa por sus productos.Las entidades de certificación también son conocidas como “terceros de confianza” ya que no sólo expiden certificados con la firma digital sino que también permiten al receptor del documento firmado, verificar si el firmante es quien dice ser.Otra particularidad de esta firma sin tinta es que permite garantizar que el documento no ha sido alterado, garantía que no ofrece la firma manuscrita por ser técnicamente imposible.Si bien esta forma de firmar ha tomado fuerza en el marco del Gobierno Electrónico, ya es hora de que las empresas no esperen a que alguien se las imponga. Su utilidad en las comunicaciones comerciales electrónicas y en sus procesos internos es innegable. Un mensaje de correo electrónico sin firma digital es como un escrito sin firma. El campo del nombre del remitente es fácilmente manipulable y no es prueba de que el mensaje haya sido enviado por esa persona.Es importante resaltar el respeto que tanto las entidades mencionadas como otras que están implementando procesos con firma digital, le están dando a la Ley 527 de 1999 (puede consultarse esta norma en www.i-uris.com/leyes/ley/527.htm) mejor conocida como Ley de Comercio Electrónico, pero que en realidad regula la validez de los documentos electrónicos, sean o no comerciales. Ahora que ha despegado en forma, es momento de seguir el ejemplo y de seguir implementando esta firma para que, sin ser impuesta por una entidad del Gobierno, todos podamos comenzar a disfrutar sus beneficios.


www.i-uris.com

Expedición de certificados digitales de firma digital

Certificado de Representación de Empresa: se expide a los representantes legales de una persona jurídica o Entidad del Estado, o a un comerciante persona natural en el ámbito de su actividad profesional o mercantil con el fin de que se identifiquen como tales frente a terceras personas y puedan de esa manera comprometer jurídicamente a la Entidad a la que representan.Certificado de Pertenencia a Empresa: permite a una persona identificarse como perteneciente o vinculada a una organización empresarial o entidad del Estado, o como una persona que desempeña una determinada función o tiene una determinada relación respecto de la misma.Certificado de Profesional Titulado: se expide a personas naturales que hayan obtenido un título profesional debidamente reconocido en la República de Colombia o en un Estado Extranjero, y que hayan obtenido el correspondiente registro, licencia, colegiatura o tarjeta profesional requerido para el ejercicio de su profesión en la República de Colombia o en un Estado Extranjero. Este certificado permite al suscriptor identificarse ante terceros como profesional titulado. Certificado de Titular de Función Pública: certifican que una determinada persona natural ha afirmado: 1.Que ha sido nombrado o es titular legal del cargo de notario, cónsul, juez de la república, magistrado o registrador en la República de Colombia. 2. Que se encuentra en ejercicio del mismo. Certificado digital Persona Natural: Se expide a personas naturales nacionales o extranjeras que se han identificado plenamente ante Certicámara con documento(s) de identidad válido(s) y vigente(s) expedidos por la autoridad competente de la República de Colombia, o con documento(s) equivalente(s) expedido(s) por la autoridad competente de cualquier Estado Extranjero. Este certificado permite al suscriptor identificarse ante terceros como Persona Natural.

REGLAMENTACIÓN DEL USO DE LA FIRMA

VISTO: lo dispuesto por los artículos 129 de la Ley 16.002 de 24 de
noviembre de 1988, los artículos 694 a 697 de la Ley 16.736 de 5 de
enero de 1996 y el artículo 25 de la Ley 17.243 de 29 de junio de
2000, en cuanto prevén el uso de medios informáticos y telemáticos.
RESULTANDO: Que con la sanción del artículo 25 de la Ley 17.243
se reconoce el empleo de la firma digital y su eficacia jurídica para
otorgar seguridad a las transacciones electrónicas, promoviendo el
comercio electrónico seguro, de modo de permitir la identificación en
forma confiable de las personas que realicen transacciones
electrónicas.
Que asimismo, la sanción del artículo 129 de la ley 16.002 y de los
artículos 694 a 697 de la ley N° 16.736 impulsa la progresiva
despapelización del Estado, contribuyendo a mejorar su gestión,
facilitar el acceso de la comunidad a la información y posibilitar la
realización de trámites por Internet de forma segura.
CONSIDERANDO: Que resulta conveniente reglamentar las
disposiciones legales precitadas.
ATENTO: a lo precedentemente expuesto y a lo dispuesto por el
artículo 168 numeral 4° de la Constitución de la República.
EL PRESIDENTE DE LA REPÚBLICA
Actuando en Consejo de Ministros
DECRETA:
Artículo 1°: El presente decreto reglamenta el uso de la firma digital
y el reconocimiento de su eficacia jurídica.
Artículo 2°: Definiciones.- A los efectos de este Decreto, se
establecen las siguientes definiciones:
a) Firma Digital es el resultado de aplicar a un documento un
procedimiento matemático que requiere información de exclusivo
conocimiento del firmante, encontrándose ésta bajo su absoluto
control. La firma digital debe ser susceptible de verificación por
terceras partes, de manera tal que dicha verificación permita,
simultáneamente, identificar al firmante y detectar cualquier
alteración del documento digital posterior a su firma.
b) Prestador de servicios de certificación es una tercera parte que
expide certificados digitales, pudiendo prestar además, otros
servicios relacionados con la firma digital.
c) Certificado Digital es un documento digital firmado digitalmente
por un Prestador de servicios de certificación, que vincula la identidad
del titular del mismo con una clave pública y su correspondiente
clave privada.
d) Clave Privada es la clave generada por un proceso matemático,
que contiene datos únicos que el firmante utiliza para crear la firma
digital. Su conocimiento y control es exclusivo del firmante. Si el
firmante decidiera compartirla, se imputará como suyo todo aquello
que fuera realizado mediante el uso de la misma.
e) Clave pública es aquella clave generada por el mismo proceso
matemático que genera la clave privada. Contiene datos únicos que
permiten verificar la firma digital del firmante. Su conocimiento es
público.
f) Lista de Certificados Revocados de un prestador de servicios de
certificación es un archivo firmado digitalmente por éste, en el que
constan los números de serie y fecha de revocación de todos los
certificados revocados del Prestador de servicios de certificación.
g) Firmante o Signatario, es la persona física que cuenta con un
Certificado Digital que utiliza para firmar digitalmente.
h) Periodo de Validez, es el período de vigencia del Certificado
Digital.
Artículo 3°: Validez y eficacia de la firma digital.- La firma
digital tendrá idéntica validez y eficacia a la firma autógrafa, siempre
que esté debidamente autenticada por claves u otros procedimientos
seguros de acuerdo a la tecnología informática que:
1. garanticen que la firma digital se corresponde con el certificado
digital emitido por un prestador de servicios de certificación de firma
digital, que lo asocia con la identificación del signatario;
2. aseguren que la firma digital se corresponde con el documento
respectivo y que el mismo no fue alterado ni pueda ser repudiado; y
3. garanticen que la firma digital ha sido creada usando medios que
el signatario mantiene bajo su exclusivo control y durante la vigencia
del certificado digital.
Articulo 4°: Valor probatorio de la firma digital.- La firma digital
tendrá respecto al documento respectivo, idéntico valor probatorio al
que tiene la firma manuscrita con respecto al documento consignado
en papel, siempre que la misma haya sido creada mediante
mecanismos de clave pública y privada u otros procedimientos
acordes a la evolución de estándares tecnológicos internacionalmente
reconocidos como fiables que cumplan con las exigencias
establecidas en el artículo precedente. .
Artículo 5°: Requisitos del Certificado Digital.- El Certificado
Digital del firmante deberá cumplir con los siguientes requisitos:
1. Contar como mínimo con la siguiente información del titular del
certificado:
a. Nombre completo tal como aparece en el documento de identidad
b. Número, tipo y país emisor del documento de identidad
c. La clave pública asociada a la clave privada.
2. Número de serie.
3. Identificación del prestador de servicios de certificación.
4. Período de validez.
5. Firma Digital del prestador de servicios de certificación.
6. Debe estar vigente.
7. No debe estar revocado a la fecha de la firma.
8. Haber sido creado de acuerdo a las políticas del prestador de
servicios de certificación que cumplan con lo establecido en el artículo
6.
Artículo 6°: Requisitos de emisión del Certificado Digital.- Los
requisitos para la emisión de Certificados Digitales serán los
siguientes:
a) Presencia física del solicitante del certificado con documento de
identidad vigente y válido en la República Oriental del Uruguay.
b) Un contrato en soporte papel, con fecha de emisión, en el que se
consigna la información exacta trasladada de la documentación
presentada firmado en forma manuscrita en el que deberá constar:
I) Responsabilidades del Solicitante respecto de la clave Privada cuya
clave pública correspondiente se consigna en el certificado y todos los
usos que a la misma se le dieran.
ll) Declaración del solicitante de su total conocimiento y aceptación
de la Declaración de Prácticas de Certificación y/o Política de
Certificación correspondientes al certificado solicitado.
Ill) Responsabilidades del solicitante y del prestador de servicios de
certificación respecto a la solicitud de revocación de un certificado,
consignando plazos de responsabilidad.
c) Generar la clave privada cuya clave pública correspondiente se
consignará en el certificado.
Artículo 7°: Cese de actividades del prestador de servicios de
certificación.- Si el prestador de servicios de certificación cesara sus
actividades está obligado a comunicar dicha situación a través del
Diario Oficial y cualquier otro medio que considere pertinente, a
mantener o derivar el servicio de recepción de solicitudes de
revocación y a actualizar y publicar la Lista de Certificados Revocados
hasta que haya vencido el último de los certificados emitidos.
Artículo 8°: Actualización y publicación de la Lista de
certificados Revocados.- El prestador de servicios de certificación
deberá actualizar y publicar la Lista de Certificados Revocados al
menos cada 24 horas.
Artículo 9°: Equivalencia de certificados.- Los certificados que
expidan los prestadores de servicios de certificación establecidos en
otros Estados, de acuerdo con su respectiva legislación, se
considerarán equivalentes a los expedidos por los establecidos en la
República, siempre que los mismos hayan sido emitidos con garantías
de confiabilidad similares a las exigidas por este decreto, y que exista
reciprocidad del país de origen con respecto de los certificados
emitidos en el Uruguay
Artículo 10°: Comuníquese, publíquese, etc.-


http://colombiadigital.net/informacion/docs/firma_digital_uy.pdf

FACULTADES DE LA SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO reglamentación de la Ley 527 de 1999

CAPITULO III

Artículo 26. Suspensión y revocación de autorización. Cuando quiera que la Superintendencia de Industria y Comercio ejerza la facultad contenida en el numeral 4 del artículo 41 de la Ley 527 de 1999, ordenará a la entidad de certificación la ejecución de medidas tendientes a garantizar la integridad, seguridad y conservación de los certificados expedidos, así como la compensación económica que pudiera generar la cesación de actividades.
Artículo 27. Estándares. La Superintendencia de Industria y Comercio determinará los estándares admisibles con respecto a los cuales las entidades -de certificación deberán acreditar el cumplimiento de los requisitos relativos a:
1. La generación de pares de claves.
2. La generación de firmas.
3. Los certificados.
4. Los sistemas de cifrado.
5. Las comunicaciones.
6. La seguridad de los sistemas de información y de las instalaciones, o
7. Cualquier otro aspecto que redunde en la confiabilidad y seguridad de los certificados, o de la información que repose en la entidad de certificación.
Para la determinación de los estándares admisibles, la superintendencia deberá adoptar aquellos que tengan carácter internacional y que estén vigentes tecnológicamente o los desarrollados por el organismo nacional de normalización o los que sean ampliamente reconocidos para los propósitos perseguidos. En todo caso, deberá tener en cuenta su aplicabilidad a la luz de la legislación vigente.
La Superintendencia podrá eliminar la admisibilidad de un estándar cuando haya dejado de cumplir alguno de los requisitos precisados en este artículo.
Artículo 28. Facultades. Las atribuciones otorgadas a la Superintendencia de Industria y Comercio en el presente decreto, se ejercerán conforme a las facultades establecidas en los artículos 41 de la Ley 527 de 1999 y en los Decretos 2269 de 1993 y 2153 de 1992.
Artículo 29. Vigencia. El presente decreto rige a partir de la fecha de su publicación y deroga las disposiciones que le sean contrarias

DE LAS ENTIDADES DE CERTIFICACIÓN Y CERTIFICADOS DIGITALES reglamentación de la Ley 527 de 1999

CAPITULO II

De las entidades de certificación cerradas

Artículo 3°. Acreditación de requisitos de las entidades de certificación cerradas. Quienes pretendan realizar las actividades propias de las entidades de certificación cerradas deberán acreditar ante la Superintendencia de Industria y Comercio que:
1. Los administradores y representantes legales no están incursos en las causales de inhabilidad previstas en el literal c) del artículo 29 de la Ley 527 de 1999, y
2. Están en capacidad de cumplir los estándares mínimos que fije la Superintendencia de Industria y Comercio de acuerdo a los servicios ofrecidos.
Artículo 4°. Información en certificados. Los certificados emitidos por las entidades de certificación cerradas deberán indicar expresamente que sólo podrán ser usados entre la entidad emisora y el suscriptor. Las entidades deberán informar al suscriptor de manera clara y expresa, previa expedición de los certificados, que éstos no cumplen los requisitos del artículo 15 del presente decreto.
Sección II
De las entidades de certificación abiertas
Artículo 5°. Acreditación de requisitos de las entidades de certificación abiertas. Quienes pretendan realizar las actividades propias de las entidades de certificación abiertas deberán particularizarlas y acreditar ante la Superintendencia de Industria y Comercio:
1. Personería jurídica o condición de notario o cónsul.
Cuando se trate de una entidad extranjera, se deberá acreditar el cumplimiento de los requisitos contemplados en el libro segundo, título VIII del Código de Comercio para las sociedades extranjeras que pretendan ejecutar negocios permanentes en territorio colombiano. Igualmente deberá observarse lo establecido en el artículo 48 del Código de Procedimiento Civil.
2. Que los administradores y representantes legales no están incursos en las causales de inhabilidad previstas en el literal c) del artículo 29 de la Ley 527 de 1999.
3. Declaración de Prácticas de Certificación (DPC) satisfactoria, de acuerdo con los requisitos establecidos por la Superintendencia de Industria y Comercio.
4. Patrimonio mínimo de 400 salarios mínimos mensuales legales vigentes al momento de la autorización.
5. Constitución de las garantías previstas en este decreto.
6. Infraestructura y recursos por lo menos en la forma exigida en el artículo 9° de este decreto.
7. Informe inicial de auditoría satisfactorio a juicio de la misma Superintendencia.
8. Un mecanismo de ejecución inmediata para revocar los certificados digitales expedidos a los suscriptores, a petición de estos o cuando se tenga indicios de que ha ocurrido alguno de los eventos previstos en el artículo 37 de la Ley 527 de 1999.
Parágrafo 1°. La Superintendencia de Industria y Comercio tendrá la facultad de solicitar ampliación o aclaración sobre los puntos que estime conveniente.
Parágrafo 2°. Si se solicita autorización para certificaciones recíprocas, se deberán acreditar adicionalmente la entidad reconocida, los certificados reconocidos y el tipo de certificados al cual se remite, la vigencia y los términos del reconocimiento.
Artículo 6°. Declaración de Prácticas de Certificación (DPC). La Superintendencia de Industria y Comercio definirá el contenido de la Declaración de Prácticas de Certificación, DPC, la cual deberá incluir, al menos lo siguiente:
1. Identificación de la entidad de certificación.
2. Política de manejo de los certificados.
3. Obligaciones de la entidad y de los suscriptores del certificado y precauciones que deben observar los terceros.
4. Manejo de la información suministrada por los suscriptores.
5. Garantías que ofrece para el cumplimiento de las obligaciones que se deriven de sus actividades.
6. Límites de responsabilidad por el ejercicio de su actividad.
7. Tarifas de expedición y revocación de certificados.
8. Procedimientos de seguridad para el manejo de los siguientes eventos:
a) Cuando la seguridad de la clave privada de la entidad de certificación se ha visto comprometida;
b) Cuando el sistema de seguridad de la entidad de certificación ha sido vulnerado;
c) Cuando se presenten fallas en el sistema de la entidad de certificación que comprometan la prestación del servicio;
d) Cuando los sistemas de cifrado pierdan vigencia por no ofrecer el nivel de seguridad contratados por el suscriptor.
9. El plan de contingencia encaminado a garantizar la continuidad del servicio de certificación.
10. Modelos y minutas de los contratos que utilizarán con los usuarios.
11. Política de manejo de otros servicios que fuere a prestar, detallando sus condiciones.
Artículo 7°. Patrimonio mínimo. Para determinar el patrimonio mínimo, sólo se tomarán en cuenta las cuentas patrimoniales de capital suscrito y pagado, reserva legal, superávit por prima en colocación de acciones y se deducirán las pérdidas acumuladas y las del ejercicio en curso.
El patrimonio mínimo deberá acreditarse:
1. En el caso de personas jurídicas, por medio de estados financieros, con una antigüedad no superior a 6 meses, certificados por el representante legal y el revisor fiscal si lo hubiere.
2. Tratándose de entidades públicas, por medio del proyecto de gastos y de inversión que generará la actividad de certificación, conjuntamente con los certificados de disponibilidad presupuestal que acrediten la apropiación de recursos para dicho fin.
3. Para las sucursales de entidades extranjeras, por medio del capital asignado.
4. En el caso de los notarios y cónsules, por medio de los recursos dedicados exclusivamente a la actividad de entidad de certificación.
Artículo 8°. Garantías. La entidad debe contar con al menos una de las siguientes garantías:
1. Seguros vigentes que cumplan con los siguientes requisitos:
a) Ser expedidos por una entidad aseguradora autorizada para operar en Colombia. En caso de no ser posible lo anterior, por una entidad aseguradora del exterior que cuente con la autorización previa de la Superintendencia Bancaria;
b) Cubrir todos los perjuicios contractuales y extracontractuales de los suscriptores y terceros de buena fe exenta de culpa derivados de errores y omisiones, o de actos de mala fe de los administradores, representantes legales o empleados de la certificadora en el desarrollo de las actividades para las cuales solicita autorización o cuenta con autorización;
c) Cubrir los anteriores riesgos por una cuantía asegurada por evento igual o superior al mayor entre:
· 7.500 salarios mínimos mensuales legales por evento; o
· El límite de responsabilidad definido en las prácticas de certificación;
d) Incluir cláusula de restitución automática del valor asegurado;
e) Incluir una cláusula que obligue a la entidad aseguradora a informar previamente a la Superintendencia de Industria y Comercio la terminación del contrato o las modificaciones que reduzcan el alcance o monto de la cobertura.
2. Contrato de fiducia con patrimonio autónomo que cumpla con las siguientes características:
a) Tener como objeto exclusivo el cubrimiento de las pérdidas sufridas por los suscriptores y terceros de buena fe exentos de culpa, que se deriven de los errores y omisiones o de actos de mala fe de los administradores, representantes legales o empleados de la certificadora en el desarrollo de las actividades para las cuales solicita o cuenta con autorización;
b) Contar con recursos suficientes para cubrir pérdidas por una cuantía por evento igual o superior al mayor entre:
· 7.500 salarios mínimos mensuales legales por evento; o
· El límite de responsabilidad definido en las prácticas de certificación;
c) Que los fideicomitentes se obliguen a restituir los recursos de la fiducia en caso de una reclamación, por lo menos hasta el monto mínimo exigido en el punto anterior;
d) Que la fiduciaria se obligue a obtener permiso de la Superintendencia de Industria y Comercio, previamente a cualquier cambio en los reglamentos, disminución en el monto o alcance de la cobertura, así como para el retiro de fideicomitentes y para la terminación del contrato;
e) Que las inversiones estén representadas en títulos de renta fija, alta seguridad y liquidez emitidos o garantizados por la Nación, el Banco de la República o calificados como de mínimo riesgo por las sociedades calificadoras de riesgo.
La entidad que pretenda otorgar el reconocimiento recíproco, deberá acreditar la cobertura de las garantías requeridas en este decreto para los perjuicios que puedan causar los certificados reconocidos.
Artículo 9°. Infraestructura y recursos. En desarrollo de lo previsto en el literal b) del artículo 29 de la Ley 527 de 1999, la entidad deberá contar con un equipo de personas, una infraestructura física y tecnológica y unos procedimientos y sistemas de seguridad, tales que:
1. Puedan generar las firmas digitales propias y todos los servicios para los que soliciten autorización.
2. Se garantice el cumplimiento de lo previsto en la Declaración de Prácticas de Certificación (DPC).
3. Se pueda calificar el sistema como confiable de acuerdo con lo señalado en el artículo 2° del presente decreto.
4. Los certificados expedidos por las entidades de certificación cumplan con:
a) Lo previsto en el artículo 35 de la ley 527 de 1999; y
b) Alguno de los estándares de certificados que admita de manera general la Superintendencia de Industria y Comercio.
5. Se garantice la existencia de sistemas de seguridad física en sus instalaciones, un monitoreo permanente de toda su planta física, y acceso restringido a los equipos que manejan los sistemas de operación de la entidad.
6. El manejo de la clave privada de la entidad esté sometido a un procedimiento propio de seguridad que evite el acceso físico o de otra índole a la misma, a personal no autorizado.
7. Cuente con un registro de todas las transacciones realizadas, que permita identificar el autor de cada una de las operaciones.
8. Los sistemas que cumplan las funciones de certificación sólo sean utilizados con ese propósito y por lo tanto no puedan realizar ninguna otra función.
9. Todos los sistemas que participen directa o indirectamente en la función de certificación estén protegidos por sistemas y procedimientos de autenticación y seguridad de alto nivel de protección, que deben ser actualizados de acuerdo a los avances tecnológicos para garantizar la correcta prestación del servicio.
Artículo 10. Infraestructura prestada por un tercero. Cuando quiera que la entidad de certificación requiera o utilice infraestructura o servicios tecnológicos prestados por un tercero, los contratos deberán prever que la terminación de los mismos está condicionada a que la entidad haya implementado o contratado una infraestructura o servicio tecnológico que le permita continuar prestando sus servicios sin ningún perjuicio para los suscriptores. Si la terminación de dichos contratos supone el cese de operaciones, el prestador de infraestructura o servicios no podrá interrumpir sus servicios antes de vencerse el plazo para concluir el proceso previsto en el procedimiento autorizado por la Superintendencia de Industria y Comercio. Estos deben ser enviados con los demás documentos de la solicitud de autorización y remitidos cada vez que sean modificados.
La contratación de esta infraestructura o servicios no exime a la entidad certificadora de la presentación de los informes de auditoría previstos en este decreto, los cuales deben incluir los sistemas y seguridades de dicho prestador.
Artículo 11. Informe de Auditoría. El informe de Auditoría dictaminará que la entidad de certificación actúa o está en capacidad de actuar, de acuerdo con los requerimientos de la Ley 527 de 1999, lo previsto en este decreto y en las normas que los sustituyan, complementen o reglamenten. Así mismo, evaluará todos los servicios a que hace referencia el literal d del artículo 2° de la Ley 527 de 1999 y que sean prestados o pretenda prestar la entidad de certificación.
Artículo 12. Requisitos de las firmas auditoras. La auditoría deberá ser realizada por una entidad del sistema nacional de normalización, certificación y metrología acreditada para el efecto por la Superintendencia de Industria y Comercio.
En caso de tratarse de entidades de certificación que requieran o utilicen infraestructura o servicios tecnológicos prestados desde el extranjero, la auditoría podrá ser realizada por una persona o entidad facultada para realizar este tipo de auditorías en el lugar donde se encuentra la infraestructura, siempre y cuando permita constatar el cumplimiento de lo señalado en el artículo anterior.
En caso de que no existan en el país al menos dos entidades acreditadas para llevar a cabo estas auditorías, las entidades de certificación nacionales podrán hacer uso de firmas de auditorías extranjeras, siempre y cuando el informe cumpla con las instrucciones impartidas por la Superintendencia de Industria y Comercio y la firma auditora se encuentre facultada para realizar este tipo de auditorías en su país de origen.
Artículo 13. Deberes. Además de lo previsto en el artículo 32 de la Ley 527 de 1999, las entidades de certificación deberán:
1. Comprobar por sí o por medio de una persona diferente que actúe en nombre y por cuenta suya, la identidad y cualesquiera otras circunstancias de los solicitantes o de datos de los certificados, relevantes para los fines propios de su procedimiento de verificación previo a su expedición.
2. Mantener a disposición permanente del público la declaración de prácticas de certificación.
3. Cumplir cabalmente con las políticas de certificación acordadas con el suscriptor y con su Declaración de Prácticas de Certificación (DPC).
4. Informar al suscriptor de los certificados que expide, su nivel de confiabilidad, los límites de responsabilidad, y las obligaciones que el suscriptor asume como usuario del servicio de certificación.
5. Garantizar la prestación permanente e ininterrumpida de los servicios autorizados, salvo las interrupciones que autorice la Superintendencia de Industria y Comercio.
6. Informar a la superintendencia de manera inmediata la ocurrencia de cualquier evento establecido en la Declaración de Prácticas de Certificación, que comprometa la prestación del servicio.
7. Abstenerse de acceder o almacenar la clave privada del suscriptor.
8. Mantener actualizado el registro de los certificados revocados. Las entidades de certificación serán responsables de los perjuicios que se causen a terceros por incumplimiento de esta obligación.
9. Garantizar el acceso permanente y eficiente de los suscriptores y de terceros al repositorio de la entidad.
10. Disponer de una línea telefónica de atención permanente a suscriptores y terceros, que permita las consultas y la pronta solicitud de revocación de certificados por los suscriptores.
11. Garantizar la confidencialidad de la información que no figure en el certificado.
12. Conservar la documentación que respalda los certificados emitidos, por el término previsto en la ley para los papeles de los comerciantes y tomar las medidas necesarias para garantizar la integridad y la confidencialidad que le sean propias.
13. Informar al suscriptor dentro de las 24 horas siguientes, la suspensión del servicio o revocación de sus certificados.
14. Capacitar y advertir a los suscriptores de firmas y certificados digitales, sobre las medidas de seguridad que deben observar para la utilización de estos mecanismos.
15. Mantener el control exclusivo de su clave privada y establecer las seguridades necesarias para que no se divulgue o comprometa.
16. Remitir oportunamente a la Superintendencia de Industria y Comercio, la información prevista en este decreto.
17. Remover en el menor término que el procedimiento legal permita, a los administradores o representantes que resulten incursos en las causales establecidas en el literal c del artículo 29 de la Ley 527 de 1999.
18. Informar a los suscriptores o terceros que lo soliciten, sobre el tiempo y recursos computacionales requeridos para derivar la clave privada a partir de la clave pública contenida en los certificados en relación con las firmas digitales que expide la entidad.
19. Mantener actualizada la información registrada en la solicitud de autorización y enviar la información que la Superintendencia de Industria y Comercio establezca.
20. Cumplir con las demás instrucciones que establezca la Superintendencia de Industria y Comercio.
Artículo 14. Certificaciones recíprocas. El reconocimiento de los certificados de firmas digitales emitidos por entidades de certificación extranjeras, realizado por entidades de certificación autorizadas para tal efecto en Colombia, se hará constar en un certificado expedido por estas últimas.
El efecto del reconocimiento de cada certificado, se limitará a las características propias del tipo de certificado reconocido y por el período de validez del mismo.
Los suscriptores de los certificados reconocidos y los terceros tendrán idénticos derechos que los suscriptores y terceros respecto de los certificados propios de la entidad que hace el reconocimiento.
Parágrafo. La Superintendencia de Industria y Comercio determinará el contenido mínimo de los certificados recíprocos.
Artículo 15. Uso del certificado digital. Cuando quiera que un suscriptor firme digitalmente un mensaje de datos con su clave privada, y la respalde mediante un certificado digital, se darán por satisfechos los atributos exigidos para una firma digital en el parágrafo del artículo 28 de la Ley 527 de 1999, sí:
1. El certificado fue emitido por una entidad de certificación abierta autorizada para ello por la Superintendencia de Industria y Comercio.
2. Dicha firma se puede verificar con la clave pública que se encuentra en el certificado con relación a firmas digitales, emitido por la entidad de certificación.
3. La firma fue emitida dentro del tiempo de validez del certificado, sin que éste haya sido revocado.
4. El mensaje de datos firmado se encuentra dentro de los usos aceptados en la DPC, de acuerdo al tipo de certificado.
Artículo 16. Unicidad de la firma digital. No obstante lo previsto en el artículo anterior, una firma digital en un mensaje de datos deja de ser única a la persona que la usa si, estando bajo su control exclusivo, dada la condición del numeral 3 del parágrafo del artículo 28 de la Ley 527 de 1999, la probabilidad de derivar la clave privada, a partir de la clave pública, no es o deja de ser remota.
Para establecer si la probabilidad es remota se tendrán en cuenta la utilización del máximo recurso computacional disponible al momento de calcular la probabilidad, durante un período igual al que transcurre entre el momento en que se crean el par de claves y aquel en que el documento firmado deja de ser idóneo para generar obligaciones.
Sección III
De la decisión y las responsabilidades
Artículo 17. Decisión. En la resolución de autorización expedida por la Superintendencia de Industria y Comercio, se precisarán las actividades y servicios que puede prestar la entidad de certificación. En todo caso, la entidad de certificación podrá solicitar autorización para prestar actividades y servicios adicionales.
Artículo 18. Responsabilidad. Las entidades de certificación responderán por todos los perjuicios que causen en el ejercicio de sus actividades.
La entidad certificadora será responsable por los perjuicios que puedan causar los prestadores de servicios a que hace referencia del artículo 10 del presente decreto, a los suscriptores o a las personas que confíen en los certificados.
Artículo 19. Cesación de actividades. La cesación de actividades de una entidad de certificación sin la autorización de la Superintendencia de Industria y Comercio o la continuación de actividades después de producida ésta, la hará responsable de todos los perjuicios que cause a sus suscriptores y a terceros y la hará acreedora a las sanciones que imponga la Superintendencia.
Artículo 20. Responsabilidad derivada de la administración de los repositorios. Cuando las entidades de certificación contraten los servicios de repositorios, continuarán siendo responsables frente a sus suscriptores y terceros por el mismo.
Artículo 21. Información periódica y esporádica. La información prevista en los artículos 3°, 5°, 6°, 7°, 8°, 9°, 10 y 11 del presente decreto, deberá actualizarse ante la Superintendencia de Industria y Comercio cada vez que haya cambio o modificación de algunos de los datos suministrados. La Superintendencia señalará, además, la forma y periodicidad en que se debe demostrar el continuo cumplimiento de las condiciones de que se ocupan los artículos señalados.
Artículo 22. Responsabilidad derivada de la no revocación. Una vez cumplidas las formalidades previstas para la revocación, la entidad será responsable por los perjuicios que cause la no revocación.
Sección IV
De los certificados digitales
Artículo 23. Información relativa a la revocación. Cada certificado revocado debe indicar si el motivo de revocación incluye la pérdida de control de la clave privada, evento en el cual, las firmas generadas con dicha clave privada carecerán del atributo de unicidad previsto en el numeral 1 del parágrafo del artículo 28 de la Ley 527 de 1999, salvo que se demuestre lo contrario, mediante un mecanismo adicional que pruebe inequívocamente que el documento fue firmado digitalmente en una fecha previa a la revocación del certificado.
Las revocaciones deberán ser publicadas de manera inmediata en los repositorios correspondientes y notificadas al suscriptor dentro de las 24 horas siguientes. Si dichos repositorios no existen al momento de la publicación del aviso, ésta se efectuará en un repositorio que designe la Superintendencia de Industria y Comercio.
Artículo 24. Registro de certificados. Toda entidad de certificación autorizada deberá llevar un registro de público acceso que contenga todos los certificados emitidos y sus fechas de emisión, expiración o revocación.
Artículo 25. Información. Las entidades de certificación estarán obligadas a respetar las condiciones de confidencialidad y seguridad, de acuerdo con las normas vigentes respectivas.
Salvo la información contenida en el certificado, la suministrada por los suscriptores a las entidades de certificación se considerará privada y confidencial.

ASPECTOS GENERALES reglamentacion de la Ley 527 de 1999

CAPITULO I

Artículo 1°. Definiciones. Para efectos del presente decreto se entenderá por:
1. Iniciador: persona que actuando por su cuenta, o en cuyo nombre se haya actuado, envíe o genere un mensaje de datos.
2. Suscriptor: persona a cuyo nombre se expide un certificado.
3. Repositorio: sistema de información utilizado para almacenar y recuperar certificados y otra información relacionada con los mismos.
4. Clave privada: valor o valores numéricos que, utilizados conjuntamente con un procedimiento matemático conocido, sirven para generar la firma digital de un mensaje de datos.
5. Clave pública: valor o valores numéricos que son utilizados para verificar que una firma digital fue generada con la clave privada del iniciador.
6. Certificado en relación con las firmas digitales: mensaje de datos firmado por la entidad de certificación que identifica, tanto a la entidad de certificación que lo expide, como al suscriptor y contiene la clave pública de éste.
7. Estampado cronológico: mensaje de datos firmado por una entidad de certificación que sirve para verificar que otro mensaje de datos no ha cambiado en un período que comienza en la fecha y hora en que se presta el servicio y termina en la fecha en que la firma del mensaje de datos generado por el prestador del servicio de estampado, pierde validez.
8. Entidad de certificación cerrada: entidad que ofrece servicios propios de las entidades de certificación sólo para el intercambio de mensajes entre la entidad y el suscriptor, sin exigir remuneración por ello.
9. Entidad de certificación abierta: la que ofrece servicios propios de las entidades de certificación, tales que:
a) Su uso no se limita al intercambio de mensajes entre la entidad y el suscriptor, o
b) Recibe remuneración por éstos.
10. Declaración de Prácticas de Certificación (DPC): manifestación de la entidad de certificación sobre las políticas y procedimientos que aplica para la prestación de sus servicios.
Artículo 2°. Sistema confiable. Los sistemas utilizados para el ejercicio de las actividades de certificación se considerarán confiables si satisfacen los estándares establecidos por la Superintendencia de Industria y Comercio.

Condiciones De La Firma Digital Para La Presentación De Las Declaraciones Por Internet

En los términos de la Resolución 12717 del pasado 27 de diciembre de 2005 de la Dian, se habilita el uso de este mecanismo en los servicios informáticos (expresión que reemplazó a 'software de declaración y pago electrónico'), para la presentación electrónica con firma digital respaldada con certificado digital, por parte de personas naturales que actúen a nombre propio y/o que representen a otra persona natural o jurídica o actúen para la misma.
A continuación destacamos aspectos relevantes de este mecanismo, conforme con lo previsto en las Resoluciones 12717 en cita y 12801 del 28 de diciembre de 2005, veamos:
A) Características relevantes del mecanismo de certificación y firma digital
* El certificado tendrá vigencia de tres años contados a partir de su generación.
* Se emiten únicamente a la persona natural, el cual es válido para asumir obligaciones a nombre propio y/o del tercero a quien represente o por quien actúe (contribuyente, responsable, agente retenedor o declarante que deba cumplir el deber de declarar por medios electrónicos, así como al revisor fiscal o contador).
* Son Gratuitos.
* El atributo 'Subject' es diligenciado usando cadenas del tipo 'nombre distinguido' DN y no puede estar en blanco por ningún motivo. Debe contener la siguiente información: Nombre, dirección y domicilio del usuario; identificación del usuario; DN del usuario; nombre, dirección y lugar donde realiza actividades la Dian como entidad de certificación; clave pública del usuario; metodología para verificar la firma digital del usuario impuesta en las transacciones y documentos electrónicos; número de serie del mecanismo digital; fecha de emisión y expiración del certificado y firma de la entidad de certificación para autenticar el certificado.
B) Emisión y activación del mecanismo para certificación y firma digital
* Emisión:
Diligenciamiento por parte de la Dian del formato para registrar la información del suscriptor proveniente del RUT y, formalización por medio de la cual la entidad pone en conocimiento las condiciones para otorgar el mecanismo y, el suscriptor acepta las obligaciones y responsabilidades inherentes al mismo, así como la disposición del servicio informático electrónico soporte de esta función para generar automáticamente los códigos de activación del mecanismo para su posterior uso.
* Activación:
Autogestión que realiza el usuario suscriptor a través de los servicios informáticos electrónicos que permite a partir de los códigos de activación, generar su mecanismo digital consistente en el certificado digital y clave privada que le permitirán acceder y presentar con firma digital los documentos inherentes a sus trámites.
C) Tiempo de presentación:
Los documentos firmados digitalmente en uso del mecanismo de firma y certificación digital, tendrán como fecha de presentación ante la Dian, la fecha y hora de recepción registrada en el acuse de recibo generado por los servicios informáticos electrónicos de la entidad.
D) Obligaciones de los usuarios suscriptores del mecanismo de la Dian para firma con certificado digital.
* Recibir, conservar y utilizar correctamente los mecanismos digitales.
* Custodiar los mecanismos tomando las precauciones requeridas para evitar su pérdida, olvido, revelación, modificación, suplantación o uso no autorizado.
* Solicitar oportunamente la revocación de los servicios informáticos electrónicos cuando se cumpla alguno de los supuestos previstos para el efecto.
* No revelar la clave privada ni la información de activación del mecanismo digital.
* Asegurar que toda la información contenida en los mecanismos digitales sea correcta.
* Informar inmediatamente a la Dian acerca de cualquier situación que pueda afectar la validez de los mecanismos digitales.
* Destruir el mecanismo digital cuando expire o sea revocado.
* Mantener actualizado el Registro Único Tributario.
E) Responsabilidad de los usuarios suscriptores
Será responsabilidad del suscriptor del mecanismo de firma y certificado digital para los servicios informáticos electrónicos:
* La falsedad, error u omisión en la información suministrada a la Dian y el incumplimiento de sus deberes y obligaciones como usuario.
* Solicitar la revocación del certificado en el caso de presentarse la pérdida de la clave privada o cuando ésta ha sido expuesta, corre peligro o se le dé un uso indebido.
F) Pérdida de validez:
* Por pérdida de la clave privada.
* Por haber sido expuesta la clave privada o peligro de uso indebido.
* Por muerte del suscriptor.
* Por liquidación de las personas jurídicas, cuando la persona natural que la representa o que actúa para la misma como revisor fiscal o contador no tiene otros obligados a cargo, ni obligaciones a nombre propio.
* Cuando el suscriptor, una vez termine su vinculación como representante, contador o revisor fiscal en relación con un obligado, no tiene otros representados a cargo y tampoco es obligado a nombre propio.
* Por la confirmación de que alguna información o hecho contenido en el certificado digital es falso.
* Cuando la clave privada de la entidad o su sistema de seguridad ha sido comprometido de manera material que afecte la confiabilidad del certificado digital.
* Por orden judicial o de entidad administrativa competente.
* Por vencimiento del período de validez del mecanismo digital sin que se haya renovado.
En los dos primeros casos, el suscriptor está obligado a solicitar la revocación del certificado digital, en los demás eventos procede tal revocación de oficio o a solicitud de parte.
G) Renovación:
La vigencia del mecanismo para firma digital se extenderá en los siguientes eventos:
* Por proximidad de la fecha de vencimiento del período de validez del mecanismo, que será con treinta días de antelación.
* Por disposición de la Dian.
H) Obligados a utilizar los servicios informáticos electrónicos, incluido el mecanismo de firma con certificado digital
Sobre el particular, precisa la Resolución 12801 del 28 de diciembre que los contribuyentes y agentes de retención obligados a utilizar los servicios informáticos electrónicos son:
Los Grandes Contribuyentes, Personas Jurídicas de las Administraciones de Impuestos Nacionales de las ciudades de Bogotá, Barranquilla, Cali, Medellín, Bucaramanga, Palmira y Tulúa, expresamente señalados en las Resoluciones 2889 de abril 2 de 2001, 02303 del primero de abril de 2005 y 02936 del 6 de octubre de 2005; así como los contribuyentes de la Administración de Impuestos Nacionales de Personas Naturales de Bogotá, expresamente señalados en la Resolución 2889 de 2001, excluidas las personas jurídicas señaladas en la Resolución 10502 de diciembre 18 de 2003 a quienes se les revocó el acceso al sistema de declaración y pago electrónico.
Sin perjuicio de lo anterior, advierte la Resolución 12801 de 2005 que aunque el suscriptor no forme parte de la relación que incluyen las resoluciones antes identificadas, podrá en todo caso hacer uso del mecanismo de firma con certificado digital para la presentación de sus propias declaraciones tributarias.
Las declaraciones que deben presentar tales contribuyentes, utilizando los servicios informáticos electrónicos, incluido el mecanismo de firma con certificado digital, son las declaraciones iniciales, extemporáneas y correcciones, así como diligenciamiento de recibos de pago, por los siguientes conceptos y períodos:
* Impuesto sobre la renta y complementarios o de ingresos y patrimonio para personas jurídicas y asimiladas, personas naturales y asimiladas obligadas a llevar contabilidad e impuesto sobre la renta y complementarios de personas naturales y asimiladas no obligadas a llevar contabilidad, correspondientes al año gravable 2005 y siguientes
* Impuesto sobre las ventas, retención en la fuente correspondientes al año gravable 2005 y siguientes

www.kpmg.com.co

FIRMA DIGITAL

“Se entenderácomo un valor numéricoque se adhiere a un mensaje de datos y que, utilizando un procedimiento matemático conocido, vinculado a la clave del iniciadory al texto del mensajepermite determinar que este valor se ha obtenido exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido modificado después de efectuada la transformación”.
(Ley 527 de 1999)Firma digital
La firma digital es equivalente a la firma manuscrita y permite incorporar las garantías básicas de seguridad de:autenticidad, confidencialidad, integridady no repudio.

BIBLIOGRAFIA: www.certicamara.com

ATRIBUTOS DE LA FIRMA DIGITAL

•Es única
•Es verificable
•Esta bajo control exclusivo del iniciador
•Estáligada a la información del mensaje
•Estáde acuerdo con la reglamentación

PRODUCTOS Y SERVICIOS

CERTIFICADOS DIGITALES DE FIRMA

-REPRESENTANTE LEGAL
-PERTENENCIA EMPRESA
-FUNCION PÚBLICA
-PROFESIONAL TITULADO
-PERSONA NATURAL
-SEGURIDAD EN REDES
-CERTIFICADO DE SERVIDOR SEGURO
-CERTIFICADO DE VPN
-CERTIFICADO DE SERVIDOR SEGURO CON FIRMA AUTOMATIZADA




SOLUCIONES DE CERTIFICACIÓN

-SISTEMA ADMINISTRADOR DE FIRMAS DIGITALES
-ESTAMPADO CRONOLÓGICO

Transmisión Segura De Información De La La Firma Digital

Esquema Digital:
Descripción
El concepto de firma digital nació como una oferta tecnológica para acercar la operatoria social usual de la firma ológrafa (manuscrita) al marco de lo que se ha dado en llamar el ciberespacio o el trabajo en redes.
Consiste en la transformación de un mensaje utilizando un sistema de cifrado asimétrico de manera que la persona que posee el mensaje original y la clave pública del firmante, pueda establecer de forma segura, que dicha transformación se efectuó utilizando la clave privada correspondiente a la pública del firmante, y si el mensaje es el original o fue alterado desde su concepción.
Las transacciones comerciales y el hecho de tener que interactuar masiva y habitualmente por intermedio de redes de computadoras le dio lugar al concepto.
Pero, sólo después que los especialistas en seguridad y los juristas comenzaran a depurarlo alcanzó un marco de situación como para ocupar un lugar en las actuaciones entre personas, ya sea jurídicas o reales.
El fin, de la firma digital, es el mismo de la firma ológrafa: dar asentimiento y compromiso con el documento firmado; y es por eso que a través de la legislación, se intenta acercarla, exigiéndose ciertos requisitos de validez.
El papel es el medio de almacenamiento, y el mecanismo es alguno de los tipos de impresión posibles (tinta, láser, manuscrito, etc.). Esta cualidad física le da entidad al documento, contiene sus términos, conceptos y sentidos de una manera perdurable, y al ser un elemento físico cualquier alteración dejará "señales" identificables.
Pero, los papeles ocupan lugar y pesan demasiado, resulta complejo y molesto buscar información en ellos (requiriendo de la acción humana ya sea al archivarlos y/o al rescatarlos), y el compartir los documentostambién resulta inconveniente, lo que se podría evitar con un sistema de computación.

Ventajas Ofrecidas por la Firma Digital

Gracias a la firma digital, los ciudadanos podrán realizar transacciones de comercio electrónico seguras y relacionarse con la Administración con la máxima eficacia jurídica, abriéndose por fin las puertas a la posibilidad de obtener documentos como la cédula de identidad, carnet de conducir, pasaporte, certificados de nacimiento, o votar en los próximos comicios cómodamente desde su casa.
En la vida cotidiana se presentan muchas situaciones en las que los ciudadanos deben acreditar fehacientemente su identidad, por ejemplo, a la hora de pagar las comprascon una tarjeta de créditoen un establecimiento comercial, para votar en los colegios electorales, con el fin de identificarse en el mostrador de una empresa, al firmar documentos notariales, etc.
En estos casos, la identificación se realiza fundamentalmente mediante la presentación de documentos acreditativos como el DNI, el pasaporte o el carnet de conducir, que contienen una serie de datos significativos vinculados al individuo que los presenta, como:
- Nombre del titular del documento.
- Número de serie que identifica el documento.
- Período de validez: fecha de expedición y de caducidad del documento, más allá de cuyos límites éste pierde validez.
- Fotografía del titular.
- Firma manuscrita del titular.
- Otros datos demográficos, como sexo, dirección, etc.
En algunos casos en los que la autenticación de la personaresulta importante, como en el pago con tarjeta de crédito, se puede exigir incluso que estampe una firma, que será comparada con la que aparece en la tarjeta y sobre su documento de identificación. En el mundo físico se produce la verificación de la identidad de la persona comparando la fotografía del documento con su propia fisonomía y en casos especialmente delicados incluso comparando su firma manuscrita con la estampada en el documento acreditativo que porta. En otras situaciones, no se requiere el DNI o pasaporte, pero sí la firma, para que el documento goce de la validez legal (cheques, cartas, etc.), ya que ésta vincula al signatario con el documento por él firmado.
Ahora bien, en un contexto electrónico, en el que no existe contacto directo entre las partes, ¿resulta posible que los usuarios de un servicio puedan presentar un documento digital que ofrezca las mismas funcionalidades que los documentos físicos, pero sin perder la seguridad y confianza de que estos últimos están dotados? La respuesta, por fortuna, es afirmativa, ya que el uso de la firma digital va a satisfacer los siguientes aspectos de seguridad:
Integridad de la información: la integridad del documento es una protección contra la modificación de los datos en forma intencional o accidental. El emisor protege el documento, incorporándole a ese un valor de control de integridad, que corresponde a un valor único, calculado a partir del contenido del mensaje al momento de su creación. El receptor deberá efectuar el mismo cálculosobre el documento recibido y comparar el valor calculado con el enviado por el emisor. De coincidir, se concluye que el documento no ha sido modificado durante la transferencia.
Autenticidad del origen del mensaje: este aspecto de seguridad protege al receptor del documento, garantizándole que dicho mensaje ha sido generado por la parte identificada en el documento como emisor del mismo, no pudiendo alguna otra entidad suplantar a un usuario del sistema. Esto se logra mediante la inclusión en el documento transmitido de un valor de autenticación (MAC, Message autentication code). El valor depende tanto del contenido del documento como de la clave secreta en poder del emisor.
No repudio del origen: el no repudio de origen protege al receptor del documento de la negación del emisor de haberlo enviado. Este aspecto de seguridad es más fuerte que los anteriores ya que el emisor no puede negar bajo ninguna circunstancia que ha generado dicho mensaje, transformándose en un medio de prueba inequívoco respecto de la responsabilidad del usuario del sistema.
Imposibilidad de suplantación: el hecho de que la firma haya sido creada por el signatario mediante medios que mantiene bajo su propio control (su clave privada protegida, por ejemplo, por una contraseña, una tarjeta inteligente, etc.) asegura, además, la imposibilidad de su suplantación por otro individuo.
Auditabilidad: permite identificar y rastrear las operacionesllevadas a cabo por el usuario dentro de un sistema informático cuyo acceso se realiza mediante la presentación de certificados,
El acuerdo de claves secretas: garantiza la confidencialidad de la información intercambiada ente las partes, esté firmada o no, como por ejemplo en las transacciones seguras realizadas a través de SSL.

Aspectos técnicos

A diferencia de la firma manuscrita, que es un trazo sobre un papel, la firma digital consiste en el agregado de un apéndice al texto original, siendo este apéndice, en definitiva, la firma digital; al conjunto formado por el documento original más la firma digital se lo denominará mensaje.
Este apéndice o firma digital es el resultado de un cálculo que se realiza sobre la cadena binaria del texto original.
En este cálculo están involucrados el documento mismo y una clave privada (que, generalmente, pertenece al sistema de clave pública-privada o sistema asimétrico) la cual es conocida sólo por el emisor o autor del mensaje, lo que da como resultado que para cada mensaje se obtenga una firma distinta, es decir, a diferencia de la firma tradicional, la firma digital cambia cada vez con cada mensaje, porque la cadena binaria de cada documento será distinta de acuerdo a su contenido.
A través de este sistema podemos garantizar completamente las siguientes propiedades de la firma tradicional:
Quien firma reconoce el contenido del documento, que no puede modificarse con posterioridad (integridad).
Quien lo recibe verifica con certeza que el documento procede del firmante. No es posible modificar la firma (autenticidad).
El documento firmado tiene fuerza legal. Nadie puede desconocer haber firmado un documento ante la evidencia de la firma (no repudio).
El concepto de criptografía de clave pública fue introducido por Whitfield Diffie y Martin Hellman a fin de solucionar la distribución de claves secretas de los sistemas tradicionales, mediante un canal inseguro.
Este sistema utiliza dos claves diferentes: una para cifrar y otra para descifrar. Una es la clave pública, que efectivamente se publica y puede ser conocida por cualquier persona; otra, denominada clave privada, se mantiene en absoluto secreto ya que no existe motivo para que nadie más que el autor necesite conocerla y aquí es donde reside la seguridad del sistema.
Ambas claves son generadas al mismo tiempo con un algoritmo matemático y guardan una relación tal entre ellas que algo que es encriptado con la privada, solo puede ser desencriptado por la clave pública.
Resumiendo, la clave privada es imprescindible para descifrar criptogramas y para firmar digitalmente, mientras que la clave pública debe usarse para encriptar mensajes dirigidos al propietario de la clave privada y para verificar su firma.
Si bien no se trata de un tema estrictamente técnico, es conveniente aclarar que en tiempo de generación de cada par de claves, pública y privada, podría intervenir otra clave que es la de la Autoridad Certificante, que provee la garantía de autenticidad del par de claves generadas, así como también, su pertenencia a la persona cuya propiedad se atribuye.
Este esquema se utiliza en intercambios entre entidades cuando se trata de transferencias electrónicas de dinero, órdenes de pago, etc. donde es indispensable que las transacciones cumplan con los requisitos de seguridad enunciados anteriormente (integridad, autenticidad, no repudio del origen, imposibilidad de suplantación, auditabilidad y acuerdo de claves secretas), pero no se satisface el concepto de confidencialidad de la información (secreto).

Aplicaciones De La Firma Digital

La firma digital se puede aplicar en las siguientes situaciones:
- E-mail
- Contratoselectrónicos
- Procesos de aplicaciones electrónicos
- Formas de procesamiento automatizado
- Transacciones realizadas desde financieras alejadas
- Transferencia en sistemaselectrónicos, por ejemplo si se quiere enviar un mensaje para transferir $100,000 de una cuenta a otra. Si el mensaje se quiere pasar sobre una red no protegida, es muy posible que algún adversario quiera alterar el mensaje tratando de cambiar los $100,000 por 1000,000,con esta información adicional no se podrá verificar la firma lo cual indicará que ha sido alterada y por lo tanto se denegará la transacción
- En aplicaciones de negocios, un ejemplo es el Electronic Data Interchange (EDI) intercambio electrónico de datos de computadora a computadora intercambiando mensajes que representan documentos de negocios
En sistemas legislativos, es a menudo necesario poner un grupo fecha / hora a un documento para indicar la fecha y la hora en las cuales el documento fue ejecutado o llegó a ser eficaz. Un grupo fecha / hora electrónico se podría poner a los documentos en forma electrónica y entonces firmado usando al DSA o al RSA. Aplicando cualquiera de los dos algoritmos al documento protegería y verificaría la integridad del documento y de su grupo fecha / hora.

Situación en otros Países

Firma Digital en Alemania
En Alemaniala firma digital es un sello integrado en datos digitales, creado con una clave privada que permite identificar al propietario de la firma y comprobar que los datos no han sido alterados.
Firma Digital en Naciones Unidas
En las Naciones Unidas una firma digital o numérica es un valor numérico que se consigna en un mensaje de datos y que, gracias al empleo de un procedimiento matemático conocido y vinculado a la clave criptográfica privada del originante, logra identificar que dicho valor se ha obtenido exclusivamente con la clave privada de iniciador del mensaje.
Los procedimiento matemáticos utilizados para generar firmas numéricas autorizadas, se basan en el cifrado de la clave pública. Estos procedimientos aplicados a un mensaje de datos, operan una transformación del mensaje a fin que el receptor del mensaje y poseedor de la clave pública del originante pueda establecer:
Si la transformación se efectuó utilizando la clave criptográfica privada que corresponde a la clave pública que él tiene como válida.
Si el mensaje inicial ha sido modificado.
Firma Digital en E.E.U.U.
En los Estados Unidos podemos observar la sanción de diferentes leyes relativas a la firma digital, para la creación de una infraestructura de firma digital que asegure la integridad y autenticidad de las transacciones efectuadas en el ámbito gubernamental y en su relación con el sector privado:
Iniciativa del Gobierno Federal:
Proyecto "Gatekeeper": Prevé la creación de una autoridad pública que administre dicha infraestructura y acredite a los certificadores de clave pública;
En el área de telecomunicaciones: Régimen voluntario de declaración previa para los certificadores de clave pública;
Ley de certificadores de clave pública relacionados con la firma digital;
Proyecto de Ley sobre la utilización de la firma digital en los ámbitos de la seguridad social y la
salud pública;
Ley sobre creación, archivo y utilización de documentos electrónicos;
Ley sobre intercambio electrónico de datos en la administración y los procedimientos judiciales administrativos;
Iniciativa sobre la creación de una infraestructura de clave pública para el comercio electrónico;
Ley que autoriza la utilización de documentación electrónica en la comunicaciónentre las agencias gubernamentales y los ciudadanos, otorgando a la firma digital igual validez que la firma manuscrita. (Ley Gubernamental de Reducción de la Utilización de Papel - "Government Paperwork Elimination Act");
Ley que promueve la utilización de documentación electrónica para la remisión de declaraciones del impuesto a las ganancias;
Proyecto piloto del IRS ( Dirección de Rentas - "Internal Revenue Service") para promover la utilización de la firma digital en las declaraciones impositivas;
Proyecto de Ley de Firma Digital y Autenticación Electrónica para facilitar el uso de tecnologías de autenticación electrónica por instituciones financieras;
Proyecto de Ley que promueve el reconocimiento de técnicas de autenticación electrónica como alternativa válida en toda comunicación electrónica en el ámbito público o privado;
Resolución de la Reserva Federal regulando las transferencias electrónicas de fondos;
Resolución de la FDA (Administración de Alimentos y Medicamentos - "Food and Drug Administration") reconociendo la validez de la utilización de la firma electrónica como equivalente a la firma manuscrita;
Iniciativa del Departamento de Salud proponiendo la utilización de la firma digital en la transmisión electrónica de datos en su jurisdicción;
Iniciativa del Departamento del Tesoro aceptando la recepción de solicitudes de compra de bonos del gobierno firmadas digitalmente;
Iniciativas de los Gobiernos Estatales:
Casi todos los estados tienen legislación, aprobada o en Proyecto, referida a la firma digital. En algunos casos, las regulaciones se extienden a cualquier comunicación electrónica pública o privada. En otros, se limitan a algunos actos internos de la administración estatal o a algunas comunicaciones con los ciudadanos.
Se destaca la Ley de Firma Digital del Estado de Utah, que fue el primer estado en legislar el uso comercial de la firma digital. Regula la utilización de criptografía asimétrica y fue diseñada para ser compatible con varios estándares internacionales. Prevé la creación de certificadores de clave pública licenciados por el Departamento de Comercio del estado. Además, protege la propiedad exclusiva de la clave privada del suscriptor del certificado, por lo que su uso no autorizado queda sujeto a responsabilidades civiles y criminales.
Proyecto piloto de desarrollo de infraestructura de firma digital;
Normativa fiscal que prevé la presentación digital de la declaración de ingresos

http://www.monografias.com