Normas Reguladoras de Firmas Electronicas CNBS
Resumen
Esta norma establece un sistema de firmas electrónicas administrado por la CNBS para que instituciones financieras firmen documentos digitalmente en lugar de en papel. Las firmas electrónicas tienen el mismo valor legal que las firmas manuscritas y funcionan mediante certificados digitales seguros. El sistema entró en vigencia el 1 de enero de 2013.
Considerandos
- 1.Que corresponde a la Comisión Nacional de Bancos y Seguros establecer las normas prudenciales que se requieran para la revisión, verificación, control, vigilancia y fiscalización de las instituciones Supervisadas, para lo cual se basará en la legislación vigente y en los acuerdos y prácticas internacionales.
- 2.Que de conformidad a lo establecido en el Artículo 13 numeral 24) de la Ley de la Comisión Nacional de Bancos y Seguros, así como, en el Artículo 50 de la Ley del Sistema Financiero, corresponde a la Comisión, emitir las normas de carácter general a fin de regular las operaciones que efectúen y servicios que presten las instituciones del sistema financiero por medios electrónicos.
- 3.Que el Artículo 51 de la Ley del Sistema Financiero, establece que la Comisión Nacional de Bancos y Seguros, para los efectos jurídicos de la firma electrónica prestará a las Instituciones del Sistema Financiero los servicios de certificación relacionados con su implementación, siempre y cuando la misma esté basada en un certificado reconocido y tenga un código seguro que haya sido producido por un dispositivo seguro de creación de firma, para tales propósitos podrá contratar servicios especializados.
- 4.Que asimismo el precitado Artículo de la Ley del Sistema Financiero, dispone que los datos consignados en forma electrónica, tendrán el mismo valor jurídico que la firma manuscrita, relación con los consignados en papel y será admisible como prueba en juicio, debiendo valorarse como instrumento público.
- 5.Que a efecto de dar cumplimiento a lo establecido en el Artículo 39, párrafo segundo de la Ley de la Comisión Nacional de Bancos y Seguros, situó en su portal del sitio web el proyecto denominado "NORMAS REGULADORAS DE FIRMAS ELECTRÓNICAS ADMINISTRADAS POR LA COMISIÓN NACIONAL DE BANCOS Y SEGUROS", por un término de quince (15) días, a efecto de recibir observaciones del público.
- 6.Que cuando la legislación vigente requiere que para determinados actos o negocios jurídicos y financieros conste por escrito la exigencia de la firma autógrafa, ésta quedará satisfecha jurídicamente al tener asociada una firma electrónica, para cuya implementación, la Comisión Nacional de Bancos y Seguros proporcionará para uso de las Instituciones Supervisadas el canal electrónico denominado Red de Interconexión Financiera.
Articulos
Articulo 1
Objeto. Las presentes Normas tienen por objeto la regulación de las firmas generadas bajo la denominada "Infraestructura de Firma Electrónica" (IFE), cuya propiedad y administración le corresponde a la Comisión Nacional de Bancos y Seguros (CNBS), utilizada por las Instituciones Usuarias del Sistema de Interconexión Financieros. Esta norma comprende el régimen de acreditación y supervisión de la autoridad de certificación y de las autoridades de registro o verificación, reconociendo la variedad de las modalidades de firmas electrónicas, las garantías que ofrecen, los niveles de seguridad y la heterogeneidad de las necesidades de sus potenciales usuarios.
Articulo 2
Alcance de las Normas. Las presentes normas aplican a la utilización de las firmas electrónicas que se generan dentro de la IFE, conforme a lo establecido en el artículo anterior, así como a los pactos, convenios, servicios o políticas que acuerde la CNBS con terceras partes que incluyan firmas electrónicas generadas por la IFE.
Articulo 3
Régimen de Servicios de Certificación y Firmas electrónicas. La prestación de servicios de certificación, así como el de registro o verificación de firmas electrónicas, se de Bancos y Seguros proporcionará para uso de las Instituciones Supervisadas el canal electrónico denominado Red de Interconexión Financiera.
Articulo 4
Definiciones. Para la aplicación de estas normas y bajo la perspectiva de la tecnología de información, deberá entenderse por: 1. Autoridad de Certificación: Entidad de confianza, responsable de emitir y revocar los certificados digitales, utilizados en la firma electrónica o el no repudio de transacciones, para la cual se emplea la criptografía de clave o llave pública. En este caso particular corresponde a un prestador de servicios de certificación, que será la CNBS. 2. Autoridad de Registro: Persona designada por las Instituciones Usuarias de la IFE y autorizada por la Autoridad de Certificación para identificar y autenticar los Sujetos y con potestad para actuar en nombre de un tercero cuando corresponda. 3. Certificado Digital: Documento digital extendido por la Autoridad de Certificación que garantiza la vinculación entre la identidad de los usuarios de la IFE y su Llave (clave) Privada. 4. Cifrado: Proceso de convertir un texto plano (o en claro) a un texto ilegible, denominado texto cifrado o criptograma. 5. CNBS: Comisión Nacional de Bancos y Seguros. 6. Clave Comprometida: Una clave ha sido comprometida en aquel caso en que (aun cuando no se tenga la certeza) se supone que dicha clave es conocida por otra persona que no es el propietario de la misma. 7. Criptografía: Arte o ciencia de cifrar y descifrar información utilizando técnicas que hagan posible el intercambio de mensajes de manera segura que únicamente puedan ser leídos por las personas a quienes van dirigidos. 8. Firma Biométrica: Captación de la firma escrita a través de dispositivos electrónicos, con el propósito de asegurar la identidad del firmante, predestinada a ser usada en la firma de contratos, documentos, recibos, protocolos y cualquier otro documento que estime conveniente la CNBS. 9. Firma Digital: Método criptográfico que asocia la identidad de un usuario o de un equipo informático al mensaje o documento utilizando la tecnología PKI. 10. Firma Electrónica: Cualquier símbolo basado en medios electrónicos, generado dentro de la IFE, utilizado o adoptado por alguien, con la intención precisa de vincular, autenticar y garantizar la integridad de un documento electrónico o un mensaje de datos cumpliendo todas o algunas características de una manuscrita. 11. Firmante: Corresponde al usuario de la IFE que genera una Firma Electrónica sobre los datos. 12. IFE: Infraestructura de Firma Electrónica de la CNBS. 13. Infraestructura de Llave (clave) Pública (PKI): Combinación de hardware, software, organizaciones, prácticas y procesos, creada con el propósito de administrar políticas, Certificados y Llaves. 14. Interconexión Financiera: Enlace de redes informáticas individuales (cada una de las cuales conserva su identidad) para formar una red interconectada. Los servidores de las diferentes Instituciones del Sistema Financiero Nacional se conectan a través de Redes de acceso externas (WAN). Pudiendo acceder registros de diferentes máquinas para el intercambio de información. 15. Llave Pública: Parte pública de un par de llaves asimétricas utilizadas para el cifrado en el envío de mensajes, la que se utilizará para la verificación de las firmas digitales u para cifrar los mensajes que se envíen al propietario de la llave privada. 16. Llave Privada: Parte secreta de un par de llaves asimétricas utilizadas para el cifrado en el envío de mensajes, ésta corresponde a la llave que pertenece exclusivamente a un usuario de la IFE. 17. Manual de Declaración de Prácticas: Marco legal y tecnológico que conlleva a la Administración de la Infraestructura de Firma Electrónica (IFE) de la CNBS. 18. No Repudio: Manera de garantizar que el usuario de la IFE generador de un mensaje, no pueda posteriormente negar el envío del mismo. 19. ORFE: Oficial de Registro de Firma Electrónica. SECCIÓN II DEL USO DE FIRMAS ELECTRÓNICAS
Articulo 5
Utilización de las Firmas Electrónicas. La utilización de las firmas electrónicas bajo el marco de la IFE brindará seguridad a lo siguiente: a) Todas las comunicaciones digitales establecidas entre la CNBS y las Instituciones Usuarias de la Red de Interconexión Financiera. b) El servicio de una Autoridad Certificadora confiable, para que las Instituciones usuarias de la Red de Interconexión Financiera puedan incorporarlo a la plataforma de sus servicios electrónicos. c) Un mecanismo de autenticación sólido para acceder a los servicios electrónicos ofrecidos por la CNBS tanto a nivel interno como externo. d) Todas las comunicaciones digitales internas establecidas dentro de la CNBS. e) Conservación de todo dato que permita determinar el origen, destino, fecha y hora de envío y recepción. CAPÍTULO III DE LA IFE SECCIÓN I ASPECTOS GENERALES
Articulo 9
Elementos. La IFE está constituida por: a) El conjunto de firmas electrónicas, certificados digitales y documentos electrónicos generados bajo la IFE. b) Las prácticas de certificación extendida por la CNBS, basada y compatible con estándares internacionales vigentes, que aseguren la interoperabilidad y la funcionalidad de la IFE. c) El software, el hardware y demás componentes adecuados para la implementación de la firma biométrica y las prácticas de certificación, así como las condiciones de seguridad adicionales comprendidas en los estándares internacionales implementados por la CNBS. d) El Sistema de gestión que permite el mantenimiento de las condiciones señaladas en los literales anteriores, así como la seguridad, confidencialidad, transparencia y no discriminación en la prestación de sus servicios. e) Las Autoridades de Certificación y Registro de la CNBS, así como las Autoridades de Registro, representadas por el Oficial de Registro de Firma Electrónica, debidamente acreditadas o reconocidas por la CNBS. f) El conjunto de Resoluciones, Manuales, Declaraciones, Procedimientos, contratos, Formas o formularios relacionados, los cuales forman parte integral de las presentes Normas. SECCIÓN II DE LA AUTORIDAD DE CERTIFICACIÓN
Articulo 10
Funciones. La Autoridad de Certificación de la IFE tendrá las siguientes funciones: a) Emitir certificados de firmas digitales, manteniendo la numeración respectiva. Así como cancelar y validar los certificados, cuando sea procedente. b) Podrán brindar otros servicios inherentes a los de certificación, cuyas características y procedimientos estarán contenidos en el manual de declaración de prácticas de la IFE. a) Cumplir con la Declaración de Prácticas de la IFE. b) Cumplir las funciones dentro de los plazos señalados en la Declaración de Prácticas de la IFE. c) Informar a los usuarios de la IFE de las condiciones de emisión, uso y cancelación de los certificados de firmas digitales. d) Controlar y mantener en estricta reserva la clave privada utilizada para los certificados de firmas digitales que emita. e) Cancelar de forma inmediata los certificados emitidos e implementar medidas que la CNBS determine, cuando la clave privada de la autoridad de certificación sea comprometida. f) Mantener un registro de los certificados emitidos y cancelados, consignando su fecha de emisión y vigencia. g) Publicar permanente e ininterrumpidamente por los medios que considere oportuno, el historial respectivo de los certificados emitidos y cancelados. h) Cancelar el certificado de la firma digital conforme a lo establecido en el Manual de Declaración de Prácticas de la IFE. i) Salvaguardar la confidencialidad de la información relacionada a los solicitantes y titulares de certificados, limitando su empleo a las necesidades propias del servicio de certificación, salvo orden judicial o pedido expreso del titular del certificado de la firma digital. j) Brindar las facilidades necesarias al personal autorizado por la CNBS para efectos de supervisión y auditoría. k) Mantener un registro de los certificados cancelados, por un período mínimo de cinco (5) años. l) Cumplir los términos bajo los cuales obtuvo la acreditación, así como los requerimientos adicionales que establezca la CNBS conforme a lo establecido en estas Normas. SECCIÓN III DE LAS AUTORIDADES DE REGISTRO O VERIFICACIÓN
Articulo 12
Funciones. Las Autoridades de Registro o Verificación tienen las siguientes funciones: a) Identificar plenamente al solicitante de la firma electrónica mediante el levantamiento de datos y la comprobación de la información brindada por éste. b) Comunicar a la Autoridad de Certificación la aceptación y/o autorización de las solicitudes de emisión, modificación o cancelación de firmas electrónicas, según sea el caso. c) Gestionar las firmas electrónicas emitidas por la Autoridad de Certificación conforme a las presentes Normas.
Articulo 13
Obligaciones. Las autoridades de Registro o Verificación registradas, tienen las siguientes obligaciones: a) Cumplir con el Manual de Declaración de Prácticas de la IFE. b) Constar de forma objetiva y directa la veracidad de la información proporcionada por el solicitante de la firma electrónica. c) Mantener la confidencialidad de la información relativa a los solicitantes y titulares de las firmas electrónicas limitando su utilización a las necesidades propias del servicio de registro o verificación, salvo orden judicial o pedido expreso del titular de la firma electrónica o del certificado. d) Recopillar únicamente información o datos personales de relevancia establecidos en el Manual de Declaración de Prácticas de la IFE para la emisión de las firmas electrónicas, y, e) Las regulaciones que estime pertinentes la CNBS.
Articulo 14
Oficial de Registro de Firma Electrónica. Cada Institución usuaria de la IFE deberá designar un Oficial de Registro de Firma Electrónica (ORFE), encargado de cumplir con las funciones y obligaciones de la Autoridad de Registro de su Institución, establecidas en los Artículos 12 y 13 de la presente Norma. El ORFE podrá ser la misma persona actualmente designada para administrar los accesos a Interconexión Financiera. Adicionalmente deberá entrenarse a otra persona para que en caso de ausencia del primero la sustituta, entendiéndose que el sustituto podrá tener asignadas otras actividades y funciones si la institución lo estimeconveniente, mientras no esté en sus labores de sustitución.
Articulo 15
Cese de operaciones. La Autoridad de Registro o Verificación de los usuarios de la IFE, cesará sus operaciones en el marco de la IFE, tomando en consideración los Mecanismos de Resolución establecidos en el artículo 115 de la Ley del Sistema Financiero o a los mecanismos establecidos para tal fin en las Leyes correspondientes de las cuales forma parte la misma. SECCIÓN IV DEL CERTIFICADO
Articulo 16
Requisitos. El interesado en obtener un certificado, deberá acreditar lo establecido en el apartado sobre Validacion de Identidad Inicial que se describirá en el Manual de Declaración de Prácticas de la IFE.
Articulo 17
Vigencia. Cada certificado tendrá una vigencia y fecha de finalización que se indicará en cada certificado, de conformidad con lo establecido para tal fin en el Manual de Declaración de Prácticas de la IFE, a excepción de lo dispuesto en el Artículo siguiente de las presentes normas.
Articulo 18
Suspensión y revocación. La suspensión o revocación de un certificado debe realizarse observando las causales y los procedimientos establecidos en el Manual de Declaración de Prácticas de la IFE. SECCIÓN V DE LA FIRMA ELECTRÓNICA
Articulo 19
Firmas Electrónicas. Las firmas Electrónicas (tanto digitales como biométricas) que tengan la validez y eficacia a que se refiere el artículo 7 de estas Normas, son las que genere la IFE.
Articulo 20
Características. Las características mínimas de la firma electrónica generada bajo la IFE son las siguientes: a) Es exclusiva del titular de la firma electrónica y de cada mensaje de datos firmado por éste. b) Tanto la firma como el mensaje firmado son cifrados, utilizando mecanismos sólidos de criptografía. c) Está añadida o asociada lógicamente al mensaje de datos de la manera que es posible detectar si la firma electrónica o el mensaje de datos fue alterado. d) Su generación está bajo el control exclusivo del titular de la firma electrónica. e) Es susceptible de ser verificada.
Articulo 21
Funciones. Dadas las características señaladas en el artículo anterior, técnicamente la firma electrónica debe garantizar que: a) El mensaje de datos fue enviado y firmado por el titular de la firma electrónica. b) El mensaje de datos no ha sido alterado después que el remitente lo envió. c) Como consecuencia de los dos literales anteriores, el titular de la firma electrónica no puede repudiar o desconocer un mensaje de datos que ha sido firmado electrónicamente usando la IFE, dado que ésta se mantiene bajo su control exclusivo; salvo que demuestre ante autoridad competente, que fue utilizada sin su autorización por terceras personas.
Articulo 22
Del titular. Dentro de la IFE, la responsabilidad sobre los efectos jurídicos generados por la utilización de una firma electrónica corresponde al titular de la firma. Tratándose de personas naturales, éstas son titulares de las firmas biométricas, del certificado y de las firmas digitales que se generen por esta persona natural. En el caso de personas jurídicas, son éstas los titulares del certificado y sus representantes son los titulares de la firma digital y de la firma biométrica.
Articulo 23
Obligaciones del titular. Las obligaciones del titular de la firma electrónica son: a) Entregar información veraz bajo su responsabilidad. b) Observar las condiciones establecidas para la utilización lógica y física de firmabiométricas, firmas digitales y certificados. c) Generar la clave privada y firmar digitalmente mediante los procedimientos establecidos. Autoridad de Registro o Verificación, asumiendo responsabilidad por la veracidad y exactitud de ésta. f) En caso de que la clave privada quede comprometida en su seguridad, el titular debe notificarlo de inmediato al ORFE de su Institución para que revoque dicha clave.
Articulo 24
Invalidez. Una firma electrónica generada bajo la IFE pierde validez si es utilizada: a) Para fines distintos para la cual fue extendida. b) Cuando el certificado haya sido cancelado conforme a lo establecido en el Artículo 18 de la Sección IV del Certificado de estas normas. SECCIÓN VI DEL CIERRE DE LAS OPERACIONES
Articulo 25
Del cese de operaciones. La IFE cesará sus operaciones cuando así lo disponga la CNBS y mediante resolución que ésta emita.
Articulo 26
Del Plazo del cese de operaciones. De conformidad a la Ley de Procedimiento Administrativo, la CNBS establecerá el plazo legal mediante el cual la IFE notificará tanto a aquélla como a los titulares de certificados de firmas digitales y firmas biométricas el cese de sus actividades.
Articulo 27
Del Procedimiento de publicación. La CNBS determinará el procedimiento de publicación a seguir en el cese de operaciones de la IFE, de conformidad a lo establecido en el Manual Declaración de Prácticas de la IFE.
Articulo 28
De la Cancelación las firmas electrónicas al cese de operaciones. La CNBS cancelará los certificados y firmas biométricas emitidos por la IFE cuyas operaciones hayan cesado, consignando el día, hora, minuto y segundo en que ocurrió el cese de ésta. Quedando en desuso la utilización de los certificados y firmas biométricas emitidos dentro y durante sus operaciones. CAPÍTULO V DISPOSICIONES TRANSITORIAS Y FINALES SECCIÓN ÚNICA
Articulo 30
Plazo de Adecuación. La CNBS mediante resolución motivada brindará las instrucciones necesarias a fin de que las instituciones usuarias de la Red de Interconexión Financiera programen los planes necesarios a fin de adecuarse a las presentes normas.
Articulo 31
Efectividad en la Utilización de las Firmas Electrónicas. Todas las comunicaciones hasta el momento se tramiten en papel común entre la CNBS y los usuarios a los que se refiere el Artículo 1° a partir de la fecha de publicación de las presentes Normas en el Diario Oficial La Gaceta, se realizarán de manera electrónica utilizando la IFE.
Articulo 32
Casos no previstos. En todo lo no previsto en estas Normas, se estará a lo dispuesto en las disposiciones legales vigentes.
Articulo 33
Vigencia. Las presentes Normas entrarán en vigencia a partir del 1 de enero de 2013. 2. Instruir a la Gerencia de Informática que en la planificación de sus actividades, deberá incorporar la capacitación al personal de las Instituciones Supervisadas, una vez Certificada la Infraestructura de la Firma Electrónica administrada por la Comisión Nacional de Bancos y Seguros. 3. Comunicar a las Instituciones Supervisadas, la presente Resolución para los efectos que correspondan. 4. Las presentes Normas deberán publicarse en el Diario Oficial "La Gaceta". CARLOS ROBERTO ORTEGA MEDINA Asistente de Secretaría 16 M. 2012.