Declaración de Prácticas de Certificación (DPC)

Disposiciones Comunes

Artículo 2.2.2.48.3.1. Declaración de Prácticas de Certificación (DPC).

Sin perjuicio de los demás requisitos que establezca el ONAC, el contenido de esta declaración deberá incluir al menos lo siguiente:

  1. Identificación de la entidad de certificación.
  2. Política de manejo de los
  3. Obligaciones de la entidad y de los suscriptores de los
  4. Precauciones que deben observar los
  5. Manejo de la información suministrada por los
  6. Descripción de las garantías y recursos que ofrece para el cumplimiento de las obligaciones que se deriven de sus
  7. Límites de responsabilidad por el ejercicio de su
  8. Política tarifaria de expedición y revocación de
  9. Procedimientos de seguridad para el manejo de eventos e incidentes, entre otros:
  • Cuando la seguridad de la clave privada de la entidad de certificación se ha visto comprometida;
  • Cuando el sistema de seguridad de la entidad de certificación ha sido vulnerado;
  • De igual manera, Cuando se presenten fallas en el sistema de la entidad de certificación que comprometan la prestación del servicio;
  • Y Cuando los sistemas de cifrado pierdan vigencia por no ofrecer el nivel de seguridad contratado por el suscriptor.
  1. EI plan de contingencia encaminado a garantizar la continuidad del servicio de certificación.
  2. Modelos y minutas de los contratos que utilizarán con los
  3. Política de manejo de otros servicios que fuere a prestar, detallando sus condiciones.
  4. Descripción de los requisitos y procedimientos para la emisión de cada uno de los tipos de certificados que ofrece, de acuerdo con lo establecido en las normas legales vigentes. 

Artículo 2.2.2.48.3.2. Infraestructura y recursos.

En desarrollo de lo previsto en el literal b) del artículo 29 de la Ley 527 de 1999, la entidad de certificación deberá contar con un equipo de personas, una infraestructura física, tecnológica y unos procedimientos y sistemas de seguridad, tales que:

  1. Puedan generar las firmas digitales y electrónicas propias y que además, les permita prestar todos los servicios para los que soliciten la acreditación.
  2. Se garantice el cumplimiento de lo previsto en la Declaración de Prácticas de Certificación (DPC).
  3. Se pueda calificar el sistema como confiable de acuerdo con lo señalado en el artículo 2.2.2.51.1.4 del presente Decreto.
  4. Los certificados expedidos por las entidades de certificación cumplan con:
  • Lo previsto en el artículo 35 de la ley 527 de 1999; y
  • Los estándares técnicos nacionales e internacionales vigentes que cumplan con los criterios específicos de acreditación que para el efecto establezca el ONAC.
  1. Se garantice la existencia de sistemas de seguridad física en sus instalaciones, un monitoreo permanente de toda su planta física, y acceso restringido a los equipos que manejan los sistemas de operación de la  entidad.
  2. El manejo de la clave privada de la entidad esté sometido a un procedimiento propio de seguridad que evite el acceso físico o de otra índole a la misma a personal no autorizado.
  3. Cuente con un registro de todas las transacciones realizadas, que permita identificar el autor de cada una de las operaciones.
  4. Los sistemas que cumplan las funciones de certificación solo sean utilizados con ese propósito y por lo tanto no puedan realizar ninguna otra función.
  5. Todos los sistemas que participen directa o indirectamente en la función de certificación estén protegidos por sistemas y procedimientos de autenticación y seguridad de conformidad con los estándares nacionales e internacionales vigentes y con los criterios específicos de acreditación que para el efecto establezca el ONAC. 

Artículo 2.2.2.48.3.3. Infraestructura prestada por un tercero.

Cuando quiera que la entidad de certificación requiera o utilice infraestructura o servicios tecnológicos prestados por un tercero, los contratos deberán prever que su terminación está condicionada a que la entidad haya implementado o contratado una infraestructura o servicio tecnológico que le permita continuar prestando sus servicios sin ningún perjuicio para los suscriptores.

Tanto el tercero como la entidad de certificación, deberán cumplir con los requisitos legales, técnicos y de infraestructura que para la acreditación establezcan el presente decreto y el ONAC.

La contratación de esta infraestructura o servicios no exime a la entidad certificadora de cumplir con el deber de permitir y facilitar al ONAC la realización de auditorías. 

Artículo 2.2.2.48.3.4. Certificaciones recíprocas.

El reconocimiento de los certificados emitidos por entidades de certificación extranjeras, realizado por entidades de certificación acreditadas para tal efecto en Colombia, se hará constar en un certificado expedido por estas últimas.

El efecto del reconocimiento de cada certificado se limitará a las características propias del tipo de certificado reconocido y por el período de validez del mismo.

Los suscriptores de los certificados reconocidos y los terceros tendrán idénticos derechos que los suscriptores y los terceros respecto de los certificados propios de la entidad que hace el reconocimiento. 

Artículo 2.2.2.48.3.5. Auditorías.

De conformidad con lo dispuesto en el artículo 162 del Decreto Ley 19 de 2012, el ONAC será el encargado de realizar, directamente o a través de terceros, las auditorías a las entidades de certificación, de acuerdo con lo previsto en las reglas de acreditación y criterios específicos fijados por el ONAC. El informe dictaminará si la entidad de certificación actúa o está en capacidad de actuar, de acuerdo con los requerimientos de la Ley 527 de 1999, lo previsto en este decreto y en las normas que los sustituyan, complementen o reglamenten.

Sin perjuicio de lo anterior, las entidades de certificación deberán cumplir con la auditoría de tercera parte en los términos previstos en los criterios específicos de acreditación que establezca el ONAC. 

Artículo 2.2.2.48.3.6. Deberes.

Además de lo previsto en el artículo 32 de la Ley 527 de 1999 modificado por el artículo 162 del Decreto Ley 19 de 2012, las entidades de certificación objeto del presente decreto, deberán:

  1. Comprobar por sí o por medio de una persona diferente que actúe en nombre y por cuenta suya, la identidad y cualesquiera otras circunstancias de los solicitantes o de datos de los certificados, que sean relevantes para los fines propios del procedimiento de verificación previo a su expedición.
  2. Abstenerse de acceder o almacenar la clave privada del suscriptor.
  3. Mantener a disposición permanente del público la Declaración de Prácticas de Certificación, tanto en medio físico como en su sitio web.
  4. Cumplir cabalmente con las políticas de certificación acordadas con el suscriptor.
  5. Informar al suscriptor de los certificados que expide, su nivel de
    confiabilidad, los límites de responsabilidad, y las obligaciones que el suscriptor asume como usuario del servicio de certificación.
  6. Garantizar la prestación permanente e ininterrumpida de los servicios contratados, sin perjuicio de lo previsto en el artículo 34 de la Ley 527 de 1999, modificado por el artículo 163 del Decreto Ley 19 de 2012.
  7. Informar a la Superintendencia de Industria y Comercio y al ONAC, de manera inmediata, la ocurrencia de cualquier evento que comprometa o pueda comprometer la prestación del  servicio.
  8. Previo a la prestación de nuevos servicios de certificación, previstos en el artículo 161 del Decreto Ley 19 de 2012, la entidad certificadora debe ampliar el alcance de su acreditación, incluyendo estos nuevos servicios.
  9. Informar oportunamente la modificación o actualización de servicios incluidos en el alcance de su acreditación, en los términos que establezcan los procedimientos” reglas y requisitos del servicio de acreditación del ONAC.
  10. Mantener actualizado el registro de los certificados revocados. Las entidades de certificación serán responsables de los perjuicios que se causen a terceros de buena fe por incumplimiento de esta obligación.
  11. Garantizar el acceso permanente y eficiente de los suscriptores y/o usuarios y de terceros al repositorio  repositorio.
  12. Disponer de un canal de comunicación de atención permanente a suscriptores y terceros, que permita las consultas y la pronta solicitud de revocación de certificados por los suscriptores.
  13. Garantizar la confidencialidad de la información entregada por los suscriptores.
  14. Garantizar las condiciones de integridad, disponibilidad, confidencialidad y seguridad, de acuerdo con los estándares técnicos nacionales e internacionales vigentes y con los criterios específicos de acreditación que para el efecto establezca el ONAC.
  15. Conservar la documentación que respalda los certificados emitidos, por el término previsto en la ley para los papeles de los comerciantes y tomar las medidas necesarias para garantizar la disponibilidad, integridad y confidencialidad que le sean propias.
  16. lnformar inmediatamente al suscriptor la suspensión del servicio o revocación de sus certificados por cualquier medio disponible.
  17. Capacitar y advertir a sus usuarios sobre las medidas de seguridad que deben observar y sobre la logística que se requiere para la utilización de los mecanismos de que trata el presente decreto.
  18. Remover en el menor término que el procedimiento legal permita, a los administradores o representantes que resulten incursos en las causales establecidas en el literal c del artículo 29 de la Ley 527 de 1999, modificado por el artículo 160 del Decreto Ley 19 de 2012.
  19. Actualizar la información de contacto cada vez que haya cambio o modificación en los datos suministrados.
  20. Cumplir con los procedimientos, reglas y requisitos del servicio de acreditación del ONAC. 

(Lea También: Registro Único Nacional de Entidades Operadoras de Libranza)

Artículo 2.2.2.48.3.7. Responsabilidad.

Las entidades de certificación responderán por todos los perjuicios que causen en el ejercicio de sus actividades.

La entidad certificadora será responsable por los perjuicios que puedan causar los prestadores de servicios a que hace referencia el artículo 2.2.2.48.3.3. del presente Decreto, a los suscriptores o a las personas que confíen en los certificados. 

Artículo 2.2.2.48.3.8. Cesación de actividades.

Las entidades de certificación acreditadas por el ONAC podrán cesar en el ejercicio de sus actividades, en las condiciones establecidas en el artículo 34 de la Ley 527 de 1999, modificado por el artículo 163 del Decreto Ley 19 de 2012 y deberán informar a ONAC y a la Superintendencia de Industria y Comercio con una antelación mínima de 30 días. 

Artículo 2.2.2.48.3.9. Responsabilidad derivada de la administración de los repositorios.

Cuando las entidades de certificación contraten los servicios de repositorios, continuarán siendo responsables frente a sus suscriptores y terceros. 

Artículo 2.2.2.48.3.10. Responsabilidad derivada de la no revocación.

Una vez cumplidas las formalidades previstas para la revocación, la entidad de certificación  será responsable por los perjuicios que cause la no revocación.

Artículo 2.2.2.48.3.11. Supervisión, vigilancia y control de las entidades de certificación.

De acuerdo con lo previsto en el artículo 36 del Decreto 2269 de 1993 y las demás normas que lo complementen, modifiquen o adicionen, corresponde a la Superintendencia de Industria y Comercio ejercer la supervisión, vigilancia y control de las entidades de certificación. 

Artículo 2.2.2.48.3.12. De las entidades de certificación autorizadas por la Superintendencia de Industria y Comercio.

Las entidades de certificación que hayan sido autorizadas por la Superintendencia de Industria y Comercio, en virtud de lo dispuesto por el Decreto 1747 de 2000 y que deseen seguir prestando los servicios de certificación previstos en el artículo 161 del Decreto Ley 19 de 2012. Deberán iniciar el correspondiente proceso de acreditación ante el ONAC, dentro de los 2 meses siguientes a la expedición del presente decreto.

Parágrafo transitorio.

Las entidades de certificación que hubieren sido autorizadas por la Superintendencia de Industria y Comercio. Podrán continuar ofreciendo los servicios de certificación que actualmente prestan en las condiciones que habían sido autorizadas por dicha superintendencia. Hasta tanto obtengan un pronunciamiento por parte del ONAC en relación con la solicitud de acreditación de que trata el presente artículo.

CLIC AQUÍ Y DÉJANOS TU COMENTARIO

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *