REPÚBLICA DE PANAMÁ Ministerio de Comercio e Industrias Dirección Nacional de Comercio Electrónico. Reglamento No. DGCE-PKI-SP

Transcripción

1 REPÚBLICA DE PANAMÁ Ministerio de Comercio e Industrias Dirección Nacional de Comercio Electrónico Reglamento No. DGCE-PKI-SP Por medio del cual se establece el procedimiento de registro, administración y fiscalización de Prestadores de Servicios de Certificación de Firmas Digitales, de carácter público, que utilizan tecnología basada en el estándar de Infraestructura de Clave Pública. CAPITULO I Disposiciones Generales Artículo 1. Objeto. La presente reglamentación es regular la creación, administración y utilización de la firmas digitales basadas en el estándar de infraestructura clave pública y los servicios de certificación relacionados con dichas firmas en el sector público de la República de Panamá. Las instituciones pertenecientes al sector público podrán ser registradas ante la DGCE como prestadores de servicios de certificación regulados y emitir certificados bajo el estándar de PKI, para funcionarios y otros agentes del sector público (contratistas, consultores, etc.) siempre que cumplan con los procedimientos y requisitos establecidos en este la ley vigente y en la reglamentación complementaria. Las entidades públicas que sean registradas como prestadores de servicios de certificación deberán demostrar que cuentan con el personal capacitado y que la Autoridad Certificadora brindará el servicio de certificación de firmas veinticuatro (24) horas al día, siete (7) días a las semana. Artículo 2. Definiciones. Para los efectos del presente reglamento, los siguientes términos se definen así: 1. Autoridad de certificación. Entidad de confianza, de carácter público o privado, responsable de emitir y revocar los certificados digitales utilizados para generar firmas digitales y de administrar los servicios relacionados con el uso de dichos certificados digitales. También identificada con el acrónimo AC. 2. Aviso de validez del certificado electrónico y/o digital. Notificación automatizada que envía un prestador de servicios de certificación de firmas electrónicas y en el que se confirma la validez, vigencia y otras características de un certificado sometido a verificación. 3. Certificación de sistemas que utilizan firma digital: Proceso de comprobación efectuado para establecer la adecuación de un sistema o aplicación a requerimientos mínimos establecidos. 4. Certificado digital. Un certificado digital es una credencial digital emitida y firmada por un prestador de servicios de certificación, que garantiza la validez de toda la información contenida en el certificado y que se utiliza para generar la firma digital que vincula un individuo a determinado documento electrónico. 5. Certificado digital calificado. Certificado digital expedido por prestador de servicios de certificación registrado ante la Dirección General de Comercio Electrónico, que cumple los requisitos establecidos en esta Ley y su reglamentación en cuanto a la comprobación de la identidad de los firmantes, la fiabilidad y garantía de los servicios de certificación ofrecidos por el prestador de servicios de certificación que lo genera. 6. CPS. Acrónimo del término en idioma inglés Certification Policy Statement, también utilizado para identificar a la Declaración de Practicas de Certificación (DPC). 7. CRL. Acrónimo del término en idioma inglés Certificate Revocation List, también utilizado para identificar a la Lista de Revocación de Certificados

2 (LRC). 8. CTC. Comité Técnico Consultivo integrado por representantes del sector público y del sector privado y que recomendará los reglamentos y resoluciones técnicas que deben ser aplicados a las materias de competencias de la Dirección General de Comercio Electrónico. 9. Datos de creación de firma digital. Son los datos únicos, como códigos o claves criptográficas, que se utiliza para verificar la firma digital. 10. Datos de verificación de firma digital. Son los datos, como códigos o claves criptográficas, que se utilizan para verificar la firma digital. 11. Declaración de prácticas de certificación: Manual de Procedimientos que contiene el Conjunto de prácticas y políticas utilizadas por el certificador registrado en la remisión y administración de los certificados. En inglés Certification Practice Statement (CPS). 12. DGCE. Siglas correspondientes a la Dirección General de Comercio Electrónico. 13. Dispositivo seguro de creación de firma digital. Programa o sistema informático que sirve para la generación de una firma digital. 14. Dispositivo de verificación de firma digital. Programa o sistema informático que sirve para la verificación de los datos de validez del certificado digital utilizado para generar una firma digital. 15. Documento. Escritos, escrituras, certificaciones, copias, impresos, planos, dibujos, cintas, cuadros, fotografías, radiografías, discos, grabaciones magnetofónicas, boletos, contraseñas, cupones, etiquetas, sellos, telegramas, radiogramas y, en general, todo objeto mueble que tenga carácter representativo o declarativo de un hecho, una imagen, un sonido o una idea. 16. Documento electrónico. Toda representación electrónica que da testimonio de un hecho, una imagen, un sonido o una idea. 17. Firma Digital. Rúbrica añadida a un mensaje/documento electrónico que resulta de utilizar una tecnología digital que aplica un algoritmo matemático a dicho mensaje/documento y seguidamente, aplica un algoritmo de firma al resultado de la operación anterior, para asociar al firmante a un mensaje/documento electrónico con la finalidad de asegurar la identidad del firmante y la integridad del mensaje/documento electrónico al que ha sido asociada. 18. Firma Digital calificada. Es la firma asociada un certificado digital emitido por un prestador de servicios de certificación regulado por la Dirección General de Comercio Electrónico que: a. Permite identificar al firmante y detectar cualquier cambio posterior de los datos firmados; b. Está vinculada al firmante de manera única y a los datos a que se refiere; c. Ha sido generada utilizando dispositivos seguros de creación de firmas, los cuales mantiene el firmante bajo su control exclusivo. 19. Firma digital calificada de larga duración. Es la firma digital asociada a un certificado electrónico que ha sido suministrado por un prestador de servicios de certificación registrado ante la DGCE, cuya validez es garantizada en base a procedimientos y estándares aprobados por la DGCE. 20. Homologación de dispositivos de creación y verificación de firmas digitales: Proceso de comprobación efectuado para establecer la adecuación de los dispositivos a requerimientos mínimos establecidos. 21. Infraestructura de clave pública. Consiste en el conjunto de hardware, software, personas, políticas y procedimientos necesarios para crear, gestionar, almacenar, distribuir y revocar certificados digitales utilizados para crear firmas

3 digitales. Conocida generalmente como PKI por siglas de su nombre en inglés Public Key Infrastructure). 22. Iniciador. Toda persona que, a tenor de un mensaje de datos, haya actuado por su cuenta para enviar o generar ese mensaje antes de ser archivado, si este es el caso, pero que no haya actuado a título intermediario con respecto a ese mensaje. 23. Intermediario. Persona que, actuando por cuenta de otra, envíe, reciba o archive un mensaje o preste algún otro servicio con respecto a él. 24. IP. Siglas utilizadas para referirse al protocolo, o conjunto de códigos de comunicación, utilizado para comunicaciones en Internet. 25. Lista de certificados revocados. Lista de certificados que han sido dejados sin efecto en forma permanente por el Prestador de servicios de certificación regulado, la cual ha sido firmada digitalmente y publicada por el mismo. En inglés Certificate Revocation List (CRL). 26. Mensaje de datos. Información generada, enviada, recibida, archivada o comunicada por medios electrónicos, ópticos o similares. 27. Nombre de dominio. Nombre utilizado comúnmente para identificar un sitio web en internet. 28. OID. Acrónimo del término en idioma inglés Object Identification, que consiste en un número único de identificación asignado en base a estándares internacionales y comúnmente utilizado para identificar documentos, sistemas, equipos, etc., con la finalidad, entre otras cosas, de conocer el origen, la titularidad y la antigüedad del objeto identificado. 29. PKI. Acrónimo del término en idioma inglés Public Key Infrastructure, también utilizado para identificar a la Infraestructura de Clave Pública. 30. Plan de Contingencias. Conjunto de procedimientos a seguir por el prestador de servicios de certificación regulado ante situaciones de ocurrencia no previstas que comprometan la continuidad de sus operaciones. 31. Plan de Cese de Actividades. conjunto de actividades a desarrollar por el prestador de servicios de certificación regulado en caso de finalizar la prestación de sus servicios. 32. Plan de Seguridad. Conjunto de políticas, prácticas y procedimientos destinados a la protección; de los recursos del prestador de servicios de certificación regulado. 33. Política de Certificación. Conjunto de criterios que indican la aplicabilidad de un certificado a un grupo de usuarios en particular o a un conjunto de aplicaciones con similares requerimientos de seguridad. En inglés Certification Policy (CP). 34. Prestador de servicios de certificación de carácter público. Toda entidad, asociación de interés público u organización del gobierno, centralizada, descentralizada, autónoma o semiautónoma, que administre una infraestructura de clave pública, para la generación y administración de certificados y del juego de claves que son utilizados bajo el estándar de PKI para generar firmas digitales para identificar a una persona y verificar el estatus de dichas firmas y provee otros servicios relacionados con el uso de las firmas digitales. 35. Sellado de Confianza. Reconocimiento otorgado a prestadores de servicios regulados por la Ley No. 51 de 2008 que cumplen con códigos de conducta emitidos por la DGCE y/u otras organizaciones, que promueven la aplicación de los más elevados estándares seguridad de las transacciones realizadas a través de sus sitios web, con la finalidad de crear confianza y credibilidad en el comercio electrónico y garantizar la protección de la privacidad de los usuarios.

4 36. Sellado Digital de Tiempo (time stamping). Procedimiento por medio del cual un prestador de servicios de certificación de firmas electrónicas registrado ante la DGCE electrónico adiciona a un documento y/o transacción electrónica una referencia de fecha y hora, tomando como referencia una fuente segura de tiempo y utilizando su certificado electrónico para garantizar que los datos asociados al documento y/o transacción electrónica han existido y no han sido alterados desde un momento específico en el tiempo. La DGCE establecerá mediante reglamentación los estándares que deberán cumplir los prestadores de servicios de certificación que ofrezcan este servicio. 37. Suscriptor o Titular de certificado digital: Persona a cuyo nombre se emite un certificado y posee una clave privada que se corresponde con la clave pública contenida en el mismo. 38. Terceras partes confiables: Entidades independientes que otorgan seguridad y confiabilidad al manejo de la información. Artículo 3. Las entidades del sector público sólo podrán utilizar certificados digitales emitidos por prestadores de servicios de certificación regulados por la DGCE. Artículo 4. Regulación. La dirección General de Comercio Electrónico (DGCE), del Ministerio de Comercio e Industrias, será la encargada de establecer: 1. Los estándares de seguridad tecnológica utilizados por los prestadores de servicios de certificación en el sector público, en consonancia con estándares internacionales; 2. Los procedimientos de creación, verificación y administración de firmas electrónicas y los servicios relacionados con estas, en consonancia con los estándares tecnológicos definidos conforme el inciso precedente; 3. Las condiciones mínimas de emisión de certificados digitales; 4. Los casos en los cuales deben revocarse los certificados digitales; 5. Los datos considerados públicos contenidos en los certificados digitales; 6. Los mecanismos que garantizarán la validez y autoría de las listas de certificados revocados; 7. La información que los prestadores de servicios de certificación del sector público deberán publicar por internet; 8. La información que los prestadores de servicios de certificación del sector público deberán proveer a la DGCE para ser publicada por esta; 9. Los procedimientos mínimos de revocación de certificados; 10. Los procedimientos mínimos de conservación de la documentación de respaldo de las operaciones de los prestadores de servicios de certificación del sector público, en el caso que éstos cesen su actividad; 11. El procedimiento para auditar a los prestadores de servicios de certificación del sector público, incluyendo la presentación de los informes de auditoría y los requisitos de habilitación para efectuar auditorías; 12. Las condiciones y procedimientos para el otorgamiento y revocación de las licencias para prestadores de servicios de certificación en el sector público; 13. Las normas y procedimientos para la homologación de los dispositivos de creación y verificación de firmas digitales; 14. Los procedimientos aplicables para el reconocimiento de certificados extranjeros; 15. Los contenidos mínimos de las declaraciones de políticas de certificación; 16. Las condiciones mínimas que deberán cumplirse para el cese de actividades de un prestadores de servicios de certificación del sector público; 17. Las garantías y seguros necesarios para prestar el servicio previsto; Artículo 5. Responsabilidad de los prestadores de servicios de certificación del sector público. El registro de un prestador de servicios de certificación regulado no implica que la DGCE garantiza la prestación de los servicios de certificación o los productos provistos por el prestador de servicios de certificación. En ningún caso, la responsabilidad que pueda emanar por incumplimiento por parte de un prestador de servicios de certificación, público o privado, de la legislación y/o de la reglamentación complementaria vigente comprometerá la

5 responsabilidad pecuniaria del Estado en su calidad de regulador y fiscalizador de la Infraestructura de firma digital. Artículo 6. Publicidad. Toda documentación o anuncio de servicios que utilice un prestador de servicios de certificación del sector público, deberá indicar que cuenta con el registro previo ante la DGCE, del Ministerio de Comercio e Industrias y que está autorizada para realizar esa actividad en el territorio de la República de Panamá. El texto que deberá utilizarse es el siguiente: Autoridad de Certificación, autorizada en la República de Panamá mediante registro No. de la DGCE, del MICI. CAPITULO II LOS PRESTADORES DE SERVICIOS DE CERTIFICACIÓN DE FIRMAS DIGITALES BAJO EL ESTANDAR DE PKI EN EL SECTOR PÚBLICO. Artículo 7. Responsabilidades del prestador de servicios de certificación. El prestador de servicios de certificación, tendrá las siguientes responsabilidades: 1. Emitir certificados en relación con las firmas digitales bajo el estándar de PKI de personas naturales o jurídicas; 2. Emitir certificados sobre la verificación respecto de la alteración entre el envío y la recepción de mensajes de datos; 3. No almacenar, ni copiar los datos de creación de firma de la persona a la que haya prestado sus servicios. 4. Proporcionar al solicitante, antes de la expedición del certificado y del par de claves, por escrito, en un lenguaje claro y accesible, en idioma nacional, la siguiente información mínima: a. Las obligaciones del firmante, la forma en que han de custodiarse el par de claves y el procedimiento que haya de seguirse para comunicar la pérdida o posible utilización indebida de la clave privada; b. Los mecanismos para garantizar la fiabilidad de la firma digital de un documento a lo largo del tiempo. c. El método utilizado por la Autoridad Certificadora para comprobar la identidad del firmante u otros datos que figuren en el certificado. d. Las condiciones precisas de utilización del certificado, los límites de uso y la forma como la Autoridad Certificadora garantiza su responsabilidad patrimonial; e. Los precios de los servicios de certificación, uso, administración y otros asociados, incluyendo cargos adicionales y formas de pago, los niveles de servicio al proveer, las obligaciones que el suscriptor asume como usuario del servicio de certificación, su domicilio en el territorio nacional y los medios a los que el suscriptor puede acudir para solicitar aclaraciones, dar cuenta del mal funcionamiento del sistema o presentar sus reclamos f. La DPC; 5. Utilizar sistemas confiables que permitan: a. Emitir certificados conforme a lo requerido por el solicitante; b. Mantener un repositorio de certificados actualizado en el que se indicarán los certificados expedidos, y si están vigentes o si su vigencia ha sido suspendida o extinguida. La integridad del directorio se protegerá mediante la utilización de los mecanismos de seguridad adecuados; c. Garantizar la disponibilidad de un servicio de consulta rápido y seguro a los repositorios, para suscriptores y terceros. d. Garantizar que pueda determinarse con precisión la fecha y la hora en las que se expidió, se extinguió, se suspendió o se revocó la vigencia de un certificado; e. Garantizar la rapidez y la seguridad en la prestación del servicio, incluyendo servicios de revocación seguros e inmediatos; f. Implementar medidas contra la falsificación de certificados y garantizar la confidencialidad del proceso de generación del par de claves y, su entrega por un procedimiento seguro al firmante; g. Conservar registrada, por cualquier medio seguro, toda información y

6 documentación relativa a un certificado calificado, así como las declaraciones de prácticas de certificación vigentes de cada momento, al menos durante siete años contados desde el momento de su expedición, de manera que puedan verificarse la valides de las firmas asociadas a cada certificado emitido; h. Proteger el manejo de la clave privada de la entidad mediante un procedimiento de seguridad que impida el acceso a la misma a personal no autorizado; i. Proteger el acceso y el uso de la clave privada mediante procedimientos que exijan la participación de más de una persona; j. Registrar las transacciones realizadas, a fin de identificar el autor y el momento de cada una de las operaciones; k. Utilizar con exclusividad los sistemas que cumplan las funciones de certificación con ese propósito, sin que se les asigne ninguna otra función. 6. Garantizar que no puede acceder y/o almacenar bajo ninguna circunstancia a una copia de la clave privada necesaria para la generación de la firma de la persona a la que haya prestado sus servicios; 7. Garantizar la rapidez y la seguridad en la prestación del servicio, incluyendo servicios de revocación seguros e inmediatos; 8. Emplear personal calificado, con los conocimientos y la experiencia necesaria para la prestación de los servicios de certificación ofrecidos, así como con los procedimientos de seguridad y de gestión exigidos bajo el estándar de PKI; 9. Garantizar la protección, la confidencialidad y el debido uso de la información suministrada por el suscriptor, la cual no podrá ser divulgada, sin una orden previa de la autoridad competente y de conformidad con las leyes de la República de Panamá o previa autorización expresa, debidamente acreditada y razonablemente específica, por parte de la persona titular de la información que debe ser mantenida en forma confidencial por parte del prestador de servicios. 10. Contar con un plan de contingencia que garantice la prestación permanente de sus servicios y la continuidad de los servicios en caso de desastres; 11. Permitir y facilitar la realización de las evaluaciones técnicas que ordene la DGCE; 12. Demostrar que cumple con los estándares establecidos por la DGCE para garantizar la fiabilidad necesaria para prestar servicios de certificación, incluyendo la contratación de una póliza de responsabilidad civil contractual y extracontractual, para afrontar el riesgo de la responsabilidad por daños y perjuicios que pueda ocasionar el uso de los certificados que expidan; 13. Ofrecer o facilitar los servicios de registro y estampado cronológico en la transmisión y recepción de mensajes de datos firmados con firmas digitales bajo el estándar de PKI; 14. Ofrecer los servicios de archivo y conservación de mensaje de datos; 15. Ofrecer un servicio de atención a titulares y terceros, que permita evacuar las consultas y la pronta solicitud de revocación de certificados; 16. Informar a la DGCE, de modo inmediato, la ocurrencia de cualquier evento que comprometa la correcta prestación del servicio; 17. Informar a la DGCE, los suscriptores y los terceros, de forma clara y oportuna sobre toda actividad complementaria, relacionada con los servicios de certificación de firmas digitales bajo el estándar de PKI; 18. Presentar a la DCGE, en tiempo oportuno, toda la información que está dependencia le solicite en su condición de ente regulador y fiscalizador. Artículo 8. Declaración de prácticas de certificación de firmas bajo el estándar de PKI. Todo prestador de servicios de certificación del sector público formulará una declaración de prácticas de certificación (DPC) en la que detallará, dentro del marco de esta Ley y la reglamentación complementaria, al menos la siguiente información: 1. Identificación completa del prestador de servicios de certificación regulado;

7 2. Identificación completa de la DPC, incluyendo número de registro de OID; 3. La Política de certificación y administración de cada clase de certificado y detalles de los servicios relacionados con dicho certificado; 4. Las obligaciones que se comprometen a cumplir en relación con la gestión del par de claves y de los certificados electrónicos. 5. Las condiciones aplicables a la solicitud, expedición, uso, suspensión, y extinción de la vigencia de los certificados. 6. Tratamiento de la información suministrada por los suscriptores, y resguardo de la confidencialidad en su caso 7. Las medidas de seguridad técnica y organizativa. 8. Los perfiles y los mecanismos de información sobre la vigencia de los certificados. 9. El Resultado de la evaluación obtenida por el prestador de servicios de certificación en la última auditoría solicitada y/o realizada por la DGCE; 10. Las obligaciones de la autoridad certificadora, de la autoridad de registro y de los suscriptores de los certificados 11. Si el registro como prestador de servicios de certificación ha sido revocado o suspendido, o si la DGCE le ha impuesto alguna sanción, así como la fecha de la revocación o suspensión del registro y/o de la sanción y los motivos de éstas. 12. Los límites para operar como prestador de servicios de certificación. 13. Las garantías que ofrece para el cumplimiento de las obligaciones que se deriven de sus actividades; 14. Procedimientos voluntarios de resolución de conflictos entre los prestadores de servicios y/o usuarios, basado en las reglas generales del arbitraje o de cualquier otro medio reconocido de resolución extrajudicial de controversias. Estos procedimienos podrán realizarse por medios electrónicos. 15. Cualquier evento que sustancialmente afecte la capacidad del prestador de servicios de certificación para operar; 16. La lista de normas y procedimientos de certificación; 17. Cualquier otra información que la DGCE solicite mediante reglamento o resolución técnica. Artículo 9. Publicación de la DPC. La DPC deberá estar disponible al público de manera gratuita y fácilmente accesible, al menos por vía electrónica, dentro de las 48 horas siguientes a la aprobación de la DPC por parte de la DGCE. La última versión de la DPC deberá ser pública, además, en el repositorio que la DGCE. Artículo 10. Obligaciones previas a la inclusión de un certificado en los repositorios. Antes de incluir un certificado en los repositorios y de certificar el estatus del mismo, los prestadores de servicios de certificación deberán cumplir las siguientes obligaciones: 1. Comprobar la identidad y circunstancias personales del solicitante del certificado con arreglo a lo dispuesto la Ley y la reglamentación complementaria; 2. Verificar que la información contenida en el certificado es exacta y que incluye toda la información prescrita para un certificado calificado; 3. Asegurarse de que el firmante está en posesión de los datos de creación de firma correspondientes a los de verificación que constan en el certificado; 4. Garantizar la complementariedad y funcionabilidad del par de claves. Artículo 11. Comprobación de la identidad y otras circunstancias personales de los solicitantes de un certificado calificado. La identificación de la persona natural que solicite un certificado calificado, exigirá su comparecencia ante los encargados de verificarla y se acreditará mediante presentación de un documento de identidad idóneo como la cédula de identidad personal, en caso de ser nacionales, o el pasaporte, en caso de personas de no nacionales. En el caso de los no nacionales, deberá aportarse, además, el documento expedido por la Autoridad Nacional de Migración y en el que se demuestra su estatus migratorio en el país. Los prestadores de servicios de certificación podrán realizar las actuaciones de comprobación previstas en este artículo por sí o por medio de otras personas naturales o jurídicas, públicas o privadas, siendo responsable, en todo caso, el prestador de servicios de certificación.

8 Artículo 12. En el caso de certificados emitidos para la representación de personas jurídicas, los prestadores de servicios de certificación comprobarán, además, los datos relativos a la constitución y personalidad jurídica, así como la extensión y vigencia de las facultades de representación del solicitante. Artículo 13. Cuando el certificado calificado contenga otras circunstancias personales o atributos del solicitante, como su condición de titular de un cargo público, su pertenencia a un colegio profesional o su titulación, éstos deberán comprobarse mediante los documentos oficiales o debidamente autenticados que los acrediten de conformidad con su normativa específica. Artículo 14. Lo dispuesto en los artículos precedentes podrá omitirse en los siguientes casos: 1. Cuando la identidad u otras circunstancias permanentes de los solicitantes de los certificados constaran ya para el prestador de servicios de certificación en virtud de una relación preexistente, en la que, para la identificación del interesado, se hubieran empleado los medios señalados en este artículo y el período de tiempo transcurrido desde la identificación no sea mayor seis meses; 2. Cuando para solicitar un certificado se utilice otro vigente para cuya expedición se hubiera identificado al firmante en la forma prescrita en este artículo. Artículo 15. Registro de certificados. Todo prestador de servicios de certificación del sector público deberá llevar un registro de los certificados emitidos, indicando la fecha de emisión y expiración y, en los casos en que se den, los registros de suspensión, revocación o reactivación de los certificados, además de incluir una copia de los certificados electrónicos generados y un registro de toda la información y documentación relativa a dichos certificados. Artículo 16. Recursos de los prestadores de servicios de certificación del sector público. El prestador de servicios de certificación deberá acreditar que cuenta con recursos financieros y técnicos, adecuados al tipo de actividad de certificación que desarrolla y acorde con los niveles de responsabilidad derivados de la misma. Para tal fin remitirá los informes periódicos que solicite la DGCE. Artículo 17. Servicios de Terceros. En los casos en que el prestador de servicios de certificación del sector público requiera o utilice los servicios de infraestructura tecnológicos prestados por un tercero, deberá prever dentro de su Plan de Contingencia los procedimientos a seguir en caso de interrupción de estos servicios, de modo tal que permita continuar prestando sus servicios de certificación sin ningún perjuicio para los suscriptores. Los contratos entre el prestador de servicios de certificación regulado y los proveedores de servicios o infraestructura deberán garantizar la ejecución de los procedimientos contemplados en el Plan de Cese de actividades aprobado por la DGCE. La contratación de servicios o infraestructura no exime al prestador de la presentación de los informes de auditoría, los cuales deberán incluir los sistemas y seguridades del prestador contratado. Artículo 18. Término de conservación de los registros. Los registros de certificados expedidos por un prestador de servicios de certificación del sector público, deberán conservarse por un término no menor de quince (15) años, contados a partir de la fecha de extinción de la vigencia del correspondiente certificado. Artículo 19. Responsabilidad del prestador de servicios de certificación. El prestador de servicios de certificación responderá por los daños y perjuicios que cause a cualquier persona en el ejercicio de su actividad cuando incumpla las obligaciones que le impone esta Ley y la reglamentación complementaria. En todo caso, corresponderá al prestador de servicios de certificación demostrar que actuó con la diligencia profesional que le es exigible. De manera particular, el prestador de servicios de certificación responderá de los

9 perjuicios que se causen al firmante o a terceros de buena fe, por la falta o el retraso en la actualización de su repositorio, sobre la vigencia, la extinción, revocación o suspensión de los certificados. Los prestadores de servicios de certificación asumirán toda la responsabilidad frente a terceros, por la actuación de las personas en las que deleguen la ejecución de alguna de las funciones necesarias para la prestación de servicios de certificación. Artículo 20. Limitación de responsabilidad del prestador de servicios de certificación. El prestador de servicios de certificación no será responsable de los daños o perjuicios ocasionados al firmante o a terceros de buena fe, si el firmante incurre en alguno de los siguientes supuestos: 1. No haber proporcionado al prestador de servicios de certificación información veraz, completa y exacta sobre los datos que deban constar en el certificado o que sean necesarios para su expedición o para la extinción o suspensión de su vigencia. cuando su inexactitud no haya podido ser detectada por el prestador de servicios de certiticación; 2. La demora en comunicar al prestador de servicios de certificación de cualquier modificación de las circunstancias reflejadas en el certificado; 3. La negligencia en la conservación la clave privada, en el aseguramiento de su confidencialidad y en la protección de todo acceso o revelación. 4. No solicitar la suspensión o revocación del certificado electrónico en caso de duda en cuanto al mantenimiento de la confidencialidad de sus datos de creación de firma. 5. Utilizar el par de claves cuando haya expirado el período de validez del certificado electrónico o cuando el prestador de servicios de certificación le notifique la extinción o suspensión de su vigencia; 6. Si el destinatario de los documentos firmados: a. No compruebe ni tenga en cuenta las restricciones que figuren en el certificado en cuanto, a sus posibles usos y al importe individualizado de las transacciones que puedan realizarse con él; b. No tenga en cuenta la suspensión o pérdida de vigencia del certificado publicada en los repositorios del prestador de servicios de certificación sobre el estatus de los certificados o cuando no verifique autenticidad de la firma. Cuando el firmante sea una persona jurídica, el representante legal que solicita el certificado asumirá las obligaciones indicadas en este artículo. Artículo Centro de contingencia. Los prestadores de servicios de certificación del sector público deberán acreditar que cuentan con un centro de contingencia para garantizar la continuidad de la prestación de servicios en caso de que ocurra algún siniestro o fallo que afecte la operatividad y/o conectividad de los equipos utilizados para prestar los servicios de certificación. El centro de contingencia deberá estar ubicado a veinte (20) kilómetros líneales de la ubicación de los equipos principales, deberá iniciar operaciones por lo menos una (1) hora después de haber acontecido el siniestro o fallo a que se refiere este artículo y deberá por lo menos garantizar la actualización y accesibilidad a las listas de revocación de certificados vigentes. CAPITULO III DE LAS AUTORIDADES DE REGISTRO Artículo Funciones de las Autoridades de Registro. Los Prestadores de servicios de certificación del sector público podrán delegar en Autoridades de Registro (AR) las funciones de validación de identidad y otros datos de los suscriptores de certificados y de registro de las solicitudes de firmas digitales que les sean formuladas, bajo la subordinación y responsabilidad directa del prestador regulado, cumpliendo las normas y procedimientos establecidos por la presente reglamentación y en la DPC presentada a la DGCE. La Autoridad de Registro también podrá ser encargada de entregar los certificados digitales y las claves privadas a los suscriptores, siempre que la DPC de la Autoridad de Certificación establezca procedimientos que garanticen que la

10 intermediación de la AR en el proceso de entrega de estos dispositivos no pone en riesgo la seguridad de los mismos. Artículo 23. Una Autoridad de Registro es una entidad responsable de las siguientes funciones: 1. La recepción de las solicitudes de emisión de certificados; 2. La validación de la identidad y autenticación de los datos de los titulares de certificados; 3. La validación de otros datos de los titulares de certificados que se presenten ante ella cuya verificación delegue el prestador de servicios regulado; 4. La remisión de las solicitudes aprobadas al prestador de servicios regulado con la que se encuentre operativamente vinculada; 5. La recepción y validación de las solicitudes de revocación de certificados y su direccionamiento al Prestador de servicios de certificación regulado con el que se vinculen; 6. La identificación y autenticación de los solicitantes de revocación de certificados; 7. El archivo y la conservación de toda la documentación sustentadora del proceso de validación de identidad, de acuerdo con los procedimientos establecidos en la DPC del prestador de servicios de certificación regulado; 8. El cumplimiento de las normas y recaudos establecidos para la protección de datos personales; 9. El cumplimiento de las disposiciones que establezca la DPC y el Manual de Procedimientos del Prestador de servicios de certificación regulado con el que se encuentre vinculada, en la parte que resulte aplicable. Artículo 24. Ejercicio de una AR. Una Autoridad de Registro puede constituirse como una única unidad o con varias unidades dependientes jerárquicamente entre sí, pudiendo, delegar su operatoria en otras autoridades de registro, siempre que medie la aprobación del Prestador de servicios de certificación regulado. Artículo 25. Responsabilidad del prestador de servicios de certificación regulado. El prestador de servicios de certificación regulado es responsable ante cualquier incumplimiento de la Ley o de la reglamentación complementaria, aún en el caso de que delegue parte de su operación en Autoridades de Registro, sin perjuicio del derecho del prestador de servicios de certificación de firmas regulado de reclamar a la Autoridad de Registro las indemnizaciones por los daños y perjuicios que aquél sufriera como consecuencia de los actos y/u omisiones de ésta. CAPITULO IV SOLICITUD, OBTENCIÓN, RENOVACIÓN Y CANCELACIÓN DEL REGISTRO DE PRESTADORES DE SERVICIOS DE CERTIFICACIÓN DE FIRMAS DIGITALES, DEL SECTOR PÚBLICO, BAJO EL ESTANDAR DE PKI. Artículo 26. Solicitud y obtención del registro ante la DGCE. Para ser registrados ante la DGCE, los prestadores de servicios de certificación deberán señalar las actividades para las cuales requieren el registro y acreditar el cumplimiento de los requisitos establecidos para cada actividad. Sección 1 De los estándares tecnológicos para el registro Artículo 27. La persona jurídica que solicite el registro como prestador de servicios de certificación, según lo dispuesto en la Ley No. 51 de 2208 y el Decreto Ejecutivo No. de 2009, deberá demostrar que la realización de la actividad para la cual solicita el registro está identificada expresamente como objeto social dentro sus estatutos y garantizar el cumplimiento de los estándares, planes y procedimientos de seguridad establecidos en este reglamento, en las resoluciones técnicas y demás documentos complementarios emitidos por la DGCE. Artículo 28. La solicitud de registro se realizará mediante presentación del formulario de Registro de Prestadores de Servicios de Certificación de firmas digitales bajo el estándar de PKI, debidamente completado, firmado por el Representante legal (o quién este haya autorizado para tal fin), y acompañado de la siguiente documentación:

11 1. Formulario de Información de representante legal; 2. Copia del acto público que crea la institución y del acto público por medio del cual se designa al representante legal y en caso de no estar. 3. Copia del documento en el que conste la aprobación y autorización de su órgano supremo de decisión para que se realice el trámite de registro ante la DGCE; 4. Formulario de Información de administrador(es) y de personal técnico; 5. Historial Policivo de(los) administrador(es) y del personal técnico; 6. Copia autenticada de los documentos de identidad de representante legal de la entidad y del (de los) administrador(es). Cuando se trate de personas no nacionales deberá presentarse copia de todo el pasaporte debidamente autenticado ante notario. Los documentos originales podrán ser presentados para cotejo por parte del personal de la DGCE; 7. Informe de auditoría en el que se indique que la persona jurídica solicitante cumple con los requisitos técnicos y financieros establecidos por la DGCE; 8. Una relación o descripción detallada de la infraestructura, procedimientos y recursos utilizada para la realización de los servicios que prestará la Autoridad Certificadora. En caso que la infraestructura sea prestada por un tercero, copia de los contratos o convenios celebrados con éstos; 9. Declaración de prácticas de certificación, en adelante DPC; 10. Toda la documentación deberá ser presentada en idioma español. Si algún documento ha sido redactado en otro idioma deberá presentarse acompañado de una traducción al idioma español, realizada por un traductor público autorizado en la república de Panamá; 11. Todo documento emitido fuera del territorio de la República de Panamá deberá ser presentado legalizado con en base al Convenio de la Apostilla o por un Representante diplomático o consular panameño, en cuyo caso, deberá presentarse previamente al Ministerio de Relaciones Exteriores de Panamá. Si en el país del procedencia del documento no existe representación diplomática o consular de la República de Panamá, deberá cumplirse el procedimiento establecido por el Ministerio de Relaciones Exteriores para estos casos; Sección 2. Modificación del registro de prestadores de servicios de certificación en el sector público. Artículo 29. Cambio de los servicios ofrecidos. Cuando la entidad de certificación pretenda ofrecer nuevos servicios, deberá solicitar autorización previa ante la DGCE. Para tal fin, deberá presentar el formulario de solicitud de autorización de nuevos servicios de una entidad de certificación, adjuntando el informe de auditoría correspondiente al nuevo servicio. Artículo 30. Modificación de información de la AC. En caso de modificación de los datos y demás información proporcionada por la AC al momento del registro ante la DGCE, la AC deberá remitir la información correspondiente al cambio, dentro de los cinco (5) días posteriores a la modificación. Articulo 31. Reemplazo de Representante Legal o Administrador. El cambio o reemplazo del representante legal o de un administrador deberá notificarse mediante nota, con un mínimo de cinco (5) días hábiles anteriores a la fecha efectiva del cambio. La notificación a que hace referencia este artículo deberá acompañarse de: 1. Formulario de Información de representante legal; 2. Copia del acta de la persona jurídica, debidamente notariada y registrada, en la que conste la aprobación por parte órgano interno que debe aprobar el cambio de representante legal y/o administrador y la autorización para se realice el trámite de ante la DGCE; 3. Historial Policivo del nuevo representante legal y/o administrador; 4. Copia autenticada de los documentos de identidad del nuevo representante legal y/o del administrador. Cuando se trate de personas no naciones deberá presentarse copia de todo el pasaporte debidamente autenticado ante notario. Los documentos originales podrán ser presentados para cotejo por parte del personal de la DGCE; Sección 3. Información periódica

12 Artículo 32. Los prestadores de servicios de certificación del sector público deberán almacenar y remitir a la DGCE, dentro de los diez (10) primeros días de cada trimestre, la información siguiente: 1. Número de certificados emitidos, de acuerdo con el tipo de certificados; 2. Número de certificados vigentes, de acuerdo con el tipo de certificados; 3. Número de certificados revocados; y 4. Compromisos adquiridos por cada tipo de certificado. Artículo 33. Toda AC del gobierno central deberá remitir a la DGCE, dentro de los diez (10) primeros días de cada año, una certificación emitida por la entidad pública a la que se encuentren adscritas de que la AC la partida presupuestaria para sufragar los gastos de funcionamiento fue incluida y aprobada en el presupuesto del Estado para la vigencia respectiva, incluyendo el pago de perjuicios causados hasta por la suma de B/.1,000, Cuando se trate de una Sección 4. Duración y renovación del Registro Artículo 34. Duración de registro. El registro ante la DGCE tendrá una validez de un de un (1) año y podrá ser renovado por iguales períodos consecutivos. Artículo 35. Para renovar el registro el prestador de servicios de certificación, deberá presentar: 1. Una declaración jurada en la que certifica que la información proporcionada a la DGCE, al momento de solicitar el registro por primera vez, está vigente o en su defecto completar el formulario de registro para actualizar su información; 2. Un informe de auditoría en el cual conste el cumplimiento de las normas establecidas en la ley y la normativa complementaria; 3. El pago de la tasa de registro. Artículo 36. Causales de cancelación del registro. La DGCE podrá cancelar de oficio, y en forma definitiva el registro de un prestador de servicios de certificación, si contados treinta (30) días desde la fecha de vencimiento del registro si: 1. No se ha presentado la solicitud de renovación del registro; 2. No se ha presentado la declaración jurada o el nuevo formulario de registro; 3. No se ha presentado el informe de auditoría realizado por una persona, natural o jurídica, acreditada ante la DGCE; 4. Se comprueba falsedad en los datos presentados a la DGCE; 5. Se recibe un informe desfavorable de auditoría; 6. Se levanta un informe desfavorable luego de la inspección dispuesta por la DGCE; 7. El prestador de servicios de certificación no permite la realización de la(s) auditoría(s) y/o inspección(es) ordenadas por la DGCE. CAPITULO V De la revocación de certificados digitales Artículo 37. Suspensión de la vigencia de los certificados. El prestador del servicio de certificación podrá suspender la vigencia de un certificado, si concurre alguna de las siguientes causas: 1. Solicitud del firmante, o de un tercero en su nombre y representación; 2. Resolución de autoridad judicial o administrativa que así lo ordene; 3. Por declaración judicial de incapacidad temporal del titular; 4. Cualquier otra causa lícita prevista en la DPC. El prestador deberá establece en su DPC el procedimiento para solicitar y/o realizar la suspensión de la vigencia de un certificado. La suspensión de la vigencia del certificado surtirá efectos desde que se incluya en el repositorio del prestador de servicios de certificación. Artículo 38. Revocación de la vigencia del certificado. El prestador del servicio de certificación podrá revocar la vigencia del certificado en los siguientes casos:

13 1. A petición del firmante, de la persona natural o jurídica representada por el firmante, un tercero autorizado o la persona natural solicitante de un certificado de persona jurídica; 2. Fallecimiento o declaración judicial de ausencia del firmante o de la persona natural que representa; incapacidad sobrevenida, total o parcial, del firmante o de la persona natural que representa; 3. Extinción o disolución de la persona jurídica representada por el firmante; terminación de la representación; 4. Alteración de las condiciones de custodia o uso del par de claves que estén reflejadas en los certificados expedidos a una persona jurídica; 5. Violación o puesta en peligro de la clave privada del firmante o del prestador de servicios de certificación, o utilización indebida de la clave privada por un tercero; 6. Si se determina que un certificado digital fue emitido en base a una información falsa que en el momento de la emisión hubiera sido objeto de verificación o que la información contenida en el certificado ha dejado de ser válida; 7. Alteración de los datos aportados para la obtención del certificado o modificación de las circunstancias verificadas para la expedición del certificado, como las relativas al cargo o a las facultades de representación, de manera que éste ya no fuera conforme a la realidad; 8. Si se determina que los procedimientos de emisión y/o verificación han dejado de ser seguros; 9. Cese en la actividad del prestador de servicios de certificación salvo que, previo consentimiento expreso del firmante, la gestión de los certificados expedidos por aquél sean transferidos a otro prestador de servicios de certificación; 10. Por el cese de la relación de representación respecto de una persona. 11. Resolución de autoridad judicial o administrativa que lo ordene; 12. Cualquier otra causa lícita prevista en la declaración de prácticas de certificación. Artículo 39. Notificación de la expiración, suspensión o revocación de un certificado. El prestador de servicios de certificación hará constar inmediatamente, de manera clara e irrefutable, la expiración, la revocación o la suspensión de la vigencia de los certificados existentes en su repositorio, en cuanto tenga conocimiento fundado de cualquiera de los hechos determinantes de la extinción de la vigencia. Artículo 40. Notificación del cambio de estatus del certificado. El prestador de servicios de certificación informará al firmante acerca de esta circunstancia de manera previa o simultánea a la extinción de la vigencia del certificado electrónico, especificando los motivos, la fecha y la hora en que el certificado quedará sin efecto. En los casos de suspensión, indicará, además, su duración máxima, extinguiéndose la vigencia del certificado si transcurrido dicho plazo no se hubiera levantado la suspensión. En el caso de suspensión o revocación de la vigencia del certificado, este se mantendrá accesible en el repositorio del prestador de servicios de certificación, al menos hasta la fecha en que hubiera finalizado su período inicial de vigencia. CAPITULO VI DEL PROCEDIMIENTO DE AUDITORIA Artículo 41. Auditorías. Todo prestador de servicios de certificación registrado ante la DGCE deberá realizar, por lo menos una (1) vez al año, auditoría o evaluación técnica, para determinar que cumple con los requisitos mínimos exigidos por la Ley No. 51 y su reglamentación complementaria. Las auditorías y las evaluaciones técnicas podrán realizarse por iniciativa del prestador de servicios de certificación, por mediante resolución motivada, en base a un informe de campo de la DGCE o por denuncias sustentadas de usuarios de los servicios prestados.

14 En caso de resolución motivada de la DGCE, la resolución indicará los sistemas o procedimientos que deben ser auditados y/o evaluados. La resolución que ordena una auditoría o una evaluación técnica no es recurrible. Artículo 42. Informe de auditoría. El informe de auditoría evaluará los sistemas utilizados por el certificador de acuerdo con los requerimientos establecidos en la ley, este decreto y las normas complementarias e incluirá, por lo menos: 1. Nombre y número de registro ante la DGCE de la firma auditora; 2. Fecha de inicio y terminación de la auditoria; 3. Declaración de conformidad con las condiciones y requisitos mínimos previstos en la Ley No. 51 de 2008 y su reglamentación complementaria para mantener su registro ante la DGCE; 4. Manifestación de evaluación y conformidad de la DPC; 5. Manifestación de evaluación y conformidad de los planes de contingencia, de continuidad de negocio y/o de recuperación de desastres, se adecúan a los requisitos mínimos establecidos en la reglamentación técnica expedida por la DGCE y que el prestador de servicios ha tomado todas las medidas necesarias para que dichos planes sean realmente efectivos y ejecutables; 6. Manifestación del cumplimiento de los estándares técnicos de seguridad y la infraestructura informática y física, establecidos en la reglamentación técnica expedida por la DGCE; 7. Manifestación de que existen las condiciones razonablemente confiables para la operación y mantenimiento de los repositorios; 8. Detalle del criterio de evaluación que se utilizó para evaluación de cada uno de los cada uno de los estándares y procedimientos establecidos por la AC para la prestación de sus servicios y en la DPC; 9. Firma del auditor y/o del representante legal de la firma auditora que realizó la auditoría. Artículo 43. Firma auditora. Toda firma auditora deberá estar registrada ante la DGCE para poder realizar los informes de auditoría e inspecciones en sistemas informáticos de seguridad de un prestador de servicios de certificación de firmas digitales. Estas firmas deberán estar conformadas por un grupo interdisciplinario de profesionales que incluirá por lo menos: un (1) ingeniero de sistemas especializado en sistemas de seguridad, un (1) contador y un (1) abogado y deberá acreditar, por lo menos: 1. Que cumplen con los requisitos establecidos por ley para cada profesión; 2. Acreditar experiencia de la firma o de uno de sus socios o funcionarios, en auditorias en sistemas informáticos de seguridad y contabilidad por lo menos de tres (3) años; y 3. Certificación expedida por la DGCE, de que han cumplido con los el programa de capacitación para certificar el cumplimiento de los requisitos técnicos y estándares exigidos en la Ley No. 51 de 2008 y su reglamentación complementaria. Artículo 44. Registro de Auditores. La DGCE creará el Registro Público de Auditores de Prestadores de servicios de firma digital bajo el estándar de PKI, en el cual podrán registrarse las personas naturales y jurídicas están interesadas en prestar el servicio de auditoría de prestadores de servicios de certificación de firmas digitales, siempre que acrediten experiencia profesional acorde en la materia, que cumplan con los requisitos establecidos para y/o aprobado programa de capacitación establecido por la DGCE. Artículo Deber de confidencialidad. Los auditores deben mantener la estricta confidencialidad sobre la información que un prestador de servicios de certificación auditado considere amparada bajo normas de confidencialidad. Artículo 46. Conflicto de intereses. Para garantizar la objetividad e imparcialidad de las auditorías, no podrán desempeñarse en la prestación de servicios de auditoría aquellas entidades o personas vinculadas con prestadores de servicios de certificación. Artículo 47. Cuando se trate de una auditoría ordenada por la DGCE, si el informe final de la auditoría o de la evaluación demuestra que había una deficiencia en los sistemas o los procedimientos, o que éstos últimos, aunque correctos, no se