Normas Jurídicas
de Nicaragua
Materia: Civil
Rango: Decretos Ejecutivos
-
REGLAMENTO DE LA LEY N°729, LEY
DE FIRMA ELECTRÓNICA
DECRETO No. 57-2011, Aprobado el 24 de Octubre del
2011
Publicado en La Gaceta No. 211 del 8 de Noviembre del 2011
El Presidente de la República
Comandante Daniel Ortega Saavedra
CONSIDERANDO
l
Que la Ley N° 729, Ley de Firma Electrónica, publicada en La Gaceta
Diario Oficial N° 165 del 30 de agosto de 2010, establece el marco
jurídico general para la utilización transparente, confiable y
segura de los documentos electrónicos, firma electrónica y la
certificación de dicha firma, y que de conformidad con el articulo
38 la misma debe ser reglamentada.
ll
Que la materia que trata la Ley y el reglamento son de un alto
grado de complejidad técnica y de evolución muy rápida, por lo que
se requiere un reglamento que permita a través de normas técnicas
estar al día con los avances científicos y tecnológicos.
POR TANTO
En uso de las facultades que le confiere la Constitución
Política
HA DICTADO
El siguiente:
DECRETO
REGLAMENTO DE LA LEY N°729, LEY DE FIRMA ELECTRÓNICA
CAPÍTULO l
PARTE GENERAL
Artículo 1. El presente Reglamento tiene por objeto
establecer las disposiciones para la aplicación de la Ley No. 729,
"Ley de Firma Electrónica", publicada en La Gaceta, Diario Oficial
No. 165 del 30 de Agosto del año 2010.
Artículo 2. El presente Reglamento será de aplicación y de
observancia obligatoria para los particulares, servidores públicos,
los proveedores de servicios de certificación, y la DGTEC-designada
como entidad rectora de acreditación en la ley 729.
Artículo 3. Para efectos de aplicación del presente
Reglamento se entenderá por:
1. Archivo Confiable de Mensajes de Datos: servicio prestado por un
Proveedor de Servicios de Certificación, que tiene como propósito
garantizar la autenticidad, integridad, los extremos de
conservación temporal y la posterior consulta de un mensaje de
datos a través de un repositorio seguro administrado por un
Proveedor de Servicios de Certificación.
2. Autoridad de Registro (AR): Entidad delegada por el certificador
registrado para la verificación de la identidad de los solicitantes
y otras funciones dentro del proceso de expedición y manejo de
certificados de firma electrónica certificada. Representa el punto
de contacto entre el usuario y el certificador registrado.
3. Autoridad de Certificación (AC) o Entidades de certificación:
Son aquellas a las cuales uno o más usuarios han confiado la
creación y asignación de certificados de firma electrónica
certificada.
4. Clave privada: valor numérico utilizado conjuntamente con un
procedimiento matemático conocido, sirven para generar la firma
electrónica certificada de un mensaje de datos.
5. Clave pública: valor numérico utilizado para verificar que una
firma electrónica certificada fue generada con la clave privada del
iniciador y lo identifica con información pública que este ha
proporcionado.
6. Certificado de firma electrónica certificada: mensaje de datos
firmado por un proveedor de servicios de certificación autorizado
que identifica, tanto al Proveedor de Servicios de Certificación
que lo expide, como al titular y contiene la clave pública de
éste.
7. Certificación Cruzada: Método mediante el cual se realiza el
reconocimiento de certificados emitidos por Prestadores de
Servicios de Certificación extranjeros. En tales casos es necesario
que entidades certificadoras sustancialmente equivalentes
reconozcan mutuamente los servicios prestados, de forma que los
respectivos usuarios puedan comunicarse entre ellos de manera más
eficaz y con mayor confianza en la fiabilidad de los certificados
que se emitan.
8. Declaración de Prácticas de Certificación: manifestación del
Proveedor de Servicios de Certificación sobre las políticas y
procedimientos que aplica para la prestación de sus
servicios.
9. DOCUMENTO ELECTRÓNICO: Cualquier manifestación con carácter
representativo o declarativo, expresada o transmitida por un medio
electrónico o informático.
10. Entidad Rectora de Acreditación de Firma Electrónica: Dirección
General de Tecnología, conocida en adelante como Entidad Rectora,
dependencia del Ministerio de Hacienda y Crédito Público.
11. Estampado Cronológico: mensaje de datos firmado por un
Proveedor de Servicios de Certificación que sirve para verificar
que otro mensaje de datos no ha cambiado en un periodo que comienza
en la fecha y hora en que se presta el servicio y termina en la
fecha en que la firma del mensaje de datos generado por el
proveedor del servicio de estampado, pierde validez.
12. INTEGRIDAD: Propiedad de un documento electrónico que denota
que su contenido y características de identificación han
permanecido inalterables desde el momento de su emisión, o bien que
habiendo sido alterados posteriormente lo fueron con el
consentimiento de todas las partes legitimadas.
13. Ley: La Ley de Firma Electrónica, Ley número 729 del primero de
julio del año dos mil diez publicada en la Gaceta Diario Oficial N°
165 del treinta de agosto del año dos mil diez.
14. MICROFORMA: Imagen reducida y condensada, o compactada, o
digitalizada de un documento, que se encuentra grabado en un medio
físico técnicamente idóneo, que le sirve de soporte material
portador, mediante un proceso fotoquímico, informático,
electrónico, electromagnético, o que emplee alguna tecnología de
efectos equivalentes, de modo que tal imagen se conserve y pueda
ser vista y leída con la ayuda de equipos visores o métodos
análogos; y pueda ser reproducida en copias impresas, esencialmente
iguales al documento original.
15. MICRODUPLICADO: Reproducción exacta del elemento original que
contiene microformas, efectuada sobre un soporte material idóneo
similar, en el mismo o similar formato, configuración y capacidad
de almacenamiento; y con efectos equivalentes.
16. MICROARCHIVO: Conjunto ordenado, codificado y sistematizado de
los elementos materiales de soporte o almacenamiento portadores de
microformas grabados, provisto de sistemas de índice y medios de
recuperación que permiten encontrar, examinar visualmente y
reproducir en copias exactas los documentos almacenados como
microformas.
17. Proveedor de Servicios de Certificación (PSC): Es aquella
persona que está facultada para emitir certificados en relación con
las firmas electrónicas certificadas de las personas, ofrecer o
facilitar los servicios de registro y estampado cronológico de la
transmisión y recepción de mensajes de datos, archivo confiable de
mensajes de datos, así como cumplir otras funciones relativas a las
comunicaciones basadas en las firmas electrónicas
certificadas.
18. Repositorio: sistema de información utilizado para almacenar y
recuperar certificados y otra información relacionada con los
productos o servicios de certificación electrónica.
19. Reglamento: Reglamento de la Ley No. 729 del 30 de Agosto de
2010, publicada en La Gaceta, Diario Oficial No. 165.
20. Titular: Persona a cuyo nombre se expide un certificado de
firma electrónica certificada, o es el solicitante de un producto o
servicio de certificación electrónica prestado por un Proveedor de
Servicios de Certificación acreditado.
CAPÍTULO ll
DE LA FIRMA ELECTRÓNICA EN GENERAL
Artículo 4. De conformidad con lo dispuesto en el artículo 5
y 6 de la Ley, cuando la Ley Sustantiva exija la firma de una
persona, ese requisito quedará cumplido en relación con un mensaje
de datos si se utiliza una firma electrónica que, a la luz de todas
las circunstancias del caso, incluido cualquier acuerdo aplicable,
sea fiable y resulte igualmente apropiada para los fines con los
cuales se generó o comunicó ese mensaje.
La firma electrónica se considerará fiable siempre y cuando:
a) Los datos de creación de la firma, en el contexto en que son
utilizados, corresponden exclusivamente al titular;
b) Los datos de creación de la firma estaban, en el momento de la
firma, bajo el control exclusivo del titular;
c) Es posible detectar cualquier alteración de la firma electrónica
hecha después del momento de la firma; y
d) Es posible detectar cualquier alteración de esa información
hecha después del momento de la firma.
Los anteriores requisitos se darán por satisfechos cuando se esté
en presencia de una firma electrónica certificada y por lo tanto en
la emisión intervenga un Proveedor de Servicios de Certificación
autorizado por la Entidad Rectora.
Artículo 5. Las disposiciones y presunciones de la Ley, del
presente Reglamento y las normas técnicas, no excluyen el
cumplimiento de las formalidades específicas requeridas para los
actos jurídicos y el otorgamiento de fe pública. Tratándose de
mensajes de datos firmados electrónicamente con firmas electrónicas
certificadas se presume, salvo prueba en contrario, que el mensaje
de datos fue firmado por su titular.
Artículo 6. Con la finalidad de diferenciar el ámbito de
aplicación de los mecanismos de firma electrónica, se disponen las
siguientes reglas para definir el mecanismo apropiado de
conformidad con la actuación o trámite a implementar por medios
electrónicos:
6.1-Aplicación de la firma electrónica: Se podrá utilizar
firma electrónica como los mecanismos de nombres de usuario,
contraseñas o pines entre otros, en aquellos trámites,
procedimientos y actuaciones administrativas que hayan sido
clasificados al interior de cada entidad como de riesgo bajó o
medio.
6.2.-Aplicación de la firma electrónica certificada: Se
deberá utilizar firmas electrónicas certificadas en aquellos
trámites, procedimientos y actuaciones administrativas que
requieran mitigar riesgos considerados altos en su instrumentación
electrónica o dar por satisfechos los atributos exigidos en el
artículo 4 del presente reglamento, siempre y cuando:
1. El certificado de firma electrónica sea emitido por un Proveedor
de Servicios de Certificación, autorizado para ello por la Entidad
Rectora.
2. Dicha firma se pueda verificar con la clave pública que se
encuentra en el certificado con relación a firmas electrónicas
certificadas, emitido por el Proveedor de Servicios de
Certificación.
3. La firma sea emitida dentro del tiempo de validez del
certificado, sin que éste haya sido revocado.
4. El mensaje de datos firmado se encuentre dentro de los usos
aceptados en la Declaración de Practicas de Certificación, de
acuerdo al tipo de certificado.
5. El tipo de certificado de firma electrónica se encuentre
autorizado por la Entidad Rectora.
Artículo 8. Cuando se requiera la conservación de mensajes
de datos, esta deberá utilizar el servicio de Archivo confiable de
mensaje de datos.
CAPÍTULO lll
DE LA ENTIDAD RECTORA DE ACREDITACIÓN
Artículo 9. La Entidad Rectora deberá contar con las
instalaciones, sistemas, programas informáticos y los recursos
humanos necesarios para su funcionamiento.
Sin perjuicio de lo establecido en el artículo 15 de la Ley, tendrá
las siguientes potestades:
1. Definir a través de normas técnicas el modelo de confianza y
aspectos relacionados para la emisión de firmas electrónicas
certificadas en territorio nicaragüense.
2. Contratar expertos de conformidad á la ley de la materia. En los
contratos respectivos se incorporarán normas sobre probidad
administrativa.
3. Practicar inspecciones sobre los proveedores acreditados de
servicios de certificación y, a tal efecto, velará porque los
requisitos que se observaron al momento de otorgarse la
acreditación y las obligaciones que impone la Ley, este Reglamento
y las normas técnicas se cumplan durante la vigencia de la
acreditación.
4. Dictar normas técnicas, con el objeto de implementar la Ley y su
Reglamento, las cuales se publicarán en. La Gaceta, Diario Oficial,
sin perjuicio de su publicación en el portal electrónico de la
Entidad Rectora; incluyendo las relativas al expediente y
notificación electrónica, que deben utilizar las administraciones
públicas.
5. Dictar las normas técnicas en coordinación con el Poder
Judicial, relacionadas a las formalidades de las actuaciones
notariales, expediente judicial y de notificación.
6. Suscribir todos aquellos contratos, propios de su actividad de
Entidad Rectora de Acreditación.
7. Determinar e imponer las infracciones, sanciones y multas
establecidas en los artículos 31, 32, 33, 34 y 35 de la Ley, sin
perjuicio de las responsabilidades, administrativas, civiles y
penales, que correspondan.
8. Conocer y resolver los Recursos de Revisión. El Recurso de
Apelación se presentará ante el Director General de la Entidad
Rectora, para que lo eleve y resuelva el Ministro de Hacienda y
Crédito Público, lo que agota la vía administrativa.
Artículo 10. La Entidad Rectora tiene la facultad de
realizar inspecciones ordinarias y extraordinarias.
La inspección ordinaria consiste en la facultad de practicar una
visita anual a las instalaciones del proveedor acreditado de
servicios de certificación, asimismo requerir, en forma trimestral,
información sobre el desarrollo de la actividad.
La inspección extraordinaria será practicada de oficio o por
denuncia motivada sobre la prestación del servicio, ordenada por el
Director de la Entidad Rectora mediante resolución fundada.
Las inspecciones podrán ser practicadas por medio de funcionarios o
peritos especialmente contratados y habilitados para estos fines,
los que en el ejercicio de sus funciones podrán requerir al
Proveedor de Servicios de Certificación, información adicional a la
proporcionada por él.
La información solicitada por la Entidad Rectora deberá ser
proporcionada dentro del plazo de cinco días hábiles, contados
desde la fecha de la solicitud, sin perjuicio del otorgamiento de
plazos especiales.
Artículo 11. La Entidad Rectora mantendrá un Registro
Administrativo de Proveedores de Servicios de Certificación, de
carácter público, el que deberá contener: el número de la
resolución que concede la acreditación, el nombre o razón social
del Proveedor de Servicios de Certificación, la dirección social,
el número de Registro Único de Contribuyente (RUC), el nombre de su
Representante Legal, el número de su teléfono, su sitio de dominio
electrónico y correo electrónico así como la compañía de seguros
con que ha contratado la póliza de seguros que exige la Ley, y el
número de la misma; y cualquier otro documento que acredite
identificación que crea pertinente la Entidad Rectora.
Este Registro deberá ser actualizado permanentemente, manteniendo
un acceso regular y continuo.
CAPÍTULO lV
DE LOS PROVEEDORES DE SERVICIOS DE CERTIFICACIÓN
Artículo 12. Quienes pretendan realizar las actividades
propias de los proveedores de servicios de certificación deberán
particularizarlas y acreditar ante la Entidad Rectora:
1. Personería jurídica.
Cuando se trate de una entidad extranjera, se deberá acreditar el
cumplimiento de los requisitos contemplados en el Código de
Comercio para las sociedades extranjeras que pretendan ejecutar
negocios permanentes en territorio nicaragüense.
2. Que los administradores y representantes legales no tengan
prohibido el ejercicio del comercio.
3. Declaración de Prácticas de Certificación satisfactoria, de
acuerdo con los requisitos establecidos por la Entidad
Rectora.
4. Patrimonio mínimo de 800 salarios mínimos mensuales del sector
financiero legales vigentes al momento de la solicitud de
autorización, esto en caso de que las actividades a desarrollar por
el PSC sean las de una Autoridad de Registro (AR). En el caso en
que las actividades que desarrolle el PSC incluyan también las de
una Autoridad de Certificación (AC), el patrimonio mínimo que
deberá evidenciar será de al menos el mismo monto mínimo que el PSC
debe asegurar de acuerdo a lo señalado en el artículo 19 inciso
(b).
5. Constitución de las garantías previstas en este
Reglamento.
6. Infraestructura y recursos por lo menos en la forma exigida en
el artículo 20 de este Reglamento.
7. Informe inicial de Inspección satisfactorio a juicio de la misma
Entidad Rectora.
8. Un mecanismo de ejecución inmediata para revocar los
certificados de firma electrónica expedidos a los titulares, a
petición de estos o cuando se tenga indicios de que ha ocurrido
alguno de los eventos de revocación previstos en la ley, en este
Reglamento o en la Declaración de Practicas de Certificación.
9. En caso de tratarse de proveedores de servicios de certificación
que requieran o utilicen infraestructura o servicios tecnológicos
prestados desde el extranjero, la inspección o auditoria podrá ser
realizada por una persona o entidad facultada para realizar este
tipo de inspecciones o auditorías en el lugar donde se encuentra la
infraestructura, siempre y cuando permita constatar el cumplimiento
de lo señalado en el presente Reglamento.
La Entidad Rectora tendrá la facultad de solicitar ampliación o
aclaración sobre los puntos que estime conveniente.
Si se solicita autorización para certificaciones cruzadas, se
deberán acreditar adicionalmente la entidad o prestador de
servicios de certificación reconocida, los certificados reconocidos
y el tipo de certificados al cual se remite, la vigencia y los
términos del reconocimiento.
Artículo 13. Son proveedores acreditados de servicios de
certificación las personas jurídicas nacionales o extranjeras,
públicas o privadas, domiciliadas en Nicaragua y acreditadas de
conformidad con la Ley, este Reglamento, y las normas técnicas, que
otorguen certificados de firma electrónica certificada, sin
perjuicio de los demás servicios que puedan realizar.
Artículo 14. Las normas técnicas que dicte la Entidad
Rectora, para la aplicación e implementación del presente
Reglamento son de obligatorio cumplimiento para los proveedores
acreditados de servicios de certificación y los usuarios de los
mismos.
Artículo 15. Los actos administrativos que impliquen la
modificación de normas técnicas para la prestación del servicio,
establecerán los plazos en los cuales un proveedor acreditado de
servicios de certificación, tiene que adecuarse a las mismas.
El incumplimiento en la adecuación a las nuevas normas, facultará a
la Entidad Rectora, a dejar sin efecto la acreditación, de
conformidad con la Ley y el presente Reglamento.
Artículo 16. A petición de parte o de oficio, y con el
objeto de crear o modificar las normas técnicas que dicte la
Entidad Rectora, la misma podrá iniciar el procedimiento para la
elaboración y fijación de dichas normas. La Entidad Rectora podrá
fijar conjuntos alternativos de normas técnicas, para la prestación
del servicio, con el objeto de permitir el uso de diversas
tecnologías y medios electrónicos, en concordancia a la Ley y el
presente Reglamento.
Artículo 17. La Entidad Rectora definirá el contenido de la
Declaración de Prácticas de Certificación, la cual deberá incluir,
al menos lo siguiente:
1. Identificación del Proveedor de Servicios de
Certificación.
2. Política de manejo de los certificados.
3. Obligaciones del PSC y de los Titulares del certificado y
precauciones que deben observar los terceros.
4. Manejo de la información suministrada por los Titulares.
5. Garantías que ofrece para el cumplimiento de las obligaciones
que se deriven de sus actividades.
6. Límites de responsabilidad por el ejercicio de su
actividad.
7. Tarifas de expedición de certificados y de sus servicios.
8. Procedimientos de seguridad para el manejo de los siguientes
eventos:
a) Cuando la seguridad de la clave privada del PSC se ha visto
comprometida.
b) Cuando el sistema de seguridad del PSC ha sido vulnerado.
c) Cuando se presenten fallas en el sistema del PSC que comprometa
la prestación del servicio.
d) Cuando los sistemas de cifrado pierdan vigencia por no ofrecer
el nivel de seguridad contratados por el titular.
9. El plan de contingencia encaminado a garantizar la continuidad
del servicio de certificación.
10. Modelos y minutas de los contratos que utilizarán con los
titulares.
11. Política de manejo de otros servicios que fuere a prestar,
detallando sus condiciones.
Artículo 18. Para determinar el patrimonio mínimo del PSC
establecido en el artículo 12 numeral 4 del presente reglamento,
sólo se tomarán en consideración las cuentas patrimoniales de
capital suscrito y pagado, reserva legal, y se deducirán las
pérdidas acumuladas y las del ejercicio en curso.
El patrimonio mínimo deberá acreditarse:
1. En el caso de personas jurídicas, por medio de estados
financieros, con una antigüedad no superior a 6 meses, certificados
por el representante legal y auditado por un Contador Público
autorizado independiente.
2. Tratándose de entidades públicas, por medio del proyecto de
gastos y de inversión que generará la actividad de certificación,
de conformidad con la ley anual del presupuesto general de la
república vigente.
3. Para las sucursales de entidades extranjeras, por medio del
capital asignado.
Artículo 19. El PSC debe contar con seguros vigentes que
cumplan con los siguientes requisitos:
a) Ser expedidos por una entidad aseguradora autorizada para operar
en Nicaragua. En caso de no ser posible lo anterior, por una
entidad aseguradora del exterior que cuente con la autorización
previa de la Superintendencia de Bancos.
b) Cubrir todos los perjuicios contractuales y extracontractuales
de los titulares y terceros de buena fe exenta de culpa derivados
de errores y omisiones, o de actos de mala fe de los
administradores, representantes legales o empleados del PSC en el
desarrollo de las actividades para las cuales solicita autorización
o cuenta con autorización. Para tal fin se cubrirán los anteriores
riesgos por una cuantía asegurada por evento igual o superior al
mayor entre:
. 5000 salarios mínimos mensuales legales del sector
financiero por evento, o;
. El límite de responsabilidad definido en la Declaración de
Prácticas de Certificación, que no podrá ser inferior en ninguna
caso a su capital social.
c) Incluir cláusula de restitución automática del valor
asegurado.
d) Incluir una cláusula que obligue a la entidad aseguradora a
informar previamente a la Entidad Rectora, la terminación del
contrato o las modificaciones que reduzcan el alcance o monto de la
cobertura.
El PSC que pretenda otorgar el reconocimiento cruzado de
certificados de firma electrónica, deberá acreditar la cobertura de
las garantías requeridas en este reglamento para los perjuicios que
puedan causar los certificados reconocidos.
Artículo 20. En desarrollo de lo previsto en la ley y este
Reglamento, el PSC deberá contar con un equipo de personas, una
infraestructura física y tecnológica y unos procedimientos y
sistemas de seguridad, tales que:
1. Puedan generar las firmas electrónicas certificadas y todos los
servicios para los que soliciten autorización que se encuentran
descritos en la Ley y este Reglamento.
2. Se garantice el cumplimiento de lo previsto en la Declaración de
Prácticas de Certificación.
3. Se pueda calificar el sistema como confiable de acuerdo con lo
señalado en el presente Reglamento.
4. Los certificados de firma electrónica certificada expedidos por
los PSC cumplan con lo previsto en la Ley y en este
Reglamento.
5. Se garantice la existencia de sistemas de seguridad física en
sus instalaciones, un monitoreo permanente de toda su planta
física, y acceso restringido a los equipos que manejan los sistemas
de operación del PSC.
6. El manejo de la clave privada del PSC esté sometido a un
procedimiento propio de seguridad que evite el acceso físico o de
otra índole de personal no autorizado.
7. Cuente con un registro de todas las transacciones realizadas,
que permita identificar el autor de cada una de las
operaciones.
8. Los sistemas que cumplan las funciones de certificación sólo
sean utilizados con ese propósito y por lo tanto no puedan realizar
ninguna otra función.
9. Todos los sistemas que participen directa o indirectamente en la
función de certificación estén protegidos por sistemas y
procedimientos de autenticación y seguridad de alto nivel de
protección, que deben ser actualizados de acuerdo a los avances
tecnológicos para garantizar la correcta prestación del
servicio.
10. Cuente con Infraestructura de software que permita monitorear
el servicio e infraestructura de Hardware y equipos.
11. Cuente con una plataforma de respaldo o contingencia de la
plataforma que garantice la operación continua e ininterrumpida del
servicio. Dicho esquema de contingencia será auditado por la
Entidad Rectora en el caso de así requerirlo.
12. Canales de comunicación mínimos para garantizar disponibilidad
de la información de los servicios del. PSC.
13. En caso de tratarse de PSC que requiera o utilice
infraestructura o servicios tecnológicos prestados desde el
extranjero, todos los requerimientos deberán ser cumplidos tanto en
la infraestructura del exterior, así como en el territorio
nacional. Para certificar dicha infraestructura la entidad del
exterior deberá certificar a través del ente autorizado el
cumplimiento de dichos requisitos.
Además se deberán acreditar los siguientes requisitos relativos a
la seguridad física, lógica y de la plataforma tecnológica
utilizada, que sean determinados por la Entidad Rectora a través de
normas técnicas de conformidad con estándares internacionales
reconocidos así:
i. Para la operación en el rol de PSC, y para la Autoridad de
Estampado Cronológico, según corresponda.
ii. Para la verificación del registro público en línea del
PSC.
iii. Para el hardware criptográfico de la raíz del PSC, siempre que
corresponda, y para el hardware de la Autoridad de Estampado
Cronológico.
iv. Para la prestación del servicio de estampado cronológico.
v. Para el dispositivo en el cual se entregarán los certificados y
datos privados de firma electrónica certificada ofrecidos por el
PSC a sus clientes.
vi. Para la operación del centro de cómputo, cuando se ofrezca la
prestación de servicios de archivo confiable de mensajes de
datos.
Lo anterior, sin perjuicio de otras normas técnicas definidas por
la Entidad Rectora para la operación del PSC, conforme a estándares
nacionales e internacionales.
Artículo 21. Cuando alguna de las operaciones sea
subcontratada a terceros por parte del PSC, les serán aplicables
las mismas obligaciones del PSC, según conste en su documentación,
o en los contratos.
Cuando quiera que el PSC requiera o utilice infraestructura o
servicios tecnológicos prestados por un tercero, los contratos
deberán prever que la terminación de los mismos está condicionada a
que la entidad haya implementado o contratado una infraestructura o
servicio tecnológico que le permita continuar prestando sus
servicios sin ningún perjuicio para los titulares. Si la
terminación de dichos contratos supone el cese de operaciones, el
prestador de infraestructura o servicios no podrá interrumpir sus
servicios antes de vencerse el plazo para concluir el proceso
previsto en el procedimiento autorizado por la Entidad Rectora.
Estos deben ser enviados con los demás documentos de la solicitud
de autorización y remitidos cada vez que sean modificados.
Todos los requerimientos del presente Reglamento en materia de
infraestructura y recursos del tercero deberán encontrarse
debidamente certificados ante la Entidad Rectora.
La contratación de esta infraestructura o servicios no exime al PSC
de la presentación de los informes previstos en este Reglamento,
los cuales deben incluir los sistemas y elementos de seguridad
técnica de dicho prestador.
Artículo 22. Además de lo previsto en la Ley 729, los PSC
deberán:
1. Comprobar de forma fehaciente por sí o por medio de una persona
diferente que actúe en nombre y por cuenta suya, la identidad,
datos y cualquier otra información de los titulares de los
certificados, que sea relevante para los fines propios de su
procedimiento de verificación previo a su expedición.
2. Mantener a disposición permanente del público la declaración de
prácticas de certificación.
3. Cumplir cabalmente con las políticas de certificación acordadas
con el titular y con su Declaración de Prácticas de
Certificación.
4. Informar al titular de los certificados que expide, su nivel de
confiabilidad, los límites de responsabilidad, y las obligaciones
que el titular asume como usuario del servicio de
certificación.
5. Garantizar la prestación permanente e ininterrumpida de los
servicios autorizados, salvo las interrupciones que autorice la
Entidad Rectora en circunstancias de caso fortuito o de fuerza
mayor debidamente comprobados.
6. Informar a la Entidad Rectora de manera inmediata la ocurrencia
de cualquier evento establecido en la Declaración de Prácticas de
Certificación, que comprometa la prestación del servicio.
7. Abstenerse de acceder o almacenar la clave privada del
titular.
8. Mantener actualizado el registro de los certificados revocados.
Los PSC serán responsables de los perjuicios que se causen a
terceros por incumplimiento de esta obligación.
9. Garantizar el acceso permanente y eficiente de los titulares y
de terceros al repositorio del. PSC.
10. Disponer de una línea telefónica de atención permanente a
titulares y terceros, que permita las consultas y la pronta
solicitud de revocación de certificados por los titulares.
11. Garantizar la confidencialidad de la información que no figure
en el certificado.
12. Conservar la documentación que respalda los certificados
emitidos, por el término previsto en la Ley y tomar las medidas
necesarias para garantizar la integridad y la confidencialidad que
le sean propias.
13. Informar en forma inmediata, la suspensión del servicio o
revocación de sus certificados.
14. Capacitar y advertir a los titulares de certificados de firma
electrónica certificada, sobre las medidas de seguridad que deben
observar para la utilización de estos mecanismos.
15. Mantener el control exclusivo de su clave privada y establecer
las condiciones de seguridad necesarias para que no se divulgue o
comprometa.
16. Remitir oportunamente a la Entidad Rectora la información
prevista en este Reglamento.
17. Remover en el menor término que el procedimiento legal permita,
a los administradores o representantes que no puedan ejercer el
comercio por prohibición.
18. Informar a los titulares o terceros que lo soliciten, sobre el
tiempo y recursos computacionales requeridos para derivar la clave
privada a partir de la clave pública contenida en los certificados
en relación con las firmas electrónicas certificadas que expide el
PSC.
19. Mantener actualizada la información registrada en la solicitud
de autorización y enviar la información que la Entidad Rectora
establezca.
20. Cumplir con las demás instrucciones que establezca la Entidad
Rectora.
Artículo 23. En caso que un PSC cese en la prestación del
servicio, deberá notificar oficialmente por escrito o por cualquier
medio electrónico habilitado por la Ley tal situación a todos los
titulares de los certificados emitidos por él con dos meses de
antelación. Dicha notificación deberá ir con copia a la Entidad
Rectora.
Artículo 24. El cese de la actividad del proveedor
acreditado de servicios de certificación será registrado como
asiento de cancelación de la inscripción de la acreditación por la
Entidad Rectora.
Artículo 25. El procedimiento de acreditación de los
proveedores de servicios de certificación se iniciará por medio de
una solicitud presentada a la Entidad Rectora, acompañada del
comprobante de pago de los costos de la acreditación y de los
antecedentes que permitan verificar el cumplimiento de los
requisitos de acreditación.
En la solicitud que presente el interesado deberá individualizarse
debidamente y para ello señalará su nombre o denominación social,
su Registro Único de Contribuyente, el nombre y Registro Único de
Contribuyente del Representante Legal, su domicilio social, número
telefónico y dirección de correo electrónico, aceptando
expresamente dicho medio electrónico como forma de
comunicación.
Artículo 26. Recibida la solicitud, la Entidad Rectora
procederá a conocer la admisibilidad de la misma, mediante la
verificación de los antecedentes requeridos, dentro del plazo de
diez días hábiles.
De ser inadmisible la solicitud, se procederá a comunicar al
interesado tal situación, el que podrá completar los antecedentes
dentro del plazo de cinco días hábiles, bajo apercibimiento de ser
rechazada la solicitud de no cumplirse en tiempo y forma con los
requisitos y obligaciones establecidos. Admitida a trámite la
solicitud, la Entidad Rectora procederá a un examen sobre el
cumplimiento de los requisitos y obligaciones exigidas por la Ley,
este Reglamento y las normas técnicas para obtener la
acreditación.
Artículo 27. En caso que la Entidad Rectora determine que el
proveedor de servicios de certificación no cumple con las normas
técnicas fijadas para el desarrollo de la actividad señalará si los
incumplimientos son subsanables, y si no afectan el correcto
funcionamiento del sistema ni los fines previstos en la Ley para la
firma electrónica certificada o para los servicios adicionales de
certificación electrónica definidos en este Reglamento.
En caso que los incumplimientos no sean subsanables, la Entidad
Rectora procederá a dictar una resolución en la que rechaza la
solicitud de acreditación.
Si los incumplimientos son subsanables y no afectan el correcto
funcionamiento del sistema ni los fines previstos en la Ley y su
Reglamento para la firma electrónica certificada, la Entidad
Rectora podrá acreditar temporalmente por un plazo máximo de
sesenta días calendario al interesado, previa autorización de un
plan de medidas correctivas.
Una vez completados los requisitos exigidos, la Entidad Rectora
procederá a acreditar definitivamente al interesado.
Artículo 28. Durante todo el proceso de acreditación, la
Entidad Rectora podrá solicitar documentación adicional o realizar
visitas a las instalaciones del interesado, por intermedio de sus
funcionarios o por expertos especialmente contratados para dichos
fines.
Artículo 29. Los costos de acreditación serán pagados por el
proveedor de servicios de certificación que solicite acreditarse,
los que no serán restituidos en el evento de que la acreditación no
se conceda por incumplimiento de los requisitos y obligaciones
legales y reglamentarias exigidas para el desarrollo de la
actividad de certificación como acreditado.
Artículo 30. La Entidad Rectora podrá dejar sin efecto la
acreditación mediante resolución fundada, por las causales
previstas en el artículo siguiente.
Artículo 31. La acreditación de los certificadores se dejará
sin efecto por las siguientes causas:
1. Por solicitud del proveedor acreditado de servicios de
certificación, ante la Entidad Rectora con una antelación de al
menos dos meses a la fecha del término previsto por el proveedor
acreditado de servicios de certificación para que se haga efectiva,
indicando el destino que dará a los certificados y a los datos de
ellos, para lo cual deberá cumplir con lo dispuesto en este
Reglamento.
2. Por pérdida de las condiciones que sirvieron de fundamento a su
acreditación, la que será calificada por los servidores públicos o
expertos que la Entidad Rectora ocupe para el cumplimiento de la
facultad inspectora.
3. Por incumplimiento grave o reiterado de las obligaciones que
establece la Ley, este Reglamento y las normas técnicas.
En los casos de los numerales 2 y 3, la resolución deberá ser
adoptada previo traslado de cargos y audiencia del afectado, para
lo cual la Entidad Rectora dará un plazo de cinco días hábiles para
que éste evacue sus descargos. Recibidos éstos, la Entidad Rectora
deberá resolver fundadamente dentro del plazo de quince días
hábiles, prorrogables por el mismo período por motivos
fundados.
La cancelación de la Acreditación deberá ser publicada en el portal
electrónico de la Entidad Rectora.
El aviso deberá señalar que desde esta publicación los certificados
quedarán sin efecto, a menos que hayan sido transferidos a otro
Proveedor de Servicios de Certificación acreditado.
Artículo 32. Los certificadores cuya inscripción haya sido
cancelada, deberán comunicar inmediatamente este hecho a los
titulares de las firmas certificadas por ellos.
CAPÍTULO V
DE LOS CERTIFICADOS DE FIRMA ELECTRÓNICA
Artículo 33. Los proveedores de servicios de certificación
deberán introducir en los certificados de firma electrónica que
emitan, los contenidos señalados en el artículo 8 de la Ley
729.
Los atributos adicionales que los proveedores de servicios de
certificación introduzcan con la finalidad de incorporar límites al
uso del certificado, no deberán dificultar, o impedir la lectura de
los contenidos insertos en el mismo que refiere el artículo 8 de la
Ley 729, y de su reconocimiento por terceros.
Artículo 34. Procederá la suspensión de la vigencia del
certificado cuando se verifique alguna de las siguientes
circunstancias:
1. Solicitud del titular del certificado.
2. Decisión del proveedor de servicios de certificación en virtud
de razones técnicas.
El efecto de la suspensión del certificado es el cese temporal de
los efectos jurídicos del mismo conforme a los usos que le son
propios e impide el uso legítimo del mismo por parte del
titular.
La suspensión del certificado terminará por cualquiera de las
siguientes causas:
1. Por la decisión del proveedor de servicios de certificación de
revocar el certificado, en los casos previstos en la Ley, el
presente Reglamento y las normas técnicas.
2. Por la decisión del proveedor de servicios de certificación de
levantar la suspensión del certificado, una vez que cesen las
causas técnicas que la originaron.
3. Por la decisión del titular del certificado, cuando la
suspensión haya sido solicitada por éste.
Artículo 35. Los certificados de firma electrónica
certificada podrán revocarse por:
a) El titular de una firma electrónica certificada, el cual podrá
solicitar a los PSC la revocación del mismo. En todo caso, estará
obligado a solicitar la revocación en los eventos siguientes:
i) Por pérdida de la clave privada, en el caso de la tecnología de
criptografía asimétrica.
ii) La clave privada ha sido expuesta o corre peligro de que se le
dé un uso indebido, en el caso de la tecnología de criptografía
asimétrica.
b) Si el titular no solicita la revocación del certificado en el
evento de presentarse las anteriores situaciones, será responsable
por las pérdidas o perjuicios en los cuales incurran terceros que
confiaron en el contenido del certificado.
c) Un PSC autorizado revocará un certificado emitido por las
razones siguientes:
.A petición del titular o un tercero en su nombre y
representación.
.Por muerte del titular
.Por liquidación del titularen el caso de las personas
jurídicas.
.Por la confirmación de que alguna información o hecho
contenido en el certificado es falso.
.La clave privada del PSC o su sistema de seguridad ha sido
comprometido de manera material que afecte la confiabilidad del
certificado.
.Por el cese de actividades del PSC, y;
.Por orden judicial o de entidad administrativa
competente.
Artículo 36. El término de la vigencia del certificado de
firma electrónica se establece contractualmente entre el titular de
la firma electrónica certificada y el Proveedor de Servicios de
Certificación o quien haga sus veces.
Artículo 37. La revocación de un certificado de firma
electrónica podrá producirse de oficio o a petición de su titular
por la concurrencia de algunas de las causales previstas en la Ley
o en este Reglamento. La solicitud de suspensión o revocación,
según corresponda, se podrá dirigir al proveedor de servicios de
certificación en cualquiera de las formas que prevea su Declaración
de prácticas de certificación. La suspensión o revocación del
certificado deberá ser comunicada inmediatamente a su titular, sin
perjuicio que deba publicarse en el registro de acceso público que
señala este Reglamento.
Artículo 38. La certificación cruzada implica, el
reconocimiento de los certificados de firmas electrónicas
certificadas emitidas por PSC extranjeras, realizado por PSC
autorizadas para tal efecto en Nicaragua, y se hará constar en el
certificado expedido por estas últimas:
El efecto del reconocimiento de cada certificado, se limitará a las
características propias del tipo de certificado reconocido y por el
período de validez del mismo.
Los titulares de los certificados reconocidos y los terceros
tendrán idénticos derechos que los titulares y terceros respecto de
los certificados propios del PSC que hace el reconocimiento.
CAPÍTULO Vl
DE LA FIRMA ELECTRÓNICA EN LA ADMINISTRACIÓN
PÚBLICA.
Artículo 39. La Administración Pública deberá administrar
los medios que resulten adecuados para la aplicación del artículo
12 de la Ley, en función de los recursos con que cuenten y en el
más corto plazo posible.
Los acuerdos administrativos que expida la Administración Pública
para la adopción de los artículos 12, 13 y 14 de esta Ley, deberán
ajustarse a las normas técnicas emitidas y homologadas por la
Entidad Rectora de Acreditación.
Los actos administrativos, formalizados por medio de documentos
electrónicos y que consten en decretos o resoluciones, en acuerdos
de órganos colegiados, así como la celebración de contratos, la
emisión de cualquier otro documento que exprese la voluntad de un
órgano o servicio público de la Administración del Estado en
ejercicio de sus potestades legales y, en general, todo documento
que revista la naturaleza de instrumento público o aquellos que
deban producir los efectos jurídicos de éstos, deberán suscribirse
mediante firma electrónica certificada.
Artículo 40. La Entidad Rectora de Acreditación elaborará
las normas técnicas que permitan que las comunicaciones por medios
electrónicos, efectuadas entre los órganos de la Administración del
Estado y de éstos con los ciudadanos, produzcan los efectos
jurídicos previstos en la Ley.
Artículo 41. Cualquier entidad o dependencia de la
administración pública, podrá emplear la firma electrónica
certificada contenida en un archivo de datos, mediante el uso de
medios electrónicos, bajo los principios de neutralidad
tecnológica, equivalencia funcional, autenticidad,
confidencialidad, e integridad. Todo ello conforme a las normas
técnicas que dicte la Entidad Rectora.
CAPÍTULO Vll
DE LA FIRMA ELECTRÓNICA Y EL EXPEDIENTE DIGITAL
Artículo 42. En el uso de la firma electrónica certificada y
el expediente digital, deberá respetarse lo siguiente:
1. Un sistema de notificación permitirá acreditar la fecha y hora
en que se produzca la puesta a disposición del interesado del acto
objeto de notificación, así como la de acceso a su contenido;
momento a partir del cual la notificación se entenderá practicada a
todos los efectos legales.
2. Las comunicaciones a través de medios electrónicos serán válidas
siempre que exista constancia de la transmisión y recibo, de sus
fechas, del contenido íntegro de las comunicaciones y se
identifique fidedignamente al remitente y al destinatario de las
mismas.
3. Almacenar si existió transmisión y recibo, las fechas, el
contenido, el remitente y el destinatario.
4. Cumplir en sus comunicaciones con los requisitos de seguridad e
integridad con proporcionalidad y cumpliendo con las norma técnicas
dictadas por la Entidad Rectora. Los requisitos de seguridad e
integridad de las comunicaciones se establecerán en cada caso de
forma apropiada al carácter de los datos objeto de aquellas, de
acuerdo con criterios de proporcionalidad.
5. Deberá acreditar el momento de la puesta a disposición del acto
objeto de notificación y del acceso al contenido, con las normas
técnicas dictadas por la Entidad Rectora.
6. Las plataformas de notificación y de gestión de expedientes
tendrán en cuenta los plazos establecidos en el ordenamiento
jurídico, según corresponda.
7. Deberá entenderse que la notificación electrónica ha tenido
lugar en cuanto el interesado acceda electrónicamente al contenido
o hayan transcurrido diez días hábiles desde la puesta a
disposición sin que se acceda al contenido, por haber accedido
voluntariamente a este sistema de notificación.
8. Producirá los efectos propios de la notificación personal, el
acceso electrónico por los interesados al contenido de las
actuaciones administrativas correspondientes, siempre que quede
constancia de dichos acceso.
La utilización de medios electrónicos en el desarrollo de los
procedimientos administrativos y judiciales, que permitan la
presentación de documentos, implicará el uso de medios electrónicos
para la comunicación y notificación.
Lo referido a la regulación del uso de la firma electrónica y el
expediente digital será ampliado en la norma técnica relacionada
con el tema.
CAPÍTULO Vlll
DE LAS SANCIONES Y SU CUMPLIMIENTO
Artículo 43. Únicamente podrán imponerse las sanciones
contenidas en la Ley de Firma Electrónica y por el término señalado
en la misma Ley.
Artículo 44. A efectos de imponer las sanciones a que
hubiere lugar la autoridad sancionadora será:
a) La Entidad Rectora, quien impondrá a los proveedores de
servicios de certificación las sanciones administrativas que
correspondan, sin perjuicio de las demás acciones civiles o penales
que procedieren y que determinaren las autoridades competentes
conforme a las leyes vigentes.
b) La Entidad Rectora, deberá incoar los procedimientos
administrativos correspondientes a fin de determinar la existencia
e imputabilidad de las infracciones establecidas en la Ley y, si
procediere, la sanción correspondiente.
Artículo 45. Corresponderá a la Entidad Rectora, la carga de
la prueba y su imputabilidad al infractor. Ninguna sanción podrá
ser impuesta al margen de un debido proceso, ventilado ante la
autoridad competente que garantice al presunto infractor su
intervención y defensa desde el inicio del proceso, así como la
oportunidad de disponer de tiempo y medios adecuados para su
defensa.
Artículo 46. Cuando la Entidad Rectora, Considere que, de la
infracción del proveedor de servicios de certificación, se hubieren
originado responsabilidades civiles o hubiere presunción de
responsabilidad penal, deberá denunciar el hecho a la Fiscalía
General de la República, para que ésta determine el curso a seguir
dentro de sus competencias.
Artículo 47. La Entidad Rectora, en base a los documentos
que consten en autos y dentro del término de treinta días hábiles
de haber iniciado el procedimiento administrativo sancionador,
deberá emitir su resolución final fundamentada sobre el caso, y sea
notificada de forma íntegra al proveedor de servicios de
certificación.
Artículo 48. Notificada la resolución anterior al prestador
de servicios de certificación, éste podrá hacer uso de los recursos
administrativos que contempla la Ley N°. 290, Ley de Organización,
Competencia y Procedimientos del Poder Ejecutivo. Si el prestador
de servicios de certificación no hiciere uso de los recursos a que
se refiere el presente artículo, se tendrá por firme la
resolución.
Artículo 49. Todas las Resoluciones dictadas conforme a la
Ley y el presente Reglamento, estarán contenidas en el Libro de
Resoluciones que llevará anualmente la Entidad Rectora, el cual
podrá ser llevado de forma impresa o electrónica.
CAPÍTULO lX
DISPOSICIÓN FINAL
Artículo 50. El presente Decreto entrará en vigencia a
partir de su publicación en La Gaceta, Diario Oficial.
Dado en la Ciudad de Managua, Casa de Gobierno, República de
Nicaragua, el día veinticuatro de Octubre del año dos mil once.
Daniel Ortega Saavedra, Presidente de la República de
Nicaragua. Alberto José Guevara Obregón, Ministro de
Hacienda y Crédito Público.
-
© 2024 Justia
