PLATAFORMA DE INTEROPERABILIDAD DEL...
135
Transcript of PLATAFORMA DE INTEROPERABILIDAD DEL...
1
PLATAFORMA DE INTEROPERABILIDAD DEL ESTADO
La Plataforma de Interoperabilidad del Estado (PIDE) fue creado a través del Decreto Supremo Nº 083-2011-PCM , infraestructura tecnológica que permite la implementación de servicios públicos por medios electrónicos y el intercambio electrónico de datos, entre entidades del Estado a través de Internet, telefonía móvil y otros medios tecnológicos disponibles. La Plataforma de Interoperabilidad del Estado - PIDE, es administrada por la Presidencia del Consejo de Ministros a través de la Oficina Nacional de Gobierno Electrónico e Informática - ONGEI, en el marco del proceso de modernización de la gestión del Estado. Lo dispuesto en esta norma es de aplicación a todas las entidades integrantes del Sistema Nacional de Informática
La Oficina Nacional de Gobierno Electrónico e Informática (ONGEI) queda encargada de dictar las directivas y lineamientos necesarios para su funcionamiento.
Entre otras bondades la Plataforma de Interoperabilidad del Estado (PIDE), permitirá el intercambio electrónico de datos entre las entidades públicas, mejorando su gestión y permitiendo la implementación intensiva de servicios públicos en línea con alto impacto en los ciudadanos, al reducir tiempos y costos en su desarrollo, implementación y uso.
La implementación tecnológica del PIDE estuvo a cargo del consorcio empresarial conformado por IdeaSoft, de Uruguay; Tecnología y Gerencia S.A., de Perú; y SSA Sistemas, de Panamá.
De acuerdo a WIkipedia, el Instituto de Ingenieros Eléctricos y Electrónicos (IEEE) define interoperabilidad como la habilidad de dos o más sistemas o componentes para intercambiar información y utilizar la información intercambiada.
Más allá de la perspectiva tecnológica, actualmente la interoperabilidad es entendida como un concepto más amplio con un grupo de dimensiones diferenciadas. En este sentido, el Marco Iberoamericano de Interoperabilidad recoge para el ámbito de la administración electrónica una de las definiciones más completas existentes actualmente en línea con la definición dada por la Comisión Europea, definiendo interoperabilidad como la habilidad de organizaciones y sistemas dispares y diversos para interaccionar con objetivos consensuados y comunes y con la finalidad de obtener beneficios mutuos. La interacción implica que las organizaciones involucradas compartan información y conocimiento a través de sus procesos de negocio, mediante el intercambio de datos entre sus respectivos sistemas de tecnología de la información y las comunicaciones.
El ámbito de la administración electrónica ha dotado a la interoperabilidad de gran relevancia y ha impulsado estudios científicos que actualmente destacan otras dimensiones por encima de la dimensión técnica de la interoperabilidad.3 Es precisamente en este contexto donde se impone la interoperabilidad actualmente como uno de los elementos clave para la administración electrónica, reflejado en España a través del Esquema Nacional de Interoperabilidad.
Además de hablarse de la gobernanza de la interoperabilidad, se reconoce a la interoperabilidad actualmente, al menos, tres dimensiones bien diferenciadas:
2
Dimensión técnica Dimensión semántica Dimensión organizacional
En el mundo del transporte existen iniciativas que promueven la interoperabilidad de los sistemas ferroviarios. Un caso destacado es la directiva europea 96/48/CE relativa a la interoperabilidad del Sistema Ferroviario Transeuropeo de Alta Velocidad. Esta directiva define la interoperabilidad como la "capacidad para permitir la circulación segura e ininterrumpida de trenes de alta velocidad cumpliendo unos rendimientos específicos". Su objetivo es eliminar las diferencias reglamentarias, técnicas y operativas que actualmente obstaculizan en gran medida la libre circulación de trenes por las fronteras transeuropeas.
En Latinoamérica, existe el caso mas reciente en Perú, y su Proyecto de Gobierno Electrónico, que luego se llamo a partir del año 2009, Plataforma de Interoperabilidad del Estado Peruano - PIDE, basado en la Arquitectura SOA, teniendo como proyecto piloto un servicio denominado Constitución de Empresas en Línea, en la que intervienen cinco entidades públicas, actualmente en funcionamiento. El proyecto se ejecuto entre los años 2007 y 2011, es un proyecto modelo de interoperabilidad de éxito a estudiar, por los actores involucrados (instituciones públicas, organismos internacionales, empresas TI nacionales e internacionales, ciudadanos beneficiarios), estrategias empleadas, liderazgo político y técnico, equipos multidisciplinarios, entre otros. Revisar más en www.iadb.org, www.ongei.gob.pe.
Casos similares, se tiene en Brasil, Chile, Colombia, Uruguay.
3
DECRETO SUPREMO Nº 083-2011-PCM
Crean la Plataforma de Interoperabilidad del Estado - PIDE EL PRESIDENTE DE LA REPÚBLICA CONSIDERANDO: Que, el Artículo 19 de la Ley Orgánica del Poder Ejecutivo - Ley Nº 29158, dispone que corresponde al Presidente del Consejo de Ministros, entre otros, el coordinar y dirigir la modernización del Estado; Que, la Ley Marco de Modernización de la Gestión del Estado - Ley Nº 27658, declara al Estado Peruano en proceso de modernización en sus diferentes instancias, dependencias, entidades, organizaciones y procedimientos, con la finalidad de mejorar la gestión pública y contribuir en el fortalecimiento de un Estado moderno, descentralizado y con mayor participación del ciudadano; Que, según la norma invocada, el proceso de modernización de la gestión del Estado tiene como finalidad fundamental la obtención de mayores niveles de eficiencia del aparato estatal, de manera que se logre una mejor atención a la ciudadanía, priorizando y optimizando el uso de los recursos públicos; Que, el Reglamento de Organización y Funciones de la Presidencia del Consejo de Ministros, aprobado por el Decreto Supremo Nº 063-2007-PCM, establece que la Oficina Nacional de Gobierno Electrónico e Informática - ONGEI, tiene como parte de sus funciones, implementar la Estrategia Nacional de Gobierno Electrónico; Que, el Artículo 40 del Reglamento de la Ley Nº 27269, Ley de Firmas y Certificados Digitales, aprobado por el Decreto Supremo Nº 052-2008-PCM, dispone que el ciudadano tiene derecho al acceso a los servicios públicos a través de medios electrónicos seguros para la realización de transacciones de gobierno electrónico con las entidades de la Administración Pública, como manifestación de su voluntad y en el marco de lo previsto en la Ley del Procedimiento Administrativo General - Ley Nº 27444; Que, la Estrategia Nacional de Gobierno Electrónico, aprobada mediante Resolución Ministerial Nº 274-2006-PCM, se constituye en el instrumento de gestión que define las actividades informáticas de las entidades de la Administración Pública integrantes del Sistema Nacional de Informática en sus diferentes niveles, permitiendo la coordinación de esfuerzos de las entidades de la Administración Pública; Que, como parte de las acciones del Objetivo Estratégico 2 de la Estrategia Nacional de Gobierno Electrónico, se encuentra el desarrollar y establecer la plataforma de red transaccional del Estado, denominada actualmente como “Plataforma de Interoperabilidad del Estado - PIDE”; Que, mediante Resolución Ministerial Nº 381-2008-PCM, se aprueban los Estándares y Especificaciones de Interoperabilidad del Estado Peruano, con la finalidad de implementar la interconexión de equipos de procesamiento electrónico de información entre entidades del Estado, los que permiten establecer estándares para el intercambio de datos entre dichas entidades;
4
De conformidad con lo dispuesto en el inciso 8) del artículo 118 de la Constitución Política del Perú, la Ley Nº 29158 - Ley Orgánica del Poder Ejecutivo, la Ley Nº 27658 - Ley Marco de Modernización de la Gestión del Estado, la Ley Nº 27269 - Ley de Firmas y Certificados Digitales, modificada por la Ley Nº 27310 y su Reglamento; DECRETA: Artículo 1.- Creación de la Plataforma de Interoperabilidad del Estado - PIDE Créase la Plataforma de Interoperabilidad del Estado - PIDE, infraestructura tecnológica que permite la implementación de servicios públicos por medios electrónicos y el intercambio electrónico de datos, entre entidades del Estado a través de Internet, telefonía móvil y otros medios tecnológicos disponibles. La Plataforma de Interoperabilidad del Estado - PIDE, es administrada por la Presidencia del Consejo de Ministros a través de la Oficina Nacional de Gobierno Electrónico e Informática - ONGEI, en el marco del proceso de modernización de la gestión del Estado. Artículo 2.- Alcance La presente norma será de aplicación a todas las entidades integrantes del Sistema Nacional de Informática. Artículo 3.- Uso obligatorio de la Plataforma de Interoperabilidad del Estado La Plataforma de Interoperabilidad del Estado - PIDE, es de uso obligatorio a las entidades de la Administración Pública a que se refiere el Artículo 2 de la presente norma, que implementen servicios públicos por medios electrónicos y/o el intercambio electrónico de datos, que requieran de la participación de una o más entidades del Estado. Artículo 4.- Uso de las Firmas y Certificados Digitales Las entidades a que se refiere el Artículo 2 de la presente norma, utilizarán firmas y certificados digitales de acuerdo a lo dispuesto en la Ley Nº 27269, Ley de Firmas y Certificados Digitales y su Reglamento vigente. Artículo 5.- Funcionario responsable El titular de cada entidad a que se refiere el Artículo 2 del presente Decreto, designará al funcionario responsable, quien se encargará de adoptar las acciones necesarias para el cumplimiento y ejecución de las disposiciones contenidas en la presente norma. Artículo 6.- Gratuidad del uso de la Plataforma de Interoperabilidad del Estado - PIDE El uso de la Plataforma de Interoperabilidad del Estado - PIDE, por parte de las entidades a que se refiere el Artículo 2 de la presente norma, será gratuita. El acceso a los servicios públicos por medios electrónicos a través de la Plataforma de Interoperabilidad del Estado - PIDE, no demandará costo adicional al administrado. Artículo 7.- Procedimiento Las entidades a que se refiere el Artículo 2, deberán realizar el siguiente procedimiento, para el uso de la Plataforma de Interoperabilidad del Estado - PIDE:
5
1) Enviar el requerimiento de uso mediante documento oficial a la Oficina Nacional de Gobierno Electrónico e Informática - ONGEI, de la Presidencia del Consejo de Ministros. 2) Adjuntar un Informe Técnico que detalle los objetivos, antecedentes, descripción de procesos, recursos y propuesta de cronograma de los servicios públicos por medios electrónicos y/o intercambio electrónico de datos entre entidades del Estado, a ser implementados por medio de la PIDE. Dicho informe deberá ser desarrollado en coherencia con el proceso de modernización de la gestión del Estado. 3) La Oficina Nacional de Gobierno Electrónico e Informática - ONGEI, de la Presidencia del Consejo de Ministros, en un plazo que no excederá los siete (7) días hábiles, comunicará la recepción de la documentación a la entidad solicitante y convocará a las entidades participantes, así como, a las entidades relacionadas, para la implementación del servicio público y/o intercambio electrónico de datos, para el inicio de actividades y/o implementacion de la solución, garantizando la articulación coherente y efectiva de la interoperabilidad entre los mismos, en el marco del proceso de modernización de la gestión del Estado. 4) Todos los servicios públicos por medios electrónicos implementados a través de la PIDE deberán ser publicados a través del Portal de Servicios al Ciudadano y Empresas (www.tramites.gob.pe) El costo de la implementación de los servicios públicos en la PIDE serán asumidos por cada entidad participante, con cargo a sus presupuestos institucionales asignados anualmente. Artículo 8.- Efecto de la publicación La información contenida en la Plataforma de Interoperabilidad del Estado - PIDE, tiene carácter oficial. Artículo 9.- Normas Complementarias La Oficina Nacional de Gobierno Electrónico e Informática - ONGEI, de la Presidencia del Consejo de Ministros, en su calidad de Ente Rector del Sistema Nacional de Informática, dictará las directivas y/o lineamientos necesarios que permitan la aplicación y el funcionamiento adecuado de la Plataforma de Interoperabilidad del Estado - PIDE. Artículo 10.- Vigencia La presente norma entrará en vigencia a partir del día siguiente de su publicación. Artículo 11.- Refrendo El presente Decreto Supremo será refrendado por el Presidente del Consejo de Ministros. Dado en la Casa de Gobierno, en Lima, a los veinte días del mes de octubre del año dos mil once. OLLANTA HUMALA TASSO Presidente Constitucional de la República SALOMÓN LERNER GHITIS Presidente del Consejo de Ministros
6
DECRETO SUPREMO Nº 052-2008-PCM
Reglamento de la Ley de Firmas y Certificados Digitales EL PRESIDENTE DE LA REPÚBLICA CONSIDERANDO: Que, mediante la Ley Nº 27269, modificada por la Ley Nº 27310, se aprobó la Ley de Firmas y Certificados Digitales, que regula la utilización de la firma digital otorgándole la misma validez y eficacia jurídica que la firma manuscrita u otra análoga, estableciéndose los lineamientos generales respecto de los Prestadores de Servicios de Certificación Digital y la necesidad de contar con una Autoridad Administrativa Competente encargada de regular de manera más específica esta materia. Que, mediante el Decreto Supremo Nº 019-2002-JUS, modificado por el Decreto Supremo Nº 024-2002-JUS, se aprobó el Reglamento de la Ley Nº 27269 - Ley de Firmas y Certificados Digitales, el cual finalmente fuera derogado mediante Decreto Supremo Nº 004-2007-PCM, publicado en el Diario Oficial El Peruano con fecha 14 de enero de 2007, que aprobó el Reglamento de la Ley de Firmas y Certificados Digitales. Que, conforme a la Ley Nº 26497, Ley Orgánica del Registro Nacional de Identificación y Estado Civil - RENIEC, corresponde a esta Entidad planear, dirigir, coordinar y controlar las actividades de registro e identificación de las personas, así como emitir el documento único que acredita la identidad de las personas. Habiéndosele señalado, en la Sétima disposición transitoria del Reglamento de la Ley de Firmas y Certificados Digitales vigente, la responsabilidad de implementar la infraestructura necesaria para la operación de la Entidad de Certificación Nacional del Estado Peruano, a fin de emitir certificados digitales para los DNI electrónicos en tarjetas inteligentes y las entidades de la Administración Pública que operen bajo la modalidad de Entidades de Certificación del Estado Peruano. Que, ha cobrado gran importancia dentro de la Administración Pública el empleo de las nuevas tecnologías para interactuar con los ciudadanos, como mecanismos de ahorro de tiempo y costos en la tramitación de solicitudes y procedimientos administrativos. En tal sentido, mediante Ley Nº 27658, Ley Marco de Modernización de la Gestión del Estado, se declara al Estado Peruano en proceso de modernización en sus diferentes instancias y procedimientos, con la finalidad de mejorar la gestión pública y contribuir en el fortalecimiento de un Estado moderno, descentralizado y con mayor participación del ciudadano. Por su parte, El artículo 20.1.2 de la Ley Nº 27444 - Ley del Procedimiento Administrativo General establece entre las modalidades de notificación, las cursadas a través de medios electrónicos que permitan comprobar de manera fehaciente su acuse de recibo y quien lo recibe; asimismo el artículo 46 de la Ley Nº 27444 permite la cancelación de los derechos de tramitación mediante transferencias electrónicas de fondos; y, el artículo 123.1 de la Ley Nº 27444 señala que los administrados puedan solicitar que el envío de información o documentación que les corresponda recibir dentro de un procedimiento, sea realizado por medios de transmisión a distancia. Que, a fin de lograr un verdadero desarrollo de las transacciones de gobierno electrónico resulta indispensable establecer un sistema integral que permita acercar de manera efectiva y segura al ciudadano a la realización de transacciones por medios
7
electrónicos, siendo para ello importante que se reconozca a los ciudadanos, al igual que sucede en la experiencia comparada, el derecho a acceder electrónicamente a las entidades de la Administración Pública de manera sencilla, progresiva y bajo parámetros de seguridad y protección de las transacciones en sí mismas y de los datos personales utilizados en ellas. Que, el artículo 50 del Decreto Supremo Nº 063-2007-PCM encomienda a la Oficina Nacional de Gobierno Electrónico e Informática, entre otras funciones, proponer la Estrategia Nacional de Gobierno Electrónico y coordinar y supervisar su implementación, así como también aprobar los estándares tecnológicos para asegurar las medidas de seguridad de la información en las entidades de la Administración Pública, lo que resulta indispensable para lograr la materialización del derecho ciudadano de acceso a los servicios públicos electrónicos seguros. Que, mediante Decreto Legislativo Nº 681 se establecen las normas que regulan el uso de tecnologías avanzadas en materia de documentos e información tanto respecto a la elaborada en forma convencional cuanto a la producida por procedimientos informáticos en computadoras y sus normas técnicas, complementarias y reglamentarias, disponiendo un marco jurídico para la validez y archivo de documentos en formato digital. Que, en consecuencia, es necesario aprobar un nuevo Reglamento de la Ley Nº 27269 modificada por Ley Nº 27310 - Ley de Firmas y Certificados Digitales. Que, de conformidad con el Decreto Supremo Nº 066-2003-PCM y el artículo 49 del Decreto Supremo Nº 063-2007-PCM, la Presidencia del Consejo de Ministros, actúa como ente rector del Sistema Nacional de Informática; De conformidad con lo dispuesto en el inciso 8) del artículo 118 de la Constitución Política del Perú, el inciso 3) del artículo 11 de la Ley Nº 29158 - Ley Orgánica del Poder Ejecutivo, la Ley Nº 27269 modificada por Ley Nº 27310 - Ley de Firmas y Certificados Digitales y el Decreto Ley Nº 25868; DECRETA: Artículo 1.- Aprobación Apruébese el Reglamento de la Ley Nº 27269 modificada por Ley Nº 27310 - Ley de Firmas y Certificados Digitales, que consta de tres (3) Títulos, setenta y cinco (75) Artículos y catorce (14) Disposiciones Finales, que en Anexo forma parte del presente Decreto Supremo. Artículo 2.- Derogación Deróguese el Decreto Supremo Nº 004-2007-PCM. Artículo 3.- Refrendo El presente Decreto Supremo será refrendado por el Presidente del Consejo de Ministros. Dado en la Casa de Gobierno, en Lima, a los dieciocho días del mes de julio del año dos mil ocho. ALAN GARCÍA PÉREZ Presidente Constitucional de la República JORGE DEL CASTILLO GÁLVEZ Presidente del Consejo de Ministros
8
REGLAMENTO DE LA LEY DE FIRMAS Y CERTIFICADOS DIGITALES
TÍTULO I DISPOSICIONES GENERALES
Artículo 1.- Del objeto El objeto de la presente norma es regular, para los sectores público y privado, la utilización de las firmas digitales y el régimen de la Infraestructura Oficial de Firma Electrónica, que comprende la acreditación y supervisión de las Entidades de Certificación, las Entidades de Registro o Verificación, y los Prestadores de Servicios de Valor Añadido; de acuerdo a lo establecido en la Ley Nº 27269 - Ley de Firmas y Certificados Digitales, modificada por la Ley Nº 27310, en adelante la Ley. Reconociendo la variedad de modalidades de firmas electrónicas, la diversidad de garantías que ofrecen, los diversos niveles de seguridad y la heterogeneidad de las necesidades de sus potenciales usuarios, la Infraestructura Oficial de Firma Electrónica no excluye ninguna modalidad, ni combinación de modalidades de firmas electrónicas, siempre que cumplan los requisitos establecidos en el artículo 2 de la Ley. Artículo 2.- De la utilización de las firmas digitales Las disposiciones contenidas en el presente Reglamento no restringen la utilización de las firmas digitales generadas fuera de la Infraestructura Oficial de Firma Electrónica, las cuales serán válidas en consideración a los pactos o convenios que acuerden las partes.
CAPÍTULO I
DE LA VALIDEZ Y EFICACIA JURÍDICA DE LAS FIRMAS DIGITALES Y DOCUMENTOS ELECTRÓNICOS
Artículo 3.- De la validez y eficacia de la firma digital La firma digital generada dentro de la Infraestructura Oficial de Firma Electrónica tiene la misma validez y eficacia jurídica que el uso de una firma manuscrita. En tal sentido, cuando la ley exija la firma de una persona, ese requisito se entenderá cumplido en relación con un documento electrónico si se utiliza una firma digital generada en el marco de la Infraestructura Oficial de la Firma Electrónica. Lo establecido en el presente artículo y las demás disposiciones del presente Reglamento no excluyen el cumplimiento de las formalidades específicas requeridas para los actos jurídicos y el otorgamiento de fe pública. Artículo 4.- De los documentos firmados digitalmente como medio de prueba Los documentos electrónicos firmados digitalmente dentro del marco de la Infraestructura Oficial de Firma Electrónica deberán ser admitidos como prueba en los procesos judiciales y/o procedimientos administrativos, siempre y cuando la firma digital haya sido realizada utilizando un certificado emitido por una Entidad de Certificación acreditada en cooperación con una Entidad de Registro o Verificación acreditada, salvo que se tratara de la misma entidad con ambas calidades y con la correspondiente acreditación para brindar ambos servicios, asimismo deberá haberse aplicado un software de firmas digitales acreditado ante la Autoridad Administrativa
9
Competente. Esto incluye la posibilidad de que a voluntad de las partes pueda haberse utilizado un servicio de intermediación digital. La firma digital generada en el marco de la Infraestructura Oficial de Firma Electrónica garantiza el no repudio del documento electrónico original. Esta garantía no se extiende a los documentos individuales que conforman un documento compuesto, a menos que cada documento individual sea firmado digitalmente. La comprobación de la validez de un documento firmado digitalmente se realiza en un ambiente electrónico aplicando el Software de Verificación de la firma digital. En caso de controversia sobre la validez de la firma digital, el Juez podrá solicitar a la Autoridad Administrativa Competente el nombramiento de un perito especializado en firmas digitales, sin perjuicio de lo dispuesto por los artículos 252, 264 y 268 del Código Procesal Civil. Si el documento firmado digitalmente se ha convertido en una microforma o microarchivo, el notario o fedatario con Diploma de Idoneidad Técnica vigente cumplirá con las normas del Decreto Legislativo Nº 681 y cuidará de cumplir aquellas normas que sean pertinentes de la Ley y de este Reglamento. Artículo 5.- De la conservación de documentos electrónicos Cuando los documentos, registros o informaciones requieran de una formalidad para la conservación de documentos electrónicos firmados digitalmente, deberán: a) Ser accesibles para su posterior consulta. b) Ser conservados con su formato original de generación, envío, recepción u otro formato que reproduzca en forma demostrable la exactitud e integridad del contenido electrónico. c) Ser conservado todo dato que permita determinar el origen, destino, fecha y hora del envío y recepción. Para estos casos, los documentos electrónicos deberán ser conservados mediante microformas o microarchivos, observando para ello lo regulado en el Decreto Legislativo Nº 681 y normas complementarias y reglamentarias; siendo, en tales supuestos, indispensable la participación de un notario o fedatario que cuente con Diploma de Idoneidad Técnica y se encuentre registrado ante su correspondiente Colegio o Asociación Profesional conforme a lo establecido por la legislación de la materia.(*) (*) Párrafo modificado por el Artículo 1 del Decreto Supremo Nº 105-2012-PCM, publicado el 21 octubre 2012, cuyo texto es el siguiente: "La firma digital vinculada a un certificado digital generada bajo la Infraestructura Oficial de Firma Electrónica no requiere mecanismos adicionales para conservar dicho documento a salvo de adulteraciones y asegurar el cumplimiento del principio de equivalencia funcional y la integridad del contenido del documento electrónico.”
CAPÍTULO II DE LA FIRMA DIGITAL
Artículo 6.- De la firma digital
10
Es aquella firma electrónica que utilizando una técnica de criptografía asimétrica, permite la identificación del signatario y ha sido creada por medios que éste mantiene bajo su control, de manera que está vinculada únicamente al signatario y a los datos a los que refiere, lo que permite garantizar la integridad del contenido y detectar cualquier modificación ulterior, tiene la misma validez y eficacia jurídica que el uso de una firma manuscrita, siempre y cuando haya sido generada por un Prestador de Servicios de Certificación Digital debidamente acreditado que se encuentre dentro de la Infraestructura Oficial de Firma Electrónica, y que no medie ninguno de los vicios de la voluntad previstos en el Título VIII del Libro IV del Código Civil. Las firmas digitales son las generadas a partir de certificados digitales que son: a) Emitidos conforme a lo dispuesto en el presente Reglamento por entidades de certificación acreditadas ante la Autoridad Administrativa Competente. b) Incorporados a la Infraestructura Oficial de Firma Electrónica bajo acuerdos de certificación cruzada, conforme al artículo 74 del presente Reglamento. c) Reconocidos al amparo de acuerdos de reconocimiento mutuo suscritos por la Autoridad Administrativa Competente conforme al artículo 72 del presente Reglamento. d) Emitidos por Entidades de Certificación extranjeras que hayan sido incorporados por reconocimiento a la Infraestructura Oficial de Firma Electrónica conforme al artículo 73 del presente Reglamento. Artículo 7.- De las características de la firma digital Las características mínimas de la firma digital generada dentro de la Infraestructura Oficial de Firma Electrónica son: a) Se genera al cifrar el código de verificación de un documento electrónico, usando la clave privada del titular del certificado. b) Es exclusiva del suscriptor y de cada documento electrónico firmado por éste. c) Es susceptible de ser verificada usando la clave pública del suscriptor. d) Su generación está bajo el control exclusivo del suscriptor. e) Está añadida o incorporada al documento electrónico mismo de tal manera que es posible detectar si la firma digital o el documento electrónico fue alterado. Artículo 8.- De las presunciones Tratándose de documentos electrónicos firmados digitalmente a partir de certificados digitales generados dentro de la Infraestructura Oficial de Firma Electrónica, se aplican las siguientes presunciones: a) Que el suscriptor del certificado digital tiene el control exclusivo de la clave privada asociada. b) Que el documento electrónico fue firmado empleando la clave privada del suscriptor del certificado digital.
11
c) Que el documento electrónico no ha sido alterado con posterioridad al momento de la firma. Como consecuencia de los literales previos, el suscriptor no podrá repudiar o desconocer un documento electrónico que ha sido firmado digitalmente usando su clave privada, siempre que no medie ninguno de los vicios de la voluntad previstos en el Título VIII del Libro II del Código Civil. CONCORDANCIAS: D.S. Nº 070-2011-PCM, Art. 2 (Reconocimiento de presunciones legales a las comunicaciones electrónicas generadas por la Administración Pública, cuyas entidades generadoras de certificados digitales hayan contado con el sello Web Trust, a la fecha de su generación, y su posterior reemplazo por certificados generados por RENIEC) Artículo 9.- Del suscriptor Dentro de la Infraestructura Oficial de Firma Electrónica, la responsabilidad sobre los efectos jurídicos generados por la utilización de una firma digital corresponde al titular del certificado. Tratándose de personas naturales, éstas son titulares y suscriptores del certificado digital. En el caso de personas jurídicas, éstas son titulares del certificado digital. Los suscriptores son las personas naturales responsables de la generación y uso de la clave privada, con excepción de los certificados digitales para su utilización a través agentes automatizados, situación en la cual las personas jurídicas asumen las facultades de titulares y suscriptores del certificado digital. Artículo 10.- De las obligaciones del suscriptor Las obligaciones del suscriptor son: a) Entregar información veraz bajo su responsabilidad. b) Generar la clave privada y firmar digitalmente mediante los procedimientos señalados por la Entidad de Certificación. c) Mantener el control y la reserva de la clave privada bajo su responsabilidad. d) Observar las condiciones establecidas por la Entidad de Certificación para la utilización del certificado digital y la generación de firmas digitales. e) En caso de que la clave privada quede comprometida en su seguridad, el suscriptor debe notificarlo de inmediato a la Entidad de Registro o Verificación o a la Entidad de Certificación que participó en su emisión para que proceda a la cancelación del certificado digital. Artículo 11.- De la invalidez Una firma digital generada bajo la Infraestructura Oficial de Firma Electrónica carece de validez, además de los supuestos que prevé la legislación civil, cuando: a) Es utilizada en fines distintos para los que fue extendido el certificado. b) El certificado haya sido cancelado conforme a lo establecido en el Capítulo III del presente Título.
12
CAPÍTULO III
DEL CERTIFICADO DIGITAL Artículo 12.- De los requisitos Para la obtención de un certificado digital, el solicitante deberá acreditar lo siguiente: a) Tratándose de personas naturales, tener plena capacidad de ejercicio de sus derechos civiles. b) Tratándose de personas jurídicas, acreditar la existencia de la persona jurídica y su vigencia mediante los instrumentos públicos o norma legal respectiva, debiendo contar con un representante debidamente acreditado para tales efectos. Artículo 13.- De las especificaciones adicionales para ser titular Para ser titular de un certificado digital adicionalmente se deberá cumplir con entregar la información solicitada por la Entidad de Registro o Verificación, de acuerdo a lo estipulado por la Entidad de Certificación correspondiente, asumiendo el titular la responsabilidad por la veracidad y exactitud de la información proporcionada, sin perjuicio de la respectiva comprobación. En el caso de personas naturales, la solicitud del certificado digital y el registro o verificación de su identidad son estrictamente personales. La persona natural solicitante se constituirá en titular y suscriptor del certificado digital. Artículo 14.- Del procedimiento para ser titular Las personas naturales deberán presentar una solicitud a la Entidad de Registro o Verificación; dicha solicitud deberá estar acompañada de toda la información requerida por la Declaración de Prácticas de Registro o Verificación, o en los procedimientos declarados. La Entidad de Registro o Verificación deberá comprobar la identidad del solicitante a través de su documento oficial de identidad. En el caso de personas jurídicas, la solicitud del certificado digital y el registro o verificación de su identidad deberán realizarse a través de un representante debidamente acreditado. La persona jurídica se constituirá en titular del certificado digital. Conjuntamente con la solicitud, debe indicarse la persona natural que será el suscriptor, señalando para tal efecto las atribuciones y los poderes de representación correspondientes. Tratándose de certificados digitales solicitados por personas jurídicas para su utilización a través de agentes automatizados, las facultades de titular y suscriptor de dicho certificado corresponderán a la persona jurídica, quien asumirá la responsabilidad por el uso de dicho certificado digital. Artículo 15.- De las obligaciones del titular Las obligaciones del titular son: a) Entregar información veraz durante la solicitud de emisión de certificados y demás procesos de certificación (cancelación, suspensión, re-emisión y modificación). b) Actualizar la información provista tanto a la Entidad de Certificación como a la Entidad de Registro o Verificación, asumiendo responsabilidad por la veracidad y exactitud de ésta. c) Solicitar la cancelación de su certificado digital en caso de que la reserva sobre la clave privada se haya visto comprometida, bajo responsabilidad.
13
d) Cumplir permanentemente las condiciones establecidas por la Entidad de Certificación para la utilización del certificado. Artículo 16.- Del contenido y vigencia Los certificados emitidos dentro de la Infraestructura Oficial de Firma Electrónica deberán contener como mínimo, además de lo establecido en el artículo 7 de la Ley, lo siguiente: a) Para personas naturales: * Nombres completos * Número de documento oficial de identidad * Tipo de documento * Dirección oficial de correo electrónico b) Para personas jurídicas: * Razón social * Número de RUC * Nombres completos del suscriptor * Número de documento oficial de identidad del suscriptor * Tipo de documento del suscriptor * Facultades del suscriptor * Correo electrónico del suscriptor * Dirección oficial de correo electrónico del suscriptor * Dirección oficial de correo electrónico de la persona jurídica La Entidad de Certificación podrá incluir, a pedido del solicitante del certificado, información adicional siempre y cuando la Entidad de Registro o Verificación compruebe de manera fehaciente la veracidad de ésta. El período de vigencia de los certificados digitales comienza y finaliza en las fechas indicadas en él, salvo en los supuestos de cancelación conforme a lo establecido en el artículo 17 del presente Reglamento. (*) (*) Artículo modificado por el Artículo 1 del Decreto Supremo Nº 070-2011-PCM, publicado el 27 julio 2011, que entró en vigencia a los treinta (30) días hábiles de su publicación cuyo texto es el siguiente: “Artículo 16.- Del contenido y vigencia Los certificados emitidos dentro de la Infraestructura Oficial de Firma Electrónica deberán contener como mínimo, además de lo establecido en el artículo 7 de la Ley, lo siguiente: a) Para personas naturales: * Nombres completos * Número de documento oficial de identidad * Tipo de documento b) Para personas jurídicas: * Razón social * Número del Registro Único de Contribuyentes (RUC)
14
* Nombres completos del suscriptor * Número de documento oficial de identidad del suscriptor * Tipo de documento del suscriptor La Entidad de Certificación podrá incluir indistintamente, a pedido del solicitante del certificado, la dirección oficial de correo electrónico del suscriptor, la dirección oficial de correo electrónico de la persona jurídica o el domicilio electrónico del solicitante. Asimismo, podrá incluir información adicional siempre y cuando la Entidad de Registro o Verificación compruebe de manera fehaciente la veracidad de ésta. El período de vigencia de los certificados digitales comienza y finaliza en las fechas indicadas en él, salvo en los supuestos de cancelación conforme a lo establecido en el artículo 17 del presente Reglamento.” Artículo 17.- De las causales de cancelación La cancelación del certificado digital puede darse: a) A solicitud del titular del certificado digital o del suscriptor sin previa justificación, siendo necesario para tal efecto la aceptación y autorización de la Entidad de Certificación o la Entidad de Registro o Verificación, según sea el caso, dentro del plazo establecido por la Autoridad Administrativa Competente. Si una solicitud de cancelación es aprobada por la Entidad de Registro o Verificación, y luego tal entidad supere el plazo máximo en el cual debe comunicar dicha aprobación a la Entidad de Certificación correspondiente, dicha Entidad de Registro o Verificación será responsable por los daños ocasionados debido a la demora. De otro modo, habiendo sido notificada dentro del plazo establecido, la Entidad de Certificación será responsable de los daños que pueda ocasionar la demora en dicha cancelación. Del mismo modo ocurrirá en el caso que un suscriptor o titular solicite directamente a la Entidad de Certificación la cancelación de su certificado. Compete a la Autoridad Administrativa Competente establecer las sanciones respectivas. b) Por decisión de la Entidad de Certificación (por revocación, según los supuestos contenidos en el artículo 10 de la Ley), con expresión de causa. c) Por expiración del plazo de vigencia. d) Por cese de operaciones de la Entidad de Certificación que emitió el certificado. e) Por resolución administrativa o judicial que ordene la cancelación del certificado. f) Por interdicción civil judicialmente declarada o declaración de ausencia o de muerte presunta, del titular del certificado. g) Por extinción de la personería jurídica o declaración judicial de quiebra. h) Por muerte, o por inhabilitación o incapacidad declarada judicialmente de la persona natural suscriptor del certificado. i) Por solicitud de un tercero que informe y pruebe de manera fehaciente alguno de los supuestos de revocación contenidos en los incisos 1) y 2) del artículo 10 de la Ley. j) Otras causales que establezca la Autoridad Administrativa Competente.
15
Las condiciones bajo las cuales un certificado digital pueda ser cancelado deben ser estipuladas en los contratos de los suscriptores y titulares. El uso de certificados digitales con posterioridad a su cancelación conlleva la inaplicabilidad de los artículos 3, 4 y 8 del presente Reglamento. En todos los casos la Entidad de Certificación debe indicar el momento desde el cual se aplica la cancelación, precisando la fecha, hora, minuto y segundo en la que se efectúa. La cancelación no puede ser aplicada retroactivamente y debe ser notificada al titular del certificado digital cuando corresponda. La Entidad de Certificación debe incluir el certificado digital cancelado en la siguiente publicación de la Lista de Certificados Digitales Cancelados. Artículo 18.- De la cancelación del certificado a solicitud de su titular, suscriptor o representante. La solicitud de cancelación de un certificado digital puede ser realizada por su titular, suscriptor o a través de un representante debidamente acreditado; tal solicitud podrá realizarse mediante documento electrónico firmado digitalmente, de acuerdo con los procedimientos definidos en cada caso por las Entidades de Certificación o las Entidades de Registro o Verificación. El titular y el suscriptor del certificado están obligados, bajo responsabilidad, a solicitar la cancelación del certificado al tomar conocimiento de la ocurrencia de alguna de las siguientes circunstancias: a) Exposición, puesta en peligro o uso indebido de la clave privada. b) Deterioro, alteración o cualquier otro hecho u acto que afecte la clave privada. c) Revocación de las facultades de representación y/o poderes de sus representantes legales o apoderados. d) Cuando la información contenida en el certificado ya no resulte correcta. e) Cuando el suscriptor deja de ser miembro de la comunidad de interés o se sustrae de aquellos intereses relativos a la Entidad de Certificación. Artículo 19.- De la cancelación por revocación La revocación supone la cancelación de oficio de los certificados por parte de la Entidad de Certificación, quien debe contar, para tal efecto, con procedimientos detallados en su Declaración de Prácticas de Certificación.
TÍTULO II DE LA INFRAESTRUCTURA OFICIAL DE FIRMA ELECTRÓNICA
CAPÍTULO I
ASPECTOS GENERALES Artículo 20.- De los elementos La Infraestructura Oficial de Firma Electrónica está constituida por: a) El conjunto de firmas digitales, certificados digitales y documentos electrónicos generados bajo la Infraestructura Oficial de Firma Electrónica.
16
b) Las políticas y declaraciones de prácticas de los Prestadores de Servicios de Certificación Digital, basadas en estándares internacionales o compatibles con los internacionalmente vigentes, que aseguren la interoperabilidad entre dominios y las funciones exigidas, conforme a lo establecido por la Autoridad Administrativa Competente. c) El software, el hardware y demás componentes adecuados para las prácticas de certificación y las condiciones de seguridad adicionales comprendidas en los estándares señalados en el literal b). d) El sistema de gestión que permita el mantenimiento de las condiciones señaladas en los incisos anteriores, así como la seguridad, confidencialidad, transparencia y no discriminación en la prestación de sus servicios. e) La Autoridad Administrativa Competente, así como los Prestadores de Servicios de Certificación Digital acreditados o reconocidos. Artículo 21.- De los estándares aplicables La Autoridad Administrativa Competente determinará los estándares compatibles aplicando el principio de neutralidad tecnológica y los criterios que permitan lograr la interoperabilidad entre componentes, aplicaciones e infraestructuras de la firma digital análogas a la Infraestructura Oficial de Firma Electrónica. Artículo 22.- De los niveles de seguridad A fin de garantizar el cumplimiento de los requerimientos de seguridad necesarios para la implementación de los componentes y aplicaciones de la Infraestructura Oficial de Firma Electrónica, se establecen tres niveles: Medio, Medio Alto y Alto, cuyas precisiones adicionales a lo establecido en el presente Reglamento serán definidas por la Autoridad Administrativa Competente. El nivel de seguridad Alto se emplea en aplicaciones militares.
CAPÍTULO II DE LOS PRESTADORES DE SERVICIOS DE CERTIFICACIÓN DIGITAL
Artículo 23.- De las modalidades Los Prestadores de Servicios de Certificación Digital (PSC) pueden adoptar cualquiera de las modalidades siguientes: a) Entidad de Certificación. b) Entidad de Registro o Verificación. c) Prestador de Servicios de Valor Añadido. De conformidad con lo establecido en la Ley, resulta factible que una misma Entidad preste sus servicios en más de una de las modalidades establecidas anteriormente. No obstante, deberá contar con una acreditación independiente y particular para cada una de las modalidades de prestación de servicios de certificación que decida adoptar, a efectos de formar parte de la Infraestructura Oficial de Firma Electrónica. Artículo 24.- De la acreditación La acreditación del Prestador de Servicios de Certificación permite su ingreso a la Infraestructura Oficial de Firma Electrónica, gozando de las presunciones legales que rigen para tal supuesto. A tal efecto, el Prestador de Servicios de Certificación
17
será inscrito en el correspondiente Registro de Prestadores de Servicios de Certificación Digital. De manera general el proceso de acreditación se rige por lo establecido en el presente Reglamento y de manera particular por lo establecido en los Reglamentos Específicos y Guías de Acreditación aprobados para tales efectos por la Autoridad Administrativa Competente.
SECCIÓN I DE LAS ENTIDADES DE CERTIFICACIÓN
Artículo 25.- De las funciones Las Entidades de Certificación tendrán las siguientes funciones: a) Emitir certificados digitales manteniendo una secuencia correlativa en el número de serie. b) Cancelar certificados digitales. c) Reconocer certificados digitales emitidos por entidades de certificación extranjeras que hayan sido incorporadas por reconocimiento a la Infraestructura Oficial de Firma Electrónica conforme al artículo 73 del presente Reglamento. Caso contrario, dichos certificados no gozarán del amparo de la Infraestructura Oficial de Firma Electrónica. d) Adicionalmente a las anteriores funciones, realizará las señaladas en los artículos 29 y 33 del presente Reglamento, en caso opten por asumir las funciones de Entidad de Registro o Verificación, o de Prestador de Servicios de Valor Añadido, respectivamente. Artículo 26.- De las obligaciones Las Entidades de Certificación registradas tienen las siguientes obligaciones: a) Cumplir con los requerimientos de la Autoridad Administrativa Competente en lo referente a la Política de Certificación, Declaración de Prácticas de Certificación, Política de Seguridad, Política de Privacidad y Plan de Privacidad. Estos documentos deberán ser aprobados por la Autoridad Administrativa Competente dentro del procedimiento de acreditación. b) Informar a los usuarios de todas las condiciones de emisión y de uso de sus certificados digitales, incluyendo las referidas a la cancelación de éstos. c) Mantener el control y la reserva de la clave privada que emplea para firmar digitalmente los certificados digitales que emite. Mantener la debida diligencia y cuidado respecto a la clave privada de la Entidad de Certificación, estando en la obligación de comunicar inmediatamente a la Autoridad Administrativa Competente cualquier potencial o real compromiso de la clave privada. d) Mantener depósito de los certificados digitales emitidos y cancelados, consignando su fecha de emisión y vigencia. No almacenar las claves privadas de los usuarios finales a menos que correspondan a certificados cuyo uso se limite al cifrado de datos.
18
e) Cancelar el certificado digital al suscitarse alguna de las causales establecidas en el artículo 17 del presente Reglamento. Las causales y condiciones bajo las cuales deba efectuarse la cancelación del certificado deben ser estipuladas en los contratos de los titulares y suscriptores. f) Mantener la confidencialidad de la información relativa a los titulares y suscriptores de certificados digitales limitando su empleo a las necesidades propias del servicio de certificación, salvo orden judicial o pedido del titular o suscriptor del certificado digital (según sea el caso) realizado mediante un mecanismo que garantice el no repudio, debiendo respetar para tales efectos los lineamientos establecidos por la Autoridad Administrativa Competente y contenidos en la Norma Marco sobre Privacidad. g) Mantener la información relativa a los certificados digitales, por un período mínimo de diez (10) años a partir de su cancelación. h) Cumplir los términos bajo los cuales obtuvo la acreditación, así como los requerimientos adicionales que establezca la Autoridad Administrativa Competente conforme a lo establecido en el Reglamento. i) Informar y solicitar autorización a la Autoridad Administrativa Competente respecto de acuerdos de certificación cruzada que proyecte celebrar, así como los términos bajo los cuales dichos acuerdos se suscribirían. j) Informar y solicitar autorización a la Autoridad Administrativa Competente para efectos del reconocimiento de certificados emitidos por entidades extranjeras. k) Cumplir con las disposiciones de la Autoridad Administrativa Competente a que se refiere el artículo 27 del presente Reglamento. l) Brindar todas las facilidades al personal autorizado por la Autoridad Administrativa Competente para efectos de supervisión y auditoría. m) Demostrar que los controles técnicos que emplea son adecuados y efectivos a través de la verificación independiente del cumplimiento de los requisitos especificados en el estándar WebTrust for Certification Authorities y la obtención del sello de Webtrust. n) Acreditar domicilio en el país. Estas obligaciones podrán ser precisadas por la Autoridad Administrativa Competente, a excepción de las que señale expresamente la Ley. Artículo 27.- De la responsabilidad por riesgos Para operar en el marco de la Infraestructura Oficial de Firma Electrónica y afrontar los riesgos que puedan surgir como resultado de sus actividades de certificación, las Entidades de Certificación acreditadas o reconocidas, de acuerdo a los niveles de seguridad establecidos, deberán cumplir con mantener vigente la contratación de seguros o garantías bancarias que respalden sus certificados, así como con informar a los usuarios los montos contratados a tal efecto. La Autoridad Administrativa Competente establecerá la cuantía mínima de las pólizas de seguros o garantías bancarias, así como las medidas tecnológicas correspondientes al nivel de seguridad respectivo.
19
Asimismo, la Autoridad Administrativa Competente determinará los criterios para evaluar el cumplimiento de este requisito. Artículo 28.- Del cese de operaciones La Entidad de Certificación cesa sus operaciones en el marco de la Infraestructura Oficial de Firma Electrónica, en los siguientes casos: a) Por decisión unilateral comunicada a la Autoridad Administrativa Competente, asumiendo la responsabilidad del caso por dicha decisión. b) Por extinción de su personería jurídica. c) Por cancelación de su registro. d) Por sentencia judicial. e) Por liquidación, decidida por la junta de acreedores en el marco de la legislación concursal, o resolución judicial de quiebra. f) Por decisión debidamente sustentada de la Autoridad Administrativa Competente frente al incumplimiento de los requerimientos exigidos en sus Reglamentos Específicos y Guías de Acreditación, observado en el proceso de evaluación técnica anual a que se refiere el artículo 71 del presente Reglamento. Para los supuestos contemplados en los incisos a) y b) la Entidad de Certificación tiene un plazo de treinta (30) días calendario para notificar el cese de sus operaciones tanto a la Autoridad Administrativa Competente como a los titulares de los certificados digitales que hubiera emitido. En tales supuestos, la Autoridad Administrativa Competente deberá adoptar las medidas necesarias para preservar las obligaciones contenidas en los incisos c), g) y h) del artículo 26 del presente Reglamento. La Autoridad Administrativa Competente establecerá los procedimientos para hacer público el cese de operaciones de las entidades de certificación. Los certificados digitales emitidos por una Entidad de Certificación cuyas operaciones han cesado deben ser cancelados a partir del día, hora, minuto y segundo en que se aplica el cese.
SECCIÓN II DE LAS ENTIDADES DE REGISTRO O VERIFICACIÓN
Artículo 29.- De las funciones Las Entidades de Registro o Verificación tienen las siguientes funciones: a) Identificar a los titulares y/o suscriptores del certificado digital mediante el levantamiento de datos y la comprobación de la información brindada por aquél. b) Aprobar y/o denegar, según sea el caso, las solicitudes de emisión, modificación, re-emisión, suspensión o cancelación de certificados digitales, comunicándolo a la respectiva Entidad de Certificación, según se encuentre estipulado en la correspondiente Declaración de Prácticas de Certificación. Artículo 30.- De las obligaciones
20
Las Entidades de Registro o Verificación acreditadas tienen las siguientes obligaciones: a) Cumplir con los requerimientos de la Autoridad Administrativa Competente respecto de la Política de Registro o Verificación, Declaración de Prácticas de Registro o Verificación, Política de Seguridad y Política y Plan de Privacidad. Estos documentos deberán ser aprobados por la Autoridad Administrativa Competente dentro del procedimiento de acreditación. b) Determinar objetivamente y en forma directa la veracidad de la información proporcionada por los solicitantes del certificado digital, bajo su responsabilidad. c) Mantener la confidencialidad de la información relativa a los suscriptores y titulares de certificados digitales, limitando su empleo a las necesidades propias del servicio de registro o verificación, salvo orden judicial o pedido del titular o suscriptor del certificado digital, según sea el caso, realizado mediante un mecanismo que garantice el no repudio, debiendo respetar para tales efectos los lineamientos establecidos por la Autoridad Administrativa Competente en la Norma Marco sobre Privacidad. d) Recoger únicamente información o datos personales de relevancia para la emisión de los certificados. e) Acreditar domicilio en el Perú. f) Cumplir con las disposiciones de la Autoridad Administrativa Competente a que se refiere el artículo 31 del presente Reglamento. g) Brindar todas las facilidades al personal autorizado por la Autoridad Administrativa Competente para efectos de supervisión y auditoría. Estas obligaciones podrán ser precisadas por la Autoridad Administrativa Competente, a excepción de las que señale expresamente la Ley. Artículo 31.- De la responsabilidad por riesgos Para operar en el marco de la Infraestructura Oficial de Firma Electrónica y afrontar los riesgos que puedan surgir como resultado de sus actividades de registro o verificación, las Entidades de Registro o Verificación acreditadas, de acuerdo a los niveles de seguridad establecidos, deberán cumplir con: a) Nivel de seguridad Medio: mantener vigente la contratación de seguros o garantías bancarias y emplear para efectos de la verificación de la identidad de los ciudadanos: * De nacionalidad peruana, la base de datos del Registro Nacional de Identificación y Estado Civil - RENIEC. * Extranjeros, carné de extranjería actualizado (residentes) o pasaporte (no residentes); o b) Nivel de seguridad Medio Alto: mantener vigente la contratación de seguros o garantías bancarias y emplear para efectos de la verificación de la identidad de los ciudadanos:
21
* De nacionalidad peruana, el sistema de identificación biométrica AFIS del Registro Nacional de Identificación y Estado Civil - RENIEC. * Extranjeros, carné de extranjería actualizado (residentes) o pasaporte (no residentes). La Autoridad Administrativa Competente establecerá la cuantía mínima de las pólizas de seguros o garantías bancarias. Asimismo, la Autoridad Administrativa Competente determinará los criterios para evaluar el cumplimiento de este requisito. Artículo 32.- Del cese de operaciones La Entidad de Registro o Verificación cesa de operar en el marco de la Infraestructura Oficial de Firma Electrónica en los siguientes casos: a) Por decisión unilateral comunicada a la Autoridad Administrativa Competente, asumiendo la responsabilidad del caso por dicha decisión. b) Por extinción de su personería jurídica. c) Por cancelación de su registro. d) Por sentencia judicial. e) Por liquidación, decidida por la junta de acreedores en el marco de la legislación concursal o resolución judicial de quiebra. f) Por decisión debidamente sustentada de la Autoridad Administrativa Competente frente al incumplimiento de los requerimientos exigidos en sus Reglamentos Específicos y Guías de Acreditación, observado en el proceso de evaluación técnica anual a que se refiere el artículo 71 del presente Reglamento. Para los supuestos contenidos en los incisos a) y b), la Entidad de Registro o Verificación tiene un plazo de treinta (30) días calendario para notificar el cese de sus operaciones a la Autoridad Administrativa Competente debiendo dejar constancia ante aquélla de los mecanismos utilizados para preservar el cumplimiento de lo dispuesto en el inciso c) del artículo 30 del presente Reglamento.
SECCIÓN III DE LOS PRESTADORES DE SERVICIOS DE VALOR AÑADIDO
Artículo 33.- De las funciones Los Prestadores de Servicios de Valor Añadido tienen las siguientes funciones: a) Participar en la transmisión o envío de documentos electrónicos firmados digitalmente, siempre que el usuario lo haya solicitado expresamente. b) Certificar los documentos electrónicos con fecha y hora cierta (Sellado de Tiempo) o en el almacenamiento de tales documentos, aplicando medios que garanticen la integridad y no repudio de los datos de origen y recepción (Sistema de Intermediación Digital). c) Generar certificados de autenticación a los usuarios que lo soliciten. Dichos certificados serán utilizados sólo en caso que se requiera la autenticación del usuario
22
para el control de acceso a domicilios electrónicos correspondientes a los servicios vinculados a notificaciones electrónicas. Su uso fuera del servicio, en aplicaciones ajenas al Prestador de Servicios de Valor Añadido que lo emitió, no gozará del amparo de la Infraestructura Oficial de Firma Electrónica. Los usuarios que así lo deseen podrán emplear su propio certificado digital de autenticación para los usos descritos en el presente inciso. Artículo 34.- De las modalidades del Prestador de Servicios de Valor Añadido Los Prestadores de Servicios de Valor Añadido pueden adoptar cualquiera de las modalidades siguientes: a) Prestador de Servicios de Valor Añadido con firma digital del usuario final. En este caso, se requiere en determinada etapa del servicio de valor añadido la firma digital del usuario final en el documento. b) Prestador de Servicios de Valor Añadido sin firma digital del usuario final. En ninguna parte del servicio de valor añadido se requiere la firma digital del usuario final. En cualquiera de los casos, el Prestador de Servicios de Valor Añadido puede contar con los servicios de un notario o fedatario con diploma de idoneidad técnica registrado ante su correspondiente colegio o asociación profesional, de conformidad con lo establecido en el Decreto Legislativo Nº 681, para los casos de prestación de servicios al amparo de lo señalado en el artículo 35 inciso a) del presente Reglamento. Artículo 35.- De las modalidades del Prestador de Servicios de Valor Añadido con firma digital del usuario final Los Prestadores de Servicios de Valor Añadido que realizan procedimientos con firma digital del usuario final, podrán a su vez adoptar dos modalidades: a) Sistema de Intermediación Digital cuyo procedimiento concluye con una microforma o microarchivo. b) Sistema de Intermediación Digital cuyo procedimiento no concluye en microforma o microarchivo. En la modalidad de Sistema de Intermediación Digital cuyo procedimiento concluye con una microforma o microarchivo y se requiera de una formalidad para la conservación de documentos electrónicos firmados digitalmente, se deberá respetar para tales efectos lo establecido en el artículo 5 del presente Reglamento. Artículo 36.- De la modalidad del Prestador de Servicios de Valor Añadido sin firma digital del usuario final El Prestador de Servicios de Valor Añadido sin firma digital del usuario final se refiere al sistema de Sellado de Tiempo, el cual permite consignar la fecha y hora cierta de la existencia de un documento electrónico. Artículo 37.- De las obligaciones Los Prestadores de Servicios de Valor Añadido tienen las siguientes obligaciones: a) Cumplir con los requerimientos de la Autoridad Administrativa Competente respecto de la Política de Valor Añadido, Declaración de Prácticas de Servicios de Valor Añadido, Política de Seguridad, Política y Plan de Privacidad. Estos documentos
23
deberán ser aprobados por la Autoridad Administrativa Competente dentro del procedimiento de acreditación. b) Informar a los usuarios de todas las condiciones para la prestación de sus servicios. c) Mantener la confidencialidad de la información relativa a los usuarios de los servicios, limitando su empleo a las necesidades propias del servicio de valor añadido prestado, salvo orden judicial o pedido del usuario utilizando medios que garanticen el no repudio, debiendo respetar para tales efectos los lineamientos establecidos en la Norma Marco sobre Privacidad. d) Tener operativo software, hardware y demás componentes adecuados para la prestación de servicios de valor añadido y las condiciones de seguridad adicionales basadas en estándares internacionales o compatibles a los internacionalmente vigentes que aseguren la interoperabilidad y las condiciones exigidas por la Autoridad Administrativa Competente. e) Cumplir los términos bajo los cuales obtuvo la acreditación, así como los requerimientos adicionales que establezca la Autoridad Administrativa Competente conforme a lo establecido en el presente Reglamento. f) Cumplir con las disposiciones de la Autoridad Administrativa Competente a que se refiere el artículo 38 del presente Reglamento. g) Brindar todas las facilidades al personal autorizado por la Autoridad Administrativa Competente para efectos de supervisión y auditoría. Estas obligaciones podrán ser precisadas por la Autoridad Administrativa Competente, a excepción de las que señale expresamente la Ley. Artículo 38.- De la responsabilidad por riesgos Para operar en el marco de la Infraestructura Oficial de Firma Electrónica y afrontar los riesgos que puedan surgir como resultado de sus actividades de valor añadido, los Prestadores de Servicios de Valor Añadido acreditados, de acuerdo a los niveles de seguridad establecidos, deberán cumplir con: a) Nivel de seguridad Medio: mantener vigente la contratación de seguros o garantías bancarias; o b) Nivel de seguridad Medio Alto: acreditar una certificación internacional, según: * Sistema de Intermediación Digital cuyo procedimiento concluye con una microforma o microarchivo: certificación de acuerdo al Decreto Legislativo Nº 681. * Sistema de Intermediación Digital cuyo procedimiento no concluye con una microforma o microarchivo: certificación internacional de calidad para la provisión de sus servicios, de acuerdo a lo establecido por la Autoridad Administrativa Competente. * Sistema de Sellado de Tiempo: certificación internacional de calidad para la provisión de sus servicios, de acuerdo a lo establecido por la Autoridad Administrativa Competente.
24
La Autoridad Administrativa Competente establecerá la cuantía mínima de las pólizas de seguros o garantías bancarias, las certificaciones de calidad internacional, así como las medidas tecnológicas correspondientes a cada nivel de seguridad. Asimismo, la Autoridad Administrativa Competente determinará los criterios para evaluar el cumplimiento de este requisito. Artículo 39.- Del cese de operaciones El Prestador de Servicios de Valor Añadido cesa de operar en el marco de la Infraestructura Oficial de Firma Electrónica en los siguientes casos: a) Por decisión unilateral comunicada a la Autoridad Administrativa Competente), asumiendo la responsabilidad del caso por dicha decisión. b) Por extinción de su personería jurídica. c) Por cancelación de su registro. d) Por sentencia judicial. e) Por liquidación, decidida por la junta de acreedores en el marco de la legislación concursal o resolución judicial de quiebra. Para los supuestos contenidos en los incisos a) y b) el Prestador de Servicios de Valor Añadido tiene un plazo de treinta (30) días calendario para notificar el cese de sus operaciones a la Autoridad Administrativa Competente. f) Por decisión debidamente sustentada de la Autoridad Administrativa Competente frente al incumplimiento de los requerimientos exigidos en sus Reglamentos Específicos y Guías de Acreditación.observado en el proceso de evaluación técnica anual a que se refiere el artículo 71 del presente Reglamento; Para los supuestos contenidos en los incisos a) y b), el Prestador de Servicios de Valor Añadido tiene un plazo de treinta (30) días calendario para notificar el cese de sus operaciones a la Autoridad Administrativa Competente debiendo dejar constancia ante aquélla de los mecanismos utilizados para preservar el cumplimiento de lo dispuesto en el inciso c) del artículo 37 del presente Reglamento.
CAPÍTULO III
DE LA PRESTACIÓN DE SERVICIOS DE GOBIERNO ELECTRÓNICO Y DE LA CERTIFICACIÓN DIGITAL A CARGO DEL ESTADO
SECCIÓN I
ASPECTOS GENERALES
Artículo 40.- Del derecho ciudadano de acceso a servicios públicos electrónicos seguros El ciudadano tiene derecho al acceso a los servicios públicos a través de medios electrónicos seguros para la realización de transacciones de gobierno electrónico con las entidades de la Administración Pública, como manifestación de su voluntad y en el marco de lo previsto en la Ley del Procedimiento Administrativo General - Ley Nº 27444.
25
Artículo 41.- De los principios generales de acceso a los servicios públicos electrónicos seguros La prestación de servicios públicos por medios electrónicos seguros deberá respetar lo establecido para tales efectos por la Ley del Procedimiento Administrativo General - Ley Nº 27444 y en particular deberá ajustarse a los principios siguientes: 41.1. Principio de legalidad, que exige respetar y observar las garantías y normativa vigente que regula las relaciones entre los ciudadanos y las entidades de la Administración Pública, principalmente observando el marco jurídico establecido por la Ley del Procedimiento Administrativo General - Ley Nº 27444. 41.2. Principio de responsabilidad y calidad respecto a la veracidad, autenticidad e integridad de la información y servicios ofrecidos por las entidades de la Administración Pública a través de medios electrónicos. 41.3. Principio de presunción, reconocimiento y validez de los documentos electrónicos y medios de identificación y autenticación empleados en los trámites y procedimientos administrativos, siempre y cuando se respeten los lineamientos y requisitos establecidos por el presente Reglamento. 41.4. Principio de seguridad en la implantación y utilización de medios electrónicos para la prestación de servicios de gobierno electrónico, según el cual se exigirá a las entidades de la Administración Pública el respeto a los estándares de seguridad y requerimientos de acreditación necesarios para poder dotar de respaldo tecnológico y presunción legal suficiente a las operaciones que realicen por medios electrónicos, según lo establecido para tales efectos por la Autoridad Administrativa Competente. 41.5. Principio de protección de datos personales empleados en los trámites y procedimientos ante las entidades de la Administración Pública, así como aquellos mantenidos en sus archivos y sistemas, para lo cual se deberá tener en consideración los lineamientos establecidos por la Norma Marco sobre la Privacidad. 41.6. Principio de cooperación, tanto en la utilización de medios electrónicos, como en el acceso a la información obtenida de los ciudadanos por las entidades de la Administración Pública, a fin de lograr el intercambio seguro de datos entre ellas y garantizar la interoperabilidad de los sistemas y soluciones que adopten para lograr, de manera progresiva y en la medida de lo posible, la prestación integrada de servicios a los ciudadanos. 41.7. Principio de usabilidad en la prestación de los servicios de certificación, brindando la información y los sistemas de ayuda necesarios, de manera que los usuarios puedan acceder a dichos servicios de manera efectiva, eficiente y satisfactoria. Artículo 42.- De los derechos conexos El derecho ciudadano de acceso a servicios públicos electrónicos seguros tiene como correlato el reconocimiento de los siguientes derechos: 42.1. A relacionarse con las entidades de la Administración Pública por medios electrónicos seguros para el ejercicio de todos los derechos y prerrogativas que incluye, entre otros, los consagrados en el artículo 55 de la Ley del Procedimiento Administrativo General - Ley Nº 27444. En tal sentido, constituye obligación de la Administración Pública facilitar el ejercicio de estos derechos ciudadanos, debiendo promover la prestación de servicios por medios electrónicos. Los trámites y
26
procedimientos administrativos ante las entidades de la Administración Pública, la constancia documental de la transmisión a distancia por medios electrónicos entre autoridades administrativas o con sus administrados, o cualquier trámite, procedimiento o proceso por parte de los administrados o ciudadanos ante las Entidades Públicas o entre estas entidades, no excluyendo a las representaciones del Estado Peruano en el exterior, se entenderán efectuadas de manera segura siempre y cuando sean realizados empleando firmas y certificados digitales emitidos por los Prestadores de Servicios de Certificación Digital que se encuentren acreditados y operando dentro de la Infraestructura Oficial de Firma Electrónica. "Para la prestación electrónica de los servicios por parte del Estado que requieran el uso de la firma digital de los funcionarios y/o de los administrados, corresponde a las entidades públicas la acreditación del software que crea la firma digital del funcionario de conformidad con el artículo 4 y el inciso c) del artículo 54 del Reglamento de la Ley de Firmas y Certificados Digitales aprobado por el Decreto Supremo Nº 052-2008-PCM. Dicho software verificará además que la firma digital del administrado esté asociada a un certificado digital emitido dentro de la IOFE. "(*) (*) Párrafo incorporado por el Artículo 2 del Decreto Supremo Nº 105-2012-PCM, publicado el 21 octubre 2012. "En ningún caso los administrados a los que están destinados los servicios que requieran firma digital están obligados a acreditar el software de firma digital que utilicen.” (*) (*) Párrafo incorporado por el Artículo 2 del Decreto Supremo Nº 105-2012-PCM, publicado el 21 octubre 2012. 42.2. A optar por relacionarse con las entidades de la Administración Pública ya sea empleando los centros de acceso ciudadano o a través de canales seguros para la realización de transacciones de gobierno electrónico que éstas deberán poner a su disposición. 42.3. A conocer por medios electrónicos el plazo y los requisitos necesarios para el inicio de cualquier procedimiento o tramitación ante una entidad de la Administración Pública. Teniendo asimismo derecho a conocer por medios electrónicos el estado en el que tales procedimientos o trámites se encuentran y solicitar la emisión de copias y constancias electrónicas. Esto no resulta aplicable para los casos de procedimientos o trámites que pudieran afectar a la intimidad personal, las vinculadas a la seguridad nacional o las que expresamente sean excluidas por Ley. 42.4. A obtener y utilizar firmas y certificados digitales emitidos por Prestadores de Servicios de Certificación Digital acreditados y que se encuentren dentro de la Infraestructura Oficial de Firma Electrónica como medio de identificación en todo tipo de trámite y actuación ante cualquier entidad de la Administración Pública. 42.5. A presentar solicitudes, escritos y comunicaciones todos los días del año durante las veinticuatro (24) horas, para tal efecto las entidades de la Administración Pública deberán contar con un archivo electrónico detallado de recepción de solicitudes. Corresponde a la Oficina Nacional de Gobierno Electrónico e Informática, el establecimiento de los lineamientos para el cómputo de plazos en los casos de solicitudes, escritos y comunicaciones recibidas bajo estas condiciones.
27
42.6. A obtener servicios de gobierno electrónico de calidad, en estricta observancia de los lineamientos y requisitos establecidos para tales efectos por el presente Reglamento y por la Autoridad Administrativa Competente. Artículo 43.- De las garantías para el acceso de los ciudadanos a los servicios públicos electrónicos seguros Las diferentes entidades y dependencias de la Administración Pública deberán garantizar el acceso a los ciudadanos para la realización de transacciones de gobierno electrónico, debiendo para tales efectos: a) Adecuar sus trámites y procedimientos aplicados en sus comunicaciones tanto con los ciudadanos como con las distintas entidades de la Administración Pública, a fin de llevarlos a cabo por medios electrónicos; debiendo asegurar en todo momento la disponibilidad de acceso, la integridad, la autenticidad, el no repudio y la confidencialidad de las transacciones realizadas por estos medios, empleando para tales fines los certificados y firmas digitales emitidos dentro de la Infraestructura Oficial de Firma Electrónica de acuerdo al artículo 4 del presente Reglamento, así como canales seguros. b) Proveer a su personal competente de certificados digitales y sistemas basados en firma digital reconocidos por la Infraestructura Oficial de Firma Electrónica de acuerdo al artículo 4 del presente Reglamento. Asimismo, cada Administración Pública deberá brindar a sus empleados la capacitación en la utilización de las firmas y certificados digitales, y demás medios electrónicos requeridos en las actividades propias de dicha entidad. Además, deberán ser capacitados en los temas de seguridad y privacidad respecto de los documentos de carácter personal que les competen según la función o cargo que ocupen. c) Poner a disposición de los interesados, por vía electrónica, la información actualizada acerca de los trámites y procedimientos a su cargo, con especial indicación de aquellos que resulten factibles de ser iniciados por vía electrónica. d) Informar a los ciudadanos de las condiciones tecnológicas necesarias para el acceso a servicios públicos electrónicos seguros y, de ser el caso, el modo de obtención de los implementos o dispositivos requeridos para tal efecto. e) El equipo informático constituido por los servidores empleados por las instituciones para la prestación y realización de transacciones de gobierno electrónico, deberá brindar las garantías necesarias para una comunicación segura, debiendo obtener los correspondientes certificados de dispositivo seguro emitidos por una Entidad de Certificación debidamente acreditada ante la Autoridad Administrativa Competente. f) Las entidades de la Administración Pública deberán admitir la recepción de documentos firmados digitalmente de acuerdo al artículo 4 del presente Reglamento, siempre que hayan sido emitidos por Entidades de Certificación y Entidades de Registro o Verificación que se encuentren acreditadas y operen dentro de la Infraestructura Oficial de Firma Electrónica. g) Contar con personal capacitado para brindar información a los usuarios sobre el manejo y uso de la tecnología requerida (implementos y dispositivos) para la realización de transacciones de gobierno electrónico. Esta información podrá ser proporcionada por el mencionado personal y deberá necesariamente estar incorporada en el mismo medio o instrumento requerido para la realización del trámite o solicitud correspondiente.
28
h) Contar con una red de puntos de acceso a nivel nacional a través de centros de acceso ciudadano que por medio de canales seguros permitan la interacción con otras dependencias de la Administración Pública. Estos centros de acceso ciudadano deberán estar dotados de personal capacitado para brindar la información y facilidades necesarias para que el ciudadano pueda realizar transacciones seguras de gobierno electrónico, debiendo igualmente contar con un servicio integral de atención de reclamos y solicitudes de información respecto al empleo de los mecanismos necesarios para la interacción con el Estado a través de medios electrónicos. i) Implementar los procedimientos necesarios para que en los casos de ciudadanos que no cuenten con el conocimiento y la tecnología necesaria para poder realizar transacciones electrónicas, su identificación y autenticación a efectos de poder acceder a los mismos podrá ser realizada por un notario que cuente con Diploma de Idoneidad Técnica inscrito en su correspondiente Colegio profesional. En este caso, el ciudadano deberá identificarse ante el depositario de la fe pública y prestar su consentimiento expreso, dejando constancia de ello para los casos de discrepancia o litigio. j) Aplicar los criterios de usabilidad establecidos por la Autoridad Administrativa Competente. Artículo 44.- De la implementación de los procedimientos y trámites administrativos por medios electrónicos seguros A fin de lograr una correcta implementación de la prestación de servicios de gobierno electrónico a través del empleo de canales seguros, certificados y firmas digitales reconocidos por la Infraestructura Oficial de Firma Electrónica, de acuerdo con el artículo 4 del presente Reglamento, para el intercambio seguro de datos, resulta indispensable la elaboración de un análisis de rediseño funcional y simplificación de los procedimientos, trámites y servicios administrativos, debiéndose poner principal énfasis en los aspectos siguientes: a) La creación y mantenimiento de archivos electrónicos para el almacenamiento y gestión de los documentos electrónicos generados durante los trámites y procedimientos públicos: recepción y envío de solicitudes, escritos y comunicaciones. Las entidades de la Administración Pública, mediante convenios de colaboración, podrán habilitar sus respectivos archivos electrónicos para la recepción de solicitudes, escritos y comunicaciones de competencia de otra entidad, según lo establecido en el convenio. Los sistemas informáticos encargados de la gestión de los archivos electrónicos emitirán automáticamente un acuse de recibo o cargo electrónico consistente en una copia autenticada del escrito, solicitud o comunicación, incluyendo la fecha y la hora de presentación y el número de ingreso al archivo. b) El establecimiento de convenios que hagan factible el intercambio electrónico seguro de información y documentos obtenidos de los ciudadanos, entre las entidades encargadas de su archivo y las entidades interesadas, con el propósito de suprimir su reiterada solicitud. c) La puesta a disposición de los ciudadanos de sus servicios empleando firmas digitales, certificados digitales y canales seguros que se encuentren dentro del ámbito de la Infraestructura Oficial de Firma Electrónica.
29
d) La protección del derecho a la intimidad y a la confidencialidad de las comunicaciones dentro de lo establecido para tales efectos por la Norma Marco sobre Privacidad. e) El empleo de la dirección oficial de correo electrónico cuando dicho servicio sea implementado. En cumplimiento de lo establecido en el presente artículo, las entidades de la Administración Pública que brinden el servicio de Sistema de Intermediación Digital deberán acreditarse ante la Autoridad Administrativa Competente como Prestador de Servicios de Valor Añadido para el Estado Peruano. Artículo 45.- Del Documento Nacional de Identidad electrónico (DNIe) El Documento Nacional de Identidad electrónico (DNIe) es un Documento Nacional de Identidad, emitido por el Registro Nacional de Identificación y Estado Civil - RENIEC, que acredita presencial y electrónicamente la identidad personal de su titular, permitiendo la firma digital de documentos electrónicos y el ejercicio del voto electrónico presencial. A diferencia de los certificados digitales que pudiesen ser provistos por otras Entidades de Certificación públicas o privadas, el que se incorpora en el Documento Nacional de Identidad electrónico (DNIe) cuenta con la facultad adicional de poder ser utilizado para el ejercicio del voto electrónico primordialmente no presencial en los procesos electorales. El voto electrónico presencial o no presencial se dará en la medida que la Oficina Nacional de Procesos Electorales - ONPE reglamente e implante dichas alternativas de conformidad con lo dispuesto por la Ley que establece normas que regirán para las Elecciones Generales del año 2006 - Ley Nº 28581.
SECCIÓN II
DE LAS TRANSACCIONES DE GOBIERNO ELECTRÓNICO EN LAS QUE INTERVIENEN PRESTADORES DE SERVICIOS DE CERTIFICACION DIGITAL
PÚBLICOS
Artículo 46.- De la Estructura Jerárquica de Certificación del Estado Peruano Las entidades que presten servicios de certificación digital en el marco de la Infraestructura Oficial de Firma Electrónica son las entidades de la administración pública o personas jurídicas de derecho público siguientes: a) Entidad de Certificación Nacional para el Estado Peruano, la cual será la encargada de emitir los certificados raíz para las Entidades de Certificación para el Estado Peruano que lo soliciten, además de proponer a la Autoridad Administrativa Competente, las políticas y estándares de las Entidades de Certificación para el Estado Peruano y Entidades de Registro o Verificación para el Estado Peruano, según los requerimientos de la Autoridad Administrativa Competente y lo establecido por el presente Reglamento. b) Entidades de Certificación para el Estado Peruano acreditadas por la Autoridad Administrativa Competente, las cuales serán las encargadas de proporcionar, emitir o cancelar los certificados digitales: i. A los administrados, personas naturales y jurídicas, los cuales serán utilizados prioritariamente en los trámites, procedimientos administrativos y similares;
30
ii. A los funcionarios, empleados y servidores públicos para el ejercicio de sus funciones y la realización de actos de administración interna e interinstitucional, y a las personas expresamente autorizadas por la entidad pública correspondiente. c) Entidades de Registro o Verificación para el Estado Peruano acreditadas por la Autoridad Administrativa Competente, las cuales serán las encargadas del: levantamiento de datos, comprobación de la información del solicitante, identificación y autenticación de los titulares y suscriptores, aceptación y autorización de solicitudes de emisión, cancelación, modificación, re-emisión y suspensión, si fuera el caso, de certificados digitales además de su gestión ante las Entidades de Certificación; para los fines previstos en el inciso b) del presente artículo. d) Prestador de Servicios de Valor Añadido para el Estado Peruano acreditados por la Autoridad Administrativa Competente, quienes se encargarán de intervenir en la transmisión o envío de documentos electrónicos, pudiendo participar grabando, almacenando o conservando cualquier información enviada por medios electrónicos que permitan certificar los datos de envío y recepción, fecha y hora y no repudio de origen y recepción, concernientes a alguna tramitación o procedimiento realizado ante una entidad de la Administración Pública. Las entidades señaladas en los incisos a) y b) podrán brindar servicios de valor añadido en condición de Prestador de Servicios de Valor Añadido para el Estado Peruano conforme a lo dispuesto en la Ley y el presente Reglamento, siempre y cuando cuenten con la correspondiente acreditación. Cualquier entidad pública que cumpla con lo requerido para su acreditación ante la Autoridad Administrativa Competente puede operar bajo la modalidad de Entidad de Certificación para el Estado Peruano, Entidad de Registro o Verificación para el Estado Peruano y/o Prestador de Servicios de Valor Añadido para el Estado Peruano. En ningún caso se admitirá la existencia de sistemas de certificación digital fuera de la Infraestructura Oficial de Firma Electrónica por parte de las entidades de la Administración Pública. Los servicios brindados por los Prestadores de Servicios de Certificación Digital públicos se sustentan en los principios de acceso universal y no discriminación del uso de las tecnologías de la información y de comunicaciones, procurando que los beneficios resultantes contribuyan a la mejora de la calidad de vida de todos los ciudadanos. En consecuencia, las entidades públicas que presten servicios como Entidad de Certificación Nacional para el Estado Peruano, Entidades de Certificación para el Estado Peruano, Entidades de Registro o Verificación para el Estado Peruano y Prestador de Servicios de Valor Añadido para el Estado Peruano, sólo podrán considerar los costos asociados a la prestación del servicio al momento de determinar su valor. Artículo 47.- De la designación de las entidades responsables Se designa al Registro Nacional de Identificación y Estado Civil - RENIEC como Entidad de Certificación Nacional para el Estado Peruano, Entidad de Certificación para el Estado Peruano y Entidad de Registro o Verificación para el Estado Peruano. Los servicios a ser prestados en cumplimiento de los roles señalados estarán a disposición de todas las Entidades Públicas del Estado Peruano y de todas las personas naturales y jurídicas que mantengan vínculos con él, no excluyendo ninguna representación del Estado Peruano en el territorio nacional o en el extranjero.
31
A fin de viabilizar la prestación segura de los servicios públicos a los ciudadanos, el Registro Nacional de Identificación y Estado Civil - RENIEC deberá realizar los trámites correspondientes para su acreditación ante la Autoridad Administrativa Competente a fin de ingresar a la Infraestructura Oficial de Firma Electrónica. Las demás entidades de la Administración Pública que opten por constituirse como Entidad de Certificación para el Estado Peruano y/o Entidad de Registro o Verificación para el Estado Peruano deberán cumplir con las políticas y estándares que sean propuestos por la Entidad de Certificación Nacional para el Estado Peruano y aprobadas por la Autoridad Administrativa Competente, y solicitar su acreditación correspondiente a fin de ingresar a la Infraestructura Oficial de Firma Electrónica. Artículo 48.- De la Entidad de Certificación Nacional para el Estado Peruano a) El Registro Nacional de Identificación y Estado Civil - RENIEC será la única Entidad de Certificación Nacional para el Estado Peruano y actuará también como Entidad de Certificación para el Estado Peruano y Entidad de Registro o Verificación para el Estado Peruano. Todas las Entidades de Certificación para el Estado Peruano y las Entidades de Registro o Verificación para el Estado Peruano deben seguir las políticas y estándares propuestos por la Entidad de Certificación Nacional para el Estado Peruano y aprobados por la Autoridad Administrativa Competente. b) La Entidad de Certificación Nacional para el Estado Peruano contará con una estructura funcional y jurídica estable, no cambiante en el mediano plazo, sólo variable en la cantidad de Entidades de Certificación para el Estado Peruano y Entidades de Registro o Verificación para el Estado Peruano que pueda tener. c) La Entidad de Certificación Nacional para el Estado Peruano y las Entidades de Certificación para el Estado Peruano observarán los lineamientos establecidos por la Autoridad Administrativa Competente en relación al grado de seguridad adecuado en la selección del algoritmo, en la longitud de la clave, en el medio de almacenamiento de la clave privada y en la implementación de los algoritmos empleados, así como el contenido de los certificados digitales que permitan la interoperabilidad entre los distintos componentes tecnológicos, aplicaciones informáticas e infraestructuras de firmas digitales. d) La Entidad de Certificación Nacional para el Estado Peruano será auditada periódicamente por la Autoridad Administrativa Competente, de conformidad con lo establecido para tales efectos en el presente Reglamento y en las correspondientes Guías de Acreditación. Los informes de auditoria deben ser tenidos en cuenta para continuar su operación. Artículo 49.- De las Entidades de Certificación para el Estado Peruano y las Entidades de Registro o Verificación para el Estado Peruano a) Las Entidades de Certificación para el Estado Peruano deberán ofrecer un servicio de directorio y permitir que las aplicaciones accedan a los certificados digitales emitidos y a la Lista de Certificados Digitales Cancelados, de conformidad con los lineamientos establecidos para tales efectos por la Autoridad Administrativa Competente en las correspondientes Guías de Acreditación, debiendo encontrarse actualizado dicho servicio con la frecuencia indicada en las Guías de Acreditación. Junto al Servicio de Directorio se puede disponer del servicio de consulta en línea del estado de un certificado digital.
32
b) Una Entidad de Certificación para el Estado Peruano podrá ofrecer distintos servicios y mecanismos para recibir un requerimiento de certificado digital, siendo necesario que en todos los casos de primera emisión de un certificado digital, el solicitante comparezca de manera personal ante la correspondiente Entidad. Además, deberá ofrecer en forma obligatoria los servicios de recepción de solicitudes de cancelación y la publicación periódica de la Lista de Certificados Digitales Cancelados. Asimismo, deberá garantizar el acceso permanente a dichos servicios, proponiendo una solución para una eventual contingencia, todo lo cual deberá encontrarse en estricta observancia de lo establecido para tales efectos por la Autoridad Administrativa Competente en sus correspondientes Guías de Acreditación. c) Las Entidades de Certificación para el Estado Peruano deberán ofrecer el servicio de emisión y cancelación de certificados digitales, conforme a los lineamientos establecidos por la Autoridad Administrativa Competente. Podrán ofrecer servicios de re-emisión, modificación o suspensión de certificados digitales. d) Las Entidades de Certificación para el Estado Peruano deberán brindar el nivel de seguridad adecuado en relación a los equipos informáticos y de comunicación utilizados, el personal empleado para operar la Entidad de Certificación para el Estado Peruano, así como los responsables de operar las claves de la Entidad de Certificación para el Estado Peruano y los procedimientos utilizados para la autenticación de los datos a ser incluidos en los certificados digitales, serán establecidos de conformidad con lo señalado para tales efectos en las Guías de Acreditación aprobadas por la Autoridad Administrativa Competente. e) Las Entidades de Certificación para el Estado Peruano y Entidades de Registro o Verificación para el Estado Peruano serán auditadas periódicamente por la Autoridad Administrativa Competente, de conformidad con lo establecido para tales efectos en el presente Reglamento y en las correspondientes Guías de Acreditación. Los informes de auditoria deben ser tenidos en cuenta para continuar su operación. f) La integridad del Directorio de Certificados Digitales y la Lista de Certificados Digitales Cancelados debe estar permanentemente asegurada. Es responsabilidad de la Entidad de Certificación para el Estado Peruano garantizar la disponibilidad de este servicio y la calidad de los datos suministrados por éste. g) Respecto a los elementos que componen el nombre diferenciado de un certificado digital, los nombres correspondientes al titular y suscriptor del certificado deberán ser distinguidos unívocamente. Para el caso de los funcionarios, empleados o servidores públicos y de las personas expresamente autorizadas por la entidad pública correspondiente, deberá incluirse en los certificados digitales, el organismo en el cual desempeñan sus funciones o el organismo por el cual ha sido autorizada la emisión de los certificados digitales. h) Los campos que indiquen el período de validez o vigencia (“no antes de” y “no después de”) deberán detallar la fecha y la hora. Artículo 50.- De los Prestadores de Servicios de Valor Añadido para el Estado Peruano a) Los Prestadores de Servicios de Valor Añadido para el Estado Peruano podrán adoptar cualquiera de las dos modalidades de prestación de servicios de valor añadido a que se refiere el artículo 34 del presente Reglamento.
33
b) En todos los casos, los Prestadores de Servicios de Valor Añadido para el Estado Peruano que realicen procedimientos que incluyan la firma digital del usuario final, y cuyo procedimiento concluya con una microforma o microarchivo, será indispensable emplear los servicios de un notario o fedatario que cuente con Diploma de Idoneidad Técnica y se encuentre registrado ante su correspondiente Colegio o Asociación Profesional, conforme a lo establecido por el Decreto Legislativo Normas que regulan el uso de Tecnología Avanzada en materia de documentos e información - Decreto Legislativo Nº 681. c) Los Prestadores de Servicios de Valor Añadido para el Estado Peruano serán auditados periódicamente por la Autoridad Administrativa Competente, de conformidad con lo establecido para tales efectos en el presente Reglamento y en las correspondientes Guías de Acreditación. Los informes de auditoria deben ser tenidos en cuenta para continuar su operación.
SECCIÓN III DE LOS CENTROS DE ACCESO CIUDADANO
Artículo 51.- De los modos de acceso del ciudadano Los ciudadanos titulares y suscriptores de certificados digitales emitidos por un Prestador de Servicios de Certificación Digital dentro de la Infraestructura Oficial de Firma Electrónica pueden realizar transacciones electrónicas a través de cualquier computador o punto de acceso que cuente con la tecnología necesaria para tales efectos, no están limitados a ningún modo en particular. Artículo 52.- De los Centros de Acceso Ciudadano Se entiende por Centros de Servicios Ciudadanos a los locales, instituciones o puntos que sirven para el acceso ciudadano a la realización de transacciones de gobierno electrónico prioritariamente, a fin que a través de tales Centros los ciudadanos puedan materializar los derechos a que se refieren los artículos 40, 41 y 42 del presente Reglamento. Artículo 53.- De los elementos de los Centros de Acceso Ciudadanos A fin de poder dotar al ciudadano de todas las facilidades necesarias para una óptima interacción con el Estado, resulta indispensable que un Centro de Acceso Ciudadano ponga a disposición de los usuarios, como mínimo, los siguientes elementos: a) Equipos de cómputo que cuenten con lectoras de tarjetas inteligentes, incluyendo sus respectivos controladores de dispositivo (drivers), a fin de permitir a los usuarios su autenticación y empleo de firma digital para las transacciones en que ésta sea requerida. b) Infraestructura tecnológica adecuada (computadores, equipos de red, etc.). c) Sistemas que garanticen la seguridad en las transacciones que realizan, confidencialidad, privacidad y no almacenamiento de información personal. d) Personal capacitado para la asistencia en el empleo de los mecanismos y dispositivos necesarios para la realización de transacciones de gobierno electrónico e) Terminales equipados con los componentes de software necesarios para la realización de transacciones públicas a través de medios electrónicos, incluyendo los componentes de firma digital y verificación de firma digital.
34
Adicionalmente, los Centros de Acceso Ciudadano podrán también encargarse de la prestación de los servicios siguientes: * Línea de producción de microformas digitales a partir de documentos en formato papel, debiendo respetar para tal efecto lo establecido por el Decreto Legislativo Nº 681. * Archivo y almacenamiento de documentos electrónicos, debiendo para tales efectos respetar igualmente lo establecido por el Decreto Legislativo Nº 681. * Prestación de servicios de registro o verificación, para tales efectos deberán contar con la acreditación correspondiente por parte de la Autoridad Administrativa Competente. * Prestación de servicios de valor añadido, para tal efecto deberán contar con la acreditación correspondiente por parte de la Autoridad Administrativa Competente. Corresponde a la Oficina Nacional de Gobierno Electrónico e Informática verificar el cumplimiento de los requisitos necesarios para operar un Centro de Acceso Ciudadano, de acuerdo a lo establecido en el presente artículo, debiendo asimismo llevar un Registro Nacional de los Centros de Acceso Ciudadano autorizados para la prestación de este tipo de servicios.
SECCIÓN IV
DEL INTERCAMBIO DE INFORMACIÓN Y COOPERACIÓN ENTRE ENTIDADES DE LA ADMINISTRACIÓN PÚBLICA
Artículo 54.- Del intercambio de documentos electrónicos por medios seguros a) Todas las entidades de la Administración Pública contarán con facultades suficientes para la emisión válida de comunicaciones y resoluciones por medios electrónicos de todo tipo de documento administrativo, siempre que se respete para tales efectos los lineamientos establecidos por el presente Reglamento y normas complementarias. b) El intercambio de documentos electrónicos tanto al interior de las entidades de la Administración Pública, como aquellos realizados entre entidades, requerirá para su validez y a efecto de gozar del principio de equivalencia funcional, del empleo de firmas y certificados digitales. c) Los certificados digitales a que alude el inciso anterior, necesariamente deberán haber sido emitidos por una Entidad de Certificación para el Estado Peruano que cuente con la correspondiente acreditación por parte de la Autoridad Administrativa Competente. Las firmas digitales deben ser generadas por programas de software o componentes acreditados por la Autoridad Administrativa Competente según su Guía de Acreditación de Software. Artículo 55.- De la cooperación de información entre las entidades de la Administración Pública Cada entidad de la Administración Pública deberá facilitar, mediante convenios, el acceso de las demás entidades a los documentos de los ciudadanos que obren en su poder y que se encuentren en archivo electrónico, especificando las condiciones y criterios para el acceso a dicha información. La disponibilidad de dichos documentos
35
estará limitada estrictamente a aquellos que son requeridos por las entidades de la Administración Pública para la tramitación y resolución de los procedimientos de su competencia. El acceso a los documentos con información de carácter personal estará condicionado al cumplimiento de lo establecido en la Norma Marco sobre Privacidad. Artículo 56.- De la interoperabilidad de los sistemas para la prestación de servicios de gobierno electrónico Las entidades de la Administración Pública utilizarán las tecnologías y sistemas para la prestación de sus servicios a los ciudadanos y para sus relaciones con las demás entidades y dependencias del Estado, aplicando medidas informáticas, tecnológicas, organizativas y de seguridad que garanticen la interoperabilidad, en estricta observancia de lo establecido para tales efectos por la Autoridad Administrativa Competente.
TÍTULO III DE LA AUTORIDAD ADMINISTRATIVA COMPETENTE
CAPÍTULO I
DE LAS FUNCIONES Artículo 57.- De las funciones La Autoridad Administrativa Competente tiene las siguientes funciones: a) Aprobar las Políticas de Certificación, de Registro o Verificación y de Valor Añadido, las Declaraciones de Prácticas de Certificación, de Registro o Verificación y de Valor Añadido, las Políticas de Seguridad y las Políticas y Planes de Privacidad de las Entidades de Certificación, de Registro o Verificación y de Valor Añadido, de los Prestadores de Servicios de Certificación tanto públicos como privados. b) Acreditar Entidades de Certificación nacionales tanto públicas como privadas y establecer acuerdos de reconocimiento mutuo con otras Infraestructuras compatibles con la Infraestructura Oficial de Firmas Electrónicas. c) Acreditar Entidades de Registro o de Verificación tanto públicas como privadas. d) Acreditar a los Prestadores de Servicios de Valor Añadido tanto públicos como privados y el software que emplean en la prestación de sus servicios en los casos del artículo 34 inciso a). e) Registrar a las entidades acreditadas señaladas en los incisos c), d) y e) del presente artículo en el Registro de Prestadores de Servicios de Certificación Digital, previsto en el artículo 15 de la Ley. f) Supervisar a los Prestadores de Servicios de Certificación Digital. g) Cancelar las acreditaciones otorgadas a los Prestadores de Servicios de Certificación Digital conforme a lo dispuesto en el presente Reglamento. h) Publicar, por medios telemáticos, la relación de Prestadores de Servicios de Certificación Digital acreditados. i) Aprobar el empleo de estándares técnicos internacionales dentro de la Infraestructura Oficial de Firma Electrónica, así como de otros estándares técnicos determinando su compatibilidad con los estándares internacionales; cooperar, dentro
36
de su competencia, en la unificación de los sistemas que se manejan en los organismos de la Administración Pública, tendiendo puentes entre todos sus niveles; y, en la obtención de la interoperabilidad del mayor número de aplicaciones, componentes e infraestructuras de firmas digitales (análogos a la Infraestructura Oficial de Firma Electrónica en otros países). CONCORDANCIAS: D.S. Nº 070-2011-PCM, Art. 3 (Atribución al INDECOPI para cumplir su función de Autoridad Administrativa Competente de la Infraestructura Oficial de Firma Electrónica - IOFE) j) Formular los criterios para el establecimiento de la idoneidad técnica de los Prestadores de Servicios de Certificación Digital, así como aquellas relacionadas con la prevención y solución de conflictos. k) Establecer los requisitos mínimos para la prestación de los diferentes servicios a cargo de los Prestadores de Servicios de Certificación Digital. l) Impulsar la solución de conflictos por medio de la conciliación y el arbitraje. m) Definir los criterios para evaluar el cumplimiento del requisito relativo al riesgo por los daños que los Prestadores de Servicios de Certificación Digital puedan ocasionar como resultado de sus actividades de certificación. n) Suscribir acuerdos de reconocimiento mutuo con Autoridades Administrativas Extranjeras que cumplan funciones similares a las de la Autoridad Administrativa Competente. o) Autorizar la realización de certificaciones cruzadas con entidades de certificación extranjeras. p) Fomentar y coordinar el uso y desarrollo de la Infraestructura Oficial de Firma Electrónica en las entidades del sector público nacional en coordinación con la Entidad de Certificación Nacional para el Estado Peruano. q) Delegar a terceros, bajo sus órdenes y responsabilidad, las funciones que estime pertinentes conforme a lo previsto en el presente Reglamento. r) Elaborar el Reglamento de infracciones y sanciones a los usuarios finales y los procedimientos correspondientes en caso de incumplimiento por parte de los Prestadores de Servicios de Certificación Digital de lo establecido en la Ley, el presente Reglamento y en los Reglamentos y Guías de Acreditación de la Autoridad Administrativa Competente. s) Sancionar a los Prestadores de Servicios de Certificación Digital, por el incumplimiento o infracción al presente Reglamento y demás disposiciones vinculadas a la Infraestructura Oficial de Firma Electrónica, de acuerdo al Reglamento de infracciones y sanciones a que se refiere el inciso anterior. t) Definir las precisiones adicionales a lo establecido en el presente Reglamento, correspondientes a cada uno de los niveles de seguridad contemplados en el artículo 22 del referido Reglamento, bajo los cuales podrán operar los Prestadores de Servicios de Certificación acreditados.
37
u) Definir los criterios para evaluar el cumplimiento de la responsabilidad por riesgos por parte de los Prestadores de Servicios de Certificación acreditados, considerando los niveles de seguridad establecidos. v) Las demás que sean necesarias para el buen funcionamiento de la infraestructura Oficial de Firma Electrónica. Se designa al Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual - INDECOPI como Autoridad Administrativa Competente.
CAPÍTULO II
DEL RÉGIMEN DE ACREDITACIÓN DE LOS PRESTADORES DE SERVICIOS DE CERTIFICACIÓN DIGITAL
Artículo 58.- De la acreditación de Entidades de Certificación Las entidades que soliciten su acreditación y registro ante la Autoridad Administrativa Competente, como Entidades de Certificación, incluyendo las Entidades de Certificación para el Estado Peruano, deben contar con los elementos de la Infraestructura Oficial de Firmas Electrónicas señalados en los incisos b), c) y d) del artículo 20 del presente Reglamento y someterse al procedimiento de evaluación comprendido en el artículo 70 del presente Reglamento. Cuando alguno de los elementos señalados en el párrafo precedente sea administrado por un tercero, la entidad solicitante deberá demostrar su vinculación con aquél, asegurando la viabilidad de sus servicios bajo dichas condiciones, y la disponibilidad de estos elementos para la evaluación y supervisión que la Autoridad Administrativa Competente considere necesarias. La Autoridad Administrativa Competente, de ser el caso, precisará los términos bajo los cuales se regirán los supuestos del servicio de certificación. Artículo 59.- De la presentación de la solicitud de acreditación de Entidades de Certificación La solicitud para la acreditación de Entidades de Certificación debe presentarse a la Autoridad Administrativa Competente, observando lo dispuesto en el artículo anterior y adjuntando lo siguiente: a) El pago por derecho de solicitud de acreditación por un monto equivalente al 100% de la UIT, vigente a la fecha de pago. b) Los documentos que acrediten la existencia y vigencia de la persona jurídica mediante los instrumentos públicos o norma legal respectiva, así como las facultades del representante. c) Los documentos que acrediten contar con un domicilio en el país. d) Los documentos que acrediten contar con la infraestructura e instalaciones necesarias para la prestación del servicio y presentar declaración jurada de aceptación de la visita comprobatoria de la Autoridad Administrativa Competente. e) Los procedimientos detallados que garanticen el cumplimiento de las funciones establecidas en el presente Reglamento.
38
f) La Política de Certificación, la Declaración de Prácticas de Certificación, la Política de Seguridad, la Política de Privacidad y el Plan de Privacidad, y documentación que comprende el sistema de gestión implementado conforme al inciso d) del artículo 20 del presente Reglamento. g) La declaración jurada del cumplimiento de los requisitos señalados en los Incisos c) y d) del artículo 20 del presente Reglamento; información que será comprobada por la Autoridad Administrativa Competente. h) La documentación que acredite el cumplimiento de lo dispuesto en los artículos 26 y 27 del presente Reglamento y demás requisitos que la Autoridad Administrativa Competente señale. i) El informe favorable de la entidad sectorial correspondiente, cuando lo solicite la Autoridad Administrativa Competente, para el caso de personas jurídicas supervisadas, respecto de la legalidad y seguridad para el desempeño de actividades de certificación. j) Otros documentos o requisitos establecidos por la Autoridad Administrativa Competente. Artículo 60.- De la acreditación de Entidades de Registro o Verificación Las entidades que soliciten su acreditación y registro ante la Autoridad Administrativa Competente, como Entidades de Registro o Verificación, incluyendo las Entidades de Registro o Verificación para el Estado Peruano, deben contar con los requerimientos establecidos por la Autoridad Administrativa Competente para la prestación de sus servicios, los que tendrán que asegurar la verificación presencial de la identidad del solicitante de un nuevo certificado digital. Artículo 61.- De la presentación de la solicitud de acreditación de Entidades de Registro o Verificación La solicitud para la acreditación de Entidades de Registro o Verificación debe presentarse a la Autoridad Administrativa Competente, observando lo dispuesto en el artículo anterior y adjuntando lo siguiente: a) El pago por derecho de solicitud de acreditación por un monto equivalente al cien por ciento (100%) de la UIT, vigente a la fecha de pago. b) Los documentos que acrediten la existencia y vigencia de la persona jurídica mediante los instrumentos públicos o norma legal respectiva, así como las facultades del representante. c) Los documentos que acrediten contar con domicilio en el país. d) Los documento que acrediten contar con la infraestructura e instalaciones necesarias para la prestación del servicio y presentar declaración jurada de aceptación de las visitas comprobatorias de la Autoridad Administrativa Competente. e) Los procedimientos detallados que garanticen el cumplimiento de las funciones establecidas en el presente Reglamento. f) Las Políticas de Registro, la Declaración de Prácticas de Registro o Verificación, la Política de Seguridad, la Política y el Plan de Privacidad.
39
g) La declaración jurada del cumplimiento de las obligaciones y los requisitos señalados en los artículos 30 y 31 del presente Reglamento. h) Otros documentos o requisitos establecidos por la Autoridad Administrativa Competente. Artículo 62.- De la acreditación de los Prestadores de Servicios de Valor Añadido Las entidades públicas y privadas que soliciten su acreditación y registro ante la Autoridad Administrativa Competente como Prestadores de Servicios de Valor Añadido, deben contar con procedimientos idóneos para la prestación de sus servicios, los cuales se encontrarán recogidos en su correspondiente Declaración de Prácticas de Valor Añadido. En el caso de los Prestadores de Servicios de Valor Añadido con modalidad de Servicios de Valor Añadido con firma digital del usuario, y cuyo procedimiento concluya con una microforma o microarchivo, sus procedimientos tendrán que asegurar la presencia de un notario o fedatario que cuente con Diploma de Idoneidad Técnica y se encuentre inscrito en su correspondiente Colegio o Asociación Profesional, conforme a lo establecido por el Decreto Legislativo Nº 681. Artículo 63.- De la acreditación del Software de los Prestadores de Servicios de Valor Añadido que realizan procedimientos con firma digital del usuario final A fin de garantizar la seguridad de la prestación de los servicios de los Prestadores de Servicios de Valor Añadido que involucran la realización de procesos de firma digital por parte de los usuarios, resulta indispensable la acreditación del software a ser empleado en la prestación de los servicios, conforme a los lineamientos y parámetros establecidos por la Autoridad Administrativa Competente. Artículo 64.- De la presentación de la solicitud de acreditación de los Prestadores de Servicios de Valor Añadido La solicitud para la acreditación de Prestadores de Servicios de Valor Añadido debe presentarse a la Autoridad Administrativa Competente, observando lo señalado en los artículos anteriores y adjuntando lo siguiente: a) El pago por derecho de solicitud de acreditación por un monto equivalente al cien por ciento (100%) de la UIT vigente a la fecha de pago. b) Los documentos que acrediten la existencia y vigencia de la persona jurídica mediante los instrumentos públicos o norma legal respectiva, así como las facultades del representante. c) Los documentos que acrediten contar con domicilio en el país. d) Los documentos que acrediten contar con la infraestructura e instalaciones necesarias para la prestación del servicio y presentar declaración jurada de aceptación de la visita comprobatoria de la Autoridad Administrativa Competente. e) Las Políticas de Registro, la Declaración de Prácticas de Valor Añadido, la Política de Seguridad, Política y el Plan de Privacidad. f) La declaración jurada de tener operativo el software, hardware y demás componentes adecuados para la prestación de servicios de valor añadido y las condiciones de seguridad adicionales basadas en estándares internacionales o compatibles a los internacionalmente vigentes que aseguren la interoperabilidad y las condiciones exigidas por la Autoridad Administrativa Competente.
40
g) La declaración jurada del cumplimiento de las obligaciones y los requisitos señalados en los artículos 37 y 38 del presente Reglamento. h) Otros documentos o requisitos establecidos por la Autoridad Administrativa Competente. Artículo 65.- Del procedimiento Administrativo de la Acreditación Admitida la solicitud, la Autoridad Administrativa Competente procederá a la evaluación del cumplimiento de los requisitos establecidos en la Ley, el Reglamento y las respectivas Guías de Acreditación. La evaluación de los requisitos de competencia técnica de la Entidad de Certificación, Entidad de Registro o Verificación o Prestadores de Servicios de Valor Añadido solicitante podrá ser realizada directamente por la Autoridad Administrativa Competente, o a través de terceros, o reconociendo aquellas realizadas en el extranjero por otras Autoridades Extranjeras que cumplan funciones equivalentes a las de la Autoridad Administrativa Competente, y siempre que los requisitos evaluados por ellas sean equivalentes a los requisitos comprendidos en el Reglamento, para lo cual la Autoridad Administrativa Competente adoptará los requerimientos, estándares y procedimientos empleados a nivel internacional para la realización de esta función. En todos los casos, el procedimiento de acreditación se regirá en particular por lo establecido para tales efectos por la Autoridad Administrativa Competente en los correspondientes Reglamentos y Guías de Acreditación, y en todos los casos de respuesta favorable a la acreditación, implicará el ingreso de la entidad solicitante a la Infraestructura Oficial de Firmas Electrónicas a través de su Registro como Prestador de Servicios de Certificación Digital acreditado. Artículo 66.- Del reconocimiento de evaluaciones en el extranjero La Autoridad Administrativa Competente reconocerá las evaluaciones sobre los requisitos de competencia técnica de la Entidad de Certificación solicitante realizadas en el extranjero siempre y cuando se cumpla con las normas establecidas por la Autoridad Administrativa Competente en el marco del Reglamento, en especial si dichas evaluaciones consisten en certificaciones de cumplimiento de estándares internacionales que sean estipuladas por la Autoridad Administrativa Competente. Artículo 67.- De la subsanación de observaciones Dentro del procedimiento y en el plazo máximo de seis (6) meses, podrán subsanarse las deficiencias técnicas observadas durante la evaluación. Las entidades podrán solicitar la suspensión del procedimiento a fin de implementar las medidas necesarias para superar estas dificultades. Si, culminada la etapa de evaluación, subsisten observaciones, se denegará el Registro y se archivará el procedimiento. Artículo 68.- Del Costo del Registro y otros procedimientos Las entidades solicitantes asumirán los costos por la tramitación del procedimiento, y aquellos por evaluación, auditoria y demás previstos por la Autoridad Administrativa Competente. Artículo 69.- Del otorgamiento y vigencia de la acreditación La acreditación se otorga por un período de cinco (5) años, renovable por períodos similares. La Entidad beneficiaria estará sujeta a evaluaciones técnicas anuales para mantener la vigencia de la referida acreditación.
41
Artículo 70.- De la cancelación de la acreditación La cancelación de la acreditación de los Prestadores de Servicios de Certificación Digital procede: a) Por decisión unilateral comunicada a la Autoridad Administrativa Competente. b) Por extinción de su personería jurídica. c) Por cancelación de su registro. d) Por sentencia judicial. e) Por liquidación, decidida por la junta de acreedores en el marco de la legislación concursal o resolución judicial de quiebra. f) Por determinación de la Autoridad Administrativa Competente frente al incumplimiento observado en los procesos de evaluación técnica anual, de los requerimientos exigidos en sus Reglamentos Específicos y Guías de Acreditación.
CAPÍTULO III DE LOS CERTIFICADOS EMITIDOS POR ENTIDADES EXTRANJERAS
Artículo 71.- De los acuerdos de reconocimiento mutuo La Autoridad Administrativa Competente podrá suscribir acuerdos de reconocimiento mutuo con entidades extranjeras que cumplan funciones similares, a fin de reconocer la validez de los certificados digitales otorgados en el extranjero y extender la interoperabilidad de la Infraestructura Oficial de Firmas Electrónicas. Los acuerdos de reconocimiento mutuo deben garantizar en forma equivalente las funciones exigidas por la Ley y su Reglamento. Artículo 72.- Del reconocimiento La Autoridad Administrativa Competente podrá reconocer los certificados digitales emitidos por Entidades Extranjeras, de acuerdo con las prácticas y políticas que para tal efecto apruebe, las que deben velar por el cumplimiento de las obligaciones y responsabilidades establecidas en el presente Reglamento u otra norma posterior. Asimismo, podrá autorizar la operación de aquellas Entidades de Certificación nacionales que utilicen los servicios de Entidades de Certificación extranjeras, de verificarse tal supuesto, las entidades nacionales asumirán las responsabilidades del caso. Para tal efecto, la entidad extranjera deberá comunicar a la Autoridad Administrativa Competente los nombres de aquellas Entidades de Certificación que autorizarán las solicitudes de emisión de certificados digitales y que asumirán la gestión de tales certificados. La Autoridad Administrativa Competente emitirá las normas que aseguren el cumplimiento de lo establecido en el presente artículo, así como los mecanismos adecuados de información a los agentes del mercado. Artículo 73.- De la certificación cruzada
42
Las Entidades de Certificación acreditadas pueden realizar certificaciones cruzadas con Entidades de Certificación extranjeras a fin de reconocer los certificados digitales que éstas emitan en el extranjero, incorporándolos como suyos dentro de la Infraestructura Oficial de Firmas Electrónicas, siempre y cuando obtengan autorización previa de la Autoridad Administrativa Competente. Las entidades que presten servicios de acuerdo a lo establecido en el párrafo precedente, asumirán responsabilidad de daños y perjuicios por la gestión de tales certificados. Las Entidades de Certificación acreditadas que realicen certificaciones cruzadas conforme al primer párrafo del presente artículo, garantizarán ante la Autoridad Administrativa Competente que las firmas digitales y/o certificados digitales reconocidos han sido emitidos bajo requisitos equivalentes a los exigidos en la Infraestructura Oficial de Firmas Electrónicas, y que cumplen las funciones señaladas en el artículo 2 de la Ley. El incumplimiento de lo estipulado en el párrafo anterior ameritará las sanciones correspondientes, de acuerdo a lo establecido en el Reglamento de infracciones y sanciones a que se refiere el inciso r) del artículo 57 del presente Reglamento.
CAPÍTULO IV DE LA SUPERVISIÓN DE ENTIDADES ACREDITADAS
Artículo 74.- De las facultades de supervisión La Autoridad Administrativa Competente tiene la facultad de verificar la correcta prestación de los servicios de certificación y/o emisión de firmas digitales, así como de los servicios de registro o verificación y de los servicios de valor añadido, el cumplimiento de las obligaciones legales y técnicas por parte de las entidades acreditadas que operen bajo la Infraestructura Oficial de Firmas Electrónicas, así como la facultad de verificar el cumplimiento de las disposiciones establecidas en la Ley, el Reglamento, y en sus Resoluciones. Artículo 75.- De la fiscalización La Autoridad Administrativa Competente ejercerá su facultad fiscalizadora y sancionadora de conformidad con lo dispuesto en el Decreto Ley de Organización y Funciones del Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual - Decreto Ley Nº 25868. Las sanciones a aplicar son determinadas por la Autoridad Administrativa Competente en el marco de la Decisión Andina 562 dada la naturaleza de reglamento técnico de la presente norma. La Autoridad Administrativa Competente deberá aplicar el Reglamento de infracciones y sanciones a que se refiere el inciso r) del artículo 58 de este Reglamento a efectos de regular el procedimiento administrativo sancionador a ser seguido en caso de incumplimiento o infracción al presente Reglamento, las Guías de Acreditación de los Prestadores de Servicios de Certificación Digital y demás disposiciones vinculadas a la Infraestructura Oficial de Firma Electrónica; asimismo, debe fiscalizar el cumplimiento de lo establecido en las Políticas de Certificación, de Registro o Verificación y de Valor Añadido, las Declaraciones de Prácticas de Certificación, de Registro o Verificación y de Valor Añadido, las Políticas de Seguridad y las Políticas y Planes de Privacidad.
DISPOSICIONES COMPLEMENTARIAS FINALES
43
Primera.- De la cooperación internacional Las entidades del Sector Público Nacional pueden suscribir acuerdos de cooperación con sus similares a nivel mundial o con instituciones de cooperación internacional, para recibir apoyo, asesoría y financiamiento para el empleo de la tecnología relativa a las firmas digitales y transacciones electrónicas en general en la Administración Pública, en el marco de la Ley. Encárguese al Consejo Nacional de Ciencia Tecnología e Innovación Tecnológica - CONCYTEC para que en coordinación con la Entidad de Certificación Nacional para el Estado Peruano, la Oficina Nacional de Gobierno Electrónico e Informática y la Autoridad Administrativa Competente desarrolle las acciones tendientes a masificar el uso de las firmas digitales en la Administración Pública, dentro del marco de la investigación e innovación tecnológica. Segunda.- Del procedimiento administrativo contra decisiones de las Entidades de Certificación Los Prestadores de Servicios de Certificación Digital deben establecer procedimientos ágiles y sencillos para que sus usuarios puedan presentar directamente reclamaciones por la prestación de sus servicios, las cuales deberán ser atendidas en el más breve plazo. La Autoridad Administrativa Competente aprobará o reformará estos procedimientos y regulará lo relativo a las reclamaciones. Agotada la vía previa de la reclamación ante el Prestador de Servicios de Certificación Digital, procederá recurrir en vía administrativa ante la Autoridad Administrativa Competente, con sujeción a la Ley Nº 27444 - Ley del Procedimiento Administrativo General. La Autoridad Administrativa Competente determinará todos aquellos procedimientos y políticas necesarios para la aplicación del presente Reglamento. En los casos que proceda la reclamación, la Autoridad Administrativa Competente adoptará las medidas correctivas pertinentes. Tercera.- De la compatibilidad de la normativa con los avances tecnológicos Dentro del marco conformado por la Ley y el presente Reglamento, la Autoridad Administrativa Competente se encargará de emitir las resoluciones que sean necesarias para mantener la presente normativa compatible con la evolución tecnológica de la materia y el desarrollo de las necesidades de los usuarios de la Infraestructura Oficial de Firmas Electrónicas. Cuarta.- Del plan de implementación de los procedimientos y trámites administrativos por medios electrónicos seguros en las entidades de la Administración Pública En el plazo de seis (6) meses a partir de la vigencia del presente Reglamento, las entidades de la Administración Pública deberán elaborar y presentar a la Oficina Nacional de Gobierno Electrónico e Informática un plan para el cumplimiento de lo estipulado en los artículos 40, 41, 42, 43, 44 y 45 del presente Reglamento, asimismo deberán proponer las normas complementarias necesarias para tal fin. La Oficina Nacional de Gobierno Electrónico e Informática evaluará y aprobará dichas propuestas.(*) (*) Párrafo modificado por el Artículo 1 del Decreto Supremo Nº 105-2012-PCM, publicado el 21 octubre 2012, cuyo texto es el siguiente: “Cuarta.- Del plan de implementación de los procedimientos y trámites administrativos por medios electrónicos seguros en las entidades de la Administración Pública Las entidades de la administración pública deberán elaborar y presentar a la Oficina Nacional de Gobierno Electrónico e Informática, en el plazo que se establezca por Decreto Supremo, un plan para el cumplimiento de lo estipulado en los artículos
44
40, 41, 42, 43, 44 y 45 del presente Reglamento, asimismo deberán proponer las normas complementarias necesarias para tal fin. La Oficina Nacional de Gobierno Electrónico e Informática evaluará y aprobará dicha propuesta." Considerando que las entidades de la Administración Pública que brinden el servicio de Sistema de Intermediación Digital deberán acreditarse como Prestadores de Servicios de Valor Añadido ante la Autoridad Administrativa Competente, el mencionado plan deberá incorporar las estimaciones de los recursos económicos, técnicos y humanos, así como los plazos necesarios para su implantación. El plazo máximo para la implementación de lo descrito en dicho plan es de veinticuatro (24) meses a partir de su aprobación por la Oficina Nacional de Gobierno Electrónico e Informática. Durante la implementación progresiva de los servicios de Gobierno Electrónico por parte de las entidades de la Administración Pública, éstas deberán incentivar la utilización de los medios electrónicos para la realización de sus trámites y procedimientos, considerando aquellos casos donde los ciudadanos se vean imposibilitados debido a que no cuentan con la tecnología, conocimientos necesarios para poder acceder a la prestación de los servicios electrónicos, ni con centros de acceso ciudadano disponibles en su respectiva provincia. Quinta.- De la capacitación de empleados públicos Cada entidad de la Administración Pública deberá garantizar de manera gradual la capacitación de sus empleados en los temas competentes a su función, que impliquen el uso de certificados y firmas digitales, así como los requerimientos de seguridad en la utilización de los medios electrónicos, la protección de la información personal de los ciudadanos y el respeto a la propiedad intelectual. Sexta.- De la implementación del Registro Nacional de Centros de Acceso Ciudadano En un plazo no mayor de ciento veinte (120) días calendario contados a partir de la vigencia del presente Reglamento, la Oficina Nacional de Gobierno Electrónico e Informática deberá tomar las medidas necesarias a fin de implementar el Registro Nacional de los Centros de Acceso Ciudadano a que hace referencia el artículo 53 de este Reglamento. Séptima.- De la importación de computadoras personales con lectoras de tarjetas inteligentes para uso en el sector público y en aquéllas que se vinculen a éste A partir de los ciento veinte (120) días calendario de vigencia del presente Reglamento, las Entidades del Sector Público adquirirán, preferentemente, computadoras personales que deberán incorporar lectoras de tarjetas inteligentes, incluyendo sus respectivos controladores de dispositivo (drivers), según los estándares correspondientes. Octava.- Del plazo de Implementación de la Entidad de Certificación Nacional para el Estado Peruano El Registro Nacional de Identificación y Estado Civil -RENIEC, en su calidad de Entidad de Certificación Nacional para el Estado Peruano, tendrá un plazo de diez (10) meses a partir de la vigencia del presente Reglamento, para implementar y poner al servicio de las personas naturales y jurídicas, así como de las entidades de la Administración Pública, la infraestructura indicada en el artículo 48 del presente Reglamento. Dicho plazo podrá ser prorrogado si por motivo de fuerza mayor debidamente acreditado, el Registro Nacional de Identificación y Estado Civil - RENIEC se viera imposibilitado de cumplir con lo señalado.
45
Después de vencido el plazo, la Entidad de Certificación Nacional para el Estado Peruano emitirá los certificados raíz correspondientes a las Entidades de Certificación para el Estado Peruano acreditadas por la Autoridad Administrativa Competente, con el fin de garantizar la interoperabilidad y la confianza en el uso de los certificados digitales emitidos por las referidas entidades. (*) (*) Disposición modificada por el Artículo 1 del Decreto Supremo Nº 070-2011-PCM, publicado el 27 julio 2011, que entró en vigencia a los treinta (30) días hábiles de su publicación cuyo texto es el siguiente: “Octava.- Del plazo de Implementación de la Entidad de Certificación Nacional para el Estado Peruano El Registro Nacional de Identificación y Estado Civil (RENIEC), en su calidad de Entidad de Certificación Nacional para el Estado Peruano, tendrá un plazo hasta el 31 de julio del 2012 para iniciar los procedimientos de acreditación respectivos ante el INDECOPI. Este último contará con un plazo máximo de 120 días hábiles para culminarlos, sin perjuicio de lo dispuesto en el artículo 67 del presente Reglamento. Autorícese al Registro Nacional de Identificación y Estado Civil (RENIEC), en su condición de Entidad de Certificación Nacional para el Estado Peruano, Entidad de Certificación para el Estado Peruano y Entidad de Registro o Verificación para el Estado Peruano, emitir firmas y certificados digitales en tanto no esté acreditada ante la Autoridad Administrativa Competente (INDECOPI), reconociéndose a los documentos electrónicos soportados en dichos certificados digitales las presunciones legales establecidas en el artículo 8, así como, los efectos jurídicos que corresponde para los fines de los artículos 4 y 43 del presente reglamento. A tal efecto las entidades de la Administración Pública que hagan uso de la firma digital, y de ser el caso, los Colegios de Notarios del Perú y/o la Junta de Decanos de los Colegios de Notarios del Perú, que así lo soliciten, deberán suscribir Convenios con el Registro Nacional de Identificación y Estado Civil (RENIEC), a fin de llevar un registro de los titulares y/o suscriptores de certificados digitales, así como, de los Certificados Digitales emitidos bajo esta Disposición Complementaria Final. Las entidades de la Administración Pública que requieran hacer uso de la firma digital deberán iniciar el procedimiento de acreditación de Software de firma digital, ante la Autoridad Administrativa Competente (INDECOPI), a más tardar en el mes de abril de 2012.(*) (*) Párrafo modificado por el Artículo 1 del Decreto Supremo Nº 105-2012-PCM, publicado el 21 octubre 2012, cuyo texto es el siguiente: "Las entidades de la Administración Pública que requieran hacer uso de la firma digital deberán iniciar el procedimiento de acreditación de Software de firma digital, ante la Autoridad Administrativa Competente (INDECOPI), a más tardar en el mes de julio de 2013." Asimismo, aquellos que requieran servicios de valor añadido tales como sellado de tiempo y/o sistema de intermediación electrónica, en tanto no se encuentren acreditados ante la Autoridad Administrativa Competente (INDECOPI), deberán cumplir con los requerimientos técnicos de los estándares señalados en las Guías de Acreditación: de Prestador de Servicios de Valor Añadido y de Aplicaciones de Software, aprobadas por la Autoridad Administrativa Competente, en lo que le fuese aplicable.”
46
Novena.- Del plazo para la habilitación del Registro de Prestadores de Servicios de Certificación Digital La Autoridad Administrativa Competente se encargará de la aprobación de las Guías de Acreditación de los Prestadores de Servicios de Certificación Digital y realizar las gestiones, procedimientos legales y técnicos necesarios para iniciar los procesos de acreditación, a fin de habilitar el Registro de Prestadores de Servicios de Certificación Digital señalado en el Artículo 15 de la Ley. Corresponde a la Oficina Nacional de Gobierno Electrónico e Informática supervisar la efectiva implementación de la Infraestructura Oficial de Firma Electrónica y el cumplimiento del plazo establecido en la presente Disposición Final. En caso de incumplimiento del plazo establecido, la Oficina Nacional de Gobierno Electrónico e Informática asumirá la responsabilidad de aprobar las mencionadas Guías de Acreditación en un plazo adicional no mayor de quince (15) días calendario. Corresponderá a la Autoridad Administrativa Competente la ejecución de los procesos de acreditación aprobados. Décima.- De la reutilización de aplicaciones de software de propiedad de la Administración Pública Las entidades de la Administración Pública que sean titulares de derechos de propiedad intelectual de aplicaciones de software desarrolladas para la prestación de sus servicios o cuyo desarrollo haya sido objeto de contratación, deberán ponerlas a disposición de cualquier otra entidad de la Administración Pública sin necesidad de pago de contraprestación alguna. Corresponde a la Oficina Nacional de Gobierno Electrónico e Informática, llevar un registro actualizado de las diferentes aplicaciones de software desarrolladas por las entidades de la Administración Pública o las contrataciones que pudieran haberse realizado para tales efectos, debiendo poner dicha información a disposición de todas las entidades de la Administración Pública, a efectos de lograr un efectivo intercambio tecnológico y reutilización de las citadas aplicaciones. Décima Primera.- De la contratación de seguros o garantías bancarias A fin de fomentar el registro de los Prestadores de Servicios de Certificación Digital ante la Autoridad Administrativa Competente, como presupuesto indispensable para la efectiva operación de la Infraestructura Oficial de Firma Electrónica y el desarrollo de las transacciones de gobierno y comercio electrónico seguras, exonérese a los Prestadores de Servicios de Certificación Digital, por un período de un (1) año, a partir de la vigencia del presente Reglamento, de la contratación de seguros o garantías bancarias, sea cual fuera la modalidad bajo la que decidan operar; sin perjuicio de aquellos que opten voluntariamente por el cumplimiento de dichos requerimientos. (*) (*) Disposición modificada por el Artículo 1 del Decreto Supremo Nº 070-2011-PCM, publicado el 27 julio 2011, que entró en vigencia a los treinta (30) días hábiles de su publicación cuyo texto es el siguiente: “Décimo Primera.- De la contratación de seguros o garantías bancarias A fin de fomentar el registro de los Prestadores de Servicios de Certificación Digital ante la Autoridad Administrativa Competente, como presupuesto indispensable para la efectiva operación de la Infraestructura Oficial de Firma Electrónica y el desarrollo de las transacciones de Gobierno Electrónico y de Comercio Electrónico seguras, exonérese a los Prestadores de Servicios de Certificación Digital, hasta el 31
47
de diciembre de 2012, de la contratación de seguros o garantías bancarias prevista en los artículos 27, 31 y 38 del presente Reglamento; sin perjuicio de aquellos que opten voluntariamente por el cumplimiento de dichos requerimientos.” (*) (*) Disposición modificada por el Artículo 1 del Decreto Supremo Nº 105-2012-PCM, publicado el 21 octubre 2012, cuyo texto es el siguiente: “Décimo Primera.- De la contratación de seguros o garantías bancarias A fin de fomentar el registro de los Prestadores de Servicios de Certificación Digital ante la autoridad Administrativa Competente, como presupuesto indispensable para la efectiva operación de la infraestructura Oficial de Firma Electrónica y el desarrollo de las transacciones de Gobierno Electrónico y de Comercio seguras, exonérese a los Prestadores de Servicios de Certificación Digital, hasta el 31 de diciembre de 2013, de la contratación de seguros o garantías bancarias previstas en los artículos 27, 31 y 38 del presente Reglamento; sin perjuicio de aquellos que opten voluntariamente por el cumplimiento de dichos requerimientos.” Décima Segunda.- Del cumplimiento de los criterios WebTrust A fin de fomentar el registro de los Entidades de Certificación ante la Autoridad Administrativa Competente, como presupuesto indispensable para la efectiva operación de la Infraestructura Oficial de Firmas Electrónicas y el desarrollo de las transacciones de gobierno y comercio electrónico seguras, exonérese a las Entidades de Certificación, por un período de tres (3) años a partir de la vigencia del presente Reglamento, del cumplimiento de los requisitos especificados en el estándar WebTrust for Certification Authorities y la obtención del sello de WebTrust; sin perjuicio de aquellos que opten voluntariamente por el cumplimiento de dichos requerimientos. (*) (*) Disposición modificada por el Artículo 1 del Decreto Supremo Nº 070-2011-PCM, publicado el 27 julio 2011, que entró en vigencia a los treinta (30) días hábiles de su publicación cuyo texto es el siguiente: “Décimo Segunda.- Del cumplimiento de los criterios Web Trust La obtención del sello de Web Trust al que hace referencia el artículo 26 numeral m) del presente Reglamento es de cumplimiento obligatorio para las Entidades de Certificación que acrediten en el Nivel de Seguridad Medio Alto. A fin de fomentar el registro de las Entidades de Certificación ante la Autoridad Administrativa Competente, como condición indispensable para la efectiva operación de la Infraestructura Oficial de Firmas Electrónicas y el desarrollo de las transacciones de gobierno y comercio electrónico seguras, exonérese a las Entidades de Certificación hasta el 31 de diciembre de 2012 del cumplimiento de los requisitos especificados en el estándar Web Trust for Certification Authorities y la obtención del sello de Web Trust; sin perjuicio de aquellos que opten voluntariamente por el cumplimiento de dichos requerimientos.” Décima Tercera.- Del voto electrónico En tanto no se implemente el Documento Nacional de Identidad electrónico (DNIe), los ciudadanos podrán utilizar los certificados de persona natural emitidos por cualquier Entidad de Certificación para el Estado Peruano a efectos del ejercicio del voto electrónico en los procesos electorales, en la medida que la Oficina Nacional de Procesos Electorales (ONPE) implemente dicha alternativa. Décima Cuarta.- Del glosario de términos De conformidad con lo establecido por la segunda disposición complementaria, transitoria y final de la Ley, se incluye el Glosario de Términos siguiente:
48
Acreditación.- Es el acto a través del cual la Autoridad Administrativa Competente, previo cumplimiento de las exigencias establecidas en la Ley, el Reglamento y las disposiciones dictadas por ella, faculta a las entidades solicitantes reguladas en el presente Reglamento a prestar los servicios solicitados en el marco de la Infraestructura Oficial de Firma Electrónica. Acuse de Recibo.- Son los procedimientos que registran la recepción y validación de la Notificación Electrónica Personal recibida en el domicilio electrónico, de modo tal que impide rechazar el envío y da certeza al remitente de que el envío y la recepción han tenido lugar en una fecha y hora determinada a través del sello de tiempo electrónico. Agente Automatizado.- Son los procesos y equipos programados para atender requerimientos predefinidos y dar una respuesta automática sin intervención humana, en dicha fase. Ancho de banda.- Especifica la cantidad de información que se puede enviar a través de una conexión de red en un período de tiempo dado (generalmente un segundo). El ancho de banda se indica generalmente en bites por segundo (bps), kilobits por segundo (Kbps), o megabits por segundo (Mbps). Cuánto más elevado el ancho de la banda de una red, mayor es su aptitud para transmitir un mayor caudal de información. Archivo.- Es el conjunto organizado de documentos producidos o recibidos por una entidad en el ejercicio de las funciones propias de su fin, y que están destinados al servicio. Archivo Electrónico.- Es el conjunto de registros que guardan relación. También es la organización de dichos registros. Autenticación.- Es el proceso técnico que permite determinar la identidad de la persona que firma digitalmente, en función del documento electrónico firmado por éste y al cual se le vincula; este proceso no otorga certificación notarial ni fe pública. Autoridad Administrativa Competente.- Es el organismo público responsable de acreditar a las Entidades de Certificación, a las Entidades de Registro o Verificación y a los Prestadores de Servicios de Valor Añadido, públicos y privados, de reconocer los estándares tecnológicos aplicables en la Infraestructura Oficial de Firma Electrónica, de supervisar dicha Infraestructura, y las otras funciones señaladas en el presente Reglamento o aquellas que requiera en el transcurso de sus operaciones. Dicha responsabilidad recae en el Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual - INDECOPI. Canal seguro.- Es el conducto virtual o físicamente independiente a través del cual se pueden transferir datos garantizando una transmisión confidencial y confiable, protegiéndolos de ser interceptados o manipulados por terceros. Certificación Cruzada.- Es el acto por el cual una Entidad de Certificación acreditada reconoce la validez de un certificado emitido por otra, sea nacional, extranjera o internacional, previa autorización de la Autoridad Administrativa Competente; y asume tal certificado como si fuera de propia emisión, bajo su responsabilidad.
49
Certificado Digital.- Es el documento credencial electrónico generado y firmado digitalmente por una Entidad de Certificación que vincula un par de claves con una persona natural o jurídica confirmando su identidad. El ciclo de vida de un certificado digital podría comprender: La suspensión consiste en inhabilitar la validez de un certificado digital por un período de tiempo establecido en el momento de la solicitud de suspensión, dicho período no puede superar la fecha de expiración del certificado digital. La modificación de la información contenida en un certificado sin la re-emisión de sus claves. La re-emisión consiste en generar un nuevo par de claves y un nuevo certificado, correspondiente a una nueva clave pública pero manteniendo la mayor parte de la información del suscriptor contenida en el certificado a expirar. Clave privada.- Es una de las claves de un sistema de criptografía asimétrica que se emplea para generar una firma digital sobre un documento electrónico y es mantenida en reserva por el titular de la firma digital. Clave pública.- Es la otra clave en un sistema de criptografía asimétrica que es usada por el destinatario de un documento electrónico para verificar la firma digital puesta en dicho documento. La clave pública puede ser conocida por cualquier persona. Código de verificación o resumen (hash).- Es la secuencia de bits de longitud fija obtenida como resultado de procesar un documento electrónico con un algoritmo, de tal manera que: (1) El documento electrónico produzca siempre el mismo código de verificación (resumen) cada vez que se le aplique dicho algoritmo. (2) Sea improbable a través de medios técnicos, que el documento electrónico pueda ser derivado o reconstruido a partir del código de verificación (resumen) producido por el algoritmo. (3) Sea improbable por medios técnicos, se pueda encontrar dos documentos electrónicos que produzcan el mismo código de verificación (resumen) al usar el mismo algoritmo. Controlador de dispositivo (driver).- Es el programa informático que permite a un Sistema Operativo entender y manejar diversos dispositivos electrónicos físicos que se conectan o forman parte de la computadora. Criptografía Asimétrica.- Es la rama de las matemáticas aplicadas que se ocupa de transformar documentos electrónicos en formas aparentemente ininteligibles y devolverlas a su forma original, las cuales se basan en el empleo de funciones algorítmicas para generar dos “claves” diferentes pero matemáticamente relacionadas entre sí. Una de esas claves se utiliza para crear una firma numérica o transformar datos en una forma aparentemente ininteligible (clave privada), y la otra para verificar una firma numérica o devolver el documento electrónico a su forma original (clave pública). Las claves están matemáticamente relacionadas, de tal modo que cualquiera de ellas implica la existencia de la otra, pero la posibilidad de acceder a la clave privada a partir de la pública es técnicamente ínfima.
50
Declaración de Prácticas de Certificación.- Es el documento oficialmente presentado por una Entidad de Certificación a la Autoridad Administrativa Competente, mediante el cual define sus Prácticas de Certificación. Declaración de Prácticas de Registro o Verificación.-Documento oficialmente presentado por una Entidad de Registro o Verificación a la Autoridad Administrativa Competente, mediante el cual define sus Prácticas de Registro o Verificación. Declaración de Prácticas de Valor Añadido.- Documento oficialmente presentado por una Entidad de Registro o Verificación a la Autoridad Administrativa Competente, mediante el cual define las prácticas y procedimientos que emplea en la prestación de sus servicios. Depósito de Certificados.- Es el sistema de almacenamiento y recuperación de certificados, así como de la información relativa a éstos, disponible por medios telemáticos. Destinatario.- Es la persona designada por el iniciador para recibir un documento electrónico, siempre y cuando no actúe a título de intermediario. Dirección de correo electrónico.- Es el conjunto de palabras que identifican a una persona que puede enviar y recibir correo. Cada dirección es única y pertenece siempre a la misma persona. Dirección oficial de correo electrónico.- Es la dirección de correo electrónico del ciudadano, reconocido por el Gobierno Peruano para la realización confiable y segura de las notificaciones electrónicas personales requeridas en los procesos públicos. Esta dirección recibirá los mensajes de correo electrónico que sirvan para informar al usuario acerca de cada notificación o acuse de recibo que haya sido remitida a cualquiera de sus domicilios electrónicos. A diferencia del domicilio electrónico, esta dirección centraliza todas las comunicaciones que sirven para informar al usuario que se ha realizado una actualización de los documentos almacenados en sus domicilios electrónicos. Su lectura es de uso obligatorio. Documento.- Es cualquier escrito público o privado, los impresos, fotocopias, facsímil o fax, planos, cuadros, dibujos, fotografías, radiografías, cintas cinematográficas, microformas tanto en la modalidad de microfilm como en la modalidad de soportes informáticos, y otras reproducciones de audio o video, la telemática en general y demás objetos que recojan, contengan o representen algún hecho, o una actividad humana o su resultado. Los documentos pueden ser archivados a través de medios electrónicos, ópticos o cualquier otro similar. Documento electrónico.- Es la unidad básica estructurada de información registrada, publicada o no, susceptible de ser generada, clasificada, gestionada, transmitida, procesada o conservada por una persona o una organización de acuerdo a sus requisitos funcionales, utilizando sistemas informáticos. Documento oficial de identidad.- Es el documento oficial que sirve para acreditar la identidad de una persona natural, que puede ser: a) Documento Nacional de Identidad (DNI);
51
b) Carné de extranjería actualizado, para las personas naturales extranjeras domiciliadas en el país; o, c) Pasaporte, si se trata de personas naturales extranjeras no residentes. Domicilio electrónico.- Está conformado por la dirección electrónica que constituye la residencia habitual de una persona dentro de un Sistema de Intermediación Digital, para la tramitación confiable y segura de las notificaciones, acuses de recibo y demás documentos requeridos en sus procedimientos. En el caso de una persona jurídica el domicilio electrónico se asocia a sus integrantes. Para estos efectos, se empleará el domicilio electrónico como equivalente funcional del domicilio habitual de las personas naturales o jurídicas. En este domicilio se almacenarán los documentos y expedientes electrónicos correspondientes a los procedimientos y trámites realizados en el respectivo Sistema de Intermediación Digital. El acceso a este domicilio se realiza empleando un certificado digital de autenticación. Entidad de Certificación.- Es la persona jurídica pública o privada que presta indistintamente servicios de producción, emisión, gestión, cancelación u otros servicios inherentes a la certificación digital. Asimismo, puede asumir las funciones de registro o verificación. Entidad de Certificación Extranjera.- Es la Entidad de Certificación que no se encuentra domiciliada en el país, ni inscrita en los Registros Públicos del Perú, conforme a la legislación de la materia. Entidades de la Administración Pública.- Es el organismo público que ha recibido del poder político la competencia y los medios necesarios para la satisfacción de los intereses generales de los ciudadanos y la industria. Entidad de Registro o Verificación.- Es la persona jurídica, con excepción de los notarios públicos, encargada del levantamiento de datos, la comprobación de éstos respecto a un solicitante de un certificado digital, la aceptación y autorización de las solicitudes para la emisión de un certificado digital, así como de la aceptación y autorización de las solicitudes de cancelación de certificados digitales. Las personas encargadas de ejercer la citada función serán supervisadas y reguladas por la normatividad vigente. Entidad final.- Es el suscriptor de un certificado digital. Estándares Técnicos Internacionales.- Son los requisitos de orden técnico y de uso internacional que deben observarse en la emisión de certificados digitales y en las prácticas de certificación. Estándares Técnicos Nacionales.- Son los estándares técnicos aprobados mediante Normas Técnicas Peruanas por la Comisión de Reglamentos Técnicos y Comerciales - CRT del INDECOPI, en su calidad de Organismo Nacional de Normalización. Equivalencia funcional.- Principio por el cual los actos jurídicos realizados por medios electrónicos que cumplan con las disposiciones legales vigentes poseen la misma validez y eficacia jurídica que los actos realizados por medios convencionales, pudiéndolos sustituir para todos los efectos legales. De conformidad con lo establecido
52
en la Ley y su Reglamento, los documentos firmados digitalmente pueden ser presentados y admitidos como prueba en toda clase de procesos judiciales y procedimientos administrativos. Expediente electrónico.- El expediente electrónico se constituye en los trámites o procedimientos administrativos en la entidad que agrupa una serie de documentos o anexos identificados como archivos, sobre los cuales interactúan los usuarios internos o externos a la entidad que tengan los perfiles de accesos o permisos autorizados. Gobierno Electrónico.- Es el uso de las Tecnologías de Información y Comunicación para redefinir la relación del gobierno con los ciudadanos y la industria, mejorar la gestión y los servicios, garantizar la transparencia y la participación, y facilitar el acceso seguro a la información pública, apoyando la integración y el desarrollo de los distintos sectores. Identificador de objeto OID.- Es una cadena de números, formalmente definida usando el estándar ASN.1 (ITU-T Rec. X.660 | ISO/IEC 9834 series), que identifica de forma única a un objeto. En el caso de la certificación digital, los OIDs se utilizan para identificar a los distintos objetos en los que ésta se enmarca (por ejemplo, componentes de los Nombres Diferenciados, CPS, etc.). Infraestructura Oficial de Firma Electrónica.- Sistema confiable, acreditado, regulado y supervisado por la Autoridad Administrativa Competente, provisto de instrumentos legales y técnicos que permiten generar firmas digitales y proporcionar diversos niveles de seguridad respecto de: 1) La integridad de los documentos electrónicos; 2) La identidad de su autor, lo que es regulado conforme a Ley. El sistema incluye la generación de firmas digitales, en la que participan entidades de certificación y entidades de registro o verificación acreditadas ante la Autoridad Administrativa Competente incluyendo a la Entidad de Certificación Nacional para el Estado Peruano, las Entidades de Certificación para el Estado Peruano, las Entidades de Registro o Verificación para el Estado Peruano y los Prestadores de Servicios de Valor Añadido para el Estado Peruano. Integridad.- Es la característica que indica que un documento electrónico no ha sido alterado desde la transmisión por el iniciador hasta su recepción por el destinatario. Interoperabilidad.- Según el OASIS Forum Group la interoperabilidad puede definirse en tres áreas: * Interoperabilidad a nivel de componentes: consiste en la interacción entre sistemas que soportan o consumen directamente servicios relacionados con PKI. * Interoperabilidad a nivel de aplicación: consiste en la compatibilidad entre aplicaciones que se comunican entre sí. * Interoperabilidad entre dominios o infraestructuras PKI: consiste en la interacción de distintos sistemas de certificación PKI (dominios, infraestructuras), estableciendo relaciones de confianza que permiten el reconocimiento indistinto de los certificados digitales por parte de los terceros que confían.
53
Ley.- Ley Nº 27269 - Ley de Firmas y Certificados Digitales, modificada por la Ley Nº 27310. Lista de Certificados Digitales Cancelados.- Es aquella en la que se deberá incorporar todos los certificados cancelados por la entidad de certificación de acuerdo con lo establecido en el presente Reglamento. Mecanismos de firma digital.- Es un programa informático configurado o un aparato informático configurado que sirve para aplicar los datos de creación de firma digital. Dichos mecanismos varían según el nivel de seguridad que se les aplique. Medios electrónicos.- Son los sistemas informáticos o computacionales a través de los cuales se puede generar, procesar, transmitir y archivar de documentos electrónicos. Medios electrónicos seguros.- Son los medios electrónicos que emplean firmas y certificados digitales emitidos por Prestadores de Servicios de Certificación Digital acreditados, donde el intercambio de información se realiza a través de canales seguros. Medios telemáticos.- Es el conjunto de bienes y elementos técnicos informáticos que en unión con las telecomunicaciones permiten la generación, procesamiento, transmisión, comunicación y archivo de datos e información. Neutralidad tecnológica.- Es el principio de no discriminación entre la información consignada sobre papel y la información comunicada o archivada electrónicamente; asimismo, implica la no discriminación, preferencia o restricción de ninguna de las diversas técnicas o tecnologías que pueden utilizarse para firmar, generar, comunicar, almacenar o archivar electrónicamente información. Niveles de seguridad.- Son los diversos niveles de garantía que ofrecen las variedades de firmas digitales, cuyos beneficios y riesgos deben ser evaluados por la persona, empresa o institución que piensa optar por una modalidad de firma digital para enviar o recibir documentos electrónicos. No repudio.- Es la imposibilidad para una persona de desdecirse de sus actos cuando ha plasmado su voluntad en un documento y lo ha firmado en forma manuscrita o digitalmente con un certificado emitido por una Entidad de Certificación acreditada en cooperación de una Entidad de Registro o Verificación acreditada, salvo que la misma entidad tenga ambas calidades, empleando un software de firmas digitales acreditado, y siempre que cumpla con lo previsto en la legislación civil. En el ámbito del artículo 2 de la Ley de Firmas y Certificados Digitales, el no repudio hace referencia a la vinculación de un individuo (o institución) con el documento electrónico, de tal manera que no puede negar su vinculación con él ni reclamar supuestas modificaciones de tal documento (falsificación). Nombre Diferenciado (X.501).- Es un sistema estándar diseñado para consignar en el campo sujeto de un certificado digital los datos de identificación del titular del certificado, de manera que éstos se asocien de forma inequívoca con ese titular dentro del conjunto de todos los certificados en vigor que ha emitido la Entidad de Certificación. En inglés se denomina “Distinguished Name”. Norma Marco sobre Privacidad.- Es la norma basada en la normativa aprobada en la 16 Reunión Ministerial del APEC, que fuera llevada a cabo en Santiago de Chile
54
el 17 y 18 de noviembre de 2004, la cual forma parte integrante de las Guías de Acreditación aprobadas por la Autoridad Administrativa Competente. Notificación electrónica personal.- En virtud del principio de equivalencia funcional, la notificación electrónica personal de los actos administrativos se realizará en el domicilio electrónico o en la dirección oficial de correo electrónico de las personas por cualquier medio electrónico, siempre que permita confirmar la recepción, integridad, fecha y hora en que se produce. Si la notificación fuera recibida en día u hora inhábil, ésta surtirá efectos al primer día hábil siguiente a dicha recepción. Par de claves.- En un sistema de criptografía asimétrica comprende una clave privada y su correspondiente clave pública, ambas asociadas matemáticamente. Políticas de Certificación.- Documento oficialmente presentado por una entidad de certificación a la Autoridad Administrativa Competente, mediante el cual establece, entre otras cosas, los tipos de certificados digitales que podrán ser emitidos, cómo se deben emitir y gestionar los certificados, y los respectivos derechos y responsabilidades de las Entidades de Certificación. Para el caso de una Entidad de Certificación Raíz, la Política de Certificación incluye las directrices para la gestión del Sistema de Certificación de las Entidades de Certificación vinculadas. Práctica.- Es el modo o método que particularmente observa alguien en sus operaciones. Prácticas de Certificación.- Son las prácticas utilizadas para aplicar las directrices de la política establecida en la Política de Certificación respectiva. Prácticas específicas de Certificación.- Son las prácticas que completan todos los aspectos específicos para un tipo de certificado que no están definidos en la Declaración de Prácticas de Certificación respectiva. Prácticas de Registro o Verificación.- Son las prácticas que establecen las actividades y requerimientos de seguridad y privacidad correspondientes al Sistema de Registro o Verificación de una Entidad de Registro o Verificación. Prestador de Servicios de Certificación.- Es toda entidad pública o privada que indistintamente brinda servicios en la modalidad de Entidad de Certificación, Entidad de Registro o Verificación o Prestador de Servicios de Valor Añadido. Prestador de Servicios de Valor Añadido.- Es la entidad pública o privada que brinda servicios que incluyen la firma digital y el uso de los certificados digitales. El presente Reglamento presenta dos modalidades: a. Prestadores de Servicio de Valor Añadido que realizan procedimientos sin firma digital de usuarios finales, los cuales se caracterizan por brindar servicios de valor añadido, como Sellado de Tiempo que no requieren en ninguna etapa de la firma digital del usuario final en documento alguno. b. Prestadores de Servicio de Valor Añadido que realizan procedimientos con firma digital de usuarios finales, los cuales se caracterizan por brindar servicios de valor añadido como el sistema de intermediación electrónico, en donde se requiere en determinada etapa de operación del procedimiento la firma digital por parte del usuario final en algún tipo de documento.
55
Prestador de Servicios de Valor Añadido para el Estado Peruano.- Es la Entidad pública que brinda servicios de valor añadido, con el fin de permitir la realización de las transacciones públicas de los ciudadanos a través de medios electrónicos que garantizan la integridad y el no repudio de la información (Sistema de Intermediación Digital) y/o registran la fecha y hora cierta (Sello de Tiempo). Reconocimiento de Servicios de Certificación Prestados en el Extranjero.- Es el proceso a través del cual la Autoridad Administrativa Competente, acredita, equipara y reconoce oficialmente a las entidades de certificación extranjeras. Registro.- En términos informáticos, es un conjunto de datos relacionados entre sí, que constituyen una unidad de información en una base de datos. Reglamento.- El presente documento, denominado Reglamento de la Ley Nº 27269 - Ley de Firmas y Certificados Digitales, modificada por la Ley Nº 27310. Servicio de Valor Añadido.- Son los servicios complementarios de la firma digital brindados dentro o fuera de la Infraestructura Oficial de Firma Electrónica que permiten grabar, almacenar, conservar cualquier información remitida por medios electrónicos que certifican los datos de envío y recepción, su fecha y hora, el no repudio en origen y de recepción. El servicio de intermediación electrónico dentro de la Infraestructura Oficial de Firma Electrónica es brindado por persona natural o jurídica acreditada ante la Autoridad Administrativa Competente. Servicio OCSP (Protocolo del estado en línea del certificado, por sus siglas en inglés).- Es el servicio que permite utilizar un protocolo estándar para realizar consultas en línea (on line) al servidor de la Autoridad de Certificación sobre el estado de un certificado. Sistema de Intermediación Digital.- Es el sistema WEB que permite la transmisión y almacenamiento de información, garantizando el no repudio, confidencialidad e integridad de las transacciones a través del uso de componentes de firma digital, autenticación y canales seguros. Sistema de Intermediación Electrónico.- Es el sistema WEB que permite la transmisión y almacenamiento de información, garantizando el no repudio, confidencialidad e integridad de las transacciones a través del uso de componentes de firma electrónica, autenticación y canales seguros. Sistema WEB (“World Wide Web”).- Sistema de documentos electrónicos enlazados y accesibles a través de Internet. Mediante un navegador Web, un usuario visualiza páginas Web que pueden contener texto, imágenes, vídeos u otros contenidos multimedia, y navega a través de ellas usando hiperenlaces. Suscriptor.- Es la persona natural responsable de la generación y uso de la clave privada, a quien se le vincula de manera exclusiva con un documento electrónico firmado digitalmente utilizando su clave privada. En el caso que el titular del certificado digital sea una persona natural, sobre ella recaerá la responsabilidad de suscriptor. En el caso que una persona jurídica sea el titular de un certificado digital, la responsabilidad de suscriptor recaerá sobre el representante legal designado por esta entidad. Si el certificado está designado para ser usado por un agente automatizado, la titularidad del certificado y de las firmas digitales generadas a partir de dicho certificado corresponderán a la persona jurídica. La atribución de responsabilidad de suscriptor, para tales efectos, corresponde a la misma persona jurídica.
56
Tercero que confía o tercer usuario.- Se refiere a las personas naturales, equipos, servicios o cualquier otro ente que actúa basado en la confianza sobre la validez de un certificado y/o verifica alguna firma digital en la que se utilizó dicho certificado. Titular.- Es la persona natural o jurídica a quien se le atribuye de manera exclusiva un certificado digital. Usabilidad.- En el contexto de la certificación digital, el término Usabilidad se aplica a todos los documentos, información y sistemas de ayuda necesarios que deben ponerse a disposición de los usuarios para asegurar la aceptación y comprensión de las tecnologías, aplicaciones informáticas, sistemas y servicios de certificación digital de manera efectiva, eficiente y satisfactoria. Usuario final.- En líneas generales, es toda persona que solicita cualquier tipo de servicio por parte de un Prestador de Servicios de Certificación Digital acreditado. Voto electrónico.- Sistema de votación que utiliza una combinación de procedimientos, componentes de hardware y software, y red de comunicaciones que permiten automatizar los procesos de identificación del elector, emisión del voto, conteo de votos, emisión de reportes y/o presentación de resultados de un proceso electoral, referéndum y otras consultas populares. El voto electrónico se puede clasificar en: a) Presencial: cuando los procesos de votación se dan en ambientes o lugares debidamente supervisados por las autoridades electorales; y b) No presencial: cuando los procesos de identificación del elector y emisión del voto se dan desde cualquier ubicación geográfica o ambiente que el elector elija y disponga de los accesos apropiados. WebTrust.- Certificación otorgada a prestadores de servicios de certificación digital - PSC, específicamente a las Entidades Certificadoras - EC, que de manera consistente cumplen con estándares establecidos por el Instituto Canadiense de Contadores Colegiados (CICA por sus siglas en inglés - ver Cica.ca) y el Instituto Americano de Contadores Públicos Colegiados (AICPA). Los estándares mencionados se refieren a áreas como privacidad, seguridad, integridad de las transacciones, disponibilidad, confidencialidad y no repudio.
“DISPOSICION COMPLEMENTARIA TRANSITORIA Única.- Certificado de firmas digitales para la utilización de servicios de gobierno electrónico. Para la utilización electrónica de servicios brindados por el Estado en los que la entidad pública requiera firma digital, excepcionalmente, en tanto no se haya acreditado ante el INDECOPI o no cuente con reconocimiento oficial del INDECOPI, al menos una entidad prestadora de servicios de certificación, las personas naturales podrán utilizar Certificados Digitales de proveedores que cuenten con la certificación internacional Web Trust. Las personas jurídicas privadas, excepcionalmente, en tanto no se haya acreditado ante el INDECOPI o no cuente con reconocimiento oficial del INDECOPI, al menos una entidad privada prestadora de servicios de certificación, solamente podrán utilizar Certificados Digitales de proveedores privados que cuenten con la certificación internacional Web Trust.
57
En cualquiera de los supuestos indicados en los párrafos anteriores, el proveedor deberá identificar a los titulares y/o suscriptores del certificado digital mediante el levantamiento de datos y la comprobación de la información brindada por aquél. El uso de los certificados digitales referidos en los anteriores párrafos en cualquier procedimiento, trámite o transacción con la Administración Pública generará, para los documentos electrónicos soportados en ellos, las presunciones legales del artículo 8 así como los efectos jurídicos que corresponde para los fines de los artículos 3, 4 y 43 del presente Reglamento.” (*) (*) Disposición incorporada por el Artículo 2 del Decreto Supremo Nº 105-2012-PCM, publicado el 21 octubre 2012.
58
RESOLUCION MINISTERIAL Nº 381-2008-PCM Aprueban lineamientos y mecanismos para implementar la interconexión de equipos de procesamiento electrónico de información entre las entidades del Estado CONSIDERANDO: Que, mediante la Primera Disposición Complementaria Final del Decreto Legislativo Nº 1029 se estableció que en un plazo no mayor de 30 días hábiles, contados a partir de la vigencia de la referida norma, la Presidencia del Consejo de Ministros establecerá los lineamientos y mecanismos para implementar la interconexión de equipos de procesamiento electrónico de información entre las entidades del Estado, a que se refiere el numeral 76.2.2 del artículo 76 de la Ley Nº 27444, con el fin de hacer efectivo el deber de colaboración entre las entidades del Estado. De conformidad con el Decreto Supremo Nº 063-2007-PCM que aprueba el Reglamento de Organización y Funciones de la Presidencia del Consejo de Ministros, modificado por el Decreto Supremo Nº 057-2008-PCM y con la Ley Nº 29158 - Ley Orgánica del Poder Ejecutivo; SE RESUELVE: Artículo 1.- Aprobación de los lineamientos y mecanismos para implementar la interconexión de equipos de procesamiento electrónico de información entre las entidades del Estado. Apruébanse los lineamientos y mecanismos establecidos en el documento “Estándares y Especificaciones de Interoperabilidad del Estado Peruano”, que forma parte integrante de la presente Resolución. Artículo 2.- Publicación. La presente Resolución será publicada en el Diario Oficial El Peruano. El documento “Estándares y Especificaciones de Interoperabilidad del Estado Peruano”, aprobado por el artículo 1 de la presente norma, será publicado en el Portal del Estado Peruano (www.peru.gob.pe) y el Portal Institucional de la Presidencia del Consejo de Ministros, al día siguiente de publicada la presente norma en el Diario Oficial El Peruano. Artículo 3.- Vigencia. La presente norma entrará en vigencia a partir del día siguiente de su publicación en los portales institucionales a que se refiere el artículo 2. Regístrese, comuníquese y publíquese. YEHUDE SIMON MUNARO Presidente del Consejo de Ministros
59
ESTANDERES Y ESPECIFICACIONES INTEROPERATIVIDAD DEL ESTADO PERUANO
El presente documento ha sido elaborado por la Oficina nacional de Gobierno Electrónico e Informática – ONGEI de la Presidencia del Consejo de Ministros- PCM, la Superintendencia Nacional de Administración Tributaria – SUNAT, la Oficina de Informática del Ministerio Público, el Registro Nacional de Identificación y Estado Civil- RENIEC, el Instituto Nacional de Defensa de la Competencia y la Protección de la Propiedad Intelectual – INDECOPI, en el que se establecen los lineamientos, políticas estándares y especificaciones para la interoperatividad Electrónica del Estado Peruano.
PDF 1
ANGIE GAVIDIA
Rectángulo
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
2
(Este texto no fue publicado en el Diario Oficial “El Peruano”, ha sido enviado por la Presidencia del Consejo de Ministros, mediante correo electrónico.)
PRESIDENCIA DEL CONSEJO DE MINISTROS Estándares y Especificaciones de Interoperabilidad
del Estado Peruano
LIMA - PERU
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
3
CAPITULO I: GENERALIDADES
ÍNDICE
1. Presentación.............................................................................................................................. 4
2. Base Normativa .......................................................................................................................... 4
3. Introducción ................................................................................................................................ 5
4. Alcance y obligatoriedad............................................................................................................. 7
5. Políticas Generales..................................................................................................................... 9
6. Gestión de la Plataforma de interoperabilidad del Gobierno Electrónico................................. 10
CAPITULO II: ESTÁNDARES Y ESPECIFICACIONES DE INTEROPERABILIDAD DEL ESTADO PERUANO
7. Interconexión ............................................................................................................................ 13
8. Seguridad ................................................................................................................................. 19
9. Organización e intercambio de información ............................................................................. 29
10. Medios de Acceso ................................................................................................................... 35
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
4
CAPITULO I
GENERALIDADES
1. PRESENTACIÓN
La Oficina Nacional de Gobierno Electrónico e Informática - ONGEI de la Presidencia del Consejo de Ministros - PCM, con la participación de la Intendencia Nacional de Sistemas de Información de la Superintendencia Nacional de Administración Tributaria - SUNAT, la Oficina de Informática del Ministerio Público, el Registro Nacional de Identificación y Estado Civil - RENIEC, el Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual - INDECOPI, entre otros, ha elaborado el presente documento con el propósito de establecer los lineamientos, políticas, estándares y especificaciones para la interoperabilidad electrónica del Estado Peruano.
El propósito es contar con un instrumento técnico guía, que contiene políticas y especificaciones que deben desplegar las entidades del Estado a fin de hacer posible la interoperabilidad de sus servicios electrónicos, de acuerdo con lo establecido en el Decreto Legislativo N° 1029 que modifica la Ley del Procedimiento Administrativo General - Ley Nº 27444 y la Ley del Silencio Administrativo - Ley Nº 29060, específicamente relacionado con la Primera y Segunda Disposiciones Complementarias y Finales. Se ha considerado en este documento los siguientes aspectos:
1. Interconexión 2. Seguridad 3. Organización e intercambio de informaciones 4. Medios de acceso 5. Áreas de integración para Gobierno Electrónico
2. BASE NORMATIVA
• Ley Nº 29158 - Ley Orgánica del Poder Ejecutivo (LOPE): Que reconoce a la
Presidencia del Consejo de Ministros, en adelante PCM, la calidad de Ministerio.
• Decreto Supremo Nº 063-2007-PCM: Que aprueba el Reglamento de
Organización y Funciones de la PCM, en el cual se establece que la Oficina Nacional de Gobierno Electrónico e Informática de la PCM, tiene entre sus funciones implementar la Política Nacional de Gobierno Electrónico e Informática, así como, proponer los lineamientos de la política de contrataciones electrónicas del Sistema Electrónico de Adquisiciones y Contrataciones del Estado - SEACE;
• Decreto Supremo N° 066-2003-PCM: Que fusiona la Sub Jefatura de
Informática (SJI) del INEI con la PCM, a través de su Secretaría de Gestión Pública.
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
5
• Decreto Supremo Nº 060-2001-PCM: Que crea el Portal de Estado Peruano.
• Decreto Supremo Nº 032-2006-PCM: Que crea el Portal de Servicios al Ciudadano y Empresas - PSCE.
• Resolución Ministerial Nº 179-2004-PCM: Que aprueba el uso obligatorio de la
Norma Técnica Peruana “NTP-ISO/IEC 12207:2004 Tecnología de la Información. Procesos del Ciclo de Vida del Software. 1ª edición” en entidades del Sistema Nacional de Informática.
• Resolución Ministerial Nº 224-2004-PCM: Que aprueba uso obligatorio de la
Norma Técnica Peruana “NTP-ISO/IEC 17799:2004 EDI. Tecnología de la Información: Código de Buenas Prácticas para la gestión de la Seguridad de la Información. 1ª Edición. ” en entidades del Sistema Nacional de Informática
• Decreto Supremo Nº 059-2004-PCM: Que establece disposiciones relativas a
la administración del “Portal del Estado Peruano”.
• Decreto Supremo N° 019-2007-PCM: Que establece el uso de la Ventanilla Única del Estado a través del Portal de Servicios al Ciudadano y Empresas y crea el Sistema Integrado de Servicios Públicos Virtuales – SISEV.
• Decreto Legislativo Nº 1029: Que modifica la Ley del Procedimiento
Administrativo General - Ley N° 27444 y la Ley del Silencio Administrativo - Ley N° 29060.
• Decreto Legislativo N° 604 - Ley de Organización y Funciones del Instituto
Nacional de Estadística e Informática: Que establece como uno de los ámbitos de competencia del INEI al Sistema Nacional de Informática.
3. INTRODUCCIÓN
El desarrollo del Gobierno Electrónico en el Perú que propende impulsar el avance de la Sociedad de la Información y del Conocimiento se basa en la integración y optimización de sus procesos y servicios, que le permite facilitar el cumplimiento de sus obligaciones y el desarrollo de sus actividades al servicio del ciudadano, tanto de manera individual o en sus diversas formas de organización privada.
Es por tanto necesario llevar adelante un enfoque de integración y calidad de los procesos, con el apoyo de las tecnologías de la información y de la comunicación, transformando la gestión del Estado, aumentando la competitividad global así como el desarrollo empresarial, procurando lograr una sociedad más equitativa, integrada y democrática.
Este enfoque además se realiza dentro del marco del “Deber de Colaboración entre entidades del Estado” que contempla la siguiente base legal:
- Ley Nº 27444 del Procedimiento Administrativo General (en adelante LPAG).
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
6
- Decreto Legislativo Nº 1029, que modifica la LPAG - Ley Nº 27444 - y la Ley del Silencio Administrativo - Ley Nº 29060.
La LPAG regula en el Sub-Capítulo III, artículos 76º y siguiente, la “Colaboración entre entidades”; al respecto, en el numeral 76.1 del citado artículo 76° indica que: “Las relaciones entre entidades se rigen por el criterio de colaboración, sin que ello importe renuncia a la competencia propia señalada por ley”.
Atendiendo a dicho “criterio de colaboración”, en el numeral 76.2.2 del artículo 76° de la LPAG se manifiesta que las entidades deben: “Proporcionar directamente los datos e información que posean, sea cual fuere su naturaleza jurídica o posición institucional, a través de cualquier medio, sin más limitación que la establecida por la Constitución o la ley, para lo cual se propenderá a la interconexión de equipos de procesamiento electrónico de información, u otros medios similares”.
En ese sentido, el presente documento se centra en las políticas, en la identificación y el reconocimiento de los estándares como mecanismos para la interconexión de equipos de procesamiento electrónico de información, esto es, en el logro de la interoperabilidad.
INTEROPERABILIDAD: Según el Institute of Electrical and Electronics Engineers (IEEE1), la interoperabilidad es la capacidad de dos o más sistemas o componentes para intercambiar información y para utilizar la información que ha sido intercambiada.
Considerando la importancia del APEC en la determinación y la búsqueda de la interoperabilidad a nivel de dominios o economías miembros, y siendo el Perú parte de dicho foro, es que se admite el Proyecto de Interoperabilidad PKI del Foro PKI (PKI Forum2) en donde se define a la interoperabilidad en tres niveles: interoperabilidad a nivel de componentes, interoperabilidad a nivel de aplicaciones e interoperabilidad entre dominios:
ƒ La interoperabilidad a nivel de componentes, se refiere a la interacción entre sistemas que directamente soportan y/o consumen servicios relativos a la PKI.
ƒ La interoperabilidad a nivel de aplicación, está referida a la compatibilidad que debe de existir entre las aplicaciones que se ejecutan en las computadoras, que pueden ser suministradas por dos proveedores diferentes, que usan servicios de infraestructura PKI también diferentes para la realización de sus operaciones.
ƒ Los temas y opciones relativos a la interoperabilidad entre dominios están en relación al logro de interoperabilidad entre dos dominios PKI que necesitan comunicarse entre sí.
En relación a la interoperabilidad a nivel de dominios, un elemento adicional a considerar es la interoperabilidad a nivel de datos, dentro del marco del Foro de APEC.
1 Institute of Electrical and Electronics Engineers. IEEE Standard Computer Dictionary: A Compilation of IEEE Standard Computer Glossaries
2 PKI Interoperability Framework Whitepaper, March 2001. Documento disponible en: http://www.oasis- pki.org/pdfs/PKIInteroperabilityFramework.pdf.
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
7
La presente guía también considera los lineamientos de la Organización Mundial de Aduanas - OMA, que es una organización intergubernamental, reconocida internacionalmente como un centro global de prácticas aduaneras y juega un rol de liderazgo en la discusión, desarrollo, promoción e implementación de un sistema moderno y seguro de procedimientos aduaneros.
También recoge lineamientos en materia de interoperabilidad de otras organizaciones, de las que nuestro país forma parte, como Naciones Unidas, ISO, OGC, entre otras.
Por lo tanto, la interoperabilidad no está referida sólo a los aspectos técnicos, sino implica también consideraciones funcionales, operacionales, normativas y de política, que permiten desarrollar actuaciones coordinadas y cohesionadas, en este caso entre los organismos del Estado y de la Sociedad Civil.
3.1. Plataforma de interoperabilidad del Gobierno Electrónico del Estado
Peruano
La plataforma de interoperabilidad del Gobierno Electrónico se refiere al sistema de políticas, lineamientos y especificaciones que definen los estándares empleados en el Estado Peruano que permite de manera efectiva la interoperabilidad de los servicios electrónicos de las distintas entidades de la Administración Pública.
4. ALCANCES, ADMINISTRACION Y OBLIGATORIEDAD
4.1. Alcances
Estas políticas y lineamientos deben permitir la interoperabilidad de los sistemas de información y la gestión compartida de la información del Estado Peruano.
La estructura básica de los estándares y especificaciones de interoperabilidad del Gobierno Electrónico alcanzan las necesidades conectivas en el ámbito interno del Estado, como en relación con la interacción con la sociedad, tanto a nivel local, nacional y global (especialmente en el marco del APEC), así como entre personas y organizaciones.
Se promueve que la información del Estado pueda ser localizada e intercambiada en forma rápida y sencilla entre las entidades que conforman el Sistema Nacional de Informática, así como también con el sector privado y la sociedad, en condiciones de privacidad y seguridad.
La arquitectura definida en este documento contempla el intercambio de información entre los sistemas de información del Estado Peruano y abarca las interacciones con los siguientes ámbitos:
ƒ Poderes del Estado Peruano (Ejecutivo, Legislativo y Judicial). ƒ Organismos públicos y privados, nacionales y extranjeros. ƒ Ciudadanos y otras personas individuales.
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
8
ƒ Empresas y entidades no gubernamentales. ƒ Otros Estados y organismos internacionales, en especial los referidos a las
economías miembros del APEC específicamente a la interoperabilidad de documentos electrónicos no repudiables, esto es, basados en tecnología de certificación digital (PKI).
4.2. Administración
La plataforma de interoperabilidad del Gobierno Electrónico es administrada por el Grupo de Trabajo de Interoperabilidad del Estado - GTIE.
El GTIE es un grupo de trabajo multisectorial, dependiente de la Presidencia del Consejo de Ministros, que tiene por finalidad establecer las políticas, estándares y mecanismos de interoperabilidad entre entidades públicas, de acuerdo a lo establecido en el Decreto Legislativo N° 1029.
4.3 Funciones del GTIE
1. Proponer a PCM los lineamientos de política, los estándares y las
especificaciones de interoperabilidad del Estado Peruano.
2. Recoger, clasificar y catalogar las propuestas de nuevos componentes o mejoras de la plataforma de interoperabilidad del Gobierno Electrónico.
3. Proponer a PCM los procedimientos a fin de asegurar una adecuada
administración de los estándares y especificaciones de interoperabilidad.
4. Elaborar el Plan de Interoperabilidad del Estado Peruano – PIEP que
considere la implementación estratégica y progresiva de los Estándares y Especificaciones de Interoperabilidad de Gobierno Electrónico en el Perú.
5. Proponer a PCM directivas y lineamientos que sean necesarios para
una adecuada aplicación de las especificaciones de interoperabilidad.
6. Emitir opinión técnica en caso de controversia o dudas respecto a los estándares de interoperabilidad.
7. Ejercer la labor de seguimiento y monitoreo del Plan de
Interoperabilidad del Estado Peruano.
8. Elaborar un informe anual de los avances del Plan de Interoperabilidad del Estado Peruano.
4.4 Obligatoriedad
Para las Entidades que pertenecen al Poder Ejectuvito, Poder Legislativo y Poder Judicial, y los organismos autónomos, la adopción de los estándares y políticas contenidos en este documento es de carácter obligatorio, en forma
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
9
progresiva, de acuerdo a los lineamientos establecidos en el Plan de Interoperabilidad del Estado Peruano - PIEP.
Las especificaciones contempladas en este documento pueden ser adoptadas por los gobiernos regionales y gobiernos locales, para el logro de la interoperabilidad con el Estado y entre ellos mismos.
La ONGEI será la responsable de supervisar el cumplimiento de las políticas y lineamientos de interoperabilidad y de las facilidades brindadas por los organismos del Estado para implementar servicios interoperables basados en los estándares reconocidos propuestos por el GTIE.
5. POLÍTICAS GENERALES
A fin de establecer un marco general y condiciones de desarrollo tecnológico que permitan llevar adelante un esquema de conectividad e interoperabilidad viable, se establecen las siguientes políticas generales:
Enfoque de Sistemas. El desarrollo de Sistemas de Información y las soluciones informáticas del Estado deberán ser enmarcadas en un modelo de negocio integrado y contemplando el entorno en el que interopera la organización.
Estándares Abiertos. Se define la adopción fundamentalmente de estándares abiertos en las especificaciones técnicas de las soluciones informáticas del Estado. En el caso de la interacción con el sector privado, se respetará la plataforma establecida en cada caso y se establecerá un plan de operación temporal.
Estándares Internacionales. Los estándares y patrones establecidos por el Estado, deberán mantener la mayor correspondencia posible con los Estándares Internacionales de reconocimiento mundial, regional y nacional, según esté disponible, en dicho orden de prioridad.
Software Libre. El Estado preferirá emplear esta tecnología cuando existan soluciones y componentes en software libre, preferirá asimismo la libre disponibilidad del código fuente -entre otras- por razones de seguridad, las que deberán contar con el soporte técnico sólido correspondiente y con la capacidad comprobada de soportar eficientemente los servicios electrónicos, de acuerdo con la Resolución Jefatural N° 199-2003-INEI.
Independencia tecnológica y soporte técnico. Todas las especificaciones y soluciones informáticas, deben estar ampliamente apoyadas por soporte técnico alternativo en el mercado, evitando la dependencia tecnológica y reduciendo los riesgos de su adopción.
Intercambio Electrónico de Datos en el marco de la colaboración entre entidades del Estado. Las relaciones entre entidades se rigen por el criterio de colaboración, sin que ello importe renuncia a la competencia propia señalada por ley. El criterio de colaboración no debe atentar contra la calidad del servicio prestado, esto es, no se debe disminuir ni degradar la prestación del servicio y tampoco debe de causar perjuicio a los colaboradores en el sentido de infringir gastos en infraestructura de
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
10
Tecnología Informática y de Telecomunicaciones TICs a efectos de realizar dicha colaboración.
Intercambio Electrónico de Datos en el marco de Naciones Unidas (UN/EDI). El Estado Peruano adopta en forma homologada, para lo que esté establecido, las normas internacionales que en materia de normalización están definidas por Naciones Unidas en particular en materia de definición de datos, para su intercambio electrónico.
ISO. En todo lo que esté establecido, se considerará en forma prioritaria los estándares de la International Organization for Standardization (ISO), especialmente los que se han constituido en Norma Técnica Peruana por INDECOPI.
XML. Se adopta como estándar primario el Extensible Markup Language para la definición, transmisión, validación e interpretación de datos entre aplicaciones en el intercambio electrónico de datos.
Seguridad y privacidad de la información. Todos los organismos responsables de los servicios electrónicos del Estado implementarán progresivamente medios seguros, garantizando la privacidad de la información y respetando lo dispuesto en la legislación peruana en materia de validez, seguridad y protección de datos.
Desarrollo de Metadatos del Estado. Basado en estándares internacionales, se adopta un Modelo Arquitectural General de Datos del Estado, cuyo Metadatos es actualizado por las entidades del Estado, bajo la administración y responsabilidad de la ONGEI.
OGC. Open Geospatial Consortium; las entidades del Estado que generen, desarrollen e implementen aplicaciones que incorporen datos espaciales deberán implementar progresivamente aquellos estándares que faciliten el intercambio de la información geográfica
6. GESTIÓN DE LA PLATAFORMA DE INTEROPERABILIDAD DEL GOBIERNO
ELECTRÓNICO
La plataforma de interoperabilidad del Gobierno Electrónico es una definición sistémica y dinámica que requiere contar con atributos de coordinación y cohesión integrada. Es por ello que se requiere establecer los mecanismos que permitan tomar las acciones oportunas y prospectivas, que devengan de los cambios en los procesos y en las tecnologías, aplicando para ello inteligencia colaborativa y estableciendo los mecanismos de definición de políticas, identificación y reconocimiento de estándares que permitan hacer el balance entre los cambios y la estabilidad de dicha plataforma.
6.1. Estrategia de Gestión
La plataforma de interoperabilidad del Gobierno Electrónico establece un esquema de versiones, debiendo estos ser revisados en forma continúa por el GTIE, fundamentalmente para la publicación de adendas de mejora a fin de generar la publicación de una nueva versión en -al menos- un evento especializado anual.
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
11
6.2. Conformación del Grupo de Trabajo
6.2.1. Integrantes del Grupo de Trabajo
El Grupo de Trabajo de Interoperabilidad del Estado - GTIE está conformado por los siguientes miembros: • El Jefe de la Oficina Nacional de Gobierno Electrónico e Informática
– ONGEI de la PCM, quien la presidirá; • Un representante del Ministerio de Transportes y Comunicaciones • Un representante de la Superintendencia Nacional de
Administración Tributaria - SUNAT • Un representante del Registro Nacional de Identificación y Estado
Civil – RENIEC • Un representante del Instituto Nacional de Defensa de la
Competencia y de la Protección de la Propiedad Intelectual - INDECOPI-
6.2.2. Del Secretario del GTIE
• El Secretario será el representante de la Superintendencia Nacional
de Administración Tributaria.
• Entre las funciones a cargo del Secretario están las siguientes:
1. Convocar, por encargo del Presidente del GTIE, a las sesiones ordinarias y extraordinarias;
2. Preparar la agenda y los documentos que correspondan para
cada sesión;
3. Redactar las actas de las sesiones y servir de depositario de ellas;
4. Brindar apoyo administrativo y logístico al GTIE;
5. Presentar en cada reunión del GTIE, informes sobre el avance
de las labores encomendadas por éste, para lo cual solicitará a los Presidentes de los Sub Grupos de Trabajo la información respectiva.
6. Presentar al GTIE, para su consideración, planes, programas,
proyectos de dispositivos normativos, otros trabajos realizados al interior de ésta, elaborados por los Sub Grupos de Trabajo, relacionados con el tema de Interoperabilidad en el Estado;
7. Solicitar información y documentación a otras entidades
públicas, entidades privadas o especialistas;
8. Coordinar y realizar el seguimiento de las labores de los grupos de trabajo y llevar el registro de reuniones de dichos
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
12
grupos, para lo cual los Coordinadores de los Sub Grupos de Trabajo informarán mensualmente de sus actividades al Secretario.
9. El Secretario podrá solicitar a las entidades públicas o
privadas y especialistas, el asesoramiento, información y apoyo necesarios para el cumplimiento de la labor encomendada.
10. Las demás que le encomiende el Presidente del GTIE.
6.2.3. De los Sub Grupos de Trabajo
El GTIE podrá contar con Sub Grupos de Trabajo que colaborarán con su gestión. Los Sub Grupos se referirán a áreas específicas que son:
SUB GRUPOS DE TRABAJO COORDINADORES Sub Grupo N°. 1: Interconexión MTC
Sub Grupo N°. 2: Seguridad ONGEI – PCM
Sub Grupo N°. 3: Organización e Intercambio de Información SUNAT
Sub Grupo N°. 4: Medios de Acceso RENIEC
6.2.4. Funciones de los Sub Grupos de Trabajo
1. Proponer los planes de seguimiento y evaluación del Plan de Interoperabilidad del Estado Peruano (PIEP).
2. Opinar y proponer estándares y especificaciones de interoperabilidad
para el Estado Peruano, en la materia que le compete.
3. Atender los requerimientos de estudio para el mejoramiento o incorporación de nuevas especificaciones.
4. Opinar sobre la baja o derogatoria de los estándares y especificaciones
de interoperabilidad.
5. Opinar sobre la propuesta de directivas, lineamientos, requisitos, condiciones, ambiente, metodologías y procedimientos, para una adecuada aplicación de los estándares y especificaciones.
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
13
6. Emitir opinión técnica y hacer propuestas, a pedido de la ONGEI, en caso de controversia o dudas respecto a los estándares y especificaciones de interoperabilidad.
7. Otros que se encomiende a cada Sub Grupo en la resolución que lo
conforme.
CAPITULO II ESTÁNDARES Y ESPECIFICACIONES DE INTEROPERABILIDAD
DEL ESTADO PERUANO 7. INTERCONEXIÓN
7.1. Políticas técnicas
1. Los organismos deberán interconectarse utilizando Ipv4 y planeando su
futura migración para Ipv6. Las nuevas contrataciones y actualizaciones de redes deben contemplar soporte a la coexistencia de los protocolos Ipv4 e Ipv6 y a productos que contemplen ambos protocolos.
2. Los sistemas de mensajería electrónica de documentos electrónicos de
carácter no repudiable (firmados digitalmente) deben estar basados en los domicilios electrónicos, especificados en la Guía de Acreditación de software (SW) y en la Guía de Servicios de Valor Añadido (SVA) aprobados por la Autoridad Administrativa Competente, INDECOPI.
3. Los sistemas de correo electrónico deben utilizar SMTP/MIME para el
transporte de mensajes. Para acceso a los mensajes, se deben utilizar protocolos POP3 y/o IMAP, y se promueve el uso de interfaces Web para el acceso al correo electrónico, teniendo siempre en cuenta aspectos de seguridad.
4. Los organismos deben usar un esquema de Directorio compatible, no
propietario e interoperable.
5. Los organismos deben obedecer la política de nombramiento de dominios establecida por el Sistema Peruano de Nombres de Dominio (ccTLD pe).
6. El DNS - Domain Name System - se debe utilizar para la resolución de
nombres de dominios en Internet, convirtiéndolos en direcciones IP e, inversamente, convirtiendo direcciones IP en nombres de dominio.
7. Los protocolos FTP y/o HTTP deben ser utilizados para transferencia
de archivos, observando sus funcionalidades para recuperación de interrupciones y seguridad, cuando sea necesario. El protocolo HTTP debe ser priorizado para transferencia de archivos oriundos de páginas de sitios de Internet.
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
14
8. Siempre que sea posible, se debe emplear tecnología basada en la Web en aplicaciones que utilizaron Emulación de Terminal, anteriormente.
9. La tecnología de Web Services es recomendada como estándar de
interoperabilidad entre los organismos.
10. Los Web Services deberán ser registrados y ubicarse en estructuras de directorio compatibles con el estándar UDDI. El protocolo de acceso a esa estructura deberá ser el HTTP.
11. El protocolo SOAP es recomendado para la comunicación entre los
clientes y los Web Services y la especificación del servicio deberá utilizar el lenguaje WSDL.
12. Los Web Servicies para datos Espaciales emplearán los estándares
XML y SOAP
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
15
7.2. Especificaciones técnicas
Componente Especificación SIT Observaciones A : Adoptado
R : Recomendado T : En transición E : En estudio F : Estudio futuro
Protocolo de transferencia de hipertexto
Utilizar HTTP/1.1 (RF 2616) y/o HTTPS (RFC 2660) A
Transporte de mensaje electrónico
Utilizar productos de mensajería electrónica que soporten interfaces en conformidad con SMTP/MIME para transferencia de mensajes. RFCs correlacionadas: RFC 2821, RFC2822, RFC 2045, RFC 2046, RFC 2646, RFC 2047, RFC 2231, RFC 2183, RFC 2048, RFC 3023 y RFC 2049
R
Envío de calendarios
Para enviar calendarios de eventos y/o citas, se debe utilizar el estándar iCalendar: RFC 2445.
Aplicaciones móviles
El protocolo WAP 2.0 deberá utilizarse para la comunicación de aplicaciones inalámbricas, de acuerdo a lo definido por la Open Mobile Alliance (OMA). Para mostrar el contenido se utilizará el lenguaje XHTML-MP y WCSS. http://www.wapforum.org/what/WAPWhite_Paper1.pdf
R
Envío de modelos UML
Para compartir modelos de UML, se debe de utilizar el estándar XMI de la OMG. ISO 19503:2005 Information technology - XML Metadata Interchange (XMI).
R
Seguridad de contenido de mensaje electrónico
El S/MIME v3.1, deberá utilizarse cuando sea apropiado para seguridad de contenido de mensajes generales del Gobierno, a menos que los requisitos de seguridad determinen otra forma. RFCs correlacionadas: RFC 3852, RFC 2631, RFC 3850 y RFC 3851
R
Acceso al apartado postal
A excepción de que las exigencias de seguridad lo determinen de otra manera, programas de correo deberán, como mínimo, estar de acuerdo con POP3 para acceso remoto al apartado postal. RFCs correlacionadas: RFC 1939, RFC 1957 y RFC 2449. Los programas de correo que ofrecen facilidades avanzadas de acceso a la correspondencia, deberán estar de acuerdo con IMAP para acceso remoto al apartado postal (siempre teniendo en cuenta las políticas de seguridad). RFCs correlacionadas: RFC 3501, RFC 2342, RFC 2971, RFC 3502, RFC 3503, RFC 3510 Y RFC 2910.
R
Acceso seguro al apartado postal
El acceso al apartado postal, por medio de redes no seguras, deberá utilizar HTTPS, de acuerdo con los padrones de seguridad en el transporte. Cuando sea necesario utilizar IMAP o POP, usarlo a través de TLS, según RFC 2595.
R
Directorio Utilizar el esquema de Directorio central, basado en LDAP v3. R Servicios de nombramiento de dominio
El DNS debe ser utilizado para resolución de nombres de dominios Internet, conforme la RFC 1035. Siguiendo las políticas y formativas de Sistema Peruano de
A
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
16
Componente Especificación SIT Observaciones Nombres de Dominio.
Los dominios del estado deben seguir la directiva No. 010- 2002-INEI/DTPN que regula la utilización de nombres de dominio en las entidades de la Administración Pública emitida por INEI, y las demás que le sean aplicables en el presente reglamento.
Direcciones de apartado postal electrónico
Se debe revisar si existe una norma a nivel Gobierno, pero al parecer está definido por cada institución.
E
Protocolos de transferencia de archivos
FTP (RFC 959 y RFC 2228) (con reinicio y recuperación) y HTTP (RFC 2616) para transferencia de archivos.
R
Protocolos de señalización
Uso del Protocolo de Inicialización de Sesión (SIP), definido por la RFC 3261, como protocolo de control en la camada de aplicación (señalización) para crear, modificar y terminar sesiones con uno o más participantes.
R
Mensajería en tiempo real
El modelo y requisitos para Instant Messaging and Presence Protocol (IMPP) son definidos por la RFC 2778 y RFC 2779
T
El modelo y requisitos para Extensible Messaging and Presence Protocol (XMPP) son definidos por la RFC 3920 y RFC 3921
R
Servicio de mensajes cortos
El Servicio de Mensajes Cortos (SMS por sus siglas en inglés) deberá utilizar el protocolo SMPP, de acuerdo a lo definido por el SMS Forum.
R
Intercomunicación LAN/WAN
IPv4 (RFC 791) A Ipv6 (RFC 2460) E
Transporte TCP (RFC 793) UDP (RFC 768) cuando sea necesario, siempre sometido a las limitaciones de seguridad
R
Tráfico avanzado Cuando sea necesario, el tráfico de red puede ser optimizado por el uso del MPLS (RFC 3031), debiendo este poseer, como mínimo, cuatro formas de servicio.
R
Red local inalámbrica
Se debe utilizar la norma IEEE 802.11 b/g, en conformidad con las determinaciones del Wi-Fi Alliance.
R
Red metropolitana inalámbrica
Se debe utilizar la norma IEEE 802.16, en conformidad con las determinaciones del WiMax Forum.
Información Geográfica distribuida
Se debe utilizar la especificación de OpenGIS Web Feature Service (WFS) para requerir datos espaciales en forma de entidades vectoriales a partir de consultas a bases de datos geográficas distribuidas, mediante GML
R
Mapas georeferenciados distribuidos
Se debe utilizar la especificación de OpenGIS WebMap Service para requerir datos espaciales en forma de imágenes georeferenciadas a partir de consultas a bases de datos geográficas distribuidas
7.3. Web Services
Se puede definir el término Web Services como un servicio disponible en la red (Internet o Intranet) que utilice un sistema estándar – XML – para cambiar mensajes, independiente del sistema operativo operacional o lenguaje de programación, con dos propiedades básicas:
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
17
a. Publicable: Al crear un Web Service, su publicación debe ser hecha mediante registro en un catálogo de servicios para que potenciales usuarios puedan encontrarlo y utilizarlo de ser el caso. El catálogo puede utilizar UDDI.
b. Auto describible: Los Web Services ofrecen una descripción completa de
sus servicios y de cómo los usuarios podrán crear aplicaciones para interactuar con ellos. Esa descripción es realizada a través de WSDL.
La necesidad de integración entre los diversos sistemas de información del Gobierno, implementados en diferentes tecnologías conlleva la adopción de un estándar de interoperabilidad que garantice escalabilidad, facilidad de uso, además de brindar la capacidad de actualización de forma simultánea.
En ese contexto, se entiende que el uso de Web Services, es adecuado para esas necesidades.
El soporte de Web Services para integración directa con otras aplicaciones de software utiliza mensajes escritos en XML como estándar de interoperabilidad. Esos mensajes son involucrados en protocolos de aplicación estándar de Internet (SOAP).
Componente Especificación SIT Observaciones A : Adoptado
R : Recomendado T : En transición E : En estudio F : Estudio futuro
Protocolo de intercambio de informaciones
Utilizar SOAP v1.2 como definido por el W3C. http://www.w3.org/TR/soap12-part1 http://www.w3.org/TR/soap12-part2
R
Infraestructura de registro
Utilizar la especificación UDDI v3.0.2 (Universal Description, Discovery and Integration por sus siglas en inglés)definida por OASIS http://uddi.org/pubs/uddi_v3.htm
R
Lenguaje de definición del servicio
WSDL 1.1 (Web Services Description Language) como definido por la W3C. http://www.w3.org/TR/wsdl
R
WSDL 2.0 (Web Services Description Language) como definido por la W3C. http://www.w3.org/TR/wsdl20
E
Perfil básico de interoperabilidad
Basic Profile 1.1 SE, como definido por la WS-I http://www.ws-i.org/Profiles/BasicProfile-1.1.html
E
Portles Remotos WSRP 1.0 (Web Services for Remote Portles) como definido por OASIS. http://www.oasis-open.org/committees/wsrp
E
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
18
Componente Especificación SIT ObservacionesMashup Aplicación Web híbrida, que utiliza contenido de
distintas webs para generar un contenido más rico y completo.
E Actualmente la W3C está en proceso de crear un estándar para su manejo.
7.4. Mensajería electrónica
7.4.1. Certificación Digital
Para el caso de los documentos electrónicos de carácter no repudiable, específicamente los generados mediante Servicios de Certificación Digital (PKI), la mensajería electrónica se realizará a través de Sistemas de Intermediación Digital (SID), como se especifica en el Reglamento de la Ley de Firmas y Certificados Digitales, Ley N° 272693, en la SECCIÓN III, De los Prestadores de Servicios de Valor Añadido.
La operación de los SID están regulados por la Autoridad Administrativa Competente a través de las respectivas Guías de Acreditación (Guía de Acreditación de Servicios de Valor Añadido SVA) y las Guías de Acreditación de Software.
7.4.2. Correo electrónico
Transporte de mensaje electrónico El transporte de mensaje electrónico es definido como la interfaz entre dos sistemas de correo.
Acceso al apartado postal Acceso al apartado postal es definido como la interfaz entre un cliente de correo y un sistema de correo.
Red Privada Virtual VPN por sus siglas en inglés (Virtual Private Network), es un túnel virtual privado construido sobre la infraestructura de una red pública o privada. En vez de servirse de circuitos digitales dedicados o redes de paquetes para conectar redes remotas, utiliza usualmente, de la infraestructura de la Internet.
Dicha utilización, como infraestructura de conexión entre servidores de la red privada, es una buena solución en término de costos, pero no en lo que se refiere a privacidad, pues los datos en tránsito pueden ser leídos por cualquier equipo, siendo necesario el uso de la VPN.
Los túneles virtuales trasmiten datos cifrados sobre redes públicas o privadas, formando un canal virtual seguro a través de esas redes. Por tanto, se utilizan protocolos de túneles virtuales.
3 Aprobado por Decreto Supremo N° 052-2008-PCM, el 18 de julio de 2008 y publicado en el diario oficial El Peruano el 19 del mismo mes.
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
19
Los dispositivos responsables por la administración de la VPN deben ser capaces de garantizar privacidad, integridad y autenticidad de los datos.
7.5. Redes punto a punto
También conocidas por las siglas P2P, son sistemas distribuidos que consisten en nodos interconectados con capacidad de auto organización en topologías de red, con el objetivo de compartir recursos como procesamiento, almacenamiento y anchura de banda, capaces de adaptación a fallos y acomodar poblaciones de nodos, mientras mantienen conectividad y resultados aceptables, sin depender de la intermediación o soporte de una autoridad (servidor) central.
8. SEGURIDAD
8.1. Políticas técnicas
1. Los datos, informaciones y sistemas de información del Gobierno deben
ser protegidos contra amenazas y vulnerabilidades para así reducir riesgos y garantizar la integridad, confidencialidad y disponibilidad.
2. Los sistemas operativos para aplicaciones de servidores que almacenan
información y bases de datos relativas a los ciudadanos y aquéllas concernientes a aspectos de la seguridad nacional, preferentemente deben de permitir disponer libremente del código fuente de dichos sistemas operativos.
3. Los datos e informaciones deben ser mantenidos con el mismo nivel de
protección, independiente del medio en que sean procesados, almacenados o en tránsito.
4. Las informaciones que transitan en redes inseguras, incluyendo aquellas
inalámbricas, deben adoptar los controles de seguridad necesarios.
5. Los requisitos de seguridad de la información, de los servicios y de infraestructura deben ser identificados y tratados de acuerdo con la clasificación de la información, niveles de servicio definidos y resultado del análisis de riesgo.
6. La seguridad debe ser tratada de forma preventiva. Para los sistemas que
dan soporte a procesos críticos se deben elaborar planes de continuidad, en los cuales serán tratados los riesgos residuales tratando de atender los niveles mínimos de producción.
7. La seguridad es un proceso que debe estar presente en todas las etapas
del ciclo de desarrollo del sistema y todos los componentes relacionados a la comunicación.
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
20
8. Los sistemas deben poseer registros históricos (logs) para permitir auditorías y pruebas forenses, siendo imprescindible la adopción de un sistema de sincronismo de tiempo, bien como se deben utilizar mecanismos que garanticen la autenticidad de los registros almacenados, prioritariamente con firma digital.
9. Los servicios de seguridad de XML deben estar en conformidad con las
especificaciones del W3C.
10. En las redes inalámbricas metropolitanas se recomienda la adopción de valores variables en las asociaciones de seguridad, diferentes identificadores para cada servicio y la limitación del tiempo de vida de las llaves de autorización.
11. El uso de criptografía y certificación digital, para la protección del tráfico,
almacenamiento de datos, control de acceso, firma digital y firma de código, debe estar en conformidad con las Guías de Acreditación respectivas aprobadas por la Autoridad Administrativa Competente INDECOPI.
12. La documentación de los sistemas, de los controles de seguridad y de las
topologías de los ambientes debe ser mantenida actualizada y protegida.
13. Los usuarios deben conocer sus responsabilidades respecto a la seguridad y deben estar capacitados para la realización de sus tareas y utilización correcta de los medios de acceso.
14. Los organismos de la administración pública, teniendo como objetivo la
mejora de la seguridad, deben tener como referencia la norma NTP ISO/IEC 17799:2007 EDI código de buenas prácticas para la gestión de la seguridad de la información.
8.2. Especificaciones técnicas
8.2.1. Seguridad de IP Componente Especificación SIT Observaciones A = Adoptado
R =Recomendado T = En transición E = En estudio F = Estudio futuro
Transferencia de datos en redes inseguras por los protocolos HTTP, LDAP, IMAP, POP3, Telnet siempre que sea posible. – Seguridad de redes IPv4 en la capa de transporte
TLS – Transport Layer Security, RFC4346(http://www.ietf.org/rfc/rfc4346.txt).
HTTP sobre TLS, RFC 2818 (http://www.ietf.org/rfc/rfc2818.txt) Pudiendo implementar los siguientes algoritmos criptográficos:
- Algoritmos para cambio de llaves de sesión, durante el handshake: RSA, Diffie-Hellman RSA, Diffie-Hellman DSS, DHE_DSS, DHE_RSA;
- Algoritmos para definición de llave de cifra: RC4,
R
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
21
Componente Especificación SIT Observaciones IDEA, 3DES, AES;
- Algoritmos que implementan la función de hash para definición del MAC: SHA-256 o SHA-512.
- Tipo de Certificado Digital - X.509 v3
SASL - Simple Authentication and Security Layer, RFC 4422 (http://www.ietf.org/rfc/rfc4422.txt).
Seguridad de redes Ipv4
IPSec Authentication Header RFC 2402 y RFC 2404 para autenticación de cabecera del IP. http://www.ietf.org/rfc/rfc2402.txt http://www.ietf.org/rfc/rfc2404.txt
IKE v.2 – Internet Key Exchange, RFC 4306 (http://www.ietf.org/rfc/rfc4306.txt), debe ser utilizado siempre que necesario para negociación de la asociación de seguridad entre dos entidades para cambio de material de cierre.
ESP – Encapsulating Security Payload, RFC 4303 (http://www.ietf.org/rfc/rfc4303.txt) Requisito para VPN – Virtual Private Network.
R
Seguridad de redes IPv4 para protocolos de aplicación
El S/MIME v3.1 ,RFC3851 (http://www.ietf.org/rfc/rfc3851.txt) deberá ser utilizado cuando sea apropiado para seguridad de mensajes generales de Gobierno.
R
Seguridad de redes IPv6 en la capa de red
El IPv6 definido en la RFC2460(http://www.ietf.org/rfc/rfc2460.txt) presenta Implementaciones de seguridad nativas en el protocolo. Las especificaciones del IPv6 definieron dos mecanismos de seguridad: la autenticación de encabezamiento AH (Authentication Header) RFC4302 (http://www.ietf.org/rfc/rfc4302.txt) o autenticación IP, y la seguridad del ambiente IP, ESP (Encrypted Security Payload) RFC4305 (http://www.ietf.org/rfc/rfc4305.txt).
R
8.2.2. Seguridad de correo electrónico
Componente Especificación SIT Observaciones A = Adoptado
R =Recomendado T = En transición E = En Estudio F = Estudio futuro
Acceso a casilleros electrónicos
El acceso al casillero electrónico deberá suceder porintermedio del cliente del software de correo electrónico utilizado, considerando las facilidades de seguridad nativas del cliente. Cuando no sea posible utilizar el cliente específico o sea necesario acceder al casillero electrónico a través de redes no seguras (por ejemplo: Internet) se debe utilizar HTTPS de acuerdo con los padrones de seguridad de transporte descritos en la RFC 2595 (http://www.ietf.org/rfc/rfc2595.txt), que trata de la utilización del TLS con IMAP, POP3 y ACAP.
R
Contenido de El S/MIME V3 deberá ser utilizado cuando sea R
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
22
Componente Especificación SIT Observaciones A = Adoptado
R =Recomendado T = En transición E = En Estudio F = Estudio futuro
Algoritmo de cifrado DES, 3DES o AES, SKIPJACK R Algoritmo para firma DSA
Algoritmos de Hashing SHA-1, SHA 224, SHA-256, SHA R Algoritmos asimétricos RSA, Eliptic Curve DSA R Algoritmo de intercambio de clavespúblicas KEA R Formatos estándar para certificados de claves públicas X.509 v3, ETSI TS 102 280
R
Formatos de nombres para certificados de claves públicas X.500, X.501, X.509, X.521
R
Requisitos de seguridad para módulos criptográficos.
FIPS 140-2 – requisitos mínimos para las soluciones de almacenamiento de llaves privadas y certificados digitales que utilizan dispositivos tanto de software como de hardware tipo token o smart card, Adherencia al estándar: Utilizar los niveles del 1 al 4 de acuerdo a la sensibilidad de la información manejada.
R
Gestión de sistemas EC de confianza CWA 14167(1-4)
R
Conformidad con las Directivas CEN para apropiación y operación de EC CWA 14172 (1-8)
R
Dispositivos de creación de firmasegura CWA 14355 R
Uso de las Firmas Electrónicas: Aspectos legales y técnicos CWA 14365 (1-2)
R
Interfaz de aplicación para tarjetas inteligentes utilizadas como dispositivos de creación de firma segura
CWA 14890 (1-2) R
Infraestructuras y firmas electrónicas (ESI) – Algoritmos y Parámetros para firmas electrónicas seguras
ETSI SR 002 176
R
e-mail adecuado para seguridad de mensajes generales de Gobierno. Eso incluye RFC 3369 (http://www.ietf.org/rfc/rfc3369.txt), RFC 3370 (http://www.ietf.org/rfc/rfc3370.txt), RFC 2631 (http://www.ietf.org/rfc/rfc2631.txt), RFC 3850 (http://www.ietf.org/rfc/rfc3850.txt) y RFC 3851 (http://www.ietf.org/rfc/rfc3851.txt).
Firma Utilizar estándar de firma digital para la firma de e-mail,cuando sea necesario.
R
8.2.3. Criptografía y PKI
384, SHA-512, RFC 1231
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
23
Componente Especificación SIT Observaciones
Perfil de estampa de tiempo ETSI TS 101 861
R
Infraestructuras y firmas electrónicas (ESI) – Requisitos de Política para Autoridades de Time-Stamping
ETSI TS 102 023
R
Infraestructuras y firmas electrónicas (ESI) – Armonización Internacional de Requisitos de Política para EC
ETSI TS 102 040
R
Requisitos de Política para EC que emiten Certificados de Clave Pública ETSI TS 102 042
R
Juegos de caracteres arbitrarios IETF RFC 373
R
Certificados Digitales, gestión de claves y Lista de Certificados Revocados (CRL)
IETF RFC 1422
R
Protocolo OCSP X.509 para PKI IETF RFC 2560
R
Certificado y perfil CRL X.509 para PKI IETF RFC 2459, IETF RFC 3280
R
Perfil de certificados calificados X.509 para PKI IETF RFC 3039
R
Formato de conversión de la norma ISO 10646 IETF RFC 3629
R
Sistema básico de Política de Certificados y Prácticas de Certificación X.509 para PKI
IETF RFC 3647 R
Criptografía RSA PKCS#1
R Acuerdo de clave Diffie-Hellman PKCS#3
R
Criptografía basada en contraseña PKCS#5
R
Sintaxis de mensaje criptográfico PKCS#7
R
Sintaxis de información de clave privada PKCS#8
R
Clases de objetos seleccionados y tipos de atributos PKCS#9
R
Sintaxis de solicitud de certificación PKCS#10 R
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
24
Componente Especificación SIT Observaciones Interfaz de token criptográfico PKCS#11
R
Intercambio de información personal PKCS#12
R
Formato estándar de la información del token criptográfico PKCS#15
R
Lineamientos para Declaración de Prácticas de Certificación (CPS) y Políticas de Certificados (CP)
RFC 3647 (RFC2527)
R
Diagrama LDAPv2 X.509 para PKI RFC 2587
R
HTTP sobre TLS RFC 2818 R Requisitos para validación de ruta delegada y para el protocolo de descubrimiento de Ruta Delegada
RFC 3379 R
Generadores de números aleatorios (RNG) FIPS 140-2 Anexo C
R
Generadores determinísticos de bit aleatorios (DRBG) NIST SP 800-90
R Algoritmo MAC basado en cifrado de bloques (CMAC) NIST SP 800-38B
R
Contador con modo de encadenamiento de bloques cifrados (Counter Chipre-block chaining mode - CCM)
NIST SP 800-38C
R
Suma de chequeo para corroborar la integridad de los datos (Keyed – Hashing for Message Authentication)
FIPS 198 R
Requisitos de seguridad para módulos criptográficos: hardware y firmware
FIPS 140-2
R
Microcontrolador y Unidad de Procesamiento Numérico (NPU) suplementario capaces de calcular operaciones criptográficas acordes con PKCS#11 y PKCS #15, de conformidad con los requisitos del ISO/IEC 7816-1 al 7816-5
ISO 7816 1-5
R
Certificación para tarjeta inteligente Certificación EMC
R
Protocolo de sello de tiempo (TSP) X.509 para PKI RFC 3161
R
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
25
Componente Especificación SIT Observaciones Requerimientos de políticas para autoridades de sello de tiempo (TSA) RFC 3628
R
Protocolo TSL RFC 2246 R Protocolos de administración de certificados X.509 para PKI RFC 2510
R
Sintaxis para mensajes criptográficos RFC 2630
R
Optimización de los servicios de seguridad para S/MIME RFC 2634
R
Proveedor de servicios criptográficos en el sistema operativo del chip en tarjeta inteligente
Software CSP R
Formato de firma electrónica para formas electrónicas a largo plazo RFC 3126
R
8.2.4. Seguridad para desarrollo de sistemas
Componente Especificación SIT Observaciones A = Adoptado
R = Recomendado T = En transición E = En Estudio F = Estudio futuro
Firmas XML Sintaxis y Procesamiento de firma XML (XMLsig)conforme definido por el W3C http://www.w3.org/TR/xmldsig-core/
R
Cifra XML Sintaxis y Procesamiento de Cifra XML (XMLenc)Conforme definido por el W3C http://www.w3.org/TR/xmlenc-core/
R
Firma y cifra XML
Transformación de decodificación para firma XML conforme definido por el W3C http://www.w3.org/TR/xmlenc-decrypt
R
Principales gestiones XML cuando un ambiente PKI es utilizado
XML – Key Management Specification (XKMS 2.0)(Especificaciones de Gestión de Llave XML) conforme definido por el W3C http://www.w3.org/TR/xkms2/
R
Autenticación y autorización de acceso XML
SAML – conforme definido por el OASIS cuando un ambiente ICP es utilizado http://www.oasisopen.org/committees/security/index.s HTML
R
Intermediación oFederación de Identidades
WS-Security 1.1 - conjunto de estándares para garantizar integridad y confidencialidad en mensajes SOAP. (http://docs.oasisopen.org/wss/2004/01/oasis-200401 -wss-soapmessage-security-1.0.pdf).
WS-Trust 1.3 – extensiones para el estándar WSSecurity, definiendo el uso de credenciales de seguridad y gestión de confianza distribuida. (http://docs.oasis-open.org/ws-sx/ws-trust/200512).
E El componente anterior (SAML) podrá juntarse a este componente después de estudios.
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
26
8.2.5. Seguridad para servicios de red
Componente Especificación SIT Observaciones A = Adoptado
R = Recomendado T = En transición E = En estudio F = Estudio futuro (http://www.ietf.org/rfc/rfc2251.txt).
Directorio LDAPv3 RFC 3377LDAP v3 extensión para TLS RFC3377 (http://www.ietf.org/rfc/rfc3377.txt).
R
DNS Resolución no. 7 de 29/07/2002 – Comité Ejecutivo del Gobierno Electrónico Prácticas de Seguridad para Administradores de Redes Internet NIC BR Security Office http://www.nbso.nic.br/docs/seg-adm-redes/seg- admchklist.pdf
Versión 1.2 16 de mayo de 2003 Securing an internet name server, CERT – ago/2002.
R
Transferencia dearchivos de forma segura
HTTPS RFC 2818 (http://www.ietf.org/rfc/rfc2818.txt). Securing FTP with TLS, RFC 4217 http://www.faqs.org/rfcs/rfc4217.html y RFC 2246 http://www.faqs.org/rfcs/rfc2246.html
R E
Mensaje instantáneo
RFC 2778 (http://www.ietf.org/rfc/rfc2778.txt),RFC 3261 (http://www.ietf.org/rfc/rfc3261.txt), RFC 3262 (http://www.ietf.org/rfc/rfc3262.txt), RFC 3263 (http://www.ietf.org/rfc/rfc3263.txt), RFC 3264 (http://www.ietf.org/rfc/rfc3264.txt) y RFC 3265 (http://www.ietf.org/rfc/rfc3265.txt).
E
Sincronismo de tiempo
RFC 1305 IETF-Network Time Protocol – NTP version 3.0 (http://www.ietf.org/rfc/rfc1305.txt). RFC 2030 IETF- Simple Network Time Protocol - SNTP version 4.0 (http://www.ietf.org/rfc/rfc2030.txt).
R
Sello de tiempo RFC 3628 TSAs - Policy Requirements for Time-Stamping Authorities (http://www.ietf.org/rfc/rfc3628.txt), Time-Stamp Protocol, RFC 3161 ETSI TS101861 (Time-Stamping Profile) (http://www.ietf.org/rfc/rfc3161.txt)
R
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
27
8.2.6. Seguridad para redes inalámbricas
Componente Especificación SIT Observaciones A = Adoptado
R = Recomendado T = En transición E = En estudio F = Estudio futuro
MAN4
inalámbrico 802.16-20045
802.16.2- 20046
802.16e7 e 802.16f8
Utilizar PKM-EAP (Privacy Key Management - ExtensibleAutentication Protocol) com: • EAP – TLS ou TTLS; • AES (Advanced Encryption Standard). http://csrc.nist.gov/CryptoToolkit/aes/rijndael/Rijndael.pdf.
E
LAN inalámbrico 802.11
Utilizar la especificación WPA2 (Wi-Fi Protect Access). R
8.2.7. Seguridad para colecta, tratamiento y archivo de evidencias
Componente Especificación SIT Observaciones A = Adoptado
R =Recomendado T = En transición E = En Estudio F = Estudio futuro
Preservación de registros
Guidelines for Evidence Collection and Archiving,RFC 3227 (http://www.ietf.org/rfc/rfc3227.txt).
R Respuesta a incidentes
Expectations for Computer Security Incident Response, RFC 2350 (http://www.ietf.org/rfc/rfc2350.txt).
R
Informática forense
Guide to Integrating Forensic Techniques into IncidentResponse – NIST - Special Publication 800-86 (Draft) – (http://csrc.nist.gov/publications/nistpubs/800-86/SP8 00-86.pdf).
R
4 El 802.16 es definido por el IEEE como una interfaz tecnológica para redes de acceso inalámbrico metropolitanas o WMAN (Wireless Metropolitan Access Network). 5 http://standards.ieee.org/getieee802/download/802.16-2004.pdf. 6 http://standards.ieee.org/getieee802/download/802.16.2-2004.pdf. 7 http://standards.ieee.org/getieee802/download/802.16e-2005.pdf. 8 http://standards.ieee.org/getieee802/download/802.16f-2005.pdf.
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
28
8.2.8. Gestión de la seguridad de la información
Componente Especificación SIT ObservacionesTecnologías de la información – Técnicas de seguridad - Requerimientos
ISO 27001 R
Tecnologías de la información – Técnicas de seguridad - Código de prácticas para la gestión de la seguridad de la información
ISO 27002 R
Tecnologías de la información – Criterios de evaluación de Técnicas de seguridad para TI
ISO 15408 R
Tecnología de la información – Guías para la gestión de la Seguridad TI – Directrices respecto al tipo de controles que deben ser implementados y deben ser especificados por una EC
ISO/IEC TR13335 R
8.2.9. Infraestructura
Componente Especificación SIT ObservacionesInfraestructura deTelecomunicaciones para Centros de Datos
TIA 942 R
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
29
8.2.10. Usabilidad
Componente Especificación SIT ObservacionesMetodología de usabilidad
ISO/TR 16982:2002: Ergonomics of human-system interaction-- Usability methods supporting human- centred design
R
Guía de interfacesWWW para usuarios
ISO 9241-151:2008: Ergonomics of human-system interaction--Part 151: Guidance on World Wide Web user interfaces
R
Guía de accesibilidad en software
ISO 9241-171:2008: Ergonomics of human-system interaction--Part 171: Guidance on software accessibility
R
CIF para reportesde pruebas de usabilidad
ISO/IEC 25062:2006: Software engineering -- Software product Quality Requirements and Evaluation (SQuaRE) -- Common Industry Format (CIF) forusability test reports
R
Principios y requerimientos para dispositivos físicos de entrada
ISO 9241-400:2007: Ergonomics of human--system interaction -- Part 400: Principles and requirements for physical input devices
R
Criterios de diseño para dispositivos físicos de entrada
ISO 9241-410:2008: Ergonomics of human-system interaction -- Part 410: Design criteria for physical input devices
R
Interfaz de descripción de contenido multimedia
ISO/IEC 15938-9:2005: Information technology -- Multimedia content description interface -- Part 9: Profiles and levels
R
9. ORGANIZACIÓN E INTERCAMBIO DE INFORMACIÓN
9.1. Políticas técnicas
1. Uso de XML para el intercambio de datos.
2. Uso de XML Schema y de UML(cuando sea el caso) para definición de los datos para intercambio.
3. Uso de XSL para transformación de datos.
4. Uso de un estándar de metadatos para la gestión de contenidos
electrónicos.
5. Uso del estándar ISO 19115 para elaboración de metadatos usando como mínimo el perfil básico de metadatos para la gestión de información espacial recomendado por la IDEp
6. Uso del estándar ISO 19139 catálogo de metadatos para los metadatos
en XML. La representación de los metadatos en la web a través de un sistema de transformación dinámica del XML en base a estilos, generalizando lo más posible la representación de los tags del árbol XML del metadato, para que el usuario pueda discriminar fácilmente la información que le hace falta en cada momento.
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
30
7. Uso de la Norma ISO 19128: “Geographic Information – Web Map Server Interface”, para los servicios Web Map Services Permite la superposición visual de información geográfica compleja y distribuida en diferentes tipos de servidores. Tiene establecidas tres tipos de peticiones:
a. GetCapabilities: investiga las capacidades del servidor de mapas
interrogado mediante un mensaje XML. El servidor le devuelve la información mediante otro mensaje XML.
b. GetMap: conociendo las capacidades del servidor, requiere un
mapa mediante un mensaje XML y el servidor interrogado devuelve un mapa en formato ráster (PNG, JPEG, GIF). Estos mapas pueden superponerse al definir colores transparentes.
c. GetFeatureInfo: sobre el mapa devuelto se puede interrogar al
servidor remoto sobre información asociada a algún elemento (que se puede seleccionar, por ejemplo, mediante un clic sobre un pixel del elemento). Tanto la pregunta como la respuesta se vuelven a realizar mediante mensajes XML.
8. Uso del estándar ISO1917 define representación de Información
Geografica.
9. Uso de la Norma ISO 19119:2002 “Geographic Information- Services”
9.2. Especificaciones técnicas GRUPO 1
Componente Especificación SIT Observaciones
A = Adoptado R = Recomendado T = En transición E = En estudio F = Estudio futuro
Lenguaje de Intercambio de datos
XML (Extensible Markup Language) como definido Por el W3C http://www.w3.org/XML
R
Transformación de Datos
XSL (Extensible Stylesheet Language) como definido por el W3C http://www.w3.org/TR/xsl XSL Transformation (XSLT) como definido por el W3C http://www.w3.org/TR/xslt
R
Definición de los datos para intercambio
XML Schema como definido por el W3C: - XML Schema Part 0: Primer http://www.w3.org/TR/2004/RECxmlschema-0-20041028/ - XML Schema Part 1: Structures http://www.w3.org/TR/xmlschema-1/structures - XML Schema Part 2: Datatypes http://www.w3.org/TR/xmlschema-2/datatypes
R
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
31
UML (Unified Modeling Language) como definido por el
OMG http://www.omg.org/gettingstarted/specsandprods.htm/
Descripción de Datos
RDF (Resource Description Framework) como definido por la W3C.
F
Elementos de Metadatos para gestión de contenidos
ebXML(Electronic Business XML). R HL7(Health Level Seven). Definir un catálogo de metadatos del estado. E
Perfil básico de metadatos geograficos IDEP
Perfil Basico de Metadatos IDEP v1.4 SE, por el Grupo de Trabajo Nº 2 IDEPI http://www.ccidep.gob.pe
E
Datos Espaciales http://www.opengeospatial.org/standards Definición de datos
Creación de un catálogo de Padrones de Datos. E
GRUPO 2
Componente Especificación SIT Observaciones
A = Adoptado R = Recomendado T = En transición E = En estudio F = Estudio futuro
Agricultura AgXML http://www.agxml.org/ R Negocios
CXML http://www.cxml.org/ R XAML R IATA http://www.iata.org/index.htm R TOGAF http://www.togaf.org/ R OTA http://www.ota.com/index.html R XCBL http://www.xcbl.org/
UBL http://www.oasis- open.org/committees/tc_home.php?wg_abbrev=ubl
XBRL http://www.xbrl.org/Home/ BSML Acord http://www.acord.org/home/home.aspx# CATXML XCAT
Comercio
GCI http://xml.coverpages.org/gci.html R Rossetanet http://www.rosettanet.org/cms/sites/RosettaNet/
Bolero http://www.bolero.net/ EHD VICS HR-XML http://www.hr-xml.org/hr-xml/wms/hr-xml-1- org/index.php?language=2
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
32
Componente Especificación SIT Observaciones
Petróleo PIDX http://www.pidx.org/ R Industria química CIDX http://www.cidx.org/ R Salud HL7 http://www.hl7.org/ R Industria marítima SMDG http://www.smdg.org/ R Finanzas SWIFT http://www.swift.com/ R Geografia GML http://www.opengeospatial.org/standards/gml R
Opentrans R Construcción E-construct R Comercio electrónico
UNeDocs - Naciones Unidas http://www.unece.org/etrades/unedocs/ R
GRUPO 3:
APLICACIONES
SUNAT:
1. Generación de RUC: i. Web Services:
1. http://wsgr.sunat.gob.pe:8089/ol-ti-etinscripcionsunarp/GeneraRucService ii. Descripción: Genera RUC en SUNAT, previa verificación de datos
recibidos de SUNARP iii. Requisitos:
RENIEC: 2. Validación de DNIs:
i. Web Services: 1. http://wservices.reniec.gob.pe/wsauth/WSAuthentication 2. http://wservices.reniec.gob.pe/wsauth/WSDataVerification
ii. Descripción: Dado el número de DNI, devuelve apellidos y nombres.
iii. Requisitos:
SUNARP: 3. Recepción de datos de CNL:
i. Web Services: 1. http://enlinea.sunarp.gob.pe/webapp/extranet/services/SunarpSer viceProvider?wsdl
ii. Descripción: Recibe datos de notarías que prestan servicios de constitución de empresas en línea.
iii. Requisitos:
PCM: 4. Generación de Código Único de Operación - CUO:
i. Web Services:
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
33
1. http://190.81.122.150/PortalServicios/WS_PSC 2. WSDL:
http://190.81.122.150/PortalServicios/WS_PSC_NOTARIOS. wsdl
ii. Descripción: Genera códigos de operación para trámites que
dependen de 2 o más instituciones. iii. Requisitos:
9.3. XML y Middleware
No todos los sistemas necesitan tener capacidad de comunicarse directamente en XML, en algunos casos es apropiada la utilización de un middleware.
9.4. ebXML
ebXML (Electronic Business eXtensible Markup Language) es un framework que establece las condiciones para hacer comercio electrónico entre las empresas. Proporciona una serie de especificaciones, que deberán ser respetadas por el software y los servicios desarrollados sobre ellas. Se basa en la experiencia acumulada con el EDI (Electronic Data Interchange), pero también saca provecho de nuevas tecnologías que usa, como la flexibilidad de XML y la ubicuidad de Internet.
ebXML es fruto del trabajo conjunto por parte de OASIS (Organization for the Advancement of Structured Information Standards), encargada de la parte tecnológica, y UN/CEFACT (United Nation’s Centre for Trade Facilitation and Electronic Business), que aporta los conocimientos sobre el comercio. Las especificaciones se realizaron en 18 meses y colaboró gente de todo el mundo, siendo la primera versión liberada de mayo del 2001.
9.5. HL7
HL7 (Health Level Seven) es un conjunto de estándares para el intercambio electrónico de información médica. Level Seven hace referencia al nivel siete (aplicación) del modelo OSI. Los estándares HL7 son desarrollados por la organización ANSI del mismo nombre.
Componente Especificación SIT Observaciones
A = Adoptado R = Recomendado T = En transición E = En estudio F = Estudio futuro
Agricultura AgXML http://www.agxml.org/ R Negocios CXML http://www.cxml.org/ R
XAML R IATA http://www.iata.org/index.htm R TOGAF http://www.togaf.org/ R
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
34
Componente Especificación SIT Observaciones
OTA http://www.ota.com/index.html R XCBL http://www.xcbl.org/
UBL http://www.oasis- open.org/committees/tc_home.php?wg_abbrev=ubl
XBRL http://www.xbrl.org/Home/ BSML Acord http://www.acord.org/home/home.aspx# CATXML XCAT
Comercio
GCI http://xml.coverpages.org/gci.html R Rossetanet http://www.rosettanet.org/cms/sites/RosettaNet/
Bolero http://www.bolero.net/ EHD VICS HR-XML http://www.hr-xml.org/hr-xml/wms/hr-xml-1- org/index.php?language=2
Petróleo PIDX http://www.pidx.org/ R Industria química CIDX http://www.cidx.org/ R Salud HL7 http://www.hl7.org/ R Industria marítima SMDG http://www.smdg.org/ R Finanzas SWIFT http://www.swift.com/ R Geografia GML http://www.opengeospatial.org/standards/gml R
Opentrans R Construcción E-construct R Comercio electrónico
UNeDocs - Naciones Unidas http://www.unece.org/etrades/unedocs/
R
9.6. Especificaciones del Grupo Metadatos IDEP
Perfil Básico de Metadatos IDEP
Componente Especificación SIT Observaciones
A = Adoptado R = Recomendado T = En transición E = En estudio F = Estudio futuro
Identificación Titulo A Fecha A Tipo de Fecha R Forma de Presentación A Resumen A Propósito R Estado R
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
35
Componente Especificación SIT Observaciones
Punto de Contacto R Palabras Claves A Tipo der epresentación Espacial R Escala A Tema o Categoría R Extensión A
Restricciones
Limitaciones de Uso R Limitaciones de Acceso R
Mantenimiento Frecuencia de Mantenimiento y Actualización R
Fecha de actualización A Distribución
Recurso en línea Web R Recurso en línea WMS R Nombre T Versión T
Sistema de referencia
Código A Nombre R
Calidad Nivel Jerárquico R
Declaración R Representación Espacial
Nivel de Topología
E
Tipo de Objeto geométrico E Metadato Identificador A Norma y version A Idioma R Juego de Caracteres R Fecha de creación R Autor del Metadato A
10. MEDIOS DE ACCESO
10.1. Políticas Técnicas
Las políticas técnicas para permitir el acceso a los servicios electrónicos del Gobierno dirigidas a la sociedad en general, incluyendo a ciudadanos, empresas privadas, esferas y Poderes de Gobierno, servidores públicos y otras instituciones, son:
10.1.1. Los servicios que presta el Gobierno mediante sistemas
informáticos deben ser concebidos dentro del respeto a la normatividad vigente, facilitando el acceso a los mismos, particularmente a aquellos ciudadanos con necesidades especiales y a aquellos cuyo riesgo de exclusión social o digital sea elevado. Los servicios de Gobierno Electrónico deberían incluso extenderse a aquellos sectores de población que no puede tener acceso directo a los mismos por medio de los dispositivos previstos.
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
36
10.1.2. En relación a los sistemas informáticos orientados a la prestación de servicios de Gobierno Electrónico:
• Deberán proyectarse para brindar a los usuarios, servicios de
Gobierno Electrónico por intermedio de diversos medios de acceso;
• Se utilizará la Internet como medio de comunicación y las
estaciones de trabajo o computadoras personales como medios de acceso, facilitándose la disponibilidad de la información con el uso de tecnologías y protocolos de comunicación web basados en navegadores (browsers);
• Al valerse de otros dispositivos de acceso, como por ejemplo
teléfonos móviles, televisión digital y tarjetas inteligentes (smart cards), podrá usarse otras interfaces además de los navegadores web;
• Deben contemplar la sustitución gradual del uso del
“login/contraseña” por la autenticación de usuarios con la utilización de certificados digitales, conforme a la normatividad establecida para la IOFE (Infraestructura Oficial de Firma Electrónica);
• Los nuevos servicios deberán crearse ya incorporando
soporte a la autenticación de usuarios por medio de certificados digitales de la IOFE;
• En esta versión del documento de definición de lineamientos y
mecanismos de interoperabilidad que se requiere en el D.L. 1029, se trata de los siguientes medios de acceso:
o Estaciones de trabajo; o Tarjetas inteligentes, tokens y otras tarjetas;
• Otros mecanismos de acceso, como teléfonos móviles, hand-
helds y televisión digital serán objeto de estudio futuro para la determinación de los estándares a ser aceptados por el Gobierno.
10.1.3. Los sistemas de informática del Gobierno, implementados para dar
soporte a un determinado dispositivo de acceso, deben seguir, obligatoriamente, las especificaciones señaladas en este documento para el dispositivo correspondiente.
10.1.4. Todos los sistemas de información del Gobierno que ofrezcan
servicios electrónicos deben ser capaces de utilizar la Internet como medio de comunicación, sea de forma directa o por medio de servicios de terceros.
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
37
10.1.5. El desarrollo de los servicios de Gobierno Electrónico debe orientarse de manera tal que permitan el dar atención a aquellos usuarios sin acceso a las tecnologías más recientes disponibles en el mercado. Por otra parte, también se debe considerar la necesidad de atender a aquellos usuarios con necesidades especiales, lo que involucrará la utilización de recursos más sofisticados y de uso específico. En particular, respecto de las facilidades de acceso a Internet para personas con discapacidad y a la adecuación de las cabinas públicas que brindan este servicio, se seguirá lo señalado en la Ley 28530 y su Reglamento.
10.1.6. Al utilizarse la Internet como medio de comunicación, los sistemas
informáticos del Gobierno deben contemplar el que se pueda acceder a una cantidad máxima de información mediante aquellos navegadores que cumplan con el estándar mínimo requerido según las Especificaciones Técnicas para Estaciones de Trabajo que se observan a continuación. Se recomienda que cualquier servicio de Gobierno Electrónico especifique en su página web inicial, las Versiones mínimas de navegadores que soportan las funcionalidades requeridas por el servicio asociado. En relación al estándar mínimo referido arriba, pueden considerarse las excepciones que involucren cuestiones de seguridad en el trato de la información.
10.1.7. Cuando la Internet sea utilizada como medio de comunicación, si no
hay alternativa técnicamente posible, podrá utilizarse middleware o plug-ins adicionales para optimizar la funcionalidad del navegador en las estaciones de trabajo. En este caso, ese software adicional deberá ofrecerse sin el pago de tasa por licencia, debiendo cumplir las especificaciones técnicas correspondientes señaladas en el presente documento. Además, el mismo debería mantenerse en un repositorio seguro del organismo gubernamental responsable de la aplicación y estar firmado digitalmente con un certificado para firma de código, de manera tal que se garantice la disponibilidad y la autenticidad de la aplicación y la integridad del código.
10.1.8. Los servicios de Gobierno Electrónico deben concebirse de manera
que garanticen a los usuarios la autenticidad de su contenido con la utilización de certificados digitales para servidores web, conforme a los estándares señalados para la IOFE. En ese sentido, todos los sitios web deberán, de modo obligatorio, utilizar “https” en vez de “http”.
10.1.9. La necesidad de la sociedad aunada a la voluntad del Gobierno de
desarrollar e implementar servicios electrónicos posibilitará la definición de las especificaciones técnicas necesarias para los medios de acceso disponibles. Podrá usarse técnicas de administración de contenidos y tecnologías que posibiliten la adaptación de los dispositivos para soportar los servicios de Gobierno Electrónico, de manera tal que se facilite el acceso por medio del estándar mínimo de navegador web establecido. Se
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
38
facilitará así el uso de quioscos públicos multiservicios y de Centros de Acceso Ciudadano.
10.1.10. Los sistemas informáticos del Gobierno deben considerar cuando
sea necesario, además de técnica y económicamente viable, el desarrollo de adaptadores que posibiliten el acceso a la información de los servicios electrónicos en la web dentro de una diversidad de ambientes, presentando tiempos de respuesta aceptables y costos reducidos.
Estos adaptadores pueden utilizarse para poner en cola, convertir y reformatear dinámicamente el contenido web, de modo que se adapte a las exigencias y a las capacidades de exhibición del dispositivo de acceso. Pueden aún, posibilitar la modificación del contenido de una página web, con base en protocolos de datos, XML, XSL, posibilitando el que se señalen preferencias del usuario y parámetros de red y de dispositivos de acceso.
Esos adaptadores también podrán utilizarse como una forma alternativa de posibilitar el acceso a minorías lingüísticas o con discapacidades como la deficiencia visual (utilización de traductores de textos, fuentes y gráficos de tamaño grande, audio, etc.).
10.1.11. Se considerará preferencialmente aquellos tipos de archivo que
tienen como estándar de empaquetamiento el “xml”, de forma que se facilite la interoperabilidad entre los servicios de Gobierno Electrónico.
10.1.12. Los servicios de Gobierno Electrónico que faciliten documentos a
sus usuarios deberán hacerlo empleando, en el propio enlace de acceso al documento, información clara respecto a origen, versión, fecha de publicación y formato. Por fecha de publicación se entiende aquella en la que el documento fue publicado en el diario oficial El Peruano, para los casos en que esta medida se exija, o la fecha de la publicación en el sitio web, para los otros casos. Otra información sobre el documento, tal como, autor, redactor, emisor u otra de relevancia para su identificación precisa, deberá constar en el campo de propiedades del propio documento.
10.2. Especificaciones Técnicas para Estaciones de Trabajo
Para la elaboración de documentos o trabajos a ser creados en colaboración por más de una persona y/u organismo, pueden utilizarse los formatos previstos en la Tabla 10.
Para la construcción de la versión final de documentos, a ser enviada a otros organismos o incluso archivada digitalmente, se recomienda la utilización del formato PDF/A.
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
39
Aquellos documentos que necesiten de garantía de integridad y/o autoría deben ser firmados digitalmente por su autor utilizando certificados digitales de la IOFE, siendo recomendable que se encuentren en formato PDF/A.
La mención a los productos que generan los formatos de archivos referidos en la Tabla 10 tiene como objetivo único la identificación de una referencia mínima a partir de la cual los servicios de Gobierno Electrónico habrán de intercambiar información, de manera tal que queden aptos para recibir o enviar archivos en versiones iguales o posteriores a las mencionadas.
Tabla 10 – Especificaciones Técnicas – Estaciones de Trabajo
Componente Especificación SIT Observaciones
A = Adoptado R = Recomendado T = En Transición E = En Estudio F = Estudio Futuro
Conjunto de caracteres y alfabetos
UNICODE estándar versión 4.0, latin-1, UTF8, ISBN 0-321-18578-1.
R
Formato de intercambio de hipertexto
HTML versión 4.01 (.html o .htm), generado conforme especificaciones del W3C15
A
XHTML versiones 1.0 o 1.1 (.xhtml), generado conforme especificaciones del W3C16
A
XML versiones 1.0 o 1.1 (.xml), generado conforme especificaciones del W3C17
A
SHTML (.shtml). R MHTML (.mhtl o .mht)18. R
Archivos del tipo documento
XML versiones 1.0 o 1.1 (.xml), o con formato (opcional) XSL (.xsl), generado conforme especificaciones del W3C19.
R
Open Document (.odt), generado conforme especificaciones del estándar ISO/IEC 2630020.
R
OpenOffice.org XML (.sxw), generado en el formato del OpenOffice version 1.0.
R
Rich Text Format (.rtf). R
PDF (.pdf) generado en formato versión 1.3. R
15 HTML 4.01 Specification – W3C Recommendation 24 December 1999. Disponible en: http://www.w3.org/TR/html4/. 16 XHTML 1.0 The Extensible HyperText Markup Language (Second Edition): A Reformulation of HTML 4 in XML 1.0 – W3C Recommendation 26 January 2000, revised 1 August 2002. Disponible en: http://www.w3.org/TR/xhtml1/. 17 Extensible Markup Language (XML) 1.0 (Third Edition) – W3C Recommendation 04 February 2004. Disponible en: http://www.w3.org/TR/2004/REC-xml-20040204/. Extensible Markup Language (XML) 1.1 – W3C Recommendation 04 February 2004, edited in place 15 April 2004. Disponible en: http://www.w3.org/TR/2004/REC-xml11-20040204/. 18 (Mime Enscapsulation of Aggregate HTML Documents). Disponible en : http://tools.ietf.org/html/rfc2557
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
40
19 Extensible Stylesheet Language (XSL) Version 1.0 – W3C Recommendation 15 October 2001. Disponible en: http://www.w3.org/TR/xsl/. 20 Open Document Format for Office Applications (OpenDocument) v1.0 – estándar ISO/IEC 26300. Disponible en: http://www.iso.org/.
Componente Especificación SIT Observaciones PDF versión abierta PDF/A21. R
Texto puro (.txt). A HTML versión 4.01 (.html ou .htm), generado conforme especificaciones del W3C.
R
Office Open XML , formato de documento electrónico ISO/IEC DIS 29500
R
Microsoft Word document (.doc), generado en el formato del MS Office versión 2000.
R
Archivos del tipo planilla
Open Document (.ods), generado conforme especificaciones del estándar ISO/IEC 26300.
R
OpenOffice.org XML (.sxc). generado en el formato del Open Office versión 1.0.
R
Planilla MS Excel (.xls), generado en el formato del MS Office versión 2000.
R
Archivos del tipo presentación
Open Document (.odp), generado conforme especificaciones del estándar ISO/IEC 26300.
R
OpenOffice.org XML (.sxi), generado en el formato del Open Office versión 1.0.
R
HTML (.html o .htm), generado conforme especificaciones del W3C.
R
Presentación MS Power Point (.ppt), generado en el formato del MS Office versión 2000.
R
Archivos del tipo “banco de datos” para estaciones de trabajo
XML versiones 1.0 o 1.1 (.xml) R En las opciones texto plano (txt) y csv, se debe incluir, de modo obligatorio, el lay-out de los campos, de forma a posibilitar su tratamiento.
MySQL Database (.myd, .myi), generados en los formatos del MySQL, versión 4.0 o superior.
R
Texto Puro (.txt) A Texto Puro (.csv) – comma-separated values A Archivo del Base (.odb), generado en el formato del BrOffice.org (u OpenOffice.org) versión 2.0 o posterior.
R
Archivo MS Access (.mdb), generado en el formato del MS Office versión 2000.
R
PDF versión abierta PDF/A21. R
Intercambio de informaciones gráficas e
PNG (.png), generado conforme especificaciones del W3C22– ISO/IEC 15948:2003 (E).
R
TIFF (.tif)23 A
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
41
imágenes estáticas SVG (.svg), generado conforme especificaciones del W3C24.
R
JPEG File Interchange Format (.jpeg, .jpg o .jfif)25 A
21 Document management -- Electronic document file format for long-term preservation -- Part 1: Use of PDF 1.4 (PDF/A -1) – estándar ISO 19005-1:2005. Disponible en: http://www.iso.org/. 22 Portable Network Graphics (PNG) Specification (Second Edition). W3C Recommendation 10 November 2003. ISO/IEC 15948:2003 (E) – Information technology – Computer graphics and image processing – Portable Network Graphics (PNG): Functional specification. Disponible en: http://www.w3.org/TR/2003/RECPNG-20031110/ 23 Tagged Image File Format (Adobe Systems). 24 Scalable Vector Graphics (SVG) 1.1 Specification. W3C Recommendation 14 January 2003. Disponible en: http://www.w3.org/TR/2003/REC-SVG11-20030114/. 25JPEG File Interchange Format (version 1.02) 1 September 1992. Disponible en: http://www.jpeg.org/public/jfif.pdf y http://www.w3.org/Graphics/JPEG/itu-t81.pdf
Componente Especificación SIT Observaciones Open Document (.odg), generado conforme
especificaciones del estándar ISO/IEC 26300. R
OpenOffice.org XML (.sxd), generado en el formato del Open Office versión 1.0.
R
XCF (.xcf), generado en el formato del GIMP versión 1.0 o superior.
R
BMP (.bmp). A GIF (.gif), generado conforme las especificaciones GIF87a y GIF89a26
A
Imagen Corel Photo-Paint (.cpt), generado en el formato de la suite Corel Draw hasta versión 7.
R
|Imagen Photoshop (.psd), generado en el formato del Adobe Photoshop versión 4.
R
WSQ (.wsq), generado conforme a ANSI/NIST-ITL 1-2000, formato de datos para el intercambio de imágenes de huellas dactilares, rostro, cicatrices y tatuajes
R
Gráficos vectoriales
SVG (.svg), generado conforme especificaciones del W3C.
R
Open Document (.odg), generado conforme especificaciones del estándar ISO/IEC 26300.
R
OpenOffice.org XML (.sxd), generado en el formato del Open Office versión 1.0.
R
Gráfico Corel Draw (.cdr), generado en el formato hasta versión 7.
R
MSX (.msx), generado en el formato de la suite Corel Draw hasta versión 7.
R
Gráfico MS Visio (.vss o .vsd), generados en el formato hasta versión 2000.
R
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
42
Windows Metafile (.wmf). R
Especificación de estándares de animación
SVG (.svg), generado conforme especificaciones del W3C.
R
GIF (.gif), gerado conforme a especificación GIF89a.
A
Shockwave Flash (.swf), generado en formato de Macromedia Flash versión 4, de Macromedia Shockwave version 1.
R
Archivos del tipo audio y del tipo video
.mpg A Audio y video MPEG-4, Part 14 (.mp4)27 A
MIDI (.mid)28 A Audio Ogg Vorbis I (.ogg)29 R Audio-Video Interleaved (.avi), con codificación Xvid. A
Audio-Video Interleaved (.avi), con codificación divX. A
Audio MPEG-1, Audio Layer 3 (.mp3)30 A 26 Graphics Interchange Format (CompuServe/America Online, Inc.). http://www.w3.org/Graphics/GIF/spec-gif89a.txt 27 ISO/IEC 14496-14:2003 – Information Technology – Coding of audio-visual objects – Part 14: MP4 file format. 28 Musical Instrument Digital Interface, conforme la especificación The Complete MIDI 1.0 Detailed Specification. Version 96.1, 2.ed., nov. 2001. Disponible en: http://www.midi.org/aboutmidi/specinfos.shtm. 29 Xiph.Org Foundation. Especificación disponible en: http://xiph.org/vorbis/doc/Vorbis_I_spec.html. 30 ISO/IEC 11172-3:1993 – Information technology – Coding of moving pictures and associated audio fordigital storage media at up to about 1,5Mbit/s – Part 3: Audio. ISO/IEC 11172-3:1993/Cor 1:1996.
Componente Especificación SIT Observaciones Real Media (.rm o .rmm), generado en el formato de
los aplicativos Real Audio Media Player, versión 8. A
Real Audio (.ra o .ram), generado en el formato de los aplicativos Real Audio Media Player, versión 8.
A
WAVE (.wav) A Shockwave Flash (.swf), generado en el formato del Macromedia Flash, hasta versión 4 o por el Macromedia Shockwave, versión 1.
R
Windows Media Video (.wmv), generado en el formato del Windows Media Player, versión 6.4.
A
Windows Media Audio (.wma), generado en el formato del Windows Media Player, versión 6.4.
A
QuickTime (.mov), generado en el formato del Apple Quicktime, versión 6.
A
QuickTime (.qt), generado en el formato del Apple Quicktime, versión 6.
R
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
43
Compresión de archivos de uso general
ZIP (.zip). A RAR (.rar). R GNU ZIP (.gz). R Paquete TAR (.tar). R Paquete TAR compactado (.tgz o .tar.gz). R BZIP2 (.bz2). R Paquete TAR compactado con BZIP2 (.tar.bz2). R MS Cabinet (.cab). R
GML versión 1.0 o superior31.
F
Señalado para estructuras vectoriales complejas, abarcando primitivas geográficas como polígonos, puntos, líneas, superficies, colecciones, y atributos numéricos o textuales sin límites de número de caracteres.
ShapeFile32.
F
Señalado para estructuras vectoriales limitadas a líneas, puntos y polígonos, cuyos atributos textuales no sobrepasen 256 caracteres. Puede almacenar también las dimensiones M y Z.
Informaciones georreferenciadas – estándares de archivos para intercambio entre estaciones de trabajo
31 Geography Markup Language. Especificaciones disponibles en: http://www.opengeospatial.org/standards. 32 ESRI Shapefile Technical Description. Disponible en: http://www.esri.com/library/whitepapers/pdfs/shapefile.pdf.
Componente Especificación SIT Observaciones GeoTIFF33. F Señalado para
estructuras matriciales limitadas a matrices de pixel.
SFS. F
Programación Extendida (Plugins)
Tema para consideración futura. F
33 GeoTIFF Format Especification. Disponible en: http://remotesensing.org/geotiff/geotiff.html.
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
44
10.3. Especificaciones Técnicas para tokens, Tarjetas Inteligentes y Tarjetas en General
Las especificaciones sobre tarjetas inteligentes y tokens se basan fundamentalmente en la familia de estándares ISO/IEC (7816 partes 1 a 6).
Los dispositivos criptográficos a utilizarse para la firma digital dentro de la IOFE, según los alcances de lo que señala la Ley de Firmas y Certificados Digitales y su Reglamento, se guiarán además de por estas normas, por lo referido en las Guías de Acreditación emitidas por la Autoridad Administrativa Competente (INDECOPI). Así, serán pasibles de acreditación según lo señalado en las guías pertinentes, las entidades de certificación, las de registro o verificación, el software de firma digital, además de las entidades prestadoras de servicios de valor añadido como el sellado de tiempo, entre otros. Según allí se señala, los medios que generan y almacenan el material criptográfico (certificados digitales y claves), además de los sistemas, software y equipos necesarios para la realización de la certificación digital (como los HSM), deberán obedecer a estándares y especificaciones técnicas mínimas, con el fin de garantizar su interoperabilidad y la confiabilidad de los recursos de seguridad de la información utilizados por ellos.
Es importante observar que el acceso a los datos almacenados en una determinada tarjeta inteligente o token no deberá limitarse bajo ningún tipo de licenciamiento de software que prohíba su lectura a excepción del que pertenece a aquella tarjeta inteligente o token.
Se considera también el estándar ISO/IEC 7810, que define las propiedades físicas tales como flexibilidad, resistencia a la temperatura y dimensiones para tres diferentes tipos de formato de tarjeta (ID-1, ID-2 e ID-3); el estándar PC/SC Workgroup y la estandarización para seguridad de dispositivos FIPS- 140, del National Institute of Standards and Technology (http://www.nist.gov). Se incluyó además normas ISO correspondientes a tarjetas magnéticas y ópticas.
Para cada estándar se señalan las versiones vigentes (año de publicación a la fecha).
Para versiones futuras de este documento se deberán considerar los estándares de otras tarjetas utilizadas o por utilizarse por los organismos de Gobierno. De verificarse un uso intensivo, será evaluada su inclusión. De igual manera, serán evaluados los estándares orientados a la comunidad europea.
Tabla 11 – Especificaciones para Medios de Acceso – Tarjetas Inteligentes, tokens y Tarjetas en General
Componente Especificación SIT Aplicable a Observaciones
A = Adoptado R = Recomendado T = En Transición E = En Estudio F = Estudio Futuro
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
45
Definición de datos
Tarjetas de identificación -- Tarjetas de Circuito(s) Integrado(s)
ISO/IEC 7816-6:2004 Parte 6: Elementos de datos para el intercambio intersectorial.
A Todos Identification cards -- Integrated circuit cards -- Part 6: Interindustry data elements for interchange.
Tarjetas de identificación -- Identificación de los emisores
ISO/IEC 7812-1:2006 Parte 1: Sistema de Numeración.
R Todos Identification cards -- Identification of issuers -- Part 1: Numbering system
Tarjetas de transacciones financieras
Mensajes entre la tarjeta de circuito integrado y el dispositivo de aceptación de la tarjeta
ISO 9992-2:1998 Parte 2: Funciones, mensajes (comandos y respuestas), elementos y estructuras de datos.
F Tarjetas financieras
Financial transaction cards -- Messages between the integrated circuit card and the card accepting device -- Part 2: Functions, messages (commands and responses), data elements and structures.
Sistemas de tarjeta de identificación. Monedero electrónico intersectorial –
BS EN 1546-3:1999 Parte 3: Elementos e intercambio de datos.
BS EN 1546-4:1999 Parte 4: Objetos de datos.
F TodosIdentification card systems. Inter-sector electronic purse. Data elements and interchanges.
Identification card systems. Inter-sector electronic purse. Data objects
La actual edición de este estándar británico es base del trabajo del CEN/TC224/WG10.
Tecnología de la información – Formatos de intercambio de biometría
ISO/IEC 19794-2:2005 Parte 2: Datos de minucias de huella dactilar.
ISO/IEC 19794-2:2005 Parte 2: Formato de imagen del rostro para el intercambio de datos
R
R
Biometría en tarjetas inteligentes
Information technology – Biometric data interchange formats – Part 2: Finger minutiae data.
Information technology – Biometric data interchange formats – Part 5: Face Image Format for Data Interchange
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
46
Aplicaciones, incluyendo multiaplicaciones
Tarjetas de identificación – Tarjetas de circuito integrado
ISO/IEC 7816-4:2005 Parte 4: Comandos intersectoriales para intercambio.
ISO/IEC 7816-5:2004 Parte 5: Sistema de numeración y tramitación de registro para identificadores de aplicación.
ISO/IEC 7816-7:1999 Parte 7: Comandos intersectoriales para Structured Card Query Language (SCQL);
ISO/IEC 7816-11:2004 Parte 11: Estructura para el uso dinámico de aplicaciones múltiples en tarjetas de circuitos integrados.
ISO/IEC 7816-15:2004 Parte 15: Aplicación de información criptográfica. (con sus correcciones y adendas)
A
A
R
R
F
Tarjetas de Circuito(s) Integrado(s) con contactos.
Identification cards -- Integrated circuit cards -- Part 4: Organization, security and commands for interchange
Identification cards -- Integrated circuit cards -- Part 5: Registration of application providers
Identification cards -- Integrated circuit(s) cards with contacts -- Part 7: Interindustry commands for Structured Card Query Language (SCQL)
Identification cards -- Integrated circuit cards -- Part 11: Personal verification through biometric methods
Identification cards -- Integrated circuit cards -- Part 15: Cryptographic information application
Se señalan los años de publicación de las versiones vigentes. Existen disponibles adendas y correcciones en el web site de ISO (http://www.iso.org).
Partes 4 y 5 requeridas en Anexo 11 de la Guía de Acreditación de Entidades de Certificación EC de la IOFE.
La Parte 15 da continuidad al estándar RSA PKCS#15 mencionado en el Anexo 11 de la Guía de Acreditación de Entidades de Certificación EC de la IOFE. en lo que se refiere a estructuras de archivos para aplicaciones criptográficas en tarjetas inteligentes.
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
47
Componente Especificación SIT Aplicable a Observaciones Tarjetas de identificación
Tarjetas de circuito(s) Integrado(s) con contactos
ISO/IEC 7816-10:1999 Parte 10: Señales electrónicas y respuesta a reinicio de tarjetas síncronas.
ISO/IEC 7816-12:2005 Parte 12: Interfaz USB.
R Tarjetas de circuito(s) integrado(s) con contactos.
Identification cards -- Integrated circuit(s) cards with contacts -- Part 10: Electronic signals and answer to reset for synchronous cards Esta parte se encuentra en revisión por ISO.
Identification cards - Integrated circuit cards -- Part 12: Cards with contacts -- USB electrical interface and operating procedures
Tarjetas de identificación ISO/IEC 7813:2006 Tarjetas de transacciones financieras.
R Tarjetas financieras.
Information technology -- Identification cards -- Financial transaction cards
Tarjetas de identificación-- Identificación de los emisores ISO/IEC 7812-2:2007 Parte 2: Procedimientos de aplicación y registro.
R Todos Identification cards -- Identification of issuers -- Part 2: Application and registration procedures
Sistemas de tarjeta de identificación BS EN 1332-1:1999 Interfaz hombre/máquina – Parte 1: Principios de proyecto para interfaz de usuario
BS EN 1332-4:1999 Interfaz hombre/máquina – Parte 4: Codificación de exigencias de usuario para personas con necesidades especiales.
R Todos Identification card systems. Man-machine interface. Design principles for the user interface
Identification card systems. Man-machine interface. Coding of user requirements for people with special needs
Estándar británico.
Eléctrico
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
48
Componente Especificación SIT Aplicable a Observaciones Tarjetas de identificación –
Tarjetas de circuito integrado con contactos
ISO/IEC 7816-3:2006
Parte 3: Protocolos de señales y transmisiones electrónicas.
R Tarjetas de circuito(s) integrado(s) con contactos.
Identification cards -- Integrated circuit cards -- Part 3: Cards with contacts -- Electrical interface and transmission protocols
Señalado en Anexo 11 de la Guía de Acreditación de Entidades de Certificación EC de la IOFE.
Tarjetas de identificación –
Tarjetas de circuito(s) Integrado(s) sin contacto (CICC) – Tarjetas de Proximidad
ISO/IEC 14443-2:2001
Parte 2: Interfaz de potencia y señal de frecuencia de radio.
R Tarjetas de circuito integrado de proximidad sin contacto.
Identification cards -- Contactless integrated circuit(s) cards -- Proximity cards -- Part 2: Radio frequency power and signal interface
Esta parte define la interfaz de frecuencia de radio, y contiene dos técnicas de modulación (Tipos A y B) para la comunicación de datos entre tarjeta y terminal. Se señala la versión vigente, aunque se encuentra en revisión por ISO.
Tarjetas de identificación -- Tarjetas de circuito(s) integrado(s) sin contacto (CICC) -- Tarjetas de Acoplamiento Cercano
ISO/IEC 10536-3:1996
Parte 3: Procesamiento de señales electrónicas y reinicialización.
F Tarjetas de circuito(s) integrado(s) de acoplamiento cercano sin contacto.
Identification cards -- Contactless integrated circuit(s) cards -- Part 3: Electronic signals and reset procedures
Se señala la versión vigente, aunque se encuentra en revisión por ISO.
Tarjetas de identificación -- Tarjetas de circuito(s) integrado(s) sin contacto (CICC) -- Tarjetas de Vecindad
ISO/IEC 15693-2:2006
Parte 2: Interfaz aérea e inicialización.
R Tarjetas de circuito(s) integrado(s) de vecindad sin contacto.
Identification cards -- Contactless integrated circuit cards -- Vicinity cards -- Part 2: Air interface and initialization
Protocolos de Comunicación
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
49
Tarjetas de identificación –
Tarjetas de circuito(s) Integrado(s) sin contacto (CICC) – Tarjetas de Proximidad
ISO/IEC 14443-3:2001 Parte 3: Inicialización y anticolisión.
ISO/IEC 14443-4:2008 Parte 4: Protocolos de transmisión.
R Tarjetas de circuito(s) integrado(s) de proximidad sin contacto.
Identification cards -- Contactless integrated circuit(s) cards -- Proximity cards -- Part 3: Initialization and anticollision
Los procedimientos de anticolisión son métodos utilizados para identificar y seleccionar una tarjeta cuando varias tarjetas estén activas dentro del campo RF del terminal. La Parte 3 tiene diversas adendas e ingresará a revisión por ISO.
Identification cards -- Contactless integrated circuit(s) cards -- Proximity cards -- Part 4: Transmission protocol
La Parte 4 contiene informaciones de alto nivel (nivel de mensaje) de protocolo de transmisión de datos, equivalentes al protocolo T=1 del ISO/IEC 7816, y es un puente sobre dicho estándar. El ISO/IEC 14443-4 incluye un procedimiento de inicialización de protocolo para tarjetas Tipo A.
Tarjetas de identificación -- Tarjetas de circuito(s) integrado(s) sin contacto (CICC) -- Tarjetas de Vecindad
ISO/IEC 15693-3:2001
Parte 3: Protocolo de anticolisión y transmisión.
R Tarjetas de circuito integrado de proximidad sin contacto.
Identification cards - Contactless integrated circuit(s) cards - Vicinity cards -- Part 3: Anticollision and transmission protocol
Se señala la versión vigente, aunque será revisada por ISO.
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
50
Mensajes originados por tarjetas de transacciones financieras
ISO 8583-1:2003
Parte 1: Mensajes, elementos de datos y valores de código.
ISO 8583-2:1998
Parte 2: Procedimientos de solicitud y registro para códigos de identificación de instituciones.
ISO 8583-3:2003
Parte 3: Procedimientos de mantenimiento para mensajes, elementos de datos y valores de código.
F Tarjetas financieras.
Financial transaction card originated messages -- Interchange message specifications -- Part 1: Messages, data elements and code values
Financial transaction card originated messages -- Interchange message specifications -- Part 2: Application and registration procedures for Institution Identification Codes (IIC)
Financial transaction card originated messages -- Interchange message specifications -- Part 3: Maintenance procedures for messages, data elements and code values
Las versiones señaladas de las Partes 2 y 3 se encuentran en revisión periódica por ISO.
Tarjetas de transacciones financieras -- Mensajes entre la tarjeta de circuito integrado y el dispositivo de aceptación de la tarjeta.
ISO 9992-1:1990 Parte 1: Conceptos y estructuras
ISO 9992-2:1998 Parte 2: Funciones, mensajes (comandos y respuestas), elementos y estructuras de datos.
F Tarjetas financieras. Financial transaction cards --
Messages between the integrated circuit card and the card accepting device -- Part 2: Functions, messages (commands and responses), data elements and structures.
Financial transaction cards -- Messages between the integrated circuit card and the card accepting device -- Part 1: Concepts and structures
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
51
Componente Especificación SIT Aplicable a Observaciones Estándares de Características Físicas. Cubren las dimensiones de la tarjeta además de la ubicación de los elementos para el almacenamiento de datos.
Características físicas -- Tarjetas de identificación
ISO/IEC 7810:2003
R Todas las tarjetas de contacto y combinación.
Identification cards -- Physical characteristics
Todas las tarjetas deben seguir el formato ID-1, según se define en ISO/IEC 7810, para asegurar que puedan ser leídas en lectoras estándar.
Este estándar será revisado por ISO.
Tarjeta Magnética ISO/IEC 7811-2:2001 Parte 2: Banda magnética – Baja coercitividad.
R Tarjetas con banda magnética.
Identification cards -- Recording technique -- Part 2: Magnetic stripe -- Low coercivity
Define las propiedades, ubicación y codificación (coding) de la banda magnética de la tarjeta.
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
52
Tarjeta de memoria óptica
ISO/IEC 11693:2005
ISO/IEC 11694-1:2005
ISO/IEC 11694-2:2005
ISO/IEC 11694-3:2008
F Tarjetas ópticas Identification cards -- Optical
memory cards -- General characteristics
Estándar a ser revisado por ISO.
Identification cards -- Optical memory cards -- Linear recording method -- Part 1: Physical characteristics
Identification cards -- Optical memory cards -- Linear recording method -- Part 2: Dimensions and location of the accessible optical area
Identification cards -- Optical memory cards -- Linear recording method -- Part 3: Optical properties and characteristics
Serie de estándares que describe los parámetros para las tarjetas de memoria óptica y su uso para el almacenamiento e intercambio de datos.
Ambos reconocen la existencia de diferentes métodos de grabación y lectura en tarjetas con memoria óptica
Estas tarjetas soportan el almacenamiento de varios megabytes.
Las Partes 4, 5 y 6 del ISO/IEC 11694 cubren aspectos de datos y biometría en tarjetas de memoria óptica.
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
53
Tarjetas de identificación
ISO/IEC 7816-1:1998 Parte 1: Características físicas Tarjetas de identificación
ISO/IEC 7816-2:2007 Tarjetas de circuito(s) integrado(s) con contactos Parte 2: Dimensiones y ubicación de los contactos.
A Tarjetas de circuito(s) integrado(s) con contactos.
Identification cards -- Integrated circuit(s) cards with contacts -- Part 1: Physical characteristics
Esta parte suplementa la norma ISO/IEC 7810, estableciendo las características físicas particulares de las tarjetas de CI con contactos.
Señalados en Anexo 11 de la Guía de Acreditación de Entidades de Certificación EC de la IOFE.
Tarjetas de identificación Tarjetas de circuito(s) integrado(s) sin contactos – Tarjetas de proximidad
ISO/IEC 14443-1:2008 Parte 1: Características físicas.
R Tarjetas de circuito integrado de proximidad sin contacto.
Identification cards -- Contactless integrated circuit cards -- Proximity cards -- Part 1: Physical characteristics
Esta parte suplementa las características físicas definidas en el ISO/IEC 7810.
Tarjetas de identificación – Tarjetas de circuito(s) integrado(s) sin contactos – Tarjetas de proximidad
ISO/IEC 15693-1:2000 Parte 1: Características físicas.
R Tarjetas de circuito(s) integrado(s) de vecindad sin contacto.
Identification cards -- Contactless integrated circuit(s) cards -- Vicinity cards -- Part 1: Physical characteristics
Esta parte suplementa las características físicas definidas en el ISO/IEC 7810.
Componente Especificación SIT Aplicable a Observaciones Tarjetas de identificación –
Tarjetas de circuito(s) integrado(s) sin contacto
ISO/IEC 10536-1:2000 Parte 1: Características físicas
ISO/IEC 10536-2:1995 Parte 2: Dimensiones y ubicación de las áreas de acoplamiento.
F Tarjetas de circuito(s) integrado(s) de acoplamiento cercano sin contacto.
Identification cards -- Contactless integrated circuit(s) cards -- Close- coupled cards -- Part 1: Physical characteristics
Identification cards -- Contactless integrated circuit(s) cards -- Part 2: Dimensions and location of coupling areas
Esta parte suplementa las características físicas definidas en el ISO/IEC 7810.
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
54
Sistemas de Tarjetas de identificación -- Interfaz hombre/máquina -- Identificadores táctiles.
BS EN 1332-2 Parte 2: Dimensiones y ubicación -un identificador táctil para tarjetas ID-1.
F Para identificar el sentido en el que se introducirá la tarjeta en el lector, un identificador táctil ayudará a quienes sufren de deficiencias visuales.
Identification card systems. Man-machine interface. Dimensions and location of a tactile identifier for ID-1 cards
Según el estándar británico,
Identificadores táctiles del tipo ‘notch’ (‘relieve’) deberían solicitarse a los fabricantes o a quienes personalicen las tarjetas.
Tarjetas de identificación -- Tarjetas de circuito(s) integrado(s):
ISO/IEC 7816-8:2004 Parte 8: Comandos de seguridad intersectoriales
ISO/ IEC 7816-9:2004 Parte 9: Comandos adicionales intersectoriales y atributos de Seguridad.
ISO/IEC 7816-11:2004 Parte 11: Verificación personal Por medio de métodos biométricos. Tarjetas de identificación
ISO/IEC 7816-15:2004 Parte 15: Información de dispositivo Criptográfico en tarjetas CI.
A Tarjetas de circuito(s) integrado(s) con contactos.
Identification cards -- Integrated circuit cards -- Part 8: Commands for security operations
Identification cards -- Integrated circuit cards -- Part 9: Commands for card management
Identification cards -- Integrated circuit cards -- Part 11: Personal verification through biometric methods
Identification cards -- Integrated circuit cards -- Part 15: Cryptographic information application
Estándar FIPS-140-2 A Todos. Para usos criptográficos dentro de la IOFE, siguiendo, en cuanto a la aplicación de los diversos niveles de exigencia de este estándar lo señalado en la Guía de Acreditación de Entidades de Certificación EC, en su punto 6.IV, Niveles de seguridad de PKI y en su Anexo 11.
Seguridad
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
55
Common Criteria
Para el IC bajo perfiles de protección como:
BSI-PP-0002:2001
PP/9806:1998
Como dispositivo seguro de creación de firmas digitales, bajo los perfiles de protección señalados en:
CWA 14169:2004
R Niveles EAL4+ o superiores Smartcard IC Protection Profile. Bundesamtes für Sicherheit in der Informationstechnik
Smartcard Integrated Circuit Protection Profile Registered at the French Certification Body under the number PP/9806
CEN Workshop Agreement Secure signature-creation devices “EAL 4+”
Se hace mención al nivel EAL4+ en el Anexo 11 de la Guía de Acreditación de Entidades de Certificación EC de la IOFE.
Infraestructura del terminal
Tecnología de la información –Diseños de teclados para texto y sistemas de oficina
ISO/IEC 9995-1:2006 Parte 1: Principios generales que gobiernan el diseño de los teclados.
R Todos. Information technology -- Keyboard layouts for text and office systems -- Part 1: General principles governing keyboard layouts
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
56
Especificación de
Interoperabilidad para ICCs y Sistemas de Ordenador Personal
Estándares del Consorcio Grupo de Trabajo PC/SC
Parte 1. Introducción y Visión General de la Arquitectura
Parte 2. Requisitos de Interfaz para Tarjetas Compatibles con CI y Dispositivos de Interfaz
Parte 3. Requisitos para Dispositivos de Interfaz Conectados a PC
Parte 4. Consideraciones del proyecto IFD e Información de Referencia del Proyect
Parte 5. Definición del Gestor de Recursos ICC
Parte 6. Definición de la Interfaz del Surtidor de Servicio ICC
Parte 7. Consideraciones del Proyecto de Dominio / Desarrollador de la Aplicación
Parte 8. Recomendación para la Implementación de Dispositivos de Seguridad y Privacidad ICC.
A Todos. Para uso general en PCs.
Certificación EMC (de compatibilidad electromagnética)
A Para lectores de tarjetas inteligentes
Según el Anexo 11 de la Guía de Acreditación de Entidades de Certificación EC de la IOFE.
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
57
Componente Especificación SIT Aplicable a Observaciones Tarjetas tipo Java Card®
API (Application Programming Interface) para la plataforma de tarjetas Java Card.
A Esta API define un conjunto de clases a partir de las cuales la tecnología Java Card basada en applets puede ser construida.
Versión general para la tecnología Java Card es 2.2.2 (marzo de 2006), http://java.sun.com/products/j avacard/
Especificación para el ambiente de ejecución (runtime environment) para la plataforma Java Card.
A Esta especificación describe el ambiente requerido para la ejecución de applets basado en tarjetas Java Card.
Especificación para la máquina virtual para la plataforma Java Card.
A Esta Especificación define la configuración requerida para la máquina virtual de la tarjeta.
Especificaciones de Tarjeta GlobalPlatform:2006
R Especificación de tarjeta que permite una implementación neutral en cuanto a hardware, proveedores y aplicaciones, posibilitando una arquitectura de seguridad y gestión común.
GlobalPlatform Card Specification, Version 2.2 March 2006.
Estándares y Especificaciones de Interoperabilidad del Estado Peruano
58
Requerimientos Funcionales para el Sistema de gestión de Tarjetas Inteligentes GlobalPlatform
Requerimientos Funcionales para el Sistema de Gestión de Claves GlobalPlatform
Guía a la Personalización Común GlobalPlatform
Especificaciones de Requerimientos de Seguridad para Tarjetas GlobalPlatform
Especificación de Mensajería GlobalPlatform
Guía de Configuración de Tarjetas GlobalPlatform
Especificaciones del Lenguaje Interpretado para los Sistemas (ECMAScript) GlobalPlatform
Especificaciones de Perfiles para los Sistemas GlobalPlatform
F Permite una implementación estandarizada para la infraestructura de soporte de las tarjetas ICC.
GlobalPlatform Smart Card Management System Functional Requirements, Version 4.0, 21 December 2004.
GlobalPlatform Key Management System Functional Requirements, Version 1.0, November 2003.
GlobalPlatform Guide to Common Personalization, Version 1.0, March 2003.
GlobalPlatform Card Security Requirements Specification, Version 1.0, May 2003.
GlobalPlatform Messaging Specification, Version 1.0, October 2003.
GlobalPlatform Card Customization Guide, Version 1.0, 13 August 2002.
GlobalPlatform Systems Scripting Language Specification, An ECMAScript Representation, Version 1.1.0, 24 September 2003.
GlobalPlatform Systems Profiles Specification, An XML Representation, Version 1.1.0, 24 September 2003.
Infraestructura de soporte a tarjetas ICC GlobalPlatform®
60
PROYECTO PLATAFORMA INTEROPERATIVIDAD DEL ESTADO
Este Proyecto ha sido elaborado por el equipo Proyecto PIDE, para brindar servicios al ciudadano en: identidad, salud, educación, garantía de la propiedad individual y colectiva, administración tributaria, administración pública, saneamiento, medios de pago electrónicos y comunicación social entre otros
PDF 2
ANGIE GAVIDIA
Rectángulo
ANGIE GAVIDIA
Rectángulo
Proyecto
Plataforma de
Interoperabilidad
del Estado
PIDE
Presentación
Preparado por: Equipo de Proyecto PIDE
Contenido
Introducción
Objetivos del Estado
Servicios al Ciudadano
Situación Actual
LA PIDE
Beneficios para las entidades
Servicios al ciudadano enriquecidos
Proyección de futuro
Introducción
La Gestión Pública aún no es lo eficiente que debiera, que el país exige
Cada entidad pública duplica esfuerzos al procurar servicios o componentes de servicios que otras entidades ya los tienen
El costo de comunicación y la complejidad que puede llegar a representar la integración es alto
La información que le interesa al ciudadano está diseminada en diversas entidades, su integración le es muy costosa y tediosa
Objetivos del Estado
Bienestar al Ciudadano
a través de mejores
servicios
Modernización de la
Gestión del Estado:
Estado Moderno,
Descentralizado y
Mayor participación
ciudadana
Eficiencia y Eficacia en
la Gestión Pública
Mejores Servicios:
Bienestar General
Eficiencia y Eficacia en
Gestión Pública
Modernización del Estado
Servicios al Ciudadano
Identidad
Salud
Educación
Garantía de la propiedad individual y colectiva
Administración Tributaria
Administración Pública
Saneamiento
Medios de pago electrónicos
Comunicación Social, entre otros
Situación Actual
Aún existe mucho trámite manual, personal, con
tiempos de atención elevados y costosos, por los
trámites y el traslado.
El ciudadano tienen que viajar de una oficina a otra en búsqueda de
respuesta, evidenciando falta de integración en el nivel estatal.
Las entidades públicas ofrecen servicios informatizados, vía Internet, con
esfuerzos independientes
Trámites vía Internet, aún no suficientes, algunos seguros y con
esfuerzos independientes
Situación Actual: Las conexiones de una entidad
Sus proveedores de servicios
Los consumidores de sus servicios
Entidad Proveedora de los servicios al ciudadano
Situación Actual: Un grupo de entidades operando
(Hipotética)
MODELO SOA
UNA SOLUCIÓN:
La Plataforma de Interoperabilidad del Estado
Enterprise Service Bus (ESB) / Bus de Servicios Corporativos
La Plataforma de Interoperabilidad del Estado
(PIDE)
Plataforma de Hardware
Plataforma SOA
Proposito
Estable Probada Segura Confiable Escalable
Estandarización Uniformidad Despliegue fácil. Acceso rápido. Integración de servicios Catálogo de servicios.
Ciudadanos satisfechos Gobernabilidad Reducción de costos.
La Plataforma de Interoperabilidad del Estado
(PIDE)
Beneficios para las entidades
Centralización de comunicaciones y servicios comunes como:
Seguridad, Transformación de mensajes, Enrutamiento, Orquestación
de servicios, Coreografía de Procesos,
Flexibilidad y Reusabilidad de Servicios a través del soporte informático
Reducción de costos en las Entidades Públicas para la entrega de sus
servicios
Establecimientos de estándares de interoperabilidad en términos de
calidad y seguridad para la gestión pública
Servicios al Ciudadano Enriquecidos
Identidad
• Punto central de referencia de información sobre identidad del ciudadano
Salud
• Historias clínicas integradas de los pacientes de los diversos CC.HH.
• Padrón de Médicos y sus turnos en los diversos CC.HH.
Educación
• Record académico a nivel nacional de cada ciudadano
Garantía de la propiedad individual y colectiva
• Integración con Municipios, MTC, SUNARP
Administración Pública
• Coordinación más efectiva de proyectos, recursos, funciones
Medios de pago electrónicos
• Pagos vía Internet, fácil y seguro, integrando al Banco de la Nación.
Proyección
Integración total de las entidades públicas, con el añadido de una
reingeniería de procesos
Gobierno electrónico orientado a servicios y resultados
Implementación de integración jerárquica en dos o tres niveles
Implementación de la red de gobierno electrónico del Perú, con
estándares de disponibilidad de nivel de clase mundial (99.999%)
Implementación de nuevos servicios o mejora a los existentes en
tiempos record
Adaptabilidad de los servicios a las nuevas necesidades del ciudadano
en el entorno globalizado
Estandares I Etapa
Estándares que soporten el BASIC PROFILE 1
SOAP 1.1 Simple Object Acces Protocol
HTTP 1.1
XML 1.0 y Namespaces in XML 1.0
XML Schema Part 1 (Structures) y Part 2 (DataTypes)
Web Services Description Language WSDL 1.1
UDDI v2
Mecanismos para invocar Servicios Web sobre HTTPS ( HTTP over TLS, etc)
GRACIAS POR SU ATENCIÓN
LA PIDE AL SERVICIO DEL PAÍS
