Decreto N° 3.335 de fecha 14 de diciembre de 2004, mediante el cual se dicta el Reglamento Parcial del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas, publicado en la Gaceta Oficial de la República Bolivariana de Venezuela Nº 38.086 de fecha 14 de diciembre de 2004.
☑ Vigente ☞ FICHA TÉCNICA
Decreto N° 3.335 12 de diciembre de 2004
HUGO CHAVEZ FRIAS Presidente de la República
En ejercicio de la atribución que le confiere el numeral 10 del artículo 236 de la Constitución de la República Bolivariana de Venezuela, en concordancia con el artículo 87 de la Ley Orgánica de la Administración Pública, en Consejo de Ministros,
DICTA
el siguiente,
REGLAMENTO PARCIAL DEL DECRETO LEY SOBRE MENSAJES DE DATOS Y FIRMAS ELECTRÓNICAS
Capítulo I Disposiciones Generales
Objeto Artículo 1. El presente Reglamento tiene por objeto desarrollar la normativa que regula la acreditación de los Proveedores de Servicios de Certificación ante la Superintendencia de Servicios de Certificación Electrónica, la creación del Registro de Auditores, así como los estándares, planes y procedimientos de seguridad, de conformidad con el Decreto Ley.
Definiciones Artículo 2. A los efectos del presente Reglamento se entenderá por:
Declaración de Prácticas de Certificación: Documento en el cual el Proveedor de Servicios de Certificación Electrónica define los procedimientos relacionados con el manejo de los certificados electrónicos que emite.
Política de Certificados: Documento en el cual el Proveedor de Servicios de Certificación Electrónica, define las reglas a seguir para el uso de un Certificado Electrónico en una comunidad de usuarios o aplicación determinados y sus requerimientos de seguridad.
Datos de Generación de Firma Electrónica: Valor o valores numéricos que utilizados conjuntamente con un procedimiento matemático sirven para crear la firma electrónica asociada a un mensaje de datos.
Datos de Verificación de la Firma Electrónica: Valor o valores numéricos que son utilizados para comprobar que la firma electrónica fue creada con los datos de generación de firma electrónica del signatario.
Repositorio: Sistema de Información utilizado para el almacenamiento y acceso de los certificados electrónicos y la información asociada a los mismos.
Auditores: Son los expertos técnicos en la materia, inscritos en el Registro de Auditores de la Superintendencia de Servicios de Certificación Electrónica.
Capítulo II De la Acreditación de los Proveedores de Servicios de Certificación
Presentación de la Solicitud de Acreditación Artículo 3. El Proveedor de Servicios de Certificación Electrónica presentará la solicitud de acreditación ante la Superintendencia de Servicios de Certificación Electrónica, con los siguientes recaudos e información:
1. Identificación completa del solicitante.
2. Información económica y financiera, con la cual se demuestre la capacidad suficiente para prestar servicios como Proveedor de Servicios de Certificación.
3. Copia de los contratos correspondientes a aquellos servicios que sean prestados por terceros, en caso de haberlos.
4. Proyectos de contratos a ser suscritos con los signatarios.
5. Políticas de Certificados y Declaración de Prácticas de Certificación.
6. Estados financieros auditados y declaraciones del impuesto sobre la renta de los dos últimos ejercicios fiscales.
7. Informe de auditoría de acuerdo con lo establecido en el artículo 5 de este Reglamento, elaborado por auditores independientes, no vinculados e inscritos en el registro que a tal efecto lleva la Superintendencia de Servicios de Certificación Electrónica.
8. Documento con la descripción detallada de la infraestructura, planes y procedimientos establecidos en el Capítulo VIII de este Reglamento. En caso que toda o parte de la infraestructura sea prestada por un tercero debe incluirse copia de los contratos o convenios con éste.
Los requisitos establecidos anteriormente, así como cualquier otro documento a los que se refiere este Reglamento, deberán presentarse en idioma castellano o traducido al castellano por intérprete público.
Admisibilidad de la Solicitud Artículo 4. Una vez presentados todos los recaudos establecidos en el Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas y este Reglamento, la Superintendencia de Servicios de Certificación Electrónica tendrá veinte días hábiles de conformidad con el artículo 32 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas para pronunciarse sobre la solicitud de la Acreditación.
Contenido del Informe de Auditoría Artículo 5. El informe de auditoría deberá contener los siguientes requisitos:
1. Nombre e identificación de los auditores.
2. Fecha de inicio y terminación de la auditoría.
3. Declaración de conformidad de cada una de las condiciones previstas en el artículo 31 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas y las demás previstas en este Reglamento.
4. Manifestación del cumplimiento de los estándares indicados en el Capítulo VIII de este Reglamento.
5. Firma del auditor.
Inspecciones y Visitas en el Procedimiento de Acreditación Artículo 6. Durante todo el procedimiento de acreditación, la Superintendencia de Servicios de Certificación Electrónica podrá, realizar visitas a las instalaciones del solicitante por intermedio de sus funcionarios o por expertos especialmente autorizados para tal fin.
Pronunciamiento de la Superintendencia de Servicios de Certificación Electrónica sobre las Garantías Artículo 7. Aprobada la solicitud, el Proveedor de Servicios de Certificación Electrónica deberá presentar las garantías necesarias para su acreditación.
Presentadas las garantías y verificadas por la Superintendencia de Servicios de Certificación Electrónica, ésta procederá a acreditar al Proveedor de Servicio de Certificación Electrónica mediante providencia publicada en la Gaceta Oficial de la República Bolivariana de Venezuela.
La Superintendencia de Servicios de Certificación Electrónica no otorgará la Acreditación, hasta tanto el solicitante cumpla con los requisitos establecidos en el artículo 32 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas. Dicha decisión será debidamente notificada al interesado mediante acto motivado.
Duración de la Acreditación Artículo 8. La acreditación de los Proveedores de Servicios de Certificación ante la Superintendencia de Servicios de Certificación Electrónica, tendrá la duración de un año.
Renovación de la Acreditación Artículo 9. El Proveedor de Servicios de Certificación, deberá solicitar la renovación de la acreditación dentro de los cuarenta y cinco días continuos, previos al vencimiento de la acreditación.
Al momento de la solicitud de la renovación, el Proveedor de Servicios de Certificación deberá presentar nuevamente todos los recaudos de conformidad con lo establecido en el artículo 3 de este Reglamento.
La Superintendencia de Servicios de Certificación Electrónica tendrá veinte días de conformidad con la ley que rige los procedimientos administrativos, para el pronunciamiento de la renovación de la acreditación, e informará al Proveedor de Servicios de Certificación, dentro de los cinco días siguientes a la presentación de la solicitud de renovación, la omisión o incumplimiento de algún requisito.
Notificación de la Revocatoria de la Acreditación Artículo 10. La revocatoria de la acreditación surtirá sus efectos a partir de la fecha de su publicación en la Gaceta Oficial de la República Bolivariana de Venezuela.
Los Proveedores de Servicio de Certificación cuya acreditación haya sido revocada, deberán comunicar inmediatamente este hecho a los titulares de los certificados electrónicos por ellos emitidos. Sin perjuicio de ello, la Superintendencia de Servicios de Certificación Electrónica publicará en un diario de los de mayor circulación nacional un aviso dando cuenta de la revocatoria. El costo de dicho aviso será por cuenta del Proveedor de Servicios de Certificación.
Responsabilidad por los Perjuicios Causados por la Revocación Artículo 11. El Proveedor de Servicios de Certificación será responsable de los perjuicios que pueda causar la revocatoria de la acreditación a los titulares de los Certificados Electrónicos que se encontraban vigentes. Los costos de transferencia a otro proveedor acreditado, serán por cuenta del Proveedor de Servicios de Certificación cuya acreditación se revocó.
Capítulo III De los Proveedores de Servicios de Certificación Acreditados
Obligaciones de los Proveedores de Servicios de Certificación Acreditados Artículo 12. Los Proveedores de Servicios de Certificación Electrónica, de conformidad con lo previsto en el artículo 35 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas, deberán:
1. Comprobar presencialmente la identidad de los solicitantes de los Certificados Electrónicos y verificar cualesquiera otras circunstancias relevantes, en forma previa a la expedición, conservando la documentación que respalda dicha identificación por el tiempo señalado en el numeral 4 del artículo 35 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas.
2. Mantener a disposición permanente del público en su página Web o en cualquier otra red mundial de acceso público y con un acceso desde su página inicial, la declaración de prácticas de certificación y las políticas de certificados vigentes.
3. Cumplir cabalmente con las políticas de certificados y la declaración de prácticas de certificación vigente.
4. Informar en la forma establecida en el numeral 4 del artículo 31 y numeral 6 del artículo 35 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas, el nivel de confiabilidad de sus certificados electrónicos, los límites de responsabilidad del Proveedor de Servicios de Certificación y las obligaciones que el signatario asume como usuario del servicio de certificación.
5. Garantizar la prestación permanente e ininterrumpida del servicio. Quedan a salvo las suspensiones que autorice la Superintendencia de Servicios de Certificación Electrónica de conformidad con la Ley y sus reglamentos.
6. Garantizar de manera fácil y permanente el acceso de los signatarios y terceros al repositorio.
7. Informar a la Superintendencia de Servicios de Certificación Electrónica de manera inmediata, cualquier evento que comprometa la prestación del servicio.
8. Abstenerse de almacenar los datos de generación de firma del signatario y garantizar un método de creación de los mismos, que impida mantener copia una vez que éstos hayan sido entregados al signatario.
9. Mantener actualizado el registro de los certificados electrónicos revocados.
10. Informar al signatario dentro de las veinticuatro horas siguientes de la suspensión o revocatoria de su Certificado Electrónico.
11. Mantener el control exclusivo de sus datos de generación de firma electrónica como Proveedor de Servicios de Certificación, y establecer las medidas de seguridad necesarias para que ésta no se divulgue o comprometa.
Cambio o Actualización de Datos de un Proveedor de Servicios de Certificación Artículo 13. Si el Proveedor de Servicios de Certificación realizara cualquier reforma de los estatutos sociales de la empresa, así como la ubicación de sus oficinas principales, deberá notificarlo a la Superintendencia de Servicios de Certificación Electrónica dentro de los diez días siguientes a la modificación o cambio, a los fines de mantener actualizada la información.
Modificación de la Declaración de Prácticas de Certificación y las Políticas de Certificados Artículo 14. El Proveedor de Servicios de Certificación acreditado deberá someter a la autorización de la Superintendencia de Servicios de Certificación Electrónica, cualquier modificación en su declaración de Prácticas de Certificación. Asimismo, deberá someter a la autorización de la Superintendencia de Servicios de Certificación Electrónica cualquier creación, modificación o eliminación de sus políticas de certificados.
Información Periódica Artículo 15. Para fines estadísticos, el Proveedor de Servicios de Certificación acreditado, deberá enviar a la Superintendencia de Servicios de Certificación Electrónica, dentro de los primeros diez días del inicio de cada trimestre un reporte sobre la actividad del trimestre anterior, discriminada mes a mes con la siguiente información:
1. Cantidad de Certificados Electrónicos emitidos, de acuerdo con las políticas de certificados autorizados por la Superintendencia de Servicios de Certificación Electrónica, para dicho Proveedor de Servicios de Certificación.
2. Cantidad de Certificados Electrónicos vigentes, de acuerdo con las políticas de certificados autorizados por la Superintendencia de Servicios de Certificación Electrónica, para el Proveedor de Servicios de Certificación.
3. Cantidad de Certificados Electrónicos revocados, de acuerdo con las políticas de certificados autorizados por la Superintendencia de Servicios de Certificación Electrónica, para el Proveedor de Servicios de Certificación.
Suspensión del Servicio por Mantenimiento y Mejoras de Sistemas Artículo 16. Los Proveedores de Servicios de Certificación podrán cesar temporalmente la prestación del servicio, a fin de hacer mantenimiento o mejoras a sus sistemas hasta por setenta y dos horas acumulativas por cada año calendario.
Cuando la suspensión deba exceder el lapso indicado en el párrafo anterior, el Proveedor de Servicios de Certificación, deberá solicitar a la Superintendencia de Servicios de Certificación Electrónica la autorización correspondiente.
El Proveedor de Servicios de Certificación deberá informar al signatario la suspensión con no menos de veinticuatro horas de anticipación, y deberá remitir a la Superintendencia de Servicios de Certificación Electrónica, la constancia de dicho aviso durante las veinticuatro horas siguientes de haber informado al signatario.
Suspensión del Servicio por Caso Fortuito o Fuerza Mayor Artículo 17. Cuando por caso fortuito o fuerza mayor se ocasione la suspensión de la prestación de sus servicios, el Proveedor de Servicios de Certificación deberá, notificarlo a sus usuarios dentro de las veinticuatro horas siguientes al inicio de la misma y remitir constancia de dicha notificación a la Superintendencia de Servicios de Certificación Electrónica, adicionalmente, deberá consignar ante este servicio autónomo, un informe contentivo de las causas y período de la suspensión en un plazo no mayor de cuarenta y ocho horas luego del restablecimiento del servicio.
Indicación de la Acreditación Artículo 18. El Proveedor de Servicios de Certificación podrá, señalar en cualquier medio en el cual publicite sus servicios, que ha sido debidamente acreditado ante la Superintendencia de Servicios de Certificación Electrónica.
Capítulo IV De los Proveedores de Servicios de Certificación Extranjeros
Garantía de los Certificados Electrónicos Extranjeros Artículo 19. Los certificados electrónicos emitidos por un Proveedor de Servicios de Certificación Extranjero, de conformidad con lo establecido en el artículo 44 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas, deberán ser garantizados por el Proveedor de Servicios de Certificación acreditado ante la Superintendencia de Servicios de Certificación Electrónica, la cual verificará la suficiencia de la garantía y la adecuación de ésta a las normas para el desarrollo de esta actividad.
Notificación de la Garantía de Certificación Artículo 20. El Proveedor de Servicios de Certificación acreditado que garantice certificados electrónicos extranjeros, deberá comunicar a la Superintendencia de Servicios de Certificación Electrónica la fecha a partir de la cual la garantía a la que se refiere el artículo anterior será efectiva en sus sistemas.
La forma y alcance de la garantía de los certificados extranjeros deberán estar establecidas en la Declaración de Prácticas de Certificación del garante.
Efectos de la Garantía del Certificado Extranjero Artículo 21. El efecto de la garantía de cada certificado extranjero, se limitará a las características establecidas en la Política de Certificado correspondiente y por el período de validez del mismo.
Los signatarios de los certificados electrónicos garantizados y los terceros interesados tendrán idénticos derechos que los signatarios y terceros interesados de los certificados electrónicos propios del Proveedor de Servicios de Certificación que hace el reconocimiento.
Capítulo V De la Supervisión de los Proveedores de Servicios de Certificación Acreditados por la Superintendencia de Servicios de Certificación Electrónica
Realización de Inspecciones Artículo 22. La Superintendencia de Servicios de Certificación Electrónica ejercerá la facultad inspectora sobre los Proveedores de Servicios de Certificación, y podrá, a tal efecto, requerir la información correspondiente y realizar las visitas a sus instalaciones con el fin de comprobar el cumplimiento de sus obligaciones de conformidad con las competencias establecidas en el Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas.
Inspecciones Ordinarias y Extraordinarias Artículo 23. La Superintendencia de Servicios de Certificación Electrónica podrá realizar inspecciones tanto ordinarias como extraordinarias a los Proveedores de Servicios de Certificación.
La inspección ordinaria, consiste en una visita anual a las instalaciones del Proveedor de Servicios de Certificación acreditado, y el requerimiento en forma semestral de información sobre el desarrollo de sus actividades.
La inspección extraordinaria, podrá ser practicada en cualquier momento, por denuncia de terceros sobre inconsistencias en la prestación del servicio o de oficio.
Ejecución de las Inspecciones Artículo 24. La Superintendencia de Servicios de Certificación Electrónica realizará las inspecciones a través de sus funcionarios, y podrá hacerse asistir de los expertos técnicos o legales que considere necesarios para facilitar el ejercicio de sus competencias.
La Superintendencia de Servicios de Certificación Electrónica, podrá requerir al Proveedor de Servicios de Certificación toda la información técnica, financiera o de cualquier otra naturaleza que considere necesaria, dentro del ámbito de sus competencias.
Confidencialidad de la Información Suministrada Artículo 25. La Superintendencia de Servicios de Certificación Electrónica, así como, el personal que actúe bajo su dependencia o por cuenta de ella, deberá mantener la confidencialidad de la información y documentos entregados por los Proveedores de Servicios de Certificación, cuando dicha información revista tal carácter, en virtud de las normas legales vigentes.
Capítulo VI Del Registro de Auditores
De los Auditores Artículo 26. A los efectos de lo establecido en el artículo 26 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas, las auditorías a las que se refiere la mencionada Ley y sus reglamentos, serán realizadas por auditores debidamente inscritos ante la Superintendencia de Servicios de Certificación Electrónica, de conformidad con lo dispuesto en el presente Reglamento.
Solamente los informes de los auditores inscritos ante la Superintendencia de Servicios de Certificación Electrónica podrán, hacerse valer como parte de los requisitos de acreditación exigidos, o en cualquier otro caso en que se requiera de conformidad con el Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas y sus Reglamentos.
Creación del Registro de Auditores Artículo 27. La Superintendencia de Servicios de Certificación Electrónica creará un Registro de Auditores, con el propósito de inscribir a las personas autorizadas para la realización de los informes de auditoría, con base en lo dispuesto en el numeral 14 del artículo 22 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas.
Solicitud de Inscripción en el Registro Artículo 28. A los fines de la inscripción en el Registro de Auditores de la Superintendencia de Servicios de Certificación Electrónica, los interesados deberán realizar su solicitud por escrito y cumplir con los requisitos previamente establecidos por la Superintendencia de Servicios de Certificación Electrónica.
Decisión de Inscripción en el Registro Artículo 29. Recibida la solicitud, la Superintendencia de Servicios de Certificación Electrónica dispondrá de veinte días hábiles para decidir sobre la inscripción en el Registro de Auditores de conformidad con lo que establece la ley que rige los procedimientos administrativos.
La Superintendencia de Servicios de Certificación Electrónica informará al solicitante, dentro de los cinco días siguientes a la presentación de la solicitud de inscripción, la omisión o incumplimiento de algún requisito, de conformidad con la ley que rige los procedimientos administrativos. Dicho pronunciamiento será debidamente notificado al solicitante.
Vigencia de la Inscripción en el Registro Artículo 30. Decidida favorablemente la inscripción en el Registro de Auditores, la Superintendencia de Servicios de Certificación Electrónica expedirá una certificación de inscripción que tendrá una vigencia de tres años.
Renovación de la Inscripción Artículo 31. Al momento de la renovación del Registro de Auditores, el auditor deberá presentar nuevamente todos los recaudos que son necesarios para la inscripción, dentro de un lapso de cuarenta y cinco días continuos previos al vencimiento.
La Superintendencia de Servicios de Certificación Electrónica tendrá, veinte días hábiles para el pronunciamiento de la renovación de la inscripción, de conformidad con lo establecido con la Ley que rige los procedimientos administrativos.
Asimismo, la Superintendencia de Servicios de Certificación Electrónica informará al auditor dentro de los cinco días siguientes a la presentación de la solicitud de renovación, la omisión o incumplimiento de algún requisito, de conformidad con la Ley que rige los procedimientos administrativos. Dicho pronunciamiento será debidamente notificado al solicitante.
Capítulo VII De los Certificados Electrónicos y de las Firmas Electrónicas
Contenido de los Certificados Electrónicos Artículo 32. Los Certificados Electrónicos emitidos por los Proveedores de Servicios de Certificación acreditados por la Superintendencia de Servicios de Certificación Electrónica, podrán incluir información adicional a la requerida en el artículo 43 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas, siempre y cuando ésta no dificulte o impida su lectura o el reconocimiento de dichos certificados por terceros.
Manejo de los Datos de Generación de Firma Electrónica Artículo 33. Los Datos de Generación de la Firma Electrónica creados por el Proveedor de Servicios de Certificación Electrónica, deberán ser entregados al signatario en forma personal y de manera inmediata quedando comprobada la recepción de los mismos mediante acuse de recibo. A partir de este momento, el signatario pasará a ser responsable del uso y resguardo de los Datos de Generación de Firma Electrónica.
El Proveedor de Servicios de Certificación Electrónica, no podrá mantener copia de los Datos de Generación de la Firma Electrónica del signatario.
Capítulo VIII De los Estándares, Planes y Procedimientos de Seguridad
Políticas, Planes y Procedimientos de Seguridad Artículo 34. El Proveedor de Servicios de Certificación debe definir y poner en práctica políticas, planes y procedimientos de seguridad orientados a garantizar la prestación continua de los servicios de certificación y el resguardo de los registros, que deberán ser revisados y actualizados periódicamente, los cuales deben incluir:
1. Políticas y procedimientos de seguridad de las instalaciones físicas y los equipos.
2. Políticas de acceso a los sistemas e instalaciones del proveedor y monitoreo constante de los mismos.
3. Planes y procedimientos de actualización de hardware y software, utilizados para la operación de Proveedores de Servicios de Certificación.
4. Planes y procedimientos de contingencia en cada uno de los riesgos potenciales que atenten en contra del funcionamiento del Proveedor de Servicios de Certificación, según estudio que se actualizará periódicamente.
5. Plan de manejo, control y prevención de virus informático.
Cumplimiento de los Requisitos Técnicos Artículo 35. El Proveedor de Servicios de Certificación Electrónica deberá contar con el personal calificado, infraestructura física y tecnológica y sistemas de seguridad de conformidad con el artículo 31, numerales 2, 3, 4, 5 y 7, del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas, así como con las siguientes obligaciones técnicas:
1. Generar las firmas electrónicas propias, y prestar los servicios para los cuales ha sido autorizado en la correspondiente acreditación.
2. Garantizar el cumplimiento de lo previsto en la Declaración de Prácticas de Certificación y las Políticas de Certificados.
3. Garantizar que los certificados expedidos cumplan con lo previsto en el artículo 43 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas y por lo menos, con alguno de los estándares de certificados admitidos por la Superintendencia de Servicios de Certificación Electrónica.
4. Establecer sistemas de seguridad en las instalaciones, con monitoreo permanente de la infraestructura física, y con acceso restringido a los equipos de sistemas de operación del Proveedor de Servicios de Certificación Electrónica.
5. Someter los datos de generación de firma electrónica al procedimiento propio de seguridad que evite el acceso físico o de otra índole, a personal no autorizado.
6. Garantizar que los sistemas que cumplan las funciones de certificación sólo sean utilizados para ese fin, y no puedan realizar ninguna otra función.
7. Garantizar que todos los sistemas que participen directa o indirectamente en la función de certificación estén protegidos por sistemas y procedimientos de autenticación y seguridad de alto nivel de protección, que serán actualizados de acuerdo con los avances tecnológicos para garantizar la correcta prestación del servicio.
Estándares Artículo 36. La Superintendencia de Servicios de Certificación Electrónica de conformidad con la facultad que le confieren los artículos 22 numeral 5 y 27 (sic) del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas, establecerá los estándares o las prácticas aceptadas para la prestación de los Servicios de Certificación Electrónica.
Infraestructura Prestada por un Tercero Artículo 37. Cuando el Proveedor de Servicios de Certificación requiera o utilice infraestructura o servicios tecnológicos prestados por un tercero, los contratos deberán prever que a la terminación de los mismos, se establezca un tiempo suficiente para que el Proveedor de Servicios de Certificación tome las medidas necesarias para garantizar la continuidad de la prestación de sus servicios sin perjuicio alguno para los signatarios. La contratación de esta infraestructura o servicios no exime al Proveedor de Servicios de Certificación, de la presentación de los informes de auditoría previstos en este Reglamento, los cuales deben incluir los sistemas informáticos y de seguridad del tercero contratado.
Disposición Final
Única. El presente Reglamento entrará en vigencia a partir de la fecha de su publicación en la Gaceta Oficial de la República Bolivariana de Venezuela.
Dado en Caracas, a los doce días del mes de Diciembre de dos mil cuatro. Años 194° de la Independencia y 145° de la Federación.
Ejecútese, (L.S.) HUGO CHÁVEZ FRÍAS
Refrendado
El Vicepresidente Ejecutivo, JOSÉ VICENTE RANGEL El Ministro Interior y Justicia, JESSE CHACÓN ESCAMILLO El Ministro de Finanzas, NELSON JOSÉ MERENTE DÍAZ El Ministro de la Defensa, JORGE LUIS GARCÍA CARNEIRO El Ministro de la Producción y el Comercio, WILMAR CASTRO SOTELDO El Ministro de Agricultura y Tierras, ARNOLDO MÁRQUEZ El Ministro de Educación Superior, SAMUEL MONCADA ACOSTA El Ministro de Educación y Deportes, ARISTÓBULO ISTURIZ ALMEIDA El Ministro de Salud Y Desarrollo Social, FRANCISCO ARMADA El Ministro del Trabajo, MARÍA CRISTINA IGLESIAS El Ministro de Infraestructura, RAMÓN LONZO CARRIZÁLEZ RENGIFO El Encargado del Ministerio de Energía y Minas, ORLANDO ORTEGANO QUEVEDO El Ministro de Planificación y Desarrollo, JORGE GIORDANI La Ministra de Ciencia y Tecnología, MARLENE YADIRA CÓRDOVA El Ministro para la Alimentación, JORGE JOSÉ OROPEZA El Ministro para la Economía Popular, ELÍAS JAUA MILANO El Ministro de Estado para la Coordinación y Control de las Zonas Especiales de Desarrollo Sustentable, JOSÉ FRANCISCO NATERA MARTÍNEZ El Ministro de Estado para la Cultura, FRANCISCO DE ASIS SESTO NOVA El Ministro de Estado para la Vivienda, JULIO AUGUSTO MONTES PRADO
☞Visualiza la versión original publicada en la Gaceta Oficial de la República Bolivariana de Venezuela
El servicio de envío de los archivos de las Publicaciones Oficiales (Gaceta Oficial de la República, Gaceta Judicial, Gaceta Legislativa y Gaceta Electoral), está reservado exclusivamente a los Mecenas de Pandectas Digital, quienes gracias a su contribución, permiten que la visualización y consulta que estás haciendo de este documento sea de acceso público, libre y totalmente gratuita.
Te invitamos a que te conviertas tú también en Mecenas de este proyecto, y así podrás recibir en tu correo los archivos de las Publicaciones Oficiales que vayamos incorporando a nuestra compilación.
Visítanos en www.patreon.com/pandectasdigital para obtener toda la información sobre ésta y otras de las ventajas de convertirte en Mecenas.
full-width
Decreto N° 3.335 de fecha 14 de diciembre de 2004, mediante el cual se dicta el Reglamento Parcial del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas, publicado en la Gaceta Oficial de la República Bolivariana de Venezuela Nº 38.086 de fecha 14 de diciembre de 2004.
☑ Vigente ☞ FICHA TÉCNICA
Decreto N° 3.335 12 de diciembre de 2004
HUGO CHAVEZ FRIAS Presidente de la República
En ejercicio de la atribución que le confiere el numeral 10 del artículo 236 de la Constitución de la República Bolivariana de Venezuela, en concordancia con el artículo 87 de la Ley Orgánica de la Administración Pública, en Consejo de Ministros,
DICTA
el siguiente,
REGLAMENTO PARCIAL DEL DECRETO LEY SOBRE MENSAJES DE DATOS Y FIRMAS ELECTRÓNICAS
Capítulo I Disposiciones Generales
Objeto Artículo 1. El presente Reglamento tiene por objeto desarrollar la normativa que regula la acreditación de los Proveedores de Servicios de Certificación ante la Superintendencia de Servicios de Certificación Electrónica, la creación del Registro de Auditores, así como los estándares, planes y procedimientos de seguridad, de conformidad con el Decreto Ley.
Definiciones Artículo 2. A los efectos del presente Reglamento se entenderá por:
Declaración de Prácticas de Certificación: Documento en el cual el Proveedor de Servicios de Certificación Electrónica define los procedimientos relacionados con el manejo de los certificados electrónicos que emite.
Política de Certificados: Documento en el cual el Proveedor de Servicios de Certificación Electrónica, define las reglas a seguir para el uso de un Certificado Electrónico en una comunidad de usuarios o aplicación determinados y sus requerimientos de seguridad.
Datos de Generación de Firma Electrónica: Valor o valores numéricos que utilizados conjuntamente con un procedimiento matemático sirven para crear la firma electrónica asociada a un mensaje de datos.
Datos de Verificación de la Firma Electrónica: Valor o valores numéricos que son utilizados para comprobar que la firma electrónica fue creada con los datos de generación de firma electrónica del signatario.
Repositorio: Sistema de Información utilizado para el almacenamiento y acceso de los certificados electrónicos y la información asociada a los mismos.
Auditores: Son los expertos técnicos en la materia, inscritos en el Registro de Auditores de la Superintendencia de Servicios de Certificación Electrónica.
Capítulo II De la Acreditación de los Proveedores de Servicios de Certificación
Presentación de la Solicitud de Acreditación Artículo 3. El Proveedor de Servicios de Certificación Electrónica presentará la solicitud de acreditación ante la Superintendencia de Servicios de Certificación Electrónica, con los siguientes recaudos e información:
1. Identificación completa del solicitante.
2. Información económica y financiera, con la cual se demuestre la capacidad suficiente para prestar servicios como Proveedor de Servicios de Certificación.
3. Copia de los contratos correspondientes a aquellos servicios que sean prestados por terceros, en caso de haberlos.
4. Proyectos de contratos a ser suscritos con los signatarios.
5. Políticas de Certificados y Declaración de Prácticas de Certificación.
6. Estados financieros auditados y declaraciones del impuesto sobre la renta de los dos últimos ejercicios fiscales.
7. Informe de auditoría de acuerdo con lo establecido en el artículo 5 de este Reglamento, elaborado por auditores independientes, no vinculados e inscritos en el registro que a tal efecto lleva la Superintendencia de Servicios de Certificación Electrónica.
8. Documento con la descripción detallada de la infraestructura, planes y procedimientos establecidos en el Capítulo VIII de este Reglamento. En caso que toda o parte de la infraestructura sea prestada por un tercero debe incluirse copia de los contratos o convenios con éste.
Los requisitos establecidos anteriormente, así como cualquier otro documento a los que se refiere este Reglamento, deberán presentarse en idioma castellano o traducido al castellano por intérprete público.
Admisibilidad de la Solicitud Artículo 4. Una vez presentados todos los recaudos establecidos en el Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas y este Reglamento, la Superintendencia de Servicios de Certificación Electrónica tendrá veinte días hábiles de conformidad con el artículo 32 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas para pronunciarse sobre la solicitud de la Acreditación.
Contenido del Informe de Auditoría Artículo 5. El informe de auditoría deberá contener los siguientes requisitos:
1. Nombre e identificación de los auditores.
2. Fecha de inicio y terminación de la auditoría.
3. Declaración de conformidad de cada una de las condiciones previstas en el artículo 31 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas y las demás previstas en este Reglamento.
4. Manifestación del cumplimiento de los estándares indicados en el Capítulo VIII de este Reglamento.
5. Firma del auditor.
Inspecciones y Visitas en el Procedimiento de Acreditación Artículo 6. Durante todo el procedimiento de acreditación, la Superintendencia de Servicios de Certificación Electrónica podrá, realizar visitas a las instalaciones del solicitante por intermedio de sus funcionarios o por expertos especialmente autorizados para tal fin.
Pronunciamiento de la Superintendencia de Servicios de Certificación Electrónica sobre las Garantías Artículo 7. Aprobada la solicitud, el Proveedor de Servicios de Certificación Electrónica deberá presentar las garantías necesarias para su acreditación.
Presentadas las garantías y verificadas por la Superintendencia de Servicios de Certificación Electrónica, ésta procederá a acreditar al Proveedor de Servicio de Certificación Electrónica mediante providencia publicada en la Gaceta Oficial de la República Bolivariana de Venezuela.
La Superintendencia de Servicios de Certificación Electrónica no otorgará la Acreditación, hasta tanto el solicitante cumpla con los requisitos establecidos en el artículo 32 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas. Dicha decisión será debidamente notificada al interesado mediante acto motivado.
Duración de la Acreditación Artículo 8. La acreditación de los Proveedores de Servicios de Certificación ante la Superintendencia de Servicios de Certificación Electrónica, tendrá la duración de un año.
Renovación de la Acreditación Artículo 9. El Proveedor de Servicios de Certificación, deberá solicitar la renovación de la acreditación dentro de los cuarenta y cinco días continuos, previos al vencimiento de la acreditación.
Al momento de la solicitud de la renovación, el Proveedor de Servicios de Certificación deberá presentar nuevamente todos los recaudos de conformidad con lo establecido en el artículo 3 de este Reglamento.
La Superintendencia de Servicios de Certificación Electrónica tendrá veinte días de conformidad con la ley que rige los procedimientos administrativos, para el pronunciamiento de la renovación de la acreditación, e informará al Proveedor de Servicios de Certificación, dentro de los cinco días siguientes a la presentación de la solicitud de renovación, la omisión o incumplimiento de algún requisito.
Notificación de la Revocatoria de la Acreditación Artículo 10. La revocatoria de la acreditación surtirá sus efectos a partir de la fecha de su publicación en la Gaceta Oficial de la República Bolivariana de Venezuela.
Los Proveedores de Servicio de Certificación cuya acreditación haya sido revocada, deberán comunicar inmediatamente este hecho a los titulares de los certificados electrónicos por ellos emitidos. Sin perjuicio de ello, la Superintendencia de Servicios de Certificación Electrónica publicará en un diario de los de mayor circulación nacional un aviso dando cuenta de la revocatoria. El costo de dicho aviso será por cuenta del Proveedor de Servicios de Certificación.
Responsabilidad por los Perjuicios Causados por la Revocación Artículo 11. El Proveedor de Servicios de Certificación será responsable de los perjuicios que pueda causar la revocatoria de la acreditación a los titulares de los Certificados Electrónicos que se encontraban vigentes. Los costos de transferencia a otro proveedor acreditado, serán por cuenta del Proveedor de Servicios de Certificación cuya acreditación se revocó.
Capítulo III De los Proveedores de Servicios de Certificación Acreditados
Obligaciones de los Proveedores de Servicios de Certificación Acreditados Artículo 12. Los Proveedores de Servicios de Certificación Electrónica, de conformidad con lo previsto en el artículo 35 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas, deberán:
1. Comprobar presencialmente la identidad de los solicitantes de los Certificados Electrónicos y verificar cualesquiera otras circunstancias relevantes, en forma previa a la expedición, conservando la documentación que respalda dicha identificación por el tiempo señalado en el numeral 4 del artículo 35 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas.
2. Mantener a disposición permanente del público en su página Web o en cualquier otra red mundial de acceso público y con un acceso desde su página inicial, la declaración de prácticas de certificación y las políticas de certificados vigentes.
3. Cumplir cabalmente con las políticas de certificados y la declaración de prácticas de certificación vigente.
4. Informar en la forma establecida en el numeral 4 del artículo 31 y numeral 6 del artículo 35 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas, el nivel de confiabilidad de sus certificados electrónicos, los límites de responsabilidad del Proveedor de Servicios de Certificación y las obligaciones que el signatario asume como usuario del servicio de certificación.
5. Garantizar la prestación permanente e ininterrumpida del servicio. Quedan a salvo las suspensiones que autorice la Superintendencia de Servicios de Certificación Electrónica de conformidad con la Ley y sus reglamentos.
6. Garantizar de manera fácil y permanente el acceso de los signatarios y terceros al repositorio.
7. Informar a la Superintendencia de Servicios de Certificación Electrónica de manera inmediata, cualquier evento que comprometa la prestación del servicio.
8. Abstenerse de almacenar los datos de generación de firma del signatario y garantizar un método de creación de los mismos, que impida mantener copia una vez que éstos hayan sido entregados al signatario.
9. Mantener actualizado el registro de los certificados electrónicos revocados.
10. Informar al signatario dentro de las veinticuatro horas siguientes de la suspensión o revocatoria de su Certificado Electrónico.
11. Mantener el control exclusivo de sus datos de generación de firma electrónica como Proveedor de Servicios de Certificación, y establecer las medidas de seguridad necesarias para que ésta no se divulgue o comprometa.
Cambio o Actualización de Datos de un Proveedor de Servicios de Certificación Artículo 13. Si el Proveedor de Servicios de Certificación realizara cualquier reforma de los estatutos sociales de la empresa, así como la ubicación de sus oficinas principales, deberá notificarlo a la Superintendencia de Servicios de Certificación Electrónica dentro de los diez días siguientes a la modificación o cambio, a los fines de mantener actualizada la información.
Modificación de la Declaración de Prácticas de Certificación y las Políticas de Certificados Artículo 14. El Proveedor de Servicios de Certificación acreditado deberá someter a la autorización de la Superintendencia de Servicios de Certificación Electrónica, cualquier modificación en su declaración de Prácticas de Certificación. Asimismo, deberá someter a la autorización de la Superintendencia de Servicios de Certificación Electrónica cualquier creación, modificación o eliminación de sus políticas de certificados.
Información Periódica Artículo 15. Para fines estadísticos, el Proveedor de Servicios de Certificación acreditado, deberá enviar a la Superintendencia de Servicios de Certificación Electrónica, dentro de los primeros diez días del inicio de cada trimestre un reporte sobre la actividad del trimestre anterior, discriminada mes a mes con la siguiente información:
1. Cantidad de Certificados Electrónicos emitidos, de acuerdo con las políticas de certificados autorizados por la Superintendencia de Servicios de Certificación Electrónica, para dicho Proveedor de Servicios de Certificación.
2. Cantidad de Certificados Electrónicos vigentes, de acuerdo con las políticas de certificados autorizados por la Superintendencia de Servicios de Certificación Electrónica, para el Proveedor de Servicios de Certificación.
3. Cantidad de Certificados Electrónicos revocados, de acuerdo con las políticas de certificados autorizados por la Superintendencia de Servicios de Certificación Electrónica, para el Proveedor de Servicios de Certificación.
Suspensión del Servicio por Mantenimiento y Mejoras de Sistemas Artículo 16. Los Proveedores de Servicios de Certificación podrán cesar temporalmente la prestación del servicio, a fin de hacer mantenimiento o mejoras a sus sistemas hasta por setenta y dos horas acumulativas por cada año calendario.
Cuando la suspensión deba exceder el lapso indicado en el párrafo anterior, el Proveedor de Servicios de Certificación, deberá solicitar a la Superintendencia de Servicios de Certificación Electrónica la autorización correspondiente.
El Proveedor de Servicios de Certificación deberá informar al signatario la suspensión con no menos de veinticuatro horas de anticipación, y deberá remitir a la Superintendencia de Servicios de Certificación Electrónica, la constancia de dicho aviso durante las veinticuatro horas siguientes de haber informado al signatario.
Suspensión del Servicio por Caso Fortuito o Fuerza Mayor Artículo 17. Cuando por caso fortuito o fuerza mayor se ocasione la suspensión de la prestación de sus servicios, el Proveedor de Servicios de Certificación deberá, notificarlo a sus usuarios dentro de las veinticuatro horas siguientes al inicio de la misma y remitir constancia de dicha notificación a la Superintendencia de Servicios de Certificación Electrónica, adicionalmente, deberá consignar ante este servicio autónomo, un informe contentivo de las causas y período de la suspensión en un plazo no mayor de cuarenta y ocho horas luego del restablecimiento del servicio.
Indicación de la Acreditación Artículo 18. El Proveedor de Servicios de Certificación podrá, señalar en cualquier medio en el cual publicite sus servicios, que ha sido debidamente acreditado ante la Superintendencia de Servicios de Certificación Electrónica.
Capítulo IV De los Proveedores de Servicios de Certificación Extranjeros
Garantía de los Certificados Electrónicos Extranjeros Artículo 19. Los certificados electrónicos emitidos por un Proveedor de Servicios de Certificación Extranjero, de conformidad con lo establecido en el artículo 44 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas, deberán ser garantizados por el Proveedor de Servicios de Certificación acreditado ante la Superintendencia de Servicios de Certificación Electrónica, la cual verificará la suficiencia de la garantía y la adecuación de ésta a las normas para el desarrollo de esta actividad.
Notificación de la Garantía de Certificación Artículo 20. El Proveedor de Servicios de Certificación acreditado que garantice certificados electrónicos extranjeros, deberá comunicar a la Superintendencia de Servicios de Certificación Electrónica la fecha a partir de la cual la garantía a la que se refiere el artículo anterior será efectiva en sus sistemas.
La forma y alcance de la garantía de los certificados extranjeros deberán estar establecidas en la Declaración de Prácticas de Certificación del garante.
Efectos de la Garantía del Certificado Extranjero Artículo 21. El efecto de la garantía de cada certificado extranjero, se limitará a las características establecidas en la Política de Certificado correspondiente y por el período de validez del mismo.
Los signatarios de los certificados electrónicos garantizados y los terceros interesados tendrán idénticos derechos que los signatarios y terceros interesados de los certificados electrónicos propios del Proveedor de Servicios de Certificación que hace el reconocimiento.
Capítulo V De la Supervisión de los Proveedores de Servicios de Certificación Acreditados por la Superintendencia de Servicios de Certificación Electrónica
Realización de Inspecciones Artículo 22. La Superintendencia de Servicios de Certificación Electrónica ejercerá la facultad inspectora sobre los Proveedores de Servicios de Certificación, y podrá, a tal efecto, requerir la información correspondiente y realizar las visitas a sus instalaciones con el fin de comprobar el cumplimiento de sus obligaciones de conformidad con las competencias establecidas en el Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas.
Inspecciones Ordinarias y Extraordinarias Artículo 23. La Superintendencia de Servicios de Certificación Electrónica podrá realizar inspecciones tanto ordinarias como extraordinarias a los Proveedores de Servicios de Certificación.
La inspección ordinaria, consiste en una visita anual a las instalaciones del Proveedor de Servicios de Certificación acreditado, y el requerimiento en forma semestral de información sobre el desarrollo de sus actividades.
La inspección extraordinaria, podrá ser practicada en cualquier momento, por denuncia de terceros sobre inconsistencias en la prestación del servicio o de oficio.
Ejecución de las Inspecciones Artículo 24. La Superintendencia de Servicios de Certificación Electrónica realizará las inspecciones a través de sus funcionarios, y podrá hacerse asistir de los expertos técnicos o legales que considere necesarios para facilitar el ejercicio de sus competencias.
La Superintendencia de Servicios de Certificación Electrónica, podrá requerir al Proveedor de Servicios de Certificación toda la información técnica, financiera o de cualquier otra naturaleza que considere necesaria, dentro del ámbito de sus competencias.
Confidencialidad de la Información Suministrada Artículo 25. La Superintendencia de Servicios de Certificación Electrónica, así como, el personal que actúe bajo su dependencia o por cuenta de ella, deberá mantener la confidencialidad de la información y documentos entregados por los Proveedores de Servicios de Certificación, cuando dicha información revista tal carácter, en virtud de las normas legales vigentes.
Capítulo VI Del Registro de Auditores
De los Auditores Artículo 26. A los efectos de lo establecido en el artículo 26 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas, las auditorías a las que se refiere la mencionada Ley y sus reglamentos, serán realizadas por auditores debidamente inscritos ante la Superintendencia de Servicios de Certificación Electrónica, de conformidad con lo dispuesto en el presente Reglamento.
Solamente los informes de los auditores inscritos ante la Superintendencia de Servicios de Certificación Electrónica podrán, hacerse valer como parte de los requisitos de acreditación exigidos, o en cualquier otro caso en que se requiera de conformidad con el Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas y sus Reglamentos.
Creación del Registro de Auditores Artículo 27. La Superintendencia de Servicios de Certificación Electrónica creará un Registro de Auditores, con el propósito de inscribir a las personas autorizadas para la realización de los informes de auditoría, con base en lo dispuesto en el numeral 14 del artículo 22 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas.
Solicitud de Inscripción en el Registro Artículo 28. A los fines de la inscripción en el Registro de Auditores de la Superintendencia de Servicios de Certificación Electrónica, los interesados deberán realizar su solicitud por escrito y cumplir con los requisitos previamente establecidos por la Superintendencia de Servicios de Certificación Electrónica.
Decisión de Inscripción en el Registro Artículo 29. Recibida la solicitud, la Superintendencia de Servicios de Certificación Electrónica dispondrá de veinte días hábiles para decidir sobre la inscripción en el Registro de Auditores de conformidad con lo que establece la ley que rige los procedimientos administrativos.
La Superintendencia de Servicios de Certificación Electrónica informará al solicitante, dentro de los cinco días siguientes a la presentación de la solicitud de inscripción, la omisión o incumplimiento de algún requisito, de conformidad con la ley que rige los procedimientos administrativos. Dicho pronunciamiento será debidamente notificado al solicitante.
Vigencia de la Inscripción en el Registro Artículo 30. Decidida favorablemente la inscripción en el Registro de Auditores, la Superintendencia de Servicios de Certificación Electrónica expedirá una certificación de inscripción que tendrá una vigencia de tres años.
Renovación de la Inscripción Artículo 31. Al momento de la renovación del Registro de Auditores, el auditor deberá presentar nuevamente todos los recaudos que son necesarios para la inscripción, dentro de un lapso de cuarenta y cinco días continuos previos al vencimiento.
La Superintendencia de Servicios de Certificación Electrónica tendrá, veinte días hábiles para el pronunciamiento de la renovación de la inscripción, de conformidad con lo establecido con la Ley que rige los procedimientos administrativos.
Asimismo, la Superintendencia de Servicios de Certificación Electrónica informará al auditor dentro de los cinco días siguientes a la presentación de la solicitud de renovación, la omisión o incumplimiento de algún requisito, de conformidad con la Ley que rige los procedimientos administrativos. Dicho pronunciamiento será debidamente notificado al solicitante.
Capítulo VII De los Certificados Electrónicos y de las Firmas Electrónicas
Contenido de los Certificados Electrónicos Artículo 32. Los Certificados Electrónicos emitidos por los Proveedores de Servicios de Certificación acreditados por la Superintendencia de Servicios de Certificación Electrónica, podrán incluir información adicional a la requerida en el artículo 43 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas, siempre y cuando ésta no dificulte o impida su lectura o el reconocimiento de dichos certificados por terceros.
Manejo de los Datos de Generación de Firma Electrónica Artículo 33. Los Datos de Generación de la Firma Electrónica creados por el Proveedor de Servicios de Certificación Electrónica, deberán ser entregados al signatario en forma personal y de manera inmediata quedando comprobada la recepción de los mismos mediante acuse de recibo. A partir de este momento, el signatario pasará a ser responsable del uso y resguardo de los Datos de Generación de Firma Electrónica.
El Proveedor de Servicios de Certificación Electrónica, no podrá mantener copia de los Datos de Generación de la Firma Electrónica del signatario.
Capítulo VIII De los Estándares, Planes y Procedimientos de Seguridad
Políticas, Planes y Procedimientos de Seguridad Artículo 34. El Proveedor de Servicios de Certificación debe definir y poner en práctica políticas, planes y procedimientos de seguridad orientados a garantizar la prestación continua de los servicios de certificación y el resguardo de los registros, que deberán ser revisados y actualizados periódicamente, los cuales deben incluir:
1. Políticas y procedimientos de seguridad de las instalaciones físicas y los equipos.
2. Políticas de acceso a los sistemas e instalaciones del proveedor y monitoreo constante de los mismos.
3. Planes y procedimientos de actualización de hardware y software, utilizados para la operación de Proveedores de Servicios de Certificación.
4. Planes y procedimientos de contingencia en cada uno de los riesgos potenciales que atenten en contra del funcionamiento del Proveedor de Servicios de Certificación, según estudio que se actualizará periódicamente.
5. Plan de manejo, control y prevención de virus informático.
Cumplimiento de los Requisitos Técnicos Artículo 35. El Proveedor de Servicios de Certificación Electrónica deberá contar con el personal calificado, infraestructura física y tecnológica y sistemas de seguridad de conformidad con el artículo 31, numerales 2, 3, 4, 5 y 7, del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas, así como con las siguientes obligaciones técnicas:
1. Generar las firmas electrónicas propias, y prestar los servicios para los cuales ha sido autorizado en la correspondiente acreditación.
2. Garantizar el cumplimiento de lo previsto en la Declaración de Prácticas de Certificación y las Políticas de Certificados.
3. Garantizar que los certificados expedidos cumplan con lo previsto en el artículo 43 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas y por lo menos, con alguno de los estándares de certificados admitidos por la Superintendencia de Servicios de Certificación Electrónica.
4. Establecer sistemas de seguridad en las instalaciones, con monitoreo permanente de la infraestructura física, y con acceso restringido a los equipos de sistemas de operación del Proveedor de Servicios de Certificación Electrónica.
5. Someter los datos de generación de firma electrónica al procedimiento propio de seguridad que evite el acceso físico o de otra índole, a personal no autorizado.
6. Garantizar que los sistemas que cumplan las funciones de certificación sólo sean utilizados para ese fin, y no puedan realizar ninguna otra función.
7. Garantizar que todos los sistemas que participen directa o indirectamente en la función de certificación estén protegidos por sistemas y procedimientos de autenticación y seguridad de alto nivel de protección, que serán actualizados de acuerdo con los avances tecnológicos para garantizar la correcta prestación del servicio.
Estándares Artículo 36. La Superintendencia de Servicios de Certificación Electrónica de conformidad con la facultad que le confieren los artículos 22 numeral 5 y 27 (sic) del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas, establecerá los estándares o las prácticas aceptadas para la prestación de los Servicios de Certificación Electrónica.
Infraestructura Prestada por un Tercero Artículo 37. Cuando el Proveedor de Servicios de Certificación requiera o utilice infraestructura o servicios tecnológicos prestados por un tercero, los contratos deberán prever que a la terminación de los mismos, se establezca un tiempo suficiente para que el Proveedor de Servicios de Certificación tome las medidas necesarias para garantizar la continuidad de la prestación de sus servicios sin perjuicio alguno para los signatarios. La contratación de esta infraestructura o servicios no exime al Proveedor de Servicios de Certificación, de la presentación de los informes de auditoría previstos en este Reglamento, los cuales deben incluir los sistemas informáticos y de seguridad del tercero contratado.
Disposición Final
Única. El presente Reglamento entrará en vigencia a partir de la fecha de su publicación en la Gaceta Oficial de la República Bolivariana de Venezuela.
Dado en Caracas, a los doce días del mes de Diciembre de dos mil cuatro. Años 194° de la Independencia y 145° de la Federación.
Ejecútese, (L.S.) HUGO CHÁVEZ FRÍAS
Refrendado
El Vicepresidente Ejecutivo, JOSÉ VICENTE RANGEL El Ministro Interior y Justicia, JESSE CHACÓN ESCAMILLO El Ministro de Finanzas, NELSON JOSÉ MERENTE DÍAZ El Ministro de la Defensa, JORGE LUIS GARCÍA CARNEIRO El Ministro de la Producción y el Comercio, WILMAR CASTRO SOTELDO El Ministro de Agricultura y Tierras, ARNOLDO MÁRQUEZ El Ministro de Educación Superior, SAMUEL MONCADA ACOSTA El Ministro de Educación y Deportes, ARISTÓBULO ISTURIZ ALMEIDA El Ministro de Salud Y Desarrollo Social, FRANCISCO ARMADA El Ministro del Trabajo, MARÍA CRISTINA IGLESIAS El Ministro de Infraestructura, RAMÓN LONZO CARRIZÁLEZ RENGIFO El Encargado del Ministerio de Energía y Minas, ORLANDO ORTEGANO QUEVEDO El Ministro de Planificación y Desarrollo, JORGE GIORDANI La Ministra de Ciencia y Tecnología, MARLENE YADIRA CÓRDOVA El Ministro para la Alimentación, JORGE JOSÉ OROPEZA El Ministro para la Economía Popular, ELÍAS JAUA MILANO El Ministro de Estado para la Coordinación y Control de las Zonas Especiales de Desarrollo Sustentable, JOSÉ FRANCISCO NATERA MARTÍNEZ El Ministro de Estado para la Cultura, FRANCISCO DE ASIS SESTO NOVA El Ministro de Estado para la Vivienda, JULIO AUGUSTO MONTES PRADO
☞Visualiza la versión original publicada en la Gaceta Oficial de la República Bolivariana de Venezuela
El servicio de envío de los archivos de las Publicaciones Oficiales (Gaceta Oficial de la República, Gaceta Judicial, Gaceta Legislativa y Gaceta Electoral), está reservado exclusivamente a los Mecenas de Pandectas Digital, quienes gracias a su contribución, permiten que la visualización y consulta que estás haciendo de este documento sea de acceso público, libre y totalmente gratuita.
Te invitamos a que te conviertas tú también en Mecenas de este proyecto, y así podrás recibir en tu correo los archivos de las Publicaciones Oficiales que vayamos incorporando a nuestra compilación.
Visítanos en www.patreon.com/pandectasdigital para obtener toda la información sobre ésta y otras de las ventajas de convertirte en Mecenas.
full-width
Decreto N° 3.335 12 de diciembre de 2004
HUGO CHAVEZ FRIAS Presidente de la República
En ejercicio de la atribución que le confiere el numeral 10 del artículo 236 de la Constitución de la República Bolivariana de Venezuela, en concordancia con el artículo 87 de la Ley Orgánica de la Administración Pública, en Consejo de Ministros,
DICTA
el siguiente,
REGLAMENTO PARCIAL DEL DECRETO LEY SOBRE MENSAJES DE DATOS Y FIRMAS ELECTRÓNICAS
Capítulo I Disposiciones Generales
Objeto Artículo 1. El presente Reglamento tiene por objeto desarrollar la normativa que regula la acreditación de los Proveedores de Servicios de Certificación ante la Superintendencia de Servicios de Certificación Electrónica, la creación del Registro de Auditores, así como los estándares, planes y procedimientos de seguridad, de conformidad con el Decreto Ley.
Definiciones Artículo 2. A los efectos del presente Reglamento se entenderá por:
Declaración de Prácticas de Certificación: Documento en el cual el Proveedor de Servicios de Certificación Electrónica define los procedimientos relacionados con el manejo de los certificados electrónicos que emite.
Política de Certificados: Documento en el cual el Proveedor de Servicios de Certificación Electrónica, define las reglas a seguir para el uso de un Certificado Electrónico en una comunidad de usuarios o aplicación determinados y sus requerimientos de seguridad.
Datos de Generación de Firma Electrónica: Valor o valores numéricos que utilizados conjuntamente con un procedimiento matemático sirven para crear la firma electrónica asociada a un mensaje de datos.
Datos de Verificación de la Firma Electrónica: Valor o valores numéricos que son utilizados para comprobar que la firma electrónica fue creada con los datos de generación de firma electrónica del signatario.
Repositorio: Sistema de Información utilizado para el almacenamiento y acceso de los certificados electrónicos y la información asociada a los mismos.
Auditores: Son los expertos técnicos en la materia, inscritos en el Registro de Auditores de la Superintendencia de Servicios de Certificación Electrónica.
Capítulo II De la Acreditación de los Proveedores de Servicios de Certificación
Presentación de la Solicitud de Acreditación Artículo 3. El Proveedor de Servicios de Certificación Electrónica presentará la solicitud de acreditación ante la Superintendencia de Servicios de Certificación Electrónica, con los siguientes recaudos e información:
1. Identificación completa del solicitante.
2. Información económica y financiera, con la cual se demuestre la capacidad suficiente para prestar servicios como Proveedor de Servicios de Certificación.
3. Copia de los contratos correspondientes a aquellos servicios que sean prestados por terceros, en caso de haberlos.
4. Proyectos de contratos a ser suscritos con los signatarios.
5. Políticas de Certificados y Declaración de Prácticas de Certificación.
6. Estados financieros auditados y declaraciones del impuesto sobre la renta de los dos últimos ejercicios fiscales.
7. Informe de auditoría de acuerdo con lo establecido en el artículo 5 de este Reglamento, elaborado por auditores independientes, no vinculados e inscritos en el registro que a tal efecto lleva la Superintendencia de Servicios de Certificación Electrónica.
8. Documento con la descripción detallada de la infraestructura, planes y procedimientos establecidos en el Capítulo VIII de este Reglamento. En caso que toda o parte de la infraestructura sea prestada por un tercero debe incluirse copia de los contratos o convenios con éste.
Los requisitos establecidos anteriormente, así como cualquier otro documento a los que se refiere este Reglamento, deberán presentarse en idioma castellano o traducido al castellano por intérprete público.
Admisibilidad de la Solicitud Artículo 4. Una vez presentados todos los recaudos establecidos en el Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas y este Reglamento, la Superintendencia de Servicios de Certificación Electrónica tendrá veinte días hábiles de conformidad con el artículo 32 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas para pronunciarse sobre la solicitud de la Acreditación.
Contenido del Informe de Auditoría Artículo 5. El informe de auditoría deberá contener los siguientes requisitos:
1. Nombre e identificación de los auditores.
2. Fecha de inicio y terminación de la auditoría.
3. Declaración de conformidad de cada una de las condiciones previstas en el artículo 31 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas y las demás previstas en este Reglamento.
4. Manifestación del cumplimiento de los estándares indicados en el Capítulo VIII de este Reglamento.
5. Firma del auditor.
Inspecciones y Visitas en el Procedimiento de Acreditación Artículo 6. Durante todo el procedimiento de acreditación, la Superintendencia de Servicios de Certificación Electrónica podrá, realizar visitas a las instalaciones del solicitante por intermedio de sus funcionarios o por expertos especialmente autorizados para tal fin.
Pronunciamiento de la Superintendencia de Servicios de Certificación Electrónica sobre las Garantías Artículo 7. Aprobada la solicitud, el Proveedor de Servicios de Certificación Electrónica deberá presentar las garantías necesarias para su acreditación.
Presentadas las garantías y verificadas por la Superintendencia de Servicios de Certificación Electrónica, ésta procederá a acreditar al Proveedor de Servicio de Certificación Electrónica mediante providencia publicada en la Gaceta Oficial de la República Bolivariana de Venezuela.
La Superintendencia de Servicios de Certificación Electrónica no otorgará la Acreditación, hasta tanto el solicitante cumpla con los requisitos establecidos en el artículo 32 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas. Dicha decisión será debidamente notificada al interesado mediante acto motivado.
Duración de la Acreditación Artículo 8. La acreditación de los Proveedores de Servicios de Certificación ante la Superintendencia de Servicios de Certificación Electrónica, tendrá la duración de un año.
Renovación de la Acreditación Artículo 9. El Proveedor de Servicios de Certificación, deberá solicitar la renovación de la acreditación dentro de los cuarenta y cinco días continuos, previos al vencimiento de la acreditación.
Al momento de la solicitud de la renovación, el Proveedor de Servicios de Certificación deberá presentar nuevamente todos los recaudos de conformidad con lo establecido en el artículo 3 de este Reglamento.
La Superintendencia de Servicios de Certificación Electrónica tendrá veinte días de conformidad con la ley que rige los procedimientos administrativos, para el pronunciamiento de la renovación de la acreditación, e informará al Proveedor de Servicios de Certificación, dentro de los cinco días siguientes a la presentación de la solicitud de renovación, la omisión o incumplimiento de algún requisito.
Notificación de la Revocatoria de la Acreditación Artículo 10. La revocatoria de la acreditación surtirá sus efectos a partir de la fecha de su publicación en la Gaceta Oficial de la República Bolivariana de Venezuela.
Los Proveedores de Servicio de Certificación cuya acreditación haya sido revocada, deberán comunicar inmediatamente este hecho a los titulares de los certificados electrónicos por ellos emitidos. Sin perjuicio de ello, la Superintendencia de Servicios de Certificación Electrónica publicará en un diario de los de mayor circulación nacional un aviso dando cuenta de la revocatoria. El costo de dicho aviso será por cuenta del Proveedor de Servicios de Certificación.
Responsabilidad por los Perjuicios Causados por la Revocación Artículo 11. El Proveedor de Servicios de Certificación será responsable de los perjuicios que pueda causar la revocatoria de la acreditación a los titulares de los Certificados Electrónicos que se encontraban vigentes. Los costos de transferencia a otro proveedor acreditado, serán por cuenta del Proveedor de Servicios de Certificación cuya acreditación se revocó.
Capítulo III De los Proveedores de Servicios de Certificación Acreditados
Obligaciones de los Proveedores de Servicios de Certificación Acreditados Artículo 12. Los Proveedores de Servicios de Certificación Electrónica, de conformidad con lo previsto en el artículo 35 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas, deberán:
1. Comprobar presencialmente la identidad de los solicitantes de los Certificados Electrónicos y verificar cualesquiera otras circunstancias relevantes, en forma previa a la expedición, conservando la documentación que respalda dicha identificación por el tiempo señalado en el numeral 4 del artículo 35 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas.
2. Mantener a disposición permanente del público en su página Web o en cualquier otra red mundial de acceso público y con un acceso desde su página inicial, la declaración de prácticas de certificación y las políticas de certificados vigentes.
3. Cumplir cabalmente con las políticas de certificados y la declaración de prácticas de certificación vigente.
4. Informar en la forma establecida en el numeral 4 del artículo 31 y numeral 6 del artículo 35 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas, el nivel de confiabilidad de sus certificados electrónicos, los límites de responsabilidad del Proveedor de Servicios de Certificación y las obligaciones que el signatario asume como usuario del servicio de certificación.
5. Garantizar la prestación permanente e ininterrumpida del servicio. Quedan a salvo las suspensiones que autorice la Superintendencia de Servicios de Certificación Electrónica de conformidad con la Ley y sus reglamentos.
6. Garantizar de manera fácil y permanente el acceso de los signatarios y terceros al repositorio.
7. Informar a la Superintendencia de Servicios de Certificación Electrónica de manera inmediata, cualquier evento que comprometa la prestación del servicio.
8. Abstenerse de almacenar los datos de generación de firma del signatario y garantizar un método de creación de los mismos, que impida mantener copia una vez que éstos hayan sido entregados al signatario.
9. Mantener actualizado el registro de los certificados electrónicos revocados.
10. Informar al signatario dentro de las veinticuatro horas siguientes de la suspensión o revocatoria de su Certificado Electrónico.
11. Mantener el control exclusivo de sus datos de generación de firma electrónica como Proveedor de Servicios de Certificación, y establecer las medidas de seguridad necesarias para que ésta no se divulgue o comprometa.
Cambio o Actualización de Datos de un Proveedor de Servicios de Certificación Artículo 13. Si el Proveedor de Servicios de Certificación realizara cualquier reforma de los estatutos sociales de la empresa, así como la ubicación de sus oficinas principales, deberá notificarlo a la Superintendencia de Servicios de Certificación Electrónica dentro de los diez días siguientes a la modificación o cambio, a los fines de mantener actualizada la información.
Modificación de la Declaración de Prácticas de Certificación y las Políticas de Certificados Artículo 14. El Proveedor de Servicios de Certificación acreditado deberá someter a la autorización de la Superintendencia de Servicios de Certificación Electrónica, cualquier modificación en su declaración de Prácticas de Certificación. Asimismo, deberá someter a la autorización de la Superintendencia de Servicios de Certificación Electrónica cualquier creación, modificación o eliminación de sus políticas de certificados.
Información Periódica Artículo 15. Para fines estadísticos, el Proveedor de Servicios de Certificación acreditado, deberá enviar a la Superintendencia de Servicios de Certificación Electrónica, dentro de los primeros diez días del inicio de cada trimestre un reporte sobre la actividad del trimestre anterior, discriminada mes a mes con la siguiente información:
1. Cantidad de Certificados Electrónicos emitidos, de acuerdo con las políticas de certificados autorizados por la Superintendencia de Servicios de Certificación Electrónica, para dicho Proveedor de Servicios de Certificación.
2. Cantidad de Certificados Electrónicos vigentes, de acuerdo con las políticas de certificados autorizados por la Superintendencia de Servicios de Certificación Electrónica, para el Proveedor de Servicios de Certificación.
3. Cantidad de Certificados Electrónicos revocados, de acuerdo con las políticas de certificados autorizados por la Superintendencia de Servicios de Certificación Electrónica, para el Proveedor de Servicios de Certificación.
Suspensión del Servicio por Mantenimiento y Mejoras de Sistemas Artículo 16. Los Proveedores de Servicios de Certificación podrán cesar temporalmente la prestación del servicio, a fin de hacer mantenimiento o mejoras a sus sistemas hasta por setenta y dos horas acumulativas por cada año calendario.
Cuando la suspensión deba exceder el lapso indicado en el párrafo anterior, el Proveedor de Servicios de Certificación, deberá solicitar a la Superintendencia de Servicios de Certificación Electrónica la autorización correspondiente.
El Proveedor de Servicios de Certificación deberá informar al signatario la suspensión con no menos de veinticuatro horas de anticipación, y deberá remitir a la Superintendencia de Servicios de Certificación Electrónica, la constancia de dicho aviso durante las veinticuatro horas siguientes de haber informado al signatario.
Suspensión del Servicio por Caso Fortuito o Fuerza Mayor Artículo 17. Cuando por caso fortuito o fuerza mayor se ocasione la suspensión de la prestación de sus servicios, el Proveedor de Servicios de Certificación deberá, notificarlo a sus usuarios dentro de las veinticuatro horas siguientes al inicio de la misma y remitir constancia de dicha notificación a la Superintendencia de Servicios de Certificación Electrónica, adicionalmente, deberá consignar ante este servicio autónomo, un informe contentivo de las causas y período de la suspensión en un plazo no mayor de cuarenta y ocho horas luego del restablecimiento del servicio.
Indicación de la Acreditación Artículo 18. El Proveedor de Servicios de Certificación podrá, señalar en cualquier medio en el cual publicite sus servicios, que ha sido debidamente acreditado ante la Superintendencia de Servicios de Certificación Electrónica.
Capítulo IV De los Proveedores de Servicios de Certificación Extranjeros
Garantía de los Certificados Electrónicos Extranjeros Artículo 19. Los certificados electrónicos emitidos por un Proveedor de Servicios de Certificación Extranjero, de conformidad con lo establecido en el artículo 44 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas, deberán ser garantizados por el Proveedor de Servicios de Certificación acreditado ante la Superintendencia de Servicios de Certificación Electrónica, la cual verificará la suficiencia de la garantía y la adecuación de ésta a las normas para el desarrollo de esta actividad.
Notificación de la Garantía de Certificación Artículo 20. El Proveedor de Servicios de Certificación acreditado que garantice certificados electrónicos extranjeros, deberá comunicar a la Superintendencia de Servicios de Certificación Electrónica la fecha a partir de la cual la garantía a la que se refiere el artículo anterior será efectiva en sus sistemas.
La forma y alcance de la garantía de los certificados extranjeros deberán estar establecidas en la Declaración de Prácticas de Certificación del garante.
Efectos de la Garantía del Certificado Extranjero Artículo 21. El efecto de la garantía de cada certificado extranjero, se limitará a las características establecidas en la Política de Certificado correspondiente y por el período de validez del mismo.
Los signatarios de los certificados electrónicos garantizados y los terceros interesados tendrán idénticos derechos que los signatarios y terceros interesados de los certificados electrónicos propios del Proveedor de Servicios de Certificación que hace el reconocimiento.
Capítulo V De la Supervisión de los Proveedores de Servicios de Certificación Acreditados por la Superintendencia de Servicios de Certificación Electrónica
Realización de Inspecciones Artículo 22. La Superintendencia de Servicios de Certificación Electrónica ejercerá la facultad inspectora sobre los Proveedores de Servicios de Certificación, y podrá, a tal efecto, requerir la información correspondiente y realizar las visitas a sus instalaciones con el fin de comprobar el cumplimiento de sus obligaciones de conformidad con las competencias establecidas en el Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas.
Inspecciones Ordinarias y Extraordinarias Artículo 23. La Superintendencia de Servicios de Certificación Electrónica podrá realizar inspecciones tanto ordinarias como extraordinarias a los Proveedores de Servicios de Certificación.
La inspección ordinaria, consiste en una visita anual a las instalaciones del Proveedor de Servicios de Certificación acreditado, y el requerimiento en forma semestral de información sobre el desarrollo de sus actividades.
La inspección extraordinaria, podrá ser practicada en cualquier momento, por denuncia de terceros sobre inconsistencias en la prestación del servicio o de oficio.
Ejecución de las Inspecciones Artículo 24. La Superintendencia de Servicios de Certificación Electrónica realizará las inspecciones a través de sus funcionarios, y podrá hacerse asistir de los expertos técnicos o legales que considere necesarios para facilitar el ejercicio de sus competencias.
La Superintendencia de Servicios de Certificación Electrónica, podrá requerir al Proveedor de Servicios de Certificación toda la información técnica, financiera o de cualquier otra naturaleza que considere necesaria, dentro del ámbito de sus competencias.
Confidencialidad de la Información Suministrada Artículo 25. La Superintendencia de Servicios de Certificación Electrónica, así como, el personal que actúe bajo su dependencia o por cuenta de ella, deberá mantener la confidencialidad de la información y documentos entregados por los Proveedores de Servicios de Certificación, cuando dicha información revista tal carácter, en virtud de las normas legales vigentes.
Capítulo VI Del Registro de Auditores
De los Auditores Artículo 26. A los efectos de lo establecido en el artículo 26 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas, las auditorías a las que se refiere la mencionada Ley y sus reglamentos, serán realizadas por auditores debidamente inscritos ante la Superintendencia de Servicios de Certificación Electrónica, de conformidad con lo dispuesto en el presente Reglamento.
Solamente los informes de los auditores inscritos ante la Superintendencia de Servicios de Certificación Electrónica podrán, hacerse valer como parte de los requisitos de acreditación exigidos, o en cualquier otro caso en que se requiera de conformidad con el Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas y sus Reglamentos.
Creación del Registro de Auditores Artículo 27. La Superintendencia de Servicios de Certificación Electrónica creará un Registro de Auditores, con el propósito de inscribir a las personas autorizadas para la realización de los informes de auditoría, con base en lo dispuesto en el numeral 14 del artículo 22 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas.
Solicitud de Inscripción en el Registro Artículo 28. A los fines de la inscripción en el Registro de Auditores de la Superintendencia de Servicios de Certificación Electrónica, los interesados deberán realizar su solicitud por escrito y cumplir con los requisitos previamente establecidos por la Superintendencia de Servicios de Certificación Electrónica.
Decisión de Inscripción en el Registro Artículo 29. Recibida la solicitud, la Superintendencia de Servicios de Certificación Electrónica dispondrá de veinte días hábiles para decidir sobre la inscripción en el Registro de Auditores de conformidad con lo que establece la ley que rige los procedimientos administrativos.
La Superintendencia de Servicios de Certificación Electrónica informará al solicitante, dentro de los cinco días siguientes a la presentación de la solicitud de inscripción, la omisión o incumplimiento de algún requisito, de conformidad con la ley que rige los procedimientos administrativos. Dicho pronunciamiento será debidamente notificado al solicitante.
Vigencia de la Inscripción en el Registro Artículo 30. Decidida favorablemente la inscripción en el Registro de Auditores, la Superintendencia de Servicios de Certificación Electrónica expedirá una certificación de inscripción que tendrá una vigencia de tres años.
Renovación de la Inscripción Artículo 31. Al momento de la renovación del Registro de Auditores, el auditor deberá presentar nuevamente todos los recaudos que son necesarios para la inscripción, dentro de un lapso de cuarenta y cinco días continuos previos al vencimiento.
La Superintendencia de Servicios de Certificación Electrónica tendrá, veinte días hábiles para el pronunciamiento de la renovación de la inscripción, de conformidad con lo establecido con la Ley que rige los procedimientos administrativos.
Asimismo, la Superintendencia de Servicios de Certificación Electrónica informará al auditor dentro de los cinco días siguientes a la presentación de la solicitud de renovación, la omisión o incumplimiento de algún requisito, de conformidad con la Ley que rige los procedimientos administrativos. Dicho pronunciamiento será debidamente notificado al solicitante.
Capítulo VII De los Certificados Electrónicos y de las Firmas Electrónicas
Contenido de los Certificados Electrónicos Artículo 32. Los Certificados Electrónicos emitidos por los Proveedores de Servicios de Certificación acreditados por la Superintendencia de Servicios de Certificación Electrónica, podrán incluir información adicional a la requerida en el artículo 43 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas, siempre y cuando ésta no dificulte o impida su lectura o el reconocimiento de dichos certificados por terceros.
Manejo de los Datos de Generación de Firma Electrónica Artículo 33. Los Datos de Generación de la Firma Electrónica creados por el Proveedor de Servicios de Certificación Electrónica, deberán ser entregados al signatario en forma personal y de manera inmediata quedando comprobada la recepción de los mismos mediante acuse de recibo. A partir de este momento, el signatario pasará a ser responsable del uso y resguardo de los Datos de Generación de Firma Electrónica.
El Proveedor de Servicios de Certificación Electrónica, no podrá mantener copia de los Datos de Generación de la Firma Electrónica del signatario.
Capítulo VIII De los Estándares, Planes y Procedimientos de Seguridad
Políticas, Planes y Procedimientos de Seguridad Artículo 34. El Proveedor de Servicios de Certificación debe definir y poner en práctica políticas, planes y procedimientos de seguridad orientados a garantizar la prestación continua de los servicios de certificación y el resguardo de los registros, que deberán ser revisados y actualizados periódicamente, los cuales deben incluir:
1. Políticas y procedimientos de seguridad de las instalaciones físicas y los equipos.
2. Políticas de acceso a los sistemas e instalaciones del proveedor y monitoreo constante de los mismos.
3. Planes y procedimientos de actualización de hardware y software, utilizados para la operación de Proveedores de Servicios de Certificación.
4. Planes y procedimientos de contingencia en cada uno de los riesgos potenciales que atenten en contra del funcionamiento del Proveedor de Servicios de Certificación, según estudio que se actualizará periódicamente.
5. Plan de manejo, control y prevención de virus informático.
Cumplimiento de los Requisitos Técnicos Artículo 35. El Proveedor de Servicios de Certificación Electrónica deberá contar con el personal calificado, infraestructura física y tecnológica y sistemas de seguridad de conformidad con el artículo 31, numerales 2, 3, 4, 5 y 7, del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas, así como con las siguientes obligaciones técnicas:
1. Generar las firmas electrónicas propias, y prestar los servicios para los cuales ha sido autorizado en la correspondiente acreditación.
2. Garantizar el cumplimiento de lo previsto en la Declaración de Prácticas de Certificación y las Políticas de Certificados.
3. Garantizar que los certificados expedidos cumplan con lo previsto en el artículo 43 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas y por lo menos, con alguno de los estándares de certificados admitidos por la Superintendencia de Servicios de Certificación Electrónica.
4. Establecer sistemas de seguridad en las instalaciones, con monitoreo permanente de la infraestructura física, y con acceso restringido a los equipos de sistemas de operación del Proveedor de Servicios de Certificación Electrónica.
5. Someter los datos de generación de firma electrónica al procedimiento propio de seguridad que evite el acceso físico o de otra índole, a personal no autorizado.
6. Garantizar que los sistemas que cumplan las funciones de certificación sólo sean utilizados para ese fin, y no puedan realizar ninguna otra función.
7. Garantizar que todos los sistemas que participen directa o indirectamente en la función de certificación estén protegidos por sistemas y procedimientos de autenticación y seguridad de alto nivel de protección, que serán actualizados de acuerdo con los avances tecnológicos para garantizar la correcta prestación del servicio.
Estándares Artículo 36. La Superintendencia de Servicios de Certificación Electrónica de conformidad con la facultad que le confieren los artículos 22 numeral 5 y 27 (sic) del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas, establecerá los estándares o las prácticas aceptadas para la prestación de los Servicios de Certificación Electrónica.
Infraestructura Prestada por un Tercero Artículo 37. Cuando el Proveedor de Servicios de Certificación requiera o utilice infraestructura o servicios tecnológicos prestados por un tercero, los contratos deberán prever que a la terminación de los mismos, se establezca un tiempo suficiente para que el Proveedor de Servicios de Certificación tome las medidas necesarias para garantizar la continuidad de la prestación de sus servicios sin perjuicio alguno para los signatarios. La contratación de esta infraestructura o servicios no exime al Proveedor de Servicios de Certificación, de la presentación de los informes de auditoría previstos en este Reglamento, los cuales deben incluir los sistemas informáticos y de seguridad del tercero contratado.
Disposición Final
Única. El presente Reglamento entrará en vigencia a partir de la fecha de su publicación en la Gaceta Oficial de la República Bolivariana de Venezuela.
Dado en Caracas, a los doce días del mes de Diciembre de dos mil cuatro. Años 194° de la Independencia y 145° de la Federación.
Ejecútese, (L.S.) HUGO CHÁVEZ FRÍAS
Refrendado
El Vicepresidente Ejecutivo, JOSÉ VICENTE RANGEL El Ministro Interior y Justicia, JESSE CHACÓN ESCAMILLO El Ministro de Finanzas, NELSON JOSÉ MERENTE DÍAZ El Ministro de la Defensa, JORGE LUIS GARCÍA CARNEIRO El Ministro de la Producción y el Comercio, WILMAR CASTRO SOTELDO El Ministro de Agricultura y Tierras, ARNOLDO MÁRQUEZ El Ministro de Educación Superior, SAMUEL MONCADA ACOSTA El Ministro de Educación y Deportes, ARISTÓBULO ISTURIZ ALMEIDA El Ministro de Salud Y Desarrollo Social, FRANCISCO ARMADA El Ministro del Trabajo, MARÍA CRISTINA IGLESIAS El Ministro de Infraestructura, RAMÓN LONZO CARRIZÁLEZ RENGIFO El Encargado del Ministerio de Energía y Minas, ORLANDO ORTEGANO QUEVEDO El Ministro de Planificación y Desarrollo, JORGE GIORDANI La Ministra de Ciencia y Tecnología, MARLENE YADIRA CÓRDOVA El Ministro para la Alimentación, JORGE JOSÉ OROPEZA El Ministro para la Economía Popular, ELÍAS JAUA MILANO El Ministro de Estado para la Coordinación y Control de las Zonas Especiales de Desarrollo Sustentable, JOSÉ FRANCISCO NATERA MARTÍNEZ El Ministro de Estado para la Cultura, FRANCISCO DE ASIS SESTO NOVA El Ministro de Estado para la Vivienda, JULIO AUGUSTO MONTES PRADO
Decreto N° 3.335 12 de diciembre de 2004
HUGO CHAVEZ FRIAS
Presidente de la República
En ejercicio de la atribución que le confiere el numeral 10 del artículo 236 de la Constitución de la República Bolivariana de Venezuela, en concordancia con el artículo 87 de la Ley Orgánica de la Administración Pública, en Consejo de Ministros,
DICTA
el siguiente,
REGLAMENTO PARCIAL DEL DECRETO LEY SOBRE MENSAJES DE DATOS Y FIRMAS ELECTRÓNICAS
Capítulo I
Disposiciones Generales
Objeto
Artículo 1. El presente Reglamento tiene por objeto desarrollar la normativa que regula la acreditación de los Proveedores de Servicios de Certificación ante la Superintendencia de Servicios de Certificación Electrónica, la creación del Registro de Auditores, así como los estándares, planes y procedimientos de seguridad, de conformidad con el Decreto Ley.
Definiciones
Artículo 2. A los efectos del presente Reglamento se entenderá por:
Declaración de Prácticas de Certificación: Documento en el cual el Proveedor de Servicios de Certificación Electrónica define los procedimientos relacionados con el manejo de los certificados electrónicos que emite.
Política de Certificados: Documento en el cual el Proveedor de Servicios de Certificación Electrónica, define las reglas a seguir para el uso de un Certificado Electrónico en una comunidad de usuarios o aplicación determinados y sus requerimientos de seguridad.
Datos de Generación de Firma Electrónica: Valor o valores numéricos que utilizados conjuntamente con un procedimiento matemático sirven para crear la firma electrónica asociada a un mensaje de datos.
Datos de Verificación de la Firma Electrónica: Valor o valores numéricos que son utilizados para comprobar que la firma electrónica fue creada con los datos de generación de firma electrónica del signatario.
Repositorio: Sistema de Información utilizado para el almacenamiento y acceso de los certificados electrónicos y la información asociada a los mismos.
Auditores: Son los expertos técnicos en la materia, inscritos en el Registro de Auditores de la Superintendencia de Servicios de Certificación Electrónica.
Capítulo II
De la Acreditación de los Proveedores de Servicios de Certificación
Presentación de la Solicitud de Acreditación
Artículo 3. El Proveedor de Servicios de Certificación Electrónica presentará la solicitud de acreditación ante la Superintendencia de Servicios de Certificación Electrónica, con los siguientes recaudos e información:
1. Identificación completa del solicitante.
2. Información económica y financiera, con la cual se demuestre la capacidad suficiente para prestar servicios como Proveedor de Servicios de Certificación.
3. Copia de los contratos correspondientes a aquellos servicios que sean prestados por terceros, en caso de haberlos.
4. Proyectos de contratos a ser suscritos con los signatarios.
5. Políticas de Certificados y Declaración de Prácticas de Certificación.
6. Estados financieros auditados y declaraciones del impuesto sobre la renta de los dos últimos ejercicios fiscales.
7. Informe de auditoría de acuerdo con lo establecido en el artículo 5 de este Reglamento, elaborado por auditores independientes, no vinculados e inscritos en el registro que a tal efecto lleva la Superintendencia de Servicios de Certificación Electrónica.
8. Documento con la descripción detallada de la infraestructura, planes y procedimientos establecidos en el Capítulo VIII de este Reglamento. En caso que toda o parte de la infraestructura sea prestada por un tercero debe incluirse copia de los contratos o convenios con éste.
Los requisitos establecidos anteriormente, así como cualquier otro documento a los que se refiere este Reglamento, deberán presentarse en idioma castellano o traducido al castellano por intérprete público.
Admisibilidad de la Solicitud
Artículo 4. Una vez presentados todos los recaudos establecidos en el Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas y este Reglamento, la Superintendencia de Servicios de Certificación Electrónica tendrá veinte días hábiles de conformidad con el artículo 32 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas para pronunciarse sobre la solicitud de la Acreditación.
Contenido del Informe de Auditoría
Artículo 5. El informe de auditoría deberá contener los siguientes requisitos:
1. Nombre e identificación de los auditores.
2. Fecha de inicio y terminación de la auditoría.
3. Declaración de conformidad de cada una de las condiciones previstas en el artículo 31 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas y las demás previstas en este Reglamento.
4. Manifestación del cumplimiento de los estándares indicados en el Capítulo VIII de este Reglamento.
5. Firma del auditor.
Inspecciones y Visitas en el Procedimiento de Acreditación
Artículo 6. Durante todo el procedimiento de acreditación, la Superintendencia de Servicios de Certificación Electrónica podrá, realizar visitas a las instalaciones del solicitante por intermedio de sus funcionarios o por expertos especialmente autorizados para tal fin.
Pronunciamiento de la Superintendencia de Servicios de Certificación Electrónica sobre las Garantías
Artículo 7. Aprobada la solicitud, el Proveedor de Servicios de Certificación Electrónica deberá presentar las garantías necesarias para su acreditación.
Presentadas las garantías y verificadas por la Superintendencia de Servicios de Certificación Electrónica, ésta procederá a acreditar al Proveedor de Servicio de Certificación Electrónica mediante providencia publicada en la Gaceta Oficial de la República Bolivariana de Venezuela.
La Superintendencia de Servicios de Certificación Electrónica no otorgará la Acreditación, hasta tanto el solicitante cumpla con los requisitos establecidos en el artículo 32 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas. Dicha decisión será debidamente notificada al interesado mediante acto motivado.
Duración de la Acreditación
Artículo 8. La acreditación de los Proveedores de Servicios de Certificación ante la Superintendencia de Servicios de Certificación Electrónica, tendrá la duración de un año.
Renovación de la Acreditación
Artículo 9. El Proveedor de Servicios de Certificación, deberá solicitar la renovación de la acreditación dentro de los cuarenta y cinco días continuos, previos al vencimiento de la acreditación.
Al momento de la solicitud de la renovación, el Proveedor de Servicios de Certificación deberá presentar nuevamente todos los recaudos de conformidad con lo establecido en el artículo 3 de este Reglamento.
La Superintendencia de Servicios de Certificación Electrónica tendrá veinte días de conformidad con la ley que rige los procedimientos administrativos, para el pronunciamiento de la renovación de la acreditación, e informará al Proveedor de Servicios de Certificación, dentro de los cinco días siguientes a la presentación de la solicitud de renovación, la omisión o incumplimiento de algún requisito.
Notificación de la Revocatoria de la Acreditación
Artículo 10. La revocatoria de la acreditación surtirá sus efectos a partir de la fecha de su publicación en la Gaceta Oficial de la República Bolivariana de Venezuela.
Los Proveedores de Servicio de Certificación cuya acreditación haya sido revocada, deberán comunicar inmediatamente este hecho a los titulares de los certificados electrónicos por ellos emitidos. Sin perjuicio de ello, la Superintendencia de Servicios de Certificación Electrónica publicará en un diario de los de mayor circulación nacional un aviso dando cuenta de la revocatoria. El costo de dicho aviso será por cuenta del Proveedor de Servicios de Certificación.
Responsabilidad por los Perjuicios Causados por la Revocación
Artículo 11. El Proveedor de Servicios de Certificación será responsable de los perjuicios que pueda causar la revocatoria de la acreditación a los titulares de los Certificados Electrónicos que se encontraban vigentes. Los costos de transferencia a otro proveedor acreditado, serán por cuenta del Proveedor de Servicios de Certificación cuya acreditación se revocó.
Capítulo III
De los Proveedores de Servicios de Certificación Acreditados
Obligaciones de los Proveedores de Servicios de Certificación Acreditados
Artículo 12. Los Proveedores de Servicios de Certificación Electrónica, de conformidad con lo previsto en el artículo 35 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas, deberán:
1. Comprobar presencialmente la identidad de los solicitantes de los Certificados Electrónicos y verificar cualesquiera otras circunstancias relevantes, en forma previa a la expedición, conservando la documentación que respalda dicha identificación por el tiempo señalado en el numeral 4 del artículo 35 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas.
2. Mantener a disposición permanente del público en su página Web o en cualquier otra red mundial de acceso público y con un acceso desde su página inicial, la declaración de prácticas de certificación y las políticas de certificados vigentes.
3. Cumplir cabalmente con las políticas de certificados y la declaración de prácticas de certificación vigente.
4. Informar en la forma establecida en el numeral 4 del artículo 31 y numeral 6 del artículo 35 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas, el nivel de confiabilidad de sus certificados electrónicos, los límites de responsabilidad del Proveedor de Servicios de Certificación y las obligaciones que el signatario asume como usuario del servicio de certificación.
5. Garantizar la prestación permanente e ininterrumpida del servicio. Quedan a salvo las suspensiones que autorice la Superintendencia de Servicios de Certificación Electrónica de conformidad con la Ley y sus reglamentos.
6. Garantizar de manera fácil y permanente el acceso de los signatarios y terceros al repositorio.
7. Informar a la Superintendencia de Servicios de Certificación Electrónica de manera inmediata, cualquier evento que comprometa la prestación del servicio.
8. Abstenerse de almacenar los datos de generación de firma del signatario y garantizar un método de creación de los mismos, que impida mantener copia una vez que éstos hayan sido entregados al signatario.
9. Mantener actualizado el registro de los certificados electrónicos revocados.
10. Informar al signatario dentro de las veinticuatro horas siguientes de la suspensión o revocatoria de su Certificado Electrónico.
11. Mantener el control exclusivo de sus datos de generación de firma electrónica como Proveedor de Servicios de Certificación, y establecer las medidas de seguridad necesarias para que ésta no se divulgue o comprometa.
Cambio o Actualización de Datos de un Proveedor de Servicios de Certificación
Artículo 13. Si el Proveedor de Servicios de Certificación realizara cualquier reforma de los estatutos sociales de la empresa, así como la ubicación de sus oficinas principales, deberá notificarlo a la Superintendencia de Servicios de Certificación Electrónica dentro de los diez días siguientes a la modificación o cambio, a los fines de mantener actualizada la información.
Modificación de la Declaración de Prácticas de Certificación y las Políticas de Certificados
Artículo 14. El Proveedor de Servicios de Certificación acreditado deberá someter a la autorización de la Superintendencia de Servicios de Certificación Electrónica, cualquier modificación en su declaración de Prácticas de Certificación. Asimismo, deberá someter a la autorización de la Superintendencia de Servicios de Certificación Electrónica cualquier creación, modificación o eliminación de sus políticas de certificados.
Información Periódica
Artículo 15. Para fines estadísticos, el Proveedor de Servicios de Certificación acreditado, deberá enviar a la Superintendencia de Servicios de Certificación Electrónica, dentro de los primeros diez días del inicio de cada trimestre un reporte sobre la actividad del trimestre anterior, discriminada mes a mes con la siguiente información:
1. Cantidad de Certificados Electrónicos emitidos, de acuerdo con las políticas de certificados autorizados por la Superintendencia de Servicios de Certificación Electrónica, para dicho Proveedor de Servicios de Certificación.
2. Cantidad de Certificados Electrónicos vigentes, de acuerdo con las políticas de certificados autorizados por la Superintendencia de Servicios de Certificación Electrónica, para el Proveedor de Servicios de Certificación.
3. Cantidad de Certificados Electrónicos revocados, de acuerdo con las políticas de certificados autorizados por la Superintendencia de Servicios de Certificación Electrónica, para el Proveedor de Servicios de Certificación.
Suspensión del Servicio por Mantenimiento y Mejoras de Sistemas
Artículo 16. Los Proveedores de Servicios de Certificación podrán cesar temporalmente la prestación del servicio, a fin de hacer mantenimiento o mejoras a sus sistemas hasta por setenta y dos horas acumulativas por cada año calendario.
Cuando la suspensión deba exceder el lapso indicado en el párrafo anterior, el Proveedor de Servicios de Certificación, deberá solicitar a la Superintendencia de Servicios de Certificación Electrónica la autorización correspondiente.
El Proveedor de Servicios de Certificación deberá informar al signatario la suspensión con no menos de veinticuatro horas de anticipación, y deberá remitir a la Superintendencia de Servicios de Certificación Electrónica, la constancia de dicho aviso durante las veinticuatro horas siguientes de haber informado al signatario.
Suspensión del Servicio por Caso Fortuito o Fuerza Mayor
Artículo 17. Cuando por caso fortuito o fuerza mayor se ocasione la suspensión de la prestación de sus servicios, el Proveedor de Servicios de Certificación deberá, notificarlo a sus usuarios dentro de las veinticuatro horas siguientes al inicio de la misma y remitir constancia de dicha notificación a la Superintendencia de Servicios de Certificación Electrónica, adicionalmente, deberá consignar ante este servicio autónomo, un informe contentivo de las causas y período de la suspensión en un plazo no mayor de cuarenta y ocho horas luego del restablecimiento del servicio.
Indicación de la Acreditación
Artículo 18. El Proveedor de Servicios de Certificación podrá, señalar en cualquier medio en el cual publicite sus servicios, que ha sido debidamente acreditado ante la Superintendencia de Servicios de Certificación Electrónica.
Capítulo IV
De los Proveedores de Servicios de Certificación Extranjeros
Garantía de los Certificados Electrónicos Extranjeros
Artículo 19. Los certificados electrónicos emitidos por un Proveedor de Servicios de Certificación Extranjero, de conformidad con lo establecido en el artículo 44 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas, deberán ser garantizados por el Proveedor de Servicios de Certificación acreditado ante la Superintendencia de Servicios de Certificación Electrónica, la cual verificará la suficiencia de la garantía y la adecuación de ésta a las normas para el desarrollo de esta actividad.
Notificación de la Garantía de Certificación
Artículo 20. El Proveedor de Servicios de Certificación acreditado que garantice certificados electrónicos extranjeros, deberá comunicar a la Superintendencia de Servicios de Certificación Electrónica la fecha a partir de la cual la garantía a la que se refiere el artículo anterior será efectiva en sus sistemas.
La forma y alcance de la garantía de los certificados extranjeros deberán estar establecidas en la Declaración de Prácticas de Certificación del garante.
Efectos de la Garantía del Certificado Extranjero
Artículo 21. El efecto de la garantía de cada certificado extranjero, se limitará a las características establecidas en la Política de Certificado correspondiente y por el período de validez del mismo.
Los signatarios de los certificados electrónicos garantizados y los terceros interesados tendrán idénticos derechos que los signatarios y terceros interesados de los certificados electrónicos propios del Proveedor de Servicios de Certificación que hace el reconocimiento.
Capítulo V
De la Supervisión de los Proveedores de Servicios de Certificación Acreditados por la Superintendencia de Servicios de Certificación Electrónica
Realización de Inspecciones
Artículo 22. La Superintendencia de Servicios de Certificación Electrónica ejercerá la facultad inspectora sobre los Proveedores de Servicios de Certificación, y podrá, a tal efecto, requerir la información correspondiente y realizar las visitas a sus instalaciones con el fin de comprobar el cumplimiento de sus obligaciones de conformidad con las competencias establecidas en el Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas.
Inspecciones Ordinarias y Extraordinarias
Artículo 23. La Superintendencia de Servicios de Certificación Electrónica podrá realizar inspecciones tanto ordinarias como extraordinarias a los Proveedores de Servicios de Certificación.
La inspección ordinaria, consiste en una visita anual a las instalaciones del Proveedor de Servicios de Certificación acreditado, y el requerimiento en forma semestral de información sobre el desarrollo de sus actividades.
La inspección extraordinaria, podrá ser practicada en cualquier momento, por denuncia de terceros sobre inconsistencias en la prestación del servicio o de oficio.
Ejecución de las Inspecciones
Artículo 24. La Superintendencia de Servicios de Certificación Electrónica realizará las inspecciones a través de sus funcionarios, y podrá hacerse asistir de los expertos técnicos o legales que considere necesarios para facilitar el ejercicio de sus competencias.
La Superintendencia de Servicios de Certificación Electrónica, podrá requerir al Proveedor de Servicios de Certificación toda la información técnica, financiera o de cualquier otra naturaleza que considere necesaria, dentro del ámbito de sus competencias.
Confidencialidad de la Información Suministrada
Artículo 25. La Superintendencia de Servicios de Certificación Electrónica, así como, el personal que actúe bajo su dependencia o por cuenta de ella, deberá mantener la confidencialidad de la información y documentos entregados por los Proveedores de Servicios de Certificación, cuando dicha información revista tal carácter, en virtud de las normas legales vigentes.
Capítulo VI
Del Registro de Auditores
De los Auditores
Artículo 26. A los efectos de lo establecido en el artículo 26 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas, las auditorías a las que se refiere la mencionada Ley y sus reglamentos, serán realizadas por auditores debidamente inscritos ante la Superintendencia de Servicios de Certificación Electrónica, de conformidad con lo dispuesto en el presente Reglamento.
Solamente los informes de los auditores inscritos ante la Superintendencia de Servicios de Certificación Electrónica podrán, hacerse valer como parte de los requisitos de acreditación exigidos, o en cualquier otro caso en que se requiera de conformidad con el Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas y sus Reglamentos.
Creación del Registro de Auditores
Artículo 27. La Superintendencia de Servicios de Certificación Electrónica creará un Registro de Auditores, con el propósito de inscribir a las personas autorizadas para la realización de los informes de auditoría, con base en lo dispuesto en el numeral 14 del artículo 22 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas.
Solicitud de Inscripción en el Registro
Artículo 28. A los fines de la inscripción en el Registro de Auditores de la Superintendencia de Servicios de Certificación Electrónica, los interesados deberán realizar su solicitud por escrito y cumplir con los requisitos previamente establecidos por la Superintendencia de Servicios de Certificación Electrónica.
Decisión de Inscripción en el Registro
Artículo 29. Recibida la solicitud, la Superintendencia de Servicios de Certificación Electrónica dispondrá de veinte días hábiles para decidir sobre la inscripción en el Registro de Auditores de conformidad con lo que establece la ley que rige los procedimientos administrativos.
La Superintendencia de Servicios de Certificación Electrónica informará al solicitante, dentro de los cinco días siguientes a la presentación de la solicitud de inscripción, la omisión o incumplimiento de algún requisito, de conformidad con la ley que rige los procedimientos administrativos. Dicho pronunciamiento será debidamente notificado al solicitante.
Vigencia de la Inscripción en el Registro
Artículo 30. Decidida favorablemente la inscripción en el Registro de Auditores, la Superintendencia de Servicios de Certificación Electrónica expedirá una certificación de inscripción que tendrá una vigencia de tres años.
Renovación de la Inscripción
Artículo 31. Al momento de la renovación del Registro de Auditores, el auditor deberá presentar nuevamente todos los recaudos que son necesarios para la inscripción, dentro de un lapso de cuarenta y cinco días continuos previos al vencimiento.
La Superintendencia de Servicios de Certificación Electrónica tendrá, veinte días hábiles para el pronunciamiento de la renovación de la inscripción, de conformidad con lo establecido con la Ley que rige los procedimientos administrativos.
Asimismo, la Superintendencia de Servicios de Certificación Electrónica informará al auditor dentro de los cinco días siguientes a la presentación de la solicitud de renovación, la omisión o incumplimiento de algún requisito, de conformidad con la Ley que rige los procedimientos administrativos. Dicho pronunciamiento será debidamente notificado al solicitante.
Capítulo VII
De los Certificados Electrónicos y de las Firmas Electrónicas
Contenido de los Certificados Electrónicos
Artículo 32. Los Certificados Electrónicos emitidos por los Proveedores de Servicios de Certificación acreditados por la Superintendencia de Servicios de Certificación Electrónica, podrán incluir información adicional a la requerida en el artículo 43 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas, siempre y cuando ésta no dificulte o impida su lectura o el reconocimiento de dichos certificados por terceros.
Manejo de los Datos de Generación de Firma Electrónica
Artículo 33. Los Datos de Generación de la Firma Electrónica creados por el Proveedor de Servicios de Certificación Electrónica, deberán ser entregados al signatario en forma personal y de manera inmediata quedando comprobada la recepción de los mismos mediante acuse de recibo. A partir de este momento, el signatario pasará a ser responsable del uso y resguardo de los Datos de Generación de Firma Electrónica.
El Proveedor de Servicios de Certificación Electrónica, no podrá mantener copia de los Datos de Generación de la Firma Electrónica del signatario.
Capítulo VIII
De los Estándares, Planes y Procedimientos de Seguridad
Políticas, Planes y Procedimientos de Seguridad
Artículo 34. El Proveedor de Servicios de Certificación debe definir y poner en práctica políticas, planes y procedimientos de seguridad orientados a garantizar la prestación continua de los servicios de certificación y el resguardo de los registros, que deberán ser revisados y actualizados periódicamente, los cuales deben incluir:
1. Políticas y procedimientos de seguridad de las instalaciones físicas y los equipos.
2. Políticas de acceso a los sistemas e instalaciones del proveedor y monitoreo constante de los mismos.
3. Planes y procedimientos de actualización de hardware y software, utilizados para la operación de Proveedores de Servicios de Certificación.
4. Planes y procedimientos de contingencia en cada uno de los riesgos potenciales que atenten en contra del funcionamiento del Proveedor de Servicios de Certificación, según estudio que se actualizará periódicamente.
5. Plan de manejo, control y prevención de virus informático.
Cumplimiento de los Requisitos Técnicos
Artículo 35. El Proveedor de Servicios de Certificación Electrónica deberá contar con el personal calificado, infraestructura física y tecnológica y sistemas de seguridad de conformidad con el artículo 31, numerales 2, 3, 4, 5 y 7, del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas, así como con las siguientes obligaciones técnicas:
1. Generar las firmas electrónicas propias, y prestar los servicios para los cuales ha sido autorizado en la correspondiente acreditación.
2. Garantizar el cumplimiento de lo previsto en la Declaración de Prácticas de Certificación y las Políticas de Certificados.
3. Garantizar que los certificados expedidos cumplan con lo previsto en el artículo 43 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas y por lo menos, con alguno de los estándares de certificados admitidos por la Superintendencia de Servicios de Certificación Electrónica.
4. Establecer sistemas de seguridad en las instalaciones, con monitoreo permanente de la infraestructura física, y con acceso restringido a los equipos de sistemas de operación del Proveedor de Servicios de Certificación Electrónica.
5. Someter los datos de generación de firma electrónica al procedimiento propio de seguridad que evite el acceso físico o de otra índole, a personal no autorizado.
6. Garantizar que los sistemas que cumplan las funciones de certificación sólo sean utilizados para ese fin, y no puedan realizar ninguna otra función.
7. Garantizar que todos los sistemas que participen directa o indirectamente en la función de certificación estén protegidos por sistemas y procedimientos de autenticación y seguridad de alto nivel de protección, que serán actualizados de acuerdo con los avances tecnológicos para garantizar la correcta prestación del servicio.
Estándares
Artículo 36. La Superintendencia de Servicios de Certificación Electrónica de conformidad con la facultad que le confieren los artículos 22 numeral 5 y 27 (sic) del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas, establecerá los estándares o las prácticas aceptadas para la prestación de los Servicios de Certificación Electrónica.
Infraestructura Prestada por un Tercero
Artículo 37. Cuando el Proveedor de Servicios de Certificación requiera o utilice infraestructura o servicios tecnológicos prestados por un tercero, los contratos deberán prever que a la terminación de los mismos, se establezca un tiempo suficiente para que el Proveedor de Servicios de Certificación tome las medidas necesarias para garantizar la continuidad de la prestación de sus servicios sin perjuicio alguno para los signatarios. La contratación de esta infraestructura o servicios no exime al Proveedor de Servicios de Certificación, de la presentación de los informes de auditoría previstos en este Reglamento, los cuales deben incluir los sistemas informáticos y de seguridad del tercero contratado.
Disposición Final
Única. El presente Reglamento entrará en vigencia a partir de la fecha de su publicación en la Gaceta Oficial de la República Bolivariana de Venezuela.
Dado en Caracas, a los doce días del mes de Diciembre de dos mil cuatro. Años 194° de la Independencia y 145° de la Federación.
Ejecútese,
(L.S.)
HUGO CHÁVEZ FRÍAS
Refrendado
El Vicepresidente Ejecutivo, JOSÉ VICENTE RANGEL
El Ministro Interior y Justicia, JESSE CHACÓN ESCAMILLO
El Ministro de Finanzas, NELSON JOSÉ MERENTE DÍAZ
El Ministro de la Defensa, JORGE LUIS GARCÍA CARNEIRO
El Ministro de la Producción y el Comercio, WILMAR CASTRO SOTELDO
El Ministro de Agricultura y Tierras, ARNOLDO MÁRQUEZ
El Ministro de Educación Superior, SAMUEL MONCADA ACOSTA
El Ministro de Educación y Deportes, ARISTÓBULO ISTURIZ ALMEIDA
El Ministro de Salud Y Desarrollo Social, FRANCISCO ARMADA
El Ministro del Trabajo, MARÍA CRISTINA IGLESIAS
El Ministro de Infraestructura, RAMÓN LONZO CARRIZÁLEZ RENGIFO
El Encargado del Ministerio de Energía y Minas, ORLANDO ORTEGANO QUEVEDO
El Ministro de Planificación y Desarrollo, JORGE GIORDANI
La Ministra de Ciencia y Tecnología, MARLENE YADIRA CÓRDOVA
El Ministro para la Alimentación, JORGE JOSÉ OROPEZA
El Ministro para la Economía Popular, ELÍAS JAUA MILANO
El Ministro de Estado para la Coordinación y Control de las Zonas Especiales de Desarrollo Sustentable, JOSÉ FRANCISCO NATERA MARTÍNEZ
El Ministro de Estado para la Cultura, FRANCISCO DE ASIS SESTO NOVA
El Ministro de Estado para la Vivienda, JULIO AUGUSTO MONTES PRADO
☞Visualiza la versión original publicada en la Gaceta Oficial de la República Bolivariana de Venezuela
El servicio de envío de los archivos de las Publicaciones Oficiales (Gaceta Oficial de la República, Gaceta Judicial, Gaceta Legislativa y Gaceta Electoral), está reservado exclusivamente a los Mecenas de Pandectas Digital, quienes gracias a su contribución, permiten que la visualización y consulta que estás haciendo de este documento sea de acceso público, libre y totalmente gratuita.
Te invitamos a que te conviertas tú también en Mecenas de este proyecto, y así podrás recibir en tu correo los archivos de las Publicaciones Oficiales que vayamos incorporando a nuestra compilación.
Visítanos en www.patreon.com/pandectasdigital para obtener toda la información sobre ésta y otras de las ventajas de convertirte en Mecenas.
Te invitamos a que te conviertas tú también en Mecenas de este proyecto, y así podrás recibir en tu correo los archivos de las Publicaciones Oficiales que vayamos incorporando a nuestra compilación.
Visítanos en www.patreon.com/pandectasdigital para obtener toda la información sobre ésta y otras de las ventajas de convertirte en Mecenas.