| |
|
 |
 |
Prácticas
de Certificación Digital (PCD)
CNC-ONCE
Versión 1.0 |
|
| |
 |
| |
| PROPIEDAD
INTELECTUAL
1.-
Las PCD de CNC-once
reconocen entre sus fuentes las reglas particulares establecidas
según el criterio de sus miembros, los informes preliminares
de ADEXUS S.A., los lineamientos sobre firma digital de
la American Bar Association, las PCD de ACE de España,
las PCD de CERTISUR S.A. de Argentina y las PCD de CAMERFIRMA
España.
2.-
CNC-once
se reserva la propiedad intelectual, moral y patrimonial
del presente documento -"Prácticas de Certificación
Digital" o PCD- y de sus documentos relacionados
o afines, tales como formularios de solicitud de certificados,
contratos, anexos técnicos, etcétera. Queda, por ende,
prohibida toda reproducción, comunicación, distribución,
archivo o transmisión de cualquier tipo y por cualquier
medio, mecánico, electrónico, fotográfico o magnético,
total o parcial de las mismas sin previa y expresa autorización
escrita de CNC-once. |
| |
| |
| |
| Introducción |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| Introducción
Bajo
el concepto de "Prácticas de Certificación Digital"
(PCD) se incluyen aquellas políticas, normas o disposiciones
que una Entidad Certificadora establece para el otorgamiento
de sus servicios de certificación digital en redes públicas
o abiertas como Internet, principalmente de la pertenencia
segura de sitios web a una persona natural o jurídica
determinada y de las identidades digitales de personas
naturales o jurídicas.
La
relevancia de las PCD ha sido puesta de manifiesto por
documentos o acuerdos internacionales tales como la
Directiva de Firma Digital de la Unión Europea, de Mayo
de 1998. En lo que dice relación con lo que ella denomina
los "Proveedores de Servicios de Certificación",
la Directiva establece el principio de libertad de prestación
de servicios sin autorización previa y sin restricciones
entre países de la Unión Europea. No obstante lo anterior,
determina que cada país deberá garantizar que los proveedores
cumplan requisitos suficientes en cuanto a
capacidad técnica, fiabilidad de los sistemas utilizados,
suficientes recursos financieros, conservación de los
datos relativos a los certificados emitidos y publicación
de prácticas aplicadas por el proveedor, condiciones
de los contratos, obligaciones de responsabilidad del
proveedor y procedimientos de reclamación.
Las
PCD de CNC-once
y los documentos que de ellas derivan y que a ellas
se remiten, los que regulan las relaciones contractuales
y jurídicas entre CNC-once,
los solicitantes-suscriptores de certificados y los
terceros interesados o usuarios que acepten los certificados
y adhieran a estas PCD, se encuentran disponibles en
www.cnc-once.cl,
de manera tal que antes de acordarse o suscribirse la
prestación de servicios de certificación digital se
conozcan las reglas y normas que constituyen y validan
el sistema de certificación de CNC-once. |
| |
| |
| 1.
Rol de CNC-ONCE como Entidad Certificadora y Entidad
de Registro
Para
mantener el "Orden Público Económico" y la
"Buena Fe" involucrados en las transacciones
electrónicas en general, y en materia de comercio electrónico
en particular, la Cámara Nacional de Comercio, Servicios
y Turismo de Chile –en adelante CNC- ha decido asumir
funciones de Tercer Proveedor de Confianza, de Autoridad
o de Entidad Certificadora y de Entidad de
Registro, emitiendo varios tipos de certificados
respecto de aquellos suscriptores o signatarios que
lo soliciten contractualmente y de aquellos terceros
interesados o usuarios que hagan fe de sus funciones
y se adhieran a los términos de sus PCD, principalmente
mediante la certificación de sitios web y de identidades
digitales de personas naturales y jurídicas.
Específicamente
en materia de firmas digitales, que son aquellos códigos
o claves que se asocian inequívocamente a un documento
electrónico o soportado magnéticamente y que permiten
identificar a su autor, asegurar su integridad y evitar
su no repudiación posterior, CNC-once
certificará las llamadas llaves públicas y la identidad
de su titular, "suscriptor" o "signatario",
publicará los certificados digitales ligados a ellas
y registrará o mandará registrar previamente los antecedentes
personales o nominativos. |
| |
| |
2.
Obligaciones de CNC-ONCE en cuanto Entidad Certificadora
y de Registro
Para
prestar los servicios de certificación digital explicitados
en las presentes prácticas, y especialmente para emitir
o revocar los certificados digitales que se le soliciten,
CNC-once
asume las siguientes obligaciones:
2.1.
Registro de antecedentes de los solicitantes de certificados
y "Prácticas de Registro": para
la validez de los contratos que los futuros suscriptores
o signatarios previamente bajen desde el sitio web
www.cnc-once.cl,
junto con solicitar la emisión del certificado on-line
mediante formulario habilitado al efecto, deberán
suscribir personalmente o debidamente representados
dos ejemplares impresos de dicho(s) contrato(s) y
cancelar las tarifas respectivas concurriendo a las
oficinas de CNC-once,
ubicadas en calle Merced N° 230, Santiago Centro,
o a la sede de las Cámaras Regionales de Comercio
previamente autorizadas que hagan las veces de "Entidades
de Registro" (ER).
CNC-once
revisará que los solicitantes de certificados acrediten
el cumplimiento de ciertos requisitos que permitan
asegurar su identificación personal.
Previo
al otorgamiento de los certificados digitales y la
firma de los contratos respectivos, los cuales están
a disposición de los suscriptores o signatarios en
el repositorio del sitio web cuya dirección es www.cnc-once.cl
y sin perjuicio de los requisitos especiales que se
exijan de acuerdo a los niveles de seguridad que ofrece
cada categoría de certificados emitidos por CNC-once.
Esta Entidad Certificadora o aquellos que previa delegación
hagan las veces de Entidades de Registro, recabarán
y recogerán de los solicitantes de certificados los
siguientes antecedentes generales:
| Para
Certificados de Persona
Natural se exigirá fotocopia
de la Cédula de Identidad vigente, por
ambos lados.
En
caso de haber ingresado información en
el campo "Título Profesional",
esta debe ser acreditada por alguna de las siguientes
opciones:
Caso
1: Por la Cédula de Identidad
(Reverso), el cual ya fue verificado por el
Registro Civil.
Caso
2: Por la presentación del
Título Profesional propiamente tal, o
por una fotocopia legalizada del mismo o por
un Certificado de Título proporcionado
por la universidad.
Caso
3: En caso de que no sea posible
acreditar el Título Profesional, se eliminará
esta información del campo. |
| |
| Para
Certificados de Persona
Jurídica los requisitos dependen
del tipo de empresa que sea. Estas son:
Sociedad Anónima,
debe presentar una fotocopia autorizada de la
escritura social y copia de sus eventuales modificaciones,
copia de la inscripción en el Registro
de Comercio, y certificado de vigencia, con
validez de 90 días. Adicionalmente debe
presentar copia del acta de Directorio en que
consten las facultades del representante legal
para actuar por ella.
Sociedad de Responsabilidad
Limitada, debe presentar una copia
autorizada de la escritura social y copia de
sus eventuales modificaciones, copia de la inscripción
en el Registro de Comercio, y certificado de
vigencia, con validez de 90 días. Adicionalmente,
debe presentar los antecedentes relativos a
las facultades del representante legal, si ellas
no constaran en la escritura social.
Sociedad de Hecho,
debe presentar una Declaración Jurada
ante notario suscrita por todos los socios,
indicando que a la fecha de solicitud del certificado
respectivo los firmantes son los únicos
socios, además se deben indicar las prerrogativas
de la administración de la sociedad y
a quién corresponde.
|
| |
| Para
Certificados de Representante
Legal, en general, se requieren los
mismos antecedentes que para Persona Jurídica,
además de los relativos a la designación
y facultades de los representantes legales y su
Cédula de Identidad. Además
debe presentar un certificado de la empresa
indicando el cargo que ocupa y en que departamento
o sección se desempeña.
En
consecuencia, y sin perjuicio de los requisitos
anteriormente indicados, se requerirán
los siguientes antecedentes especiales:
- Si
el Representante Legal correspondiese a una
Sociedad Anónima,
se requerirán copias autorizadas de
la escritura social y copia de sus eventuales
modificaciones, copia de la inscripción
en el Registro de Comercio, y certificado
de vigencia, con validez de 90 días
y copia autorizada del acta de Directorio
en que consten las facultades del representante
legal para actuar por ella.
- Si
el Representante Legal es de una Sociedad
de Responsabilidad Limitada se
solicitará una copia autorizada de
la escritura de la sociedad y copia de sus
eventuales modificaciones, copia de la inscripción
en el Registro de Comercio, y certificado
de vigencia, con validez de 90 días.
Debe presentar los antecedentes relativos
a las facultades del representante legal,
si ellas no constaran en la escritura social.
- Si
el Representante Legal corresponde a una Sociedad
de Hecho se exigirá una
declaración jurada ante notario suscrita
por todos los socios, indicando que a la fecha
de solicitud del certificado respectivo los
firmantes son los únicos socios, además
se deben indicar las prerrogativas de la administración
de la sociedad y a quién corresponde
|
| |
| Para
Certificados de Sitio Web Seguro se
requiere documento de inscripción de
NIC Chile u otra entidad autorizada de forma
de acreditar la pertenencia del sitio que se
desea certificar y fotocopia de la Cédula
de Identidad vigente, por ambos lados, del Administrador
del Sitio o de la persona que figura en el documento
de inscripción de NIC Chile.
También
debe presentar un certificado de la empresa
indicando el cargo que ocupa y en que departamento
o sección se desempeña. |
| |
| Para
Certificados de Empleados
de Empresa se requiere una fotocopia
de la Cédula de Identidad vigente, por
ambos lados, del empleado en cuestión.
Además se tienen las siguientes opciones:
Caso
1: Cuando el Representante Legal
cuenta con certificado digital de nuestra entidad
certificadora, se debe presentar un certificado
de la empresa indicando que el empleado en cuestión
tiene contrato vigente, el cargo que ocupa y
en que departamento o sección realiza
sus actividades.
Caso
2: Cuando el Representante Legal
no cuenta con certificado digital, de nuestra
entidad certificadora, se deben cumplir los
requerimientos para obtener certificado de Persona
Jurídica y presentar un certificado de
la empresa indicando que el empleado en cuestión
tiene contrato vigente, el cargo que ocupa y
en que departamento o sección realiza
sus actividades. |
| |
| Para
Certificados de Funcionario Público
se requiere una fotocopia legalizada
del documento en que conste el Nombramiento
o Designación en el cargo, fotocopia
legalizada del documento de creación
de la Institución o Entidad Pública
a la cual pertenece el funcionario y una fotocopia
de la Cédula de Identidad vigente, por
ambos lados, del funcionario en cuestión.
Además
debe presentar un certificado de la Institución
o Entidad Pública indicando en que departamento
o sección se desempeña. |
| |
2.2.
Aprobación o rechazo de la solicitud de certificación
(admisión de suscriptores o signatarios):
CNC-once
enviará a la dirección de correo electrónico indicada
por el solicitante al efecto un mensaje informando
acerca de la conformidad con la solicitud y de la
aceptación y firma por CNC-once
del(los) contrato(s) de certificación, o del rechazo
de la solicitud de certificación, sin necesidad de
expresar causal en caso de rechazo.
En
el evento de aprobarse o aceptarse la solicitud de
certificación se pondrán a disposición del solicitante
la(s) copia(s) de el(los) contrato(s) respectivo(s)
debidamente firmados –quien deberá retirarla(s) de
las oficinas de CNC-once
y, vía e-mail, se enviarán al solicitante los datos
requeridos o los códigos para que baje el certificado
del sitio web de CNC-once
y pueda activarlo.
Una
vez recibido en la dirección de correo electrónico
indicada por el suscriptor al efecto un mensaje por
e-mail de CNC-once
informando acerca de la conformidad con o la aprobación
de la solicitud del certificado y la firma y aceptación
del(los) contrato(s) de certificación, conteniendo
información –el PIN- acerca de cómo recuperar, descargar
o bajar e instalar el certificado digital, el suscriptor
deberá hacerlo, exclusivamente desde el sitio web
indicado en el e-mail. Al recuperarse
un certificado deberá utilizarse el mismo browser
que se utilizó al presentarse la solicitud inicial.
El
consentimiento o el acuerdo de voluntades a contar
del cual el(los) contrato(s) produce(n) su(s) efecto(s)
–"el alta" o el "Acuerdo de Suscripción"
(Suscription Agreement)- se entenderá que existe
desde que digitalmente CNC-once
(emisor) envíe el mensaje a que se alude en el párrafo
anterior a la dirección de correo electrónico señalada
por el suscriptor, una vez acreditados los requisitos
exigidos, canceladas las tarifas y suscrito el contrato
respectivo, y aún cuando el suscriptor o signatario
(receptor) no recepcione o no tome inmediato conocimiento
del envío y no instale efectivamente el certificado
digital.
En
el evento que el suscriptor modifique la dirección
de correo electrónico aludida en este acápite, se
entenderá que corresponde realizar un nuevo y distinto
procedimiento de solicitud de certificado.
2.3.
Expedir o emitir los certificados digitales respectivos
respecto de aquellas solicitudes que sean aprobadas:
esto es, los documentos electrónicos que, añadidos
a la llave pública como datos o información característica
del suscriptor o signatario, acreditan la identidad
de la persona que es titular de dicha llave, utilizando
sistemas que garanticen la seguridad técnica y criptográfica
de los procesos de certificación.
Para
estos efectos precisamente CNC-once
informará vía e-mail a sus suscriptores para que lo(s)
baje(n) desde www.cnc-once.cl.
2.4.
Llevar y publicitar un registro magnético o Directorio
Público on-line denominado "repositorio"
de los datos que acrediten o respalden
la correspondencia entre la clave pública y el certificado
digital del suscriptor o signatario titular -persona
natural o jurídica y servidor seguro.
Para
la mantención de este repositorio se adoptarán los
controles de seguridad técnica y administrativos que
permitan su adecuado resguardo.
2.5.
Revocación de certificados: revocar
unilateralmente los certificados digitales por las
causales consignadas en las cláusulas 7 y 8 de estas
PCD, implementando un sistema rápido y seguro al efecto
y publicitando electrónica o virtualmente un listado
de certificados revocados.
CNC-once
notificará por e-mail la referida revocación al suscriptor
o signatario, entendiéndose que basta como trámite
o formalidad de notificación el envío del correo electrónico
a la casilla registrada en su certificado.
2.6.
Permitir que en el sitio web de CNC-ONCE se verifique
cualquier información relacionada con la validez o
la revocación de un certificado digital,
sea por el suscriptor o signatario, sea por terceros
interesados o usuarios.
2.7.
Tomar medidas técnicas y administrativas
tendientes a evitar la falsificación de llaves
públicas y certificados
|
| |
| |
3.
Responsabilidades de CNC-ONCE y de sus Entidades de
Registro previamente homologadas
3.1.
Respecto de la emisión de un certificado específico
y determinado CNC-ONCE será responsable:
en cuanto a la certeza de la información
que él contenía al emitirse; a que en ese momento
el certificado cumplía con los requisitos establecidos
en las presentes PCD; y a la efectiva vigencia y correspondencia
existente entre la llave pública y la persona que
es titular o suscriptor de dicho certificado digital.
CNC-once
será responsable de los daños o perjuicios que, sólo
como consecuencia de su negligencia o culpa grave
y actividad directa, ocasione a los suscriptores o
signatarios que contraten sus servicios y a los terceros
interesados que adhieran a las presentes prácticas.
3.2.
Onus probandi: corresponderá al suscriptor
o signatario y al usuario o tercero interesado, en
todo caso, demostrar que CNC-once
actuó sin la debida diligencia al prestar servicios
de certificación digital.
3.3.
Límites pecuniarios de responsabilidad contractual
y extracontractual en caso de daños o perjuicios:
tanto respecto de los suscriptores que contraten
los servicios de certificación digital y que acepten
las presentes PCD, como respecto de los terceros que
adhieran a ella en conformidad a lo establecido en
la cláusula 18, en el evento improbable de que ellos
sufran algún perjuicio pecuniario imputable a CNC-once
ésta limita su responsabilidad hasta los siguientes
montos máximos o de tope, con total independencia
del número de firmas digitales y de transacciones
para las cuales sea utilizado un certificado determinado:
-
Certificados de servidor seguro: US$ 5000
-
Certificados de nivel 3:
Las
responsabilidades limitadas de esta forma, relacionadas
a un certificado específico y todas las firmas digitales
validadas con su referencia y las transacciones con
él realizadas, se aplican a eventuales perjuicios,
pérdidas y daños de todo tipo, sin excepciones, tales
como directos o indirectos, previstos o imprevistos,
morales o patrimoniales, etcétera, y rigen respecto
del solicitante de un certificado, del suscriptor
o signatario titular del mismo y del tercero o receptor
confiado que acepte su valor y adhiera a estas PCD.
3.4.
Eximentes de responsabilidad: CNC-once
quedará exenta de toda responsabilidad y liberada
del cumplimiento de sus obligaciones cuando, por razones
de caso fortuito o fuerza mayor tales como sismos,
sobrevoltaje, cortes de suministro eléctrico y/o servicio
telefónico y/o de líneas de transmisión de datos,
actos terroristas, huelgas, etc., no se puedan emitir,
revocar o consultar la lista de los certificados revocados.
CNC-once
no será responsable por daños y perjuicios fortuitos,
directos o indirectos, o por cualquiera pérdida de
beneficios, daño emergente o lucro cesante, pérdida
de información u otros daños y perjuicios fortuitos,
directos o indirectos, que surjan de o en relación
con el uso, entrega, licencia, capacidad de respuesta,
falta de respuesta o falta de disponibilidad de certificados,
o cualquier otra transacción o servicio ofrecido o
contemplado en estas PCD, incluso aunque CNC-once
haya sido advertida de la posibilidad de producción
de tales daños.
Los
servicios de certificación de CNC-once
no han sido diseñados, autorizados o destinados para
su aplicación en transacciones relacionadas con actividades
que requieran funcionamiento a prueba de errores,
como es el caso de instalaciones nucleares, sistemas
de navegación o tráfico aéreo, sistemas de comunicación
o de control de armamento, sistemas de equipos médicos
o de todo otro sistema digital en que un error pueda
conducir a la muerte, a las lesiones de personas,
o a daños ambientales. CNC-once
no será responsable de modo alguno en caso de producirse
daños por el uso de sus servicios de certificación
en ámbitos como los indicados en esta cláusula.
|
| |
| |
| 4.
Entidades de Registro (ER)
Para
sus procesos de certificación digital y previo el procedimiento
de homologación respectivo, CNC-once
se reserva la facultad exclusiva de designar una o más
Entidades de Registro -en adelante ER- y validación
de los antecedentes identificatorios de los suscriptores
o signatarios que contraten los servicios de certificación
digital, o para realizar otras determinadas funciones
que CNC-once
determine.
Estas
ER actuarán frente a los suscriptores o signatarios
a nombre y por cuenta de CNC-once
y asumirán sus mismas obligaciones y responsabilidades
siendo, además, las encargadas de recomendar la emisión
de los certificados que CNC-once
realizará para dichos suscriptores o signatarios.
A
ellas se les aplicarán de manera general las PCD de
CNC-once,
salvo que contractualmente en el denominado "Acuerdo
de Entidades de Registro" y al momento
de la designación y de la delegación de facultades se
establezcan requisitos o condiciones de excepción –por
ejemplo en materia de registro de antecedentes.
El
procedimiento previo de homologación de una ER será
determinado por CNC-once
caso a caso y atendida la naturaleza pública o privada
de la ER, especificándose expresamente los niveles y
categorías de certificados respecto de los cuales se
le faculta para actuar en el proceso de certificación
digital.
La
ER deberá permitir a CNC-once
el acceso y revisión a sus archivos y deberá darle a
conocer los procedimientos de conservación de los mismos,
especialmente para el caso de que se investigue el incumplimiento
o la infracción de estas PCD por la ER o por alguno
de los suscriptores o usuarios poseedores de un certificado. |
| |
| |
5.
Niveles, tipos y contenidos de los certificados ofrecidos
A
la fecha, CNC-once
ofrece los siguientes tipos de certificados digitales,
tanto de personas -que acreditan la vinculación de
una llave pública con una persona natural o jurídica-
como de servidores seguros, clasificados en consideración
a los intervinientes en la validación, a sus niveles
de confianza y a la naturaleza específica o a la comunidad
de suscriptores en que tendrá valor:
5.1
Certificados de identidad de servidores web:
CNC-once
otorga y publica en su repositorio estos certificados
a los administradores de sitios web, de manera tal
de acreditar de forma segura la identidad de un servidor
determinado, validando dicha acreditación mediante
la intervención de CNC-once.
El certificado se otorga a la persona natural que
al momento de la solicitud acredite ser el representante
legal de la entidad pública o privada titular del
web, y permite que un tercero interesado o usuario
que se conecte con dicho servidor pueda comprobar
-desde el inicio de la sesión- que efectivamente se
trata del servidor deseado y no de otro y que dicha
sesión sea cifrada o confidencial.
5.2
Certificados de nivel 3:
(3
C) Empleados: por haberlo acreditado
previamente el representante legal de una persona
jurídica ante CNC-once
o la ER delegada; haberse cumplido con las obligaciones
de registro establecidas en la cláusula segunda de
las PCD de CNC-once;
y por haberse firmado el (los) contrato(s) o acuerdo(s)
de certificación respectivo(s). Esta especie de certificados
acreditan o aseguran las identidades de todas aquellas
personas naturales que formen parte o que tengan vínculos
laborales de subordinación o dependencia con una persona
jurídica, órgano o servicio público, detallándose
el departamento o sección donde trabajan y el cargo
que en él ocupan.
(3
D) Representantes Legales Empresas y Servicios
Públicos: dichos certificados serán emitidos
por CNC-once
a requerimiento de autoridades o suscriptores tales
como empresas, órganos o servicios públicos como el
S.I.I., las AFP, las Isapre, el SENCE, etcétera y
con fines exclusivos o determinados. Serán consignados
como titulares de los mismos sólo quienes detenten
cargos gerenciales o de responsabilidad que estén
revestidos con poderes para representar legalmente
a la empresa, acreditados previamente mediante las
escrituras, estatutos o actas respectivas.
5.3
Contenido de los certificados: CNC-once
siempre contemplará el siguiente contenido mínimo
de sus certificados:
-
Identificación
de la Entidad Certificadora;
-
Nombre
del titular o suscriptor del certificado;
-
Clave
pública del suscriptor o titular;
-
Período
de validez del certificado;
-
Algoritmos
utilizados en la generación y validación del certificado;
-
Identificador
único o número serial del certificado;
-
Llave
o Clave pública de la Entidad Certificadora; y,
-
Dirección
de e-mail del suscriptor o titular.
|
| |
| |
| 6.
Período de vigencia de los certificados emitidos por
CNC-ONCE. Renovación y expiración o caducidad de los
certificados
Todos
los tipos de certificados tendrán un período operativo
o de vigencia de un año calendario. Los certificados
emitidos por CNC-once
caducarán por el transcurso de dicho período operacional,
lo que producirá automáticamente y de pleno derecho
la invalidez del certificado, el cese permanente de
su operatividad y el término de la prestación de los
servicios de certificación por CNC-once.
En
el evento que el suscriptor o signatario titular de
un certificado desee renovarlo una vez transcurrido
el plazo a que alude el inciso anterior, por un período
de un año más, deberá así solicitarlo mediante e-mail
dirigido al administrador del sitio de CNC-once
(adminonce@cnc.cl)
con una antelación mínima de 30 días al momento de su
caducidad, o llenando el formulario que al efecto se
contenga en el sitio web de CNC-once.
En
el evento que hayan transcurrido más de cuatro (4) años
desde la emisión del primer certificado, esto es, la
emisión de un certificado y tres renovaciones posteriores,
no se dará curso a una nueva solicitud de renovación
y el suscriptor o signatario deberá realizar los trámites
correspondientes a la primera solicitud de un certificado.
La
opción de renovación de certificados se establece para
los casos en que un certificado vaya a caducar y el
suscriptor o signatario quiera utilizar un certificado
de las mismas características que el usado válidamente
hasta esa fecha. Será responsabilidad del suscriptor
el informar a CNC-once
si algunos de los datos registrados o contenidos en
el certificado anterior han cambiado.
El
nuevo certificado se le emitirá, según los valores
que consten en la tabla de tarifas publicada en el sitio
web de CNC-once
vigente a la fecha de la solicitud. |
| |
| |
7.
Causales, efectos y listas de revocación de los certificados
digitales emitidos
CNC-once
emitirá y publicará en el repositorio la revocación
o cancelación anticipada –antes del término de su
período de validez normal en conformidad a estas prácticas-
de los certificados emitidos mediante un sistema y
procedimiento expedito y seguro, a requerimiento de
la parte interesada y exclusivamente por las siguientes
causales:
-
Por
muerte natural o disolución del suscriptor o signatario
titular del certificado, según corresponda;
-
Por
incapacidad sobreviniente del titular;
-
Por
quiebra o notoria insolvencia del titular;
-
A
solicitud expresa del titular que lo estime pertinente
o de una autoridad legalmente facultada para ello;
-
Cuando
se vea comprometida la seguridad y confidencialidad
de la llave privada del signatario;
-
Cuando
se acredite que los datos de un certificado digital
son falsos; y,
-
Cuando
CNC-once
deje de prestar servicios de Entidad Certificadora.
CNC-once
notificará por e-mail la referida revocación al suscriptor
o signatario.
La
revocación del certificado digital tiene como consecuencia
principal la terminación inmediata, ipso facto e ipso
jure del período operativo del certificado, el que
legalmente pasa a ser "inválido".
La
revocación del certificado digital acarrea como consecuencia,
además, que no puedan crearse o generarse válidamente
firmas digitales.
La
revocación del certificado deberá solicitarse mediante
e-mail certificado enviado a la dirección adminonce@cnc.cl,
y concurriendo obligatoriamente además el suscriptor
o signatario y el tercero interesado o usuario personalmente
a las oficinas de CNC-once,
ubicadas en calle Merced N° 230, Santiago Centro,
o a la sede de las Cámaras Regionales de Comercio
previamente autorizadas que hagan las veces de sus
ER.
|
| |
| |
| 8.
Suspensión unilateral de certificados
En
el evento de que CNC-once
constate la concurrencia de algunas de las causales
de revocación más arriba señaladas o por la existencia
de otros motivos fundados que afecten a la preservación
de la seguridad del sistema de certificación, CNC-once
suspenderá de oficio y unilateralmente la vigencia de
los certificados emitidos y publicados, los que formalmente
serán registrados como "revocados" en las
listas respectivas. |
| |
| |
| 9.
Obligaciones y responsabilidades del solicitante, suscriptor
o signatario de certificados
9.1
Solicitud de la emisión del certificado al administrador
del sistema: completando todos los campos
del formulario de inscripción para obtener un certificado
que está a su disposición en www.cnc-once.cl,
oprimiendo el comando aceptar y concurriendo previa
y personalmente a las dependencias de CNC-once
o de la ER válidamente habilitada al efecto, el futuro
suscriptor o signatario deberá solicitar formal y expresamente
la emisión de uno o más de aquellos certificados digitales
a que aluden estas PCD.
Al
solicitarse al solicitante la creación y el ingreso
de una frase o palabra clave, y opcionalmente la selección
del uso y tamaño de una llave digital, CNC-once
se asegura de que la persona que requirió la emisión
o que postuló al certificado sea la misma que posteriormente
lo baje o recoja, una vez verificado el acuerdo de suscripción.
Automáticamente, desde el servidor de certificados,
el sistema enviará al solicitante un mensaje que confirma
la recepción del requerimiento.
9.2
Acreditación de identidad:
a efectos de procederse al registro y validación
del suscriptor que previamente solicita el servicio
de certificación digital, éste deberá concurrir personalmente
o debidamente representado a las dependencias de CNC-once
o de la ER que corresponda con dos ejemplares impresos
del formulario de contrato debidamente completados y
con los antecedentes que acrediten el cumplimiento de
los requisitos a que alude la cláusula 2.1 de estas
PCD.
Respecto
de los antecedentes declarados y acreditados por el
suscriptor durante el proceso de solicitud del certificado
y durante la vigencia del mismo, se entenderá que ellos
son exactos, completos, verídicos y fidedignos, bajo
apercibimiento de ser revocados inmediatamente los certificados
emitidos en caso de demostrarse lo contrario.
Cualquier
modificación posterior o variación de los datos aportados
(revocación de poderes, despido, muerte natural o presunta,
etcétera) deberá ser comunicada a CNC-once,
tanto por el suscriptor o signatario como por el tercero
interesado o usuario del certificado, a efectos de revocarse
los certificados respectivos. En el evento que el suscriptor
incurra en errores al ingresar sus datos, solicite modificar
los antecedentes a que se alude en este acápite, se
entenderá que corresponde realizar un nuevo y distinto
procedimiento de solicitud de certificado, cancelando
la tarifa respectiva.
9.3
Pago de las tarifas convenidas: el solicitante
y futuro suscriptor deberá abonar las tarifas que se
devenguen por la prestación de los servicios de certificación
contratados, al momento de entregar los antecedentes
necesarios para su registro y suscribir olográficamente
los contratos de certificación digital, incluso en el
evento de no aceptar y de no utilizar posteriormente
los certificados emitidos. El solicitante, desde el
momento que abone las tarifas o tasas de registro deberá
solicitar un tipo específico de certificado conforme
al procedimiento y los requisitos que fijan estas PCD.
9.4
Aceptación de las PCD: por el hecho de
bajar, obtener o imprimir del sitio web de CNC-once
los formularios con el tenor de los respectivos contratos
o acuerdos de certificación digital, sean de sitio seguro
o de identidades digitales, posteriormente firmar dos
ejemplares impresos y cancelar las tarifas respectivas,
se entiende que el suscriptor o signatario del servicio
de certificación digital acepta la totalidad del contenido
de las presentes PCD y, en particular, que declara expresa
y solemnemente cumplir con los requisitos establecidos
para la categoría de certificado(s) que solicita.
9.5
Verificación efectiva del acuerdo de suscripción:
una vez recibido en la dirección de correo electrónico
indicada por el suscriptor al efecto un mensaje por
e-mail de CNC-once
informando acerca de la conformidad con o la aprobación
de la solicitud del certificado y la firma y aceptación
del(los) contrato(s) de certificación, conteniendo dicho
mensaje información –el PIN- acerca de cómo recuperar,
descargar o bajar e instalar el certificado digital,
el suscriptor deberá hacerlo, exclusivamente desde el
sitio web que se indica en el e-mail. Al
recuperarse un certificado deberá utilizarse el mismo
browser que se utilizó al presentarse la solicitud inicial.
El
consentimiento o el acuerdo de voluntades a contar del
cual el(los) contrato(s) produce(n) sus efectos –"el
alta" o "el Acuerdo de Suscripción (Suscription
Agreement)"- se entenderá que existe desde que
digitalmente CNC-once
(emisor) envíe el mensaje a que se alude en el párrafo
anterior a la dirección de correo electrónico señalada
por el suscriptor, una vez acreditados los requisitos
exigidos, canceladas las tarifas y suscrito el contrato
respectivo, y aún cuando el suscriptor o signatario
(receptor) no recepcione o no tome inmediato conocimiento
del envío y no instale efectivamente el certificado
digital.
En
el evento que el suscriptor modifique la dirección de
correo electrónico aludida en este acápite, se entenderá
que corresponde realizar un nuevo y distinto procedimiento
de solicitud de certificado, cancelando la tarifa respectiva.
9.6
Aceptación de efectos posteriores a la emisión del certificado:
por el sólo hecho de usar un certificado digital válidamente
emitido por CNC-once,
se entiende que el suscriptor considera que un mensaje
o documento que contenga una firma digital verificada
en relación a la clave pública del certificado digital
emitido y listado en el repositorio de CNC-once
es el equivalente de su firma personal rubricada o extendida
en soporte papel.
En
el evento que una norma legal exija el requisito de
la firma o establezca consecuencias jurídicas para el
caso de su omisión, se aplicará tal disposición siempre
y cuando el tercero interesado o usuario que reciba
el certificado digital verifique en el repositorio de
CNC-once
la validez o la inexistencia del mismo, en los términos
a que se alude en la cláusula 18 de estas PCD.
9.7
Conservar y utilizar correctamente el certificado que
se emite a su nombre: será de
exclusiva responsabilidad del suscriptor o signatario
el uso indebido de un certificado o de forma diversa
a la que estas PCD determinan para los certificados
emitidos por CNC-once.
9.8
Llave(s) privada(s): la responsabilidad
por la confidencialidad y seguridad de las claves o
llaves privadas correlativas a las llaves públicas contenidas
en los certificados digitales, generadas necesariamente
por los propios sistemas o browser de los suscriptores,
es exclusiva de estos últimos, debiendo protegerlas
y mantenerlas en secreto. Lo contrario hará ineficiente
el sistema de seguridad criptográfica y de confidencialidad
implementado por CNC-once.
La
cesión del uso de dicha clave o del certificado también
será de su exclusiva responsabilidad.
En
caso de extravío, hurto, robo, uso no autorizado de
la clave privada el suscriptor deberá avisar por correo
electrónico y concurriendo personalmente a las dependencias
de CNC-once,
con el objeto de que los certificados que contienen
la clave pública correlativa sean revocados y se evite
su uso no autorizado o ilegítimo por parte de un tercero
interesado o usuario.
9.9
Revocación:
solicitar la revocación extemporánea y anticipada
de los certificados emitidos que le interesen, cuando
tenga conocimiento de que concurren algunas de las causales
a que alude la cláusula 7 de estas PCD. |
| |
| |
| 10.
Servicios de asistencia on-line al solicitante o suscriptor
titular de certificados
Al
aceptar las PCD de CNC-once
el suscriptor manifiesta haber consultado previamente
acerca del procedimiento y los requisitos de certificación
implementado y establecidos –respectivamente- por CNC-once,
y declara estar en condiciones de operar adecuada y
debidamente en materia de solicitud, obtención, uso
y vigencia de certificados digitales.
Sin
perjuicio de lo anterior, toda consulta de un suscriptor
de los servicios de certificación digital prestados
por CNC-once
deberá realizarse telefónicamente llamando al numero
(56) (2) (3654029) o mediante e-mail dirigido a adminonce@cnc.cl.
|
| |
| |
| 11.
Confidencialidad y reserva en materia de datos personales
registrados
Para
dar cumplimiento a lo establecido por la ley Nº19.628,
se consagra la obligación de reserva frente a terceros
respecto de los atributos y datos personales o nominativos
de quienes sean certificados digitalmente, que archiven
o almacenen CNC-once
o quienes a su nombre cumplan funciones de ER, con el
objeto de asegurar la confidencialidad de la información
y el respeto y la protección de la privacidad de las
personas, salvo que un tribunal competente requiera
el conocimiento de dichos antecedentes por motivos fundados
o que el titular de los datos consienta expresamente
en su uso para una finalidad distinta de aquella con
la cual fueron recolectados, procesados y registrados
o almacenados. |
| |
| |
| 12.
Declaración y Derechos de Propiedad Intelectual
CNC-once
se reserva la propiedad intelectual moral y patrimonial
del presente documento –las prácticas de certificación
digital o PCD. Queda por ende prohibida toda reproducción,
comunicación, distribución, archivo o transmisión de
cualquier tipo y por cualquier medio, mecánico, electrónico,
fotográfico o magnético, total o parcial de las mismas
sin previa y expresa autorización escrita de CNC-once.
Las
PCD de CNC-ONCE reconocen entre sus fuentes principales
las reglas particulares establecidas según el criterio
de sus miembros, los informes preliminares de ADEXUS
S.A, los lineamientos sobre firma digital de la American
Bar Association, las PCD de ACE de España, las PCD de
CERTISUR S.A. de Argentina y las PCD de CAMERFIRMA España.
|
| |
| |
| 13.
Seguros comprometidos por los certificados digitales
emitidos
CNC-once
declara que las responsabilidades por ella asumidas
en estas PCD y en los contratos o acuerdos de suscripción
que a ellas se remitan serán aseguradas y reaseguradas
conforme a las prácticas que habitualmente se aplican
para los seguros de responsabilidad civil. La cobertura
señalada no podrá ser invocada directamente por el suscriptor
o signatario titular de los certificados digitales. |
| |
| |
| 14.
Arbitrajes (procedimientos de resolución de conflictos)
Todas
y cualquier controversia que se suscite entre CNC-once
y los suscriptores o signatarios que suscriban el(los)
respectivo(s) contrato(s) de certificación o los terceros
interesados o usuarios que adhieran a las PCD y reconozcan
por ende la validez de sus certificados digitales, con
motivo de la interpretación, aplicación, ejecución,
vigencia, cumplimiento, incumplimiento o terminación
de los servicios prestados por CNC-once
y del contenido de las presentes PCD, serán resueltas
precisa y necesariamente por un árbitro arbitrador,
sin forma de juicio y sin ulterior recurso por un Arbitro
Arbitrador, renunciando desde ya a todos los recursos
legales, incluso el de casación en la forma y, con excepción
del recurso de queja.
El
Arbitro será nombrado por las partes de común acuerdo
y, en caso de no haberlo dentro de 15 días de la solicitud
escrita de cualquiera de ellas, será designado por la
Justicia Ordinaria, debiendo en tal caso recaer la designación
en una persona que haya sido Ministro o Abogado Integrante
de la Excelentísima Corte Suprema de Justicia, o bien,
Profesor de las cátedras de Derecho Civil o Comercial
de las Facultades de Derecho de las Universidades de
Chile, Católica de Santiago o Católica de Valparaíso,
excluidos los que hubieren prestado sus servicios a
cualquier titulo a alguna de las partes. |
| |
| |
| 15.
Admisibilidad y valor probatorio de los registros, archivos
y certificados digitales
En
caso de controversia que se suscite entre CNC-ONCE y
el(los) suscriptores(s) que suscriba(n) o el(los) tercero(s)
que adhiera(n) a el(los) respectivo(s) contrato(s) de
certificación con motivo de la interpretación, aplicación,
vigencia, cumplimiento, incumplimiento o terminación
de los servicios prestados por CNC-once
y del contenido de las presentes PCD, no se podrá cuestionar
la admisibilidad probatoria de los registros, archivos,
documentos o certificados magnéticos que den cuenta
de fechas, horarios, envíos, recepción, contenido y
cantidades de datos o información almacenada o transmitida,
los que tendrán un valor probatorio equivalente al que
el derecho le otorga a los instrumentos escriturados
y soportados en papel, otorgado por la parte que lo
emitió y constituirán plena prueba de los hechos a que
aluden. |
| |
| |
| 16.
Determinación de los estándares técnicos de certificación
utilizados
CNC-once
se compromete a utilizar los estándares técnicos de
criptografía internacionales que sean más idóneos para
prestar los servicios de certificación digital especificados
en las presentes prácticas, y declara su firme intención
de instar porque dichos recursos técnicos permitan la
homologación de sus certificados con otras Entidades
Certificadoras tanto nacionales como internacionales. |
| |
| |
| 17.
Definiciones y conceptos técnicos
El
signatario que suscriba el(los) respectivo(s) contrato(s)
de certificación y que acepte las PCD de CNC-once
y los terceros interesados o usuarios que adhieran a
las mismas se sujetarán al significado, alcance e interpretación
que la Entidad Certificadora otorgue a conceptos técnicos
tales como firma digital, certificado, certificación,
llave pública, etcétera, los que, en caso de desacuerdo,
conflicto u arbitraje, se entenderán tener el alcance
y significado que CNC-once
determine. |
| |
| |
| 18.
Situación de los usuarios o terceros interesados –receptores
confiados- que acepten certificados emitidos por CNC-ONCE
(acuerdo de receptor confiado o "Relying Party
Agreement")
Por
el hecho de no impugnar el proceso de certificación
en el lapso de las 48 horas posteriores a la emisión
de un certificado; habiendo consultado en el repositorio
del sitio web de CNC-once
la publicación y la validez o la no revocación de un
certificado digital que ha recibido como respaldo de
una transacción electrónica o de un documento firmado
digitalmente; y pudiendo acreditarse objetivamente el
uso del certificado digital en una transacción de comercio
electrónico entre el suscriptor y el tercero interesado
o usuario que lo recibe, se entenderá que el tercero
declara conocer y aceptar aspectos tales como la totalidad
del contenido, los límites de responsabilidad, los alcances
de las PCD de CNC-once
y la validez de dicho certificado.
Se
eleva a la calidad de obligación esencial e ineludible
del usuario o tercero interesado el acto de comprobar
en el repositorio de certificados de CNC-once
que el certificado en que se pretende confiar es válido
y no ha caducado o no ha sido revocado o suspendido
unilateralmente.
Los
terceros receptores que confíen expresamente o demuestren
confiar en los certificados emitidos por CNC-once
deberán "verificar" las firmas digitales creadas
por los suscriptores de dichos certificados, con el
objeto de determinar que efectivamente el documento
o mensaje asociado es íntegro y no ha sido alterado
desde el momento de su firma y posterior envío. El tercero
que realice tal verificación de certificados digitales
se entiende que considera que una firma digital es válida
y que está vinculada a su creador, y que considera que
un mensaje o documento que contenga una firma digital
verificada en relación a la clave pública del certificado
digital que ha recibido, previamente emitido y listado
en el repositorio de CNC-once,
es el equivalente de la firma personal del usuario emisor
del mensaje rubricada o extendida en soporte papel.
A
estos efectos deberán utilizar mecanismos tales como:
consultar en el repositorio de CNC-once
la vigencia y no revocación del certificado digital
respectivo; o, para el caso que una Entidad Certificadora
haya sido certificada por otra Entidad Certificadora
superior, realizar un proceso de validación que parte
por revisar la correcta y adecuada cadena de certificaciones
hasta llegar al nivel del certificado raíz de CNC-once,
mismo que dispone de una clave pública solamente certificada
por ella. |
| |
| |
| 19.
Modificación unilateral y actualización periódica de
las PCD
Atendido
que la prestación de servicios de certificación digital
es una materia tecnológica en constante evolución y
con el objeto de prestar idóneamente tales servicios,
CNC-once
se reserva el derecho de modificar unilateralmente y/o
actualizar estas prácticas de certificación digital,
bastando al efecto –como formalidad de publicidad- que
se informe vía e-mail de tal hecho al(los) suscriptor(es)
que mantenga un(unos) contrato(s) de certificación digital
vigente(s) con CNC-once.
Dichos
mensajes se enviarán a la casilla de correo electrónico
indicada por el suscriptor al solicitar los servicios
de certificación, la que se registra en el contrato
de servicios de certificación respectivo, y que en caso
de ser modificada dicho cambio deberá ser informado
por escrito mediante carta certificada y por correo
electrónico a CNC-once
dentro de las 24 horas siguientes a la modificación.
La modificación de la dirección de correo electrónico
del suscriptor o signatario importa la solicitud de
un nuevo certificado digital y la revocación del anterior
que consignaba la casilla modificada. |
| |
| |
| Anexos
Glosario
de Términos:
CNC-ONCE:
Entidad de Certificación Electrónica.
Entidad
o Autoridad Certificadora - Entidad de Registro:
en consideración al principio jurídico del necesario
resguardo de la "Fe Pública" y para mantener
el "Orden Público Económico" y la "Buena
Fe" involucrados en las transacciones electrónicas,
tecnológica y legalmente han surgido las denominadas
"Autoridades o Entidades Certificadoras",
las que asumen la responsabilidad primero de registrar
los antecedentes personales de aquellas personas naturales
o jurídicas que, posteriormente, serán acreditadas virtualmente
mediante la emisión, publicación y mantención de un
certificado digital que les sirva de respaldo para firmar
digitalmente sus documentos. En España también se les
denomina como "Proveedores de Servicios de Certificación
y de Registro", expresión que debe tenerse el cuidado
de no confundirse con aquellas empresas que sólo aportan
los elementos tecnológicos pero que para nada desempeñan
funciones de certificación de firmas.
Suscriptor
o Signatario: Se denominan "signatarios"
o "suscriptores" a los que contratan con una
Entidad Certificadora la expedición o emisión de un
certificado, para que la llave pública de una firma
digital sea asignada o identificada en él y le puedan
ser oponibles a terceros -ajenos al contrato de certificación
digital o acuerdo de suscripción- los mensajes o documentos
digitales a que se anexan o aplican.
Usuarios
o Terceros Interesados: Son aquellos receptores
confiados- que acepten certificados emitidos por CNC-once
y que, por el hecho de no impugnar el proceso de certificación
en el lapso de las 48 horas posteriores a la emisión
de un certificado; habiendo consultado en el repositorio
del sitio web de CNC-once
la publicación y la validez o la no revocación de un
certificado digital que ha recibido como respaldo de
una transacción electrónica o de un documento firmado
digitalmente; y pudiendo acreditarse objetivamente el
uso del certificado digital en una transacción de comercio
electrónico con el suscriptor, se entiende que declaran
conocer y aceptar aspectos tales como la totalidad del
contenido, los límites de responsabilidad, los alcances
de las PCD de CNC-once
y la validez de dicho certificado. Es una obligación
esencial e ineludible del usuario o tercero interesado
el acto de comprobar en el repositorio de certificados
de CNC-once
que el certificado en que se pretende confiar es válido
y no ha caducado o no ha sido revocado o suspendido
unilateralmente.
Certificados
Digitales: Son
los documentos electrónicos que firmados por una Entidad
Certificadora y añadidos a la llave pública como datos
o información característica del suscriptor o signatario,
acreditan la identidad de la persona -natural o jurídica-
que es titular de dicha llave, junto a sus datos de
identificación, utilizando sistemas que garanticen la
seguridad técnica y criptográfica de los procesos de
certificación.
Los
certificados emitidos por la Entidad Certificadora representan
para sus suscriptores una herramienta para identificarse
y validar las claves que protegen la información que
transmiten, reciben y almacenan asegurando su autenticidad,
confidencialidad, integridad y no repudio. En este sentido
una de las principales tareas de la Entidad Certificadora
es proveer confianza a la comunidad a la que se dirige,
lo cual se logra no sólo a través de tecnología confiable,
sino también de la utilización de procedimientos cuidadosamente
diseñados.
CNC-once
publica sus certificados en un repositorio, con el objeto
de que terceros interesados o usuarios puedan comprobar
que efectivamente un suscriptor o signatario le ha enviado
un documento firmado que puede ser validado en relación
a un certificado legítimo.
Permiten
además la creación de firmas digitales y proporcionan
confidencialidad para los mensajes electrónicos que
son cifrados para su transmisión mediante redes.
Firma
Electrónica:
En esencia, la firma electrónica es el sustituto
tecnológico de la firma manuscrita u "olográfica",
y quien la use, junto con acreditar fehacientemente
su identidad y con la imposibilidad de posteriormente
repudiar el envío de un mensaje, jurídicamente hablando
está manifestando su voluntad en orden a realizar una
determinada transacción electrónica con un también determinado
"co-contratante". El Decreto de Hacienda Nº1015
del 11 de febrero de 1995 establece que la firma electrónica
es "el sustituto digital de la firma manuscrita
que en el marco del intercambio electrónico de datos
permite al receptor de un mensaje electrónico verificar
con certeza la identidad proclamada por el transmisor,
impidiendo a éste último desconocer la autoría del mensaje
en forma posterior".
Firma
Digital: Especie de firma electrónica que,
mediante mecanismos de criptografía asimétrica, resulta
de aplicar la llave o clave privada a un documento soportado
magnéticamente.
Son
aquellos códigos o claves que se asocian inequívocamente
a un documento electrónico o soportado magnéticamente
y que permiten identificar indubitadamente a su autor,
asegurar su integridad y confidencialidad y evitar su
no repudiación posterior.
Las
firmas digitales se verifican mediante las claves públicas
que figuran en un certificado válido. Primero se generan
las llaves públicas y privadas con el browser del signatario
y luego se emite un certificado en relación a la llave
pública generada previamente. |
| |
|
 |
Cámara
Nacional de Comercio, Servicios y Turismo de Chile F.G. Merced
230, Santiago. Fono: 365 4000 |
|
|
