REF. Aprueba Reglamento de la Ley 19.

799
sobre documentos electrnicos, firma
electrnica y la certificacin de dicha firma.
DECRETO N _________________/
SANTIAGO,
VISTOS:
a) Lo dispuesto en el artculo 32 N8 de la
Constitucin Poltica de la Repblica;
b) La Ley 19.799 sobre documentos
electrnicos, firma electrnica y la certificacin de
dicha firma;
c) Lo dispuesto en la resolucin N 520, de
1996, que fija el texto refundido, coordinado y
sistematizado de la resolucin N 55, de 1992,
ambas de la Contralora General de la Repblica.
CONSIDERANDO:
Que en fecha 12 de abril de 2002 se public en el
Diario Oficial la Ley N19.799 sobre documento
electrnico, firma electrnica y la certificacin de
dicha firma, cuyo artculo 25 autoriza al Presidente
de la Repblica a dictar el reglamento
correspondiente, en el plazo de 90 das contados
desde la referida publicacin.
DECRETO:
ARTCULO PRIMERO: Aprubase el siguiente
Reglamento de la Ley N19.799 sobre documentos
electrnicos, firma electrnica y la certificacin de
dicha firma.
2
Artculo 1. Los documentos electrnicos, la certificacin y uso de la firma
electrnica por las personas naturales y jurdicas de derecho privado y la
administracin del Estado, la prestacin de los servicios de certificacin, la
acreditacin de los certificadores, y los derechos y obligaciones de los usuarios se
regir por lo dispuesto en la Ley N 19.799, el presente Reglamento y las normas
tcnicas que se dicten al efecto.
TTULO PRIMERO: De la Certificacin de firma electrnica
1 Prrafo: De los Prestadores de Servicios de Certificacin
Artculo 2. Son prestadores de servicios de certificacin las personas jurdicas
nacionales o extranjeras, pblicas o privadas, que otorguen certificados de firma
electrnica, sin perjuicio de los dems servicios que puedan realizar.
Son prestadores acreditados de servicios de certificacin las personas jurdicas
nacionales o extranjeras, pblicas o privadas, domiciliadas en Chile y acreditadas
en conformidad con la Ley y este Reglamento, que otorguen certificados de firma
electrnica.
Artculo 3. El cumplimiento de las normas tcnicas fijadas para la aplicacin del
presente Reglamento es obligatorio para los prestadores acreditados de servicios
de certificacin.
Artculo 4. Los actos administrativos que impliquen la modificacin de normas
tcnicas para la prestacin del servicio establecern los plazos en los cuales un
prestador acreditado de servicios de certificacin deber adecuarse a las mismas.
El incumplimiento en la adecuacin a las nuevas normas tcnicas ser calificado
como incumplimiento grave y facultar a la Entidad Acreditadora a dejar sin efecto
la acreditacin, de conformidad con el artculo 19 de la Ley y el presente
Reglamento.
Artculo 5. A peticin de parte o de oficio, y con el objeto de fijar o modificar las
normas tcnicas establecidas por este Reglamento, la Entidad Acreditadora podr
iniciar el procedimiento para la elaboracin y fijacin de normas tcnicas.
3
De ser necesario, se podr fijar conjuntos alternativos de normas tcnicas para la
prestacin del servicio con el objeto de permitir el uso de diversas tecnologas y
medios electrnicos, en conformidad a la Ley y el presente Reglamento.
Artculo 6. Es obligacin de los prestadores de servicios de certificacin contar
con reglas sobre prcticas de certificacin consistentes en una descripcin
detallada de las polticas, procedimientos y mecanismos que el certificador se
obliga a cumplir en la prestacin de sus servicios de certificacin y homologacin.
Las Prcticas de Certificacin deben declarar el cumplimiento de los requisitos
sealados en el artculo 16 de este Reglamento, con excepcin de la pliza de
seguro que se acredita por medio de la presentacin de la misma.
Las Prcticas de Certificacin deben ser objetivas y no discriminatorias, y se
deben comunicar a los usuarios de manera sencilla y en idioma castellano.
Dichas prcticas debern contener al menos:
a. Una introduccin, que deber contener un resumen de las prcticas de
certificacin de que se trate, mencionando tanto la entidad que suscribe el
documento, como el tipo de usuarios a los que son aplicables.
b. Consideraciones generales, debiendo contener informacin sobre
obligaciones, responsabilidades, cumplimiento de auditorias,
confidencialidad, y derechos de propiedad intelectual, con relacin a todas
las partes involucradas.
c. Identificacin y autenticacin, debiendo describirse tanto los procesos de
autenticacin aplicados a los solicitantes de certificados, como los
procesos para autenticar a los mismos cuando piden suspensin o
revocacin de certificado.
d. Requerimientos operacionales, debiendo contener informacin operacional
para los procesos de solicitud de certificado, emisin de certificados,
suspensin y revocacin de certificados, procesos de auditora de
seguridad, almacenamiento de informacin relevante, cambio de datos de
creacin de firma electrnica, superacin de situaciones crticas, casos de
fuerza mayor y caso fortuito, y procedimiento de trmino del servicio de
certificacin.
e. Controles de procedimiento, personal y fsicos, debiendo describir los
controles de seguridad no tcnicos utilizados por el prestador de servicios
de certificacin para asegurar las funciones de generacin de datos de
creacin de firma electrnica, autenticacin de usuarios, emisin de
certificados, suspensin y revocacin de certificados, auditora y
almacenamiento de informacin relevante.
4
f. Controles de seguridad tcnica, debiendo sealar las medidas de
seguridad adoptadas por el prestador de servicios de certificacin para
proteger los datos de creacin de su propia firma electrnica.
g. Perfiles de certificados y del registro de acceso pblico, debiendo
especificar el formato del certificado y del registro de acceso pblico.
h. Especificaciones de administracin se la poltica, debiendo sealar la
forma en que la poltica de certificacin est contenida en la Prctica, los
procedimientos para cambiar, publicar y notificar la poltica.
Artculo 7. El prestador de servicios de certificacin deber mantener un registro
de certificados de acceso pblico, en el que se garantice la disponibilidad de la
informacin contenida en l de manera regular y continua.
A dicho registro se podr acceder por medios electrnicos y en l debern constar
los certificados emitidos por el certificador, indicando si los mismos se encuentran
vigentes, revocados, suspendidos, traspasados de otro prestador de servicios de
certificacin acreditado u homologados.
Artculo 8. En caso que un prestador de servicios de certificacin cese en la
prestacin del servicio, deber comunicar tal situacin a los titulares de los
certificados por ella emitidos en la siguiente forma:
a) Si el cese es voluntario, con una antelacin de dos meses y sealando al
titular que de no existir objecin a la transferencia de los certificados a otro
prestador de servicios de certificacin, dentro del plazo de 15 das hbiles
contados desde la fecha de la comunicacin, se entender que el usuario
ha consentido en la transferencia de los mismos. En este caso, si el
prestador es acreditado, deber traspasar los certificados,
necesariamente, a un certificador acreditado.
b) Si el cese se produce por cancelacin de la acreditacin, deber
comunicarse inmediatamente a los titulares. En caso que el prestador de
servicios de certificacin decida traspasar los certificados a otro prestador
acreditado, deber informar tal situacin en la forma y plazo sealado en
la letra a).
Si el titular del certificado se opone a la transferencia, el certificado ser revocado
sin ms trmite, sin perjuicio de lo dispuesto en el artculo 11 de este Reglamento.
Artculo 9. En caso que el cese en la prestacin del servicio por voluntad del
prestador acreditado de servicios de certificacin, deber solicitar a la Entidad
Acreditadora, con al menos un mes de anticipacin, la cancelacin de su
inscripcin en el registro pblico a que hace referencia el artculo 15 de este
5
Reglamento, comunicndole el destino que dar a los datos de los certificados,
especificando, en su caso, los que va a transferir y a quin, cuando proceda.
Artculo 10. El cese de la actividad del prestador acreditado de servicios de
certificacin ser registrado como nota de cancelacin de la acreditacin por la
Entidad Acreditadora en el registro pblico a que se refiere el artculo 15 de este
Reglamento.
Artculo 11. Los datos proporcionados por el titular del certificado debern ser
conservados por el prestador de servicios de certificacin a lo menos durante seis
aos desde la emisin inicial de los certificados, cualquiera sea estado en que se
encuentre el certificado.
En caso que el prestador de servicios de certificacin cese en su actividad, deber
transferir dichos datos a un prestador de servicios de certificacin acreditado o a
una empresa especializada en la custodia de datos electrnicos, por el tiempo
faltante para completar los 6 aos desde la emisin de cada certificado. Esta
situacin deber verse reflejada en el registro pblico que seala el artculo 15 de
este Reglamento.
Artculo 12. Los prestadores de servicios de certificacin acreditados debern
contratar y mantener vigente un seguro de responsabilidad civil, que cubra los
daos y perjuicios que ocasionen, con motivo de la certificacin y homologacin
de firmas electrnicas, el que deber contener las siguientes estipulaciones
mnimas:
a) Una suma asegurada de al menos el equivalente de cinco mil unidades de
fomento;
b) La ausencia de deducibles o franquicias, en la parte de la indemnizacin
que no exceda el equivalente de cinco mil unidades de fomento;
c) La responsabilidad civil asegurada, que comprender la originada en
hechos acontecidos durante la vigencia de la pliza, no obstante sea
reclamada con posterioridad a ella.
2 Prrafo: De la Entidad Acreditadora
Artculo 13. Para el cumplimiento de las funciones como Entidad Acreditadora, la
Subsecretara de Economa podr contratar expertos, a los que se aplicarn las
normas sobre probidad administrativa contenidas en la Ley 18.575 de Bases
Generales de la Administracin del Estado.
6
Artculo 14. La Entidad Acreditadora ejercer la facultad inspectora sobre los
prestadores acreditados de servicios de certificacin y, a tal efecto, velar porque
los requisitos que se observaron al momento de otorgarse la acreditacin y las
obligaciones que impone la Ley y este Reglamento se cumplan durante la vigencia
de la acreditacin.
La facultad inspectora comprende tanto inspeccin ordinaria como la
extraordinaria. La inspeccin ordinaria consiste en la facultad de practicar una
visita anual a las instalaciones del prestador acreditado de servicios de
certificacin, como asimismo requerir, en forma semestral, informacin sobre el
desarrollo de la actividad. La inspeccin extraordinaria ser practicada de oficio o
por denuncia motivada sobre la prestacin del servicio, ordenada por el
Subsecretario mediante resolucin fundada.
Las inspecciones podrn ser practicadas por medio de funcionarios o peritos
especialmente contratados y habilitados para estos fines, los que en el ejercicio de
sus funciones podrn requerir al certificador informacin adicional a la
proporcionada por l.
La informacin solicitada por la Entidad Acreditadora deber ser proporcionada
dentro del plazo de 5 da, contado desde la fecha de la solicitud, sin perjuicio del
otorgamiento de plazos especiales atendida la informacin requerida.
Artculo 15. La Entidad Acreditadora mantendr un registro pblico de
prestadores acreditados de servicios de certificacin, el que deber contener el
nmero de la resolucin que concede la acreditacin, el nombre o razn social del
certificador, la direccin social, el nombre de su Representante Legal, el nmero
de su telfono, su sitio de dominio electrnico y correo electrnico as como la
compaa de seguros con que ha contratado la pliza de seguros que exige el
artculo 14 de la Ley.
El referido registro pblico deber permitir su acceso por medios electrnicos, sin
perjuicio, de la mantencin del mismo en soporte de papel en la Entidad
Acreditadora. Este Registro deber ser actualizado permanentemente,
manteniendo un acceso regular y continuo.
3 Prrafo: De la Acreditacin de los Prestadores de Servicios de
Certificacin
Artculo 16. La acreditacin es voluntaria, sin perjuicio de lo cual para obtenerla el
prestador de servicios de certificacin deber cumplir, al menos, con las siguientes
condiciones:
7
a. Demostrar la fiabilidad necesaria de sus servicios.
b. Garantizar la existencia de un servicio seguro de consulta del registro de
certificados emitidos.
c. Emplear personal calificado para la prestacin de los servicios ofrecidos,
en el mbito de la firma electrnica y los procedimientos de seguridad y
gestin adecuados.
d. Utilizar sistemas y productos confiables que garanticen la seguridad de
sus procesos de certificacin.
e. Haber contratado un seguro apropiado en los trminos que seala el
artculo 12 de este Reglamento, y
f. Contar con la capacidad tecnolgica necesaria para el desarrollo de la
actividad de certificacin.
El cumplimiento de dichas condiciones ser evaluado por la Entidad Acreditadora
de conformidad con las normas tcnicas aplicables a la prestacin del servicio.
Artculo 17. El procedimiento de acreditacin de los prestadores de servicios de
certificacin se iniciar por medio de una solicitud presentada a la Entidad
Acreditadora, acompaada del comprobante de pago de los costos de la
acreditacin y de los antecedentes que permitan verificar el cumplimiento de lo
dispuesto en los prrafos 1 y 2 de este Reglamento, con excepcin de la pliza
de seguro a que hace referencia el artculo 14 de la Ley.
En la solicitud que se presente el interesado deber individualizarse debidamente
y para ello indicar su nombre o razn social, su RUT, el nombre y RUT del
Representante Legal, su domicilio social y direccin de correo electrnico,
aceptando expresamente dicho medio electrnico como forma de comunicacin.
Recibida la solicitud, la Entidad Acreditadora proceder a verificar la admisibilidad
de la misma mediante la verificacin de los antecedentes requeridos.
De ser inadmisible la solicitud, dentro de 3 da hbil proceder a comunicar al
interesado tal situacin el podr, completar los antecedentes dentro del plazo de
15 das, bajo apercibimiento de ser rechazada la solicitud.
Admitida a trmite la solicitud, la Entidad Acreditadora proceder a un examen
sobre el cumplimiento de los requisitos y obligaciones exigidas por la Ley y este
Reglamento para obtener la acreditacin, certificando dentro del plazo de 90 das
contados desde la fecha de la admisibilidad de la solicitud, prorrogables por
motivos fundados, que el interesado cumple los requisitos y obligaciones para ser
acreditado y que dispone de un plazo de 20 das para presentar la pliza de
seguros que exige el artculo 14 de la ley, bajo apercibimiento de ser rechazada la
solicitud.
En caso que la Entidad Acreditadora determine que el prestador de servicios de
certificacin no cumple con las normas tcnicas fijadas para el desarrollo de la
8
actividad, sealar si los incumplimientos son subsanables, y si no afectan el
correcto funcionamiento del sistema ni los fines previstos en la Ley para la firma
electrnica avanzada.
En caso que los incumplimientos no sean subsanables, la Entidad Acreditadora
proceder a dictar una resolucin en la que rechaza la solicitud de acreditacin.
Si los incumplimientos son subsanables y no afectan el correcto funcionamiento
del sistema ni los fines previstos en la Ley para la firma electrnica avanzada, la
Entidad Acreditadora podr acreditar al interesado, previa autorizacin de un plan
de medidas correctivas.
Una vez completados los requisitos exigidos, la Entidad Acreditadora proceder a
acreditar al interesado en el plazo de veinte das contados desde que, a peticin
del interesado, se certifique que la solicitud se encuentra en estado de resolverse.
Durante todo el proceso de acreditacin, la Entidad Acreditadora podr solicitar
documentacin adicional y/o realizar visitas a las instalaciones del interesado, por
intermedio de sus funcionarios o por expertos especialmente contratados para
dichos fines.
Artculo 18. La Entidad Acreditadora por medio de resolucin exenta de la
Subsecretara de Economa, Fomento y Reconstruccin fijar dentro del primer
trimestre de cada ao el arancel de los costos de la acreditacin y el arancel de
supervisin.
Los costos de acreditacin sern pagados por el prestador de servicios de
certificacin que solicite acreditarse, los que no sern restituidos en el evento que
la acreditacin no se conceda por incumplimiento de los requisitos y obligaciones
legales y reglamentarias exigidos para el desarrollo de la actividad de certificacin
como acreditado.
El arancel de supervisin comprender los costos correspondientes a las
inspecciones, ordinarias y extraordinarias, y del sistema de acreditacin. El
arancel deber ser pagado por los prestadores acreditados de servicios de
certificacin dentro de los 90 das siguientes a la fecha de la resolucin que los
fija.
Artculo 19. La Entidad Acreditadora podr dejar sin efecto la acreditacin
mediante resolucin fundada, por las causales previstas en el artculo siguiente.
Dicha resolucin deber ordenar la inscripcin de la cancelacin del certificador
del registro pblico que lleve la Entidad Acreditadora.
Artculo 20. La acreditacin de los certificadores quedar sin efecto por las
siguientes causas:
9
a. Por solicitud del prestador acreditado de servicios de certificacin, ante la
Entidad acreditadora con una antelacin de a lo menos un mes a la fecha
del trmino previsto por el prestador acreditado de servicios de
certificacin para que se haga efectiva, indicando el destino que dar a
los certificados y a los datos de ellos, para lo cual deber cumplir con lo
dispuesto en el artculo 26 letra a) de este Reglamento, y garantizar el
pago del aviso que deber ser publicado de conformidad con lo dispuesto
en el artculo siguiente.
b. Por prdida de las condiciones que sirvieron de fundamento a su
acreditacin, la que ser calificada por los funcionarios o expertos que la
Entidad Acreditadora ocupe para el cumplimiento de la facultad
inspectora.
c. Por incumplimiento grave o reiterado de las obligaciones que establece la
Ley y este Reglamento.
En los casos de las letras b) y c), la resolucin deber ser adoptada previo
traslado de cargos y audiencia del afectado, para lo cual la Entidad Acreditadora
dar un plazo de 5 das hbiles para que ste evacue sus descargos. Recibidos
stos la Entidad Acreditadora deber resolver fundadamente dentro del plazo de
15 das, prorrogables por el mismo perodo, por motivos fundados.
Artculo 21. Los certificadores cuya inscripcin haya sido cancelada, debern
comunicar inmediatamente este hecho a los titulares de las firmas certificadas por
ellos. Sin perjuicio de ello, la Entidad Acreditadora publicar, a costa del
certificador, un aviso dando cuenta de la cancelacin.
Dicho aviso deber ser publicado en un medio de prensa escrito de circulacin
nacional, sin perjuicio de la publicacin de la resolucin en el registro pblico que
seala el artculo 15 de este Reglamento. El aviso deber sealar que desde esta
publicacin los certificados quedarn sin efecto, a menos que hayan sido
transferidos a otro certificador acreditado, en conformidad con lo dispuesto en el
artculo 26 de este Reglamento.
4 Prrafo: De los Certificados de Firma Electrnica
Artculo 22. El certificado de firma electrnica es la certificacin electrnica que
da fe del vnculo entre el firmante o titular del certificado y los datos de creacin
de firma electrnica.
Los certificados de firma electrnica deben contener, al menos, las siguientes
menciones:
a. Un cdigo de identificacin nico del certificado.
10
b. Identificacin del prestador de servicio de certificacin, con indicacin de
su nombre o razn social, rol nico tributario, direccin de correo
electrnico, y, en su caso, los antecedentes de su acreditacin y su propia
firma electrnica avanzada. El correo electrnico podr indicarse,
directamente en el mismo certificado o haciendo referencia a un sitio de
dominio electrnico que permita obtenerlo en forma rpida y sencilla.
c. Los datos de la identidad del titular, entre los cuales deben incluir su
nombre, direccin de correo electrnico y su rol nico tributario.
d. Su plazo de vigencia.
Artculo 23. Los prestadores de servicios de certificacin debern introducir en
los certificados de firma electrnica que emitan, las menciones sealadas en el
artculo 15 de la Ley, de acuerdo con las normas fijadas por este Reglamento
para el desarrollo de la actividad.
Los atributos adicionales que los prestadores de servicios de certificacin
introduzcan con la finalidad de incorporar lmites al uso del certificado, no debern
dificultar o impedir la lectura de las menciones sealadas en el inciso anterior ni
su reconocimiento por terceros.
Artculo 24. Tratndose de un certificado de firma electrnica avanzada deber el
prestador de servicios de certificacin comprobar fehacientemente la identidad del
solicitante antes de la emisin del mismo, de conformidad con las normas
tcnicas.
Dicha comprobacin la har el prestador de servicios de certificacin, ante s o
ante notario u oficial del Registro Civil, requiriendo la comparecencia personal y
directa del solicitante o de su representante legal si se tratare de una persona
jurdica.
Artculo 25. Los datos de creacin de firma deben ser generados por el prestador
de servicios de certificacin y entregados al usuario o titular del certificado de
manera de garantizar la recepcin de los mismos en forma personal.
Queda prohibido al prestador de servicios de certificacin mantener copia de los
datos de creacin de firma electrnica una vez que stos hayan sido entregados a
su titular, momento desde el cual ste comenzar a ser responsable de
mantenerlos bajo su exclusivo control.
Artculo 26. El certificado de firma electrnica podr ser usado por su titular de
conformidad con las operaciones que han sido autorizadas a realizar en las
11
prcticas de certificacin del prestador de servicios de certificacin con quien se
ha contratado.
El certificado de firma electrnica emitido por un prestador de servicios de
certificacin acreditado deber permitir a su titular identificar, en forma directa o
mediante consulta electrnica, los certificados de firma electrnica avanzada que
reciba, con la finalidad de comprobar la validez del mismo.
Artculo 27. Proceder la suspensin de la vigencia del certificado cuando se
verifique alguna de las siguientes circunstancias:
a. Solicitud del titular del certificado.
b. Decisin del prestador de servicios de certificacin en virtud de razones
tcnicas.
El efecto de la suspensin del certificado es el cese temporal de los efectos
jurdicos del mismo conforme a los usos que le son propios e impide el uso
legtimo del mismo por parte del titular.
La suspensin del certificado terminar por cualquiera de las siguientes causas:
a. Por la decisin del prestador de servicios de certificacin de revocar el
certificado, en los casos previstos en la Ley.
b. Por la decisin del prestador de servicios de certificacin de levantar la
suspensin del certificado, una vez que cesen las causas tcnicas que la
originaron.
c. Por la decisin del titular del certificado, cuando la suspensin haya sido
solicitada por ste.
Artculo 28. Los certificados de firma electrnica quedarn sin efecto por la
revocacin practicada por el prestador de servicios de certificacin.
La revocacin tendr lugar cuando el prestador de servicios de certificacin
constate alguna de las siguientes circunstancias:
a. Solicitud del titular del certificado.
b. Fallecimiento del titular o disolucin de la persona jurdica que represente,
en su caso.
c. Resolucin judicial ejecutoriada.
d. Que el titular del certificado al momento de solicitarlo no proporcion los
datos de la identidad personal u otras circunstancias objeto de
certificacin, en forma inexacta o incompleta.
e. Que el titular del certificado no ha custodiado adecuadamente los
mecanismos de seguridad del funcionamiento del sistema de certificacin
que le proporcione el certificador.
f. Que el titular del certificado no ha actualizado sus datos al cambiar.
12
g. Las dems causas que convengan el prestador de servicios de
certificacin con el titular del certificado.
El efecto de la revocacin del certificado es el cese permanente de los efectos
jurdicos de ste conforme a los usos que le son propios e impide el uso legtimo
del mismo.
Artculo 29. Los prestadores acreditados de servicios de certificacin podrn
homologar los certificados de firma electrnica avanzada emitidos por
certificadores no establecidos en Chile, bajo su responsabilidad.
Para ello el prestador acreditado de servicios de certificacin deber demostrar a
la Entidad Acreditadora que los certificados por ella homologados han sido
emitidos por un prestador de servicios de certificacin no establecido en Chile que
cumple con normas tcnicas equivalentes a las establecidos en este Reglamento
para el desarrollo de la actividad.
Una vez practicada la homologacin de un certificado o de un grupo de
certificados de firma electrnica avanzada el prestador acreditado de servicios de
certificacin deber, dentro del plazo de tercero da, comunicar tal situacin a la
Entidad Acreditadora y se deber publicar, inmediatamente, en el registro de
acceso pblico sealado en el artculo 25 de este Reglamento.
Las prcticas de homologacin debern estar declaradas en las Prcticas de
Certificacin.
Artculo 30. La revocacin de un certificado de firma electrnica podr producirse
de oficio o a peticin de su titular por la concurrencia de algunas de las causales
previstas en la Ley o en este Reglamento.
La solicitud de suspensin o revocacin, segn corresponda, se podr dirigir al
prestador de servicios de certificacin en cualquiera de las formas que prevean
sus prcticas de certificacin.
La suspensin o revocacin del certificado deber ser comunicada
inmediatamente a su titular, sin perjuicio que deba publicarse en el registro de
acceso pblico que seala el artculo 7 de este Reglamento.
Tratndose de la suspensin o revocacin del certificado de firma electrnica por
incumplimiento de las obligaciones que el artculo 24 de la Ley impone al usuario,
dicha decisin deber ser comunicada al titular con anterioridad a su puesta en
prctica, indicando la causa que la provoca y el momento en que se har efectiva.
Los efectos de la revocacin del certificado sern oponibles a terceros desde el
momento de la publicacin de sta en el registro de acceso pblico que seala el
artculo 7 de este Reglamento.
13
5 Prrafo: Proteccin de los derechos de los usuarios
Artculo 31. El cumplimiento por parte de los prestadores de servicios de
certificacin de las obligaciones que impone la ley, en la forma que lo hacen los
prestadores acreditados, servir como antecedente para determinar la debida
diligencia en la prestacin del servicio, para los efectos de hacer efectiva la
responsabilidad del artculo 14 de la Ley.
Artculo 32. Los usuarios podrn ejercer los derechos sealados en el artculo 23
de la Ley de conformidad con el procedimiento establecido en la Ley 19.496 sobre
proteccin de los derechos de los consumidores, salvo en lo que diga relacin con
el derecho a ser indemnizado y hacer valer los seguros comprometidos, situacin
en la cual se regir por el derecho comn.
TTULO SEGUNDO
Sobre la utilizacin de la firma electrnica por los rganos de la
Administracin del Estado
1 Prrafo: Reglas comunes
Artculo 33. Los rganos de la Administracin del Estado podrn ejecutar o
realizar actos, celebrar contratos y expedir cualquier documento, dentro de su
mbito de competencia, suscribindolos por medio de firma electrnica
Los actos administrativos, formalizados por medio de documentos electrnicos y
que consistan en decretos o resoluciones, en acuerdos de rganos colegiados,
as como la celebracin de contratos, la emisin de cualquier otro documento que
exprese la voluntad de un rgano o servicio pblico de la administracin del
Estado en ejercicio de sus potestades legales y, en general, todo documento que
revista la naturaleza de instrumento pblico o aquellos que deban producir los
efectos jurdicos de stos, deber suscribirse mediante firma electrnica
avanzada.
Artculo 34. La certificacin de las firmas electrnicas avanzadas de las
autoridades o funcionarios de los rganos y servicios pblicos de la administracin
del Estado se realizar por los respectivos ministros de fe. En aquellos rganos en
que el ministro de fe no se encuentre expresamente establecido, el jefe superior
del servicio deber designar un funcionario pblico de planta, por resolucin
exenta, para que acte como certificador.
14
Artculo 35. Los rganos del Estado podrn contratar, de acuerdo con las normas
que rigen la contratacin administrativa, los servicios de certificacin de firma
electrnica con un prestador de servicios de certificacin acreditado, cuando
mediante resolucin fundada constaten su conveniencia tcnica y econmica. La
estimacin de dicha conveniencia estar basada en criterios de calidad de
servicio y precio de ste.
Artculo 36. Los rganos de la administracin del Estado que utilicen documentos
electrnicos debern contar con un Repositorio o archivo electrnico a los efectos
de su archivo una vez que haya finalizado su tramitacin, de conformidad con las
normas que regulan a su respectiva oficina de partes.
El Repositorio ser responsabilidad del respectivo funcionario a cargo del archivo,
sin perjuicio de la celebracin de convenios de cooperacin entre diferentes
rganos o de la contratacin de una empresa privada para que preste el servicio.
El Repositorio deber garantizar que se respeten las normas sobre publicidad de
los documentos, contenidas en la Ley 18.575 sobre Bases de la Administracin del
Estado y otras leyes especiales.
Artculo 37. El repositorio deber garantizar la seguridad, integridad y
disponibilidad de la informacin en l contenida.
Para ello la informacin deber ser respaldada o generada en copia de seguridad,
bajo las siguientes caractersticas:
a. La informacin deber ser respaldada con cada proceso de actualizacin
de documentos.
b. Se deber mantener una copia de seguridad en el lugar de operacin
de los sistemas de informacin y otra en un centro de almacenamiento de
datos electrnicos especializado. Este centro de almacenamiento de datos
electrnicos, que puede ser propio o provisto por terceros, deber cumplir
con condiciones tales como un estricto control de acceso, un completo y
detallado registro de entrada y salida de respaldos, resguardo de la
humedad, temperatura adecuada, control del riesgo de incendio y otras.
c. El esquema de respaldo deber ser simple, basado en generacin de
copias acumulativas, con el objeto de mantener la historia de la
informacin en el mnimo de versiones posibles.
La seguridad, integridad y disponibilidad del repositorio debern estar
caracterizadas por:
15
a. Medidas de seguridad y barreras de proteccin, frente al acceso no
autorizado de usuarios.
b. Contar con monitoreo y alarmas que se activen cuando ocurra un evento
no autorizado o fuera de programacin, para el caso de eventuales fallas
de las medidas de seguridad al acceso,
c. La sustitucin de la informacin, por la versin ms reciente que se
disponga, en el menor tiempo posible, en casos de alteracin no
programada de aquella.
d. La existencia de un programa alternativo de accin que permita la
restauracin del servicio en el menor tiempo posible, en caso que el
repositorio deje de operar por razones no programadas..
Artculo 38. Para los efectos de garantizar la publicidad, seguridad, integridad y
eficacia en el uso de las firmas electrnicas, los certificadores de los rganos y
servicios pblicos de la Administracin del Estado debern cumplir con normas
tcnicas equivalentes a aquellas fijadas para los prestadores de servicios de
certificacin acreditados para el desarrollo de la actividad.
Artculo 39. Los documentos electrnicos suscritos por medio de firma electrnica
avanzada debern contener un mecanismo que permita verificar la integridad y
autenticidad del mismo al ser impreso.
Artculo 40. La certificacin de las firmas electrnicas avanzadas de las
autoridades o funcionarios de los rganos y servicios pblicos de la Administracin
del Estado deber contener, adems de las menciones propias de todo certificado,
la fecha y hora de emisin del mismo.
Artculo 41. Crase el Comit de Normas para el Documento Electrnico, cuya
funcin principal ser asesorar al Presidente de la Repblica con respecto a la
fijacin de normas tcnicas que debern seguir los rganos de la administracin
del Estado para garantizar la compatibilidad de los distintos tipos de documentos
electrnicos.
Artculo 42. El Comit estar integrado por:
a. El Ministro Secretara General de la Presidencia, quien deber presidirlo.
b. El Subsecretario de Economa, Fomento y Reconstruccin.
16
c. El Subsecretario de Telecomunicaciones.
d. El Subsecretario de Hacienda.
Las labores de Secretara Ejecutiva del Comit de Ministros quedarn radicadas
en la Subsecretaria de Economa en su condicin de Entidad Acreditadora.
Artculo 43. El Comit de Ministros funcionar, en forma ordinaria, a lo menos dos
veces al ao, en los das y horas que acuerde. Su Presidente podr citarlo a
sesin extraordinaria cuando las necesidades del cumplimiento de su funcin as
lo ameriten.
El Comit de Ministros funcionar con la mayora de sus integrantes y tomar los
acuerdos por los dos tercios de sus miembros presentes.
Artculo 44. En el cumplimiento de su funcin, el Comit de Normas para el
Documento Electrnico coordinar las acciones de los Ministerios sealados en el
artculo 42 de este decreto en el mbito establecido en el artculo 43 y para ello
estar facultado, si lo estima conveniente, para solicitar la asistencia de otros
Ministros e invitar a otras autoridades.
2 Prrafo: Sobre el uso de firmas electrnicas en la relacin con los
particulares
Artculo 45. Las personas podrn relacionarse con los rganos de la
administracin del Estado, a travs de tcnicas y medios electrnicos con firma
electrnica en la medida que tales tcnicas y medios sean compatibles con los
que utilicen dichos rganos.
Con la finalidad de garantizar dicha compatibilidad se estar a las normas tcnicas
fijadas a instancia del Comit creado en el artculo 43 del presente Reglamento.
Artculo 46. Las personas que se relacionen con la administracin del Estado por
medios electrnicos, podrn utilizar firma electrnica, sin perjuicio de aquellos
casos en que se haga necesaria la comprobacin fehaciente de su identidad, en
los cuales debern emplear firma electrnica avanzada.
Artculo 47. Los rganos de la Administracin del Estado podrn relacionarse por
medios electrnicos con los particulares, cuando estos hayan consentido
expresamente en esta forma de comunicacin.
Artculo 48. El Comit creado en el artculo 43, dentro del plazo de 90 das
contados desde la fecha de entrada en vigencia del presente Reglamento,
generar la norma tcnica que permita que las comunicaciones por medios
17
electrnicos efectuadas entre los rganos de la Administracin del Estado y de
stos con los ciudadanos operen de manera efectiva y eficiente.
Artculo 49. Lo dispuesto en este Ttulo no se aplicar a las empresas pblicas
creadas por Ley, las que se regirn por las normas previstas para la emisin de
documentos y firmas electrnicas por particulares.
DISPOSICIONES TRANSITORIAS
Primera En tanto no sea aprobadas las normas chilenas aplicables, se fijan
como normas tcnicas para todos los fines previstos en este Reglamento las
siguientes:
1. Prcticas de Certificacin:
ETSI TS 101 456 V1.2.1 (2002-04): Policy requirements for
certification authorities issuing public key certificates.
RFC 2527 Internet X.509 Public Key Infrastructure Certificate Policy
and Certification Practices Framework, Marzo 1999
2. Seguridad:
ISO/IEC 17799:2000 Information Technology Code of Practice for
information Security Management (2000).
ISO/IEC 15408: Common Criteria for Information Technology
Security Evaluation, Version 2.1 (2000)
FIPS PUB 140-1: Security Requirements for Cryptographic
Modules, (Mayo 2001)
3. Estructura de Certificados
ISO/IEC 9594-8:2001 Information technology Open Systems
Interconnection The Directory attributr certificate framework
ITU-T Rec. X.690 (1997) / ISO/IEC 8825-1:1998. ASN.1 Basic
Encoding Rules
18
4. Repositorio de Informacin.
[RFC 2559] Boeyen, S. et al., "Internet X.509 Public Key
Infrastructure. Operational Protocols - LDAPv2", Abril 1999.
Segunda Se define la siguiente gramtica para incluir el RUT de empresas o
personas en las extensiones ISSUER_ALT_NAME Y SUBJECT_ALT_NAME.
Segn aparece en el documento de la IETF RFC 2594 la extensin Subject
Alternative Name tiene la siguiente estructura (en formato ASN.1)
id-ce-subjectAltName OBJECT IDENTIFIER ::= { id-ce 17 }
SubjectAltName ::= GeneralNames
GeneralNames ::= SEQUENCE SIZE (1..MAX) OF GeneralName
GeneralName ::= CHOICE {
otherName [0] OtherName,
/* otherName ser el campo usado */
rfc822Name [1] IA5String,
dNSName [2] IA5String,
x400Address [3] ORAddress,
directoryName [4] Name,
ediPartyName [5] EDIPartyName,
uniformResourceIdentifier [6] IA5String,
iPAddress [7] OCTET STRING,
registeredID [8] OBJECT IDENTIFIER}
OtherName ::= SEQUENCE {
type-id OBJECT IDENTIFIER,
value [0] EXPLICIT ANY DEFINED BY type-id }
En este mismo documento se menciona que la opcin otherName, es el lugar
donde se deben especificar otro tipo de identificadores. Esta es la opcin que se
utilizar para almacenar el Rut.
Por lo tanto la informacin a almacenar ser la siguiente:
SubjectAltName.otherName.Type-id = <Definicin de la OID>
SubjectAltName.otherName.Value = 99999999-D (2 tipos de string : IA5String o
PrintableString).
Tercera La OID a usar por los prestadores de servicios de certificacin ser
la siguiente:
19
Prefijo para PRIVATE ENTERPRISE NUMBERS: 1.3.6.1.4.1
Nmero asignado a la Entidad Acreditadora: 8321
Sufijos:
RUT del titular del certificado : 1
RUT de la certificadora emisora : 2
Por lo tanto, el OID completo para cada uno de estos items quedara:
RUT del titular del certificado : 1.3.6.1.4.1.8321.1
ARTCULO SEGUNDO Dergase el Decreto N81, de 1999, del Ministerio
Secretara General de la Presidencia.
20
ANTESE, TMESE RAZN, COMUNQUESE Y PUBLQUESE
RICARDO LAGOS ESCOBAR
PRESIDENTE DE LA REPBLICA
JORGE RODGUEZ GROSSI
MINISTRO DE ECONOMA, FOMENTO Y RECONSTRUCCIN
MARIO FERNANDEZ BAEZA
MINISTRO SECRETARIO GENERAL DE LA PRESIDENCIA
21
JAVIER ETCHEVERRY CELHAY
MINISTRO DE TRANSPORTES Y TELECOMUNICACIONES