Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ACTUALIZADAS
Ley de Firmas y
Certificados Digitales
Ley Nº 27269
Reglamento de la
Ley de Firmas y
Certificados Digitales
Decreto Supremo Nº 052-2008-PCM
2 NORMAS LEGALES ACTUALIZADAS
por el Artículo Único de la Ley Nº 27310, publicada el 1. Multa, hasta un monto máximo de cincuenta
17-07-2000. (50) UIT.
2. Suspensión temporal de la acreditación.
DE LAS ENTIDADES DE CERTIFICACIÓN Y 3. Cancelación de la acreditación.
DE REGISTRO
Las infracciones serán establecidas como
Artículo 12.- Entidad de Certificación leves, graves y muy graves; y la determinación
La Entidad de Certificación cumple con la de la sanción se establecerá teniendo en cuenta
función de emitir o cancelar certificados digitales, criterios de proporcionalidad. Cuando se trate de
así como brindar otros servicios inherentes al propio infracciones muy graves, la autoridad competente
certificado o aquellos que brinden seguridad al adicionalmente podrá disponer la inhabilitación
sistema de certificados en particular o del comercio hasta por diez (10) años para solicitar nuevamente
electrónico en general. la acreditación como entidad de certificación,
Las Entidades de Certificación podrán
de registro o verificación de datos, prestadora
igualmente asumir las funciones de Entidades de
de servicios de valor añadido o como entidad de
Registro o Verificación.
software de firma digital.
Artículo 13.- Entidad de Registro o La autoridad competente aprobará el
Verificación correspondiente reglamento de infracciones y
La Entidad de Registro o Verificación cumple sanciones que comprenda la tipificación de las
con la función de levantamiento de datos y infracciones administrativas, el procedimiento
comprobación de la información de un solicitante de administrativo sancionador y la escala de sanciones
certificado digital; identificación y autenticación del correspondiente.” (*) Artículo incorporado por la
suscriptor de firma digital; aceptación y autorización Segunda Disposición Complementaria Modificatoria
de solicitudes de emisión de certificados digitales; de la Ley N° 30224, publicada el 11 julio 2014.
aceptación y autorización de las solicitudes de
cancelación de certificados digitales. Artículo 16.- Reglamentación
El Poder Ejecutivo reglamentará la presente
Artículo 14.- Depósito de los Certificados ley en un plazo de 60 (sesenta) días calendario,
Digitales contados a partir de la vigencia de la presente ley.
Cada Entidad de Certificación debe contar
con un Registro disponible en forma permanente, DISPOSICIONES COMPLEMENTARIAS,
que servirá para constatar la clave pública de TRANSITORIAS Y FINALES
determinado certificado y no podrá ser usado para
fines distintos a los estipulados en la presente ley. Primera.- Mientras se cree el Registro señalado
El Registro contará con una sección referida a en el Artículo 15, la validez de los actos celebrados
los certificados digitales que hayan sido emitidos por Entidades de Certificación y Entidades de Registro
y figurarán las circunstancias que afecten la o Verificación, en el ámbito de la presente ley, está
cancelación o vigencia de los mismos, debiendo condicionada a la inscripción respectiva dentro de los
constar la fecha y hora de inicio y fecha y hora de 45 (cuarenta y cinco) días siguientes a la creación
finalización. el(*) NOTA SPIJ referido Registro.
A dicho Registro podrá accederse por medios Segunda.- El Reglamento de la presente ley
telemáticos y su contenido estará a disposición de incluirá un glosario de términos referidos a esta ley
las personas que lo soliciten. y a las firmas electrónicas en general, observando
las definiciones establecidas por los organismos
Artículo 15.- Inscripción de Entidades de internacionales de los que el Perú es parte.
Certificación y de Registro o Verificación Tercera.- La autoridad competente podrá
El Poder Ejecutivo, por Decreto Supremo,
aprobar la utilización de otras tecnologías de
determinará la autoridad administrativa competente
firmas electrónicas siempre que cumplan con los
y señalará sus funciones y facultades.
requisitos establecidos en la presente ley, debiendo
La autoridad competente se encargará del
Registro de Entidades de Certificación y Entidades establecer el Reglamento las disposiciones que
de Registro o Verificación, las mismas que deberán sean necesarias para su adecuación.
cumplir con los estándares técnicos internacionales. “Cuarta.- Se autoriza a la SUNAT, hasta el
Los datos que contendrá el referido Registro 30 de junio de 2020, para ejercer funciones de
deben cumplir principalmente con la función Entidad de Registro o Verificación para el Estado
de identificar a las Entidades de Certificación y Peruano a que se refiere el artículo 13 de esta ley
Entidades de Registro o Verificación. en tanto culmina su procedimiento de acreditación
respectivo ante el INDECOPI, a fin de facilitar a los
“Artículo 15-A.- Régimen de Infracciones y sujetos, personas naturales o jurídicas que generen
Sanciones ingresos netos anuales de hasta trescientas (300)
La autoridad administrativa competente UIT, la obtención de certificados digitales, emitidos
tiene la facultad de tipificar las infracciones al amparo de esta Ley, para el cumplimiento de
por incumplimiento de lo establecido en la Ley sus obligaciones tributarias con dicha entidad,
27269, Ley de Firmas y Certificados Digitales, otorgándose la misma validez y eficacia jurídica
su Reglamento y las Guías de Acreditación de la señalada en el artículo 1 de esta Ley.
Autoridad Administrativa Competente.
La autoridad competente podrá imponer las Durante dicho plazo, la SUNAT podrá celebrar
siguientes sanciones: acuerdos con Entidades de Certificación para el
4 NORMAS LEGALES ACTUALIZADAS
ley exija la firma de una persona, ese requisito se c) Ser conservado todo dato que permita
entenderá cumplido en relación con un documento determinar el origen, destino, fecha y hora del envío
electrónico si se utiliza una firma digital generada y recepción.
en el marco de la Infraestructura Oficial de la Firma
Electrónica. “La firma digital vinculada a un certificado digital
Lo establecido en el presente artículo y las generada bajo la Infraestructura Oficial de Firma
demás disposiciones del presente Reglamento Electrónica no requiere mecanismos adicionales
no excluyen el cumplimiento de las formalidades para conservar dicho documento a salvo de
específicas requeridas para los actos jurídicos y el adulteraciones y asegurar el cumplimiento del
otorgamiento de fe pública. principio de equivalencia funcional y la integridad
del contenido del documento electrónico.” (*) Párrafo
Artículo 4.- De los documentos firmados modificado por el Artículo 1 del Decreto Supremo
digitalmente como medio de prueba Nº 105-2012-PCM, publicado el 21 octubre 2012.
Los documentos electrónicos firmados
digitalmente dentro del marco de la Infraestructura CAPÍTULO II
Oficial de Firma Electrónica deberán ser admitidos
como prueba en los procesos judiciales y/o DE LA FIRMA DIGITAL
procedimientos administrativos, siempre y cuando
la firma digital haya sido realizada utilizando un Artículo 6.- De la firma digital
certificado emitido por una Entidad de Certificación “Es aquella firma electrónica que utilizando
acreditada en cooperación con una Entidad de una técnica de criptografía asimétrica, permite
Registro o Verificación acreditada, salvo que se la identificación del signatario y ha sido creada
tratara de la misma entidad con ambas calidades por medios que éste mantiene bajo su control, de
y con la correspondiente acreditación para brindar manera que está vinculada únicamente al signatario
ambos servicios, asimismo deberá haberse y a los datos a los que refiere, lo que permite
aplicado un software de firmas digitales acreditado garantizar la integridad del contenido y detectar
ante la Autoridad Administrativa Competente. cualquier modificación ulterior, tiene la misma
Esto incluye la posibilidad de que a voluntad de validez y eficacia jurídica que el uso de una firma
las partes pueda haberse utilizado un servicio de manuscrita, siempre y cuando haya sido generada
intermediación digital. por un Prestador de Servicios de Certificación
La firma digital generada en el marco de Digital debidamente acreditado que se encuentre
la Infraestructura Oficial de Firma Electrónica dentro de la Infraestructura Oficial de Firma
garantiza el no repudio del documento electrónico Electrónica - IOFE, y que no medie ninguno de los
original. Esta garantía no se extiende a los vicios de la voluntad previstos en el Título VIII del
documentos individuales que conforman un Libro II del Código Civil.” (*) Párrafo modificado por
documento compuesto, a menos que cada la Primera Disposición Complementaria Modificatoria
documento individual sea firmado digitalmente. del Decreto Supremo N° 026-2016-PCM, publicado el
La comprobación de la validez de un documento 29 abril 2016.
firmado digitalmente se realiza en un ambiente Las firmas digitales son las generadas a partir
electrónico aplicando el Software de Verificación de certificados digitales que son:
de la firma digital. En caso de controversia
sobre la validez de la firma digital, el Juez podrá a) Emitidos conforme a lo dispuesto en el
solicitar a la Autoridad Administrativa Competente presente Reglamento por entidades de certificación
el nombramiento de un perito especializado en acreditadas ante la Autoridad Administrativa
firmas digitales, sin perjuicio de lo dispuesto por Competente.
los artículos 252, 264 y 268 del Código Procesal “b) Incorporados a la Infraestructura Oficial de
Civil. Firma Electrónica bajo acuerdos de certificación
Si el documento firmado digitalmente se ha cruzada, conforme al artículo 73 del presente
convertido en una microforma o microarchivo, Reglamento.” (*) Inciso modificado por la Primera
el notario o fedatario con Diploma de Idoneidad Disposición Complementaria Modificatoria del
Técnica vigente cumplirá con las normas del Decreto Supremo N° 026-2016-PCM, publicado el 29
Decreto Legislativo Nº 681 y cuidará de cumplir abril 2016.
aquellas normas que sean pertinentes de la Ley y “c) Reconocidos al amparo de acuerdos de
de este Reglamento. reconocimiento mutuo suscritos por la Autoridad
Administrativa Competente conforme al artículo 71
Artículo 5.- De la conservación de del presente Reglamento.” (*) Inciso modificado por
documentos electrónicos la Primera Disposición Complementaria Modificatoria
Cuando los documentos, registros o del Decreto Supremo N° 026-2016-PCM, publicado el
informaciones requieran de una formalidad para la 29 abril 2016.
conservación de documentos electrónicos firmados “d) Emitidos por Entidades de Certificación
digitalmente, deberán: extranjeras que hayan sido incorporados por
reconocimiento a la Infraestructura Oficial de Firma
a) Ser accesibles para su posterior consulta. Electrónica conforme al artículo 72 del presente
b) Ser conservados con su formato original de Reglamento.” (*) Inciso modificado por la Primera
generación, envío, recepción u otro formato que Disposición Complementaria Modificatoria del
reproduzca en forma demostrable la exactitud e Decreto Supremo N° 026-2016-PCM, publicado el 29
integridad del contenido electrónico. abril 2016.
NORMAS LEGALES ACTUALIZADAS 7
La Entidad de Certificación podrá incluir Las condiciones bajo las cuales un certificado
indistintamente, a pedido del solicitante del digital pueda ser cancelado deben ser estipuladas
certificado, la dirección oficial de correo electrónico en los contratos de los suscriptores y titulares.
del suscriptor, la dirección oficial de correo El uso de certificados digitales con posterioridad
electrónico de la persona jurídica o el domicilio a su cancelación conlleva la inaplicabilidad de los
electrónico del solicitante. Asimismo, podrá incluir artículos 3, 4 y 8 del presente Reglamento.
información adicional siempre y cuando la Entidad En todos los casos la Entidad de Certificación
de Registro o Verificación compruebe de manera debe indicar el momento desde el cual se aplica
fehaciente la veracidad de ésta. la cancelación, precisando la fecha, hora, minuto
El período de vigencia de los certificados digitales y segundo en la que se efectúa. La cancelación
comienza y finaliza en las fechas indicadas en él, no puede ser aplicada retroactivamente y debe ser
NORMAS LEGALES ACTUALIZADAS 9
notificada al titular del certificado digital cuando c) El software, el hardware y demás componentes
corresponda. La Entidad de Certificación debe adecuados para las prácticas de certificación y las
incluir el certificado digital cancelado en la siguiente condiciones de seguridad adicionales comprendidas
publicación de la Lista de Certificados Digitales en los estándares señalados en el literal b).
Cancelados. d) El sistema de gestión que permita el
mantenimiento de las condiciones señaladas en
Artículo 18.- De la cancelación del los incisos anteriores, así como la seguridad,
certificado a solicitud de su titular, suscriptor o confidencialidad, transparencia y no discriminación
representante. en la prestación de sus servicios.
La solicitud de cancelación de un certificado e) La Autoridad Administrativa Competente, así
digital puede ser realizada por su titular, suscriptor como los Prestadores de Servicios de Certificación
o a través de un representante debidamente Digital acreditados o reconocidos.
acreditado; tal solicitud podrá realizarse mediante
documento electrónico firmado digitalmente, de Artículo 21.- De los estándares aplicables
acuerdo con los procedimientos definidos en La Autoridad Administrativa Competente
cada caso por las Entidades de Certificación o las determinará los estándares compatibles aplicando
Entidades de Registro o Verificación. el principio de neutralidad tecnológica y los criterios
El titular y el suscriptor del certificado están que permitan lograr la interoperabilidad entre
obligados, bajo responsabilidad, a solicitar la componentes, aplicaciones e infraestructuras de la
cancelación del certificado al tomar conocimiento firma digital análogas a la Infraestructura Oficial de
de la ocurrencia de alguna de las siguientes Firma Electrónica.
circunstancias:
Artículo 22.- De los niveles de seguridad
a) Exposición, puesta en peligro o uso indebido A fin de garantizar el cumplimiento de los
de la clave privada. requerimientos de seguridad necesarios para la
b) Deterioro, alteración o cualquier otro hecho u implementación de los componentes y aplicaciones
acto que afecte la clave privada. de la Infraestructura Oficial de Firma Electrónica,
c) Revocación de las facultades de se establecen tres niveles: Medio, Medio Alto y
representación y/o poderes de sus representantes Alto, cuyas precisiones adicionales a lo establecido
legales o apoderados. en el presente Reglamento serán definidas por la
d) Cuando la información contenida en el Autoridad Administrativa Competente.
certificado ya no resulte correcta. El nivel de seguridad Alto se emplea en
e) Cuando el suscriptor deja de ser miembro de aplicaciones militares.
la comunidad de interés o se sustrae de aquellos
intereses relativos a la Entidad de Certificación. CAPÍTULO II
contar con una acreditación independiente y diligencia y cuidado respecto a la clave privada de
particular para cada una de las modalidades la Entidad de Certificación, estando en la obligación
de prestación de servicios de certificación que de comunicar inmediatamente a la Autoridad
decida adoptar, a efectos de formar parte de la Administrativa Competente cualquier potencial o
Infraestructura Oficial de Firma Electrónica. real compromiso de la clave privada.
d) Mantener depósito de los certificados
Artículo 24.- De la acreditación digitales emitidos y cancelados, consignando su
La acreditación del Prestador de Servicios de fecha de emisión y vigencia. No almacenar las
Certificación permite su ingreso a la Infraestructura claves privadas de los usuarios finales a menos
Oficial de Firma Electrónica, gozando de las que correspondan a certificados cuyo uso se limite
presunciones legales que rigen para tal supuesto. A al cifrado de datos.
tal efecto, el Prestador de Servicios de Certificación e) Cancelar el certificado digital al suscitarse
será inscrito en el correspondiente Registro de alguna de las causales establecidas en el artículo
Prestadores de Servicios de Certificación Digital. 17 del presente Reglamento. Las causales y
De manera general el proceso de acreditación se condiciones bajo las cuales deba efectuarse la
rige por lo establecido en el presente Reglamento cancelación del certificado deben ser estipuladas
y de manera particular por lo establecido en los en los contratos de los titulares y suscriptores.
Reglamentos Específicos y Guías de Acreditación f) Mantener la confidencialidad de la información
aprobados para tales efectos por la Autoridad relativa a los titulares y suscriptores de certificados
Administrativa Competente. digitales limitando su empleo a las necesidades
propias del servicio de certificación, salvo orden
SECCIÓN I judicial o pedido del titular o suscriptor del certificado
digital (según sea el caso) realizado mediante un
DE LAS ENTIDADES DE CERTIFICACIÓN mecanismo que garantice el no repudio, debiendo
respetar para tales efectos los lineamientos
Artículo 25.- De las funciones establecidos por la Autoridad Administrativa
Las Entidades de Certificación tendrán las Competente y contenidos en la Norma Marco sobre
siguientes funciones: Privacidad.
g) Mantener la información relativa a los
a) Emitir certificados digitales manteniendo una certificados digitales, por un período mínimo de
secuencia correlativa en el número de serie. diez (10) años a partir de su cancelación.
b) Cancelar certificados digitales. h) Cumplir los términos bajo los cuales obtuvo
c) Reconocer certificados digitales emitidos la acreditación, así como los requerimientos
por entidades de certificación extranjeras que adicionales que establezca la Autoridad
hayan sido incorporadas por reconocimiento a Administrativa Competente conforme a lo
la Infraestructura Oficial de Firma Electrónica establecido en el Reglamento.
conforme al artículo 73 del presente Reglamento. i) Informar y solicitar autorización a la Autoridad
Caso contrario, dichos certificados no gozarán Administrativa Competente respecto de acuerdos
del amparo de la Infraestructura Oficial de Firma de certificación cruzada que proyecte celebrar, así
Electrónica. como los términos bajo los cuales dichos acuerdos
d) Adicionalmente a las anteriores funciones, se suscribirían.
realizará las señaladas en los artículos 29 y 33 del j) Informar y solicitar autorización a la Autoridad
presente Reglamento, en caso opten por asumir Administrativa Competente para efectos del
las funciones de Entidad de Registro o Verificación, reconocimiento de certificados emitidos por
o de Prestador de Servicios de Valor Añadido, entidades extranjeras.
respectivamente. k) Cumplir con las disposiciones de la Autoridad
Administrativa Competente a que se refiere el
Artículo 26.- De las obligaciones artículo 27 del presente Reglamento.
Las Entidades de Certificación registradas l) Brindar todas las facilidades al personal
tienen las siguientes obligaciones: autorizado por la Autoridad Administrativa
Competente para efectos de supervisión y auditoría.
a) Cumplir con los requerimientos de la “m) Demostrar que los controles técnicos que
Autoridad Administrativa Competente en lo emplea son adecuados y efectivos a través de la
referente a la Política de Certificación, Declaración verificación independiente del cumplimiento de los
de Prácticas de Certificación, Política de Seguridad, requisitos especificados en los estándares técnicos
Política de Privacidad y Plan de Privacidad. o sellos de confianza vigentes e internacionalmente
Estos documentos deberán ser aprobados por la reconocidos que la AAC haya aprobado en el
Autoridad Administrativa Competente dentro del marco de sus funciones.” (*) Inciso modificado por
procedimiento de acreditación. la Primera Disposición Complementaria Modificatoria
b) Informar a los usuarios de todas las del Decreto Supremo N° 026-2016-PCM, publicado el
condiciones de emisión y de uso de sus certificados 29 abril 2016.
digitales, incluyendo las referidas a la cancelación n) Acreditar domicilio en el país.
de éstos. “o) Cumplir lo dispuesto en las normas que
c) Mantener el control y la reserva de la clave regulan la protección de datos personales.
privada que emplea para firmar digitalmente los Estas obligaciones podrán ser precisadas
certificados digitales que emite. Mantener la debida por la Autoridad Administrativa Competente, a
NORMAS LEGALES ACTUALIZADAS 11
a) Sistema de Intermediación Digital cuyo Estas obligaciones podrán ser precisadas por la
procedimiento concluye con una microforma o Autoridad Administrativa Competente, a excepción
microarchivo. de las que señale expresamente la Ley.
b) Sistema de Intermediación Digital cuyo
procedimiento no concluye en microforma o Artículo 38.- De la responsabilidad por
microarchivo. riesgos
Para operar en el marco de la Infraestructura
En la modalidad de Sistema de Intermediación Oficial de Firma Electrónica y afrontar los riesgos
Digital cuyo procedimiento concluye con una que puedan surgir como resultado de sus
microforma o microarchivo y se requiera de una actividades de valor añadido, los Prestadores de
formalidad para la conservación de documentos Servicios de Valor Añadido acreditados, de acuerdo
electrónicos firmados digitalmente, se deberá a los niveles de seguridad establecidos, deberán
respetar para tales efectos lo establecido en el cumplir con:
artículo 5 del presente Reglamento.
a) Nivel de seguridad Medio: mantener vigente
Artículo 36.- De la modalidad del Prestador la contratación de seguros o garantías bancarias; o
de Servicios de Valor Añadido sin firma digital b) Nivel de seguridad Medio Alto: acreditar una
certificación internacional, según:
del usuario final
El Prestador de Servicios de Valor Añadido sin
* Sistema de Intermediación Digital cuyo
firma digital del usuario final se refiere al sistema
procedimiento concluye con una microforma o
de Sellado de Tiempo, el cual permite consignar la
microarchivo: certificación de acuerdo al Decreto
fecha y hora cierta de la existencia de un documento
Legislativo Nº 681.
electrónico.
* Sistema de Intermediación Digital cuyo
procedimiento no concluye con una microforma o
Artículo 37.- De las obligaciones
microarchivo: certificación internacional de calidad
Los Prestadores de Servicios de Valor Añadido para la provisión de sus servicios, de acuerdo
tienen las siguientes obligaciones: a lo establecido por la Autoridad Administrativa
Competente.
a) Cumplir con los requerimientos de la * Sistema de Sellado de Tiempo: certificación
Autoridad Administrativa Competente respecto internacional de calidad para la provisión de
de la Política de Valor Añadido, Declaración de sus servicios, de acuerdo a lo establecido por la
Prácticas de Servicios de Valor Añadido, Política Autoridad Administrativa Competente.
de Seguridad, Política y Plan de Privacidad.
Estos documentos deberán ser aprobados por la La Autoridad Administrativa Competente
Autoridad Administrativa Competente dentro del establecerá la cuantía mínima de las pólizas de
procedimiento de acreditación. seguros o garantías bancarias, las certificaciones
b) Informar a los usuarios de todas las de calidad internacional, así como las medidas
condiciones para la prestación de sus servicios. tecnológicas correspondientes a cada nivel de
c) Mantener la confidencialidad de la información seguridad.
relativa a los usuarios de los servicios, limitando Asimismo, la Autoridad Administrativa
su empleo a las necesidades propias del servicio Competente determinará los criterios para evaluar
de valor añadido prestado, salvo orden judicial o el cumplimiento de este requisito.
pedido del usuario utilizando medios que garanticen
el no repudio, debiendo respetar para tales efectos Artículo 39.- Del cese de operaciones
los lineamientos establecidos en la Norma Marco El Prestador de Servicios de Valor Añadido cesa
sobre Privacidad. de operar en el marco de la Infraestructura Oficial
d) Tener operativo software, hardware de Firma Electrónica en los siguientes casos:
y demás componentes adecuados para la
prestación de servicios de valor añadido y las a) Por decisión unilateral comunicada a la
condiciones de seguridad adicionales basadas Autoridad Administrativa Competente), asumiendo
en estándares internacionales o compatibles a la responsabilidad del caso por dicha decisión.
los internacionalmente vigentes que aseguren la b) Por extinción de su personería jurídica.
14 NORMAS LEGALES ACTUALIZADAS
trámite, procedimiento o proceso por parte de los de plazos en los casos de solicitudes, escritos y
administrados o ciudadanos ante las Entidades comunicaciones recibidas bajo estas condiciones.
Públicas o entre estas entidades, no excluyendo 42.6. A obtener servicios de gobierno
a las representaciones del Estado Peruano en el electrónico de calidad, en estricta observancia de
exterior, se entenderán efectuadas de manera los lineamientos y requisitos establecidos para
segura siempre y cuando sean realizados tales efectos por el presente Reglamento y por la
empleando firmas y certificados digitales emitidos Autoridad Administrativa Competente.
por los Prestadores de Servicios de Certificación
Digital que se encuentren acreditados y operando Artículo 43.- De las garantías para el acceso
dentro de la Infraestructura Oficial de Firma de los ciudadanos a los servicios públicos
Electrónica. electrónicos seguros
Las diferentes entidades y dependencias de
“Para la prestación electrónica de los servicios la Administración Pública deberán garantizar el
por parte del Estado que requieran el uso de la firma acceso a los ciudadanos para la realización de
digital de los funcionarios y/o de los administrados, transacciones de gobierno electrónico, debiendo
corresponde a las entidades públicas la para tales efectos:
acreditación del software que crea la firma digital
del funcionario de conformidad con el artículo 4 y a) Adecuar sus trámites y procedimientos
el inciso c) del artículo 54 del Reglamento de la aplicados en sus comunicaciones tanto con los
Ley de Firmas y Certificados Digitales aprobado ciudadanos como con las distintas entidades de la
por el Decreto Supremo Nº 052-2008-PCM. Dicho Administración Pública, a fin de llevarlos a cabo por
software verificará además que la firma digital del medios electrónicos; debiendo asegurar en todo
administrado esté asociada a un certificado digital momento la disponibilidad de acceso, la integridad,
emitido dentro de la IOFE. “ (*) Párrafo incorporado la autenticidad, el no repudio y la confidencialidad
por el Artículo 2 del Decreto Supremo Nº 105-2012- de las transacciones realizadas por estos medios,
PCM, publicado el 21 octubre 2012. empleando para tales fines los certificados y firmas
“En ningún caso los administrados a los que digitales emitidos dentro de la Infraestructura Oficial
están destinados los servicios que requieran firma de Firma Electrónica de acuerdo al artículo 4 del
digital están obligados a acreditar el software de presente Reglamento, así como canales seguros.
firma digital que utilicen.” (*) Párrafo incorporado por b) Proveer a su personal competente de
el Artículo 2 del Decreto Supremo Nº 105-2012-PCM,
certificados digitales y sistemas basados en
publicado el 21 octubre 2012.
firma digital reconocidos por la Infraestructura
Oficial de Firma Electrónica de acuerdo al artículo
4 del presente Reglamento. Asimismo, cada
42.2. A optar por relacionarse con las entidades
Administración Pública deberá brindar a sus
de la Administración Pública ya sea empleando los
empleados la capacitación en la utilización de las
centros de acceso ciudadano o a través de canales
firmas y certificados digitales, y demás medios
seguros para la realización de transacciones de
electrónicos requeridos en las actividades propias
gobierno electrónico que éstas deberán poner a su
de dicha entidad. Además, deberán ser capacitados
disposición.
en los temas de seguridad y privacidad respecto
42.3. A conocer por medios electrónicos el plazo
de los documentos de carácter personal que les
y los requisitos necesarios para el inicio de cualquier competen según la función o cargo que ocupen.
procedimiento o tramitación ante una entidad de la c) Poner a disposición de los interesados, por
Administración Pública. Teniendo asimismo derecho vía electrónica, la información actualizada acerca
a conocer por medios electrónicos el estado en el de los trámites y procedimientos a su cargo, con
que tales procedimientos o trámites se encuentran especial indicación de aquellos que resulten
y solicitar la emisión de copias y constancias factibles de ser iniciados por vía electrónica.
electrónicas. Esto no resulta aplicable para los d) Informar a los ciudadanos de las condiciones
casos de procedimientos o trámites que pudieran tecnológicas necesarias para el acceso a servicios
afectar a la intimidad personal, las vinculadas a la públicos electrónicos seguros y, de ser el caso,
seguridad nacional o las que expresamente sean el modo de obtención de los implementos o
excluidas por Ley. dispositivos requeridos para tal efecto.
42.4. A obtener y utilizar firmas y certificados e) El equipo informático constituido por los
digitales emitidos por Prestadores de Servicios servidores empleados por las instituciones para
de Certificación Digital acreditados y que se la prestación y realización de transacciones de
encuentren dentro de la Infraestructura Oficial de gobierno electrónico, deberá brindar las garantías
Firma Electrónica como medio de identificación necesarias para una comunicación segura,
en todo tipo de trámite y actuación ante cualquier debiendo obtener los correspondientes certificados
entidad de la Administración Pública. de dispositivo seguro emitidos por una Entidad
42.5. A presentar solicitudes, escritos y de Certificación debidamente acreditada ante la
comunicaciones todos los días del año durante Autoridad Administrativa Competente.
las veinticuatro (24) horas, para tal efecto las f) Las entidades de la Administración Pública
entidades de la Administración Pública deberán deberán admitir la recepción de documentos
contar con un archivo electrónico detallado de firmados digitalmente de acuerdo al artículo 4 del
recepción de solicitudes. Corresponde a la Oficina presente Reglamento, siempre que hayan sido
Nacional de Gobierno Electrónico e Informática, el emitidos por Entidades de Certificación y Entidades
establecimiento de los lineamientos para el cómputo de Registro o Verificación que se encuentren
16 NORMAS LEGALES ACTUALIZADAS
sido emitidos por una Entidad de Certificación d) Acreditar a los Prestadores de Servicios
para el Estado Peruano que cuente con la de Valor Añadido tanto públicos como privados y
correspondiente acreditación por parte de la el software que emplean en la prestación de sus
Autoridad Administrativa Competente. Las firmas servicios en los casos del artículo 34 inciso a).
digitales deben ser generadas por programas e) Registrar a las entidades acreditadas
de software o componentes acreditados por la señaladas en los incisos c), d) y e) del presente
Autoridad Administrativa Competente según su artículo en el Registro de Prestadores de Servicios
Guía de Acreditación de Software. de Certificación Digital, previsto en el artículo 15 de
la Ley.
Artículo 55.- De la cooperación de información f) Supervisar a los Prestadores de Servicios de
entre las entidades de la Administración Pública Certificación Digital.
Cada entidad de la Administración Pública g) Cancelar las acreditaciones otorgadas a los
deberá facilitar, mediante convenios, el acceso Prestadores de Servicios de Certificación Digital
de las demás entidades a los documentos de conforme a lo dispuesto en el presente Reglamento.
los ciudadanos que obren en su poder y que se h) Publicar, por medios telemáticos, la relación
encuentren en archivo electrónico, especificando de Prestadores de Servicios de Certificación Digital
las condiciones y criterios para el acceso a dicha acreditados.
información. La disponibilidad de dichos documentos i) Aprobar el empleo de estándares técnicos
estará limitada estrictamente a aquellos que son internacionales dentro de la Infraestructura Oficial
requeridos por las entidades de la Administración de Firma Electrónica, así como de otros estándares
Pública para la tramitación y resolución de los técnicos determinando su compatibilidad con los
procedimientos de su competencia. El acceso estándares internacionales; cooperar, dentro de su
a los documentos con información de carácter competencia, en la unificación de los sistemas que
personal estará condicionado al cumplimiento de lo se manejan en los organismos de la Administración
establecido en la Norma Marco sobre Privacidad. Pública, tendiendo puentes entre todos sus niveles;
y, en la obtención de la interoperabilidad del
Artículo 56.- De la interoperabilidad de los mayor número de aplicaciones, componentes e
sistemas para la prestación de servicios de infraestructuras de firmas digitales (análogos a la
gobierno electrónico Infraestructura Oficial de Firma Electrónica en otros
Las entidades de la Administración Pública países).
utilizarán las tecnologías y sistemas para la j) Formular los criterios para el establecimiento
prestación de sus servicios a los ciudadanos y de la idoneidad técnica de los Prestadores de
para sus relaciones con las demás entidades y Servicios de Certificación Digital, así como aquellas
dependencias del Estado, aplicando medidas relacionadas con la prevención y solución de
informáticas, tecnológicas, organizativas y de conflictos.
seguridad que garanticen la interoperabilidad, en k) Establecer los requisitos mínimos para la
estricta observancia de lo establecido para tales prestación de los diferentes servicios a cargo de los
efectos por la Autoridad Administrativa Competente. Prestadores de Servicios de Certificación Digital.
l) Impulsar la solución de conflictos por medio de
TÍTULO III la conciliación y el arbitraje.
m) Definir los criterios para evaluar el
DE LA AUTORIDAD ADMINISTRATIVA cumplimiento del requisito relativo al riesgo por
COMPETENTE los daños que los Prestadores de Servicios de
Certificación Digital puedan ocasionar como
CAPÍTULO I resultado de sus actividades de certificación.
n) Suscribir acuerdos de reconocimiento mutuo
DE LAS FUNCIONES con Autoridades Administrativas Extranjeras que
cumplan funciones similares a las de la Autoridad
Artículo 57.- De las funciones Administrativa Competente.
La Autoridad Administrativa Competente tiene o) Autorizar la realización de certificaciones
las siguientes funciones: cruzadas con entidades de certificación extranjeras.
p) Fomentar y coordinar el uso y desarrollo
a) Aprobar las Políticas de Certificación, de de la Infraestructura Oficial de Firma Electrónica
Registro o Verificación y de Valor Añadido, las en las entidades del sector público nacional en
Declaraciones de Prácticas de Certificación, de coordinación con la Entidad de Certificación
Registro o Verificación y de Valor Añadido, las Nacional para el Estado Peruano.
Políticas de Seguridad y las Políticas y Planes de q) Delegar a terceros, bajo sus órdenes
Privacidad de las Entidades de Certificación, de y responsabilidad, las funciones que estime
Registro o Verificación y de Valor Añadido, de los pertinentes conforme a lo previsto en el presente
Prestadores de Servicios de Certificación tanto Reglamento.
públicos como privados. r) Elaborar el Reglamento de infracciones y
b) Acreditar Entidades de Certificación nacionales sanciones a los usuarios finales y los procedimientos
tanto públicas como privadas y establecer acuerdos correspondientes en caso de incumplimiento
de reconocimiento mutuo con otras Infraestructuras por parte de los Prestadores de Servicios de
compatibles con la Infraestructura Oficial de Firmas Certificación Digital de lo establecido en la Ley, el
Electrónicas. presente Reglamento y en los Reglamentos y Guías
c) Acreditar Entidades de Registro o de de Acreditación de la Autoridad Administrativa
Verificación tanto públicas como privadas. Competente.
NORMAS LEGALES ACTUALIZADAS 21
i) El informe favorable de la entidad sectorial c) Los documentos que acrediten contar con
correspondiente, cuando lo solicite la Autoridad domicilio en el país.
Administrativa Competente, para el caso de d) Los documentos que acrediten contar con
personas jurídicas supervisadas, respecto de la infraestructura e instalaciones necesarias para
la legalidad y seguridad para el desempeño de la prestación del servicio y presentar declaración
actividades de certificación. jurada de aceptación de las visitas comprobatorias
“j) Tratándose de servicios de certificación de la Autoridad Administrativa Competente.
digital prestados por Entidades de Certificación e) Los procedimientos detallados que garanticen
de empresas no domiciliadas en el país, deberán el cumplimiento de las funciones establecidas en el
acreditar: presente Reglamento.
f) Las Políticas de Registro, la Declaración de
1. Poder que la empresa extranjera no Prácticas de Registro o Verificación, la Política de
domiciliada otorga al representante legal en el Perú. Seguridad, la Política y el Plan de Privacidad.
2. Copia del instrumento correspondiente que g) La declaración jurada del cumplimiento de
evidencie la constitución formal de la empresa las obligaciones y los requisitos señalados en
así como la inscripción en la entidad o autoridad los artículos 30 y 31 del presente Reglamento.”
competente en el lugar de origen del proveedor; (*) Artículo modificado por la Primera Disposición
a fin de verificar si el objeto social de la empresa Complementaria Modificatoria del Decreto Supremo
coincide con las actividades de Prestador de N° 026-2016-PCM, publicado el 29 abril 2016.
Servicios de Certificación Digital.
3. Acreditar establecimiento en el territorio Artículo 62.- De la acreditación de los
nacional. Prestadores de Servicios de Valor Añadido
4. Contar con los seguros o garantías bancarias Las entidades públicas y privadas que soliciten
que respalden sus certificados según lo indicado en su acreditación y registro ante la Autoridad
artículo 27 del presente reglamento. Administrativa Competente como Prestadores
5. Documentos que acrediten vinculación con de Servicios de Valor Añadido, deben contar con
una o más Entidades de Registro o Verificación procedimientos idóneos para la prestación de sus
acreditadas. servicios, los cuales se encontrarán recogidos en su
correspondiente Declaración de Prácticas de Valor
Los documentos que se acompañen deberán Añadido. En el caso de los Prestadores de Servicios
encontrarse en idioma español. Si las fuentes de Valor Añadido con modalidad de Servicios
originales provinieran de otro idioma, éstas de Valor Añadido con firma digital del usuario, y
deberán ser traducidas de manera oficial.” (*) cuyo procedimiento concluya con una microforma
Inciso modificado por la Primera Disposición o microarchivo, sus procedimientos tendrán que
Complementaria Modificatoria del Decreto Supremo asegurar la presencia de un notario o fedatario
N° 026-2016-PCM, publicado el 29 abril 2016. que cuente con Diploma de Idoneidad Técnica y se
encuentre inscrito en su correspondiente Colegio o
Artículo 60.- De la acreditación de Entidades Asociación Profesional, conforme a lo establecido
de Registro o Verificación por el Decreto Legislativo Nº 681.
Las entidades que soliciten su acreditación
y registro ante la Autoridad Administrativa Artículo 63.- De la acreditación del Software
Competente, como Entidades de Registro o de los Prestadores de Servicios de Valor
Verificación, incluyendo las Entidades de Registro Añadido que realizan procedimientos con firma
o Verificación para el Estado Peruano, deben digital del usuario final
contar con los requerimientos establecidos por A fin de garantizar la seguridad de la prestación
la Autoridad Administrativa Competente para la de los servicios de los Prestadores de Servicios
prestación de sus servicios, los que tendrán que de Valor Añadido que involucran la realización de
asegurar la verificación presencial de la identidad procesos de firma digital por parte de los usuarios,
del solicitante de un nuevo certificado digital. resulta indispensable la acreditación del software
a ser empleado en la prestación de los servicios,
“Artículo 61.- De la presentación de la conforme a los lineamientos y parámetros
solicitud de acreditación de Entidades de establecidos por la Autoridad Administrativa
Registro o Verificación Competente.
La solicitud para la acreditación de Entidades
de Registro o Verificación debe presentarse a la “Artículo 64.- De la presentación de la
Autoridad Administrativa Competente, observando solicitud de acreditación de los Prestadores de
lo dispuesto en el artículo anterior y adjuntando lo Servicios de Valor Añadido
siguiente: La solicitud para la acreditación de Prestadores
de Servicios de Valor Añadido debe presentarse a la
a) El pago por derecho de solicitud de Autoridad Administrativa Competente, observando
acreditación de Entidades de Certificación, según lo señalado en los artículos anteriores y adjuntando
el monto correspondiente indicado en el TUPA del lo siguiente:
INDECOPI.
b) Los documentos que acrediten la existencia a) El pago por derecho de solicitud de
y vigencia de la persona jurídica mediante los acreditación de Entidades de Certificación, según
instrumentos públicos o norma legal respectiva, así el monto correspondiente indicado en el TUPA del
como las facultades del representante. INDECOPI.
NORMAS LEGALES ACTUALIZADAS 23
certificados digitales otorgados en el extranjero y los servicios de certificación y/o emisión de firmas
extender la interoperabilidad de la Infraestructura digitales, así como de los servicios de registro o
Oficial de Firmas Electrónicas. Los acuerdos de verificación y de los servicios de valor añadido,
reconocimiento mutuo deben garantizar en forma el cumplimiento de las obligaciones legales y
equivalente las funciones exigidas por la Ley y su técnicas por parte de las entidades acreditadas
Reglamento. que operen bajo la Infraestructura Oficial de
Firmas Electrónicas, así como la facultad de
Artículo 72.- Del reconocimiento verificar el cumplimiento de las disposiciones
La Autoridad Administrativa Competente podrá establecidas en la Ley, el Reglamento, y en sus
reconocer los certificados digitales emitidos por Resoluciones.
Entidades Extranjeras, de acuerdo con las prácticas
y políticas que para tal efecto apruebe, las que “Artículo 75.- De la fiscalización
deben velar por el cumplimiento de las obligaciones La Autoridad Administrativa Competente
y responsabilidades establecidas en el presente ejercerá su facultad fiscalizadora y sancionadora
Reglamento u otra norma posterior. de conformidad con lo dispuesto en el Decreto
Asimismo, podrá autorizar la operación de
Legislativo Nº 1033 - Decreto Legislativo que
aquellas Entidades de Certificación nacionales que
aprueba la Ley de Organización y Funciones del
utilicen los servicios de Entidades de Certificación
Instituto Nacional de Defensa de la Competencia
extranjeras, de verificarse tal supuesto, las entidades
nacionales asumirán las responsabilidades del y de la Protección de la Propiedad Intelectual
caso. - INDECOPI. Las sanciones a aplicar son
Para tal efecto, la entidad extranjera deberá determinadas por la Autoridad Administrativa
comunicar a la Autoridad Administrativa Competente Competente en el marco de la Decisión Andina
los nombres de aquellas Entidades de Certificación 562 dada la naturaleza de reglamento técnico de la
que autorizarán las solicitudes de emisión de presente norma.
certificados digitales y que asumirán la gestión de La Autoridad Administrativa Competente
tales certificados. debe aplicar el Reglamento de infracciones y
La Autoridad Administrativa Competente emitirá sanciones a que se refiere el inciso r) del artículo
las normas que aseguren el cumplimiento de lo 57 de este Reglamento a efectos de regular el
establecido en el presente artículo, así como los procedimiento administrativo sancionador a ser
mecanismos adecuados de información a los seguido en caso de incumplimiento o infracción al
agentes del mercado. presente Reglamento, las Guías de Acreditación
de los Prestadores de Servicios de Certificación
Artículo 73.- De la certificación cruzada Digital y demás disposiciones vinculadas a la
Las Entidades de Certificación acreditadas Infraestructura Oficial de Firma Electrónica;
pueden realizar certificaciones cruzadas con asimismo, debe fiscalizar el cumplimiento de lo
Entidades de Certificación extranjeras a fin de establecido en las Políticas de Certificación, de
reconocer los certificados digitales que éstas emitan Registro o Verificación y de Valor Añadido, las
en el extranjero, incorporándolos como suyos dentro Declaraciones de Prácticas de Certificación, de
de la Infraestructura Oficial de Firmas Electrónicas, Registro o Verificación y de Valor Añadido, las
siempre y cuando obtengan autorización previa de Políticas de Seguridad y las Políticas y Planes de
la Autoridad Administrativa Competente. Privacidad” (*) Artículo modificado por la Primera
Las entidades que presten servicios de acuerdo Disposición Complementaria Modificatoria del
a lo establecido en el párrafo precedente, asumirán Decreto Supremo N° 026-2016-PCM, publicado el 29
responsabilidad de daños y perjuicios por la gestión abril 2016.
de tales certificados.
Las Entidades de Certificación acreditadas DISPOSICIONES COMPLEMENTARIAS
que realicen certificaciones cruzadas conforme al FINALES
primer párrafo del presente artículo, garantizarán
ante la Autoridad Administrativa Competente Primera.- De la cooperación internacional
que las firmas digitales y/o certificados digitales Las entidades del Sector Público Nacional
reconocidos han sido emitidos bajo requisitos pueden suscribir acuerdos de cooperación con
equivalentes a los exigidos en la Infraestructura
sus similares a nivel mundial o con instituciones
Oficial de Firmas Electrónicas, y que cumplen las
de cooperación internacional, para recibir apoyo,
funciones señaladas en el artículo 2 de la Ley.
asesoría y financiamiento para el empleo de
El incumplimiento de lo estipulado en el párrafo
anterior ameritará las sanciones correspondientes, la tecnología relativa a las firmas digitales y
de acuerdo a lo establecido en el Reglamento de transacciones electrónicas en general en la
infracciones y sanciones a que se refiere el inciso r) Administración Pública, en el marco de la Ley.
del artículo 57 del presente Reglamento. Encárguese al Consejo Nacional de Ciencia
Tecnología e Innovación Tecnológica - CONCYTEC
CAPÍTULO IV para que en coordinación con la Entidad de
Certificación Nacional para el Estado Peruano,
DE LA SUPERVISIÓN DE ENTIDADES la Oficina Nacional de Gobierno Electrónico
ACREDITADAS e Informática y la Autoridad Administrativa
Competente desarrolle las acciones tendientes
Artículo 74.- De las facultades de supervisión a masificar el uso de las firmas digitales en la
La Autoridad Administrativa Competente tiene Administración Pública, dentro del marco de la
la facultad de verificar la correcta prestación de investigación e innovación tecnológica.
NORMAS LEGALES ACTUALIZADAS 25
Novena.- Del plazo para la habilitación “Décimo Segunda.- Del cumplimiento de los
del Registro de Prestadores de Servicios de criterios Web Trust
Certificación Digital La obtención del sello de Web Trust al que hace
La Autoridad Administrativa Competente se referencia el artículo 26 numeral m) del presente
encargará de la aprobación de las Guías de Reglamento es de cumplimiento obligatorio para
Acreditación de los Prestadores de Servicios las Entidades de Certificación que acrediten en el
de Certificación Digital y realizar las gestiones, Nivel de Seguridad Medio Alto.
procedimientos legales y técnicos necesarios A fin de fomentar el registro de las Entidades
para iniciar los procesos de acreditación, a fin de de Certificación ante la Autoridad Administrativa
habilitar el Registro de Prestadores de Servicios de Competente, como condición indispensable para
Certificación Digital señalado en el Artículo 15 de la efectiva operación de la Infraestructura Oficial
la Ley. de Firmas Electrónicas y el desarrollo de las
Corresponde a la Oficina Nacional de Gobierno transacciones de gobierno y comercio electrónico
Electrónico e Informática supervisar la efectiva seguras, exonérese a las Entidades de Certificación
implementación de la Infraestructura Oficial de hasta el 31 de diciembre de 2012 del cumplimiento
Firma Electrónica y el cumplimiento del plazo de los requisitos especificados en el estándar Web
establecido en la presente Disposición Final. Trust for Certification Authorities y la obtención del
En caso de incumplimiento del plazo establecido, sello de Web Trust; sin perjuicio de aquellos que
la Oficina Nacional de Gobierno Electrónico e opten voluntariamente por el cumplimiento de
Informática asumirá la responsabilidad de aprobar dichos requerimientos.” (*) Disposición modificada
las mencionadas Guías de Acreditación en un plazo por el Artículo 1 del Decreto Supremo Nº 070-2011-
adicional no mayor de quince (15) días calendario. PCM, publicado el 27 julio 2011.
Corresponderá a la Autoridad Administrativa
Competente la ejecución de los procesos de Décimo Tercera.- Del voto electrónico
acreditación aprobados. En tanto no se implemente el Documento
Nacional de Identidad electrónico (DNIe), los
Décima.- De la reutilización de aplicaciones ciudadanos podrán utilizar los certificados de
de software de propiedad de la Administración persona natural emitidos por cualquier Entidad
Pública de Certificación para el Estado Peruano a efectos
Las entidades de la Administración Pública que del ejercicio del voto electrónico en los procesos
sean titulares de derechos de propiedad intelectual electorales, en la medida que la Oficina Nacional
NORMAS LEGALES ACTUALIZADAS 27
de Procesos Electorales (ONPE) implemente dicha se pueden transferir datos garantizando una
alternativa. transmisión confidencial y confiable, protegiéndolos
de ser interceptados o manipulados por terceros.
Décimo Cuarta.- Del glosario de términos Certificación Cruzada.- Es el acto por el
De conformidad con lo establecido por la cual una Entidad de Certificación acreditada
segunda disposición complementaria, transitoria y reconoce la validez de un certificado emitido por
final de la Ley, se incluye el Glosario de Términos otra, sea nacional, extranjera o internacional,
siguiente: previa autorización de la Autoridad Administrativa
Competente; y asume tal certificado como si fuera
Acreditación.- Es el acto a través del cual de propia emisión, bajo su responsabilidad.
la Autoridad Administrativa Competente, previo Certificado Digital.- Es el documento credencial
cumplimiento de las exigencias establecidas en la electrónico generado y firmado digitalmente
Ley, el Reglamento y las disposiciones dictadas por por una Entidad de Certificación que vincula un
ella, faculta a las entidades solicitantes reguladas par de claves con una persona natural o jurídica
en el presente Reglamento a prestar los servicios confirmando su identidad. El ciclo de vida de un
solicitados en el marco de la Infraestructura Oficial certificado digital podría comprender:
de Firma Electrónica. La suspensión consiste en inhabilitar la validez
Acuse de Recibo.- Son los procedimientos que de un certificado digital por un período de tiempo
registran la recepción y validación de la Notificación establecido en el momento de la solicitud de
Electrónica Personal recibida en el domicilio suspensión, dicho período no puede superar la
electrónico, de modo tal que impide rechazar el fecha de expiración del certificado digital.
envío y da certeza al remitente de que el envío y La modificación de la información contenida en
la recepción han tenido lugar en una fecha y hora un certificado sin la re-emisión de sus claves.
determinada a través del sello de tiempo electrónico. La re-emisión consiste en generar un nuevo par
Agente Automatizado.- Son los procesos y de claves y un nuevo certificado, correspondiente a
equipos programados para atender requerimientos una nueva clave pública pero manteniendo la mayor
predefinidos y dar una respuesta automática sin parte de la información del suscriptor contenida en
intervención humana, en dicha fase. el certificado a expirar.
Ancho de banda.- Especifica la cantidad de Clave privada.- Es una de las claves de un
información que se puede enviar a través de una sistema de criptografía asimétrica que se emplea
conexión de red en un período de tiempo dado para generar una firma digital sobre un documento
(generalmente un segundo). El ancho de banda electrónico y es mantenida en reserva por el titular
se indica generalmente en bites por segundo de la firma digital.
(bps), kilobits por segundo (Kbps), o megabits por Clave pública.- Es la otra clave en un sistema
segundo (Mbps). de criptografía asimétrica que es usada por el
Cuánto más elevado el ancho de la banda de destinatario de un documento electrónico para
una red, mayor es su aptitud para transmitir un verificar la firma digital puesta en dicho documento.
mayor caudal de información. La clave pública puede ser conocida por cualquier
Archivo.- Es el conjunto organizado de persona.
documentos producidos o recibidos por una entidad Código de verificación o resumen (hash).- Es
en el ejercicio de las funciones propias de su fin, y la secuencia de bits de longitud fija obtenida como
que están destinados al servicio. resultado de procesar un documento electrónico
Archivo Electrónico.- Es el conjunto de con un algoritmo, de tal manera que:
registros que guardan relación. También es la
organización de dichos registros. (1) El documento electrónico produzca siempre
Autenticación.- Es el proceso técnico que el mismo código de verificación (resumen) cada vez
permite determinar la identidad de la persona que se le aplique dicho algoritmo.
que firma digitalmente, en función del documento (2) Sea improbable a través de medios técnicos,
electrónico firmado por éste y al cual se le vincula; que el documento electrónico pueda ser derivado
este proceso no otorga certificación notarial ni fe o reconstruido a partir del código de verificación
pública. (resumen) producido por el algoritmo.
Autoridad Administrativa Competente.- Es (3) Sea improbable por medios técnicos, se
el organismo público responsable de acreditar a pueda encontrar dos documentos electrónicos
las Entidades de Certificación, a las Entidades que produzcan el mismo código de verificación
de Registro o Verificación y a los Prestadores de (resumen) al usar el mismo algoritmo.
Servicios de Valor Añadido, públicos y privados, de
reconocer los estándares tecnológicos aplicables Controlador de dispositivo (driver).- Es el
en la Infraestructura Oficial de Firma Electrónica, programa informático que permite a un Sistema
de supervisar dicha Infraestructura, y las otras Operativo entender y manejar diversos dispositivos
funciones señaladas en el presente Reglamento electrónicos físicos que se conectan o forman parte
o aquellas que requiera en el transcurso de sus de la computadora.
operaciones. Dicha responsabilidad recae en el Criptografía Asimétrica.- Es la rama de
Instituto Nacional de Defensa de la Competencia las matemáticas aplicadas que se ocupa de
y de la Protección de la Propiedad Intelectual - transformar documentos electrónicos en formas
INDECOPI. aparentemente ininteligibles y devolverlas a su
Canal seguro.- Es el conducto virtual o forma original, las cuales se basan en el empleo de
físicamente independiente a través del cual funciones algorítmicas para generar dos “claves”
28 NORMAS LEGALES ACTUALIZADAS
diferentes pero matemáticamente relacionadas Los documentos pueden ser archivados a través
entre sí. Una de esas claves se utiliza para crear de medios electrónicos, ópticos o cualquier otro
una firma numérica o transformar datos en una similar.
forma aparentemente ininteligible (clave privada), y Documento electrónico.- Es la unidad básica
la otra para verificar una firma numérica o devolver estructurada de información registrada, publicada
el documento electrónico a su forma original (clave o no, susceptible de ser generada, clasificada,
pública). Las claves están matemáticamente gestionada, transmitida, procesada o conservada
relacionadas, de tal modo que cualquiera de ellas por una persona o una organización de acuerdo
implica la existencia de la otra, pero la posibilidad a sus requisitos funcionales, utilizando sistemas
de acceder a la clave privada a partir de la pública informáticos.
es técnicamente ínfima. Documento oficial de identidad.- Es el
Declaración de Prácticas de Certificación.- documento oficial que sirve para acreditar la
Es el documento oficialmente presentado por identidad de una persona natural, que puede ser:
una Entidad de Certificación a la Autoridad
Administrativa Competente, mediante el cual define a) Documento Nacional de Identidad (DNI);
sus Prácticas de Certificación. b) Carné de extranjería actualizado, para las
Declaración de Prácticas de Registro o personas naturales extranjeras domiciliadas en el
Verificación.- Documento oficialmente presentado país; o,
por una Entidad de Registro o Verificación a la c) Pasaporte, si se trata de personas naturales
Autoridad Administrativa Competente, mediante el extranjeras no residentes.
cual define sus Prácticas de Registro o Verificación.
“Declaración de Prácticas de Valor Añadido.- Domicilio electrónico.- Está conformado por la
Documento oficialmente presentado por un dirección electrónica que constituye la residencia
Prestador de Servicios de Valor Añadido a la habitual de una persona dentro de un Sistema
Autoridad Administrativa Competente, mediante de Intermediación Digital, para la tramitación
el cual define las prácticas y procedimientos que confiable y segura de las notificaciones, acuses
emplea en la prestación de sus servicios.” (*) de recibo y demás documentos requeridos en sus
Término modificado por la Primera Disposición
procedimientos. En el caso de una persona jurídica
Complementaria Modificatoria del Decreto Supremo
el domicilio electrónico se asocia a sus integrantes.
N° 026-2016-PCM, publicado el 29 abril 2016.
Para estos efectos, se empleará el domicilio
electrónico como equivalente funcional del domicilio
Depósito de Certificados.- Es el sistema de
habitual de las personas naturales o jurídicas.
almacenamiento y recuperación de certificados, así
En este domicilio se almacenarán los documentos
como de la información relativa a éstos, disponible
y expedientes electrónicos correspondientes a
por medios telemáticos.
los procedimientos y trámites realizados en el
Destinatario.- Es la persona designada por el
respectivo Sistema de Intermediación Digital. El
iniciador para recibir un documento electrónico,
acceso a este domicilio se realiza empleando un
siempre y cuando no actúe a título de intermediario.
certificado digital de autenticación.
Dirección de correo electrónico.- Es el
Entidad de Certificación.- Es la persona
conjunto de palabras que identifican a una persona jurídica pública o privada que presta indistintamente
que puede enviar y recibir correo. Cada dirección servicios de producción, emisión, gestión,
es única y pertenece siempre a la misma persona. cancelación u otros servicios inherentes a la
Dirección oficial de correo electrónico.- Es certificación digital. Asimismo, puede asumir las
la dirección de correo electrónico del ciudadano, funciones de registro o verificación.
reconocido por el Gobierno Peruano para la Entidad de Certificación Extranjera.- Es
realización confiable y segura de las notificaciones la Entidad de Certificación que no se encuentra
electrónicas personales requeridas en los procesos domiciliada en el país, ni inscrita en los Registros
públicos. Públicos del Perú, conforme a la legislación de la
Esta dirección recibirá los mensajes de correo materia.
electrónico que sirvan para informar al usuario Entidades de la Administración Pública.- Es
acerca de cada notificación o acuse de recibo que el organismo público que ha recibido del poder
haya sido remitida a cualquiera de sus domicilios político la competencia y los medios necesarios
electrónicos. A diferencia del domicilio electrónico, para la satisfacción de los intereses generales de
esta dirección centraliza todas las comunicaciones los ciudadanos y la industria.
que sirven para informar al usuario que se ha Entidad de Registro o Verificación.- Es la
realizado una actualización de los documentos persona jurídica, con excepción de los notarios
almacenados en sus domicilios electrónicos. Su públicos, encargada del levantamiento de datos, la
lectura es de uso obligatorio. comprobación de éstos respecto a un solicitante de
Documento.- Es cualquier escrito público o un certificado digital, la aceptación y autorización
privado, los impresos, fotocopias, facsímil o fax, de las solicitudes para la emisión de un certificado
planos, cuadros, dibujos, fotografías, radiografías, digital, así como de la aceptación y autorización
cintas cinematográficas, microformas tanto en la de las solicitudes de cancelación de certificados
modalidad de microfilm como en la modalidad de digitales. Las personas encargadas de ejercer la
soportes informáticos, y otras reproducciones de citada función serán supervisadas y reguladas por
audio o video, la telemática en general y demás la normatividad vigente.
objetos que recojan, contengan o representen algún Entidad final.- Es el suscriptor de un certificado
hecho, o una actividad humana o su resultado. digital.
NORMAS LEGALES ACTUALIZADAS 29
Servicio OCSP (Protocolo del estado en línea comunicaciones que permiten automatizar los
del certificado, por sus siglas en inglés).- Es el procesos de identificación del elector, emisión del
servicio que permite utilizar un protocolo estándar voto, conteo de votos, emisión de reportes y/o
para realizar consultas en línea (on line) al servidor presentación de resultados de un proceso electoral,
de la Autoridad de Certificación sobre el estado de referéndum y otras consultas populares. El voto
un certificado. electrónico se puede clasificar en:
Sistema de Intermediación Digital.- Es
el sistema WEB que permite la transmisión y a) Presencial: cuando los procesos de votación
almacenamiento de información, garantizando el se dan en ambientes o lugares debidamente
no repudio, confidencialidad e integridad de las supervisados por las autoridades electorales; y
transacciones a través del uso de componentes de b) No presencial: cuando los procesos de
firma digital, autenticación y canales seguros. identificación del elector y emisión del voto se dan
Sistema de Intermediación Electrónico.- desde cualquier ubicación geográfica o ambiente
Es el sistema WEB que permite la transmisión y que el elector elija y disponga de los accesos
almacenamiento de información, garantizando el apropiados.
no repudio, confidencialidad e integridad de las
transacciones a través del uso de componentes de WebTrust.- Certificación otorgada a prestadores
firma electrónica, autenticación y canales seguros. de servicios de certificación digital - PSC,
Sistema WEB (“World Wide Web”).- Sistema específicamente a las Entidades Certificadoras
de documentos electrónicos enlazados y accesibles - EC, que de manera consistente cumplen con
a través de Internet. Mediante un navegador estándares establecidos por el Instituto Canadiense
Web, un usuario visualiza páginas Web que de Contadores Colegiados (CICA por sus siglas
pueden contener texto, imágenes, vídeos u otros en inglés - ver Cica.ca) y el Instituto Americano
contenidos multimedia, y navega a través de ellas de Contadores Públicos Colegiados (AICPA).
usando hiperenlaces. Los estándares mencionados se refieren a áreas
Suscriptor.- Es la persona natural responsable como privacidad, seguridad, integridad de las
de la generación y uso de la clave privada, a quien transacciones, disponibilidad, confidencialidad y no
se le vincula de manera exclusiva con un documento repudio.
electrónico firmado digitalmente utilizando su clave
privada. En el caso que el titular del certificado “DISPOSICION COMPLEMENTARIA
digital sea una persona natural, sobre ella recaerá TRANSITORIA
la responsabilidad de suscriptor. En el caso que
una persona jurídica sea el titular de un certificado Única.- Certificado de firmas digitales para la
digital, la responsabilidad de suscriptor recaerá utilización de servicios de gobierno electrónico.
sobre el representante legal designado por esta Para la utilización electrónica de servicios
entidad. Si el certificado está designado para ser brindados por el Estado en los que la entidad
usado por un agente automatizado, la titularidad pública requiera firma digital, excepcionalmente, en
del certificado y de las firmas digitales generadas tanto no se haya acreditado ante el INDECOPI o no
a partir de dicho certificado corresponderán a la cuente con reconocimiento oficial del INDECOPI,
persona jurídica. La atribución de responsabilidad al menos una entidad prestadora de servicios de
de suscriptor, para tales efectos, corresponde a la certificación, las personas naturales podrán utilizar
misma persona jurídica. Certificados Digitales de proveedores que cuenten
Tercero que confía o tercer usuario.- Se con la certificación internacional Web Trust.
refiere a las personas naturales, equipos, servicios Las personas jurídicas privadas,
o cualquier otro ente que actúa basado en la excepcionalmente, en tanto no se haya acreditado
confianza sobre la validez de un certificado y/o ante el INDECOPI o no cuente con reconocimiento
verifica alguna firma digital en la que se utilizó dicho oficial del INDECOPI, al menos una entidad
certificado. privada prestadora de servicios de certificación,
Titular.- Es la persona natural o jurídica a quien solamente podrán utilizar Certificados Digitales
se le atribuye de manera exclusiva un certificado de proveedores privados que cuenten con la
digital. certificación internacional Web Trust.
Usabilidad.- En el contexto de la certificación En cualquiera de los supuestos indicados en los
digital, el término Usabilidad se aplica a todos los párrafos anteriores, el proveedor deberá identificar
documentos, información y sistemas de ayuda a los titulares y/o suscriptores del certificado
necesarios que deben ponerse a disposición digital mediante el levantamiento de datos y la
de los usuarios para asegurar la aceptación y comprobación de la información brindada por aquél.
comprensión de las tecnologías, aplicaciones El uso de los certificados digitales referidos en
informáticas, sistemas y servicios de certificación los anteriores párrafos en cualquier procedimiento,
digital de manera efectiva, eficiente y satisfactoria. trámite o transacción con la Administración Pública
Usuario final.- En líneas generales, es toda generará, para los documentos electrónicos
persona que solicita cualquier tipo de servicio por soportados en ellos, las presunciones legales
parte de un Prestador de Servicios de Certificación del artículo 8 así como los efectos jurídicos que
Digital acreditado. corresponde para los fines de los artículos 3, 4
Voto electrónico.- Sistema de votación que y 43 del presente Reglamento.” (*) Disposición
utiliza una combinación de procedimientos, incorporada por el Artículo 2 del Decreto Supremo
componentes de hardware y software, y red de Nº 105-2012-PCM, publicado el 21 octubre 2012.