1. Introducción 1.1. Introducción al servicio de certificación digital de Certicámara 1.1.1. ¿Qué es Certicámara? La Sociedad Cameral de Certificación Digital Certicámara S.A., o simplemente Certicámara, es una sociedad anónima constituida por las cámaras de comercio del país con el objetivo de prestar los servicios de certificación digital que se regulan por la ley 527 de 1.999, el Decreto 1747 de 2.000 y las demás normas que las complementen, modifiquen o reemplacen. Certicámara es una Entidad de Certificación Digital Abierta de carácter esencialmente Empresarial, que tiene como propósito fundamental proporcionar las herramientas necesarias para que los empresarios y demás usuarios de Internet del país puedan realizar Negocios Electrónicos con seguridad Jurídica. Certicámara tiene su domicilio principal en la ciudad de Bogotá, se encuentra inscrita en el Registro Mercantil bajo el número de matrícula No. 1079279, y tiene autorización para prestar los servicios de certificación digital abierta de la Superintendencia de Industria y Comercio. 1.1.2. ¿Qué son las Entidades de Certificación Digital? Las Entidades de Certificación Digital son TERCEROS DE CONFIANZA que se dedican a la prestación de servicios de certificación digital, a través de un Sistema de Certificación Digital. Los servicios de certificación digital brindan seguridad a las comunicaciones que se realizan en redes abiertas, como por ejemplo Internet, mediante la expedición de certificados digitales en los que ofrecen información a los usuarios sobre la persona con la que se están comunicando. Para emitir los certificados digitales las Entidades de Certificación Digital utilizan lo que se conoce como la Infraestructura de Clave Pública (PKI, por sus siglas en inglés), que es el conjunto de elementos tecnológicos que, mediante la utilización de un par de claves criptográficas, una privada que solo posee el suscriptor del servicio y una pública que se incluye en el certificado digital, logran: 1. 2. 3. 4. Identificar a quien envía una comunicación. Impedir que terceras personas puedan observar los mensajes que se envían a través de medios electrónicos. Impedir que un tercero pueda alterar la información que es enviada a través de medios electrónicos. Evitar que el suscriptor del servicio de certificación digital que envió un mensaje electrónico pueda después negar dicho envío. Una de las principales actividades que pueden realizarse utilizando los certificados digitales basados en la Infraestructura de Clave Pública es la firma de los mensajes de datos. Mediante el uso adecuado de las claves que el suscriptor del servicio tiene en su poder, éste puede firmar digitalmente cualquier mensaje electrónico, como por ejemplo el correo electrónico, con el mismo valor jurídico que tendría si dicho documento fuera firmado en papel. De acuerdo con lo establecido en la normatividad colombiana vigente, las Entidades de Certificación Digital Abiertas son aquellas que ofrecen sus servicios dirigidos a cualquier comunicación electrónica y que solicitan una remuneración por ello. Esto significa que una persona que posea un certificado digital expedido por Certicámara puede ser utilizado en cualquier contexto y de manera general frente a cualquier persona, sin reparar en el sujeto a quien se envía la comunicación. Para todos los casos tendrá plena eficacia jurídica. A las Entidades de Certificación Digital Abiertas se oponen las Entidades de Certificación Digital Cerradas, las cuales expiden certificados digitales que solo pueden ser utilizados dentro de un contexto determinado y frente a la propia Entidad de Certificación. Una persona que posee un certificado digital expedido por una Entidad de Certificación Digital Cerrada sólo puede identificarse con él frente a la propia Entidad de Certificación, frente a nadie más. 1.1.3. ¿Qué son los certificados digitales? Los certificados digitales son archivos digitales en los que Certicámara realiza ciertas declaraciones, respecto de la identidad del suscriptor del servicio, basada en la información que suministra el suscriptor y en procedimientos propios de verificación. Un certificado digital contiene la información esencial que le permite a una persona que lo recibe a través de un medio electrónico conocer la identidad del remitente del mismo. Todos los certificados digitales que Certicámara expide son firmados digitalmente por ella. La persona que lo recibe puede tener la seguridad que el mismo no ha sido alterado y que es efectivamente Certicámara quien lo ha expedido. 1.1.4. ¿Qué certificados digitales expide Certicámara? Buscando satisfacer las diferentes necesidades que surgen en el contexto del uso creciente de las tecnologías de la información y Comunicaciones, Certicámara expide diversos tipos de certificados digitales. a) El Certificado de Representación de Empresa/Entidad, Se expide a personas naturales nacionales o extranjeras que se han identificado plenamente ante Certicámara con documento(s) de identidad válido(s) y vigente(s) expedidos por la autoridad competente de la República de Colombia, o con documento(s) equivalente(s) expedido(s) por la autoridad competente de cualquier Estado Extranjero, vinculándolas con la calidad de representante legal de una persona jurídica o Entidad del Estado b) El Certificado de Pertenencia a Empresa/Entidad Se expide a personas naturales nacionales o extranjeras que se han identificado plenamente ante Certicámara con documento(s) de identidad válido(s) y vigente(s) expedidos por la autoridad competente de la República de Colombia, o con documento(s) equivalente(s) expedido(s) por la autoridad competente de cualquier Estado Extranjero, y permite identificarla como persona natural vinculándola como perteneciente a una determinada organización empresarial o entidad del Estado, pero sin que tenga la representación legal de la misma o facultad de comprometerla jurídicamente. c) El Certificado de Servidor Seguro permite a una persona jurídica o a un comerciante registrado aseverar que tiene el control de un determinado dominio, posibilitando a quienes envían o reciben información al sitio web bajo ese dominio conocer la identidad de aquel a quien envían o de quien reciben esa información. d) El Certificado de Profesional Titulado Se expide a personas naturales nacionales o extranjeras que se han identificado plenamente ante Certicámara con documento(s) de identidad válido(s) y vigente(s) expedidos por la autoridad competente de la República de Colombia, o con documento(s) equivalente(s) expedido(s) por la autoridad competente de cualquier Estado Extranjero identificándola como persona natural vinculándola a la obtención de un título profesional debidamente reconocido en la República de Colombia o en un Estado Extranjero, y que hayan obtenido el correspondiente registro, licencia, colegiatura o tarjeta profesional requerida para el ejercicio de su profesión en la República de Colombia o en un Estado Extranjero. e) El Certificado para Firma de Código permite a una persona jurídica o natural firmar mensajes de datos que contengan información, software, aplicativos, código fuente o código objeto para garantizar ante terceros que el software es distribuido de manera segura e inalterada por esa persona jurídica o natural. f) El Certificado de VPN (Virtual Private Network)/Intranet: Permite a una persona natural o jurídica, dentro de una red privada o intranet, y aseverar que tiene el control de una determinada máquina en dicha red privada o intranet. g) El Certificado de Titular de Función Pública: Se expide a personas naturales nacionales o extranjeras que se han identificado plenamente ante Certicámara con documento(s) de identidad válido(s) y vigente(s) expedidos por la autoridad competente de la República de Colombia, o con documento(s) equivalente(s) expedido(s) por la autoridad competente de cualquier Estado Extranjero, permitiendo identificarla como persona natural y vinculándola como funcionario público perteneciente a una entidad del Estado en la República de Colombia. h) Certificado digital persona natural: Se expide a personas naturales nacionales o extranjeras que se han identificado plenamente ante Certicámara con documento(s) de identidad válido(s) y vigente(s) expedidos por la autoridad competente de la República de Colombia, o con documento(s) equivalente(s) expedido(s) por la autoridad competente de cualquier Estado Extranjero. El siguiente cuadro resume algunos de los principales aspectos de los certificados digitales que ofrece Certicámara: Tipo de certificado Certificado de Representación de Empresa/Entidad Servicio que presta Identifica a una persona natural vinculándola como representante legal de una persona jurídica determinada o Entidad del Estado, o como una persona natural comerciante. Valor de expedición (sin IVA) - Valor para 1 año de servicio COL $ 640.000.oo (Este valor puede variar de conformidad con según acuerdos especiales a los que se llegue con los solicitantes o los suscriptores, o en campañas promocionales adelantadas por Certicámara.) Valor de renovación (SIN IVA) - Valor para 1 año de servicio COL $ 640.000.oo (Este valor puede variar de conformidad con según acuerdos especiales a los que se llegue con los solicitantes o los suscriptores, o en campañas promocionales adelantadas por Certicámara.) Requisitos para su expedición: • El solicitante debe entregar el Formulario de prestación de servicios de certificación digital para el tipo Certificado de Representación de Empresa/Entidad debidamente diligenciado y firmado junto con los siguientes documentos: - • • • • Fotocopia de la Cédula de ciudadanía del representante legal. En caso de que la entidad que representa no sea privada, adjunte documento que establezca su nombramiento como representante legal. Certicámara podrá exigir que las fotocopias sean autenticadas. Todas las fotocopias de documentos de identificación anexas al formulario de solicitud deberán ir ampliadas al 150%. Certicámara se reserva el derecho de solicitar documentos adicionales a los anteriormente señalados cuando así lo considere necesario para verificar la identidad de las personas. Entre estos documentos se pueden incluir los siguientes: 1) Licencia de conducción. 2) Certificado Judicial. 3) Libreta Militar. 4) Documento de afiliación al Régimen de Seguridad Social en Salud. 5) Documento de afiliación a la Administradora de Riesgos Profesionales. 6) Pasaporte. No serán admisibles contraseñas, denuncias por pérdida de documentos o sucedáneos no válidos de la cédula de ciudadanía, pasaporte o cédula de extranjería. Tipo de certificado Certificado de Pertenencia a Empresa/Entidad Servicio que presta Identifica a una persona natural vinculándola como perteneciente a una persona jurídica o entidad del Estado determinada, sin que exista un vínculo de representación legal. Valor de expedición (sin IVA) - Valor para 1 año de servicio COL $540.000.oo (Este valor puede variar de conformidad con según acuerdos especiales a los que se llegue con los solicitantes o los suscriptores, o en campañas promocionales adelantadas por Certicámara.) Valor de renovación (SIN IVA) - Valor para 1 año de servicio COL $540.000.oo (Este valor puede variar de conformidad con según acuerdos especiales a los que se llegue con los solicitantes o los suscriptores, o en campañas promocionales adelantadas por Certicámara.) Requisitos para su expedición • El solicitante debe entregar el Formulario de prestación de servicios de certificación digital para el tipo Certificado de Pertenencia a Empresa/Entidad debidamente diligenciado y firmado junto con los siguientes documentos: - Fotocopia de la Cédula de ciudadanía del suscriptor. - Fotocopia de la Cédula de ciudadanía del representante legal. - Certificado de Existencia y Representación legal de la Empresa/entidad o equivalente. - Certificado expedido por el Representante Legal de la empresa o el Gerente de Recursos Humanos o quien haga sus veces en donde conste la vinculación laboral o de otro tipo que tiene el suscriptor con la empresa. • • • • • Certicámara podrá exigir que las fotocopias sean autenticadas. Todas las fotocopias de documentos de identificación anexas al formulario de solicitud deberán ir ampliadas al 150%. Certicámara se reserva el derecho de solicitar documentos adicionales a los anteriormente señalados cuando así lo considere necesario para verificar la identidad de las personas. Entre estos documentos se pueden incluir los siguientes: 1) Licencia de conducción. 2) Certificado Judicial. 3) Libreta Militar. 4) Documento de afiliación al Régimen de Seguridad Social en Salud. 5) Documento de afiliación a la Administradora de Riesgos Profesionales. 6) Pasaporte. Certicámara se reserva el derecho de exonerar de la presentación de cualquiera de los documentos relacionados con la vinculación laboral del suscriptor cuando haya sido suficientemente verificada por Certicámara por otros medios. No serán admisibles contraseñas, denuncias por pérdida de documentos o sucedáneos no válidos de la cédula de ciudadanía, pasaporte o cédula de extranjería. Tipo de certificado Certificado de Servidor Seguro Servicio que presta Relaciona un dominio de Internet con una persona jurídica o un comerciante registrado determinado. Valor de expedición (sin IVA) – Valor para 1 año de servicio COL $1.000.000.oo (Este valor puede variar de conformidad con según acuerdos especiales a los que se llegue con los solicitantes o los suscriptores, o en campañas promocionales adelantadas por Certicámara.) Valor de renovación (SIN IVA) – Valor para 1 año de servicio COL $900.000.oo (Este valor puede variar de conformidad con según acuerdos especiales a los que se llegue con los solicitantes o los suscriptores, o en campañas promocionales adelantadas por Certicámara.) Requisitos para su expedición • El solicitante debe entregar el Formulario de prestación de servicios de certificación digital para el tipo Certificado de Servidor Seguro debidamente diligenciado y firmado junto con los siguientes documentos: - Fotocopia de la cédula de ciudadanía o documento equivalente del representante legal o del delegado debidamente autorizado. - En el caso de que la entidad solicitante sea una entidad pública, se deberá adjuntar fotocopia del decreto de nombramiento como representante legal o su equivalente de la entidad que representa. • • • • Certicámara podrá exigir que las fotocopias sean autenticadas. Todas las fotocopias de documentos de identificación anexas al formulario de solicitud deberán ir ampliadas al 150%. Certicámara se reserva el derecho de solicitar documentos adicionales a los anteriormente señalados cuando así lo considere necesario para verificar la identidad de las personas. Entre estos documentos se pueden incluir los siguientes: 1) Licencia de conducción. 2) Certificado Judicial. 3) Libreta Militar. 4) Documento de afiliación al Régimen de Seguridad Social en Salud. 5) Documento de afiliación a la Administradora de Riesgos Profesionales. 6) Pasaporte. No serán admisibles contraseñas, denuncias por pérdida de documentos o sucedáneos no válidos de la cédula de ciudadanía, pasaporte o cédula de extranjería. Tipo de certificado Certificado de Profesional Titulado Servicio que presta Identifica a una persona natural, vinculándola a un título profesional reconocido en la República de Colombia o en un Estado Extranjero. Valor de expedición (sin IVA) – Valor para 1 año de servicio COL$540.000.oo (Este valor puede variar de conformidad con según acuerdos especiales a los que se llegue con los solicitantes o los suscriptores, o en campañas promocionales adelantadas por Certicámara.) Valor de renovación (SIN IVA) – Valor para 1 año de servicio COL$540.000.oo (Este valor puede variar de conformidad con según acuerdos especiales a los que se llegue con los solicitantes o los suscriptores, o en campañas promocionales adelantadas por Certicámara.) Requisitos para su expedición • El solicitante debe entregar el Formulario de prestación de servicios de certificación digital para el tipo Certificado de Profesional Titulado debidamente diligenciado y firmado junto con los siguientes documentos: - Fotocopia de la cédula de ciudadanía o documento de identidad. - Fotocopia de Tarjeta Profesional, matrícula profesional, certificación de registro, colegiatura o licencia otorgada por la entidad o autoridad competente. (Donde aplique) o copia autentica del Diploma o Acta de grado. • • • • • Certicámara podrá exigir que las fotocopias sean autenticadas. Todas las fotocopias de documentos de identificación anexas al formulario de solicitud deberán ir ampliadas al 150%. Certicámara se reserva el derecho de solicitar documentos adicionales a los anteriormente señalados cuando así lo considere necesario para verificar la identidad de las personas. Entre estos documentos se pueden incluir los siguientes: 1) Licencia de conducción. 2) Certificado Judicial. 3) Libreta Militar. 4) Documento de afiliación al Régimen de Seguridad Social en Salud. 5) Documento de afiliación a la Administradora de Riesgos Profesionales. 6) Pasaporte. 7) Certificación de membresía a colegios profesionales, o 8) constancia de estar libre de sanciones por el ejercicio de su profesión. Certicámara se reserva el derecho de exonerar de la presentación de cualquiera de los documentos relacionados con la calidad de profesional Titulado del suscriptor cuando haya sido suficientemente verificada por Certicámara por otros medios. No serán admisibles contraseñas, denuncias por pérdida de documentos o sucedáneos no válidos de la cédula de ciudadanía, pasaporte o cédula de extranjería. Tipo de certificado Certificado para Firma de Código Servicio que presta Permite a una persona jurídica o natural firmar mensajes de datos que contengan información, software, aplicativos, código fuente o código objeto para garantizar ante terceros que el software es distribuido de manera segura e inalterada por esa persona jurídica o natural. Valor de expedición (sin IVA) – Valor para 1 año de servicio COL$ 1.750.000.oo (Este valor puede variar de conformidad con según acuerdos especiales a los que se llegue con los solicitantes o los suscriptores, o en campañas promocionales adelantadas por Certicámara.) Valor de renovación (SIN IVA) – Valor para 1 año de servicio COL$ 1.750.000.oo (Este valor puede variar de conformidad con según acuerdos especiales a los que se llegue con los solicitantes o los suscriptores, o en campañas promocionales adelantadas por Certicámara.) Requisitos para su expedición • El solicitante debe entregar el Formulario de prestación de servicios de certificación digital para el tipo Certificado de Firma de Código debidamente diligenciado y firmado junto con los siguientes documentos: - Fotocopia de la Cédula de ciudadanía del Representante Legal. • • • • Certicámara podrá exigir que las fotocopias sean autenticadas. Todas las fotocopias de documentos de identificación anexas al formulario de solicitud deberán ir ampliadas al 150%. Certicámara se reserva el derecho de solicitar documentos adicionales a los anteriormente señalados cuando así lo considere necesario para verificar la identidad de las personas. Entre estos documentos se pueden incluir los siguientes: 1) Licencia de conducción. 2) Certificado Judicial. 3) Libreta Militar. 4) Documento de afiliación al Régimen de Seguridad Social en Salud. 5) Documento de afiliación a la Administradora de Riesgos Profesionales. 6) Pasaporte. No serán admisibles contraseñas, denuncias por pérdida de documentos o sucedáneos no válidos de la cédula de ciudadanía, pasaporte o cédula de extranjería. Tipo de certificado Certificado de VPN (Virtual Private Network)/Intranet Servicio que presta Relaciona a una persona natural o jurídica con una máquina dentro de una red privada o intranet. Valor de expedición (sin IVA) - Valor para 1 año de servicio COL$1.260.000.oo (Este valor puede variar de conformidad con según acuerdos especiales a los que se llegue con los solicitantes o los suscriptores, o en campañas promocionales adelantadas por Certicámara.) Valor de renovación (SIN IVA) - Valor para 1 año de servicio COL$1.260.000.oo (Este valor puede variar de conformidad con según acuerdos especiales a los que se llegue con los solicitantes o los suscriptores, o en campañas promocionales adelantadas por Certicámara.) Requisitos para su expedición • El solicitante debe entregar el Formulario de prestación de servicios de certificación digital para el tipo Certificado de VPN (Virtual Private Network)/Intranet debidamente diligenciado y firmado junto con los siguientes documentos: - Fotocopia de la Cédula de ciudadanía del Representante Legal. • • • • Certicámara podrá exigir que las fotocopias sean autenticadas. Todas las fotocopias de documentos de identificación anexas al formulario de solicitud deberán ir ampliadas al 150%. Certicámara se reserva el derecho de solicitar documentos adicionales a los anteriormente señalados cuando así lo considere necesario para verificar la identidad de las personas. Entre estos documentos se pueden incluir los siguientes: 1) Licencia de conducción. 2) Certificado Judicial. 3) Libreta Militar. 4) Documento de afiliación al Régimen de Seguridad Social en Salud. 5) Documento de afiliación a la Administradora de Riesgos Profesionales. 6) Pasaporte. No serán admisibles contraseñas, denuncias por pérdida de documentos o sucedáneos no válidos de la cédula de ciudadanía, pasaporte o cédula de extranjería. Tipo de certificado Certificado de Titular de Función Pública Servicio que presta Identifica a una persona natural, vinculándola como funcionario público de una entidad del Estado en la República de Colombia. Valor de expedición (sin IVA) - Valor para 1 año de servicio COL$540.000.oo (Este valor puede variar de conformidad con según acuerdos especiales a los que se llegue con los solicitantes o los suscriptores, o en campañas promocionales adelantadas por Certicámara.) Valor de renovación (SIN IVA) - Valor para 1 año de servicio COL$540.000.oo (Este valor puede variar de conformidad con según acuerdos especiales a los que se llegue con los solicitantes o los suscriptores, o en campañas promocionales adelantadas por Certicámara.) Requisitos para su expedición • El solicitante debe entregar el Formulario de prestación de servicios de certificación digital para el tipo Certificado de Titular de Función Pública debidamente diligenciado y firmado junto con los siguientes documentos: - Fotocopia de la Cédula de ciudadanía del suscriptor. - Fotocopia de la Cédula de ciudadanía del Representante Legal. - Documento de nombramiento, de posesión, credencial o certificación expedida por el ente nominador o de inspección, vigilancia y control. • • • • Certicámara podrá exigir que las fotocopias sean autenticadas. Todas las fotocopias de documentos de identificación anexas al formulario de solicitud deberán ir ampliadas al 150%. Certicámara se reserva el derecho de solicitar documentos adicionales a los anteriormente señalados cuando así lo considere necesario para verificar la identidad de las personas. Entre estos documentos se pueden incluir los siguientes: 1) Licencia de conducción. 2) Certificado Judicial. 3) Libreta Militar. 4) Documento de afiliación al Régimen de Seguridad Social en Salud. 5) Documento de afiliación a la Administradora de Riesgos Profesionales. 6) Pasaporte. No serán admisibles contraseñas, denuncias por pérdida de documentos o sucedáneos no válidos de la cédula de ciudadanía, pasaporte o cédula de extranjería. Tipo de certificado Certificado digital de Persona Natural Servicio que presta Identifica a una persona natural. Valor de expedición (sin IVA) - Valor para 1 año de servicio COL$540.000.oo (Estos valor puede variar de conformidad con acuerdos especiales a los que se llegue con los solicitantes o los suscriptores, o en campañas promocionales adelantadas por Certicámara.) Valor de expedición (sin IVA) - Valor para 1 año de servicio COL$540.000.oo (Este valor puede variar de conformidad con según acuerdos especiales a los que se llegue con los solicitantes o los suscriptores, o en campañas promocionales adelantadas por Certicámara.) Requisitos para su expedición • El solicitante debe entregar el Formulario de prestación de servicios de certificación digital para el tipo Certificado digital de Persona Natural debidamente diligenciado y firmado junto con los siguientes documentos: - Fotocopia de la cédula de ciudadanía, pasaporte o cédula de extranjería o documento equivalente. • • • • Certicámara podrá exigir que las fotocopias sean autenticadas. Todas las fotocopias de documentos de identificación anexas al formulario de solicitud deberán ir ampliadas al 150%. Certicámara se reserva el derecho de solicitar documentos adicionales a los anteriormente señalados cuando así lo considere necesario para verificar la identidad de las personas. Entre estos documentos se pueden incluir los siguientes: 1) Licencia de conducción. 2) Certificado Judicial. 3) Libreta Militar. 4) Documento de afiliación al Régimen de Seguridad Social en Salud. 5) Documento de afiliación a la Administradora de Riesgos Profesionales. 6) Pasaportes adicionales. No serán admisibles contraseñas, denuncias por pérdida de documentos o sucedáneos no válidos de la cédula de ciudadanía, pasaporte o cédula de extranjería. Los anteriores valores constituyen el precio base unitario de los certificados digitales. Estos valores pueden variar según acuerdos especiales a los que se llegue con los solicitantes, los suscriptores o por campañas promocionales adelantadas por Certicámara. Certicámara se reserva el derecho a pedir documentos adicionales a éstos cuando así lo estime conveniente, los cuales pueden incluir, sin limitarse a ellos: • Referencias o Certificaciones bancarias de la empresa y/o del solicitante. • • • • Referencias personales del solicitante. Referencias comerciales del solicitante. Certificados laborales. Traducción oficial de cualquier documento que considere necesario para el proceso de identificación. 1.1.5. ¿Cuál es el período de vigencia de un certificado digital? Los certificados digitales de Certicámara se expiden por períodos de hasta 36 meses, tiempo después del cual pierden su vigencia. Cuando la información suministrada a Certicámara por el solicitante/suscriptor o que esté contenida en el certificado digital cambie de cualquier forma antes de que el periodo de vigencia del certificado digital termine, o cuando por alguna circunstancia sea necesario descontinuar el uso del mismo. Certicámara ha diseñado y tiene a disposición del solicitante/suscriptor un procedimiento de revocación de certificados digitales, por medio del cual el certificado digital deja de tener eficacia jurídica. 1.1.6. ¿Qué se debe saber para usar un certificado digital? Con el fin de brindar la mayor seguridad a sus suscriptores y a todos los usuarios del Sistema de Certificación Digital de Certicámara, el uso de los certificados digitales, así como toda la actividad de certificación digital de Certicámara, se encuentra estrictamente regulada a través de políticas y procedimientos. Ninguna acción se improvisa en Certicámara. Todas las políticas y procedimientos que los suscriptores y partes confiantes en los certificados digitales de Certicámara deben conocer se encuentran condensados en un solo documento, el presente, que se conoce como la Declaración de Prácticas de Certificación de Certicámara. LA LECTURA DE LA DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN ES UN REQUISITO INDISPENSABLE PARA USAR LOS CERTIFICADOS DIGITALES DE CERTICÁMARA. EL USO DE UN CERTIFICADO DIGITAL DE CERTICÁMARA SIGNIFICA QUE LA PERSONA QUE LO USA O CONFÍA EN ÉL ACEPTA EN SU TOTALIDAD EL CONTENIDO DE LA DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN, Y POR LO TANTO SE VINCULA JURÍDICAMENTE POR ÉSTA. 1.2. Datos de Certicamara Los siguientes son los datos de Certicámara: Nombre: SOCIEDAD CAMERAL DE CERTIFICACIÓN DIGITAL CERTICÁMARA S.A. pero podrá usar indistintamente la sigla Certicamara S.A. Dirección: Avenida Calle 26 No.68D-35 Piso 5 - Bogotá, Colombia. Domicilio: Bogotá, Colombia. Teléfonos: (57 1) 383 0671, Conmutador: (57 1) 594 1000 - 383 0300 Fax: (57 1) 263 7913 Dirección de correo electrónico: [email protected] Sitio de Internet: www.Certicamara.com. A.A. 29824 1.3. Datos de las Entidades de Registro Entidades de Registro de Certicámara: Cámara de Comercio de Bogotá Sede Salitre Dirección: Avenida Calle 26 No.68D-35 Piso 5 - Bogotá, Colombia. Teléfonos: (57 1) 383 0671, Conmutador: (57 1) 594 1000 - 383 0300 Dirección de correo electrónico: [email protected] Cámara de Comercio de Cali Dirección: Calle 8 N° 3-14 Teléfono directo: 886 13 19 Conmutador: 8861300 exts. 441 y 319 Dirección de correo electrónico: [email protected] Cámara de Comercio de Bucaramanga Dirección: Cra. 19 N° 36 - 20 Piso 2 Teléfonos: Tel. 633 40 62 Dirección de correo electrónico: [email protected] 1.4. Directivos de Certicámara: Gerente General: ERICK RINCON CARDENAS 1.5. Peticiones, quejas y reclamos Si Usted o cualquier persona tiene alguna petición, queja o reclamo frente a cualquiera de los servicios o actividades de Certicámara, puede dirigirse a cualquiera de nuestras Entidades de Registro e informar que desea hacer una petición, queja o reclamo, o comunicarse con la persona a cargo de la absolución de los mismos: Dirección: Avenida Calle 26 No.68D-35 Piso 5 - Bogotá, Colombia. Teléfono: (57 1) 383 0671, Conmutador: (57 1) 594 1000 - 383 0300 Fax: (57 1) 263 7913 Dirección de correo electrónico: info@Certicámara.com Responsable: Erick Rincón Cárdenas Certicámara brinda soporte técnico a través de La Línea Universal: 01 900 331 9111 La página www.Certicamara.com brinda: o o o o Videos de capacitación y Manuales de Instalación Soporte técnico en línea Soporte técnico vía correo electrónico: soporte@Certicámara.com Preguntas frecuentes 1.6. ¿Qué es la Declaración de Prácticas de Certificación? La Declaración de Prácticas de Certificación constituye el documento que reúne las reglas generales que Certicámara utiliza en el proceso de expedición de certificados digitales y en la prestación de sus servicios de certificación digital. Según el Decreto 1747 de 2000, La Declaración de Prácticas de Certificación es la manifestación de la entidad de certificación sobre las políticas y procedimientos que aplica para la prestación de sus servicios. La actualización y modificación de la Declaración de Prácticas de Certificación, se realizará a través del procedimiento establecido para estos casos, teniendo en cuenta la publicación de este documento en el sitio Web de Certicámara S.A. www.Certicámara.com. 1.7. Intervinientes y estructura del Sistema de Certificación Digital Los siguientes son los partícipes del Sistema de Certificación Digital de Certicámara: 1.7.1. Entidad de Certificación digital: Persona jurídica (en este caso Certicámara) autorizada por la Superintendencia de Industria y Comercio de Colombia que, utilizando la Infraestructura de Clave Pública, relaciona una determinada clave pública con un sujeto o persona concretos a través de la emisión de un certificado digital, de conformidad con los términos establecidos en esta Declaración de Prácticas de Certificación. 1.7.2. Entidad de Registro: Persona o entidad delegada por Certicámara para la verificación de la identidad de los solicitantes y otras funciones dentro del proceso de expedición y manejo de certificados digitales, de conformidad con los términos establecidos en esta Declaración de Prácticas de Certificación y siguiendo en todo momento las instrucciones de Certicámara. 1.7.3. Tercero Idóneo: Persona jurídica o entidad idónea que estará a cargo, de forma segura y confiable para el suscriptor, del procedimiento de la generación de las claves pública y privada. Garantizando con ello la seguridad de que nadie distinto del suscriptor conocerá dichas claves, de conformidad con los términos establecidos en esta Declaración de Prácticas de Certificación y siguiendo en todo momento las instrucciones de Certicámara. 1.7.4. Solicitante: Persona natural o jurídica que solicita la expedición de un certificado digital a nombre propio, o de terceros, o en nombre y representación legal de una persona jurídica. 1.7.5. Suscriptor: Es aquella persona, natural o jurídica, que figura en el certificado digital como titular del mismo, según se deriva de las Prácticas de Certificación establecidas para cada uno de ellos. 1.7.6. Parte confiante: Persona que recibe, hace uso o confía de cualquier manera en los certificados digitales de Certicámara y que por lo tanto se vincula jurídicamente por los términos de esta Declaración de Prácticas de Certificación. Generalidades 1.8. Clases de certificados Certicámara expide diversos tipos de certificados: 1) Certificados de Representación de Empresa/Entidad. 2) Certificados de Pertenencia a Empresa/Entidad. 3) Certificados de Servidor Seguro. 4) Certificado de Profesional Titulado 5) Certificado para Firma de Código 6) Certificado de VPN/Intranet 7) Certificado de Titular de Función Pública 8) Certificado de Persona Natural Cada uno de ellos se rige por las normas definidas en esta Declaración de Prácticas de Certificación y por las reglas particulares que les corresponden, definidas en sus propias Prácticas de Certificación (ver secciones finales de este documento). LOS CERTIFICADOS DIGITALES TIENEN COMO PROPÓSITO ESENCIAL IDENTIFICAR PERSONALMENTE A QUIEN ACTÚA A TRAVÉS DE UN MEDIO ELECTRÓNICO. ESTOS NO PUEDEN SER INTERPRETADOS EN NINGÚN MOMENTO COMO AUTORIZACIONES PARA LA REALIZACIÓN DE DETERMINADOS ACTOS JURÍDICOS O PARA LA UTILIZACIÓN DE LOS MISMOS PARA FINES DISTINTOS DE LOS EXPRESAMENTE CONTEMPLADOS EN ESTA DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN. 1.9. Obligaciones de los Intervinientes 1.9.1. Obligaciones de Certicámara Certicámara tiene las siguientes obligaciones en la prestación de sus servicios: • • • • • • • • • • • • • • • • Implementar y mantener los sistemas de seguridad que resulten razonables en función del servicio prestado y en general la infraestructura necesaria para la prestación del servicio de Certificación Digital. Cumplir con la Declaración de Prácticas de Certificación (DPC) y con los acuerdos realizados con los suscriptores. Informar al suscriptor las características de la prestación del servicio, los límites de responsabilidad, y las obligaciones que asume como interviniente en el proceso de certificación digital. En particular Certicámara deberá informar al suscriptor o terceras personas que lo soliciten, sobre el tiempo y recursos computacionales requeridos para derivar la clave privada a partir de la clave pública contenida en los certificados digitales. Comprobar por sí o a través de sus Entidades de Registro, la información definida en esta Declaración de Prácticas de Certificación como verificable para la expedición de certificados digitales. Abstenerse de acceder o almacenar la clave privada del suscriptor. Conservar por si mismo o por interpuesta persona la custodia del soporte físico del certificado digital hasta la entrega efectiva del mismo al suscriptor (si aplica). Permitir y facilitar la realización de las auditorias por parte de la Superintendencia de Industria y Comercio de Colombia. Expedir certificados digitales de conformidad con lo establecido en la sección de procedimiento de expedición de certificados digitales de esta Declaración de Prácticas de Certificación, y las especificaciones acordadas por el suscriptor en el contrato de suscripción. Publicar los certificados digitales expedidos y llevar el Registro de Certificados Emitidos. Actualizar la información que tiene registrada en la solicitud de autorización ante la Superintendencia de Industria y Comercio y toda aquella que esta entidad establezca. Informar a la Superintendencia de Industria y Comercio la ocurrencia de cualquier evento establecido en la Declaración de Prácticas de Certificación, que comprometa la prestación del servicio. Mantener el control y confidencialidad de su clave privada y establecer las seguridades razonables para que no se divulgue o comprometa. Procurar diligentemente la prestación permanente e ininterrumpida de los servicios de certificación digital. Permitir el acceso de los suscriptores, de las partes confiantes y de terceros a esta Declaración de Prácticas de Certificación y al repositorio de la Entidad de Certificación. Actualizar la Base de datos de certificados digitales revocados en los términos establecidos en esta Declaración de Prácticas de Certificación y efectuar los avisos y publicaciones que se establezcan por ley en ésta. Revocar los certificados digitales que se requiera de conformidad con lo establecido en la sección 6 de esta Declaración de Prácticas de Certificación. • • • • • • • • • • Informar al suscriptor dentro de los siguientes 2 días hábiles, la revocación de su certificado digital. Remitir oportunamente a la Superintendencia de Industria y Comercio, la información prevista en el decreto 1747 de 2.000. Remover a los administradores o representantes que resulten incursos en las causales establecidas en el literal c del artículo 29 de la Ley 527 de 1999. Disponer de una línea telefónica de atención a suscriptores y terceros, que permita las consultas y la pronta solicitud de revocación de certificados por los suscriptores. Suministrar la información que le requieran las entidades administrativas competentes o judiciales en relación con las firmas digitales y certificados digitales emitidos y en general sobre cualquier mensaje de datos que se encuentre bajo su custodia y administración. Conservar física o electrónicamente la documentación que respalda los certificados digitales emitidos, por el término previsto en la ley para los papeles de los comerciantes y tomar las medidas necesarias para garantizar la integridad y la confidencialidad que le sean propias. Atender las peticiones, quejas y reclamos hechas por los suscriptores, de conformidad con lo establecido en esta Declaración de Prácticas de Certificación. Otorgar a la información suministrada por el suscriptor el tratamiento que se establece en la sección de Manejo de la Información Personal de esta Declaración de Prácticas de Certificación. Cumplir con las instrucciones que establezca la Superintendencia de Industria y Comercio. Advertir, sobre las medidas de seguridad que deben observar los suscriptores de firmas y certificados digitales para la utilización de estos mecanismos. De conformidad con la normatividad colombiana vigente, Certicámara cuenta con una línea telefónica que permite la atención de las peticiones, quejas y reclamos de los suscriptores, de las partes confiantes y de los terceros. El cumplimiento de todas o parte de las obligaciones o procedimientos de expedición de certificados digitales o de la prestación en general del servicio de certificación digital podrá ser realizado en forma directa por Certicámara o a través de sus Entidades de Registro. CERTICÁMARA NO TIENE OBLIGACIONES ADICIONALES A LAS PREVISTAS EN ESTE ACÁPITE, NI DEBERÁ ENTENDERSE QUE EXISTEN OBLIGACIONES IMPLÍCITAS ADICIONALES A LAS EXPRESAMENTE CONSAGRADAS EN ESTA DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN. 1.9.2. Obligaciones del suscriptor El suscriptor tiene las siguientes obligaciones frente a Certicámara y terceras personas: • • • • • • Utilizar la clave privada y el certificado digital emitido tan sólo para los fines establecidos y de acuerdo con los condicionamientos establecidos en el contrato celebrado con él de manera individual y en esta Declaración de Prácticas de Certificación, así como en el certificado digital entregado. Será responsabilidad del suscriptor el uso indebido que éste o terceros hagan del mismo. Utilizar la clave privada y el certificado digital para firmar mensajes de datos, explicando a las partes confiantes bajo que calidad se esta firmando (ya sea como persona natural o como persona natural vinculada a una cualidad determinada al momento de la emisión del certificado digital), siempre y cuando el sistema de información de la parte confiante no verifique la cualidad en la que este actuando el suscriptor. El mensaje de datos o documento electrónico que el suscriptor firma con su certificado digital, será el que determinará el contexto de la calidad en la que firma el suscriptor, y si éste esta utilizando o no la cualidad asociada al certificado digital (si aplica). Responder por la custodia de la clave privada y de su soporte físico (si aplica) evitando su pérdida, revelación, modificación o uso no autorizado. Especialmente, el suscriptor deberá abstenerse, sin importar la circunstancia, de anotar en el soporte físico del certificado digital el código de activación o las claves privadas, ni tampoco en cualquier otro documento que el suscriptor conserve o transporte consigo o con el soporte físico. Solicitar la revocación del certificado digital que le ha sido entregado cuando se cumpla alguno de los supuestos previstos para la revocación de los certificados digitales. Abstenerse en toda circunstancia de revelar la clave privada o el código de activación del certificado digital, así como abstenerse de delegar su uso a terceras personas. Asegurarse de que toda la información contenida en el certificado digital es cierta y notificar inmediatamente a Certicámara en caso de que se haya incluido cualquier información incorrecta o inexacta o en caso de que por alguna circunstancia posterior la información del certificado digital no corresponda • • • • • • con la realidad. Asimismo, deberá comunicar de manera inmediata el cambio o variación que haya sufrido cualquiera de los datos que aportó para adquirir el certificado digital, aunque éstos no estuvieran incluidos en el propio certificado digital. Informar inmediatamente a Certicámara acerca de cualquier situación que pueda afectar la confiabilidad del certificado digital, e iniciar el procedimiento de revocación del certificado digital cuando sea necesario. Especialmente, deberá notificar de inmediato la pérdida, robo o falsificación del soporte físico y cualquier intento de realizar estos actos sobre el mismo, así como el conocimiento por otras personas del código de activación o de las claves privadas, solicitando la revocación del certificado digital de conformidad con el procedimiento que se establece en la Declaración de Prácticas de Certificación. Destruir el soporte físico cuando así lo exija Certicámara, cuando haya sido sustituido por otro con los mismos fines o cuando termine el periodo de vigencia del certificado digital, siguiendo en todo caso las instrucciones de Certicámara. Devolver el soporte físico del certificado digital cuando así lo exija Certicámara. Respetar los derechos de propiedad industrial e intelectual de Certicámara y de terceras personas en la solicitud y en el uso de los certificados digitales. Certicámara no incluirá información en el certificado digital cuya inclusión pueda constituir de alguna forma la violación de los derechos de propiedad intelectual o industrial de Certicámara y de terceras personas. Cualquier otra que se derive de la ley, del contenido de esta Declaración de Prácticas de Certificación o de las Prácticas de Certificación. Abstenerse de monitorear, alterar, realizar ingeniería reversa o interferir en cualquier otra forma la prestación de servicios de certificación digital. EL SUSCRIPTOR PODRÁ UTILIZAR SU CERTIFICADO PARA: (I) IDENTIFICARSE COMO PERSONA NATURAL, O (II) ASOCIAR SU IDENTIFICACION PERSONAL A UNA CUALIDAD ESPECIFICA VERIFICADA POR CERTICÁMARA AL MOMENTO DE EMISIÓN DEL CERTIFICADO DIGITAL (SI APLICA). LA UTILIZACIÓN DEL CERTIFICADO DIGITAL EN UNO U OTRO CASO DEPENDERÁ DIRECTAMENTE DEL CONTEXTO EN EL QUE SE ESTE UTILIZANDO EL CERTIFICADO DIGITAL Y DE SI EL SISTEMA DE INFORMACION DE LA PARTE CONFIANTE PUEDE O NO VERIFICAR LA IDENTIFICACIÓN DEL SUSCRIPTOR. SERA EL DOCUMENTO ELECTRONICO O MENSAJE DE DATOS QUE EL SUSCRIPTOR FIRMA DIGITALMENTE, EL QUE OFRECERA EL CONTEXTO DENTRO DEL CUAL EL SUSCRIPTOR HACE USO DEL CERTIFICADO Y SI ESTE UTILIZA O NO LA CUALIDAD ASOCIADA AL CERTIFICADO DIGITAL. EN CASO DE QUE EL SISTEMA DE INFORMACION DE LA PARTE CONFIANTE NO PUEDA VERIFICAR LA IDENTIFICACION DEL SUSCRIPTOR Y/O NO LO PUEDA ASOCIAR O VINCULAR CON UNA CALIDAD ESPECIFICA, SERÁ EXCLUSIVA RESPONSABILIDAD DEL SUSCRIPTOR INFORMAR A LA PARTE CONFIANTE EN QUE CALIDAD O CONDICION SE UTILIZA EL CERTIFICADO DIGITAL. 1.9.3. Obligaciones de la parte confiante El Sistema de Certificación Digital de Certicámara comprende la utilización de un conjunto de elementos integrados en torno a la prestación de un servicio tanto a los suscriptores como aquellos que utilizan y confían en los certificados digitales emitidos por Certicámara. Cuando una tercera persona confía en un certificado digital, está aceptando utilizar dicho sistema en su integridad y por tanto acepta regirse por las normas establecidas para el mismo, las cuales se encuentran contenidas esencial pero no exclusivamente en esta Declaración de Prácticas de Certificación. Esa tercera persona se convierte en un interviniente del Sistema de Certificación Digital, en calidad de parte confiante, y por ello asume las obligaciones que se establecen a continuación: • • • Verificar la confiabilidad de la firma digital y del certificado digital, revisando especialmente que éste no se encuentre en la base de datos de certificados digitales revocados de Certicámara disponible en el sitio de Internet de Certicámara o en las oficinas de Certicámara. La confiabilidad de la firma digital y del certificado digital deberá en todo caso ceñirse a lo establecido en la sección de Confiabilidad de las firmas y los certificados digitales. Aceptar y reconocer a los certificados digitales solamente el uso que se permite darles de conformidad con lo establecido en la sección de Uso de los certificados digitales. Conocer con detenimiento y cumplir en todo momento con la Declaración de Prácticas de Certificación en la utilización de las firmas digitales y los certificados digitales de Certicámara. En especial la parte • • confiante deberá tener presente y actuar en todo momento de acuerdo a las limitaciones de responsabilidad y garantías que ofrece Certicámara. Informar a Certicámara de cualquier irregularidad o sospecha de la misma que se presente en la utilización del Sistema de Certificación Digital. Abstenerse de monitorear, alterar, realizar ingeniería reversa o interferir en cualquier otra forma la prestación de servicios de certificación digital. 1.10. Confiabilidad de las firmas y los certificados digitales. El Sistema de Certificación Digital de Certicámara es un sistema construido con base en el cumplimiento estricto de sus políticas y procedimientos. La confianza que genera en sus intervinientes depende en forma directa del cumplimiento de los mismos. Todos los intervinientes deberán prestar toda la colaboración a su alcance para la generación de la confianza propia del sistema de certificación digital, siguiendo en todo momento las políticas y procedimientos establecidos. 1.10.1. Confiabilidad de las firmas digitales La parte confiante, antes de poder confiar en una firma digital certificada por Certicámara, tiene el deber de seguir estrictamente las indicaciones que se especifican a continuación: 1. 2. 3. La parte confiante debe determinar la confiabilidad del certificado digital, conforme a lo estipulado en la sección siguiente. La parte confiante debe verificar que la firma digital se haya creado dentro del periodo de vigencia del certificado digital. La parte confiante deberá tener en cuenta todas las demás políticas y procedimientos que rigen la actividad de Certicámara y que se especifican en su Declaración de Prácticas de Certificación y en cada una de las Prácticas de Certificación emitidas para cada tipo de certificado digital. 1.10.2. Confiabilidad del certificado digital La parte confiante debe seguir las indicaciones que a continuación se enumeran si pretende confiar en un certificado digital emitido por Certicámara: 1. 2. 3. La parte confiante debe verificar que el certificado digital no haya expirado, de conformidad con la fecha de vigencia que figura en el mismo. La parte confiante debe verificar que el certificado digital no se encuentra en la base de datos de certificados digitales revocados de Certicámara que se encuentra publicada en el sitio de Internet de Certicámara. En todo caso, y sin ninguna excepción, está prohibido determinar el estado de revocación de un certificado digital con base en información distinta a la de la base de datos de certificados digitales revocados. La confiabilidad del certificado digital depende de que el mismo se encuentre firmado digitalmente por Certicámara. La parte confiante puede verificar la firma digital de Certicámara verificándola con el certificado raíz, que contiene la clave pública de Certicámara, el cual se encuentra disponible en el sitio de Internet de Certicámara. El uso de un certificado digital por cualquier interviniente en el Sistema de Certificación Digital está sujeto al seguimiento estricto de las normas contenidas en: (i) El contrato celebrado con cada suscriptor del servicio de certificación digital; y (ii) La presente Declaración de Prácticas de Certificación con relación a las firmas digitales emitidas mediante sus certificados digitales. La parte confiante deberá tenerlas en cuenta siempre que pretenda confiar en un certificado digital. 1.11. Responsabilidad de los intervinientes. 1.11.1. Responsabilidad de Certicámara Las obligaciones de Certicámara enumeradas en la sección de obligaciones de Certicámara son de medio y no de resultado. Ello significa que Certicámara utilizará su conocimiento y experiencia en la prestación del servicio de certificación digital, y responderá profesionalmente por la culpa leve en sus actuaciones como Entidad de Certificación Digital. Certicámara no puede garantizar que la actividad de certificación tenga un resultado determinado. Certicámara sólo responderá por aquellos errores que, ocurridos, hubieran podido evitarse por su diligencia profesional. Los daños producidos o relacionados con la no ejecución o ejecución defectuosa de las obligaciones a cargo del suscriptor, de la parte confiante o de ambos, correrán por cuenta de éstos, así como todo perjuicio que se ocasione por el uso indebido de los certificados digitales o las violaciones a sus limitaciones de uso establecidas en el mismo, en la sección de Uso de los certificados digitales o en cualquier otro documento que regule el Sistema de Certificación Digital. Certicámara no responderá por los perjuicios ocasionados por el incumplimiento de sus obligaciones por casos de fuerza mayor, caso fortuito o, en general, cualquier circunstancia sobre la que Certicámara no pueda tener un control razonable, incluyendo pero sin limitarse a los siguientes: los desastres naturales, las alteraciones de orden público, el corte de suministro eléctrico y/o telefónico, los virus informáticos, las deficiencias en los servicios de telecomunicaciones (Internet, canales de comunicación, etc.) o el compromiso de las claves asimétricas derivado del riesgo tecnológico imprevisible. Independientemente de la causa u origen de su responsabilidad, Certicámara fija como cuantía máxima para la indemnización de perjuicios por los daños ocasionados por certificado digital emitido, la suma de US$ 50.000. En consecuencia, Certicámara solo indemnizará hasta este valor a las personas perjudicadas por un certificado digital emitido por ésta, independientemente del número de veces que el mismo se haya utilizado o del número de perjudicados por dichos usos. En caso de que existan varios perjudicados, el monto máximo indemnizable se distribuirá a prorrata entre ellos. Si habiéndose distribuido la indemnización, surgieren nuevos perjudicados, estos deberán dirigirse contra las personas ya indemnizadas para efectos de obtener a prorrata su indemnización. Certicámara solo responderá por los perjuicios que se ocasionen por la utilización de los servicios de certificación digital dentro del año siguiente a la expiración o revocación del certificado digital. Para efectos de lo dispuesto en el artículo 16 del Decreto 1747 de 2.000, este periodo de un año se entenderá como aquel mediante el cual se establece la unicidad de la firma digital que se realiza mediante un par de claves respaldadas con un certificado digital de Certicámara. Certicámara no ofrece ningún tipo de garantía que no esté expresamente estipulada en esta Declaración de Prácticas de Certificación, ni responderá por evento que no esté expresamente contemplado en este acápite. En caso que las leyes aplicables al servicio de certificación digital establezcan la imposibilidad de limitar la responsabilidad en alguno de los aspectos aquí descritos o que se describen en esta Declaración de Prácticas de Certificación, se dará a estas cláusulas el mayor alcance que la ley permita darles en cuanto a la limitación de la responsabilidad de Certicámara. 1.11.2. Responsabilidad del Suscriptor De conformidad con lo establecido en el artículo 40 de la ley 527 de 1.999, el suscriptor será responsable y se compromete a indemnizar a Certicámara y a las partes confiantes los daños y perjuicios que se ocasionen o puedan ocasionarse por el incumplimiento de cualquiera de sus obligaciones, asumiendo igualmente los gastos judiciales en que Certicámara pudiera incurrir por esta causa, incluyendo los costos de abogados. La custodia del soporte físico (tarjeta inteligente, token, disco duro, diskette u otro suministrado o no por Certicámara) del certificado digital es responsabilidad exclusiva del suscriptor. El suscriptor será el único responsable frente a las partes confiantes y a Certicámara por todos los perjuicios que se ocasionen por la falsedad inexactitud o insuficiencia de la información que entregue a Certicámara o a la Parte Confiante, independientemente de la causa por la cual haya entregado dicha información falsa, inexacta o insuficiente. El suscriptor asumirá los perjuicios que sufra como consecuencia de eventos de caso fortuito o fuerza mayor. En caso de que el sistema de información de la parte confiante no realice la verificación de manera automática, será exclusiva responsabilidad del suscriptor informar a la parte confiante sobre la condición o calidad en la que se esta utilizando el certificado digital, y por lo tanto Certicámara no tendrá frente a la parte confiante , ni frente a terceros deber alguno de información sobre la condición o calidad en la que el respectivo suscriptor esta utilizando el certificado digital, pues ella deriva directamente del contexto en el que este actuando éste. El suscriptor es el único responsable por las obligaciones que emanen de las operaciones o negocios jurídicos que se realicen con los certificados digitales, exonerando a Certicámara de toda responsabilidad por este concepto. 1.11.3. Responsabilidad de la parte confiante En todo caso, la parte confiante asumirá toda la responsabilidad y riesgos derivados de la aceptación de un certificado digital sin haber realizado previamente la verificación de su confiabilidad, o sin haber seguido los procedimientos establecidos en esta Declaración de Prácticas de Certificación, garantizando la plena indemnidad de Certicámara por dicho concepto. La parte confiante asumirá los perjuicios que sufra como consecuencia de eventos de caso fortuito o fuerza mayor. 2. Tarifas de expedición de certificados digitales Las tarifas de los certificados digitales que expide Certicámara están incorporadas en esta Declaración de Prácticas de Certificación y por lo tanto hacen parte integral de la misma. Las siguientes son las tarifas para los servicios que presta Certicámara, sin incluir IVA. 2.1. Tarifas de Expedición de Certificados Digitales: •Certificado de Representación de Empresa/Entidad: COL $ 640.000.oo •Certificado de Pertenencia a Empresa/Entidad: COL $540.000.oo •Certificado de Servidor Seguro: COL $1.000.000.oo •Certificado de Profesional Titulado: COL $540.000.oo •Certificado para Firma de Código: COL $1.750.000.oo •Certificado de VPN/Intranet: COL $1.260.000.oo •Certificado de Titular de Función Publica: COL $540.000.oo •Certificado de Persona Natural: COL $ 540.000.oo Tarifas por renovación de certificados digitales: •Certificado de Representación de Empresa/Entidad: COL $ 640.000.oo •Certificado de Pertenencia a Empresa/Entidad: COL $540.000.oo •Certificado de Servidor Seguro: COL $900.000.oo •Certificado de Profesional Titulado: COL $540.000.oo •Certificado para Firma de Código: COL $1.750.000.oo •Certificado de VPN/Intranet: COL $1.260.000.oo •Certificado de Titular de Función Publica: COL $540.000.oo •Certificado de Persona Natural: COL $ 540.000.oo Los anteriores valores constituyen el precio unitario base de los certificados digitales. Estos valores pueden variar según acuerdos especiales a los que se llegue con los solicitantes o campañas promocionales adelantadas por Certicámara. Bajo ninguna circunstancia habrá lugar a reembolso, pues los servicios de Certicámara se facturan por la sola verificación de los datos de la persona que desea adquirir el servicio. 3. Procedimiento de expedición de los certificados digitales A continuación se especifican las políticas generales que Certicámara utiliza para la expedición de los certificados digitales. Las particularidades de cada uno de ellos se especifican en las respectivas Prácticas de Certificación de cada certificado digital. 3.1. Entidades de registro Certicámara se reserva el derecho de utilizar a terceras personas, denominadas en esta Declaración de Prácticas de Certificación Entidades de Registro, para el procedimiento de verificación de identidad de los solicitantes, así como para cumplir con cualquiera de las demás actividades de Certicámara que se enuncian en este documento. Las Entidades de Registro hacen parte del sistema de certificación digital de Certicámara. Certicámara ha establecido los más estrictos estándares de seguridad para el funcionamiento de las Entidades de Registro. Todas ellas están en la obligación de aceptar someterse estrictamente a las instrucciones de Certicámara. Certicámara está facultada para exigir a las Entidades de Registro la realización de una o varias auditorias en las que Certicámara pueda comprobar el cumplimiento de las políticas que Certicámara ha impuesto para su funcionamiento. Para iniciar sus actividades como Entidad de Registro deben suscribir un contrato o convenio con Certicámara en el que se comprometen a cumplir con todas las obligaciones propias del sistema de certificación digital de Certicámara. Además de esto Certicámara emite instrucciones permanentes a todas sus Entidades de Registro para el ejercicio de sus actividades. Las comunicaciones que Certicámara sostiene con sus Entidades de Registro relacionadas con el proceso de pedido de certificados digitales se realiza a través de correo certificado y/o medios de comunicación electrónica o física seguros. Adicionalmente, Certicámara se reserva el derecho a realizar auditorias permanentes sobre la actividad de sus Entidades de Registro, en las que constata que las políticas impuestas sean cumplidas estrictamente. Certicámara responde frente a sus suscriptores y las partes confiantes por las actividades de las Entidades de Registro. 3.2. Solicitud de Certificados Digitales El procedimiento de expedición de un certificado digital se inicia con la solicitud que hace cualquier persona para que le sean prestados los servicios de certificación digital. Los trámites de solicitud de cada uno de los certificados digitales que Certicámara ofrece se regirán por las Prácticas de Certificación de cada uno de ellos, sin perjuicio de la aplicación de las siguientes reglas generales: • Todo solicitante deberá diligenciar en primer lugar el formulario de solicitud de prestación de servicios de certificación digital correspondiente al certificado digital que desea le sea expedido. Los requisitos que debe cumplir todo solicitante, así como los formularios que debe diligenciar para cada uno de los • certificados digitales, se encuentran disponibles en las Prácticas de Certificación de cada certificado digital. El formulario de solicitud de prestación de servicios de certificación digital está disponible en la siguiente dirección electrónica: www.Certicámara.com., en las oficinas de Certicámara, o en las oficinas de cualquiera de las Entidades de Registro o de Certicámara. El solicitante deberá llenar este formulario de solicitud manifestando su consentimiento a obtener los servicios de Certicámara, así como a ser registrados como solicitante y de ser el caso como suscriptor en la base de datos de ésta. Todo Solicitante deberá proporcionar a la Entidad de Registro una dirección de correo electrónico válida y vigente, la cual deberá ser diligenciada en el espacio correspondiente del formulario de solicitud de prestación de servicios de certificación digital. LOS CONTACTOS Y COMUNICACIONES QUE SE REALICEN POR MEDIO DE CORREO ELECTRÓNICO ENTRE CERTICÁMARA Y EL SUSCRIPTOR, SE HARÁN A TRAVÉS DE LA DIRECCIÓN DE CORREO ELECTRÓNICO SUMINISTRADA POR EL SUSCRIPTOR EN EL FORMULARIO DE SOLICITUD DE PRESTACIÓN DE SERVICIOS DE CERTIFICACIÓN DIGITAL. EL SUSCRIPTOR SERÁ RESPONSABLE DE LA VALIDEZ Y VIGENCIA DE LA CUENTA DE CORREO ELECTRÓNICO SUMINISTRADA A CERTICÁMARA, PARA LA CORRECTA RECEPCIÓN DE INFORMACION Y COMUNICACIONES. Todo solicitante deberá allegar, junto con el formulario de prestación de servicios de certificación digital del certificado digital respectivo, una fotocopia de su cédula de ciudadanía o documento equivalente. • Certicámara se reserva el derecho de solicitar documentos adicionales a los anteriormente señalados o fotocopias de los mismos cuando así lo considere necesario para verificar la identidad o cualquier calidad del solicitante, así como de exonerar de la presentación de cualquiera de ellos cuando la identidad del solicitante haya sido suficientemente verificada por Certicámara por otros medios. Certicámara se reserva el derecho de exigir que las fotocopias de los documentos solicitados sean auténticas. Sin limitarse a ellos, Certicámara podrá exigir adicionalmente: • • • • • • • • • • • • • • • • • Referencias comerciales de la empresa. Referencias personales del solicitante. Certificados laborales. Certificaciones bancarias. Licencia de conducción válida. Certificado Judicial. Pasaporte vigente. Libreta militar. Documento de afiliación al Régimen de Seguridad Social en Salud. Documento de afiliación a la empresa Administradora de Riesgos Profesionales. Acta de Nombramiento y/o Posesión. Certificaciones de Autoridades de Inspección, Vigilancia y Control. El solicitante proporcionará a la Entidad de Registro toda la información que ésta necesite, bien para registrar al solicitante como suscriptor, o con la finalidad de incluirla en el certificado digital, de acuerdo con los requisitos establecidos en esta Declaración de Prácticas de Certificación. La solicitud de un servicio de certificación digital puede radicarse en cualquiera de las Entidades de Registro que Certicámara posee para la prestación del servicio, o puede efectuarse a través de los canales electrónicos o físicos que para el efecto disponga Certicámara. El procedimiento de generación de las claves privadas y de las claves públicas deberá hacerse por la persona natural a quien se le expide el certificado digital o por el tercero idóneo que, para tal efecto, haya designado Certicámara. Dicho tercero deberá cumplir con los más estrictos estándares de seguridad, deberá ceñirse a los procedimientos e instrucciones de Certicámara y se someterá a permanentes auditorias sobre esa actividad. El formulario de prestación de servicios de certificación digital y los documentos que deben presentarse para la expedición del mismo podrán ser entregados personalmente por el solicitante o podrán ser remitidos a través de correo certificado o mensajero particular, cumpliendo en todo caso con los requisitos exigidos en las Prácticas de Certificación del certificado digital a emitir. Certicámara podrá aceptar documentos equivalentes a los inicialmente solicitados en aquellos casos en los que los solicitados no apliquen al solicitante. • • Certicámara se reserva el derecho de exigir requisitos adicionales a los estipulados en cada una de las Prácticas de Certificación, cuando así lo considere necesario para la verificación de la identidad de las personas o para un adecuado cumplimiento de los servicios de certificación digital. Certicámara se reserva el derecho de negar la expedición de un certificado digital a un solicitante, a su propia discreción, por lo que no podrá exigírsele responsabilidad alguna por este motivo. 3.3. Verificación de los Datos Entregados por el Solicitante Recibida la solicitud, Certicámara procederá, directamente o a través de sus Entidades de Registro, a la verificación de los datos entregados por el solicitante. Esta verificación se regirá por las siguientes reglas: • La Entidad de Registro verificará, a través de recursos propios y/o de terceras personas: a. El correcto diligenciamiento de todos los campos del formulario de solicitud de servicios de certificación digital. b. La recepción de todos los documentos solicitados. c. La información y datos adicionales que se especifiquen en la Declaración de Prácticas de Certificación. El suscriptor conoce y acepta que Certicámara se reserva el derecho, pero no tiene la obligación, de investigar todos los hechos y datos que el suscriptor le informa, hasta donde lo permitan las leyes vigentes. El suscriptor colaborará en todo aquello que esté a su alcance para la corroboración de los datos que ha suministrado a Certicámara. Las verificaciones podrán ser efectuadas con anterioridad o aun con posterioridad a la emisión de un certificado digital solicitado. • El suscriptor acepta que estas medidas pueden incluir, sin limitarse a ellas, las siguientes: - Entrevistas con el solicitante del certificado digital y con los empleados de la empresa que estime convenientes. - Revisión de los libros, documentos o archivos pertinentes. - Inspección personal de las instalaciones de la empresa. - Cruces de bases de datos con otras entidades. - Verificación de las referencias entregadas por el solicitante. • Certicámara no puede garantizar que estos procedimientos de verificación tomen un tiempo determinado. Sin embargo, procurará que la verificación sea realizada dentro de un tiempo razonable a la entrega de la documentación por parte del solicitante. • Verificados estos datos, la Entidad de Registro procederá a darle trámite a la solicitud, enviándola a Certicámara. • Certicámara sólo incluirá en el certificado digital los nombres verdaderos de los solicitantes y de todas las personas que se incluyen en el certificado digital. Certicámara no permite el uso en sus certificados digitales de seudónimos, apodos o cualquier otro tipo de palabra que se considere usualmente que pueda identificar a una persona. Tan sólo tendrá en cuenta y solo verificará el nombre de la persona reconocido como tal por la legislación colombiana o del país de origen del solicitante. Se considera que el nombre dado por el solicitante tiene significado siempre y cuando su asignación cumpla con los requisitos impuestos por la normatividad vigente. • Certicámara verifica el nombre de los solicitantes, personas naturales a través de los documentos oficiales que expide el Gobierno Nacional de Colombia para el efecto. • Si el nombre del solicitante coincide exactamente con el de un suscriptor de Certicámara, ésta expedirá el certificado digital al solicitante indicando el número y tipo de su documento de identidad a fin diferenciar la identidad de cada uno. • Certicámara puede verificar los nombres de los solicitantes con bases de datos de terceras personas. • El solicitante y el suscriptor asumen la obligación de respetar en todo momento y circunstancia los derechos de propiedad intelectual e industrial de terceras personas. Certicámara no verifica que la información incluida en el certificado digital respete los derechos de propiedad intelectual o de terceras personas, y se tiene en este punto a lo que afirman el solicitante y el suscriptor. No obstante lo anterior, Certicámara se reserva el derecho de revocar cualquier certificado digital cuando considere que el mismo puede constituir una violación a las normas de propiedad intelectual de Colombia o de cualquier otro país del mundo. 3.4. Rechazo de la solicitud de certificado digital Si Certicámara decide rechazar la solicitud de expedición del certificado digital, lo notificará por escrito al solicitante, a la dirección física o electrónica que se haya indicado en el formulario de prestación de servicios de certificación digital, con indicación de los motivos que la justifican, si es del caso y así lo estima Certicámara. En caso de que los defectos encontrados sean subsanables, se le otorgará al solicitante del certificado digital un plazo de quince días hábiles para llevar a cabo la subsanación, transcurrido el cual la Entidad de Registro procederá a confirmar o a revocar por escrito su decisión de manera definitiva. 3.5. Generación de las claves pública y privada y aceptación del certificado digital por parte del suscriptor • • • • • • En caso de aceptarse la solicitud, Certicámara autorizará al tercero idóneo para que inicie el procedimiento de generación de claves pública y privada. Para el efecto, Certicámara suministrará los elementos necesarios al tercero idóneo. Para todos los efectos la solicitud y/o la firma del contrato de suscripción implicará la aceptación de la expedición del certificado digital por parte del suscriptor, la aceptación del contenido del mismo una vez haya sido expedido y de su publicación en el Registro de Certificados Emitidos. El solicitante emitirá esta aceptación en su propio nombre y, de ser el caso, en nombre y representación de la persona que vaya a ser vinculada por el certificado digital. Con posterioridad a la solicitud, Certicámara iniciará el procedimiento interno de creación del certificado digital. Certicámara utiliza el algoritmo RSA para la generación del par de claves (pública y privada) que van a ser certificadas. El módulo utilizado para la generación de las claves de los suscriptores se basa en software. Una vez generada la clave privada y creado el certificado digital correspondiente, Certicámara notificará a los suscriptores la emisión de sus certificados, a través de su operador logístico, quien coordinará una cita y los entregará personalmente al suscriptor, previa comprobación de su identidad. Certicámara también podrá generar este procedimiento por medios electrónicos, utilizando para ello una infraestructura segura en la descarga y entrega electrónica del certificado. No obstante lo dispuesto en el apartado anterior, Certicámara se reserva el derecho a negarse a emitir certificados digitales, a su propia discreción, valga decir, sin justificación alguna, por lo que no podrá exigírsele responsabilidad alguna por este motivo. La longitud de las claves de los suscriptores es de 1024 bits. El módulo generador de las claves de los suscriptores se basa en software. 3.6. Publicación del certificado digital • • • El Registro de Certificados Emitidos es una base de datos o repositorio de acceso público, que se maneja únicamente por personal autorizado y a partir de los ficheros de información generados por Certicámara para cada suscriptor. La incorporación del certificado digital en el soporte físico será realizada de conformidad con lo estipulado en el numeral anterior. Certicámara determinará las condiciones de seguridad o asegurabilidad que deba tener o con que deba tratarse el soporte físico para almacenar el certificado digital. Certicámara, de acuerdo con las condiciones seleccionadas por el solicitante, podrá suministrar o no el soporte físico. En caso de que existiera alguna diferencia entre los datos suministrados a Certicámara y el contenido del certificado digital, el suscriptor deberá comunicarlo de inmediato a Certicámara para que proceda a su revocación y a la emisión de un nuevo certificado digital, sin costo adicional para el suscriptor. • • • 4. Aceptando el certificado digital, el suscriptor confirma y asume la exactitud del contenido del mismo, con las consiguientes obligaciones que de ello se derivan frente a Certicámara o a cualquier parte confiante o persona que de buena fe confíe en el contenido del certificado digital. La entrega del certificado digital y la firma del contrato de suscripción al Sistema de Certificación Digital implicará la aceptación del certificado digital por parte del suscriptor. Certicámara publicará cada certificado digital, durante las 24 horas siguientes a su emisión. Uso de los certificados digitales El uso de los certificados digitales se basará en las siguientes reglas: 4.1. Reglas generales • • • • El suscriptor sólo puede dar a los certificados digitales los usos que se especifiquen en el contrato que suscriba con Certicámara de manera individual, o aquellos usos permitidos en esta Declaración de Prácticas de Certificación. El contrato celebrado con el suscriptor podrá limitar el alcance de los usos,en función del entorno dentro del cual se esta utilizando el certificado digital, o de las características especiales del proyecto que se esta desarrollando. Cualquier otro uso que se le dé se considerará una violación de esta Declaración de Prácticas de Certificación y constituirá una causal de revocación del certificado digital y de terminación del contrato con el suscriptor, sin perjuicio de las acciones penales o civiles a las que haya lugar. El suscriptor considera y acepta que los productos y servicios que se anuncian son tal y como se ofrecen individualmente, que los certificados digitales principalmente certifican la identidad de la persona natural que aparece como suscriptor del servicio, que no existe ningún tipo de información implícita que implique servicios o prestaciones adicionales a los expresamente mencionados y que la utilización de los mismos es de su exclusiva responsabilidad. El uso del certificado digital y los mensajes de datos que se firmen digitalmente con él, incluyendo transacciones electrónicas monetarias, sin importar su monto, son TOTAL responsabilidad del correspondiente suscriptor y, por lo tanto, Certicámara no tiene responsabilidad alguna sobre la verificación o fe pública de los mensajes de datos firmados, pues no conoce ni tiene obligación legal de conocer los mensajes firmados digitalmente o el monto de las transacciones que se efectúen con el certificado digital en sistemas de transacciones electrónicas de terceros. En general, Certicámara como entidad de Certificación Digital Abierta y Tercero de Confianza no compromete su responsabilidad en el uso que realice el suscriptor de los certificados y firmas digitales, por lo tanto no se tienen límites financieros aplicables en este sentido. Toda parte confiante del certificado digital deberá: -Verificar la confiabilidad de la firma digital del suscriptor, así como la de Certicámara y cualquiera otra que figure en los certificados digitales, según lo establecido en esta Declaración de Prácticas de Certificación. - Verificar que el certificado digital en el que se pretende confiar no se encuentra registrado en la base de datos de certificados digitales revocados que Certicámara tiene para el efecto, y que se encuentra publicada en el sitio de Internet de Certicámara. -Delimitar con precisión los datos que se encuentran firmados digitalmente en el mensaje que recibe. LA CLAVE PÚBLICA CONTENIDA EN UN CERTIFICADO DIGITAL ES UN RECURSO TÉCNICO QUE PUEDE UTILIZARSE COMO UN MEDIO PARA CIFRAR O ENCRIPTAR LOS MENSAJES DE DATOS QUE SE ENVÍAN, DE TAL MANERA QUE ÚNICAMENTE EL TENEDOR DE LA CLAVE PRIVADA PUEDE DESENCRIPTAR DICHO MENSAJE Y ACCEDER A DICHA INFORMACIÓN. SI LA CLAVE PRIVADA SE PIERDE O SE DESTRUYE, LA INFORMACIÓN QUE HAYA SIDO ENCRIPTADA CON LA CLAVE PÚBLICA NO PODRÁ SER DESCIFRADA. EL SUSCRIPTOR Y LA PARTE CONFIANTE RECONOCEN Y ACEPTAN QUE LA UTILIZACIÓN DE LA CLAVE PÚBLICA DEL SUSCRIPTOR PARA ENCRIPTAR DOCUMENTOS ES SU EXCLUSIVA RESPONSABILIDAD, Y QUE PERDERÁN TODA LA INFORMACIÓN QUE SE ENCUENTRE ENCRIPTADA SI LA CLAVE PRIVADA SE PIERDE O DESTRUYE. CERTICÁMARA NO ASUME NINGUNA RESPONSABILIDAD POR ESTE CONCEPTO. • • • Si durante el periodo de vigencia parte o toda la información contenida en el certificado digital pierde actualidad o validez, el suscriptor deberá iniciar el procedimiento de revocación del mismo de conformidad con lo establecido en la sección de Revocación de certificados digitales de esta Declaración de Prácticas de Certificación. Los certificados digitales deberán utilizarse tal y como son suministrados por Certicámara. Se encuentra terminantemente prohibida cualquier alteración de los mismos, sin excepción alguna. Los certificados digitales pueden ser utilizados con los siguientes propósitos: 1. 2. 3. 4. • Identificación: El suscriptor del certificado digital puede identificarse como persona natural y adicionalmente puede vincularlo con una cualidad o condición que la entidad de certificación verifica al momento de emitir el certificado digital, demostrando el acceso a la clave privada asociada con la clave pública que se incluye en el certificado digital. Integridad: El uso de la Infraestructura de Clave Pública le permite comprobar a una parte confiante que un mensaje de datos recibido no ha sido alterado entre el envío y la recepción del mismo ni en ningún otro momento. Confidencialidad: La clave pública del suscriptor puede ser usada para cifrar todos los documentos que se le envían, impidiendo que terceras personas tengan acceso a las comunicaciones que se transmiten a través de comunicaciones electrónicas abiertas. LA UTILIZACIÓN DE LA CLAVE PÚBLICA POR PARTE DEL SUSCRIPTOR PARA ENCRIPTAR LA INFORMACIÓN DEBERÁ EN TODO CASO AJUSTARSE A LAS PRESCRIPCIONES LEGALES COLOMBIANAS O DE CUALQUIER OTRO PAÍS DEL MUNDO EN DONDE SE UTILICE EL SISTEMA DE CERTIFICACIÓN DIGITAL EN MATERIA DE TECNOLOGÍAS DE ENCRIPCIÓN DE INFORMACIÓN. A pesar de ser posible su utilización para el cifrado de datos, Certicámara no se responsabiliza por esta actividad, debido a que, por motivos de seguridad, la entidad de certificación no guarda copia de la clave privada del Suscriptor. No se garantiza, por tanto, la recuperación de los datos cifrados en caso de pérdida de la clave privada por parte del Suscriptor, el Suscriptor o el Tercero que confía lo hará, en todo caso, bajo su propia responsabilidad. No repudio: La persona que recibe un mensaje de datos firmado digitalmente y respaldado por un certificado digital permite que, cumplidos todos los requisitos de procedimiento del Sistema de Certificación Digital, el suscriptor no pueda negar el envío de dicho mensaje de datos. El uso y adecuación de los certificados digitales a las necesidades del suscriptor le corresponde de manera exclusiva a éste, respecto de lo cual Certicámara no asume responsabilidad alguna. En ese orden de ideas si de la utilización del certificado digital se desprende algún deber de información a las partes confiantes, éste deber es exclusiva responsabilidad del suscriptor. 4.2. Usos prohibidos • • • Los certificados digitales no podrán ser utilizados por ninguna persona y bajo ninguna circunstancia para fines o en operaciones ilícitas bajo cualquier régimen legal del mundo, particular pero no exclusivamente aquellas que requieren de una autorización estatal para ser realizadas. Se encuentra terminantemente prohibido cualquier uso de los certificados digitales que resulte contrario a la legislación colombiana, a los convenios internacionales suscritos por el estado colombiano, a las normas supranacionales, a las buenas costumbres, a las sanas prácticas comerciales, y a todas las normas contenidas en esta Declaración de prácticas de certificación, en las Prácticas de Certificación y en los contratos que se firmen entre Certicámara y el Suscriptor. Se encuentra prohibido el uso de los certificados digitales y del Sistema de Certificación Digital como sistema de control para actividades de alto riesgo o para sistemas a prueba de error, dentro de los que se incluyen pero sin limitarse a los siguientes: - Sistemas de navegación de transporte terrestre, aéreo o marítimo. - Sistemas de control de tráfico aéreo. - Sistemas de control de armas. • • Los certificados digitales no podrán utilizarse en ningún sistema cuyo fallo pueda ocasionar la muerte o lesión de personas, u ocasionar un serio perjuicio al medio ambiente. El soporte físico del certificado digital suministrado por Certicámara (si aplica) solo puede ser utilizado dentro del contexto del Sistema de Certificación Digital. No podrá incorporarse en el soporte físico suministrado por Certicámara información diferente a aquella expresamente autorizada por Certicámara, ni usarse por fuera del Sistema de Certificación Digital 5. Revocación de certificados digitales La revocación de un certificado digital es el mecanismo por el que se da por terminado su periodo de confiabilidad en forma anticipada al presentarse alguna de las causas establecidas en la presente Declaración de Prácticas de Certificación, originando la pérdida de confianza en el mismo. 5.1. Supuestos de revocación 5.1.1. Revocación voluntaria del suscriptor. El suscriptor podrá voluntariamente solicitar a Certicámara la revocación del certificado digital emitido, en cuyo caso Certicámara iniciará el procedimiento de revocación del certificado digital. 5.1.2. Otros supuestos de revocación Certicámara revocará el certificado digital respecto del cual tenga conocimiento de que se ha producido alguno de los siguientes hechos: • • • • • • • • • • • • • • • Compromiso de la clave privada del suscriptor por cualquier motivo o circunstancia. La clave privada ha sido expuesta o corre peligro de que se le dé un uso indebido. Por muerte o incapacidad sobrevenida del suscriptor. Por liquidación de la persona jurídica representada que consta en el certificado digital Por la confirmación de que alguna información o hecho contenido en el certificado digital es falso, así como la ocurrencia de hechos nuevos que provoquen que los datos originales no se adecuen a la realidad. Por el compromiso de la clave privada de Certicámara o de su sistema de seguridad de manera tal que afecte la confiabilidad del certificado digital, por cualquier circunstancia, incluyendo las fortuitas. Por el cese de actividades de Certicámara, salvo que los certificados digitales expedidos sean transferidos a otra Entidad de Certificación. Por orden judicial o de entidad administrativa competente. Pérdida, inutilización o compromiso de la seguridad del soporte físico del certificado digital que haya sido debidamente notificada a Certicámara. Por la terminación del contrato de suscripción, de conformidad con las causales establecidas en el contrato y en esta Declaración de Prácticas de Certificación. Por cualquier causa que razonablemente induzca a creer que el servicio de certificación haya sido comprometido hasta el punto que se ponga en duda la confiabilidad del certificado digital. El manejo indebido por parte del suscriptor del certificado digital. Por el incumplimiento del suscriptor o de la persona jurídica que representa o a la que está vinculado a través del Contrato del servicio de Certificación Digital proporcionado por Certicámara. Por reporte de cartera vencida ocasionado por el pago no efectuado de los servicios que le esta proporcionando Certicámara al suscriptor o a la persona jurídica que representa. Por la concurrencia de cualquier otra causa especificada en la presente Declaración de Prácticas de Certificación o en las correspondientes Prácticas de Certificación establecidas para cada tipo de certificado digital. CERTICÁMARA NO TIENE DEBER ALGUNO DE INVESTIGACIÓN O REVISIÓN DE LA OCURRENCIA DE CUALQUIERA DE LAS CAUSALES DE REVOCACIÓN ESTABLECIDAS EN ESTE APARTADO. CERTICÁMARA INICIARÁ EL PROCEDIMIENTO DE REVOCACIÓN DE CERTIFICADOS DIGITALES TAN SOLO UNA VEZ TENGA NOTICIA DE LA OCURRENCIA DE CUALQUIERA DE ELLAS. EL SUSCRIPTOR Y LA PARTE CONFIANTE TIENEN LA OBLIGACIÓN DE INICIAR EL PROCEDIMIENTO DE REVOCACIÓN DEL CERTIFICADO DIGITAL TAN PRONTO COMO TENGAN CONOCIMIENTO DE LA EXISTENCIA DE ALGUNO DE ESTOS SUPUESTOS. EL INCUMPLIMIENTO DE ESTA OBLIGACIÓN LOS HACE RESPONSABLES DE LOS PERJUICIOS OCASIONADOS POR ESTA OMISIÓN. 5.2. Efectos de la revocación El efecto de la revocación del certificado digital es la pérdida de confiabilidad del mismo, originando el cese permanente de la operatividad del certificado digital conforme a los usos que le son propios y, en consecuencia, de la prestación de los servicios de certificación digital. Se prohíbe el uso del certificado digital, del soporte físico del certificado digital, o de cualquier otro bien o servicio que Certicámara haya proporcionado al suscriptor, una vez haya sido revocado el certificado digital. La revocación del certificado digital por causa imputable a Certicámara originará la emisión de un nuevo certificado digital a favor del suscriptor por el plazo equivalente al restante para concluir el período originario de validez del certificado digital revocado, asumiendo Certicámara el costo implícito en la nueva emisión. En los demás casos el costo del nuevo certificado digital será asumido por el suscriptor. Una vez cumplido el procedimiento de revocación, el certificado digital será publicado en la base de datos de certificados digitales revocados, para notificar a las partes confiantes que dicho certificado digital ha sido revocado. 5.3. Procedimiento de revocación 5.3.1. Legitimación activa El suscriptor o cualquier tercero que tenga conocimiento de la existencia de alguna de las causales que dan lugar a la revocación, podrá informársela a Certicámara para que la evalúe y proceda de conformidad con el procedimiento establecido. El tercero que inicie un procedimiento de revocación de certificados digitales será el único responsable de los perjuicios que produzca dicha revocación al suscriptor y a terceros de buena fe. En todo caso, Certicámara podrá iniciar de oficio el procedimiento de revocación de certificados digitales, en cualquiera de los casos previstos en el apartado anterior. Las autoridades judiciales o administrativas podrán, en aquellos supuestos contemplados en la ley, ordenar a Certicámara la revocación de cualquier certificado digital. 5.3.2. Recepción de solicitudes de Revocación • • La solicitud de revocación de certificados digitales podrá hacerse telefónicamente llamando a cualquiera de los números que Certicámara ha destinado para el efecto, los cuales se pueden consultar en la sección de Revocación de Certificados Digitales en www.Certicámara.com. Si la persona que expone una causal que da lugar a la revocación del certificado digital no es el suscriptor o en caso de ser este último no puede identificarse satisfactoriamente, o no pueden comprobar de manera fehaciente la existencia de la causal de revocación, deberá dirigirse personalmente a cualquiera de las oficinas de Certicámara en horarios de oficina, con la prueba de la existencia de la causal de revocación respectiva, sin perjuicio de que Certicámara disponga de las medidas que Certicámara establezca para la seguridad del Sistema de Certificación Digital. • Las conversaciones telefónicas que se mantengan con el Call Center podrán ser grabadas y registradas por Certicámara con fines probatorios. 5.3.3. Revocación Si Certicámara lo considera necesario realizará, personalmente o por intermedio de terceras personas, las averiguaciones y gestiones pertinentes para comprobar la existencia de la causal de revocación que sea invocada. Dichas gestiones podrán incluir la comunicación directa con el suscriptor y la presencia física del tercero que invoca la causal de revocación. Si la causal es comprobada, Certicámara incorporará el certificado digital en la Base de datos de certificados digitales revocados como certificado digital revocado. De lo contrario, dará por terminado el proceso de revocación del certificado digital. Certicámara tiene un plazo máximo de 2 días hábiles para informar de la suspensión del servicio o de la revocación del certificado, de conformidad con la normatividad vigente. Si el suscriptor desea obtener un nuevo certificado digital, debe diligenciar nuevamente el formulario de prestación de servicios de certificación digital. Puede enviar dicho documento físicamente, a través de correo ordinario o digitalmente a través de correo electrónico, siempre y cuando este último vaya firmado digitalmente por el representante legal del solicitante. Certicámara verificará el formulario de prestación de servicios de certificación digital y, de encontrarlo ajustado a sus políticas de certificación, realizará el mismo procedimiento de creación de claves realizado para la expedición inicial del certificado digital, de conformidad con lo dispuesto en los numerales 4.5 y 4.2 de este documento. 5.3.4. Comunicación y Publicación de la revocación La decisión de revocar el certificado digital será comunicada por Certicámara al suscriptor mediante correo electrónico o a través del medio que encuentre conveniente para el efecto. Certicámara notificará a las Entidades de Registro, a través de correo electrónico o cualquier otro medio que estime conveniente, la lista de Certificados digitales revocados sobre los cuales haya recibido solicitud de revocación. La revocación del certificado digital comenzará a producir efectos a partir de su publicación por parte de Certicámara en la base de datos de certificados digitales revocados, salvo que la causa de revocación sea el cese de actividades de Certicámara, en cuyo caso, la pérdida de eficacia tendrá lugar desde que esa circunstancia se produzca. 6. Base de datos de certificados digitales revocados Certicámara publica en su sitio Web una lista de certificados revocados conocida como CRL (por sus siglas en Ingles – Certificate Revocation List). En la CRL se incluyen los números seriales de todos los certificados digitales vigentes revocados por Certicámara hasta la fecha indicada en la lista. La CRL publicada por Certicámara puede ser consultada de manera permanente en las siguientes direcciones: 1. http://www.certicamara.com/certs/certicamara.crl. La CRL publicada es esta URL podrá ser consultada por todos los sistemas y partes confiantes que deseen obtener información sobre el estado de revocación empleando el Punto de Distribución de CRL – CDP – (por sus siglas en inglés, CRL Distribution Point) especificado en los certificados digitales emitidos por Certicámara. 2. http://www.certicamara.com/certs/crl/certicamara.crl. La CRL publicada en esta URL podrá ser consultada por todos los sistemas y partes confiantes que deseen consultar la información de estado de revocación y se encuentren en capacidad de procesar la extensión Issuing Distribution Point marcada como extensión crítica del estándar X.509 V2. Las dos versiones de CRL publicadas por Certicámara son idénticas, poseen el mismo período de validez (fecha efectiva y próxima actualización) y la misma información de lista de revocaciones. Las dos versiones de CRL son igualmente funcionales y válidas para efectuar la consulta de estado de revocación de los certificados digitales emitidos por Certicámara. En caso que por solicitud formal de un suscriptor, o por aviso, noticia o informe excepcional, Certicámara proceda a revocar uno o varios certificados digitales, la publicación de tales revocaciones se efectuará durante las 24 horas siguientes al instante en que la solicitud, el aviso, noticia o informe excepcional sean confirmados por parte de Certicámara. Certicámara, una vez reciba la solicitud formal del suscriptor, el aviso, noticia o informe excepcional, procederá de manera inmediata a hacerla efectiva sin tener en cuenta una notificación posterior contraria, previa confirmación o investigación de los hechos o circunstancias que puedan conducir a la revocación de un certificado digital. La CRL generada por Certicámara tiene una vigencia de tres (3) días. Certicámara actualiza y publica la CRL cada vez que un certificado es revocado o antes del vencimiento de la vigencia de la lista si no se presentan solicitudes de revocación. Los siguientes son los campos de la lista de revocación de certificados digitales (CRL): CAMPO Versión Emisor Fecha Efectiva Próxima Actualización Algoritmo de Firma Número de CRL (2.5.29.20) Identificador de la Clave de Entidad Emisora Punto de Distribución de la CRL (2.5.29.28) DESCRIPCIÓN Versión de la Lista Entidad de Certificación Emisora Fecha de publicación de la CRL Vigencia de la lista Algoritmo utilizado Extensión no crítica Extensión no crítica Extensión crítica Adicionalmente, Certicámara maneja una base de datos de certificados digitales revocados, en la que Certicámara informa igualmente a los suscriptores y partes confiantes los certificados digitales que se encuentran revocados en una fecha determinada. A diferencia de la CRL, esta base de datos se actualiza en forma inmediata. Esto quiere decir que cada vez que ocurre una nueva revocación que no se encuentra incorporada en la misma, se incorpora a la base de datos de certificados digitales revocados, que pasa a contener los datos de todos los certificados digitales revocados, y que es la que se considera vigente para efectos de determinar la confiabilidad del certificado digital. Cualquier persona puede acceder a la base de datos de certificados digitales revocados, la cual se encuentra disponible en la siguiente dirección: http://www.certicamara.com/certicamara.crl . La verificación que realizan las partes confiantes debe hacerse siempre con la base de datos de certificados digitales revocados, que se encuentra publicada en el sitio de Internet de Certicámara. La base de datos de certificados digitales revocados es pública, es manejada exclusivamente por personal autorizado a partir de la información que se genera en la prestación del servicio de certificación digital. La base de datos de certificados digitales revocados se encuentra disponible en www.Certicamara.com. Los certificados digitales revocados aparecerán como tales en la base de datos de certificados digitales revocados. Las listas antiguas de certificados digitales revocados CRL se mantendrán almacenadas en la base de datos del servidor de la autoridad de certificación y la copia de respaldo de esta base de datos será almacenada en medios ópticos (DVD/CD) que permitan su fácil y segura recuperación. Certicámara almacenará estas bases de datos contenedoras de las listas históricas en DVD/CD y los depositará para custodia en las oficinas de Certicamara, para su consulta hasta diez años posterior a la perdida de vigencia del certificado raíz de la autoridad de certificación. Cuando una persona o entidad requiere consultar una CRL antigua puede solicitar información a través de la Línea Universal: 01 900 331 9111 o enviar una comunicación con una dirección de correo electrónico a las siguientes direcciones: Dirección: Avenida Calle 26 No.68D-35 Piso 5 - Bogotá, Colombia. Dirección de correo electrónico: [email protected] Certicámara atenderá la solicitud enviando por correo electrónico la CRL requerida. Las partes confiantes de certificados digitales pueden consultar en cualquier momento el estado de un certificado digital determinado visitando el sitio de Internet de Certicámara y descargando el archivo de http://www.certicamara.com/certicamara.crl. 7. Terminación de la vigencia del certificado digital • • • • La vigencia de los certificados digitales terminará por el transcurso del período operacional del mismo, el cual se especifica en éste. La terminación de la vigencia del certificado digital producirá el cese permanente de su operatividad conforme a los usos que le son propios y, en consecuencia, de la prestación de los servicios de certificación digital. Cualquier uso que se haga del mismo se entiende una violación de la presente Declaración de Prácticas de Certificación y un uso indebido del Sistema de Certificación Digital. La terminación de la vigencia de un certificado digital impide el uso legítimo del mismo por parte del suscriptor, de las partes confiantes o de cualquier otra persona. Los certificados digitales expirados aparecerán como tales en la base de datos de certificados digitales emitidos durante un período mínimo de cinco años, a partir del cual se eliminará los datos del certificado digital definitivamente de la base de datos de certificados digitales emitidos y serán depositados en las oficinas de Certicámara durante un período adicional de diez años (10 años). 8. Renovación de certificados digitales • Certicámara notifica con al menos quince días calendario de anticipación a sus suscriptores la terminación de la vigencia de su certificado digital. Esta notificación puede realizarse por correo electrónico a la dirección de correo electrónico proporcionada por el suscriptor o por cualquier otro medio idóneo de comunicación cuando Certicámara lo considere pertinente. Aquellos suscriptores cuyo Certificado Digital se encuentren almacenados en dispositivo criptográfico, serán notificados adicionalmente por el software controlador del dispositivo, el cual le permitirá consultar su vigencia en cualquier momento. Sin embargo, no es obligación de Certicámara garantizar la efectividad de la notificación sobre la terminación de la vigencia de su certificado o confirmar la recepción de la misma, pues es una obligación del Suscriptor conocer la vigencia de su certificado digital y adelantar los trámites de renovación ante Certicámara con antelación al vencimiento de su certificado, teniendo en cuenta que esta solicitud deberá surtir el proceso de verificación de datos, conciliación de pago y aprobación por parte de Certicámara, proceso que Certicámara adelantará según lo establecido en los acuerdos de nivel de servicio establecidos con el suscriptor y dependiendo de la calidad y veracidad de la información proporcionada por el suscriptor. Es importante destacar, que Certicámara notificará a través del correo electrónico proporcionado por el Suscriptor, además del vencimiento del certificado digital, otros procesos o procedimientos como mantenimiento u otros, para lo cual se hace uso de la dirección de correo electrónico suministrada por el solicitante en el proceso de emisión del Certificado digital, dirección electrónica que será responsabilidad del suscriptor, y por lo tanto es obligación del suscriptor diligenciar correctamente dicha dirección en el formulario de solicitud del certificado digital, por primera vez y en su renovación. • Si el suscriptor desea renovar el certificado digital, debe diligenciar nuevamente el formulario de prestación de servicios de certificación digital. Puede enviar dicho documento físicamente o a través de correo ordinario o digitalmente a través de correo electrónico, siempre y cuando este último vaya firmado digitalmente por el representante legal del solicitante. • Certicámara verificará el formulario de prestación de servicios de certificación digital y, de encontrarlo ajustado a sus políticas de certificación, realizará el mismo procedimiento de creación de claves realizado para la expedición inicial del certificado digital, de conformidad con lo dispuesto en los numerales 4.5. y 4.2 de este documento. • Certicámara se reserva el derecho de solicitar información o documentos adicionales para confirmar la identidad o cualquier otra información suministrada por el suscriptor al momento de la renovación. Así mismo se reserva el derecho de verificar nuevamente la totalidad de la información presentada. • Certicámara se reserva el derecho de no renovar el certificado digital por las mismas razones expuestas para la expedición de los mismos. • El precio base de la renovación será el mismo que se encuentre vigente al momento de la solicitud de renovación, de acuerdo con las tarifas establecidas para el efecto. El precio de la renovación del certificado digital puede variar de acuerdo a las condiciones particulares de cada suscriptor. • Los demás aspectos de la renovación se regirán por lo establecido para la expedición de los certificados digitales. 9. Manejo de la información personal • • • • Con el fin de prestar adecuadamente los servicios de certificación digital, Certicámara crea con la información entregada por sus suscriptores una base de datos, la cual se encuentra bajo su control y responsabilidad. La utilización de Certicámara de dicha información se regirá estrictamente por las disposiciones legales en la materia y por los principios que a continuación se expresan. Toda la información que Certicámara recoge de sus suscriptores es de acceso restringido. El suscriptor reconoce y acepta la existencia de dicha base de datos Y AUTORIZA A CERTICÁMARA A: − REALIZAR TODAS LAS INVESTIGACIONES NECESARIAS PARA COMPROBAR LA VERACIDAD DE LA INFORMACIÓN SUMINISTRADA. − SUMINISTRAR DICHA INFORMACIÓN A TERCERAS PERSONAS CUANDO ELLO SEA NECESARIO PARA SU VERIFICACIÓN, COMO CONTRAPRESTACIÓN A UN SERVICIO DE VERIFICACIÓN Y PARA LA PRESTACIÓN DEL SERVICIO DE CERTIFICACIÓN DIGITAL. − UTILIZAR LA INFORMACIÓN POR ÉL ENTREGADA PARA LOS FINES ESTABLECIDOS EN ESTA DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN. De conformidad con la normatividad colombiana vigente, el suscriptor puede solicitar a Certicámara conocer y rectificar la información que sobre sí mismo conste en esta base de datos, así como cualquier otro derecho que sobre la misma se reconozca por la legislación colombiana. Certicámara establecerá el procedimiento adecuado para que el suscriptor pueda ejercer estos derechos. El suscriptor conoce y acepta que la modificación de la información que ha entregado a Certicámara puede eventualmente acarrear la revocación del certificado digital, sin que se genere a favor del suscriptor derecho alguno. 10. Características de los certificados digitales 10.1. Generalidades • • • • El certificado digital es un documento de carácter privado de conocimiento público, incorporado en un formato electrónico, por el que se certifica una correspondencia entre una clave pública y una persona determinada, y que tiene como propósito identificar a la persona que ha firmado digitalmente. No sustituye ningún documento exigido por la legislación colombiana ni ningún otro tipo de certificación prescrita en las mismas. El certificado digital certifica que una determinada persona acudió a Certicámara y afirmó tener una determinada identidad, que es aquella que figura en el certificado digital. Salvo expresa referencia en estas Declaración de Prácticas de Certificación, los certificados digitales podrán tener una validez de hasta 36 meses a partir de su fecha de expedición o renovación. El término de validez de los certificados digitales será fijado por Certicámara al momento de su expedición de acuerdo con la solicitud que presente el solicitante/suscriptor. Todos los certificados digitales emitidos por Certicámara corresponderán a la versión 3 del estándar X.509 10.2. Contenido del certificado digital raíz de Certicámara El certificado digital raíz de Certicámara contendrá, entre otros datos, los siguientes: 1. Nombre, dirección y domicilio de la Entidad de Certificación Autorizada. 2. La clave pública de la Entidad de Certificación Autorizada. 3. Algoritmo de firma utilizado por la Entidad de Certificación Autorizada 4. Uso de la clave. 5. El número de serie del certificado digital. 6. Fecha de emisión y expiración del certificado digital El Algoritmo de firma utilizado por Certicámara es RSA - SHA1. Los siguientes son los campos del certificado digital raíz de Certicámara: Número del campo 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 Nombre del campo Versión Número de serie Algoritmo de firma Emisor Válido desde Válido hasta Asunto Clave pública Identificador de clave de asunto Identificador de clave de entidad emisora Uso de la clave Nombre alternativo del sujeto Nombre alternativo del emisor Tipo de certificado Netscape Comentario de Netscape Puntos de distribución de CRL Descripción Indica la versión del estándar X.509 Número de serie del Certificado Algoritmo de firma utilizado por la CA Datos de la entidad de certificación que emite el certificado digital Fecha de expedición del certificado digital raíz Fecha de terminación de la vigencia del certificado digital raíz Datos de la Entidad Certificadora Clave pública de la Entidad de Certificación. Extensión no crítica de la versión 3 del X.509 Extensión no crítica de la versión 3 del X.509 Extensión no crítica de la versión 3 del X509 Extensión no crítica de la versión 3 del X.509 Extensión no crítica de la versión 3 del X.509 Extensión no crítica de la versión 3 del X.509 Extensión no crítica de la versión 3 de X.509. Dirección donde se publica la lista de revocación de Certificados CRL (Por sus siglas en inglés). 17 18 19 20 21 URL de revocación de entidad emisora de certificados de Netscape URL de revocación de Netscape Restricciones básicas Algoritmo de identificación Huella Digital Dirección donde se publica la lista de revocación de Certificados CRL (Por sus siglas en inglés). Dirección donde se publica la lista de revocación de Certificados CRL (Por sus siglas en inglés). Extensión crítica de la versión 3 de X.509. Algoritmo de firma utilizado por la CA Indica una propiedad asociada al certificado. 10.3. Contenido del certificado digital de Suscriptores Los certificados digitales de Certicámara contendrán, entre otros datos, los siguientes: 1. 2. 3. 4. 5. 6. 7. Nombre, dirección y domicilio del suscriptor. Identificación del suscriptor nombrado en el certificado digital El nombre, la dirección y el lugar donde realiza actividades Certicámara. La clave pública del suscriptor. La referencia a la base de datos de certificados digitales revocados. El número de serie del certificado digital. Fecha de emisión y expiración del certificado digital Los siguientes son los campos de un certificado digital de Certicámara: Número del campo 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 Nombre del campo Versión Número de serie Algoritmo de firma Emisor Válido desde Válido hasta Asunto / Subject Clave pública Nombre alternativo del emisor Uso mejorado de claves Netscape Certtype Netscape Revocation URL NetscapeCAPolicyURL Netscape comment Identificador de clave de asunto Identificador de clave de la entidad emisora Puntos de distribución de CRL Bases del Certificado Descripción Indica la versión del estándar X.509 Número de serie del Certificado Algoritmo de firma utilizado por la CA Datos de la entidad de certificación que emite el certificado digital Fecha de expedición del certificado digital Fecha de terminación de la vigencia del certificado digital Datos del suscriptor Clave pública del suscriptor. Dirección URL de la entidad de certificación Extensión no crítica de la versión 3 del X.509 Extensión no crítica de la versión 3 del X509 Extensión no crítica de la versión 3 del X.509 Dirección donde se publican las prácticas de certificación Descripción del tipo de certificado Extensión no crítica de la versión 3 de X.509. Extensión no crítica de la versión 3 de X.509. Dirección donde se publica la lista de revocación de Certificados CRL (Por sus siglas en inglés). La extensión de bases del certificado contiene una secuencia de unos o más términos de la información de la política, cada uno de los cuales consiste en un identificador del objeto (OID) y calificadores opcionales. Estos términos de la información de la política indican la política bajo la cual se ha publicado el certificado y los propósitos para los cuales el certificado puede ser utilizado. No se espera que los calificadores opcionales, que pueden estar presentes, cambien la definición de la política. Para 19 20 21 22 23 el caso de certicámara se especifica el Identificador de política=1.3.6.1.4.4308.10.50 Restricciones básicas La extensión de restricciones básicas identifica el tipo de de asunto de la CA y la profundidad de la ruta de certificación que puede existir a través de esta CA. Para el caso de la CA de Certicámara el valor de Path Length Constraint, tiene valor “Ninguno”, y el tipo es Entidad Final, por lo cual no se tiene una ruta de certificación. Uso de la Clave La extensión de uso de la clave define el propósito (por ejemplo: Firma Digital, No repudio, Cifrado) de la llave contenida en el certificado. Es una extensión crítica y la restricción del uso puede ser empleada cuando una llave que se podría utilizar para más de una operación debe ser restringida. Por ejemplo, cuando una llave de RSA se debe utilizar solamente para firmar, el valor de los bits del digitalSignature y/o del nonRepudiation sería verdadero. Así mismo, cuando una llave de RSA se debe utilizar solamente para el manejo de la llave, el valor del bit del keyEncipherment sería verdadero. Algoritmo de identificación Algoritmo de firma utilizado por la CA, para Certicámara es sha1 Huella Digital Indica una propiedad asociada al certificado. Acceso a la información de la La extensión de “Acceso a la información de la entidad emisora” entidad emisora indica cómo tener acceso a la información y a los servicios de la CA del emisor del certificado en el cual la extensión aparece. La información y los servicios pueden incluir datos en línea de los servicios de la validación y de la política de la CA relacionada. (La localización de CRLs no se especifica en esta extensión; esa información es proporcionada por la extensión de “Punto de distribución de la CRL”.) Esta extensión se puede o no incluir en entidades finales o certificados de la CA, esta extensión no es crítica. CAMPO: SUBJECT/ASUNTO: Corresponde a los datos del suscriptor suministrados en el Formulario de Solicitud de Certificados Digitales. SUBCAMPO E VALOR ASIGNADO E-mail del Suscriptor CN Nombre Completo del Suscriptor OU Unidad Organizacional o Departamento al cual pertenece el Suscriptor dentro de su Organización Regla Cumple con el estándar asignado para las direcciones de correo electrónico. Nombres y Apellidos Completos tal como figuran en el Formulario de Solicitud. Sin el uso de signos de puntuación. (Tildes, comas, guiones, comillas). Se escribe el nombre de la Unidad Organizacional que figura en el Formulario de Solicitud. Sin el uso de signos de puntuación. (Tildes, comas, guiones, comillas). Ejemplo [email protected] John Doe Revisoría Fiscal O Organización Nombre de la Organización que figura en el Formulario de Solicitud. Sin el uso de signos de puntuación. (Tildes, comas, guiones, comillas). L Ciudad y Departamento de Nombre de la Ciudad y domicilio Departamento entregados por el Suscriptor en el Formulario de Solicitud. C País de domicilio del Suscriptor Sigla del País T Cargo que ocupa el Suscriptor Nombre del Cargo dentro de la Organización suministrado por el Suscriptor en el Formulario de Solicitud. Sin el uso de signos de puntuación. (Tildes, comas, guiones, comillas). OID.1.3.6.1.4.1.47 Número de identificación del Cédula de Ciudadanía 10.1.3.1 Suscriptor suministrada por el Suscriptor en el Formulario de Solicitud. Sin el uso de signos de puntuación. (Tildes, comas, guiones, comillas) OID.1.3.6.1.4.1.47 Número de identificación de la Número de Identificación 10.1.3.2 Entidad del Suscriptor Tributaria – NIT de la Empresa suministrada por el Suscriptor en el Formulario de Solicitud. Sin el uso de signos de puntuación. (Tildes, comas, guiones, comillas) STREET Dirección y Teléfono del Datos de la dirección de Suscriptor domicilio empresarial y teléfono del Suscriptor, de acuerdo a lo suministrado en el Formulario de Solicitud. Acme Corp. Bogota / Cundinamarca CO Revisor Fiscal 17850000 8300333338 Avenida Calle 26 Nº 26 – 26 / 3030303 En el proceso de renovación de certificados, al igual que en el proceso de solicitud de Certificados Digitales, la información suministrada por el suscriptor es almacenada en el campo asunto del certificado, si en una renovación la información del suscriptor no ha cambiado esto generará un certificado duplicado en el campo asunto. Sin embargo, la probabilidad que para un certificado duplicado en el campo asunto se genere el mismo serial es supremamente baja. Por tanto, para Certicámara la información contenida en el campo de asunto junto con el número de serial permite identificar de manera única un certificado. En el remoto caso de generarse un certificado duplicado, primará el primer certificado generado siendo el segundo descartado y se procederá a generar uno nuevo. Para los certificados del tipo Servidor Seguro y Firma de código, se aplicará el campo de subject la siguiente especificación de sub campos SUBCAMPO C S L VALOR ASIGNADO País de domicilio del Suscriptor Ubicación – Departamento – Unidad Territorial Ciudad y Departamento de domicilio Regla Sigla del País Datos de la ubicación especifica. Ejemplo CO Cundinamarca Nombre de la Ciudad Bogota entregado por el Suscriptor en el archivo O Organización OU Unidad Organizacional o Departamento que fue especificado en el archivo de request. CN Nombre del dominio a certificar o la razón social de la empresa generadora del archivo de solicitud (request) de request Acme Corp. Nombre de la Organización que figura en el Formulario de Solicitud. Sin el uso de signos de puntuación. (Tildes, comas, guiones, comillas). Sistemas Se escribe el nombre de la Unidad Organizacional que figura en el Formulario de Solicitud. Sin el uso de signos de puntuación. (Tildes, comas, guiones, comillas). Nombre del dominio a www.acmecorp.com.co certificar o razón social de la empresa 11. Controles y procedimientos de seguridad Con el objeto de reforzar la seguridad técnica, lógica, física, de procedimientos y de capacitación del personal, Certicámara dispone de completos manuales de procedimiento interno que regulan las acciones de Certicámara en el caso de que se presenten eventos que comprometan la prestación del servicio de certificación digital. A continuación se describen brevemente los principales elementos de estas políticas y procedimientos: 11.1. Requerimientos básicos de seguridad Los requerimientos básicos de seguridad que ha de observar Certicámara son los siguientes: • • • • • • • • Toda la información que los suscriptores entregan a Certicámara es de acceso restringido y es manejada de acuerdo a estrictos procedimientos de acceso a la misma. La información es almacenada en recintos seguros y de acceso restringido. El módulo criptográfico utilizado para la generación de las claves de la CA es hardware/software que cumple con el estándar FIPS 140-2, nivel 3, adicionalmente este módulo se utilizó para la generación de los números aleatorios usados para crear el par de llaves. El módulo utilizado para la generación de las claves de los suscriptores se basa en software. Las claves de Certicámara están basadas en el algoritmo RSA cuya longitud es de 2048 bits. La clave privada de firma de Certicámara puede ser usada para firma de certificados digitales y Listas de Revocación de certificados digitales. Certicámara puede usar su clave privada para el cumplimiento de cualquiera de sus funciones, de acuerdo con los procedimientos que ha establecido para el efecto. El período de uso de la clave privada y la pública de Certicámara es de diez (10) años, periodo después del cual Certicámara la reemplazará siguiendo sus procedimientos internos. No obstante, Certicámara reemplazará sus claves para firma en cualquier momento en el que considere que la seguridad que proporcionan las mismas se ha visto disminuida significativamente o que existe algún riesgo para la seguridad del sistema de certificación digital. Todo el proceso de generación de las claves del suscriptor se hace en un ambiente controlado, diseñado especialmente para que ninguna persona tenga acceso a la clave privada de éste. El intercambio de datos entre la estación de trabajo central que genera los certificados digitales de Certicámara y el resto del mundo se realizará a través de mecanismos fuera de línea. Una copia de la información de Certicámara será archivada en instalaciones externas a Certicámara. • • • • • • • Todos los sistemas de información de Certicámara son monitoreados permanentemente y sus transacciones son almacenadas en logs, los cuales podrán ser utilizados por Certicámara como prueba de las operaciones realizadas con el suscriptor y las partes confiantes. Certicámara registra cada uno de los eventos (Audit Trails) en el momento que son producidos por el módulo utilizado para generar las claves. Certicámara establece y controla cada uno de los procedimientos utilizados por el tercero idóneo para la generación de las claves pública y privada. Mensualmente, el Administrador del sistema o el ingeniero de soporte y soluciones realizarán una revisión de los eventos y almacenarán los archivos de transacción. En caso de encontrar eventos clasificados como Error, reportarán al auditor interno y presentarán un plan de acción, con el objetivo de establecer un plan de corrección o mitigación del fallo. Como evidencia de la revisión se irá almacenando el archivo de transacción revisado, con el comentario de revisión respectivo. Los archivos de incidencias permanecen bajo custodia bajo los más altos estándares de seguridad. Certicámara dispone de todas las medidas de seguridad física y lógica requeridas y definidas en sus procedimientos internos que garantizan y controlan una transmisión segura de la llave pública del suscriptor, para que sea incorporada dentro del respectivo certificado digital. Certicámara custodia y administra los soportes físicos manteniendo un inventario de los mismos durante todo el ciclo de certificación y los almacena en el centro de cómputo bajo las más estrictas medidas de seguridad. Una vez emitido el certificado digital y almacenado en el soporte físico este podrá ser entregado al suscriptor a través de un operador logístico de confianza quien hace la entrega personalmente, previa identificación del suscriptor. 11.2. Seguridad en las instalaciones físicas • • • • • El ingreso a todas las instalaciones físicas que contienen información confidencial o equipos sensibles de Certicámara está restringido por un sistema de control de acceso físico de personal con dispositivos electrónicos, con el fin de que tan sólo personal autorizado pueda ingresar a las mismas. Las instalaciones físicas de Certicámara se encuentran permanentemente monitoreadas por personal de vigilancia debidamente calificado, a través de sistemas de circuito cerrado de televisión. Todos los recintos en los que se encuentra los equipos centrales de cómputo de Certicámara se encuentran protegidos por un sistema que vigila la integridad física de los mismos, mediante la detección de eventos como inundaciones, presencia de humo o movimientos no autorizados. Las instalaciones de energía y aire acondicionado se encuentran igualmente cubiertas por este sistema de seguridad. Certicámara tiene definida una política y dispositivos para la destrucción de documentos e informaciones. Certicámara tiene dispuestas diversas medidas de seguridad para proteger la documentación donde constan sus procedimientos, la documentación donde reposa la información de sus clientes y los medios de almacenamiento de los certificados digitales antes de que estos sean entregados al suscriptor. 11.3. Seguridad de la clave privada de Certicámara y procedimiento en caso de compromiso de la misma Entre otras medidas, Certicámara guarda las siguientes precauciones respecto de su clave privada: • • • • El acceso y manejo de la clave privada de Certicámara es multipersona, es decir, se requieren de varias personas operando simultáneamente para poder acceder y utilizar la clave privada de Certicámara. Una sola persona no puede darle uso alguno a la clave privada de Certicámara. La clave privada de Certicámara permanece encriptada por una clave triple-Des que se custodia en un módulo criptográfico Ncipher que cumple con el estándar FIPS 140-2, nivel 3. A su vez, esta clave se encuentra encriptada por otra clave triple-Des que se encuentra dividida en varias tarjetas criptográficas, cada una de las cuales es asignada y almacenada físicamente de manera segura por distintos operadores del sistema de certificación digital, lo que obliga a la presencia de los distintos operadores para desencriptar esta clave. Todo el sistema que maneja o que se relaciona con la clave privada de Certicámara está custodiado por controles de acceso físico y lógico. Todas las funciones relacionadas con el manejo de la clave privada de Certicámara se encuentran segregadas en diferentes personas, de tal manera que nadie controla ningún proceso en su integridad. No existen copias de respaldo, ni copias en archivos de la clave privada de Certicámara almacenadas en Certicámara o en fideicomiso. Sin embargo se cuenta con los medios necesarios para realizar la restauración de la misma en caso de contingencia. En caso de que la clave privada de Certicámara se vea comprometida, Certicámara llevará a cabo las siguientes acciones: • • • • • • • • • • • • Revocará tan pronto como esté a su alcance todos los certificados digitales que haya emitido hasta ese momento y que cuya vigencia no haya terminado, publicando para el efecto una nueva base de datos de certificados digitales revocados en donde incluya a todos los certificados digitales revocados. Se incluirán los certificados digitales que haya expedido a las Entidades de Registro para la prestación de su servicio. Notificará, a través de correo electrónico o cualquier otro medio que estime conveniente, en forma inmediata a los suscriptores de la revocación de sus certificados digitales. Revocará su propio certificado digital. Generará un nuevo par de claves para sí misma siguiendo los protocolos establecidos para la generación de las mismas. Emitirá un certificado de Entidad de Registro para la expedición de los nuevos certificados digitales. Emitirá nuevos certificados digitales para sus suscriptores. Comunicará mediante aviso en su sitio de Internet la incidencia de la situación y los pasos que ha desarrollado y deben desarrollarse para conjurar la misma. Algunas de las claves privadas de Certicámara se encuentran almacenadas en un sistema PSS de Safelayer, cuyo contenido se modifica tan solo en las siguientes situaciones: • Cuando se añade un certificado digital a la PSS. • Cuando se modifica la conexión con la base de datos. • Cuando se realiza alguna modificación sobre las políticas de emisión de certificados digitales. Certicámara realiza copias de seguridad de la PSS cada vez que cambia su contenido de acuerdo con el punto anterior, y almacena dichas copias en un centro de custodia externo que cumple con los más altos estándares de seguridad. Otras claves privadas de Certicámara se encuentran salvaguardadas por un esquema de seguridad hardware/software denominado Security World (Ncipher). Este esquema tiene un sistema de respaldo para el reestablecimiento del Security World. El certificado raíz que contiene la clave pública de Certicámara se distribuye a través del sitio Web de Certicámara, en www.certicamara.com/certs/certicamara.crt. En caso de que por cualquier circunstancia Certicámara deba reemplazar su clave pública, así lo notificará a los suscriptores y a las partes confiantes a través de su sitio web. Adicionalmente, enviará una carta a través del correo tradicional informando de dicha situación a los suscriptores. Certicámara realizará las siguientes acciones ante la revocación ó cumplimiento de vigencia de su certificado raíz, con relación a las llaves públicas y privadas asociadas: Destrucción de las llaves públicas y privadas que fueron utilizadas para la generación del certificado digital raíz de la autoridad de certificación, de acuerdo a los procedimientos internos adecuados para este objetivo. 11.4. Vulneración del Sistema de seguridad de Certicámara • • • • • • Certicámara ha identificado los sistemas críticos de Información que deben ser protegidos para evitar el acceso de personas no autorizadas al Sistema de Certificación Digital, y para cada uno de ellos ha establecido estrictas medidas de seguridad. Para evitar la interceptación de datos por parte de terceras personas, Certicámara ha establecido sistemas de encriptamiento en sus comunicaciones con sus Entidades de Registro. Para el establecimiento de este control y el control de acceso a los servidores de Certicámara se cuenta con los adecuados sistemas de Firewall. Certicámara ha diseñado un procedimiento de contingencia que le permite aislar los sistemas que por alguna circunstancia hayan sido vulnerados por terceras personas. Por medio de este procedimiento de contingencia Certicámara evita que estos terceros puedan acceder al resto del Sistema de Certificación Digital. Desarrollado el procedimiento de contingencia, Certicámara inicia inmediatamente un procedimiento de recuperación de los sistemas que han sido vulnerados, que incluye la utilización de equipos de contingencia. El tiempo máximo de suspensión de los servicios en caso de ocurrencia de una contingencia de alerta roja es de 24 horas. 11.5. Pérdida de vigencia de los sistemas de cifrado La siguiente tabla ilustra el tiempo que tomaría encontrar la clave privada para diferentes tipos de atacantes con la tecnología actualmente existente1: RSA/DSA 274 384 512 768 2304 Atacante individual Semanas Siglos Milenios Inviable Inviable Grupo Pequeño Días Décadas Siglos Inviable Inviable Red Académica Horas Años Décadas Inviable Inviable Gran Compañía Milisegundos Horas Días Siglos Inviable Agencia de Inteligencia Microsegundos Segundos Minutos Siglos Milenios Las claves que Certicámara entrega a sus suscriptores son llaves de 1024 bits. Como se puede apreciar, con la tecnología y recursos computacionales actualmente existentes, cualquier intento por descifrar la llave privada de los suscriptores tomaría siglos, haciéndolo en la práctica imposible. No obstante lo anterior, si alguna circunstancia, como por ejemplo el descubrimiento de nuevas tecnologías, acarrea un incremento en la vulnerabilidad de los sistemas de cifrado de Certicámara, ésta tomará tan pronto como le sea posible las medidas necesarias para devolver la confiabilidad al Sistema de Certificación Digital, incluyendo aquellas que se detallan en esta Declaración de Prácticas de Certificación. 11.6. Fallas en el Sistema de Certicámara • • • Certicámara ha identificado los principales sistemas que pueden fallar, y ha establecido un procedimiento de recuperación para cada uno de los sistemas que son susceptibles de afectar la correcta prestación de los servicios de certificación digital. Certicámara aislará cualquier sistema que presente alguna falla crítica con el fin de que su fallo no afecte el funcionamiento de los demás equipos. Para el efecto se han diseñado procedimientos de respuesta a este tipo de emergencias, que identifican los diferentes fallos que pueden tener estos equipos. Para aquellos casos en que se requiere, Certicámara cuenta con equipos de contingencia que le permiten reaccionar en forma inmediata frente al fallo de dichos sistemas. 12. Planes de contingencia • • 1 Certicámara ha identificado un conjunto de contingencias y desastres para cada una de estas funciones esenciales o críticas, y ha detallado los procedimientos a seguir para superar tales eventos. Dentro de este conjunto vale la pena destacar las siguientes: • Pérdida total o parcial de los equipos de Certicámara con los que presta el servicio de certificación digital. • Incendios, inundaciones y desastres naturales que comprometan los servicios de certificación digital. • Daños físicos a los equipos servidores de cómputo. • Pérdida de las copias de seguridad del sistema. • Falla en las comunicaciones internas o en los equipos pasivos de red. • Falla en la comunicación entre Certicámara y las Entidades de Registro. • Pérdida de los documentos que soportan un certificado digital. Certicámara ha diseñado una estrategia para cada uno de los eventos de contingencia identificados, y ha tomado medidas para el desarrollo de cada una de estas estrategias, dentro de las que cabe destacar las siguientes: Tomado de "Digital Certificates", de Jalal Feghhi, Peter Williams • • • • • • • Documentar detalladamente cada uno de los procedimientos que se involucran en la prestación del servicio de certificación digital. Se cuenta con un sistema de copias de seguridad que protege a Certicámara contra cualquier pérdida de la información relacionada con la prestación del servicio de certificación digital. Cuenta adicionalmente con un centro alterno de información ubicado a una distancia de 10 kilómetros de las instalaciones de Certicámara, de tal manera que se asegure la continuidad del servicio independientemente de la contingencia producida. Se cuenta con sistemas antivirus en todos los equipos de cómputo que se ocupan de la prestación del servicio de certificación digital. Se maneja una política de seguridad para acceso a las instalaciones físicas, según lo que se estipula en el manual de procedimiento interno respectivo. Se han definido procesos para la generación de nuevas claves privadas para los suscriptores y para Certicámara. Certicámara cuenta con un sistema de copias de seguridad que protege a Certicámara contra cualquier pérdida de la información relacionada con la prestación del servicio de certificación digital. Adicionalmente ha dispuesto un centro alterno de información ubicado geográficamente en lugar distinto a las instalaciones principales de Certicámara, asegurando así la continuidad del servicio independientemente de cualquier contingencia que pueda producirse al centro principal de información. Certicámara efectúa diaria, semanal, mensual y anualmente copias de seguridad de los logs de auditoria de eventos y de la información relacionada con la prestación del servicio de certificación digital. 13. Cese de actividades de Certicámara En el evento en que Certicámara deba por cualquier circunstancia cesar sus actividades deberá: • • • • • • Iniciar en forma inmediata el procedimiento de autorización de cese de actividades ante la Superintendencia de Industria y Comercio. Comunicar la extinción mediante el envío de un correo electrónico dirigido a todos los suscriptores cuyos certificados digitales permanezcan en vigor y la publicación de un anuncio en dos diarios de amplia circulación nacional. La citada comunicación se llevará a cabo con una antelación mínima de dos meses al cese efectivo de la actividad. Procurar establecer, cuando ello fuera posible, acuerdos con terceras personas para transmitir todas sus obligaciones y derechos dentro del sistema de certificación con la intención de continuar el servicio. Si se produce la subrogación, a la cual el suscriptor da su consentimiento de manera expresa, esta Declaración de Prácticas de Certificación seguirá siendo el documento que establece las relaciones entre las partes mientras no se establezca un nuevo documento por escrito. Proceder, en caso de no haberse podido llevar a cabo transferencia de derechos y obligaciones a otra entidad, a la revocación de todos los certificados digitales una vez transcurrido el plazo de dos meses desde la comunicación. Indemnizar adecuadamente a aquellos Suscriptores que lo soliciten cuando sus Certificados sean revocados con anterioridad al plazo previsto de vigencia, pactándose como tope para la indemnización el costo efectivo del servicio, descontando a prorrata el coste por los días transcurridos desde el inicio del contrato hasta la fecha de resolución. Cualquier otra obligación que establezca la ley. 14. Garantías que ofrece Certicámara para el cumplimiento de sus obligaciones • • De acuerdo con lo establecido en el artículo 8 del Decreto 1747 de 2.000, CERTICÁMARA ha suscrito una póliza de seguro con una entidad aseguradora autorizada de acuerdo con la legislación colombiana, que ampara los perjuicios contractuales y extracontractuales de los suscriptores y terceros de buena fe exenta de culpa derivados de errores y omisiones, o de actos de mala fe de los administradores, representantes legales o empleados de Certicámara en el desarrollo de sus actividades. Las condiciones generales de la póliza se pueden consultar en www.certicamara.com/garantias/index.html, el cual le redireccionará de manera segura al sitio: http://www.certicamara.com/index.php?option=com_content&task=view&id=99, donde hallará la información actualizada de la póliza. 15. Propiedad intelectual Todas las obras, trabajos y demás productos del talento que utiliza CERTICÁMARA en su Sistema de Certificación Digital o realizados por CERTICÁMARA o su personal como parte de la prestación de los servicios de certificación digital, y que sean susceptibles de protección jurídica de conformidad con la normatividad vigente en Colombia o en cualquier parte del mundo sobre derechos de autor, son y serán de propiedad de CERTICÁMARA, o son y serán usados bajo licencia. El suscriptor no podrá reproducirlos, publicarlos o utilizarlos en forma alguna sin la autorización previa expresa de Certicámara. CERTICÁMARA entregará a través de cualquier medio (físico o electrónico) al suscriptor el software necesario para la prestación del servicio de certificación digital, el uso del cual estará sometido a la licencia de uso que se entrega con el mismo. Todos los nombres comerciales, marcas, diseños industriales y demás signos o creaciones que utiliza CERTICÁMARA en su Sistema de Certificación Digital o realizados por CERTICÁMARA o su personal como parte del servicio de certificación digital, y que sean susceptibles de protección jurídica de conformidad con lo normatividad colombiana vigente, son y serán de propiedad de CERTICÁMARA. Su uso por parte del suscriptor o de las partes confiantes se realizará de acuerdo con lo requerido por el sistema de certificación digital, en todo caso, deberá mediar autorización previa expresa de Certicámara. El suscriptor y la parte confiante informarán a la mayor brevedad posible a CERTICÁMARA, cualquier acto o hecho que pueda considerarse una usurpación de los derechos de propiedad industrial o que pueda perjudicar a su fuerza distintiva, prestigio o buena reputación. 16. Auditoria externa de Certicámara 16.1. Generalidades • • • Consciente de la necesidad y de las ventajas de que un tercero certifique el cumplimiento de su Declaración de Prácticas de Certificación y de todos sus procedimientos, y siguiendo lo contemplado en el capítulo 8 de la Circular Única No. 10 de la Superintendencia de Industria y Comercio, Certicámara se somete a una auditoria anual en la que se verifica su cumplimiento de la totalidad de las normas y de los estándares internacionales a los que se ha comprometido para el ejercicio de su actividad de certificación digital abierta. Al ser integral, la auditoria cubre aspectos técnicos, financieros y jurídicos de Certicámara. La última auditoria internacional a la que fue sometida Certicámara fue realizada por la firma Deloitte & Touche Ltda.., empresa internacional con una amplia experiencia en la supervisión de las actividades de certificación digital en todo el mundo. Deloitte & Touche Ltda., es una empresa que no ostenta ninguna • • • • relación distinta de la auditoria, razón por la cual se garantiza su neutralidad y transparencia en el desempeño de esta labor. La auditoria abarca la totalidad de las instalaciones e infraestructura de Certicámara. Certicámara está en la obligación de subsanar cualquier deficiencia que la firma auditora encuentre durante el proceso de auditoria, tomando todas las acciones e implementando las medidas necesarias para eliminar cualquier posible deficiencia. Los resultados de cumplimiento expresados en el Informe de Auditoria, son suministrados a la Gerencia General de la Sociedad, a la Junta Directiva de la Sociedad, y a la Superintendencia de Industria y Comercio, así como también a cualquier tercero que los requiera. La Auditoria Interna de Certicámara, hará seguimiento mensual sobre los planes de mitigación resultantes del proceso de auditoria por parte de Deloitte & Touche Ltda. 16.2. Último informe de auditoria En cumplimiento con lo señalado en el numeral 8.3 del capitulo V de la Circular única Número 10 de la Superintendencia de Industria y Comercio, la empresa Deloitte & Touche Ltda, realizó auditoria a Certicámara como entidad de certificación abierta, por el período comprendido entre el 1 de abril de 2007 al 31 de marzo de 2008. Se realizó examen de conformidad con los criterios Webtrust para Autoridades de Certificación de AICPA/CICA. La auditoria se desarrollo en el periodo comprendido entre el 11 de febrero y el 31 de marzo de 2008. Usted puede consultar el texto del informe de auditoria en: https://cert.webtrust.org/ViewSeal?id=750 17. Administración de especificaciones - Modificaciones a esta declaración de prácticas de certificación Certicámara podrá modificar unilateralmente las estipulaciones de la presente Declaración de Prácticas de Certificación y de sus Prácticas de Certificación, sin perjuicio de que se mantenga el nivel de calidad esencial de sus servicios de certificación digital y siempre y cuando toda modificación se justifique desde el punto de vista jurídico, técnico o comercial. 17.1. Procedimiento de publicación de las modificaciones Las modificaciones efectuadas sobre la Declaración de Prácticas de Certificación o las Prácticas de Certificación se darán a conocer a los interesados en el sitio de Internet de Certicámara, ubicado en http://www.certicamara.com/. Certicámara procederá a sustituir en su sitio web la versión anterior de la Declaración de Prácticas de Certificación o de las Prácticas de Certificación por la nueva. En el sitio de Internet de Certicámara se incluirá un listado de control de las sucesivas versiones que sobre la Declaración de Prácticas de Certificación o las Prácticas de Certificación puedan originarse, desde el que se podrá tener acceso tanto a la versión actual y operativa como a las versiones anteriores con una antigüedad no superior a un año. En dicho sitio de Internet, se hará una referencia expresa y fácilmente localizable a la existencia de dicha modificación, durante un período diez días (10) calendario. 17.2. Procedimiento de notificación a los suscriptores En caso que las modificaciones efectuadas en la Declaración de Prácticas de Certificación o en las Prácticas de Certificación incidan directamente en los derechos y obligaciones de los suscriptores, así como cuando dichas modificaciones alteren la operatividad de los certificados digitales por parte de los partes confiantes, deberán notificarse a los suscriptores con una antelación de diez (10) días hábiles a la aplicación de los cambios efectuados. El transcurso de dicho periodo sin que medie comunicación escrita por parte del suscriptor, en contra de las citadas modificaciones implicará su aceptación de las mismas. La no aceptación de las modificaciones de esta Declaración de Prácticas de Certificación o de las Prácticas de Certificación realizadas por Certicámara tendrá como consecuencia la terminación del contrato con el suscriptor. Se considerará como medio eficaz para la realización de notificaciones el correo electrónico firmado digitalmente y enviado a la dirección proporcionada por el suscriptor. 18. Legislación aplicable y cláusula compromisoria Todas las transacciones, prestaciones y demás relaciones jurídicas que se presenten en ejecución o con ocasión de la prestación de servicios de certificación digital por parte de Certicámara quedan sometidas a las reglas de esta Declaración de Prácticas de Certificación, al contrato de prestación de servicios suscrito entre las partes, a los términos legales del sitio de Internet de la Certicámara y a la normatividad colombiana vigente. Estos términos deberán ser interpretados de acuerdo con las leyes de Colombia, en donde se consideran realizadas u originadas todas las relaciones jurídicas entre Certicámara y el Suscriptor. Los anteriores documentos constituyen la totalidad del acuerdo establecido entre Certicámara y el suscriptor y la parte confiante para la utilización de los servicios de certificación digital. Prevalecerán frente a cualquier otro documento, y por lo tanto el suscriptor no podrá alegar norma o contenido alguno que no esté expresamente consagrado en éstos. Todo intento de alterar, complementar o enmendar este documento o de presentar un documento con condiciones adicionales o distintas, no tendrá efecto, salvo que se haya acordado de manera distinta mediante convenio por escrito firmado por el suscriptor y un representante legal de Certicámara. El suscriptor y la parte confiante aceptan que, por el hecho de utilizar los servicios de certificación digital, todas las diferencias que se presenten entre las partes con ocasión del contrato de suscripción o de las prestación de servicios de certificación digital de Certicámara, durante su ejecución o con motivo de su terminación, serán sometidas a la decisión de un Tribunal de Arbitramento nombrado por la Junta Directiva del Colegio de Abogados Comercialistas que se sujetará a lo dispuesto en la Ley 446 y el Decreto 1818, ambos de l998, de acuerdo con las siguientes reglas: a) El Tribunal estará integrado por un (1) árbitro; b) El Tribunal funcionará en Bogotá D.C. en el Centro de Arbitraje y Conciliación de FENALCO y c.) El Tribunal decidirá en derecho. 19. Modelo de contrato entre Certicámara y el suscriptor El texto del contrato que deberán suscribir las personas que deseen obtener los servicios de certificación digital de Certicámara está disponible en: www.certicamara.com • Practicas de certificación para los certificados de pertenencia a Empresa/Entidad 1. COMUNIDAD Y APLICABILIDAD Los Certificados de Pertenencia a Empresa certifican que una determinada persona se ha identificado como persona natural vinculándola como perteneciente a una determinada empresa o entidad del Estado, o vinculándola a una determinada relación respecto de la misma. Entre estas funciones se incluyen, sin limitarse a éstas, las siguientes: a) Revisoría fiscal, sea esta hecha por personas naturales o jurídicas; b) apoderamiento. Los suscriptores de este tipo de certificados digitales son: 1) La persona natural que logre acreditar suficientemente, a juicio de Certicámara, que existe una relación jurídica, laboral o de cualquier otra índole, con la persona jurídica o entidad del Estado que vaya a aparecer en el certificado digital. 2) La persona jurídica que figura en el certificado digital. 2. OBLIGACIONES ESPECIALES DEL SUSCRIPTOR El suscriptor tiene la obligación frente a Certicámara de informar inmediatamente de cualquier modificación en la relación jurídica entre la persona natural que figura en el certificado digital y el suscriptor. LA CORRESPONDENCIA PERMANENTE ENTRE LA INFORMACIÓN DE LA EMPRESA Y AQUELLOS QUE CONSTAN EN EL CERTIFICADO DIGITAL ES RESPONSABILIDAD EXCLUSIVA DEL SUSCRIPTOR. CERTICÁMARA NO ASUME NINGUNA OBLIGACIÓN O RESPONSABILIDAD A ESTE RESPECTO. La desvinculación o destitución de la persona natural o el cambio de su relación o función con el suscriptor que figura en el certificado digital deberá notificarse a Certicámara mediante comunicación suscrita por el representante legal. 3. PARTICULARIDADES DEL PROCEDIMIENTO DE EXPEDICIÓN DE LOS CERTIFICADOS DE PERTENENCIA DE EMPRESA/ENTIDAD 3.1. Documentos necesarios para la expedición del Certificado de Pertenencia a Empresa El solicitante que desee que le sea expedido un Certificado de Pertenencia de Empresa deberá obligatoriamente enviar a la Entidad de Registro de su jurisdicción, además de los documentos exigidos para todos los certificados digitales, los siguientes documentos, o presentarlos personalmente: • • Certificado expedido por el representante legal de la empresa, por el jefe del Departamento de Recursos Humanos o por quien cumpla dichas funciones, en donde conste la vinculación del solicitante, y asumiendo las consecuencias de esta declaración en nombre de la propia persona jurídica. Certicámara podrá exigir que a dicho documento se le realice diligencia de presentación personal ante Notario. Certicámara podrá exigir que este certificado sea firmado tanto por el representante legal como por el gerente de recursos humanos o su equivalente de la empresa. Fotocopia del documento de afiliación al sistema de seguridad social en salud, pensiones y /o riesgos profesionales. 3.2. Verificación de los datos de la persona natural Certicámara no realiza ninguna verificación adicional a la solicitud de la documentación a que se refiere esta Declaración de Prácticas de Certificación. LA VERACIDAD DE LA INFORMACIÓN RESPECTO DE LA RELACIÓN JURÍDICA O FUNCIÓN QUE CUMPLE LA PERSONA NATURAL QUE FIGURA EN EL CERTIFICADO DIGITAL RESPECTO DEL SUSCRIPTOR ES DE EXCLUSIVO RESORTE DE ÉSTE. 4. USOS DEL CERTIFICADO DIGITAL El suscriptor podrá hacer uso de su certificado digital dentro de los usos contemplados en el numeral 5.1. de la Declaración de Prácticas de Certificación de Certicámara, teniendo los usos prohibidos contemplados en el numeral 5.2. de la DPC. 5. CONTENIDO DEL CERTIFICADO DE PERTENENCIA A EMPRESA/ENTIDAD Los Certificados de Pertenencia a Empresa/Entidad identificarán a la persona natural vinculándola con un cargo o función que según el suscriptor ocupa u ostenta la persona natural que figura en el certificado digital. 6. CAUSALES DE REVOCACIÓN DE LOS CERTIFICADOS DE PERTENENCIA A EMPRESA/ENTIDAD Se aplicarán las causales establecidas en la parte general de la Declaración de Prácticas de Certificación. CERTICÁMARA NO TIENE DEBER ALGUNO DE INVESTIGACIÓN O REVISIÓN DE LA OCURRENCIA DE CUALQUIERA DE LAS CAUSALES DE REVOCACIÓN. CERTICÁMARA INICIARÁ EL PROCEDIMIENTO DE REVOCACIÓN DE CERTIFICADOS DIGITALES TAN SOLO UNA VEZ TENGA NOTICIA DE LA OCURRENCIA DE CUALQUIERA DE ELLAS. Certicámara no ofrece, como parte del servicio de certificación digital, ningún tipo de servicio de instalación, instrucción, configuración o asistencia técnica para la programación de los sistemas de información del suscriptor. El suscriptor será responsable por establecer la compatibilidad, y operatividad de los certificados digitales de Certicámara con sus sistemas de información. 7. JERARQUÍA DE NORMAS En todo lo no expresamente previsto por las presentes Prácticas de Certificación se aplicará lo señalado en la Declaración de Prácticas de Certificación de Certicámara. Prácticas de certificación para los certificados de representación de empresa • Practicas de certificación para los certificados de representación de empresa/entidad 1. COMUNIDAD Y APLICABILIDAD Los Certificados de Representación de Empresa/Entidad certifican la identidad de una persona natural vinculándola con la representación legal de una persona jurídica, una Entidad del Estado, o como comerciante persona natural en el ámbito de su actividad profesional o mercantil. Los Certificados de Representación de Empresa/Entidad tienen como suscriptor tanto a la persona natural que actúa en nombre y representación legal de una persona jurídica, como a la persona jurídica representada que figura igualmente en el certificado digital. 2. OBLIGACIONES ESPECIALES DEL SUSCRIPTOR El suscriptor tiene la obligación frente a Certicámara de informar inmediatamente de cualquier modificación en su representación legal. LA CORRESPONDENCIA PERMANENTE ENTRE LA INFORMACIÓN Y LOS DATOS DE LA EMPRESA Y AQUELLOS QUE CONSTAN EN EL CERTIFICADO DIGITAL ES DE RESPONSABILIDAD EXCLUSIVA DEL SUSCRIPTOR. CERTICÁMARA NO ASUME NINGUNA OBLIGACIÓN O RESPONSABILIDAD A ESTE RESPECTO. Cualquier cambio en la representación legal de la persona jurídica se notificará en forma inmediata allegando un original del Certificado de Existencia y Representación Legal de la misma a la Entidad de Registro de la jurisdicción. 3. PARTICULARIDADES DEL PROCEDIMIENTO REPRESENTACIÓN DE EMPRESA/ENTIDAD DE EXPEDICIÓN DE LOS CERTIFICADOS DE 3.1. Verificación de la identidad y de la representación Adicional a lo establecido en la parte general de esta Declaración de Prácticas de Certificación, la Entidad de Registro confirmará la capacidad legal para actuar en nombre y representación de la persona jurídica o Entidad del Estado. Esta comprobación se realizará mediante la verificación del certificado de existencia y representación legal de la persona jurídica, el documento de nombramiento o cualquier equivalente. CERTICÁMARA ÚNICAMENTE REALIZARÁ LA VERIFICACIÓN DE LA REPRESENTACIÓN LEGAL DENTRO DEL PROCEDIMIENTO DE VERIFICACIÓN DE IDENTIDAD QUE SE SURTE ANTES DE LA EXPEDICIÓN DEL CERTIFICADO DIGITAL. DESDE ESE MOMENTO EN ADELANTE CERTICÁMARA NO REALIZARÁ VERIFICACIÓN ALGUNA A ESTE RESPECTO, Y POR TANTO NO SERÁ RESPONSABLE DE LOS PERJUICIOS QUE SE PRESENTEN POR EL INCUMPLIMIENTO DE ESTA OBLIGACIÓN. RECAE EN EL SUSCRIPTOR LA OBLIGACIÓN DE INFORMAR CUALQUIER CAMBIO EN SU REPRESENTACIÓN LEGAL, Y DE RESPONDER FRENTE A TERCEROS POR TODO PERJUCIO QUE EL INCUMPLIMIENTO DE ESTA OBLIGACIÓN OCASIONE. 4. Uso del certificado digital El suscriptor podrá hacer uso de su certificado digital dentro de los usos contemplados en el numeral 5.1. de la Declaración de Prácticas de Certificación de Certicámara, teniendo los usos prohibidos contemplados en el numeral 5.2. de la DPC. 5. Contenido del certificado de Representación de Empresa/Entidad Los Certificados de Representación de Empresa identificarán a la persona natural que figura en el correspondiente formulario de solicitud del certificado y/o que afirma ostentar la calidad de representante legal del suscriptor. 6. Causales de revocación de certificados digitales Se aplicarán las causales establecidas en la parte general de la Declaración de Prácticas de Certificación. CERTICÁMARA NO TIENE DEBER ALGUNO DE INVESTIGACIÓN O REVISIÓN DE LA OCURRENCIA DE CUALQUIERA DE LAS CAUSALES DE REVOCACIÓN. CERTICÁMARA INICIARÁ EL PROCEDIMIENTO DE REVOCACIÓN DE CERTIFICADOS DIGITALES TAN SOLO UNA VEZ TENGA NOTICIA DE LA OCURRENCIA DE CUALQUIERA DE ELLAS. Certicámara no ofrece, como parte del servicio de certificación digital, ningún tipo de servicio de instalación, instrucción, configuración o asistencia técnica para la programación de los sistemas de información del suscriptor. El suscriptor será responsable por establecer la compatibilidad, y operatividad de los certificados digitales de Certicámara con sus sistemas de información. 7. Jerarquía de normas En todo lo no expresamente previsto por las presentes Prácticas de Certificación se aplicará lo señalado en la Declaración de Prácticas de Certificación de Certicámara. • Prácticas de Certificación de Certificados de Servidor Seguro 1. COMUNIDAD Y APLICABILIDAD Los Certificados de Servidor Seguro certifican que una persona ha afirmado que un dominio en Internet está bajo el control de una cierta persona. TÉCNICAMENTE LOS CERTIFICADOS DE SERVIDOR SEGURO TIENEN LOS MISMOS USOS QUE LOS CERTIFICADOS DIGITALES DE REPRESENTACIÓN DE EMPRESA Y DE PERTENENCIA A EMPRESA. NO OBSTANTE, DESDE EL PUNTO DE VISTA JURÍDICO NO RESPALDAN FIRMAS DIGITALES. El suscriptor de este tipo de certificados digitales es la persona que figura en el certificado digital y que afirmó a través de su representante legal ser aquella que tiene el derecho de uso de un determinado dominio en Internet. Los certificados de servidor seguro brindan una seguridad técnica del servidor con el que se está teniendo una comunicación. El solicitante de este certificado digital deberá ser en todo caso el representante legal del suscriptor. El representante legal del suscriptor es la persona responsable de la confidencialidad de la clave privada del Certificado de Servidor Seguro, independientemente de las instrucciones que este imparta al interior de la empresa para la administración tanto de la clave privada como del certificado digital. El solicitante podrá delegar en un tercero el proceso de generación y custodia de la clave privada. El delegatario deberá acreditar fehacientemente dicha calidad, a juicio de Certicámara. En ningún caso y bajo ninguna circunstancia la delegación podrá servir de justificación para el incumplimiento o como causal de exoneración de responsabilidad por parte del solicitante o del suscriptor. 2. OBLIGACIONES ESPECIALES DEL SUSCRIPTOR • El suscriptor deberá en todo momento garantizar la confidencialidad de la clave privada, independiente del uso que haga del soporte físico del certificado digital. Para el efecto, deberá tomar todas las medidas necesarias para que el acceso al soporte físico del certificado digital sea absolutamente restringido. 3. Particularidades del procedimiento de expedición de los Certificados de Servidor Seguro 3.1. Documentos necesarios para la expedición del Certificado de Servidor Seguro El solicitante que desee que le sea expedido un Certificado de Servidor Seguro deberá obligatoriamente enviar a la Entidad de Registro de su jurisdicción, además de los documentos exigidos para todos los certificados digitales, los siguientes documentos, o presentarlos personalmente: • Fotocopia de la cédula de ciudadanía o documento equivalente del representante legal o del delegado debidamente autorizado. • En el caso de que la entidad solicitante sea una entidad pública, se deberá adjuntar fotocopia del decreto de nombramiento como representante legal o su equivalente de la entidad que representa. 4. Usos del certificado digital • Los certificados de servidor seguro no pueden ser utilizados como certificados digitales que respalden firmas digitales del suscriptor. • EN NINGÚN MOMENTO Y BAJO NINGUNA CIRCUNSTANCIA UN CERTIFICADO DE SERVIDOR SEGURO PODRÁ SER UTILIZADO COMO CERTIFICADO DE SOLVENCIA ECONÓMICA O DE IDONEIDAD DE LA PERSONA JURÍDICA O NATURAL TITULAR DEL MISMO. CERTICÁMARA NO REALIZA NINGÚN TIPO DE VERIFICACIÓN A ESTE RESPECTO. 5. Contenido del Certificado de Servidor Seguro Los Certificados de Servidor Seguro contendrán, entre otros datos, los siguientes: • El nombre de la máquina, dirección IP o dirección URL que se identifica en el certificado digital, • La unidad organizacional de la entidad en la cual será empleado el certificado digital, • La razón social del titular del certificado digital, • Los dos caracteres ANSI correspondientes al país de domicilio del titular del certificado digital. 6. Causales de revocación de los Certificados de Servidor Seguro Además de las causales establecidas en la parte general de la Declaración de Prácticas de Certificación, serán causales de revocación del Certificado de Servidor Seguro las siguientes: • El cese de la titularidad por parte del suscriptor del dominio de la dirección de URL que se certifica. • La extinción de la personalidad jurídica del suscriptor. CERTICÁMARA NO TIENE DEBER ALGUNO DE INVESTIGACIÓN O REVISIÓN DE LA OCURRENCIA DE CUALQUIERA DE LAS CAUSALES DE REVOCACIÓN. CERTICÁMARA INICIARÁ EL PROCEDIMIENTO DE REVOCACIÓN DE CERTIFICADOS DIGITALES TAN SOLO UNA VEZ TENGA NOTICIA DE LA OCURRENCIA DE CUALQUIERA DE ELLAS. Certicámara no ofrece, como parte del servicio de certificación digital, ningún tipo de servicio de instalación, instrucción, configuración o asistencia técnica para la programación de los sistemas de información del suscriptor. El suscriptor será responsable por establecer la compatibilidad, y operatividad de los certificados digitales de Certicámara con sus sistemas de información. 7. Jerarquía de Normas En todo lo no expresamente previsto por las presentes Prácticas de Certificación se aplicará lo señalado en la Declaración de Prácticas de Certificación de Certicámara. • Practicas de Certificación de Certificados de Profesional Titulado 1. COMUNIDAD Y APLICABILIDAD Los Certificados de Profesional Titulado certifican la identidad de una determinada persona natural vinculándolo con la obtención de un título profesional debidamente reconocido en la República de Colombia o en un Estado Extranjero, así como con la obtención del correspondiente registro, licencia, colegiatura o tarjeta profesional requerido para el ejercicio de su profesión en la República de Colombia o en un Estado Extranjero. Los suscriptores de este tipo de certificados digitales son las personas naturales que logren acreditar suficientemente, a juicio de Certicámara, que ha obtenido un título profesional debidamente reconocido en la República de Colombia o en un Estado Extranjero, y que han obtenido el correspondiente registro, licencia, colegiatura o tarjeta profesional requerido para el ejercicio de su profesión en la República de Colombia o en un Estado Extranjero. El Certificado de Profesional Titulado no garantiza la calidad, idoneidad del ejercicio profesional del suscriptor. 2. OBLIGACIONES ESPECIALES DEL SUSCRIPTOR El suscriptor tiene la obligación frente a Certicámara de informar de manera inmediata a su ocurrencia cualquier modificación o aclaración en la información suministrada para la emisión del certificado digital. CERTICÁMARA NO ASUME RESPONSABILIDAD por cambios a dicha información no reportados por el suscriptor. 3. PARTICULARIDADES DEL PROCEDIMIENTO DE EXPEDICIÓN DE LOS CERTIFICADOS DE PROFESIONAL TITULADO 3.1. Verificación de la identidad En adición a lo establecido en la parte general de esta Declaración de Prácticas de Certificación, la Entidad de Registro verificará la calidad de profesional titulado del solicitante-suscriptor a través de la revisión del contenido y la naturaleza de la documentación presentada por el solicitante para acreditar su calidad de profesional titulado. CERTICÁMARA UNICAMENTE REALIZARÁ LA VERIFICACIÓN DE LA CALIDAD DE PROFESIONAL TITULADO DEL SOLICITANTE DENTRO DEL PROCEDIMIENTO DE VERIFICACIÓN DE IDENTIDAD QUE SE SURTE ANTES DE LA EXPEDICIÓN DEL CERTIFICADO DIGITAL. DESDE ESE MOMENTO EN ADELANTE CERTICÁMARA NO REALIZARÁ VERIFICACIÓN ALGUNA A ESTE RESPECTO, Y POR TANTO NO SERÁ RESPONSABLE DE LOS PERJUICIOS QUE SE PRESENTEN POR CUALQUIER CAMBIO NO REPORTADO POR EL SUSCRIPTOR. RECAE EN EL SUSCRIPTOR LA OBLIGACIÓN DE INFORMAR CUALQUIER CAMBIO EN LA INFORMACIÓN Y DE RESPONDER FRENTE A TERCEROS POR TODO PERJUCIO QUE EL INCUMPLIMIENTO DE ESTA OBLIGACIÓN OCASIONE. EL SUSCRIPTOR SERA ENTERAMENTE RESPONSABLE ANTE TERCEROS POR TODO PERJUCIO CAUSADO POR CUALQUIER FALSEDAD EN LA INFORMACIÓN O LA DOCUMENTACIÓN PRESENTADA ANTE CERTICÁMARA O POR CUALQUIER ERROR AL QUE INDUZCA A CERTICÁMARA DURANTE O POSTERIORMENTE AL PROCEDIMIENTO DE VERIFICACION. 4. Uso del certificado digital El suscriptor podrá hacer uso de su certificado digital dentro de los usos contemplados en el numeral 5.1. de la Declaración de Prácticas de Certificación de Certicámara, teniendo los usos prohibidos contemplados en el numeral 5.2. de la DPC. 5. Contenido del Certificado de Profesional Titulado Los Certificados de Profesional Titulado contendrán particularmente la siguiente información: a. b. c. d. Identificación de la persona natural Denominación Oficial del Título Profesional. Número y fecha de realización del registro, concesión de la licencia, otorgamiento de la colegiatura o expedición de la tarjeta profesional si aplica. Entidad administradora del registro de profesionales, Entidad otorgante de la licencia de ejercicio profesional, Entidad emisora de tarjeta profesional, o Colegio Profesional si aplica. 6. Causales de revocación de certificados digitales Se aplicarán las causales establecidas en la parte general de la Declaración de Prácticas de Certificación. CERTICÁMARA NO TIENE DEBER ALGUNO DE INVESTIGACIÓN O REVISIÓN DE LA OCURRENCIA DE CUALQUIERA DE LAS CAUSALES DE REVOCACIÓN. CERTICÁMARA INICIARÁ EL PROCEDIMIENTO DE REVOCACIÓN DE CERTIFICADOS DIGITALES TAN SOLO UNA VEZ TENGA NOTICIA DE LA OCURRENCIA DE CUALQUIERA DE ELLAS. Certicámara no ofrece, como parte del servicio de certificación digital, ningún tipo de servicio de instalación, instrucción, configuración o asistencia técnica para la programación de los sistemas de información del suscriptor. El suscriptor será responsable por establecer la compatibilidad, y operatividad de los certificados digitales de Certicámara con sus sistemas de información. 7. Jerarquía de normas En todo lo no expresamente previsto por las presentes Prácticas de Certificación se aplicará lo señalado en la Declaración de Prácticas de Certificación de Certicámara. • Practicas de Certificación de Certificados para Firma de Código 1. COMUNIDAD Y APLICABILIDAD Los Certificados para Firma de Código certifican que una determinada persona natural o jurídica ha afirmado (i) adelantar las actividades de desarrollo, diseño, programación, mantenimiento, distribución de software, aplicativos, código fuente o código objeto, o afines y, (ii) tener el propósito de ser el originador de mensajes de datos que contengan información, software, aplicativos, código fuente o código objeto. El Certificado para Firma de Código no certifica ni garantiza que el suscriptor es titular de los derechos de autor, de propiedad industrial o intelectual sobre la información, software, aplicativos, código fuente o código objeto que firme digitalmente y/o distribuya, o que tiene autorización del titular de tales derechos para su uso y distribución. CERTICÁMARA NO REALIZA VERIFICACION DE LA TITULARIDAD DE LOS DERECHOS DE AUTOR, PROPIEDAD INDUSTRIAL O INTELECTUAL DE NINGUN SUSCRIPTOR. El Certificado para Firma de Código no certifica ni garantiza el contenido, la calidad, cantidad, idoneidad o funcionamiento de la información, software, aplicativos, código fuente o el código objeto que el suscriptor firme con el Certificado de Firma de Código, o cualquier otra instrucción relacionada o no con ellos que el suscriptor divulgue a cualquier tercero. CERETICAMARA NO REALIZA VERIFICACION EL CONTENIDO, LA CALIDAD, CANTIDAD, IDONEIDAD O FUNCIONAMIENTO DE LA INFORMACIÓN, SOFTWARE, APLICATIVOS, CÓDIGO FUENTE, Y EL CÓDIGO OBJETO QUE EL SUSCRIPTOR FIRME CON EL CERTIFICADO DE FIRMA DE CÓDIGO El Certificado de Firma de Código no garantiza la calidad o idoneidad del suscriptor como de desarrollador, diseñador, programador o distribuidor legalmente autorizado. 2. OBLIGACIONES ESPECIALES DEL SUSCRIPTOR El suscriptor tiene la obligación frente a Certicámara de informar de manera inmediata a su ocurrencia cualquier modificación o aclaración en la información suministrada para la emisión del certificado digital. CERTICÁMARA NO ASUME RESPONSABILIDAD por cambios a dicha información no reportados por el suscriptor. 3. PARTICULARIDADES DEL PROCEDIMIENTO DE EXPEDICIÓN DE LOS CERTIFICADOS DE FIRMA DE CODIGO. 3.1. Verificación de la identidad En adición a lo establecido en la parte general de esta Declaración de Prácticas de Certificación, la Entidad de Registro verificará la identidad del solicitante-suscriptor a través de la revisión del contenido y la naturaleza de la documentación presentada por el solicitante para acreditar su calidad de persona o entidad dentro de cuyo giro ordinario de negocios o actividades se encuentra el desarrollo, diseño, programación, mantenimiento, distribución de software, aplicativos, código fuente o código objeto, o afines. CERTICÁMARA UNICAMENTE REALIZARÁ LA VERIFICACIÓN DE LA CALIDAD DEL SOLICITANTESUSCRIPTOR COMO PERSONA O ENTIDAD DENTRO DE CUYO GIRO ORDINARIO DE NEGOCIOS O ACTIVIDADES SE ENCUENTRA EL DESARROLLO, DISEÑO, PROGRAMACIÓN, MANTENIMIENTO, DISTRIBUCIÓN DE SOFTWARE, APLICATIVOS, CÓDIGO FUENTE O CÓDIGO OBJETO O AFINES, DENTRO DEL PROCEDIMIENTO DE VERIFICACIÓN DE IDENTIDAD QUE SE SURTE ANTES DE LA EXPEDICIÓN DEL CERTIFICADO DIGITAL. DESDE ESE MOMENTO EN ADELANTE CERTICÁMARA NO REALIZARÁ VERIFICACIÓN ALGUNA A ESTE RESPECTO, Y POR TANTO NO SERÁ RESPONSABLE DE LOS PERJUICIOS QUE SE PRESENTEN POR CUALQUIER CAMBIO NO REPORTADO POR EL SUSCRIPTOR. RECAE EN EL SUSCRIPTOR LA OBLIGACIÓN DE INFORMAR CUALQUIER CAMBIO EN LA INFORMACIÓN Y DE RESPONDER FRENTE A TERCEROS POR TODO PERJUCIO QUE EL INCUMPLIMIENTO DE ESTA OBLIGACIÓN OCASIONE. EL SUSCRIPTOR SERA ENTERAMENTE RESPONSABLE ANTE TERCEROS POR TODO PERJUCIO CAUSADO POR CUALQUIER FALSEDAD EN LA INFORMACIÓN O LA DOCUMENTACIÓN PRESENTADA ANTE CERTICÁMARA O POR CUALQUIER ERROR AL QUE INDUZCA A CERTICÁMARA DURANTE O POSTERIORMENTE AL PROCEDIMIENTO DE VERIFICACION. 4. Uso del certificado digital 4.1. El suscriptor no se encuentra autorizado por Certicámara para utilizar el certificado digital en operaciones, actos o negocios distintas a la firma de mensajes de datos que contengan software, aplicativos, código fuente, o código objeto en donde actúe en su calidad de desarrollador, diseñador, programador o distribuidor legalmente autorizado. La solicitud de un Certificado para Firma de Código no limita al solicitante para ser suscriptor de otros certificados digitales. 4.2. Al hacer uso del certificado digital, el suscriptor deberá respetar cualquier limitación que tenga en virtud de los derechos de que sea titular sobre la información, software, aplicativos, código fuente, o código objeto que firme. Cualquier incumplimiento de esta disposición hace responsable al suscriptor y no a Certicámara frente a las partes confiantes o a cualquier tercero. 4.3 El suscriptor se obliga a informar de manera inmediata a Certicámara y a descontinuar el uso del certificado cuando le sobrevenga cualquier incapacidad, inhabilidad o incompatibilidad para continuar adelantando las actividades de desarrollo, diseño, programación, mantenimiento, distribución de software, aplicativos, código fuente, código objeto, o afines, así mismo, el suscriptor se obliga a solicitar de manera inmediata la revocación de su certificado por esas causas cuando fuere el caso. El Suscriptor será responsable ante las partes confiantes y cualquier tercero por el incumplimiento de esta obligación. 4.4 El suscriptor se obliga a informar de manera inmediata a Certicámara y a descontinuar el uso del certificado cuando se descubra que a través del software, aplicativos, código fuente, código objeto, o afines firmados digitalmente se le causa en cualquier forma perjuicio a partes confiantes o a terceros. El Suscriptor será exclusivo responsable ante las partes confiantes y cualquier tercero por el incumplimiento de esta obligación. 5. Contenido del Certificado para Firma de Código Los Certificados para Firma de Código contendrán particularmente la siguiente información: a. Nombre de persona natural o jurídica que figura en correspondiente formulario de solicitud del certificado y que afirma (i) adelantar las actividades de desarrollo, diseño, programación, mantenimiento, distribución de software, aplicativos, código fuente o código objeto, o afines y, (ii) tener el propósito de ser el originador de mensajes de datos que contengan información, software, aplicativos, código fuente o código objeto. 6. Causales de revocación de certificados digitales Además de las causales establecidas en la parte general de la Declaración de Prácticas de Certificación, serán causales de revocación del Certificado de Firma de Código las siguientes: • • Cuando Certicámara conozca por el suscriptor o por cualquier medio la existencia de cualquier incapacidad, inhabilidad o incompatibilidad que tenga el suscriptor para adelantar las actividades de desarrollo, diseño, programación, mantenimiento, distribución de software, aplicativos, código fuente, código objeto, o afines, Cualquier sanción administrativa, disciplinaria y/o penal que se imponga al suscriptor por el ejercicio de sus actividades CERTICÁMARA NO TIENE DEBER ALGUNO DE INVESTIGACIÓN O REVISIÓN DE LA OCURRENCIA DE CUALQUIERA DE LAS CAUSALES DE REVOCACIÓN ESTABLECIDAS EN ESTE APARTADO. CERTICÁMARA INICIARÁ EL PROCEDIMIENTO DE REVOCACIÓN DE CERTIFICADOS DIGITALES TAN SOLO UNA VEZ TENGA NOTICIA DE LA OCURRENCIA DE CUALQUIERA DE ELLAS. Certicámara no ofrece, como parte del servicio de certificación digital, ningún tipo de servicio de instalación, instrucción, configuración o asistencia técnica para la programación de los sistemas de información del suscriptor. El suscriptor será responsable por establecer la compatibilidad, y operatividad de los certificados digitales de Certicámara con sus sistemas de información. 7. Jerarquía de normas En todo lo no expresamente previsto por las presentes Prácticas de Certificación se aplicará lo señalado en la Declaración de Prácticas de Certificación de Certicámara. • Prácticas de Certificación de Certificados de VPN (Virtual Private Network) /Intranet 1. COMUNIDAD Y APLICABILIDAD Los Certificados de VPN/Intranet certifican que una persona natural o jurídica o entidad del Estado ha afirmado que, dentro de una red privada, tiene el control de una determinada máquina en dicha red privada. TÉCNICAMENTE LOS CERTIFICADOS DE VPN/INTRANET NO RESPALDAN JURIDICAMENTE, NI PUEDEN SER UTILIZADOS, PARA LA GENERACIÓN FIRMAS DIGITALES. El suscriptor de este tipo de certificados digitales es la persona que figura en el certificado digital y que afirmó a través de su representante legal ser aquella que tiene el derecho de uso de una determinada máquina en una Red Privada/Intranet. Los certificados de VPN/INTRANET brindan una seguridad técnica de la máquina con el que se está teniendo una comunicación. El solicitante de este certificado digital deberá ser en todo caso el representante legal del suscriptor. El representante legal del suscriptor es la persona responsable de la confidencialidad de la clave privada del Certificado de VPN/INTRANET, independientemente de las instrucciones que este imparta al interior de la empresa para la administración tanto de la clave privada como del certificado digital. El solicitante podrá delegar en un tercero el proceso de generación y custodia de la clave privada. El delegatario deberá acreditar fehacientemente dicha calidad, a juicio de Certicámara. En ningún caso y bajo ninguna circunstancia la delegación podrá servir de justificación para el incumplimiento o como causal de exoneración de responsabilidad por parte del solicitante o del suscriptor. 2. OBLIGACIONES ESPECIALES DEL SUSCRIPTOR • El suscriptor deberá en todo momento garantizar la confidencialidad de la clave privada, independiente del uso que haga del soporte físico o de la información del certificado digital. Para el efecto, deberá tomar todas las medidas necesarias para que el acceso al soporte físico del certificado digital sea absolutamente restringido. 3. Particularidades del procedimiento de expedición de los Certificados de VPN/INTRANET 3.1. Documentos necesarios para la expedición del Certificado de VPN/INTRANET El solicitante que desee que le sea expedido un Certificado de VPN/INTRANET deberá obligatoriamente enviar a la Entidad de Registro de su jurisdicción, además de los documentos exigidos para todos los certificados digitales, los siguientes documentos, o presentarlos personalmente: • Certificado de existencia y representación legal, documento de nombramiento o equivalente donde conste la representación legal de la persona jurídica o entidad del Estado • Fotocopia del documento de afiliación al sistema de seguridad social en salud, pensiones y /o riesgos profesionales la empresa Administradora de Riesgos Profesionales, de ser el caso. 4. Usos del certificado digital • Los certificados de VPN/INTRANET no pueden ser utilizados como certificados digitales que respalden firmas digitales del suscriptor. • Los certificados de VPN/Intranet no pueden ser utilizados fuera de la red privada del suscriptor. El suscriptor deberá asumir las medidas necesarias para que los mismos no sean empleados en redes públicas o de acceso indiscriminado. • EN NINGÚN MOMENTO Y BAJO NINGUNA CIRCUNSTANCIA UN CERTIFICADO DE VPN/INTRANET PODRÁ SER UTILIZADO COMO CERTIFICADO DE SOLVENCIA ECONÓMICA O DE IDONEIDAD DE LA PERSONA NATURAL, JURÍDICA O ENTIDAD DEL ESTADO TITULAR DEL MISMO. CERTICÁMARA NO REALIZA NINGÚN TIPO DE VERIFICACIÓN A ESTE RESPECTO. LA PERSONA NATURAL, JURÍDICA O ENTIDAD DEL ESTADO SOLICITANTE DE UN CERTIFICADO DE VPN DEBERA ESTABLECER AL INTERIOR DE LA RED PRIVADA O INTRANET EN DONDE PRETENDA EMPLEARSE, LA CONDICIONES PARTICULARES DE UTILIZACIÓN Y VALIDEZ INTERNA DE LOS CERTIFICADOS DIGITALES. 5. Contenido del Certificado de VPN/INTRANET Los Certificados de VPN/INTRANET contendrán, entre otros datos, los siguientes: • • • El nombre completo del la persona natural, jurídica o entidad del estado titular del Certificado digital El nombre de la persona delegada o autorizada por el suscriptor para operar el servidor o máquina que se identifica en el certificado digital, La dirección electrónica que ha designado el suscriptor para las comunicaciones que se le envíen. 6. Causales de revocación de los Certificados de VPN Además de las causales establecidas en la parte general de la Declaración de Prácticas de Certificación, serán causales de revocación del Certificado de VPN las siguientes: • El cese del control sobre la máquina en la red privada/intranet. • La desactivación de la red privada/intranet. • La extinción de la personalidad jurídica del suscriptor. CERTICÁMARA NO TIENE DEBER ALGUNO DE INVESTIGACIÓN O REVISIÓN DE LA OCURRENCIA DE CUALQUIERA DE LAS CAUSALES DE REVOCACIÓN ESTABLECIDAS EN ESTE APARTADO. CERTICÁMARA INICIARÁ EL PROCEDIMIENTO DE REVOCACIÓN DE CERTIFICADOS DIGITALES TAN SOLO UNA VEZ TENGA NOTICIA DE LA OCURRENCIA DE CUALQUIERA DE ELLAS. Certicámara no ofrece, como parte del servicio de certificación digital, ningún tipo de servicio de instalación, instrucción, configuración o asistencia técnica para la programación de los sistemas de información del suscriptor. El suscriptor será responsable por establecer la compatibilidad, y operatividad de los certificados digitales de Certicámara con sus sistemas de información. 7. Jerarquía de Normas En todo lo no expresamente previsto por las presentes Prácticas de Certificación se aplicará lo señalado en la Declaración de Prácticas de Certificación de Certicámara. • Practicas de Certificación de Certificados de Titular de Función Pública 1. COMUNIDAD Y APLICABILIDAD Los Certificados de Titular de Función Pública certifican la identidad de una determinada persona natural vinculándola como funcionario público. Los suscriptores de este tipo de certificados digitales son las personas naturales que logren acreditar suficientemente, a juicio de Certicámara, que han obtenido el nombramiento o son titulares legales del cargo de notario, cónsul, juez de la república, magistrado, registrador o servidor público en la República de Colombia y que se encuentran en ejercicio del mismo. El Certificado de Titular de Función Pública no garantiza la calidad, idoneidad o cumplimiento efectivo de las funciones a cargo de su titular. Certicámara no garantiza que el suscriptor del certificado de Titular de Función Pública haya sido sujeto de sanciones disciplinarias, administrativas, penales o de cualquier otra clase en la República de Colombia o en el exterior. Para la emisión de Certificado de Titular de Función Pública Certicámara se basa en la documentación exhibida y las declaraciones efectuadas por el suscriptor. Mientras la ley o las normas aplicables no establezcan lo contrario, la solicitud de Emisión del Certificado de Función Pública no es obligatoria para los Titulares de Función Pública. La emisión del Certificado de Función Pública no limita al suscriptor para solicitar otros certificados digitales. 2. OBLIGACIONES ESPECIALES DEL SUSCRIPTOR El suscriptor tiene la obligación frente a Certicámara de informar de manera inmediata a su ocurrencia cualquier modificación o aclaración en la información suministrada para la emisión del certificado digital. CERTICÁMARA NO ASUME RESPONSABILIDAD por cambios a dicha información no reportados por el suscriptor. 3. PARTICULARIDADES DEL PROCEDIMIENTO DE EXPEDICIÓN DE LOS CERTIFICADOS DE TITULAR DE FUNCION PÚBLICA. 3.1. Verificación de la identidad En adición a lo establecido en la parte general de esta Declaración de Prácticas de Certificación, la Entidad de Registro verificará la calidad de notario, cónsul, juez de la república, magistrado, registrador o servidor público en la República de Colombia del solicitante-suscriptor a través de la revisión del contenido y la naturaleza de la documentación presentada por el solicitante para acreditar su calidad de notario, cónsul, juez de la república, magistrado, registrador o servidor público en la República de Colombia. CERTICÁMARA UNICAMENTE REALIZARÁ LA VERIFICACIÓN DE LA CALIDAD DE NOTARIO, CÓNSUL, JUEZ DE LA REPÚBLICA, MAGISTRADO, REGISTRADOR O SERVIDOR PUBKLICO EN LA REPÚBLICA DE COLOMBIA DEL SOLICITANTE DENTRO DEL PROCEDIMIENTO DE VERIFICACIÓN DE IDENTIDAD QUE SE SURTE ANTES DE LA EXPEDICIÓN DEL CERTIFICADO DIGITAL. DESDE ESE MOMENTO EN ADELANTE CERTICÁMARA NO REALIZARÁ VERIFICACIÓN ALGUNA A ESTE RESPECTO, Y POR TANTO NO SERÁ RESPONSABLE DE LOS PERJUICIOS QUE SE PRESENTEN POR CUALQUIER CAMBIO NO REPORTADO POR EL SUSCRIPTOR. RECAE EN EL SUSCRIPTOR LA OBLIGACIÓN DE INFORMAR CUALQUIER CAMBIO EN LA INFORMACIÓN Y DE RESPONDER FRENTE A TERCEROS POR TODO PERJUCIO QUE EL INCUMPLIMIENTO DE ESTA OBLIGACIÓN OCASIONE. EL SUSCRIPTOR SERA ENTERAMENTE RESPONSABLE ANTE TERCEROS POR TODO PERJUCIO CAUSADO POR CUALQUIER FALSEDAD EN LA INFORMACIÓN O LA DOCUMENTACIÓN PRESENTADA ANTE CERTICÁMARA O POR CUALQUIER ERROR AL QUE INDUZCA A CERTICÁMARA DURANTE O POSTERIORMENTE AL PROCEDIMIENTO DE VERIFICACION. 4. Uso del certificado digital El suscriptor podrá hacer uso de su certificado digital dentro de los usos contemplados en el numeral 5.1. de la Declaración de Prácticas de Certificación de Certicámara, teniendo los usos prohibidos contemplados en el numeral 5.2. de la DPC. 5. Contenido del Certificado de Titular de Función Pública Los Certificados de Titular de Función Pública contendrán particularmente la siguiente información: a. b. c. d. Identificación de la persona natural. Cargo. Entidad nominadora Número y fecha de acto de nombramiento y/o posesión. 6. Causales de revocación de certificados digitales Se aplicarán las causales establecidas en la parte general de la Declaración de Prácticas de Certificación. CERTICÁMARA NO TIENE DEBER ALGUNO DE INVESTIGACIÓN O REVISIÓN DE LA OCURRENCIA DE CUALQUIERA DE LAS CAUSALES DE REVOCACIÓN. CERTICÁMARA INICIARÁ EL PROCEDIMIENTO DE REVOCACIÓN DE CERTIFICADOS DIGITALES TAN SOLO UNA VEZ TENGA NOTICIA DE LA OCURRENCIA DE CUALQUIERA DE ELLAS. Certicámara no ofrece, como parte del servicio de certificación digital, ningún tipo de servicio de instalación, instrucción, configuración o asistencia técnica para la programación de los sistemas de información del suscriptor. El suscriptor será responsable por establecer la compatibilidad, y operatividad de los certificados digitales de Certicámara con sus sistemas de información. 7. Jerarquía de normas En todo lo no expresamente previsto por las presentes Prácticas de Certificación se aplicará lo señalado en la Declaración de Prácticas de Certificación de Certicámara. • Practicas de certificación para los certificados de persona natural 1. COMUNIDAD Y APLICABILIDAD Los Certificados de Persona Natural certifican que una persona determinada se ha identificado plenamente ante Certicámara con documento(s) de identidad válido(s) y vigente(s) expedidos por la autoridad competente de la República de Colombia, o con documento(s) equivalente(s) expedido(s) por la autoridad competente de cualquier Estado Extranjero. Los Certificados de Persona Natural tienen como suscriptor a la persona natural que actuando en nombre propio logre acreditar suficientemente, a juicio de Certicámara, su identidad a través de la exhibición de la documentación que así lo acredite 2. OBLIGACIONES ESPECIALES DEL SUSCRIPTOR El suscriptor tiene la obligación frente a Certicámara de informar inmediatamente de cualquier modificación sobre su identificación personal. LA CORRESPONDENCIA PERMANENTE ENTRE LA INFORMACIÓN Y LOS DATOS CONTENIDOS EN EL(LOS) DOCUMENTOS DE IDENTIDAD VIGENTES EMITIDOS POR LAS AUTORIDADES COMPETENTES DE LA REPUBLICA DE COLOMBIA O DOCUMENTOS EQUIVALENTES EXPEDIDOS POR LA AUTORIDAD COMPETENTE DE CUALQUIER ESTADO EXTRANJERO, Y AQUELLOS QUE CONSTAN EN EL CERTIFICADO DIGITAL, ES DE RESPONSABILIDAD EXCLUSIVA DEL SUSCRIPTOR. CERTICÁMARA NO ASUME NINGUNA OBLIGACIÓN O RESPONSABILIDAD A ESTE RESPECTO. Cualquier cambio en los datos de identidad de la persona natural (tales como cambio o corrección del nombre, nacionalidad, señales particulares, ciudad de origen, número de identificación, fecha de expedición o de nacimiento, huella dactilar, sexo, u otro), se notificará en forma inmediata allegando un original del respectivo documento que acredite el cambio a la Entidad de Registro de la jurisdicción. 3. PARTICULARIDADES DEL PROCEDIMIENTO DE EXPEDICIÓN DE LOS CERTIFICADOS DE PERSONA NATURAL 3.1. Verificación de la identidad Adicional a lo establecido en la parte general de esta Declaración de Prácticas de Certificación, la Entidad de Registro confirmará la plena identidad del Suscriptor por sus propios medios. Esta comprobación se realizará mediante la verificación de la identidad en bases de reconocida confiabilidad. CERTICÁMARA ÚNICAMENTE REALIZARÁ LA VERIFICACIÓN DE LA IDENTIDAD ANTES DE LA EXPEDICIÓN Y/O ENTREGA DEL CERTIFICADO DIGITAL. DESDE ESE MOMENTO EN ADELANTE CERTICÁMARA NO ESTARA OBLIGADA A REALIZAR VERIFICACIÓN ALGUNA A ESTE RESPECTO, Y POR TANTO NO SERÁ RESPONSABLE DE LOS PERJUICIOS QUE SE PRESENTEN POR EL INCUMPLIMIENTO DE ESTA OBLIGACIÓN. RECAE EN EL SUSCRIPTOR LA OBLIGACIÓN DE INFORMAR CUALQUIER CAMBIO EN LOS DATOS DE IDENTIDAD, Y DE RESPONDER FRENTE A TERCEROS POR TODO PERJUCIO QUE EL INCUMPLIMIENTO DE ESTA OBLIGACIÓN OCASIONE. 4. Uso del certificado digital El suscriptor podrá hacer uso de su certificado digital dentro de los usos contemplados en el numeral 5.1. de la Declaración de Prácticas de Certificación de Certicámara, teniendo los usos prohibidos contemplados en el numeral 5.2. de la DPC. 5. Contenido del certificado de Persona Natural Los Certificados de Persona Natural contendrán particularmente la siguiente información: a. b. c. d. Identificación de la persona natural Nacionalidad o nacionalidades según se acredite. Fecha de expedición de documento de identidad. Lugar de expedición de documento de identidad. 6. Causales de revocación de certificados digitales de Persona Natural Se aplicarán las causales establecidas en la parte general de la Declaración de Prácticas de Certificación. CERTICÁMARA NO TIENE DEBER ALGUNO DE INVESTIGACIÓN O REVISIÓN DE LA OCURRENCIA DE CUALQUIERA DE LAS CAUSALES DE REVOCACIÓN. CERTICÁMARA INICIARÁ EL PROCEDIMIENTO DE REVOCACIÓN DE CERTIFICADOS DIGITALES TAN SOLO UNA VEZ TENGA NOTICIA DE LA OCURRENCIA DE CUALQUIERA DE ELLAS. Certicámara no ofrece, como parte del servicio de certificación digital, ningún tipo de servicio de instalación, instrucción, configuración o asistencia técnica para la programación de los sistemas de información del suscriptor. El suscriptor será responsable por establecer la compatibilidad, y operatividad de los certificados digitales de Certicámara con sus sistemas de información. 7. Jerarquía de normas En todo lo no expresamente previsto por las presentes Prácticas de Certificación se aplicará lo señalado en la Declaración de Prácticas de Certificación de Certicámara.