1 UNIVERSIDAD DE COSTARICA FACULTAD DE CIENCIAS SOCIALES ESCUELA DE HISTORIA SECCION DE ARCHIVISTICA HA-2508 SEMINARIO DE TEMAS ARCHIVÍSTICOS INFORME PARCIAL 1: “LA FIRMA DIGITAL” PROFESORA: RAQUEL UMAÑA ALPÍZAR ESTUDIANTE: NATALIA CANTILLANO MORA A00630 II SEMESTRE 2010 SEDE RODRIGO FACIO - SAN PEDRO 2 1. INTRODUCCIÓN El presente trabajo persigue, sin agotar el tema, conocer el avance de la implementación de la firma y certificados digitales en Costa Rica. A partir de éste objetivo, se pretende dilucidar las siguientes interrogantes específicas: conocer la jerarquía del sistema, determinar el funcionamiento y reconocer el estado en que se encuentra su implementación. El tema es importante para los Archivos pues éstos son los garantes de la memoria y del acervo documental de la humanidad, memoria que cada vez tiende a ser más digital. Con base en lo anterior, la presente investigación se divide en tres apartados: el Sistema de Certificación en Costa Rica, el funcionamiento del Sistema de Certificación en Costa Rica y estado de implementación del Sistema de Certificación en Costa Rica 2. MARCO TEÓRICO La información nace con el hombre, ha existido desde que existe la humanidad, por cuanto ella es inherente al ser humano; sin embargo, el desarrollo científico, técnico, industrial, económico y social iniciado a finales del siglo XIX y vigorizado en el pasado siglo, trajo como consecuencia el aumento exponencial de la información. En la época actual, caracterizada por los constantes cambios y por la globalización, la información es considerada de valor incalculable. Hasta hace algún tiempo la información destacaba por su papel instrumental; es decir, servía para agilizar trabajos, para ayudar en decisiones y para gestionar. De este papel instrumental ha pasado a ser considerada con valor en sí misma.1 En este sentido, el Archivo cobra una importancia única y una preponderancia particular ya que, más que documentos, el Archivo custodia información. Desde tiempo inmemorial la información ha estado unida al soporte, han representado una unión indisoluble. No obstante, la evolución de la humanidad ha producido un divorcio; es decir, la tecnología y los medios electrónicos han hecho posible la separación del soporte y de la información. 1 J. Campos. La Información: recurso estratégico de la sociedad. Revista del Archivo Nacional, (1-12), pág., 93, 94. 3 En nuestro país, el uso intensivo de las nuevas tecnologías ha generado un importante volumen de documentos electrónicos. El documento electrónico presenta diversas ventajas en relación con el documento tradicional, pues es menos costoso, su traslado y acceso son fáciles y el espacio que utiliza para su conservación es mucho menor. Ante la evolución y el desarrollo de la humanidad, y particularmente dentro del contexto de la economía digital2, el documento electrónico se convierte en una sentida necesidad, por lo tanto su utilidad debe ser equiparada al documento tradicional, en su autenticidad, fiabilidad y veracidad. Con tal objetivo, hace algunos años en la sociedad costarricense se hacen esfuerzos por construir una sociedad de la información y del conocimiento, la cual debe edificarse sobre la base de la confianza de los ciudadanos y sobre la garantía de la utilización de las tecnologías de la información y las comunicaciones en un doble plano: la protección y confidencialidad de los datos de carácter personal y la seguridad de las transacciones electrónicas. En este sentido, como un paso inicial y a partir del año 2000, se buscó aprobar una ley que respaldara el uso del documento electrónico, los certificados y firmas digitales; no obstante, fue hasta el año 2005 en que la Asamblea Legislativa promulgó la Ley No. 8454 Ley de Certificados, Firmas Digitales y Documentos Electrónicos y, su respectivo Reglamento (Decreto No. 33018-MICIT ).3 Además, es importante hacer mención a la Ley No. 8279 Sistema Nacional para la Calidad, publicada en la Gaceta del 21 de mayo de 2002, la cual crea el Ente Costarricense de Acreditación (ECA).4 A partir de este momento, el Estado ha realizado ingentes esfuerzos por implementar un Sistema de Certificación, que faculte el uso del documento electrónico en iguales condiciones que el documento tradicional. 2 Marco Contextual Ley de Firma Digital y Certificados Digitales. Disponible en www.conicit.go.cr/boletin/boletin4/marco.html. [Consultado: 30 de agosto de 2010]. 3 Leyes y Reglamentos. Disponible en www.firmadigital.go.cr. [Consultado: 02 de setiembre de 2010]. 4 Leyes y Reglamentos. Disponible en www.firmadigital.go.cr. [Consultado: 02 de setiembre de 2010]. 4 Es así como a continuación se procederá a explicar tres apartados a saber: el Sistema de Certificación en Costa Rica, el funcionamiento del Sistema de Certificación en Costa Rica y estado de implementación del Sistema de Certificación en Costa Rica 2.1 EL SISTEMA DE CERTIFICACIÓN EN COSTA RICA Mediante la Ley de Certificados, Firmas Digitales y Documentos Electrónicos, No. 8454, se establece la estructura que rige el Sistema de Certificación en Costa Rica. Es así como, de acuerdo con el artículo No. 23 de dicha Ley, se crea la Dirección de Certificadores de Firma Digital (DCFD), unidad perteneciente al Ministerio de Ciencia y Tecnología (MICIT), y que funge como un ente organizador, director, administrador y fiscalizador de dicho sistema. Otro elemento importante del sistema se establece mediante el artículo No. 18, el cual concibe al certificador como la persona jurídica pública o privada, nacional o extranjera, prestadora del servicio de creación, emisión y operación de certificados digitales. La complejidad del conjunto en estudio aumentó con el Reglamento (Decreto No. 33018-MICIT ), en donde se operativiza la Ley. Así, este documento establece diversas figuras tales como: Certificador Raíz: el nodo superior autocertificante de la jerarquía nacional de certificadores registrados. Certificador Registrado: El certificador inscrito y autorizado por la Dirección de Certificadores de Firma Digital. Autoridad de Registro (AR): Entidad delegada por el certificador registrado para la verificación de la identidad de los solicitantes y otras funciones dentro del proceso de expedición y manejo de certificados digitales. Representa el punto de contacto entre el usuario y el certificador registrado.5 A partir del año 2006, el MICIT mediante la DCFD, ha realizado importantes esfuerzos para crear la infraestructura establecida por medio del Reglamento a la ley. 5 Leyes y Reglamentos. Disponible en www.firmadigital.go.cr. [Consultado: 02 de setiembre de 2010]. 5 De acuerdo con la entrevista realizada a la señorita Scarleth Ruiz, Asesora Legal de dicha Dirección, actualmente se cuenta con una Autoridad Certificadora Raíz.6 Ésta funciona como una entidad en la cual se delega la confianza para emitir certificados digitales, además de crear, remitir, revocar o suspender los certificados de llave pública. La autoridad certificadora raíz está a cargo de la DCFD, la cual mediante un convenio con el Banco Central de Costa Rica logró cumplir los requerimientos de infraestructura que establecen las Normas ISO-21188 e ISO 17021, que garantizan la confidencialidad, disponibilidad e integridad del sistema. Es así, como el Banco Central de Costa Rica hospeda y custodia la raíz del sistema. 6 Scarleth Ruiz Vargas (Asesora Legal, Dirección de Certificadores de Firma Digital), Avance de la implementación de la firma y certificados digitales en Costa Rica, comunicación personal, (Ministerio de Ciencia y Tecnología, 30 de agosto de 2010). 6 De igual manera, según la señorita Ruiz y un campo pagado publicado en el periódico La Nación (23 de noviembre de 2008, pág. 44 A)7, para el año 2008, la DCFD ya había elaborado políticas, requisitos y procedimientos de registro para las entidades que solicitaran su incorporación al sistema nacional de certificación digital. A partir de este momento, los certificadores están habilitados para iniciar el proceso de convertirse en certificadores registrados. Actualmente, la única entidad registrada es el Banco Central de Costa Rica, el cual debió modificar su plataforma tecnológica, con el fin de responder a las necesidades y requerimientos de este nuevo sistema. De acuerdo con entrevista realizada al señor Carlos Melegatti Sarlo, Director de la División de Servicios Financieros del Banco Central8, ésta entidad pretende utilizar todos los bancos del sistema bancario nacional (públicos y privados) como autoridades de registro; es decir, servirán como entidades que van a distribuir los certificados emitidos por la Autoridad Certificadora Registrada a la ciudadanía, empresas y público en general que desee obtenerla. En realidad, ya se han empezado a implementar los primeros kioscos de entrega en entidades como el Banco de Costa Rica y el Banco Nacional. A continuación se presenta la figura 1, que muestra la jerarquía que actualmente se está implementando en el Sistema Nacional de Certificación. 7 Campo Pagado: Firma Digital está Lista para Operar, La Nación (San José), 23 de noviembre de 2008, p. 44 A. 8 Carlos Melegatti Sarlo (Director de la División de Servicios Financieros del Banco Central), Avance de la implementación de la firma y certificados digitales en Costa Rica, comunicación personal, (Banco Central de Costa Rica, 21 de julio de 2010). 7 FIGURA 1. JERARQUÍA DEL SISTEMA NACIONAL DE CERTIFICACIÓN DIGITAL COSTA RICA. SETIEMBRE 2010 Fuente: tomado de la página web oficial de la Dirección de Certificadores de Firma Digital. Disponible en: www.firmadigital.go.cr. [Consultado: 02 de setiembre de 2010] Además de los organismos antes mencionados, la normativa vigente establece dos órganos que apoyan a la DCFD. En el artículo No. 19 de la Ley No. 8454, se establece que el Ente Costarricense de Acreditación (ECA) es quien fijará los requerimientos técnicos, las prácticas y los estándares internacionales, que deberá seguir la DCFD para implementar el sistemas de certificación. También, en el artículo No. 21 de la Ley antes citada, se nombra como entidades evaluadoras y auditoras a la DCFD y al ECA. Asimismo, el Reglamento (Decreto No. 33018-MICIT) a la Ley en su artículo No. 28 establece que la DCFD contará con un Comité Asesor de Políticas, integrado por el Banco Central de Costa Rica, el Tribunal Supremo de Elecciones, el Poder Ejecutivo, el 8 Poder Judicial, el Consejo Nacional de Rectores y la Asociación Cámara Costarricense de Tecnologías de la Información y Comunicaciones. Este Comité recomienda las políticas generales de operación del sistema nacional de certificación digital, interpreta, aclara o adiciona esas políticas ante las dudas de cualquier operador del sistema y evalúa y actualiza periódicamente dichas políticas, formulando de ser necesario recomendaciones la DCFD. 3. FUNCIONAMIENTO DEL SISTEMA DE CERTIFICACIÓN EN COSTA RICA En cuanto a al administración del Sistema Nacional de Certificación, la DCFD juega un papel preponderante, pues funge el papel de órgano rector de dicho Sistema. Entre las funciones a destacar se citan las siguientes: Tramitar y resolver las solicitudes de inscripción de los certificadores. Llevar un registro tanto de certificadores como de certificados digitales. Suspender o revocar la inscripción de los certificadores y de certificados, así como ejercer el régimen disciplinario. Expedir claves y certificados a favor de los certificadores registrados, y mantener el correspondiente repositorio de acceso público. Fiscalizar el funcionamiento de los certificadores registrados, para asegurar su confiabilidad, eficiencia, e imponiendo las sanciones respectivas. La supervisión podrá ser ejercida por medio del ECA, en el ámbito de su competencia. Señalar las medidas que estime necesarias para proteger los derechos, los intereses y la confidencialidad de los usuarios, así como la continuidad y eficiencia del servicio, y velar por la ejecución de tales disposiciones.9 Otros aspectos interesantes que señala la Ley con respecto al funcionamiento del Sistema, son: 9 Leyes y Reglamentos. Disponible en www.firmadigital.go.cr. [Consultado: 02 de setiembre de 2010]. 9 Los certificados digitales son homologables. Los certificadores registrados podrán concentrar relaciones de corresponsalía con entidades similares del extranjero, para efectos de homologar los certificados digitales expedidos por estas entidades o que estas hagan lo propio en el exterior con los emitidos por los certificadores registrados. Los certificados digitales pueden ser suspendidos a petición del propio usuario, por orden judicial o de la DCFD, o bien cuando exista un proceso judicial por un uso indebido de la firma digital. También, pueden ser revocados cuando se confirme que el usuario ha comprometido su confiabilidad, desatendido los lineamientos de seguridad establecidos, suplido información falsa al certificador u omitido otra información relevante, con el propósito de obtener o renovar el certificado. De igual forma, se puede revocar cuando por fallecimiento, ausencia legalmente declarada, interdicción o insolvencia del usuario persona física, o por cese de actividades, quiebra o liquidación, en el caso de las personas jurídicas. Otras razones para revocar el certificado digital son: a petición del usuario, por orden de la autoridad judicial o cuando recaiga condena firme contra el usuario, por delitos en cuya comisión se haya utilizado la firma digital. Finalmente, la normativa vigente faculta a la DCFD a imponer sanciones a los certificadores, tales como: amonestación, multa, suspensión hasta de un año y revocatoria de la inscripción. 4. ESTADO DE IMPLEMENTACIÓN DEL SISTEMA DE CERTIFICACIÓN EN COSTA RICA Como mencionamos anteriormente, el Ministerio de Ciencia y Tecnología, mediante la DCFD ha establecido toda una estructura tanto material como teórica, con el fin de implementar la firma digital en nuestro país. 10 Después de crearse el Reglamento a la Ley No. 8454, se centraron esfuerzos en crear las políticas, requisitos y procedimientos de registro, para los entes que registren su incorporación al Sistema Nacional de Certificación Nacional. Como fruto de ese interés el 04 de septiembre de 2008, la DCFD aprobó la Política de Certificados para la Jerarquía Nacional de Certificadores Registrados. Este documento define las políticas de certificado, dictadas por la Dirección de Certificadores de Firma Digital para el Sistema Nacional de Certificación Digital. La autoridad certificadora registrada debe implementar las políticas en los servicios de certificación que incluyen: la emisión, gestión, suspensión y revocación de los certificados. Esta política es de acatamiento obligatorio y deben ser implementadas por la Autoridad Certificadora Raíz (CA Raíz) y por cualquier otra Autoridad Certificadora Registrada, en los niveles inferiores de la jerarquía nacional de certificadores registrados. Estas políticas fueron desarrolladas conforme a lo estipulado en el RFC 3647 “Internet X.509 Public Key Infrastructure. Certificate Policy and Certification Practices Framework”. Las políticas nacionales contemplan los siguientes tipos de certificados: Certificados para Autoridades Certificadoras emisoras: son los certificados mediante los cuales se acredita a las Autoridades Certificadoras emisoras, como registradas y por tanto, con plena facultad de emitir los certificados digitales. Certificados de autenticación y firma digital de persona física: certificados emitidos para que una persona (nacional o extranjero) mayor de edad, pueda autenticarse para hacer uso del sistema o bien para firmar documentos y transacciones con relevancia jurídica. Certificados de autenticación y firma digital de agente electrónico: certificados emitidos a sistemas informáticos u otros medios automáticos, que realizan transacciones electrónicas con relevancia jurídica en forma automática, sin intervención humana. Las obligaciones por responsabilidades que se derivan de su accionar automático, obligan y comprometen a su propietario responsable. 11 Certificados de autoridades de sellado de tiempo: certificado por medio del cual se le permite a una autoridad certificadora, implementar un sistema de emisión y gestión de sellado de tiempo, basado en una firma digital acreditada. El sellado de tiempo es un conjunto de datos que se asocian a un documento electrónico, estableciendo evidencia para determinar que el documento existía antes de su tiempo concreto. De acuerdo con la entrevista realizada a la funcionaria Ruiz Vargas, gracias al convenio efectuado en el año 2006 con el Banco Central de Costa Rica, para hospedar y custodiar la raíz del Sistema Nacional de Certificación Digital, el costo por implementar esta plataforma se estableció en un millón de dólares. Monto relativamente pequeño, pues según experiencias de otros países (por ejemplo Brasil), las sumas rondan los cinco millones de dólares aproximadamente. Entre las medidas de seguridad a las que está sometida la raíz del sistema, según lo comentó la señorita Scarleth, se encuentran: Bóveda del Banco Central recubierta en cobre, con el fin de evitar transferencias o fugas de información. Asimismo, la estructura presenta dos puertas de seguridad con su respectiva clave. Monitoreo de seguridad los 365 días del año, 7 días a la semana, las 24 horas del día. Éste monitoreo, así como la seguridad en general, recae en personal de confianza de la entidad bancaria Sistema contra incendio y terremoto, así como fuente de energía para poder laborar en ausencia del fluido eléctrico. Además, el sitio posee un clima controlado con una temperatura que ronda los 15°C. El sistema de seguridad tiene el formato “3 de 4”. Es decir, para ingresar al lugar que contiene la plataforma de la CA raíz, es necesario contar con la presencia de tres de las cuatro personas autorizadas para ingresar al sitio. Además, se ingresa mediante dos sistemas de identificación: carné y huella digital. Los funcionarios autorizados para ingresar al lugar antes descrito son del Ministerio de Ciencia y Tecnología, así como del Banco Central de Costa Rica. Es importante destacar que hay dos representantes de cada institución. 12 Al ingresar al lugar donde se custodia la CA Raíz, los funcionarios deben pasar por cuatro controles de seguridad. Además, no deben portar celulares y grabadoras, entre otros objetos. Finalmente, se ha implementado un sitio alterno (exactamente igual al sitio original), ubicado en el distrito de Llorente, cantón de Tibás. Este sitio funcionaría en caso de emergencia. En el año 2008, se consideraba entre los dispositivos para el almacenamiento de los certificados y firma digital los token y las smart card. El costo de estos dispositivos, junto con el encriptamiento de la llave, se estimaba en centavos de dólar. Una cifra muy baja en comparación con países como Chile, en donde los certificados de firma digital oscilan en $120.00. Actualmente, el Banco Central de Costa Rica, única entidad certificadora registrada, utiliza los smart cards, como los dispositivos para el almacenamiento del certificado y la firma digital. Además del este dispositivo, el Banco Central provee de un lector de la smart card, el cual es necesario, con el fin de adaptar esta tecnología a cualquier tipo de ordenador. El costo total de este servicio es de $30.00. Se debe mencionar que los certificados digitales tienen un periodo de vigencia de dos años, posteriormente, este se deberá renovar. Como se mencionó anteriormente, el Banco Central de Costa Rica esta utilizando las entidades bancarias que conforman el Sistema Bancario Nacional (ya sean públicas o privadas), con el fin de convertirlas en Autoridades de Registro. De esta manera se esta completando la estructura jerárquica que demandaba la normativa vigente. Se debe señalar que en el Estado costarricense existen algunas instituciones, que ya cuentan con el mecanismo de la firma digital, tal es el caso de la Dirección General de Aduanas (sistema TICA) y la Contraloría General de la República. Éstas esperan la puesta en marcha del Sistema de Certificación Nacional, con la finalidad de brindar a las transacciones electrónicas el mismo valor probatorio y legal de los mecanismos tradicionales. 13 Según la Asesora Legal de la Dirección, se espera que para un plazo máximo de un quinquenio, la firma digital esté encriptada en la cédula, sin costo alguno. Para ello la DCFD a iniciado conversaciones con el Tribunal Supremo de Elecciones y la Dirección General de Migración y Extranjería. Finalmente, la funcionaria Scarleth Ruiz indicó que , después de la puesta en marcha del Sistema, existe un plazo de un año para que tanto, la CA Raíz como los CA registrados, sean acreditados, pues actualmente están únicamente autorizados. 5. CONCLUSIÓN Como puede colegirse, la firma y certificados digitales en nuestro país son prácticamente una realidad. En resumen, se ha logrado conocer avance de la implementación de la firma y certificados digitales en Costa Rica, máxime que se consultó a la DCFD. Mediante este pequeño análisis, se ha podido conocer la jerarquía del sistema, determinar el funcionamiento y reconocer el estado en que se encuentra su implementación. Este trabajo representa una primera exploración del tema, además al ser un tópico de gran actualidad y en constante desarrollo y cambio, es necesario realizar análisis o monitoreos, con la finalidad de enriquecer el conocimiento sobre la temática. Desde este punto de vista, no se ha pretendido agotar el tema, por lo que se da pie a futuras investigaciones. La preocupación que arroja el análisis es diversa, por un lado, la conservación de los documentos. Al entrar en vigencia los certificados y las firmas digitales, el uso generalizado de los documentos electrónicos será mucho más fuerte y servirán como instrumentos probatorios de trámites formales. Por tal motivo, con el fin de asegurar una eficiente gestión y toma de decisiones en la administración y garantizar los derechos de los ciudadanos, es perentorio asegurar la conservación de los documentos que respalden dichos trámites. No es un secreto que actualmente la durabilidad y conservación de los documentos electrónicos es una materia incierta y pendiente. Por tanto, la utilización indiscriminada de este tipo de 14 soporte podría dar como resultado, a largo plazo, una pérdida del patrimonio documental y por consecuencia una pérdida de la memoria de la humanidad. Otra preocupación, es la seguridad que brinde el Sistema de Certificación Nacional. No se puede emitir criterio certero por el momento, posiblemente solo la práctica y la experiencia darán respuesta a esta interrogante; no obstante, se debe recordar que ningún sistema informático es completamente seguro. Es claro que el avance tecnológico es inminente y que nadie lo puede detener; además, el no sumarse a este significaría un retroceso para la sociedad costarricense. No obstante, la evolución tecnológica debe ser cuidadosamente planificada, para no cometer los errores experimentados con los documentos tradicionales. 6. BIBLIOGRAFÍA -Campos, J (2005). La Información: recurso estratégico de la sociedad. Revista del Archivo Nacional, (1-12), pág., 93-101. -La Nación (San José). Campo Pagado: Firma Digital está Lista para Operar, 23 de noviembre de 2008, p. 44 A. -Leyes y Reglamentos. Disponible en www.firmadigital.go.cr. [Consultado: 02 de setiembre de 2010]. -Marco Contextual Ley de Firma Digital y Certificados Digitales. Disponible en www.conicit.go.cr/boletin/boletin4/marco.html. [Consultado: 02 de setiembre de 2010]. -Melegatti Sarlo, C. (Director de la División de Servicios Financieros del Banco Central), Avance de la implementación de la firma y certificados digitales en Costa Rica, comunicación personal, (Banco Central de Costa Rica, 21 de julio de 2010). -Ruiz Vargas, S. (Asesora Legal, Dirección de Certificadores de Firma Digital), Avance de la implementación de la firma y certificados digitales en Costa Rica, comunicación personal, (Ministerio de Ciencia y Tecnología, 30 de agosto de 2010).