la-firma-digital

Anuncio
1
UNIVERSIDAD DE COSTARICA
FACULTAD DE CIENCIAS SOCIALES
ESCUELA DE HISTORIA
SECCION DE ARCHIVISTICA
HA-2508 SEMINARIO DE TEMAS ARCHIVÍSTICOS
INFORME PARCIAL 1:
“LA FIRMA DIGITAL”
PROFESORA: RAQUEL UMAÑA ALPÍZAR
ESTUDIANTE:
NATALIA CANTILLANO MORA A00630
II SEMESTRE 2010
SEDE RODRIGO FACIO - SAN PEDRO
2
1. INTRODUCCIÓN
El presente trabajo persigue, sin agotar el tema,
conocer el avance de la
implementación de la firma y certificados digitales en Costa Rica. A partir de éste
objetivo, se pretende dilucidar las siguientes interrogantes específicas: conocer la
jerarquía del sistema, determinar el funcionamiento y reconocer el estado en que se
encuentra su implementación.
El tema es importante para los Archivos pues éstos son los garantes de la memoria y del
acervo documental de la humanidad, memoria que cada vez tiende a ser más digital.
Con base en lo anterior, la presente investigación se divide en tres apartados: el Sistema
de Certificación en Costa Rica, el funcionamiento del Sistema de Certificación en Costa
Rica y estado de implementación del Sistema de Certificación en Costa Rica
2. MARCO TEÓRICO
La información nace con el hombre, ha existido desde que existe la humanidad, por
cuanto ella es inherente al ser humano; sin embargo, el desarrollo científico, técnico,
industrial, económico y social iniciado a finales del siglo XIX y vigorizado en el pasado
siglo, trajo como consecuencia el aumento exponencial de la información.
En la época actual, caracterizada por los constantes cambios y por la globalización, la
información es considerada de valor incalculable. Hasta hace algún tiempo la
información destacaba por su papel instrumental; es decir, servía para agilizar trabajos,
para ayudar en decisiones y para gestionar. De este papel instrumental ha pasado a ser
considerada con valor en sí misma.1
En este sentido, el Archivo cobra una importancia única y una preponderancia particular
ya que, más que documentos, el Archivo custodia información. Desde tiempo
inmemorial la información ha estado unida al soporte, han representado una unión
indisoluble. No obstante, la evolución de la humanidad ha producido un divorcio; es
decir, la tecnología y los medios electrónicos han hecho posible la separación del
soporte y de la información.
1
J. Campos. La Información: recurso estratégico de la sociedad. Revista del Archivo Nacional, (1-12),
pág., 93, 94.
3
En nuestro país, el uso intensivo de las nuevas tecnologías ha generado un importante
volumen de documentos electrónicos. El documento electrónico presenta diversas
ventajas en relación con el documento tradicional, pues es menos costoso, su traslado y
acceso son fáciles y el espacio que utiliza para su conservación es mucho menor.
Ante la evolución y el desarrollo de la humanidad, y particularmente dentro del contexto
de la economía digital2, el documento electrónico se convierte en una sentida necesidad,
por lo tanto su utilidad debe ser equiparada al documento tradicional, en su autenticidad,
fiabilidad y veracidad.
Con tal objetivo, hace algunos años en la sociedad costarricense se hacen esfuerzos por
construir una sociedad de la información y del conocimiento, la cual debe edificarse
sobre la base de la confianza de los ciudadanos y sobre la garantía de la utilización de
las tecnologías de la información y las comunicaciones en un doble plano: la protección
y confidencialidad de los datos de carácter personal y la seguridad de las transacciones
electrónicas.
En este sentido, como un paso inicial y a partir del año 2000, se buscó aprobar una ley
que respaldara el uso del documento electrónico, los certificados y firmas digitales; no
obstante, fue hasta el año 2005 en que la Asamblea Legislativa promulgó la Ley No.
8454 Ley de Certificados, Firmas Digitales y Documentos Electrónicos y, su respectivo
Reglamento (Decreto No. 33018-MICIT ).3
Además, es importante hacer mención a la Ley No. 8279 Sistema Nacional para la
Calidad, publicada en la Gaceta del 21 de mayo de 2002, la cual crea el Ente
Costarricense de Acreditación (ECA).4
A partir de este momento, el Estado ha realizado ingentes esfuerzos por implementar un
Sistema de Certificación, que faculte el uso del documento electrónico en iguales
condiciones que el documento tradicional.
2
Marco Contextual Ley de Firma Digital y Certificados Digitales. Disponible en
www.conicit.go.cr/boletin/boletin4/marco.html. [Consultado: 30 de agosto de 2010].
3
Leyes y Reglamentos. Disponible en www.firmadigital.go.cr. [Consultado: 02 de setiembre de 2010].
4
Leyes y Reglamentos. Disponible en www.firmadigital.go.cr. [Consultado: 02 de setiembre de 2010].
4
Es así como a continuación se procederá a explicar tres apartados a saber: el Sistema de
Certificación en Costa Rica, el funcionamiento del Sistema de Certificación en Costa
Rica y estado de implementación del Sistema de Certificación en Costa Rica
2.1 EL SISTEMA DE CERTIFICACIÓN EN COSTA RICA
Mediante la Ley de Certificados, Firmas Digitales y Documentos Electrónicos, No.
8454, se establece la estructura que rige el Sistema de Certificación en Costa Rica. Es
así como, de acuerdo con el artículo No. 23 de dicha Ley, se crea la Dirección de
Certificadores de Firma Digital (DCFD), unidad perteneciente al Ministerio de Ciencia
y Tecnología (MICIT), y que funge como un ente organizador, director, administrador y
fiscalizador de dicho sistema.
Otro elemento importante del sistema se establece mediante el artículo No. 18, el cual
concibe al certificador como la persona jurídica pública o privada, nacional o extranjera,
prestadora del servicio de creación, emisión y operación de certificados digitales.
La complejidad del conjunto en estudio aumentó con el Reglamento (Decreto No.
33018-MICIT ), en donde se operativiza la Ley. Así, este documento establece diversas
figuras tales como:

Certificador Raíz: el nodo superior autocertificante de la jerarquía nacional de
certificadores registrados.

Certificador Registrado: El certificador inscrito y autorizado por la Dirección de
Certificadores de Firma Digital.

Autoridad de Registro (AR): Entidad delegada por el certificador registrado para
la verificación de la identidad de los solicitantes y otras funciones dentro del
proceso de expedición y manejo de certificados digitales. Representa el punto de
contacto entre el usuario y el certificador registrado.5
A partir del año 2006, el MICIT mediante la DCFD, ha realizado importantes esfuerzos
para crear la infraestructura establecida por medio del Reglamento a la ley.
5
Leyes y Reglamentos. Disponible en www.firmadigital.go.cr. [Consultado: 02 de setiembre de 2010].
5
De acuerdo con la entrevista realizada a la señorita Scarleth Ruiz, Asesora Legal de
dicha Dirección, actualmente se cuenta con una Autoridad Certificadora Raíz.6 Ésta
funciona como una entidad en la cual se delega la confianza para emitir certificados
digitales, además de crear, remitir, revocar o suspender los certificados de llave pública.
La autoridad certificadora raíz está a cargo de la DCFD, la cual mediante un convenio
con el Banco Central de Costa Rica logró cumplir los requerimientos de infraestructura
que establecen las Normas ISO-21188 e ISO 17021, que garantizan la confidencialidad,
disponibilidad e integridad del sistema. Es así, como el Banco Central de Costa Rica
hospeda y custodia la raíz del sistema.
6
Scarleth Ruiz Vargas (Asesora Legal, Dirección de Certificadores de Firma Digital), Avance de la
implementación de la firma y certificados digitales en Costa Rica, comunicación personal, (Ministerio de
Ciencia y Tecnología, 30 de agosto de 2010).
6
De igual manera, según la señorita Ruiz y un campo pagado publicado en el periódico
La Nación (23 de noviembre de 2008, pág. 44 A)7, para el año 2008, la DCFD ya había
elaborado políticas, requisitos y procedimientos de registro para las entidades que
solicitaran su incorporación al sistema nacional de certificación digital.
A partir de este momento, los certificadores están habilitados para iniciar el proceso de
convertirse en certificadores registrados. Actualmente, la única entidad registrada es el
Banco Central de Costa Rica, el cual debió modificar su plataforma tecnológica, con el
fin de responder a las necesidades y requerimientos de este nuevo sistema.
De acuerdo con entrevista realizada al señor Carlos Melegatti Sarlo, Director de la
División de Servicios Financieros del Banco Central8, ésta entidad pretende utilizar
todos los bancos del sistema bancario nacional (públicos y privados) como autoridades
de registro; es decir, servirán como entidades que van a distribuir los certificados
emitidos por la Autoridad Certificadora Registrada a la ciudadanía, empresas y público
en general que desee obtenerla. En realidad, ya se han empezado a implementar los
primeros kioscos de entrega en entidades como el Banco de Costa Rica y el Banco
Nacional.
A continuación se presenta la figura 1, que muestra la jerarquía que actualmente se está
implementando en el Sistema Nacional de Certificación.
7
Campo Pagado: Firma Digital está Lista para Operar, La Nación (San José), 23 de noviembre de 2008,
p. 44 A.
8
Carlos Melegatti Sarlo (Director de la División de Servicios Financieros del Banco Central), Avance de
la implementación de la firma y certificados digitales en Costa Rica, comunicación personal, (Banco
Central de Costa Rica, 21 de julio de 2010).
7
FIGURA 1.
JERARQUÍA DEL SISTEMA NACIONAL DE
CERTIFICACIÓN DIGITAL
COSTA RICA. SETIEMBRE 2010
Fuente: tomado de la página web oficial de la Dirección de Certificadores de Firma Digital.
Disponible en: www.firmadigital.go.cr. [Consultado: 02 de setiembre de 2010]
Además de los organismos antes mencionados, la normativa vigente establece dos
órganos que apoyan a la DCFD. En el artículo No. 19 de la Ley No. 8454, se establece
que el Ente Costarricense de Acreditación (ECA) es quien fijará los requerimientos
técnicos, las prácticas y los estándares internacionales, que deberá seguir la DCFD para
implementar el sistemas de certificación. También, en el artículo No. 21 de la Ley antes
citada, se nombra como entidades evaluadoras y auditoras a la DCFD y al ECA.
Asimismo, el Reglamento (Decreto No. 33018-MICIT) a la Ley en su artículo No. 28
establece que la DCFD contará con un Comité Asesor de Políticas, integrado por el
Banco Central de Costa Rica, el Tribunal Supremo de Elecciones, el Poder Ejecutivo, el
8
Poder Judicial, el Consejo Nacional de Rectores y la Asociación Cámara Costarricense
de Tecnologías de la Información y Comunicaciones.
Este Comité recomienda las políticas generales de operación del sistema nacional de
certificación digital, interpreta, aclara o adiciona esas políticas ante las dudas de
cualquier operador del sistema y evalúa y actualiza periódicamente dichas políticas,
formulando de ser necesario recomendaciones la DCFD.
3. FUNCIONAMIENTO DEL SISTEMA DE CERTIFICACIÓN EN COSTA
RICA
En cuanto a al administración del Sistema Nacional de Certificación, la DCFD juega un
papel preponderante, pues funge el papel de órgano rector de dicho Sistema. Entre las
funciones a destacar se citan las siguientes:
 Tramitar y resolver las solicitudes de inscripción de los certificadores.
 Llevar un registro tanto de certificadores como de certificados digitales.
 Suspender o revocar la inscripción de los certificadores y de certificados,
así como ejercer el régimen disciplinario.
 Expedir claves y certificados a favor de los certificadores registrados, y
mantener el correspondiente repositorio de acceso público.
 Fiscalizar el funcionamiento de los certificadores registrados, para
asegurar su confiabilidad, eficiencia, e imponiendo las sanciones respectivas.
La supervisión podrá ser ejercida por medio del ECA, en el ámbito de su
competencia.
 Señalar las medidas que estime necesarias para proteger los derechos, los
intereses y la confidencialidad de los usuarios, así como la continuidad y
eficiencia del servicio, y velar por la ejecución de tales disposiciones.9
Otros aspectos interesantes que señala la Ley con respecto al funcionamiento del
Sistema, son:
9
Leyes y Reglamentos. Disponible en www.firmadigital.go.cr. [Consultado: 02 de setiembre de 2010].
9
 Los certificados digitales son homologables. Los certificadores
registrados podrán concentrar relaciones de corresponsalía con entidades
similares del extranjero, para efectos de homologar los certificados digitales
expedidos por estas entidades o que estas hagan lo propio en el exterior con
los emitidos por los certificadores registrados.
 Los certificados digitales pueden ser suspendidos a petición del propio
usuario, por orden judicial o de la DCFD, o bien cuando exista un proceso
judicial por un uso indebido de la firma digital.
 También, pueden ser revocados cuando se confirme que el usuario ha
comprometido su confiabilidad, desatendido los lineamientos de seguridad
establecidos, suplido información falsa al certificador u omitido otra
información relevante, con el propósito de obtener o renovar el certificado.
 De igual forma, se puede revocar cuando por fallecimiento, ausencia
legalmente declarada, interdicción o insolvencia del usuario persona física, o
por cese de actividades, quiebra o liquidación, en el caso de las personas
jurídicas. Otras razones para revocar el certificado digital son: a petición del
usuario, por orden de la autoridad judicial o cuando recaiga condena firme
contra el usuario, por delitos en cuya comisión se haya utilizado la firma
digital.
Finalmente, la normativa vigente faculta a la DCFD a imponer sanciones a los
certificadores, tales como: amonestación, multa, suspensión hasta de un año y
revocatoria de la inscripción.
4. ESTADO
DE
IMPLEMENTACIÓN
DEL
SISTEMA
DE
CERTIFICACIÓN EN COSTA RICA
Como mencionamos anteriormente, el Ministerio de Ciencia y Tecnología, mediante la
DCFD ha establecido toda una estructura tanto material como teórica, con el fin de
implementar la firma digital en nuestro país.
10
Después de crearse el Reglamento a la Ley No. 8454, se centraron esfuerzos en crear las
políticas, requisitos y procedimientos de registro, para los entes que registren su
incorporación al Sistema Nacional de Certificación Nacional. Como fruto de ese interés
el 04 de septiembre de 2008, la DCFD aprobó la Política de Certificados para la
Jerarquía Nacional de Certificadores Registrados.
Este documento define las políticas de certificado, dictadas por la Dirección de
Certificadores de Firma Digital para el Sistema Nacional de Certificación Digital. La
autoridad certificadora registrada debe implementar las políticas en los servicios de
certificación que incluyen: la emisión, gestión, suspensión y revocación de los
certificados.
Esta política es de acatamiento obligatorio y deben ser implementadas por la Autoridad
Certificadora Raíz (CA Raíz) y por cualquier otra Autoridad Certificadora Registrada,
en los niveles inferiores de la jerarquía nacional de certificadores registrados. Estas
políticas fueron desarrolladas conforme a lo estipulado en el RFC 3647 “Internet X.509
Public Key Infrastructure. Certificate Policy and Certification Practices Framework”.
Las políticas nacionales contemplan los siguientes tipos de certificados:

Certificados para Autoridades Certificadoras emisoras: son los certificados
mediante los cuales se acredita a las Autoridades Certificadoras emisoras, como
registradas y por tanto, con plena facultad de emitir los certificados digitales.

Certificados de autenticación y firma digital de persona física: certificados
emitidos para que una persona (nacional o extranjero) mayor de edad, pueda
autenticarse para hacer uso del sistema o bien para firmar documentos y
transacciones con relevancia jurídica.

Certificados de autenticación y firma digital de agente electrónico: certificados
emitidos a sistemas informáticos u otros medios automáticos, que realizan
transacciones electrónicas con relevancia jurídica en forma automática, sin
intervención humana. Las obligaciones por responsabilidades que se derivan de
su accionar automático, obligan y comprometen a su propietario responsable.
11

Certificados de autoridades de sellado de tiempo: certificado por medio del cual
se le permite a una autoridad certificadora, implementar un sistema de emisión y
gestión de sellado de tiempo, basado en una firma digital acreditada. El sellado
de tiempo es un conjunto de datos que se asocian a un documento electrónico,
estableciendo evidencia para determinar que el documento existía antes de su
tiempo concreto.
De acuerdo con la entrevista realizada a la funcionaria Ruiz Vargas, gracias al convenio
efectuado en el año 2006 con el Banco Central de Costa Rica, para hospedar y custodiar
la raíz del Sistema Nacional de Certificación Digital, el costo por implementar esta
plataforma se estableció en un millón de dólares. Monto relativamente pequeño, pues
según experiencias de otros países (por ejemplo Brasil), las sumas rondan los cinco
millones de dólares aproximadamente.
Entre las medidas de seguridad a las que está sometida la raíz del sistema, según lo
comentó la señorita Scarleth, se encuentran:

Bóveda del Banco Central recubierta en cobre, con el fin de evitar transferencias
o fugas de información. Asimismo, la estructura presenta dos puertas de
seguridad con su respectiva clave.

Monitoreo de seguridad los 365 días del año, 7 días a la semana, las 24 horas del
día. Éste monitoreo, así como la seguridad en general, recae en personal de
confianza de la entidad bancaria

Sistema contra incendio y terremoto, así como fuente de energía para poder
laborar en ausencia del fluido eléctrico. Además, el sitio posee un clima
controlado con una temperatura que ronda los 15°C.

El sistema de seguridad tiene el formato “3 de 4”. Es decir, para ingresar al lugar
que contiene la plataforma de la CA raíz, es necesario contar con la presencia de
tres de las cuatro personas autorizadas para ingresar al sitio. Además, se ingresa
mediante dos sistemas de identificación: carné y huella digital. Los funcionarios
autorizados para ingresar al lugar antes descrito son del Ministerio de Ciencia y
Tecnología, así como del Banco Central de Costa Rica. Es importante destacar
que hay dos representantes de cada institución.
12

Al ingresar al lugar donde se custodia la CA Raíz, los funcionarios deben pasar
por cuatro controles de seguridad. Además, no deben portar celulares y
grabadoras, entre otros objetos.

Finalmente, se ha implementado un sitio alterno (exactamente igual al sitio
original), ubicado en el distrito de Llorente, cantón de Tibás. Este sitio
funcionaría en caso de emergencia.
En el año 2008, se consideraba entre los dispositivos para el almacenamiento de los
certificados y firma digital los token y las smart card. El costo de estos dispositivos,
junto con el encriptamiento de la llave, se estimaba en centavos de dólar. Una cifra muy
baja en comparación con países como Chile, en donde los certificados de firma digital
oscilan en $120.00.
Actualmente, el Banco Central de Costa Rica, única entidad certificadora registrada,
utiliza los smart cards, como los dispositivos para el almacenamiento del certificado y la
firma digital. Además del este dispositivo, el Banco Central provee de un lector de la
smart card, el cual es necesario, con el fin de adaptar esta tecnología a cualquier tipo de
ordenador. El costo total de este servicio es de $30.00.
Se debe mencionar que los certificados digitales tienen un periodo de vigencia de dos
años, posteriormente, este se deberá renovar.
Como se mencionó anteriormente, el Banco Central de Costa Rica esta utilizando las
entidades bancarias que conforman el Sistema Bancario Nacional (ya sean públicas o
privadas), con el fin de convertirlas en Autoridades de Registro. De esta manera se esta
completando la estructura jerárquica que demandaba la normativa vigente.
Se debe señalar que en el Estado costarricense existen algunas instituciones, que ya
cuentan con el mecanismo de la firma digital, tal es el caso de la Dirección General de
Aduanas (sistema TICA) y la Contraloría General de la República. Éstas esperan la
puesta en marcha del Sistema de Certificación Nacional, con la finalidad de brindar a
las transacciones electrónicas el mismo valor probatorio y legal de los mecanismos
tradicionales.
13
Según la Asesora Legal de la Dirección, se espera que para un plazo máximo de un
quinquenio, la firma digital esté encriptada en la cédula, sin costo alguno. Para ello la
DCFD a iniciado conversaciones con el Tribunal Supremo de Elecciones y la Dirección
General de Migración y Extranjería.
Finalmente, la funcionaria Scarleth Ruiz indicó que , después de la puesta en marcha
del Sistema, existe un plazo de un año para que tanto, la CA Raíz como los CA
registrados, sean acreditados, pues actualmente están únicamente autorizados.
5. CONCLUSIÓN
Como puede colegirse, la firma y certificados digitales en nuestro país son
prácticamente una realidad. En resumen, se ha logrado conocer avance de la
implementación de la firma y certificados digitales en Costa Rica, máxime que se
consultó a la DCFD. Mediante este pequeño análisis, se ha podido conocer la jerarquía
del sistema, determinar el funcionamiento y reconocer el estado en que se encuentra su
implementación.
Este trabajo representa una primera exploración del tema, además al ser un tópico de
gran actualidad y en constante desarrollo y cambio, es necesario realizar análisis o
monitoreos, con la finalidad de enriquecer el conocimiento sobre la temática. Desde este
punto de vista, no se ha pretendido agotar el tema, por lo que se da pie a futuras
investigaciones.
La preocupación que arroja el análisis es diversa, por un lado, la conservación de los
documentos. Al entrar en vigencia los certificados y las firmas digitales, el uso
generalizado de los documentos electrónicos será mucho más fuerte y servirán como
instrumentos probatorios de trámites formales.
Por tal motivo, con el fin de asegurar una eficiente gestión y toma de decisiones en la
administración y garantizar los derechos de los ciudadanos, es perentorio asegurar la
conservación de los documentos que respalden dichos trámites. No es un secreto que
actualmente la durabilidad y conservación de los documentos electrónicos es una
materia incierta y pendiente. Por tanto, la utilización indiscriminada de este tipo de
14
soporte podría dar como resultado, a largo plazo, una pérdida del patrimonio
documental y por consecuencia una pérdida de la memoria de la humanidad.
Otra preocupación, es la seguridad que brinde el Sistema de Certificación Nacional. No
se puede emitir criterio certero por el momento, posiblemente solo la práctica y la
experiencia darán respuesta a esta interrogante; no obstante, se debe recordar que
ningún sistema informático es completamente seguro.
Es claro que el avance tecnológico es inminente y que nadie lo puede detener; además,
el no sumarse a este significaría un retroceso para la sociedad costarricense. No
obstante, la evolución tecnológica debe ser cuidadosamente planificada, para no
cometer los errores experimentados con los documentos tradicionales.
6. BIBLIOGRAFÍA
-Campos, J (2005). La Información: recurso estratégico de la sociedad. Revista del
Archivo Nacional, (1-12), pág., 93-101.
-La Nación (San José). Campo Pagado: Firma Digital está Lista para Operar, 23 de
noviembre de 2008, p. 44 A.
-Leyes y Reglamentos. Disponible en www.firmadigital.go.cr. [Consultado: 02 de
setiembre de 2010].
-Marco Contextual Ley de Firma Digital y Certificados Digitales. Disponible en
www.conicit.go.cr/boletin/boletin4/marco.html. [Consultado: 02 de setiembre de 2010].
-Melegatti Sarlo, C. (Director de la División de Servicios Financieros del Banco
Central), Avance de la implementación de la firma y certificados digitales en Costa
Rica, comunicación personal, (Banco Central de Costa Rica, 21 de julio de 2010).
-Ruiz Vargas, S. (Asesora Legal, Dirección de Certificadores de Firma Digital), Avance
de la implementación de la firma y certificados digitales en Costa Rica, comunicación
personal, (Ministerio de Ciencia y Tecnología, 30 de agosto de 2010).
Descargar