Consejo Nacional para Investigaciones Científicas y Tecnológicas
menu
Avanzada (?)
menu

Ley de Firma Digital y Certificados Digitales

TITULO I

PRINCIPIOS Y NORMAS GENERALES

CAPÍTULO PRIMERO

DISPOSICIONES GENERALES

Artículo 1.- La presente ley tiene por objetivo regular el uso y el reconocimiento jurídico de la Firma Digital, otorgándole la misma validez y eficacia jurídica que el uso de una firma manuscrita u otra análoga que conlleve manifestación de voluntad, así como el autorizar al Estado para su utilización.

Artículo 2.- Para los propósitos de la presente ley se establecen las siguientes definiciones:

  1.  
  2. Acreditación: La acreditación es el procedimiento mediante el cual un organismo autorizado reconoce formalmente que una entidad o empresa es competente para realizar tareas específicas.
  3.  
  4. Acreditación voluntaria del prestador de servicios de certificación: Resolución que establece los derechos y obligaciones específicos para la prestación de servicios de certificación y que se emite, a petición del interesado, por el Órgano Rector y la Autoridad Competente de acreditación, de conformidad con lo previsto en esta ley, su reglamento y la normativa intencional aplicable.
  5.  
  6. Certificado Digital: Es la certificación digital que vincula unos datos de verificación de firma a un signatario y confirma su identidad.
  7.  
  8. Certificado Digital Reconocido: Es el certificado que cumple con los requisitos establecidos en la presente ley y su reglamento, y que vincula un documento digital con determinada persona como su signatario, mediante un proceso seguro de certificación y es expedido por un prestador de servicios de certificación acreditado por el Órgano Rector y la Autoridad Competente de acreditación.
  9.  
  10. Datos de creación de firma: Son los datos únicos, como códigos o claves criptográficas privadas, que el signatario utiliza para crear la Firma Digital.
  11.  
  12. Datos de verificación de firma: Son los datos como códigos o claves criptográficas públicas, que se utilizan para verificar la Firma Digital.
  13.  
  14. Dispositivo de creación de firma: Es un mecanismo que sirve para aplicar los datos de creación de firma.
  15.  
  16. Dispositivo de verificación de firma: Es un mecanismo que sirve para aplicar los datos de verificación de firma.
  17.  
  18. Dispositivo seguro de creación de firma: Es el mecanismo de creación de firma que cumple adicionalmente con los requisitos establecidos en la presente ley y su reglamento.
  19.  
  20. Documento: Significa información que se encuentra almacenada en un medio tangible, o que se guarda en un medio electrónico o de cualquier otra naturaleza, y que se puede recuperar o reproducir en una forma perceptible e inteligible.
  21.  
  22. Firma Digital: Es el conjunto de datos, anexos a otros datos o datos asociados funcionalmente, utilizados como medio para identificar formalmente al autor o a los autores del documento que la recoge.
  23.  
  24. Firma Digital Avanzada: Es la Firma Digital Certificada por un prestador de servicios de certificación debidamente acreditado ante la autoridad competente de acreditación.
  25.  
  26. Información: Es aquel mensaje comunicado mediante datos, textos, imágenes, sonidos, códigos, programas, información almacenada en bases de datos, aplicaciones, o similares.
  27.  
  28. Iniciador: Es quien envía un mensaje de datos, esté o no suscrito digitalmente.
  29.  
  30. Información Íntegra: Se entenderá por íntegra aquella información que haya permanecido completa e inalterada, sin menoscabo de cualquier adición o cambio, inherente al proceso de comunicación, almacenamiento, archivo o presentación. El grado de fiabilidad requerido será determinado a la luz de los fines para los que se generó la información y de todas las circunstancias del caso.
  31.  
  32. Intermediario: Es aquella persona, física o jurídica, que actuando por cuenta de otra, envíe, reciba, almacene dicho mensaje o preste algún otro servicio con respecto a él.
  33.  
  34. Mensaje de datos: Es la información generada, enviada, recibida, almacenada, o comunicada por medios digitales, electrónicos, ópticos o similares.
  35.  
  36. Prestador de servicios de certificación o entidad certificadora: Es la persona física o jurídica que expide certificados.
  37.  
  38. Procedimiento seguro: Es el procedimiento empleado con el propósito de verificar que una Firma Digital es atribuible a determinada persona como su signatario, o para detectar cambios y errores en un documento digital, incluyendo cualquier proceso que implique el uso de algoritmos matemáticos, códigos, sistemas de encriptamiento, y cualquier otro medio o tecnología de identificación o reconocimiento.
  39.  
  40. Producto de Firma Digital: Es el instrumento y sus componentes específicos, destinados a la prestación de servicios de Firma Digital por el prestador de servicios de certificación o para la creación o verificación de Firma Digital.
  41.  
  42. Receptor: Es la persona a quien el signatario dirige el mensaje o documento electrónico.
  43.  
  44. Signatario: Es la persona física o jurídica que cuenta con un mecanismo de creación de firma, que actúa en nombre propio o con poderes de representación de otra persona física o jurídica.
  45.  
  46. Sistema : Es el conjunto de elementos independientes pero interrelacionados entre sí para conseguir un propósito común.
  47.  
  48. Sistema de información: Es un conjunto de elementos ordenado utilizado para generar, enviar, recibir, almacenar o procesar de alguna forma mensajes de datos.

Articulo 3: En la presente ley se utilizará el término digital entendido como cualquier información codificada en dígitos, la cual resulta más precisa que el termino electrónico, que se refiere al medio físico de procesamiento, almacenamiento o transmisión, el cual es uno de los medios para generar, transmitir y almacenar información digital.

 

CAPÍTULO II

RECONOCIMIENTO JURÍDICO DE LA FIRMA DIGITAL

Artículo 4.- La Firma Digital Avanzada, deberá crearse mediante un dispositivo seguro de creación de firma.

Artículo 5- La Firma Digital Avanzada, siempre que esté basada en un certificado digital reconocido y que haya sido producida por un dispositivo seguro de creación de firma, tendrá respecto de los datos consignados en forma digital, el mismo valor jurídico que la firma manuscrita en relación con los consignados en papel.

Cuando la ley exija la presentación o existencia de un documento escrito debidamente firmado, tal requisito será plenamente satisfecho por un documento digital, si el mismo ha sido firmado mediante una Firma Digital Avanzada, creada por un dispositivo seguro de creación de firma.

Se presumirá que la Firma Digital Avanzada y el medio de creación de firma con el que ésta se produzca, reúnen las condiciones necesarias para producir los efectos indicados en este apartado cuando el certificado reconocido es emitido por un prestador de servicios de certificación acreditado.

Articulo 6. - Cuando una ley requiere que un documento o firma esté certificado o autenticado notarialmente por un abogado, o de cualquier otra forma reconocido, verificado o certificado, tal requisito se tendrá por cumplido si una firma electrónica avanzada de un notario publico, abogado, funcionario publico, o cualquier otra persona autorizada y competente para efectuar tales actos, es puesta o vinculada al documento o firma digital o Firma Digital Avanzada

 

CAPÍTULO III

USO DE LA FIRMA DIGITAL Y LOS DOCUMENTOS ELECTRÓNICOS POR EL ESTADO

Artículo 7.- Se autoriza a los Poderes Legislativo, Ejecutivo y Judicial, al Tribunal Supremo de Elecciones, Contraloría General de la República, Defensoría de los Habitantes, así como a todas las instituciones públicas descentralizadas, y entes públicos no estatales para la utilización de la Firma Digital Avanzada y los documentos electrónicos firmados digitalmente en sus relaciones internas, entre ellos y con los particulares, de conformidad con las previsiones de esta ley y su reglamento.

 

TITULO II

DE LOS SERVICIOS DE CERTIFICACIÓN DIGITAL

CAPITULO I

DEL ÓRGANO RECTOR

Artículo 8.- El Ministerio de Ciencia y Tecnología será el Órgano Rector en todo lo concerniente a esta ley.

8.1 Toda interpretación técnica estará bajo el mejor criterio del Órgano Rector tomando en cuenta el estado de arte en la tecnología, así como los requerimientos y realidades del país.

Artículo 9.- El Poder Ejecutivo, a través del Ministerio de Ciencia y Tecnología, utilizará un sistema de acreditación voluntario, en el ámbito de los prestadores de servicios de certificación de Firma Digital Avanzada, coordinando para ello con la Autoridad de Acreditación, la cual será un ente con participación activa y equilibrada de los sectores involucrados. La Autoridad de Acreditación mediante la función de acreditación, reconoce formalmente que una organización es competente para llevar a cabo tareas especificas de acuerdo a los requisitos de normas nacionales e internacionales, que permitan lograr un adecuado grado de seguridad y confianza que proteja debidamente, los derechos de los usuarios, para lo cual deberá llevar a cabo el proceso de evaluación correspondiente, un registro de las entidades acreditadas y velar por que se cumplan los requisitos establecidos por esta ley y su reglamento.

CAPITULO II

CERTIFICADOS DIGITALES

Artículo 10.- Los certificados digitales se vinculan con una persona confirmando su identidad, el cual deberá contener al menos:

  1.  
  2. Los Datos que identifiquen individualmente al firmante.
  3.  
  4. Los Datos que identifiquen a la Entidad de Certificación.
  5.  
  6. Número de serie del certificado.
  7.  
  8. Fecha de emisión y plazo de vigencia
  9.  
  10. Los demás que el reglamento establezca.

Artículo 11.- Los certificados digitales se podrán cancelar y revocar en los siguientes casos:

  1.  
  2. A solicitud del titular de la firma.
  3.  
  4. Por expiración del plazo.
  5.  
  6. Por cese de operaciones de la Entidad de certificación.
  7.  
  8. Por muerte del titular de la Firma Digital.
  9.  
  10. Por incumplimiento contractual con la Entidad de Certificación.
  11.  
  12. Las demás que el reglamento establezca.

Artículo 12.- Los certificados de Firma Digital que sean emitidos por entidades no establecidas en Costa Rica, serán equivalentes a los otorgados por prestadores establecidos en el país, cuando hayan sido homologados por estos últimos, bajo su responsabilidad, y reconocidos por la autoridad de acreditación competente y cumpliendo con los requisitos fijados en esta ley, su reglamento y normas internaciones correspondientes.

CAPITULO III

DE LA ACREDITACION E INSPECCION DE LOS PRESTADORES DE SERVICIOS DE CERTIFICACION DIGITAL

Artículo 13.- Mediante la autoridad competente de acreditación, la cual estará adscrita al Ministerio Rector, las empresas que emitan certificados de Firma Digital, deberán someterse al proceso de acreditación que se defina al respecto para estar debidamente acreditados. Las funciones de las empresas certificadoras serán entre otras las de emitir o cancelar certificados digitales, así como brindar otros servicios inherentes al propio certificado.

Artículo 14.- Con el fin de comprobar el cumplimiento de las obligaciones de los prestadores acreditados, la Autoridad de Acreditación ejercerá la facultad de inspección sobre los prestadores acreditados y podrá, a tal efecto, requerir información, ordenar evaluaciones anunciadas o no anunciadas a sus instalaciones al menos una vez al año y solicitar las modificaciones necesarias para que se mantenga actualizado el sistema y el servicio, con personal que para tal efecto se seleccione de conformidad al reglamento, la Autoridad de Acreditación y del Órgano Rector. Así como suspender las acreditaciones en caso de incumplimiento.

Artículo 15.- La Autoridad de Acreditación así como el personal que actúe bajo su dependencia o por cuenta de ella, deberá guardar la confidencialidad y custodia de los documentos y la información que le entreguen las empresas certificadoras.

Artículo 16-. El Órgano Rector deberá observar en sus actuaciones y regulaciones total neutralidad respecto de las diversas tecnologías de Firma Digital existentes, procurando la mayor adaptabilidad a los avances científicos y tecnológicos en tal área.

TITULO III

LOS DISPOSITIVOS DE FIRMA DIGITAL AVANZADA Y LA EVALUACIÓN DE SU CONFORMIDAD CON LA NORMATIVA APLICABLE

CAPITULO UNICO

Artículo 17-. Los dispositivos seguros de creación de Firma Digital para considerarse como tales deberán cumplir con:

  1.  
  2. Garantizar que los datos utilizados para la generación de firma puedan producirse sólo una vez y asegurar, razonablemente, su secreto, dentro de las posibilidades o limitaciones tecnológicas.
  3.  
  4. Que exista seguridad razonable de que dichos datos no puedan ser alterados o falsificados con la tecnología existente en un momento dado.
  5.  
  6. Que los datos de creación de firma puedan ser protegidos con fiabilidad por el signatario contra la utilización por otros.
  7.  
  8. Que el dispositivo utilizado no altere los datos o el documento que deba firmarse, ni impida que éste se muestre al signatario antes del proceso de firma.

Artículo 18-. Los dispositivos de verificación de Firma Digital Avanzada deben garantizar al menos lo siguiente:

1- Que la firma se verifica de forma fiable y el resultado de la verificación figure correctamente.

2- Que el verificador puede, en caso necesario, establecer de forma fiable la integridad de los datos firmados y detectar si han sido modificados.

3- Que aparezca correctamente la identidad del signatario.

  1.  
  2. Que se verifique de forma fiable el certificado.
  3.  
  4. Que puede detectarse cualquier cambio relativo a su seguridad e integridad.

Artículo 19-. Las disposiciones de esta ley no deberán entenderse en el sentido de prohibir la existencia de sistemas de Firma Digital basados en convenios expresos entre las partes, las que podrán a través de un contrato fijar sus derechos y obligaciones, y las condiciones técnicas y de cualquier otra clase, bajo las cuales reconocerán su autoría sobre un documento digital o mensaje de datos que envíen, o la recepción de un mensaje de datos de su contraparte.

 

TÍTULO IV

DISPOSICIONES FINALES

Artículo 20-. El Poder Ejecutivo deberá emitir el reglamento a la presente ley dentro del plazo máximo de tres meses siguientes a su publicación.

Rige a partir de su publicación.

Dado en la Presidencia de la República. San José, el ___________ de _________del año 2001

 

Miguel Angel Rodríguez Echeverría

·  ·  ·  ·  ·  ·  ·  ·  ·  Guy de Téramond

MINISTRO DE CIENCIA Y TECNOLOGÍA