¡Disfruta de SmartLeges Premium!

Suscríbete a SmartLeges Premium y disfruta de estas ventajas:

  • Consulta tantas leyes como necesites, gratuitas o de pago, sin coste adicional
  • Consulta casi cualquier ley en varios países gracias al nuevo buscador avanzado. ¡Toda la legislación a tu alcance!
  • Disfruta de todas las características de SmartLeges sin restricciones
Ver los planes

Una aplicación imprescindible y gratuita para profesionales y estudiantes del sector jurídico

Leer más
 

¡Regístrate gratis!

¿Quieres consultar esta y otras leyes completas?

Regístrate gratis y podrás consultar las leyes en tu móvil o tablet, además de subrayar textos, añadir notas...

¡Regístrate gratis!

Compartir esta ley Otras leyes de Colombia
Email Facebook Twitter Google Linkedin Tumblr

DECRETO POR EL CUAL SE REGLAMENTA EL ARTÍCULO 160 DEL DECRETO-LEY 19 DE 2012

Versión: 19-02-2014

Decreto 333 de 2014 de 19-02-2014

Ministerio de Comercio Industria y Turismo

Diario Oficial. Año Cxlix. N. 49069. 19, Febrero, 2014. Pag. 9.


  • Capítulo I. Aspectos Generales
  • Capítulo II. De las entidades de certificación
  • Capítulo III. Disposiciones Comunes
  • Versión 19/02/2014

Capítulo I
Aspectos Generales

Artículo 1

Objeto. El presente decreto tiene por objeto definir el régimen de acreditación de las entidades de certificación, en desarrollo de lo previsto en el artículo 160 del Decreto-ley 19 de 2012

Artículo 2

Ámbito de aplicación. Las disposiciones contenidas en el presente decreto se aplicarán a:

1. Las personas jurídicas, tanto públicas como privadas, de origen nacional o extranjero, incluidas las cámaras de comercio y las notarías, que pretendan ser acreditadas como entidades de certificación.

2. Las entidades de certificación que hubieren sido autorizadas por la Superintendencia de Industria y Comercio, las cuales deberán cumplir, en los plazos aquí establecidos, con las disposiciones del presente decreto que les sean aplicables.

Parágrafo. Se encuentran excluidos de la aplicación de este decreto los valores y actividades regulados en la Ley 964 de 2005.

Artículo 3

Definiciones. Para efectos del presente decreto se entenderá por:

1. Certificado en relación con las firmas: mensaje de datos firmado por la entidad de certificación que identifica, tanto a la entidad de certificación que lo expide como al suscriptor, y contiene la clave pública de este.

2. Iniciador: persona que actuando por su cuenta, o en cuyo nombre se haya actuado, envíe o genere un mensaje de datos.

3. Suscriptor: persona a cuyo nombre se expide un certificado.

4. Repositorio: sistema de información utilizado para almacenar y recuperar certificados u otra información relacionada con los mismos.

5. Clave privada: valor o valores numéricos que utilizados conjuntamente con un procedimiento matemático conocido, sirven para generar la firma digital de un mensaje de datos.

6. Clave pública: valor o valores numéricos que son utilizados para verificar que una firma digital fue generada con la clave privada del iniciador.

7. Estampado cronológico: mensaje de datos que vincula a otro mensaje de datos con un momento o periodo de tiempo concreto, el cual permite establecer con una prueba que estos datos existían en ese momento o periodo de tiempo y que no sufrieron ninguna modificación a partir del momento en que se realizó el estampado.

8. Entidad de certificación cerrada: entidad que ofrece servicios propios de las entidades de certificación solo para el intercambio de mensajes entre la entidad y el suscriptor, sin exigir remuneración por ello.

9. Entidad de certificación abierta: la que ofrece, al público en general, servicios propios de las entidades de certificación, tales que:

a) Su uso no se limita al intercambio de mensajes entre la entidad y el suscriptor, y

b) Recibe remuneración.

10. Declaración de Prácticas de Certificación (DPC): manifestación pública de la entidad de certificación sobre las políticas y procedimientos específicos que aplica para la prestación de sus servicios.

Artículo 4

Sistema confiable. Los sistemas utilizados para el ejercicio de las actividades de las entidades de certificación se considerarán confiables si satisfacen los estándares técnicos nacionales e internacionales vigentes que cumplan con los criterios específicos de acreditación que para el efecto establezca el ONAC

Capítulo II
De las entidades de certificación

Artículo 5

Acreditación de las entidades de certificación cerradas. Quienes soliciten la acreditación para operar como entidades de certificación cerradas, deberán indicar específicamente las actividades en las que pretendan acreditarse de acuerdo con lo dispuesto en el artículo 161 del Decreto-ley 19 de 2012 y demostrar ante el ONAC, además de los requisitos previstos en el Capítulo III de este decreto, los siguientes requisitos:

1. Sus administradores y representantes legales no están incursos en las causales de inhabilidad previstas en el literal c) del artículo 29 de la Ley 527 de 1999.

2. Que cumplen con los estándares técnicos nacionales e internacionales vigentes y con los criterios específicos de acreditación que para el efecto establezca el ONAC.

Parágrafo. Las entidades de certificación cerradas no tendrán que demostrar ante el ONAC el cumplimiento de los requisitos adicionales que se exigen a las entidades de certificación abiertas.

Artículo 6

Información en certificados. Los certificados emitidos por las entidades de certificación cerradas deberán indicar expresamente que solo podrán ser usados entre la entidad emisora y el suscriptor

Artículo 7

Acreditación de las entidades de certificación abiertas. Quienes soliciten la acreditación para operar como entidades de certificación abiertas, deberán indicar específicamente las actividades en las que pretendan acreditarse de acuerdo con lo dispuesto en el artículo 161 del Decreto-ley 19 de 2012 y demostrar ante el ONAC, además de los requisitos previstos en el Capítulo III de este decreto, los siguientes requisitos:

1. Personería jurídica o condición de notario o cónsul.

Cuando se trate de una entidad extranjera, se deberá acreditar el cumplimiento de los requisitos previstos contemplados en el Libro Segundo, Título VIII del Código de Comercio para las sociedades extranjeras que pretendan ejecutar negocios permanentes en territorio colombiano. Igualmente deberá observarse lo establecido en el artículo 58 del Código General del Proceso, o las normas que lo modifiquen.

2. Que los administradores y representantes legales no están incursos en las causales de inhabilidad previstas en el literal c) del artículo 29 de la Ley 527 de 1999.

3. Declaración de Prácticas de Certificación (DPC) satisfactoria, de acuerdo con los requisitos establecidos por el ONAC.

4. Patrimonio mínimo de 400 salarios mínimos mensuales legales vigentes al momento de la solicitud de acreditación y durante la vigencia de la misma.

5. Constitución de las garantías previstas en este decreto.

6. Infraestructura y recursos por lo menos en la forma exigida en el artículo 11 de este decreto.

7. Un procedimiento de ejecución inmediata para revocar a todo nivel los certificados expedidos a los suscriptores, a petición de estos o cuando ocurra alguno de los eventos previstos en el artículo 37 de la Ley 527 de 1999.

8. Cumplir con los estándares técnicos nacionales e internacionales vigentes y con los criterios específicos de acreditación que para el efecto establezca el ONAC.

Parágrafo 1°. El ONAC tendrá la facultad de solicitar ampliación o aclaración sobre los puntos que estime conveniente.

Parágrafo 2°. En el caso de los certificados recíprocos, se deberán acreditar adicionalmente la entidad reconocida, los certificados reconocidos y el tipo de certificado al cual se remite, la vigencia y los términos del reconocimiento.

Artículo 8

Patrimonio mínimo. Para determinar el patrimonio mínimo solo se tomarán en cuenta el capital suscrito y pagado, la reserva legal, el superávit por prima de colocación de acciones y se deducirán las pérdidas acumuladas y las del ejercicio en curso

El patrimonio mínimo deberá acreditarse:

1. En el caso de personas jurídicas, por medio de estados financieros, con una antigüedad no superior a 6 meses, certificados por el representante legal y el revisor fiscal si lo hubiere.

2. Tratándose de entidades públicas, por medio del proyecto de gastos y de inversión que genere la actividad de certificación, conjuntamente con los certificados de disponibilidad presupuestal que acrediten la apropiación de recursos para dicho fin.

3. Para las sucursales de entidades extranjeras por medio del capital asignado.

4. En el caso de los notarios y cónsules, por medio de los recursos dedicados exclusivamente a la actividad de entidad de certificación.

Artículo 9

Garantías. La entidad de certificación debe contar con al menos una de las siguientes garantías:

1. Seguros vigentes que cumplan con los siguientes requisitos:

a) Ser expedidos por una entidad aseguradora que esté sometida a la inspección, vigilancia y control de la Superintendencia Financiera de Colombia. En caso de no ser posible lo anterior, por una entidad aseguradora del exterior que cuente con la autorización previa de la mencionada Superintendencia;

b) Cubrir todos los perjuicios contractuales y extracontractuales de los suscriptores y terceros de buena fe, derivados de errores y omisiones, o de actos de mala fe de los administradores, representantes legales o empleados de la certificadora en el desarrollo de las actividades para las cuales solicita o cuenta con acreditación;

c) Cubrir los anteriores riesgos por una cuantía asegurada por evento igual o superior al mayor entre:

i) 7.500 salarios mínimos mensuales legales por evento; o

ii) El límite fijado para las garantías ofrecidas definido en las prácticas de certificación;

d) Incluir cláusula de restitución automática del valor asegurado;

e) Incluir una cláusula que obligue a la entidad aseguradora, al tomador y al asegurado a informar previamente a ONAC la terminación del contrato de seguro o las modificaciones que reduzcan el alcance o monto de la cobertura.

2. Contrato de fiducia con patrimonio autónomo que cumpla con las siguientes características:

a) Tener como objeto exclusivo el cubrimiento de las pérdidas sufridas por los suscriptores y terceros de buena fe, que se deriven de los errores y omisiones o de actos de mala fe de los administradores, representantes legales o empleados de la certificadora en el desarrollo de las actividades para las cuales solicita o cuenta con acreditación;

b) Contar con recursos suficientes para cubrir pérdidas por una cuantía por evento igual o superior al mayor entre:

i) 7.500 salarios mínimos mensuales legales por evento, o

ii) El fijado para las garantías ofrecidas definido en las prácticas de certificación;

c) Que los fideicomitentes se obliguen a restituir los recursos de la fiducia en caso de una reclamación, por lo menos hasta el monto mínimo exigido en el literal anterior;

d) Que la fiduciaria se obligue a informar previamente al ONAC sobre cualquier cambio en los reglamentos, disminución en el monto o alcance de la cobertura, así como para el retiro de fideicomitentes y para la terminación del contrato;

e) Demostrar en cualquier momento que las inversiones estén representadas en títulos de renta fija, alta seguridad y liquidez, emitidos o garantizados por la Nación, el Banco de la República o calificados como de mínimo riesgo por una sociedad calificadora de riesgo vigilada por la Superintendencia Financiera de Colombia.

La entidad que pretenda otorgar el reconocimiento recíproco de certificados, deberá demostrar la cobertura de las garantías requeridas en este decreto para los perjuicios que puedan causar los certificados reconocidos.

Capítulo III
Disposiciones Comunes

Artículo 10

Declaración de Prácticas de Certificación (DPC). Sin perjuicio de los demás requisitos que establezca el ONAC, el contenido de esta declaración deberá incluir al menos lo siguiente:

1. Identificación de la entidad de certificación.

2. Política de manejo de los certificados.

3. Obligaciones de la entidad y de los suscriptores de los certificados.

4. Precauciones que deben observar los terceros.

5. Manejo de la información suministrada por los suscriptores.

6. Descripción de las garantías y recursos que ofrece para el cumplimiento de las obligaciones que se deriven de sus actividades.

7. Límites de responsabilidad por el ejercicio de su actividad.

8. Política tarifaria de expedición y revocación de certificados.

9. Procedimientos de seguridad para el manejo de eventos e incidentes, entre otros:

a) Cuando la seguridad de la clave privada de la entidad de certificación se ha visto comprometida;

b) Cuando el sistema de seguridad de la entidad de certificación ha sido vulnerado;

c) Cuando se presenten fallas en el sistema de la entidad de certificación que comprometan la prestación del servicio;

d) Cuando los sistemas de cifrado pierdan vigencia por no ofrecer el nivel de seguridad contratado por el suscriptor.

10. El plan de contingencia encaminado a garantizar la continuidad del servicio de certificación.

11. Modelos y minutas de los contratos que utilizarán con los usuarios.

12. Política de manejo de otros servicios que fuere a prestar, detallando sus condiciones.

13. Descripción de los requisitos y procedimientos para la emisión de cada uno de los tipos de certificados que ofrece, de acuerdo con lo establecido en las normas legales vigentes.

Artículo 11

Infraestructura y recursos. En desarrollo de lo previsto en el literal b) del artículo 29 de la Ley 527 de 1999, la entidad de certificación deberá contar con un equipo de personas, una infraestructura física, tecnológica y unos procedimientos y sistemas de seguridad, tales que:

1. Puedan generar las firmas digitales y electrónicas propias y que además, les permita prestar todos los servicios para los que soliciten la acreditación.

2. Se garantice el cumplimiento de lo previsto en la Declaración de Prácticas de Certificación (DPC).

3. Se pueda calificar el sistema como confiable de acuerdo con lo señalado en el artículo 4° del presente decreto.

4. Los certificados expedidos por las entidades de certificación cumplan con:

a) Lo previsto en el artículo 35 de la Ley 527 de 1999, y

b) Los estándares técnicos nacionales e internacionales vigentes que cumplan con los criterios específicos de acreditación que para el efecto establezca el ONAC.

5. Se garantice la existencia de sistemas de seguridad física en sus instalaciones, un monitoreo permanente de toda su planta física, y acceso restringido a los equipos que manejan los sistemas de operación de la entidad.

6. El manejo de la clave privada de la entidad esté sometido a un procedimiento propio de seguridad que evite el acceso físico o de otra índole a la misma a personal no autorizado.

7. Cuente con un registro de todas las transacciones realizadas, que permita identificar el autor de cada una de las operaciones.

8. Los sistemas que cumplan las funciones de certificación solo sean utilizados con ese propósito y por lo tanto no puedan realizar ninguna otra función.

9. Todos los sistemas que participen directa o indirectamente en la función de certificación estén protegidos por sistemas y procedimientos de autenticación y seguridad de conformidad con los estándares nacionales e internacionales vigentes y con los criterios específicos de acreditación que para el efecto establezca el ONAC.

Artículo 12

Infraestructura prestada por un tercero. Cuando quiera que la entidad de certificación requiera o utilice infraestructura o servicios tecnológicos prestados por un tercero, los contratos deberán prever que su terminación está condicionada a que la entidad haya implementado o contratado una infraestructura o servicio tecnológico que le permita continuar prestando sus servicios sin ningún perjuicio para los suscriptores

Tanto el tercero como la entidad de certificación, deberán cumplir con los requisitos legales, técnicos y de infraestructura que para la acreditación establezcan el presente decreto y el ONAC.

La contratación de esta infraestructura o servicios no exime a la entidad certificadora de cumplir con el deber de permitir y facilitar al ONAC la realización de auditorías.