La Firma Electrónica es un conjunto de datos adjunto o lógicamente asociado a un mensaje, documento electrónico o archivo digital, cuya finalidad es comprobar su integridad y permitir la identificación unívoca del autor.
En tanto la Firma Digital es una modalidad de la firma electrónica, desarrollada a partir de una infraestructura de clave pública ("PKI") y privada; es decir, de la tecnología de criptografía asimétrica. En el mismo sentido, se habla de firma electrónica avanzada cuando la identificación es altamente fiable y permite detectar cualquier alteración del documento no autorizada merced a que los dispositivos empleados en la creación de la firma son seguros, por cumplir determinadas exigencias técnicas, y porque el Prestador de Servicios de Certificación que ha intervenido está acreditado como tal.
Es la combinación de programas, tecnologías de encripción, procesos, y servicios que permite a las organizaciones asegurar las comunicaciones y las transacciones del Negocio. [1]
Es la certificación electrónica que vincula unos datos de verificación de firma a un signatario y confirma su identidad. Los Prestadores de Servicios de Certificación certifican que quien firma un documento electrónico, utiliza realmente las claves de quien dice ser, para lo cual han generado previamente la clave pública y privada del firmante, y le han identificado.
Las aplicaciones de Internet como navegadores (por ejemplo Internet Explorer o Netscape Navigator) o programas para correo electrónico, ya traen incorporados los elementos que les permiten utilizar los certificados de Firma Electrónica, por lo que los usuarios no necesitan instalar ningún software adicional. Por ejemplo, cuando uno se conecta a un Sitio Web que use certificados electrónicos con Internet Explorer, se despliega la siguiente ventana:
Aquí se le está preguntando al usuario que seleccione un certificado de Firma Electrónica para identificarse en el sitio Web, a diferencia del mecanismo común de usuario/contraseña.
Un certificado, es un documento electrónico que contiene un conjunto de información que permite identificar al usuario titular de una clave pública, es decir, la única persona que administra la clave privada que le corresponde a esta clave pública. En cambio la firma digital como tal es un conjunto de 150 caracteres o más que permite identificar al autor del documento en el que consta.
La firma digital garantiza:
Autenticidad: la posibilidad técnica de establecer un nexo unívoco entre un documento, mensaje, archivo o firma electrónica y su autor.
No Repudio: ofrece protección a un usuario frente a que otro usuario niegue posteriormente que en realidad se realizó cierta comunicación. Esta protección se efectúa por medio de una colección de evidencias irrefutables que permitirán la resolución de cualquier disputa. El no repudio de origen protege al receptor de que el emisor niegue haber enviado el mensaje, mientras que el no repudio de recepción protege al emisor de que el receptor niegue haber recibido el mensaje. Las firmas digitales constituyen el mecanismo más empleado para este fin.
Confidencialidad: se trata de la seguridad de que los datos que contiene el documento permanecen ocultos a los ojos de terceras personas durante su viaje por el medio desde A a B. Y aquí no entra en juego sólo el papel que realiza la criptografía ocultando los datos, si no también qué se hace con dichos datos una vez han llegado al destinatario de los mismos.
La encriptación es el procedimiento por medio del cual se convierte un texto, mensaje, archivo, documento, etc., de su formato original a otro ilegible o ininteligible para quien no posea la clave necesaria para revertir el proceso. Puede ser simétrica o asimétrica, según se emplee la misma clave, o bien dos claves diferentes pero matemáticamente relacionadas entre sí, para encriptar y desencriptar, respectivamente.
El siguiente esquema ayuda a entender este concepto.
Ø Documento sin encriptar
Ø Documento encriptado
El certificado digital será entregado dentro de un aparato conocido como TOKEN, es conocido también como MINIKEY. El TOKEN deberá de ser traído por cada auxiliar de la función pública aduanera.
Es el dispositivo de seguridad utilizado para firmar digitalmente y cifrar mensajes. Tiene un Nivel de Seguridad ALTO, siendo el portador de la llave del usuario para acceder los servicios prestados que requieren Certificados Digitales. Este combina las funcionalidades de una tarjeta inteligente y su lectora en un hardware en uno solo; es fácil de manipular, seguro y se puede trasladar a cualquier parte del mundo.
Al ser un dispositivo USB asegura la máxima compatibilidad (Plug and Play) con la mayoría de los computadores de escritorio y portátiles utilizados. Esto implica que no necesita periféricos adicionales para su correcto funcionamiento.
Los requerimientos técnicos de los Tokens entre otros serán:
q Poseer las características similares a iKey 2032 (FIPS).
q Debe estar conformado por dos componentes, un controlador/chip criptográfico y un controlador de bus USB.
q El almacenamiento de 32KB.
q Que soporte RSA, encriptación de 1024/2048 bits.
q Un sistema operativo de chip criptográfico con un entorno para administrar y generar claves criptográficas.
q No debe permitir grabar su llave a otro medio. Por ejemplo al disco duro.
q El controlador USB debe cumplir con la función de un lector de tarjeta inteligente, que transporte los datos para su utilización en el controlador criptográfico.
q Ejecutar una variedad de algoritmos criptográficos: DES en modos ECB y CBC, DESX, triple-DES, RC2, RC4 y RC5.
q Debe soportar Pki, Certificados Digitales X.509, llaves públicas y privadas.
El precio de los TOKEN con las características antes mencionadas es de aproximadamente de $ 60.
Como se ve en la respuesta de la pregunta anterior, es exactamente igual que cuando usted envía un mensaje por correo.
El principal requisito, es estar debidamente inscrito en el Departamento de Registro de la Dirección General de Aduanas y además los siguientes requisitos pedidos por la Autoridad Certificadora:
Toda solicitud deberá presentarse mediante un formulario de solicitud de prestación de servicios de certificación digital, para lo cual, dependiendo del tipo de certificado, deberán presentarse el original y fotocopia de los siguientes documentos:
Ø Formulario de solicitud de prestación de servicios de certificación digital sin firmar (se firma en presencia del administrador del CA Emisor),
Ø Original y fotocopia de su cédula de identidad o documento legal de identificación como persona física,
Ø Empresa comercial o asociación, deberá presentar cédula jurídica de la empresa o asociación, cédula o documento legal de identidad de la persona física que la solicita o representa, así como el documento legal en que se demuestre su autoridad para actuar en nombre de la empresa o sociedad, o como representante legal.
Nivel 1: Autenticar (Usuario y Password)
Nivel 2: Cifrado-autenticado (SSL)
Nivel 3: Autenticar (Certificado Digital)
Nivel 4: Firma Digital (doc., pdf., gif., jpg., tiff.)
Nivel 5: Autenticar (Llave privada almacenada en un Token)
Sí, todos los Auxiliares de la Función Pública Aduanera, así como aquellos usuarios que vayan a interactuar con el sistema informático deberán contar al menos con un certificado digital.
Los certificados digitales serán entregados por una Autoridad Certificadora que se constituirá en el Ministerio de Hacienda, bajo los más altos estándares de calidad y seguridad internacional, serán entregados de forma personal en la oficina que dicha Autoridad va tener sea en el edificio central del Ministerio de Hacienda o en el edificio de la DGI.
El procedimiento de entrega será de manera personal (cara a cara), cumpliendo para todos los efectos con los requisitos de seguridad que establece el manual de procedimientos de esta Autoridad Certificadora.
Sí, el Certificado Digital tendrá, por razones de seguridad, un período de vigencia para su uso, lo cual por consiguiente va a imposibilitar el uso indefinido del mismo.
Los certificados digitales tendrán una vigencia de un año, pudiendo ser revocado antes de ese tiempo, sea de manera voluntaria o por que la Autoridad Certificadora lo considere prudente, debido a una falla de seguridad en la que incurrió el dueño del certificado. Para el caso de los auxiliares, se tomará como punto de partida de vigencia, el mes correspondiente en el que deben renovar la garantía ante la Dirección General de Aduanas.
En principio y si el uso del certificado es el adecuado, se deberá de solicitar solamente una vez al año, sin embargo si por ejemplo, un asistente de un agente aduanero renuncia y quiere trabajar con un agente aduanero distinto deberá por supuesto solicitar un nuevo certificado por que el certificado anterior será revocado por la Autoridad Certificadora.
El certificado se puede revocar a solicitud del interesado, en cualquier momento pero indicando el motivo.
La autoridad certificadora podría revocar el certificado en los siguientes casos:
a) Cuando se produzcan cambios en la información que el certificado contiene o ésta no se actualice.
b) Cuando la clave privada asociada al certificado de clave pública, o el medio en que se encuentre almacenada se encuentren comprometidos o corran peligro de estarlo.
c) Cuando producto de un acto final en firme la administración aduanera inhabilite al Auxiliar de la Función Pública Aduanera.
Para el proceso de entrega, éste esta definido en el manual de procedimientos de la Autoridad Certificadora del Ministerio de Hacienda, la entrega se hará en persona cara a cara, siendo esta la principal característica, la presencia e identificación de la persona debe ser inequívoca para poder hacerle la entrega del certificado digital.
Al ser el Agente Aduanero, uno de los principales actores del Sistema Aduanero e igualmente un agente sobre el que recae mucha de la responsabilidad, lo apropiado es que cuente con certificado de nivel 5, que le va a permitir tanto a él, como a la administración tener una plena e irrefutable seguridad de que el envío del mensaje que contiene DUA y las imagines y que por supuesto la firma del DUA fue la hecha por él y todas las características las encontramos en un certificado de ese nivel.
El Agente Aduanero podrá realizar los siguientes procesos:
a) Firmar la Declaración Aduanera
b) Enviar la Declaración Aduanera conjuntamente con los demás documentos adjuntos a la declaración aduanera
c) Hacer las solicitudes que le faculta la Ley y el Reglamento
Se considera que a los Asistentes de los Agentes Aduaneros podrán contar con certificado de clase 1, suficiente para que se identifiquen dentro del sistema informático y que este ligado al certificado digital del Agente Aduanero para él cual trabaja.
Los indicados en los incisos d) y e) del artículo 122 del Reglamento a la LGA.
Todos los demás auxiliares de la función pública aduanera que se encuentren debidamente inscritos ante la Dirección General, así como todos las entidades estatales que tienen una interacción directa con el Servicio Aduanero.
El certificado va ser una herramienta que podrá ser utilizada únicamente por la persona a la que se entregó, esto indiscutiblemente por razones de seguridad.
Lo va a hacer a través de su representante legal, quien contará con un certificado de nivel 5, además, los agentes aduaneros que trabajen para esta Agencia Aduanal persona jurídica, contarán con un certificado ligado al que se le dio al representante legal, el cual va permitir saber que esos certificados están ligados entre sí. Ejemplo:
La Agencia Aduanal Puertas Aduaneras se le entregará un certificado que a manera de ejemplo pueda tener la siguiente numeración para su identificación: 1897801236971
Este sería el número de certificado que se entregaría a la Agencia Aduanal Puertas Aduaneras, en la persona de su representante.
Ahora los demás certificados que sean entregados a esa misma Agencia Aduanal pero en este caso para el uso de los agentes aduaneros tendrá la siguiente numeración: 1897801236971-001 1897801236971-002, permitiendo saber exactamente de que Agencia Aduanal fue enviado el mensaje y cual agente aduanero, lo que es también un apoyo de seguridad para la misma Agencia.
Las normas que regulan la firma digital en el procedimiento aduanero se encuentran incluidas en el CAUCA III y la Ley General de Aduanas.
El CAUCA en su artículo 23 establece que “las firmas electrónicas, los códigos, claves de acceso confidenciales o de seguridad equivalen, para todos los efectos legales, a la firma autógrafa de los funcionarios y empleados aduaneros, auxiliares, declarantes y demás personas autorizadas.”
Como se desprende de manera clara, el CAUCA III, que es norma superior a la Ley nacional, le da a la firma electrónica la equivalencia de la firma autógrafa, para todos los efectos legales que de ella se deriven.
La Ley General de Aduanas, regula la informatización de los procedimientos estableciendo que “cuando la Dirección General de Aduanas lo determine, mediante resolución de carácter general, y le asigne la clave de acceso confidencial y el código de usuario correspondiente o su certificado digital, mediante un prestador de servicios de certificación, el auxiliar de la función pública aduanera deberá realizar los actos correspondientes conforme a esta Ley y sus Reglamentos, empleando el sistema informático según los formatos y las condiciones autorizados.”
La misma Ley establece que las firmas autógrafas, que la Dirección General de Aduanas requiera, podrán ser sustituidas por contraseñas o signos adecuados, como la firma electrónica, para la sustanciación de las actuaciones administrativas que se realicen por medios informáticos”. Igualmente, por esa disposición legal se obliga a la presentación de la declaración mediante transmisión electrónica de datos, utilizando su código de usuario y su clave de acceso confidencial o firma electrónica y expresamente se indica que para todos los efectos legales, la clave de acceso confidencial y/o firma electrónica equivale a la firma autógrafa de los funcionarios, auxiliares y demás usuarios.
Fue clara la intención del legislador al plasmar en la reforma a la Ley del pasado 5 de marzo, todo lo referente al uso tanto de la firma electrónica como de los certificados digitales, buscando con esto proveer tanto a la administración como a los administrados de herramientas de seguridad modernas y ágiles que permitan un mejor desarrollo del comercio tanto a lo interno como a lo externo.
