Resolucion Normativa de Directorio BCB 2004 086/2004

El presente Reglamento tiene por objeto normar el uso de la Firma Digital para otorgar seguridad y validez a los documentos electrónicos en el marco del Sistema de Pagos.

El presente Reglamento se aplica al intercambio de documentos electrónicos firmados digitalmente en el Sistema de Pagos, que comprende el Sistema de Pagos de Alto Valor administrado por el Banco Central de Bolivia (BCB), las Cámaras Electrónicas de Compensación y las operaciones en las entidades que brindan servicios de compensación y liquidación, definidas en el Reglamento de Cámaras Electrónicas de Compensación y Servicios de Compensación y Liquidación aprobado por la Resolución de Directorio del BCB N° 138/2003.

Para fines de interpretación del presente Reglamento, se establecen las definiciones siguientes:

a)	Administrador: Persona jurídica encargada de centralizar y procesar las operaciones en el Sistema de Pagos, así como de gestionar los procesos de compensación y liquidación.
b)	Autenticación: Verificación de la identidad del emisor de un documento electrónico firmado digitalmente.
c)	Certificado Digital: Documento electrónico que vincula una clave pública con el firmante, cuya finalidad es la de acreditar la identidad del mismo.
d)	Certificado Digital Autofirmado: Certificado Digital generado por un firmante o signatario y presentado por un participante, sin la intervención de una Entidad de Certificación.
e)	Clave Privada: Es una clave alfanumérica creada por medio de algoritmos matemáticos, de responsabilidad exclusiva del firmante y custodiada por éste.
f)	Clave Pública: Es una clave alfanumérica creada por medio de algoritmos matemáticos, vinculada a una clave privada e incluida en el Certificado Digital del firmante.
g)	Criptografía Asimétrica: Conjunto de técnicas que consisten en el uso de las claves privada y pública para cifrar y descifrar la información, aplicada a los datos para asegurar su confidencialidad, integridad y autenticidad.
h)	Documento Electrónico: Mensaje de datos creado, enviado, comunicado, recibido y almacenado por medios electrónicos. Se entiende por electrónico al uso de tecnología que tiene propiedades eléctricas, digitales, magnéticas, inalámbricas, ópticas, electromagnéticas u otras similares.
i)	Documento Electrónico Firmado Digitalmente: Documento electrónico al cual se le ha aplicado el método criptográfico asimétrico de generación de Firma Digital.
j)	Entidad de Certificación: Entidad que expide Certificados Digitales y presta servicios relacionados con la certificación digital.
k)	Firma Digital: Cadena de caracteres generados por un método criptográfico asimétrico, que se adjunta o asocia a un documento electrónico para asegurar su autenticidad, integridad y no repudio.
l)	Firmante o Signatario: Persona natural responsable de la creación de la Firma Digital, acreditada legalmente por un participante o administrador de un Sistema de Pagos.
m)	Huella de Identificación (“Hash” o Resumen): Es el resultado de aplicar algoritmos matemáticos al documento electrónico, para transformarlo en una cadena de caracteres de longitud fija, asociado unívocamente a los datos del documento electrónico original.
n)	Integridad: Cualidad, del documento electrónico firmado digitalmente, de estar protegido contra alteraciones accidentales o fraudulentas.
o)	Participante: Es la persona jurídica autorizada a realizar operaciones en el Sistema de Pagos.
p)	Repudio: Negativa del firmante o signatario de una operación comunicación efectuada a reconocer su participación en la misma.

Los documentos electrónicos intercambiados en los Sistemas de Pagos, deberán ser firmados digitalmente y cumplir con lo establecido en el presente Reglamento.

Los procedimientos de validación de la firma digital deberán incluir el uso de certificados digitales.

La Firma Digital tiene por finalidad dar seguridad y validez al documento electrónico enviado por el firmante o signatario, garantizando:

a)	Que el documento electrónico fue firmado digitalmente por el signatario (autenticación);
b)	Que el documento electrónico no ha sufrido alteraciones durante su transmisión (integridad); y
c)	Que el firmante no pueda desconocer un documento electrónico que ha sido firmado usando su clave privada (no repudio).

La Firma Digital, para ser usada en el Sistema de Pagos, debe poseer las características mínimas siguientes:

a)	Los datos de creación de la firma digital deben estar bajo control exclusivo del signatario.
b)	Debe identificar al signatario.
c)	Debe ser única para cada documento electrónico firmado digitalmente.
d)	Debe ser susceptible de verificación, usando la clave pública del signatario.
e)	Debe estar ligada al documento electrónico enviado, de manera que si éste es modificado, la Firma Digital se invalida.

Cada participante deberá acreditar ante el administrador del Sistema de Pagos en el que opera, al o los signatarios que lo representarán, otorgando los poderes de representación con las atribuciones suficientes.

Cada firmante deberá contar con su respectivo Certificado Digital, emitido de acuerdo a los procedimientos y estándares definidos contractualmente entre el Administrador y los participantes de un Sistema de Pagos.

En los casos en que el participante defina que la generación de sus operaciones se realizará mediante un sistema informático automatizado, se considerará como signatario al representante legal debidamente acreditado cuyo nombre se consigna en el respectivo Certificado Digital.

Los contratos entre los administradores y los participantes de un Sistema de Pagos deberán incluir al menos las obligaciones siguientes:

a)	Firmar digitalmente el documento electrónico de acuerdo a los procedimientos pactados contractualmente.
b)	Mantener el control exclusivo y la debida confidencialidad de la clave privada bajo su responsabilidad.
c)	Cumplir las disposiciones contenidas en el presente Reglamento.

Cuando el participante de un Sistema de Pagos genere sus documentos electrónicos firmados digitalmente mediante un sistema informático automatizado, deberá asegurar que los datos y el mecanismo de creación de firma estén resguardados de manera segura y confidencial a fin de evitar su uso no autorizado.

I.	Cada participante es responsable de los actos de sus firmantes o signatarios en virtud de los poderes a ellos conferidos, debiendo informar oportunamente al administrador del Sistema de Pagos en el que opere, los cambios o revocatorias que realice a los poderes conferidos.
II.	Los contratos entre los administradores y los participantes de un Sistema de Pagos deberán considerar al menos las responsabilidades siguientes:
	a) Por el contenido de los documentos electrónicos firmados digitalmente con la clave privada del signatario y por los efectos que estos generen. b) Por la información proporcionada para la generación del Certificado Digital y por el contenido de éste. c) Por el uso no autorizado de la clave privada. d) Por los efectos del uso de la firma digital, cuando no se solicite la revocatoria del Certificado Digital por las causales definidas contractualmente y en el presente Reglamento.

Los contratos entre los administradores y los participantes de cada Sistema de Pagos deberán establecer como responsabilidad del receptor de un documento electrónico firmado digitalmente, el verificar y actuar en consecuencia respecto a:

a)	la validez de la firma digital,
b)	la vigencia del Certificado Digital; y
c)	cualquier limitación que contenga el Certificado Digital.

La Firma Digital será válida para ser utilizada en el intercambio de documentos electrónicos en un Sistema de Pagos, solamente si el procedimiento y los medios empleados para su generación cumplen lo establecido en el presente Reglamento.

El contrato firmado entre los participantes y el administrador de un Sistema de Pagos es documento suficiente a efectos del reconocimiento y validez legal de la Firma Digital entre las partes.

La Firma Digital que cumpla las características señaladas en el presente Reglamento, vincula al participante y su firmante con el documento electrónico firmado digitalmente y le atribuye la autoría de éste, con la misma validez y eficacia probatoria que la Ley otorga a la firma autógrafa, al amparo de lo dispuesto en el Texto Ordenado de la Ley N° 1488.

Para la certificación de Firmas Digitales, el administrador y los participantes de cada Sistema de Pagos definirán contractualmente una de las modalidades siguientes:

a)	El servicio de una Entidad de Certificación, o
b)	Certificados Digitales Autofirmados aceptados entre las partes.

La Entidad de Certificación, elegible para prestar los servicios de certificación a un Sistema de Pagos deberá:

1.	Contar con normas y prácticas definidas en un manual de operaciones o documento equivalente, que incluya:
	a) Los procedimientos para la generación del certificado y la conservación de registros. b) Los procedimientos de acceso a información para los administradores, participantes y firmantes. c) Las normas y procedimientos relacionados con el ciclo de vida del certificado.
2.	Proporcionar los medios necesarios para posibilitar la revocatoria oportuna del Certificado Digital.
3.	Asegurar al receptor de los documentos electrónicos firmados digitalmente el acceso a los medios necesarios que le permitan verificar:
	a) La identidad del participante y del firmante o signatario a través del Certificado Digital. b) Cualquier limitación del Certificado Digital. c) La validez del Certificado Digital. d) Cualquier limitación del alcance o del grado de responsabilidad establecido por el certificador.

El Certificado Digital deberá contener, por lo menos, la información siguiente:

a)	Datos que identifiquen al participante y a su correspondiente firmante o signatario;
b)	Clave pública del firmante;
c)	Identificación del sistema criptográfico asimétrico utilizado para generar la Firma del Certificado Digital;
d)	Fecha y hora de emisión y expiración del Certificado Digital;
e)	Cualquier limitación de uso y responsabilidad a la que esté sometido el Certificado Digital;
f)	Algoritmo y huella de identificación del Certificado Digital;
g)	Número de serie del Certificado Digital.

Cuando el Certificado Digital sea emitido por una Entidad de Certificación, adicionalmente deberá contener la identificación y estar firmado digitalmente por dicha entidad.

El Certificado Digital estará vigente hasta la fecha de expiración indicada en el mismo. En ningún caso la vigencia podrá ser superior a un (1) año.

Los procedimientos establecidos por las Entidades de Certificación para la emisión de Certificados Digitales deberán ser reconocidos contractualmente entre el administrador y los participantes de un Sistema de Pagos.

Los Certificados Digitales Autofirmados, deberán ser generados bajo los procedimientos y especificaciones expresamente definidos en el contrato suscrito entre los participantes y el administrador del Sistema de Pagos en el que operen, en el marco de las disposiciones del presente Reglamento.

Una vez generados los Certificados Digitales Autofirmados, el administrador y los participantes del Sistema de Pagos, a través de sus representantes legales con poderes suficientes a este efecto, deberán realizar el intercambio de sus respectivos certificados ante un Notario de Fe Pública, quien dará fe del acto y del contenido de los certificados, verificando la identidad y poderes de ambas partes.

Los Certificados Digitales Autofirmados podrán ser utilizados en el intercambio de documentos electrónicos en el Sistema de Pagos hasta que se establezca una Entidad de Certificación legalmente establecida en el país.

I.	La revocatoria del Certificado Digital implica su inhabilitación por la Entidad de Certificación, o su baja en el caso de Certificados Digitales Autofirmados, invalidando su uso para nuevos documentos electrónicos firmados digitalmente.
II.	El contrato firmado entre el administrador de un Sistema de Pagos y los participantes incluirá las condiciones, procedimientos y causales de revocatoria de Certificados Digitales.
III.	Los participantes y administradores de un Sistema de Pagos deberán obligarse contractualmente a revocar el Certificado Digital en cualquiera de los casos siguientes:
	a) Cuando la confidencialidad de la clave privada ha sido puesta en duda o corre peligro de que se le dé un uso indebido. b) Cuando la clave privada ha sido eliminada, destruida o es inaccesible. c) Cuando el participante deja sin efecto los poderes conferidos al firmante. d) Por orden judicial o de autoridad administrativa competente.

La lista anterior no es limitativa

La Entidad de Certificación elegible para prestar servicios de certificación a un Sistema de Pagos, deberá mantener por al menos diez (10) años un repositorio de los datos relacionados con los Certificados Digitales, así como el registro electrónico de los Certificados Digitales vigentes, vencidos y revocados.

En el caso de Certificados Digitales Autofirmados, los administradores y cada participante del Sistema de Pagos, deberán mantener por al menos diez (10) años un repositorio de los datos relacionados con los Certificados Digitales, así como el registro electrónico de los Certificados Digitales vigentes, vencidos y revocados.

Los administradores y cada participante del Sistema de Pagos, serán responsables de mantener por al menos diez (10) años el repositorio de los documentos electrónicos firmados digitalmente.