Se publicó en el DOF del 30 de marzo pasado la Norma Oficial Mexicana NOM-151-SCFI-2016, Requisitos que deben observarse para la conservación de mensajes de datos y digitalización de documentos (cancela la NOM-151-SCFI-2002), la cual entrará en vigor el 28 de septiembre de 2017.
El 25 de noviembre de 2015 el Comité Consultivo Nacional de Normalización de la Secretaría de Economía (CCONSE), aprobó la publicación del Proyecto de NOM, la cual se realizó en el DOF el 6 de mayo de 2016, con la finalidad de que los interesados presentarán sus comentarios.
El 18 de agosto de 2016, el CCONSE aprobó por unanimidad la NOM y fue publicada como ya se mencionó en marzo pasado. Dicho documento establece los requisitos que deben observarse para la conservación de mensajes de datos y la digitalización de documentos según los artículos 33, 38 y 49 del Código de Comercio (CCom).
Disposiciones Generales
Es aplicable para los comerciantes que están obligados a llevar y mantener un sistema de contabilidad adecuado; un libro mayor o libro de actas; archivar comprobantes originales de sus operaciones; conservar documentación relacionada con su negocio; preservar cartas, telegramas, mensajes de datos o documentos que consignen contratos, convenios o compromisos que originen derechos y obligaciones; y todo lo relativo al capítulo de mensajes de datos del CCom.
Se detallan algunas definiciones como las siguientes:
- ASN.1: la versión 1 de Abstract Sintax Notation (Notación de Sintaxis Abstracta)
- constancia del prestador de servicios de certificación: mensaje de datos emitido por este, conforme a lo precisado en esta NOM
- criptografía: conjunto de técnicas matemáticas para cifrar información
- digitalización: proceso que permite la migración de documentos impresos a mensaje de datos, conforme al Apéndice Normativo B
- formato: secuencia claramente definida de caracteres, usada en el intercambio o generación de información
- objetos: a las definiciones del lenguaje ASN.1
Los comerciantes deberán observar los métodos descritos en los Apéndices Normativos A y B para conservar los mensajes de datos, así como para la digitalización de toda o parte de la documentación en soporte físico relacionada con sus negocios.
La información que se desee conservar se podrá almacenar en uno o varios archivos diferentes y/o en una o varias computadoras.
Cuando se pretenda almacenar en un medio electrónico, óptico o de cualquier otra tecnología, información derivada de un acto de comercio, que se encuentre soportada en un medio físico, los comerciantes podrán optar por migrar dicha información a una forma digital y, observar para su conservación en forma digital, las disposiciones de esta NOM. Lo anterior, sin perjuicio de lo que dispongan otros ordenamientos jurídicos aplicables.
Los requisitos mínimos de los mensajes de datos resultantes de las digitalizaciones, procedimiento de migración de soporte físico a un medio electrónico, óptico o de cualquier otra tecnología incluyendo el formato, metadatos, niveles de calidad, condiciones técnicas y estándares aplicables, se determinan en el Apéndice B de la presente NOM.
El proceso de digitalización tendrá que ser controlado por un tercero legalmente autorizado, que verificará que dicha migración se realice íntegra e inalterablemente tal y como se generó por primera vez en su forma definitiva. El tercero legalmente autorizado deberá ser un prestador de servicios de certificación acreditado para tales efectos.
Los programas informáticos para la conservación de los mensajes de datos, así como los equipos para digitalización, deberán cumplir con los métodos descritos en los Apéndices Normativos A y B.
Para la emisión de la e.firma, el prestador de servicios de certificación o la autoridad certificadora, deberá observar los requisitos que la normatividad aplicable señale para su operación. La constancia emitida por este prestador, acreditado para tales efectos, tendrá que seguir los términos establecidos en el Apéndice Normativo A.
El almacenamiento de las constancias de conservación, así como los documentos digitalizados quedarán en control del usuario pudiendo contratar para su administración a terceros.
La vigilancia y cumplimiento de la NOM estará a cargo de la Secretaría de Economía (SE) conforme a sus atribuciones y la legislación aplicable.
Igualmente, se hace referencia a que la NOM no es equivalente (NEQ) con ninguna norma internacional, por no existir esta última al momento de su elaboración.
Apéndice A (Normativo) Constancia de conservación de mensajes de datos
La obtención de la constancia de conservación de mensajes de datos se realizará por medio de los mecanismos establecidos entre el interesado y el prestador de servicios de certificación; el interesado debe enviar la solicitud al prestador y este le devolverá la constancia de conservación por el mismo conducto.
El prestador de servicios de certificación implementará un sistema que permita al comerciante identificar la constancia de conservación de mensajes de datos, pudiendo tomar como referencia el nombre del mensaje de datos o la fecha, entre otros.
La constancia será formada por el prestador siguiendo el formato ASN.1 del RFC 3161 que se conformará de uno o más sellos digitales de tiempo; estos constarán de:
- versión del sello digital de tiempo
- identificador de objeto cuyo contenido corresponderá con la versión del documento de las políticas de emisión de sellos digitales de tiempo
- huella digital electrónica que se obtiene de la solicitud
- número serial único que identifica al sello digital de tiempo
- fecha y hora en que se está generando el sello digital de tiempo, y
- extensiones para aquellos casos en que se trate de refrendos de una constancia
La verificación de la autenticidad de la constancia se realizará por medio de los siguientes pasos, para cada sello digital de tiempo que conformaran la constancia:
- obtención de forma confiable del certificado del prestador de servicios de certificación que firmó el sello digital de tiempo
- verificación de la firma electrónica avanzada del prestador de servicios de certificación en el sello digital de tiempo
- obtención de la huella digital del mensaje de datos original empleando la función de digestión indicada en el sello digital de tiempo
- verificación que el resultado obtenido en el punto anterior, es idéntico al valor asentado en el sello digital de tiempo
Generación del sello digital de tiempo
Para la obtención por primera vez de un sello digital de tiempo como constancia de conservación de mensajes de datos:
- el interesado genera una solicitud de sello digital de tiempo de acuerdo con el RFC 3161, empleando alguna función hash avalada por la SE y el identificador de objeto referente a la política del prestador de servicios de certificación a la que se apegará la emisión del sello digital de tiempo
- posteriormente, envía la solicitud al prestador de servicios de certificación a través del mecanismo previamente establecido entre estos
- el prestador de servicios de certificación valida que la longitud de la huella corresponda al algoritmo de digestión empleado en su generación y emite el sello digital de tiempo de conformidad con el RFC 3161
- el prestador de servicios de certificación envía el sello digital de tiempo por medio del mismo mecanismo por el cual recibió la solicitud, y
- el sello digital de tiempo obtenido es la evidencia de que el documento existe desde la fecha asentada en el sello digital de tiempo
Constancia del sello digital de tiempo
Por lo que se refiere a la verificación de la constancia con un sello digital de tiempo contra un mensaje de datos:
- se obtiene del sello digital de tiempo la huella digital del documento generada con la función hash indicada en el sello digital de tiempo
- se consigue en línea el certificado del prestador de servicios de certificación que firmó el sello digital de tiempo desde una fuente confiable
- se verifica la firma digital contenida en el sello digital de tiempo, y
- si la verificación fue exitosa, entonces el mensaje de datos existe, al menos, desde la fecha asentada en el sello digital de tiempo y es íntegro
Vigencia de la constancia de conservación de mensajes de datos
Será de por lo menos 10 años a partir de su emisión, y el comerciante podrá decidir si requiere la extensión de dicha vigencia según la naturaleza de la información de acuerdo con los ordenamientos legales aplicables.
Es necesario realizar un seguimiento de la vigencia de las normas y algoritmos empleados para la generación de las constancias y su validación, así como seguir los procedimientos necesarios para casos de contingencia cuando se descubran debilidades en los algoritmos empleados. Estos procedimientos pueden ser necesarios en cualquier momento, incluso antes de que pase el citado plazo.
Para la obtención de extensión de la vigencia:
- el interesado genera una solicitud de sello digital de tiempo de acuerdo al RFC 3161, empleando la función hash notificada por la SE
- acto seguido envía la solicitud y el sello digital de tiempo vigente del mensaje de datos en cuestión al prestador de servicios de certificación a través de los mecanismos previamente establecidos entre los implicados
- el prestador de servicios de certificación valida que la longitud de la huella digital electrónica corresponda con la longitud que se obtiene con la función hash empleada; obtiene, del sello digital de tiempo recibida, la fecha de inicio de vigencia y el número serial de ese sello digital de tiempo, con esta información genera el nuevo sello digital de tiempo con el RFC 3161, agregando en la sección de extensiones la información relativa al inicio de vigencia y al número serial del sello digital de tiempo anterior a la que se está generando
- este envía el sello digital de tiempo a través del mismo mecanismo por el cual recibió la solicitud
- a partir del segundo sello digital de tiempo, esta contendrá dos fechas:
- una es aquella del propio sello digital de tiempo, y
- la otra, dentro de una de sus extensiones, indicará la fecha en que el primer sello digital de tiempo fue creado para el correspondiente mensaje de datos
- el prestador de servicios de certificación implementará un sistema que permita al comerciante identificar la constancia de conservación de mensajes de datos, además de las extensiones que se generen, pudiendo tomar como referencia el nombre del mensaje de datos o la fecha de la constancia, y
- el sello digital de tiempo obtenido junto con los sellos digitales de tiempo anteriores conforman la evidencia de que el documento existe, al menos, desde la fecha asentada en el sello digital de tiempo inicial
Sobre la verificación de la constancia conformada por más de un sello digital de tiempo se realizan las verificaciones del mensaje de datos contra cada uno de los sellos digitales de tiempo que conforman la constancia (proceso similar al caso de un solo sello digital de tiempo). Debe verificarse que la fecha de emisión del sello digital de tiempo inicial es la misma que todas y cada una de las fechas encontradas en los atributos de los sellos digitales de tiempo posteriores, igual que el valor en la extensión respectiva para que el serial coincida con el del sello digital de tiempo previo. Si el certificado del prestador de servicios de certificación que firmó el más reciente sello digital de tiempo está vigente y las verificaciones fueron exitosas, entonces el mensaje de datos existe, al menos, desde la fecha asentada en el primer sello digital de tiempo y es íntegro.
Apéndice B (Normativo) Digitalización de documentos en soporte técnico
En este se presentan los elementos necesarios que describen los procesos involucrados en la digitalización de documentos en soporte físico a mensajes de datos con el fin de su conservación.
Los componentes de un mensaje de datos resultante de la digitalización serán:
- la representación en medios electrónicos de documentos en soporte físico conforme al método de migración contenido en el apéndice
- la solicitud de constancia de conservación de mensajes de datos
- el procedimiento de migración de documentos en soporte físico a un medio electrónico, óptico o de cualquier tecnología
En cuanto al formato del mensaje de datos resultante de la migración se definirá por el interesado siempre que se trate de un formato estándar, diseñado para contener el tipo de documento y con posibilidad de visualizar su contenido mediante algún programa de cómputo (software) disponible en el mercado.
El mensaje de datos resultante de la migración debe ser fiel al contenido original y garantizar su integridad por medio de la e.firma del comerciante y el prestador de servicios de certificación que en su caso corresponda.
Por lo que es el nivel de calidad mínimo para los mensajes de datos resultantes este será:
- representaciones gráficas: 200 píxeles por pulgada o superior para representaciones en blanco y negro, color o escala de grises
- audio: frecuencia de muestreo de 44.1kHz y 16 bits o superior
- video: resolución de 352 píxeles de ancho por 288 píxeles de alto o superior de acuerdo al formato CIF definido en la H.261 de la ITU (International Telecommunication Union)
La infraestructura con que se realice la migración deberá contar con los esquemas tecnológicos mínimos necesarios para realizar las acciones de digitalización, considerando tamaño, conectividad, seguridad que se establezcan en las reglas a que hace referencia el Titulo Segundo del CCom en los artículos 89 al 114 y, 5 fracción III inciso d) segundo párrafo del Reglamento del Código de Comercio en materia de Prestadores de Servicios de Certificación.
Se deberá generar un mensaje de datos que permita asegurar la fidelidad e integridad conforme a los documentos amparados en soportes físicos; el mensaje de datos generado debe ser de alta calidad y debe tratarse con un intenso control de calidad, de manera que, si existe algún error en el proceso de captura, esta deberá efectuarse una vez más.
El mensaje de datos será fiel al documento en soporte físico, para lo cual respetará:
- la geometría o aspecto del origen en tamaños y proporciones
- codificación y cantidad de imágenes por segundo cuando el origen sea video
- el mensaje deberá permanecer no disponible para su modificación o consulta por parte del solicitante del servicio, mientras se genere la constancia de conservación de mensajes de datos; este no contendrá caracteres o gráficos que no figurasen en el soporte físico, y
- la generación de mensajes de datos en el formato que determine el comerciante, previo acuerdo con el prestador de servicios de certificación y demás consideraciones establecidas en esta NOM
Proceso de Migración
Se realizará a través de un procedimiento en el que, garantizando la integridad de cada uno de los pasos, se efectúen las acciones siguientes:
- por un medio de conversión de señales se obtendrá un archivo electrónico en la memoria del sistema asociado al dispositivo
- si procede, la aplicación de un proceso de optimización automática de archivo electrónico para garantizar su legibilidad, de modo que todo contenido del documento origen pueda apreciarse y sea válido para su gestión (valor umbral, reorientación, eliminación de bordes negros, eliminación de ruido, u otros de naturaleza analógica)
- generación de una solicitud de constancia a partir del archivo electrónico resultante del proceso, habiéndose aplicado la adecuada revisión por el prestador de servicios de certificación que corresponda con el objetivo de constatar que la digitalización se ha realizado adecuadamente
- el mensaje de datos debe ser una representación visual del objeto original lo más exacta posible que sirva para las necesidades de la institución; en este sentido, se debe entender que la solución no es capturar una imagen con la más alta calidad posible, sino evaluar el contenido del documento original y decidir la calidad de la imagen a utilizar al realizar la digitalización
- como un primer paso en este proceso, se analizan los atributos de los documentos originales; éstos pueden diferir en cuanto a dimensiones, rango de colores o la forma en la que fueron producidos: a mano, con una imprenta, por medio de una cámara fotográfica, medios electrónicos, etc.
- el estado de conservación de los documentos puede afectar el proceso de conversión, por eso es importante identificar si existe la necesidad de realizar una estabilización o restauración previa, idealmente con el apoyo de un especialista en conservación de documentos
- control de los documentos, considerando por lo menos los siguientes aspectos:
- tipo de documento que se someterá al proceso de digitalización
- cantidad de documentos
El prestador de servicios de certificación contemplará la aplicación de un conjunto de operaciones de mantenimiento preventivo y comprobaciones rutinarias que permitirán garantizar mediante su cumplimiento que, en todo momento, el estado de la aplicación de digitalización y los dispositivos asociados producirán archivos electrónicos fieles al documento en soporte físico, que deberá reflejar en un Plan de Gestión de Calidad.
En este se describirá el mantenimiento de los procedimientos y dispositivos asociados, en su caso, la aplicación de digitalización, así como otros aspectos que puedan afectar al propio software tales como, el seguimiento de la vigencia de las normas y algoritmos empleados, o aspectos de mantenimiento de los sistemas operativos que pudieran afectar el rendimiento de la aplicación de digitalización, u otros de naturaleza analógica.
El prestador de servicios de certificación será el responsable de verificar la digitalización que haya hecho de los documentos físicos. El cotejo deberá realizarse entre el documento físico fuente que haya sido migrado y el mensaje de datos generado a partir del proceso de digitalización al cual una vez cotejado, deberá incorporarse la e.firma del prestador y la estampilla de tiempo. Para llevar a cabo el proceso se llevará de conformidad con las técnicas de muestreo que la SE disponga en las reglas generales a las que deberán sujetarse los prestadores de servicios de certificación.
Para las constancias de conservación de mensajes de datos, el usuario podrá solicitar al prestador de servicios de certificación la emisión de constancias de conservación de mensajes de datos obtenidos del proceso de digitalización contemplado en este apéndice B; para tales efectos, la constancia de conservación de mensajes de datos deberá cumplir con lo dispuesto en el apéndice A de esta NOM.
Destrucción del documento físico
Los documentos en soporte físico podrán ser destruidos según la naturaleza de la información de acuerdo con los ordenamientos legales aplicables. En todo caso, el proceso de digitalización realizado conforme a la NOM otorga integridad al mensaje de datos obtenido.
Finalmente, para ser tercero legalmente autorizado, el prestador de servicios de certificación se tendrá que acreditar con las reglas generales expedidas por la SE referidas en el Capítulo III del Título Segundo del Libro Segundo del CCom, a las que deberán sujetarse los prestadores de servicios de certificación.
Vigencia
La NOM entrará en vigor el próximo 28 de septiembre de 2017.
