Fundamento de prestadores de servicios de certificación

Derivado de la reforma al Código de Comercio (CCom), publicada en el DOF el día 29 de agosto de 2003, se adicionó el Título Tercero, denominado “Del Comercio Electrónico” con el que se otorgan facultades a la Secretaría de Economía (SE) para acreditar a las personas físicas y jurídicas que deseen ofrecer servicios de firma electrónica de uso exclusivo para la materia mercantil.

Ese título entre otros capítulos, contiene el referente a los prestadores de servicios de certificación (PSC), cuya principal función, es llevar a cabo los servicios adicionales de firma electrónica avanzada, como son: la emisión de certificados digitales de firma electrónica avanzada, conservación de constancias de mensajes de datos, sellado digital de tiempo y digitalización de documentos, en los términos y con los requisitos establecidos en el ordenamiento referido.

Las personas que podrán desempeñar esta función, previa acreditación ante la SE y estos, son:

• los notarios públicos y corredores públicos
• las personas morales de carácter privado, y
• las instituciones públicas, conforme a las leyes que les son aplicables

De igual manera contempla la facultad de los notarios y corredores públicos para llevar a cabo certificaciones que impliquen o no la fe pública, en documentos en papel o mensajes de datos.

Una vez que los sujetos mencionados obtengan dicha acreditación, deberán notificar a la Secretaría la iniciación de la prestación de los servicios a que hayan sido autorizados, dentro de los 45 días naturales siguientes al comienzo de dicha actividad, siguiendo las pautas establecidas: 

• podrá otorgarse la autorización para la prestación de uno o varios servicios, a elección del solicitante, y no podrá ser negada si este cumple los siguientes requisitos, en el entendido de que la Secretaría podrá requerir a los que comprueben la subsistencia del cumplimento de los mismos:
  • solicitar a la SE la acreditación como PSC y, en su caso, de los servicios relacionados, como la conservación de mensajes de datos, el sellado digital de tiempo, y la digitalización de documentos
  • contar con los elementos humanos, materiales, económicos y tecnológicos requeridos para prestar los servicios, a efectos de garantizar la seguridad de la información y su confidencialidad
  • contar con procedimientos definidos y específicos para la prestación de los servicios, y medidas que garanticen la seriedad de los certificados, la conservación y consulta de los registros, si es el caso
  • quienes operen o tengan acceso a los sistemas de certificación de los PSC no podrán haber sido condenados por delito contra el patrimonio de las personas o que haya merecido pena privativa de la libertad, ni que por cualquier motivo hayan sido inhabilitados para el ejercicio de su profesión, para desempeñar un puesto en el servicio público, en el sistema financiero o para ejercer el comercio
  • contar con fianza vigente por el monto y las condiciones determinadas en forma general en las reglas generales que al efecto se expidan por la Secretaría
  • establecer por escrito su conformidad para ser sujeto a auditoría por parte de la Secretaría, y
  • registrar su certificado ante la Secretaría

• si la SE no ha resuelto respecto a la petición del solicitante, para ser acreditado conforme a lo establecido y en los días señalados, se tendrá por concedida la acreditación.
  Posterior a que esta se haya concedido, los autorizados para desempeñar esta función, deberán contener en su objeto social las actividades siguientes, según corresponda y de acuerdo con el servicio que pretenda ofrecer:
  • verificar la identidad de los usuarios y su vinculación con los medios de identificación electrónica
  • comprobar la integridad y suficiencia del mensaje de datos del solicitante y verificar la firma electrónica de quien realiza la verificación
  • llevar a cabo registros de los elementos de identificación de los firmantes y de aquella información con la que haya verificado el cumplimiento de fiabilidad de las firmas electrónicas avanzadas y emitir el certificado
  • expedir sellos digitales de tiempo para asuntos del orden comercial
  • emitir constancias de conservación de mensajes de datos
  • prestar servicios de digitalización de documentos, y
  • cualquier otra actividad no incompatible con las anteriores.

Obligaciones de los prestadores de servicios

• Comprobar por sí o por medio de una persona física o moral que actúe en nombre y por cuenta suyos, la identidad de los solicitantes y cualesquiera circunstancias pertinentes para la emisión de los certificados, utilizando cualquiera de los medios admitidos en derecho, siempre y cuando sean previamente notificados al solicitante
• poner a disposición del firmante los dispositivos de generación de los datos de creación y de verificación de la firma electrónica
• informar, antes de la emisión de un certificado, a la persona que solicite sus servicios, de su precio, de las condiciones precisas para la utilización del certificado, de sus limitaciones de uso y, en su caso, de la forma en que garantiza su posible responsabilidad
• mantener un registro de certificados, en el que quedará constancia de los emitidos y figurarán las circunstancias que afecten a la suspensión, pérdida o terminación de vigencia de sus efectos. A dicho registro podrá accederse por medios electrónicos, ópticos o de cualquier otra tecnología y su contenido público estará a disposición de las personas que lo soliciten, el contenido privado estará a disposición del destinatario y de las personas que lo soliciten cuando así lo autorice el firmante, así como en los casos a que se refieran las reglas generales que al efecto establezca la Secretaría
• guardar confidencialidad respecto a la información que haya recibido para la prestación del servicio de certificación
• comunicar a la Secretaría el cese de su actividad, a fin de determinar, conforme a lo establecido en las reglas generales expedidas, el destino que se dará a sus registros y archivos
• asegurar las medidas para evitar la alteración de los certificados y mantener la confidencialidad de los datos en el proceso de generación de los datos de creación de la firma electrónica
• establecer declaraciones sobre sus normas y prácticas, mismas que harán del conocimiento del usuario y el destinatario, y proporcionarán medios de acceso que permitan a la otra parte, determinar:
  •  la identidad del PSC
  • que el firmante nombrado en el certificado tenía bajo su control el dispositivo y los datos de creación de la firma en el momento en que se expidió el certificado
  • que los datos de creación de la firma eran válidos en la fecha en que se expidió el certificado
  • el método utilizado para identificar al firmante
  • cualquier limitación en los fines o el valor respecto de los cuales puedan utilizarse los datos de creación de la firma o el certificado
  • cualquier limitación en cuanto al ámbito o el alcance de la responsabilidad indicada por el PSC
  • si existe un medio para que el Firmante dé aviso al PSC de que los datos de creación de la firma han sido de alguna manera controvertidos, y
  • si se ofrece un servicio de terminación de vigencia del certificado

Finalmente, la legislación advierte que las autoridades competentes harán uso de las medidas legales que sean necesarias, incluyendo el auxilio de la fuerza pública, para lograr la ejecución de las sanciones y medidas de seguridad que procedan, incluso, en los procedimientos instaurados se podrá solicitar a los órganos involucrados, la adopción de las medidas cautelares que se estimen necesarias para asegurar la eficacia de la resolución que se dicte definitivamente.