Servicio de certificación digital

Las entidades certificadoras deberán prestar los siguientes servicios:

• Servicio de certificación digital: Consiste en emitir, revocar y administrar los certificados digitales utilizados para generar firmas digitales;
• Servicio de registro: Consiste en comprobar y validar la identidad del solicitante de un certificado digital, y otras funciones relacionadas al proceso de expedición y manejo de los certificados digitales;
• Otros servicios relacionados a la certificación digital.

Entidad certificadora

Las entidades certificadoras tendrán las siguientes funciones:

• Emitir, validar, renovar, denegar, suspender o dar de baja los certificados digitales;
• Facilitar servicios de generación de firmas digitales;
• Garantizar la validez de las firmas digitales, sus certificados digitales y la titularidad de su signatario;
• Validar y comprobar cuando corresponda, la identidad y existencia real de la persona natural o jurídica;
• Reconocer y validar los certificados digitales emitidos en el exterior;
• Otras funciones relacionadas con la prestación de servicios de certificación digital.

Obligaciones de las entidades certificadoras

Para garantizar la publicidad, seguridad, integridad y eficacia de la firma y certificado digital, las entidades certificadoras están obligadas a:

• Cumplir con la normativa vigente y los estándares técnicos emitidos por la ATT;
• Desarrollar y actualizar los procedimientos de servicios de certificación digital, en función a las técnicas y métodos de protección de la información y lineamientos establecidos por la ATT;
• Informar a los usuarios de las condiciones de emisión, validación, renovación, baja, suspensión, tarifas y uso acordadas de sus certificados digitales a través de una lista que deberá ser publicada en su sitio web entre otros medios;
• Mantener el control, reserva y ciudado de la clave privada que emplea para firmar digitalmente los certificados digitales que emite. Cualquier anomalía que pueda comprometer su confidencialidad deberá ser comunicada inmediatamente a la ATT;
• Mantener el control, reserva y ciudado sobre la clave pública que el es confiada por el signatario;
• Mantener un sistema de información de acceso libre, permanente y actualizado donde se publiquen los procedimientos de certificación digital, así como los certificados digitales emitidos consignando, su número único de serie, su fecha de emisión, vigencia y restricciones aplicables, así como el detalle de los certificados digitales suspendidos y revocados;
• Las entidades certificadoras que derivan de la certificadora raíz (ATT) deberán mantener un sistema de información con las mismas características mencionadas en el punto anterior, ubicado en territorio y bajo legislación del Estado Plurinacional de Bolivia;
• Revocar el certificado digital al producirse alguna de las causales establecidas en el presente Reglamento. Las causales y condiciones bajo las cuales deba efectuarse la revocatoria deben ser estipuladas en los contratos de los titulares;
• Mantener la confidencialidad de la información proporcionada por los titulares de certificados digitales limitando su empleo a las necesidades propias del servicio de certificación, salvo orden judicial o solicitud del titular del certificado digital, según sea el caso;
• Mantener la información relativa a los certificados digitales emitidos, por un período mínimo de cinco (5) años posteriores al periodo de su validez o vigencia;
• Facilitar información y prestar la colaboración debida al personal autorizado por la ATT, en el ejercicio de sus funciones, para efectos de control, seguimiento, supervisión y fiscalización del servicio de certificación digital, demostrando que los controles técnicos que emplea son adecuados y efectivos cuando así sea requerido;
• Mantener domicilio legal en el territorio del Estado Plurinacional de Bolivia;
• Notificar a la ATT cualquier cambio en la personería jurídica, accionar comercial, o cualquier cambio administrativo, dirección, teléfonos o correo electrónico;
• Verificar toda la información proporcionada por el solicitante del servicio, bajo su exclusiva responsabilidad;
• Contar con personal profesional, técnico y administrativo con conocimiento especializado en la materia;
• Contar con plataformas tecnológicas de alta disponibilidad, que garanticen mantener la integridad de la información de los certificados y firmas digitales emitidos que administra.

Responsabilidad de las entidades certificadoras autorizadas ante terceros

• Las entidades certificadoras autorizadas serán responsables por la emisión de certificados digitales con errores y omisiones que causen perjuicio a sus signatarios.
• Las entidades certificadoras autorizadas privadas deberán rendir una caución que será utilizada para responder por las eventuales consecuencias civiles contractuales o extracontractuales de su actividad. Esta caución será rendida por medio de una Póliza de Seguro expedida por una Entidad de Seguros debidamente establecida en el Estado Plurinacional de Bolivia, tomando en consideración los riesgos y responsabilidades inherentes a la labor de certificación digital. El monto de la caución será fijada por la ATT anualmente mediante Resolución Administrativa, conforme a categorías que se determinarán de acuerdo con la cantidad de certificados emitidos.
• La entidad certificadora autorizada se liberará de responsabilidades si demuestra que actuó con la debida diligencia y no el son atribuibles los errores y omisiones objeto de las reclamaciones.
• Las entidades certificadoras autorizadas deberán responder por posibles perjuicios que se causen al signatario o a terceros de buena fe por el retraso en la publicación de la información sobre la vigencia de los certificados digitales.