Marco legal
- Ley 527 de Agosto de 1999: Define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, se establecen las entidades de certificación (parte de una PKI) y se dictan otras disposiciones,
- Decreto 1074 de Mayo de 2015.
- Decreto 2364 de Noviembre de 2012. Se reglamenta el uso de la Firma Electrónica en el país.
En la actualidad un mensaje digital tiene el mismo efecto probatorio que el papel ante un juez y dependerá del modelo de seguridad que se haya aplicado, el tener los suficientes argumentos probatorios en caso de un incidente informático.
La firma electrónica es un conjunto de datos electrónicos que están asociados a un documento electrónico y cuyas funciones básicas son:
- Identificar al firmante de manera inequívoca
- Asegurar la integridad del documento firmado. Asegura que el documento firmado es exactamente el mismo que el original y que no ha sufrido alteración o manipulación
- Asegurar el no repudio del documento firmado. Los datos que utiliza el firmante para realizar la firma son únicos y exclusivos y, por tanto, posteriormente, no puede decir que no ha firmado el documento
El Decreto 2364 de 2012 define la firma electrónica como aquel método implementado para identificar a una persona y su voluntad para un fin específico, por ejemplo, para verificar la voluntad de adquirir derechos y obligaciones en un contrato.
Para que la firma electrónica genere efectos legales, deberá cumplir los mismos requisitos que tiene cualquier contrato físico aplicando el Principio de Equivalencia Funcional para que los supuestos de la vida real sean iguales en la vida digital y generen idénticos efectos.
De acuerdo con el Decreto 2364 de 2012, la firma electrónica deberá entenderse como una manifestación de voluntad contenida en un mensaje de datos considerando una previa verificación que deberá hacerse con una contraseña, código o dato biométrico que permita la validación de identidad del firmante. Así las cosas, cuando se exija la firma (dice el artículo 3º del Decreto) es ese requisito quedará cumplido en relación con un mensaje de datos si se utiliza una firma electrónica que, a la luz de todas las circunstancias del caso, incluido cualquier acuerdo aplicable, sea tan confiable como apropiada para los fines con los cuales se generó o comunicó ese mensaje.
¿Cuáles entidades en Colombia están autorizadas para prestar servicios de certificación?
El artículo 160 del Decreto Ley 19 de 2012 regula la acreditación de entidades prestadoras de servicios de certificación en Colombia. Las entidades pueden ser tanto públicas como privadas, nacionales o extranjeras, y deben cumplir con los requisitos establecidos por el Gobierno Nacional a través del Organismo Nacional de Acreditación.
El artículo 161 del mismo decreto describe las actividades que pueden realizar las entidades acreditadas, tales como la emisión de certificados sobre firmas electrónicas y la oferta de servicios relacionados con documentos electrónicos transferibles
¿Tiene validez la firma electrónica en juicio?
El artículo 10 Ley 527 de 1999 establece que los mensajes de datos serán admisibles como medios de prueba. En toda actuación administrativa o judicial, no se negará eficacia, validez o fuerza obligatoria y probatoria a todo tipo de información en forma de un mensaje de datos, por el sólo hecho que se trate de un mensaje de datos o en razón de no haber sido presentado en su forma original.
Asimismo, el artículo 247 del Código General del Proceso prevé la valoración de la prueba de mensajes de datos y la forma en cómo deberán aportarse los documentos al proceso, esto es: “ (…) en el mismo formato en que fueron generados, enviados, o recibidos, o en algún otro formato que lo reproduzca con exactitud”. Conoce los aspectos procesales y probatorios sobre la firma electrónica en Colombia.
El modelo de seguridad busca principalmente el cumplimiento de los 7 fundamentos de seguridad informática, en todos sus servicios críticos, a saber:
- Confidencialidad: Cuando la información es sólo accesible por aquellos a los cuales se ha autorizado su acceso.
- Integridad: Cuando la información es exacta y completa. Cuando se garantiza que la información no se modifica desde su momento de creación.
- Disponibilidad: Cuando la información es accesible a los usuarios autorizados en el momento de requerirla.
- Autenticación: Cuando se puede garantizar la identidad de quien solicita acceso a la información.
- Autorización o Control de Acceso: Cuando la información es accedida solo por los usuarios que tienen los privilegios necesarios y suficientes para hacerlo.
- No repudiación: Cuando la información involucrada en un evento corresponde a quien participa en el mismo, quien no podrá desconocer su intervención en este.
Observancia: Cuando la información relacionada con las acciones y actividades de los usuarios (personas o procesos) se encuentra debidamente registrada y monitoreada. Además, cuando se vela y propende por el adecuado funcionamiento del modelo de seguridad informática.