Artículo 22 - QUE DEFINE Y REGULA LOS DOCUMENTOS ELECTRONICOS Y LAS FIRMAS ELECTRONICAS Y LA PRESTACION DE SERVICIOS DE ALMACENAMIENTO TECNOLOGICO DE DOCUMENTOS Y DE CERTIFICACION DE FIRMAS ELECTRONICAS Y ADOPTA OTRAS DISPOSICIONES PARA EL DESARROLLO DEL COMERCIỌ..

Artículo 23. Obligaciones del prestador de servicios de certificación que expida certificados electrónicos calificados. Todo prestador de servicio de certificación que expida certificados electrónicos calificados deberá cumplir con las siguientes obligaciones: 1. No almacenar, ni copiar los datos de creación de firma de la persona a la que haya prestado sus servicios. 2. Proporcionar al solicitante antes de la expedición del certificado la siguiente información mínima que deberá transmitirse de forma gratuita, por escrito o por vía electrónica: a. Las obligaciones del firmante, la forma en que han de custodiarse los dispositivos de creación de firma, el procedimiento que haya de seguirse para comunicar la pérdida o posible utilización indebida de dichos datos y determinados dispositivos de creación de verificación de firma electrónica que sean compatibles con los datos de firma y con el certificado expedido. b. Los mecanismos para garantizar la fiabilidad de la firma electrónica de un documento a lo largo del tiempo. c. El método utilizado por el prestador para comprobar la identidad del firmante u otros datos que figuren en el certificado. d. Las condiciones precisas de utilización del certificado, sus posibles límites de uso y la forma como el prestador garantiza su responsabilidad patrimonial. e. Las demás informaciones contenidas en la declaración de prácticas de certificación. f. Mantener un directorio de certificados actualizado en el que se indicarán los certificados expedidos, y si están vigentes o si su vigencia ha sido suspendida o extinguida. La integridad del directorio se protegerá mediante la utilización de los mecanismos de seguridad adecuados. 3. Garantizar la disponibilidad de un servicio de consulta rápido y seguro sobre la vigencia de los certificados. 4. Garantizar que pueda determinarse con precisión la fecha y la hora en las que se expidió, se extinguió, se suspendió o se revocó la vigencia de un certificado. 5. Demostrar que cumple con los requisitos establecidos por la Dirección General de Comercio Electrónico para garantizar la fiabilidad necesaria para prestar servicios de certificación. 6. Garantizar la rapidez y la seguridad en la prestación del servicio. Deberán contar con un directorio de certificados emitidos y servicios de revocación seguros e inmediatos. 7. Emplear personal calificado, con los conocimientos y la experiencia necesarios para la prestación de los servicios de certificación ofrecidos, así como con los procedimientos de seguridad y de gestión adecuados en el ámbito de la firma electrónica. 8. Contar con sistemas confiables y productos que estén protegidos contra toda alteración y que garanticen la seguridad técnica y, en su caso, criptográfica de los procesos de certificación a los que sirven de soporte. 9. Implementar medidas contra la falsificación de certificados y, en el caso de que el prestador de servicios de certificación genere datos de creación de firma, garantizar su confidencialidad durante el proceso de generación y su entrega por un procedimiento seguro al firmante. 10. Emitir certificados conforme a lo requerido por el solicitante. 11. Garantizar la protección, la confidencialidad y el debido uso de la información suministrada por el suscriptor. 12. Contar con un plan de contingencia que garantice la prestación permanente de sus servicios. 13. Permitir y facilitar la realización de las evaluaciones técnicas que ordene la Dirección General de Comercio Electrónico. 14. Elaborar los reglamentos que definen las relaciones con el firmante y la forma de prestación del servicio. 15. Conservar registrada, por cualquier medio seguro, toda información y documentación relativa a un certificado calificado, así como las declaraciones de prácticas de certificación vigentes de cada momento, al menos durante siete años contados desde el momento de su expedición, de manera que puedan verificarse las firmas efectuadas con él. 16. Utilizar sistemas confiables para almacenar certificados calificados que permitan comprobar su autenticidad e impedir que personas no autorizadas alteren los datos, restrinjan su accesibilidad en los supuestos o a las personas que el firmante haya indicado, y que permitan detectar cualquier cambio que afecte a estas condiciones de seguridad. 17. Contratar una póliza de responsabilidad civil contractual y extracontractual, para afrontar el riesgo de la responsabilidad por daños y perjuicios que pueda ocasionar el uso de los certificados que expidan. El monto de esta póliza será fijada por reglamento.

Artículo 24. Declaración de prácticas de certificación de firmas electrónicas. Todo prestador de servicios de certificación formulará una declaración de prácticas de certificación en la que detallarán, dentro del marco de esta Ley y de sus reglamentos, al menos, la siguiente información: 1. Las obligaciones que se comprometen a cumplir en relación con la gestión de datos de creación y verificación de firma y de los certificados electrónicos. 2. Las condiciones aplicables a la solicitud, expedición, uso, suspensión y extinción de la vigencia de los certificados. 3. Las medidas de seguridad técnica y organizativa. 4. Los perfiles y los mecanismos de información sobre la vigencia de los certificados. 5. El resultado de la evaluación obtenida por el prestador de servicios de certificación en la última auditoría realizada por la Dirección General de Comercio Electrónico. 6. Si el registro como prestador de servicios de certificación ha sido revocado o suspendido o si la Dirección General de Comercio Electrónico le ha impuesto alguna sanción, la fecha de la revocación, de la suspensión o de la sanción y los motivos de estas. 7. Los límites para operar como prestador de servicios de certificación. 8. Cualquier evento que sustancialmente afecte la capacidad del prestador de servicios de certificación para operar. 9. La lista de normas y procedimientos de certificación. 10. Cualquier otra información que la Dirección General de Comercio Electrónico solicite mediante reglamento. La declaración de prácticas de certificación estará disponible al público de manera fácilmente accesible, al menos por vía electrónica, y de forma gratuita. Cuando se trate de un prestador de servicios de certificación registrado, su declaración de prácticas de certificación deberá publicarse, además, en el repositorio que la Dirección General de Comercio Electrónico designe para tal efecto.

Artículo 25. Obligaciones previas a la expedición de un certificado electrónico calificado. Antes de la expedición de un certificado calificado, los prestadores de servicios de certificación deberán cumplir las siguientes obligaciones: 1. Comprobar la identidad y circunstancias personales del solicitante del certificado con arreglo a lo dispuesto en el artículo 12 de esta Ley. 2. Verificar que la información contenida en el certificado es exacta y que incluye toda la información prescrita para un certificado calificado. 3. Asegurarse de que el firmante está en posesión de los datos de creación de firma correspondientes a los de verificación que constan en el certificado. 4. Garantizar la complementariedad de los datos de creación y verificación de firma, siempre que ambos sean generados por el prestador de servicios de certificación.