1. LEY 527 DE 1999
(Agosto 18)
Integrantes
Juan Gabriel Rojas
Erika Plaza
GESTION DE DOCUMENTOS ELECTRONICOS
2. LEY 527 DE 1999
(Agosto 18)
Por medio de la cual se define y reglamenta el
acceso y uso de los mensajes de datos, del
comercio electrónico y de las firmas
digitales, y se establecen las entidades de
certificación y se dictan otras disposiciones.
GESTION DE DOCUMENTOS ELECTRONICOS
3. LOS ASUNTOS REGULADOS POR LA LEY 527 SON:
⁂ Aplicaciones de los requisitos jurídicos de los mensajes de datos
⁂ Comunicación de los mensajes de datos
⁂ Comercio electrónico en materia de transporte de mercancías.
⁂ Firmas digitales
⁂ Entidades de certificación
⁂ Suscriptores de firmas digitales
⁂ Funciones de la superintendencia de industria y comercio
GESTION DE DOCUMENTOS ELECTRONICOS
4. GESTION DE DOCUMENTOS ELECTRONICOS
LA LEY CONSTA DE CUATRO PARTES PRINCIPALES.
Primera Parte o Parte General:
Definición de conceptos básicos usados en la ley,
dentro de los que cabe destacar los de mensaje de
datos, comercio electrónico, firma digital, y entidad de
certificación.
Segunda Parte:
Se reconoce la posibilidad de utilizar medios
electrónicos en materia de transporte de mercancías.
5. Tercera Parte:
En la tercera parte se le reconoce un valor jurídico
especial a la firma digital, que es aquella que utiliza la
Infraestructura de Llave Pública para su generación y
que basa su confiabilidad en las certificaciones que
expiden las Entidades de Certificación.
Cuarta Parte:
Establece que estas normas deben interpretarse sin
perjuicio de las normas existentes en materia de
protección al consumidor.
GESTION DE DOCUMENTOS ELECTRONICOS
6. Para la valoración de la fuerza probatoria de los
mensajes de datos a que se refiere esta ley, se tendrán en
cuenta las reglas de la sana crítica y demás criterios
reconocidos legalmente para la apreciación de las
pruebas. Por consiguiente habrán de tenerse en cuenta:
la confiabilidad en la forma en la que se haya generado,
archivado o comunicado el mensaje, la confiabilidad en
la forma en que se haya conservado la integridad de la
información, la forma en la que se identifique a su
iniciador y cualquier otro factor pertinente.
ARTICULO 11.CRITERIO PARA VALORAR PROBATORIAMENTE
UN MENSAJE DE DATOS.
GESTION DE DOCUMENTOS ELECTRONICOS
7. FIRMAS DIGITALES
ARTICULO 28. ATRIBUTOS JURIDICOS DE UNA
FIRMA DIGITAL
Cuando una firma digital haya sido fijada en un
mensaje de datos se presume que el suscriptor
de aquella tenía la intención de acreditar ese
mensaje de datos y de ser vinculado con el
contenido del mismo.
GESTION DE DOCUMENTOS ELECTRONICOS
8. ARTICULO 28. ATRIBUTOS JURIDICOS DE UNA
FIRMA DIGITAL
• Parágrafo. El uso de una firma digital tendrá la
misma fuerza y efectos que el uso de una firma
manuscrita, si aquélla incorpora los siguientes
atributos:
1. Es única a la persona que la usa.
2. Es susceptible de ser verificada.
3. Está bajo el control exclusivo de la persona que
la usa.
GESTION DE DOCUMENTOS ELECTRONICOS
9. ARTICULO 28. ATRIBUTOS JURIDICOS DE UNA
FIRMA DIGITAL
4. Está ligada a la información o mensaje, de tal
manera que si éstos son cambiados, la firma
digital es invalidada.
5. Está conforme a las reglamentaciones
adoptadas por el Gobierno Nacional.
GESTION DE DOCUMENTOS ELECTRONICOS
10. Entidades de certificación
Podrán ser entidades de certificación, las
personas jurídicas, tanto públicas como
privadas, de origen nacional o extranjero y las
cámaras de comercio, que previa solicitud sean
autorizadas por la Superintendencia de
Industria y Comercio y que cumplan con los
requerimientos establecidos por el Gobierno
Nacional,
ARTICULO 29. CARACTERÍSTICAS Y REQUERIMIENTOS DE
LAS ENTIDADES DE CERTIFICACIÓN.
GESTION DE DOCUMENTOS ELECTRONICOS
11. ARTICULO 32. DEBERES DE LAS ENTIDADES DE
CERTIFICACION.
a) Emitir certificados conforme a lo solicitado o
acordado con el suscriptor;
b) Implementar los sistemas de seguridad para
garantizar la emisión y creación de firmas digitales,
la conservación y archivo de certificados y
documentos en soporte de mensaje de datos;
GESTION DE DOCUMENTOS ELECTRONICOS
12. c) Garantizar la protección, confidencialidad y debido
uso de la información suministrada por
el suscriptor;
d) Garantizar la prestación permanente del servicio
de entidad de certificación;
e) Atender oportunamente las solicitudes y
reclamaciones hechas por los suscriptores;
f) Efectuar los avisos y publicaciones conforme a lo
dispuesto en la ley;
GESTION DE DOCUMENTOS ELECTRONICOS
13. g) Suministrar la información que le requieran las
entidades administrativas competentes o judiciales en
relación con las firmas digitales y certificados
emitidos y en general sobre cualquier mensaje de
datos que se encuentre bajo su custodia y
administración;
h) Permitir y facilitar la realización de las auditorías por
parte de la Superintendencia de Industria y Comercio;
i) Elaborar los reglamentos que definen las relaciones
con el suscriptor y la forma de prestación del servicio;
j) Llevar un registro de los certificados.
GESTION DE DOCUMENTOS ELECTRONICOS
14. ARTICULO 36. ACEPTACION DE UN CERTIFICADO.
• Salvo acuerdo entre las partes, se entiende que
un suscriptor ha aceptado un certificado cuando
la entidad de certificación, a solicitud de éste o
de una persona en nombre de éste, lo ha
guardado en un repositorio.
GESTION DE DOCUMENTOS ELECTRONICOS
15. ARTICULO 37. REVOCACION DE CERTIFICADOS.
• El suscriptor de una firma digital certificada,
podrá solicitar a la entidad de certificación que
expidió un certificado, la revocación del mismo.
1. Por pérdida de la clave privada.
2. La clave privada ha sido expuesta o corre peligro de que se le
dé un uso indebido.
GESTION DE DOCUMENTOS ELECTRONICOS
16. • Si el suscriptor no solicita la revocación del certificado en
el evento de presentarse las anteriores situaciones, será
responsable por las pérdidas o perjuicios en los cuales
incurran terceros de buena fe exenta de culpa que
confiaron en el contenido del certificado.
• Una entidad de certificación revocará un certificado
emitido por las siguientes razones:
1. A petición del suscriptor o un tercero en su nombre y
representación.
2. Por muerte del suscriptor.
3. Por liquidación del suscriptor en el caso de las personas jurídicas.
GESTION DE DOCUMENTOS ELECTRONICOS
17. 4. Por la confirmación de que alguna información o
hecho contenido en el certificado es falso.
5. La clave privada de la entidad de certificación o su
sistema de seguridad ha sido comprometido de
manera material que afecte la confiabilidad del
certificado.
6. Por el cese de actividades de la entidad de
certificación, y
7. Por orden judicial o de entidad administrativa
competente.
GESTION DE DOCUMENTOS ELECTRONICOS
18. Suscriptores de firmas digitales
1. Recibir la firma digital por parte de la entidad
de certificación o generarla, utilizando un
método autorizado por ésta.
2. Suministrar la información que requiera la
entidad de certificación.
3. Mantener el control de la firma digital.
4. Solicitar oportunamente la revocación de los
certificados.
ARTICULO 39. DEBERES DE LOS SUSCRIPTORES.
GESTION DE DOCUMENTOS ELECTRONICOS
19. Los suscriptores serán responsables por la
falsedad, error u omisión en la información
suministrada a la entidad de certificación y por
el incumplimiento de sus deberes como
suscriptor.
ARTICULO 40. RESPONSABILIDAD DE LOS
SUSCRIPTORES.
GESTION DE DOCUMENTOS ELECTRONICOS
20. RÉGIMEN VIGENTE
Con el fin de reglamentar el funcionamiento de las
entidades de certificación digital a que se refirió la ley 527
de 1.999, el Gobierno Nacional expidió el Decreto 1747 de
2.000. Se destacan los siguientes aspectos:
Distingue entre Entidades de Certificación Cerradas y
Entidades de Certificación Abiertas:
Ley 527 de 1999 decreto 1747 circular 10 de la sic. Decreto 2364 de 2012
GESTION DE DOCUMENTOS ELECTRONICOS
21. Entidades de Certificación Cerradas
Según decreto 1747 de 2000 fueron
definidas como aquellas que prestan
servicios propios de entidades de
certificación sólo para el intercambio
de mensajes entre la entidad y el
suscriptor sin exigir remuneración
por ello (gratuitas).
Entidades de Certificación Abiertas
Según decreto 1747 de 2000 son aquellas
que ofrecen servicios propios de
entidades de certificación, tales que su
uso: (i) no se limita al intercambio de
mensajes entre la entidad y el suscriptor;
y (ii) reciben remuneración por ello.
Requisitos que deben cumplir:
• Tener un patrimonio mínimo de 400 salarios
mínimos.
• Establecer una garantía que ampare los
perjuicios de los suscriptores y personas que
confían en los certificados digitales.
• Tener una Declaración de Prácticas de
Certificación que cumpla con el contenido que
establece el decreto.
• Otras.
GESTION DE DOCUMENTOS ELECTRONICOS
22. • Reglamenta el
funcionamiento
de las entidades
de certificación
digital
DECRETO 1747
DE 2000
•Distingue entre
entidades de
certificación
cerradas y entidades
de certificación
abiertas.
Aspectos
destacados.
•Establece los
requisitos que
deben cumplir las
entidades de
certificación
abiertas.
•Establece los
deberes de la
entidad de
certificación.
Aspectos
destacados
•Faculta a la
superintendencia de
industria y comercio
para establecer los
estándares que
deben cumplir las
entidades de
certificación.
•Crea las firmas
auditoras.
Aspectos
destacados
23. Siguiendo lo establecido por el Decreto Reglamentario, la
Superintendencia de Industria y Comercio expidió en Octubre de 2.000 la
Resolución 26930, que establecía los estándares que debían seguir las
entidades de certificación. Esta circular fue recogida por la Circular Única
No. 10 de la Superintendencia, en su capítulo VIII del título V.
Algunas de las entidades de Certificación que ejercen en Colombia son:
Certicámara S.A. (Sociedad Cameral de Certificación Digital)
Creada por las Cámaras de Comercio del país en el año 2001 la Sociedad Cameral de
Certificación Digital CERTICAMARA S.A., entidad de certificación digital abierta, constituida con
el propósito de brindar las máximas garantías de seguridad jurídica y técnica en las
comunicaciones electrónicas a través de la emisión de certificados digitales para firma digital,
estampado cronológico certificado, y archivo electrónico seguro.
Gestión de Seguridad Electrónica S.A. - GSE S.A.
Ha sido autorizada como una nueva Certificadora Digital en el país mediante la Resolución No.
23344 de Mayo 12 de 2009 de la Superintendencia de Industria y Comercio, lo que garantiza la
plena validez jurídica de los certificados emitidos y de las firmas digitales que se realicen con
los mismos.
Otras: e-Sign (origen chile),
GESTION DE DOCUMENTOS ELECTRONICOS
24. RÉGIMEN VIGENTE
Circular Única No. 10
1. Fija los estándares internacionales que deben cumplir las entidades
de certificación para la prestación del servicio de certificación
digital.
2. Establece los requisitos para aquellas empresas que deseen
convertirse en firmas auditoras de entidades de certificación.
3. Detalla los deberes de las entidades de certificación y el contenido
de la Declaración de Prácticas de Certificación.
4. Regula la presentación de los informes de auditoría por parte de las
firmas auditoras.
Ley 527 de 1999 decreto 1747 circular 10 de la sic. Decreto 2364 de 2012
GESTION DE DOCUMENTOS ELECTRONICOS
25. RÉGIMEN VIGENTE
Decreto 2364 de 2012
Por medio del cual se reglamenta el artículo 7 de la Ley 527 de 1999,
sobre la firma electrónica y se dictan otras disposiciones. En la cual
considera:
Que uno de los lineamientos estratégicos del Plan. Nacional de Desarrollo 2010 -2014 "Prosperidad
para todos" es la reglamentación del uso de la firma electrónica.
Qué la firma digital se encuentra definida en el literal c) del artículo 2 de la Ley 527 de 1999 y
reglamentada en el Decreto 1747 de 2000 y ha sido considerada como una especie de .la firma
electrónica.
Que en el artículo 7 de la Ley 527 de 1999 se consagró el equivalente electrónico de la firma.
Que la firma electrónica representa un medio de identificación electrónico flexible y tecnológicamente
neutro que se adecúa a las necesidades de la sociedad.
Entre otros…
Ley 527 de 1999 decreto 1747 circular 10 de la sic. Decreto 2364 de 2012
GESTION DE DOCUMENTOS ELECTRONICOS
26. • Se enfoca en proteger la
infraestructura computacional,
en especial la información que
se encuentra contenida o que
esta circulando.
• Diseña normas que minimicen
los riesgos en los sistemas de
información, como :
autorizaciones, denegaciones,
perfiles de usuario, horarios de
funcionamiento, planes de
emergencia, protocolos, entre
otros.
SEGURIDAD
INFORMÁTICA
27. ACTIVOS QUE PROTEGE LA SEGURIDAD INFORMÁTICA.
INFRAESTRUCTURA
COMPUTACIONAL.
Almacena, gestiona y
colabora con el
funcionamiento de la
organización.
Función de la seguridad
informática:
Cuida que los equipos
funcionen adecuadamente y
previene posibles fallas o
factores que afecten la
infraestructura informática.
USUARIOS.
Utilizan la estructura
tecnológica, las
comunicaciones y gestionan
la información.
INFORMACIÓN.
Es el principal activo de una
organización, es utilizada y
se almacena en la
infraestructura
computacional.
Es empleada por los
usuarios.
28. TIPOS
Seguridad física:
Protege el hardware
de cualquier tipo de
accidente o desastre
Este tipo de
seguridad incluye:
incendios, robos,
inundaciones, sobre
cargas eléctricas,
etc.
DE
Seguridad lógica:
Protege el software
de los equipos
informáticos.
Por ejemplo,
aplicaciones, datos,
contraseñas, entre
otros.
SEGUIRDAD
Seguridad activa:
medidas que
previenen y tratan
de evitar los daños a
los sistemas
informáticos
Por ejemplo:
Encriptación, uso
de listas de control
de acceso,
contraseñas, firmas
y certificados
digitales.
INFORMÁTICA
Seguridad
pasiva: Es un
complemento de
la seguridad
activa y su
misión es
minimizar los
daños en caso de
falla o daño.
Por ejemplo:
Copias de
seguridad,
conujto de
discos duros
redundantes
29. USUARIOS
• Es la causa mas recurrente
en la seguridad
informática, debido a
permisos
sobredimensionados o
poca restricción para
ejecutar acciones.
PROGRAMAS
MALICIOSOS
• Utilizados para hacer uso
ilícito de los recursos o
para causar daño al
sistema.
• Se destacan los siguientes:
gusano informático,
troyano, bomba lógica,
spyware, conocidos como
malware.
ERRORES DE
PROGRAMACIÓN
• Pueden ser usados como
exploits (fragmento de
software, de datos o
secuencia de comandos)
utilizados con el propósito
de hacer daño
aprovechando la
vulnerabilidad del sistema.
ORIGEN DE LAS AMENAZAS INFORMÁTICAS
30. INTRUSOS
• Personal no autorizado para
acceder a los datos y
programas, por ejemplo:
crackers, defacers, hackers,
script kiddie, viruxers, etc.
SINIESTRO
• Se deriva de la mala
manipulación o intención,
logrando la perdida del
material o de los archivos.
• Por ejemplo: robo,
incendio, inundación.
PERSONAL
TÉCNICO INTERNO
• Sucede cuando se producen
problemas o rivalidades
internas, tambíen por
espionaje industrial.
• Dentro del personal
encontramos: Técnicos de
sistemas, administradores
de bases de datos, técnicos
de desarrollo, etc.
ORIGEN DE LAS AMENAZAS INFORMÁTICAS
34. La Ley 1273 de 2009 creó nuevos tipos penales relacionados con delitos informáticos y la
protección de la información y de los datos con penas de prisión de hasta 120 meses y
multas de hasta 1500 salarios mínimos legales mensuales vigentes..
Ley, que adiciona al Código Penal colombiano el Título VII BIS
denominado "De la Protección de la información y de los datos“.
MARCO JURIDICO
DE LA SEGURIDAD Se divide en dos capítulos
INFORMÁTICA
1. “De los atentados contra la confidencialidad, la integridad y la disponibilidad de
los datos y de los sistemas informáticos” .
2.“De los atentados informáticos y otras infracciones”.
35. LEY 1273 DE 2009
ARTÍCULO 269A: ACCESO ABUSIVO A UN SISTEMA INFORMÁTICO
ARTÍCULO 269B: OBSTACULIZACIÓN ILEGÍTIMA DE SISTEMA INFORMÁTICO
O RED DE TELECOMUNICACIÓN.
ARTÍCULO 269C: INTERCEPTACIÓN DE DATOS INFORMÁTICOS.
CAPÍTULO UNO ARTÍCULO 269D: DAÑO INFORMÁTICO.
ESTABLECE ARTÍCULO 269E: USO DE SOFTWARE MALICIOSO.
ARTÍCULO 269F: VIOLACIÓN DE DATOS PERSONALES.
ARTÍCULO 269G: SUPLANTACIÓN DE SITIOS WEB PARA CAPTURAR DATOS
PERSONALES.
36. LEY 1273 DE 2009
El artículo 269H agrega circunstancias agravantes, si la conducta se cometiera:
Sobre redes o sistemas informáticos o de comunicaciones estatales u
oficiales o del sector financiero, nacionales o extranjeros.
CAPÍTULO UNO Por servidor público en ejercicio de sus funciones
ESTABLECE Aprovechando la confianza depositada por el poseedor de la información o
por quien tuviere un vínculo contractual con este.
Revelando o dando a conocer el contenido de la información en
perjuicio de otro.
Obteniendo provecho para sí o para un tercero.
37. LEY 1273 DE 2009
El artículo 269H agrega circunstancias agravantes, si la conducta se cometiera:
Con fines terroristas o generando riesgo para la seguridad o defensa nacional.
CAPÍTULO UNO Utilizando como instrumento a un tercero de buena fe.
ESTABLECE
Si quien incurre en estas conductas es el responsable de la administración,
manejo o control de dicha información, además se le impondrá
hasta por tres años, la pena de inhabilitación para el ejercicio de
profesión relacionada con sistemas de información procesada
con equipos computacionales.
38. LEY 1273 DE 2009
ARTÍCULO 269I: HURTO POR MEDIOS INFORMÁTICOS Y SEMEJANTES.
CAPÍTULO DOS ARTÍCULO 269J: TRANSFERENCIA NO CONSENTIDA DE ACTIVOS.
ESTABLECE
a Ley 1273 agrega como circunstancia de mayor punibilidad en
el artículo 58 del Código Penal el hecho de realizar las conductas punibles utilizando
medios informáticos, electrónicos ó telemáticos.
39. 1. La finalidad de la ley 527 1999 es la de dotar de validez legal
a la información electrónica, aplicada en ámbitos privados y
públicos, que invierten cada día mas recursos en tecnologías
de información y comunicación para apoyar su gestión.
2. Esta es una normatividad para asegurar y proteger
jurídicamente la información digital.
3. En las compañías, empresas y entidades no se aplica en
forma eficaz simplemente porque no es conocida, y en
algunos casos ven como un riesgo potencial el hecho de que
su información no sea reconocida como valida con merito
probatorio en instancia administrativas o judiciales.
CONCLUSIONES
GESTION DE DOCUMENTOS ELECTRONICOS
40. CONCLUSIONES
• La seguridad informática permite mantener un control sobre los
procesos y procedimientos que afectan a los sistemas directa o
indirectamente, abarcando los aspectos, operativos, técnicos y
administrativos.
• La seguridad informática permite garantizar la privacidad de la
información y la prestación del servicio, así como evitar y disminuir
el riesgo de posibles daños en los sistemas informáticos.
• En Colombia se han venido adelantando acciones desde el punto
de vista jurídico y penal para sancionar a aquellas personas o
entidades que utilicen de forma indebida estos recursos, resaltando
el valor de la información como activo de las instituciones y
patrimonio de la nación.
41. REFERENCIAS
1. Ley 527 Agosto 18 1999.
2. Decreto 1747 Septiembre 11 de 2000.
3. Circular única No. 10.
4. Decreto 2364 Noviembre 22 de 2012
5. Marco Jurídico de la validez jurídica y probatoria de los mensajes de
datos en Colombia. ERICK RINCON CARDENAS. Certicamara S.A |
Autoridad de certificación digital abierta.
6. Validez y seguridad de la información de juicios, en la empresa y en el
Gobierno. Adalid Abogados y Certicamara S.A.
GESTION DE DOCUMENTOS ELECTRONICOS
42. REFERENCIAS
7. Legislación colombiana sobre documentos electrónicos y seguridad
informática. Alejandro Camargo. Universidad del Quindío.
8. Aspectos jurídicos de internet y el comercio electrónico. Diego Martín
Buitrago Botero.
9. Informática Jurídica. María del Rosario Barrera B.
10. Seguridad Informática – Tipos de Seguridad. Elías Ferrer Robledo.
11. Seguridad Informática. Wikipedia.
12. Lista de empresas de seguridad informática. ACIS.
13. Ley de delitos informáticos en Colombia. Isabella Gandini, Andrés Isaza y
Alejandro Delgado.