Paute Aqui

 

Centro Electronico de Negocios
Catalogos Home Registrese Gratis Escribanos Inteligencia de Mercados AFILIESE
Domingo, 7 de Septiembre de 2008
B2B

PARTE I

FIRMAS DIGITALES, ENTIDADES DE CERTIFICACION Y CERTIFICADOS DIGITALES

CAPITULO I


De las firmas digitales
Sección I
Definiciones
Artículo 1. Definiciones.- Para efectos del presente decreto se entenderá por mensaje de datos, comercio electrónico, firma digital, entidad de certificación, intercambio electrónico de datos, sistema de información lo definido en el artículo 2 de la ley 527 de 1999 o las normas que la modifiquen.
En adición se entenderá por:
a. Suscriptor: La persona a cuyo nombre se expide un certificado, lo solicita o acepta y mantiene la clave privada que corresponde a la clave pública incluida en el certificado.
b. Repositorio: El sistema de información utilizado para almacenar certificados y recuperar certificados digitales y otra información relacionada con la expedición de los mismos.
c. Clave privada: Es aquella que se utiliza, conjuntamente con un procedimiento matemático conocido, para generar la firma digital de un mensaje de datos.
d. Clave pública: Es aquella que se utiliza para verificar que una firma digital fue generada por la clave privada del iniciador.
e. Certificado en relación con las firmas digitales: Es un mensaje de datos que nombra o identifica un suscriptor, contiene la clave pública de éste, identifica la entidad de certificación que lo expide y está firmado por dicha entidad. Igualmente, serán considerados Certificados en relación con las firmas digitales, los documentos mediante los cuales la Superintendencia de Industria y Comercio certifica la clave pública de una entidad de certificación.
f. Unicidad de la firma digital: una firma digital es única a la persona que la usa si:
i. La clave privada usada para crear la firma en el documento solamente es conocida por el firmante.
ii. La firma digital es creada mediante la aplicación de una función unidireccional creando un compendio digital, para luego cifrarlo con su llave privada.
iii. Si el tiempo para deducir la clave privada a partir de la clave pública es superior al intervalo de tiempo entre la fecha de creación de las claves y la fecha de expiración del documento firmado.
g. Estampado cronológico: Es un mensaje de datos firmado por la entidad de certificación compuesto al menos por:
i. Un mensaje de datos generado por un tercero.
ii. Fecha y hora de estampado.
iii. Identificación de la entidad de certificación.
Sección II
De los atributos
Artículo 2. Cuando quiera que una firma cumpla con los atributos previstos en el parágrafo del articulo 28 de la Ley 527 de 1999, se entenderán satisfechos los requisitos a y b del artículo 7 de dicha ley.
Artículo 3. Sistema confiable.- Un sistema se considerará confiable si satisface materialmente los estándares tecnológicos admitidos por la Superintendencia de Industria y Comercio relativos a la generación de pares de claves, la generación de firmas digitales, los certificados, los sistemas de cifrado, comunicaciones, seguridades de los sistemas de información y de las instalaciones o en general de aquellos aspectos que redunden en la confiabilidad y seguridad de los certificados de firma digital o de otro tipo o de la información que repose en la entidad de certificación para tal propósito.
El examen del cumplimiento de esta exigencia se hará teniendo en cuenta el contexto en el que el sistema se utiliza, las demás reglamentaciones aplicables a las entidades de certificación, la totalidad de las actividades de la entidad con especial énfasis, entre otras, en la generación de claves y conservación de certificados.
CAPITULO II
De las Entidades de Certificación
Sección I
Requisitos de las entidades de certificación
Artículo 4. Requisitos. Quienes pretendan realizar las actividades propias de las entidades de certificación en los términos previstos en la ley, cuyos propósitos no se encuentren limitados a una organización privada, ni genere derechos u obligaciones frente a terceros o beneficios económicos, deberán obtener la autorización de la Superintendencia de Industria y Comercio. Dichas entidades deberán presentar la solicitud de autorización y acreditar los siguientes requisitos:
A. Requisitos administrativos
1. Solicitud de autorización
El formato de solicitud diligenciado. Este formato será diseñado por la Superintendencia de Industria y Comercio y deberá incluir por lo menos la siguiente información:
a. Nombre del solicitante.
b. NIT del solicitante.
c. Dirección del solicitante y de notificaciones si fuera diferente.
d. Dirección o correo electrónico y nombre de dominio.
e. Número telefónico.
f. Nombres de todos los representantes legales y administradores señalando número y documento de identificación.
g. Servicios que prestará la entidad.
2. Personería jurídica
Acreditar la personería jurídica allegando:
a. En el caso de las personas jurídicas de naturaleza privada, certificado de existencia y representación legal expedido por la cámara de comercio o por la autoridad competente.
b. En el caso de las personas jurídicas de naturaleza pública, se debe precisar el acto que otorga la personería jurídica.
Cuando se trate de una entidad extranjera, se deberá acreditar el cumplimiento de los requisitos generales del Libro Segundo, Título VIII del Código de Comercio, previstos para las sociedades extranjeras que pretendan ejecutar negocios permanentes en territorio colombiano. Igualmente deberá observarse lo establecido en el artículo 48 del Código de Procedimiento Civil.
Todas las personas jurídicas que pretendan realizar actividades propias de una Entidad de Certificación, deberán demostrar que su objeto social las habilita para tal efecto.
3. Representantes y administradores
Acreditar las calidades previstas en el literal c del artículo 29 de la ley 527 de 1999 relativas a los representantes legales. A la solicitud de autorización deberá adjuntarse la siguiente información y documentación relativa a cada una de las personas que van a administrar y representar legalmente la entidad de certificación, de acuerdo con lo previsto en el artículo 196 del Código de Comercio:
a. Formato diligenciado y firmado por la persona que contenga:
i. Nombre completo, fecha y lugar de nacimiento, documento de identificación personal y profesional dirección y teléfono del domicilio.
ii. Países diferentes a Colombia en los que haya residido.
iii. Declaración de que la información suministrada es exacta y que no se encuentra incurso en alguna de las causales de inhabilidad señaladas en el literal c del artículo 29 de la ley 527 de 1999.
b. Certificado de Pasado Judicial vigente o certificados equivalentes provenientes del país o países donde haya residido.
c. Certificado del órgano competente de los países en que haya residido que certifique que no ha sido excluido o suspendido por actos graves contra la ética de la profesión.
Parágrafo: Esta información debe remitirse a la Superintendencia de Industria y Comercio cada vez que un nuevo administrador o representante legal ingresa a la entidad de certificación.
4. Declaración de prácticas de Certificación (DPC)
La declaración de prácticas de certificación (DPC) es la manifestación de la entidad de certificación sobre las políticas y procedimientos que aplicará para la prestación de sus servicios, la cual deberá estar disponible al público. La declaración debe incluir, al menos lo siguiente:
a. La identificación clara de la empresa que presta los servicios de certificación. Esta información deberá incluir el nombre de la entidad, dirección física de las instalaciones, teléfono, fax, dirección de correo electrónico y el responsable de las consultas de los usuarios. Si la entidad de certificación tiene entidades subordinadas o utiliza entidades de registro, deberá incluir esta misma información respecto de cada una de ellas.
b. La política de manejo de los certificados. En ella deberá incluir:
i. Los requisitos y el procedimiento de expedición de certificados, incluyendo los procedimientos de identificación del suscriptor y de las entidades reconocidas de acuerdo con lo previsto en el artículo 43 de la Ley 527 de 1999.
ii. Los tipos de certificados que ofrece, sus diferencias y el grado de confiabilidad que ofrece cada uno de ellos.
iii. El contenido de cada uno de los distintos certificados.
iv. El Procedimiento para la actualización de la información contenida en los certificados.
v. El procedimiento, las verificaciones, la oportunidad y las personas que podrán invocar las causales de suspensión o revocación de los certificados.
vi. La vigencia de cada uno de los certificados.
vii. El sistema de seguridad para proteger la información que se recoge con el fin de expedir los certificados.
c. Las obligaciones de la entidad de certificación y de los suscriptores del certificado y las precauciones que deben observar los terceros que confían en el certificado.
d. El manejo de la información que se obtiene de los suscriptores de acuerdo a las normas aplicables en la materia, especificando:
i. La información que se considera confidencial.
ii. La información que se considera pública.
iii. Los eventos en que se revelará la información confidencial dada por el usuario.
e. Las garantías que ofrece la entidad para el cumplimiento de las obligaciones que se deriven de sus actividades y los clausulados de las pólizas que protegen a los terceros por los perjuicios que pueda causar la entidad o los reglamentos de los fondos de garantía constituidos para el efecto.
f. Los límites de responsabilidad de la entidad de certificación en cada uno de los tipos de certificados.
g. Las tarifas de expedición y revocación de certificados.
d. Los procedimientos de seguridad para el manejo de los siguientes eventos:
i. Cuando la seguridad de la clave privada de la entidad de certificación se ha visto comprometida.
ii. Cuando el sistema de seguridad de la entidad de certificación ha sido vulnerado.
iii. Cuando se presenten fallas en el sistema de la entidad de certificación que comprometan la prestación del servicio.
iv. Cuando los sistemas de cifrado pierdan vigencia por no ofrecer el nivel de seguridad contratados por el suscriptor.
h. El plan de contingencia encaminado a garantizar la continuidad del servicio de certificación.
i. Modelos y minutas de los contratos que utilizará. En caso de prever su existencia, texto de las cláusulas compromisorias que establezcan el procedimiento jurídico para la resolución de conflictos, especificando al menos la jurisdicción y ley aplicables en el caso en que alguna de las partes no tenga domicilio en el territorio colombiano
j. La política de manejo de otros servicios que fuere a prestar, detallando sus condiciones.
Parágrafo: Toda modificación de las DPC deberá remitirse a la Superintendencia de Industria y Comercio dentro del plazo que ésta establezca
B. Requisitos económicos y financieros
1. Capital mínimo
Un patrimonio equivalente a 600 salarios mínimos mensuales legales. Para este efecto, sólo se tomarán en cuenta la suma de las siguientes cuentas patrimoniales: capital suscrito y pagado, reserva legal, superávit por prima en colocación de acciones y revalorización de patrimonio y se deducirán las pérdidas acumuladas.
Dicho patrimonio, deberá acreditarse por medio de estados financieros certificados por el representante legal y el revisor fiscal si lo hubiere, los cuales no podrán tener una vigencia inferior a seis (6) meses contados a partir de la fecha en que se presenta la solicitud.
Tratándose de entidades públicas, éstas deberán allegar el proyecto de gastos y de inversión que generará la actividad de certificación, conjuntamente con los certificados de disponibilidad presupuestal que acrediten la apropiación de recursos para dicho fin.
El monto de capital asignado a la sucursal, de acuerdo con lo previsto en el artículo 472 del código de comercio, no podrá ser inferior al monto de patrimonio exigido en este aparte.
Parágrafo: Esta información debe remitirse periódicamente en los términos que establezca la Superintendencia de Industria y Comercio.
2. Garantías
La entidad debe contar con al menos una de las siguientes garantías.
1. Pólizas vigentes que cumplan con los siguientes requisitos:
a. Ser expedidas por una entidad aseguradora autorizada para operar en Colombia. En caso de no ser posible lo anterior, por una entidad aseguradora del exterior que cuente con la autorización previa de la Superintendencia Bancaria.
b. Cubrir todos los perjuicios contractuales y extracontractuales de los suscriptores y terceros de buena fe derivados de errores y omisiones o de actos de mala fe de los administradores, representantes legales o empleados de la certificadora en el desarrollo de las actividades para las cuales solicita autorización o cuenta con autorización.
c. Cubrir los anteriores riesgos por una cuantía asegurada igual o superior a 15.000 salarios mínimos mensuales legales por evento. En todo caso, la cuantía debe ser igual o superior al limite de responsabilidad definido en las prácticas de certificación. En caso de reducirse el monto por efecto de una reclamación, la entidad debe contratar de inmediato la restitución del monto mínimo requerido en este aparte.
d. Incluir una cláusula que obligue a la entidad aseguradora a informar previamente a la Superintendencia de Industria y Comercio la terminación del contrato o las modificaciones que reduzcan el alcance o monto de la cobertura.
2. Fondo de garantía que cumpla con las siguientes características.
a. Tener como objeto exclusivo el cubrimiento de las pérdidas sufridas por los suscriptores y terceros que se deriven de los errores y omisiones o de actos de mala fe de los administradores, representantes legales o empleados de la certificadora en el desarrollo de las actividades para las cuales solicita o cuenta con autorización.
b. Contar con recursos o protecciones suficientes para cubrir pérdidas que asciendan a 15.000 salarios mínimos mensuales por evento, que los constituyentes se obligan a restituir en caso de mermarse por el pago de una reclamación.
c. Ser administrado por una entidad vigilada por la Superintendencia de Valores.
Parágrafo: Los clausulados de las pólizas o los cambios en los reglamentos del fondo deben remitirse a la Superintendencia de Industria y Comercio antes de su adopción. Los certificados de renovación de las pólizas deberán igualmente, ser allegados con la periodicidad y oportunidad que establezca la Superintendencia de Industria y Comercio.
C. Requisitos técnicos.
En desarrollo de lo previsto en el literal b del artículo 29 de la ley 527 de 1999, la entidad debe contar con un equipo de personas, una infraestructura física y tecnológica y unos procedimientos y sistemas de seguridad, tales que:
a. Se garantice el cumplimiento de lo previsto en la ley 527, en este decreto o las normas que los complementen o sustituyan y en la declaración de prácticas de certificación (DPC).
b. Se pueda calificar el sistema como confiable de acuerdo con lo señalado en el artículo 3 del presente decreto.
c. Los certificados expedidos por las entidades de certificación:
i. Cumplan con lo previsto en el artículo 35 de la ley 527 de 1999; y
ii. Cumplan con alguno de los estándares de campos de certificados que admita de manera general la Superintendencia de Industria y Comercio.
d. Se garantice la existencia de sistemas de seguridad física en sus instalaciones, un monitoreo permanente de toda su planta física, y acceso restringido a los equipos que manejan los sistemas de operación de la entidad. El manejo de la clave privada de la entidad estará sometido a un procedimiento propio de seguridad que evite el acceso físico o de otra índole a la misma, a personal no autorizado.
e. Los sistemas que cumplan las funciones de certificación sólo sean utilizados con ese propósito y por lo tanto no podrán realizar ninguna otra función.
Todos los sistemas que participen directa o indirectamente en la función de certificación deberán estar protegidos por sistemas de autenticación y seguridad no susceptibles de penetración, certificados mediante el informe de auditoría.
Parágrafo: Cuando quiera que la entidad de certificación requiera de infraestructura o servicios tecnológicos prestados por un tercero, los contratos deben prever que la terminación de los mismos está condicionada a que la entidad haya implementado o contratado una infraestructura o servicio tecnológico que le permita continuar prestando sus servicios sin ningún perjuicio para los suscriptores. Si la terminación de dichos contratos supone el cese de operaciones, el prestador de infraestructura o servicios no podrá interrumpir sus prestaciones antes de vencerse el plazo para concluir el proceso previsto en el procedimiento autorizado por la Superintendencia de Industria y Comercio. Estos deben ser enviados con los demás documentos de la solicitud de autorización y remitidos cada vez que sean modificados.
La entidad certificadora será responsable por los perjuicios que puedan causar los prestadores de dichos servicios a los suscriptores o a las personas que confíen en los certificados.
La contratación de esta infraestructura o servicios no exime a la entidad certificadora de la presentación de los informes de auditoría que se requiere en este decreto y debe incluir los sistemas y seguridades de dicho prestador.
D. Informe de auditoria
Un Informe de auditoria en el cual se dictamine que la entidad de certificación actúa o está en capacidad de actuar de acuerdo con los requerimientos de la ley 527 de 1999, lo previsto en este decreto y en las normas que los sustituyan, complementen o reglamenten. El informe de auditoría debe evaluar todos los servicios a que hace referencia el literal d del artículo 2 de la ley 527 de 1999 y que sean prestados o pretenda prestar la entidad de certificación.
El informe de auditoría deberá cumplir con:
a. Contenido obligatorio del informe de auditoría: Los informes de auditoría deberán tener vigencia no superior a 3 meses y pronunciarse expresamente sobre el cumplimiento de la normatividad aplicable y en especial sobre:
i. Cumplimento de los requisitos técnicos previstos en el presente decreto.
ii. Cumplimiento de los requisitos económicos y financieros
iii. Cumplimiento de los requisitos establecidos en literal c del artículo 29 de la ley 527 de 1999 para los administradores y representantes legales.
iv. Cumplimiento de la declaración de prácticas de certificación y evaluación de la efectividad de los planes y procedimientos de seguridad contenidos en esta declaración.
v. Todo indicio fundamentado de que la entidad de certificación expone a los suscriptores o terceros que confían en los certificados, a riesgos no advertidos o indebidos.
vi. Todo indicio fundamentado de que la entidad utiliza un sistema que no es confiable.
b. Requisitos de las firmas auditoras: La auditoría debe ser realizada por una firma o entidad de certificación del sistema nacional de normalización, certificación y metrología acreditada para el efecto por la Superintendencia de Industria y Comercio.
En caso de tratarse de entidades de certificación de origen extranjero, la auditoría podrá ser realizada por una persona o entidad facultada para realizar este tipo de auditorías en el domicilio de la entidad siempre y cuando permita constatar el cumplimiento de lo señalado en el literal a de este artículo. En caso de que no existan en el país al menos dos entidades acreditadas para llevar a cabo estas auditorías, las entidades de certificación nacionales podrán hacer uso de esta opción.
En todo caso, la Superintendencia de Industria y Comercio, basada en este dictamen y en cualquier otra información que resulte relevante, determinará si la entidad cumple con los requisitos y obligaciones previstos en ley 527 de 1999 y demás normas que la reglamenten.
Parágrafo: Esta información debe remitirse periódicamente y en los términos que establezca la Superintendencia de Industria y Comercio. En cualquier momento esta entidad podrá solicitar informes adicionales o ampliación de los existentes.
Artículo 5. Decisión.- La Superintendencia de Industria y Comercio deberá decidir y notificar su decisión de autorización a los solicitantes dentro de los 60 días hábiles, contados a partir de la fecha de recepción de la totalidad de la documentación requerida, prorrogables por una sola vez, por un término igual.
En la Resolución de Autorización se precisarán las actividades y servicios que puede prestar la entidad de certificación. Esta podrá solicitar, de acuerdo con el procedimiento que establezca la Superintendencia de Industria y Comercio, autorización para prestar nuevas actividades y servicios.
Sección II
De los deberes
Artículo 6. Deberes de las entidades de certificación.- Además de lo previsto en el artículo 32 de la ley 527 de 1999, las entidades de certificación deberán:
a. Comprobar por si o por medio de una persona diferente que actúe en nombre y por cuenta suyo, la identidad y cualesquiera otras circunstancias de los solicitantes o de datos de los certificados, relevantes para los fines propios de su procedimiento de verificación previo a su expedición.
b. Cumplir cabalmente con las políticas de certificación acordadas con el suscriptor y conforme a su Declaración de Prácticas de Certificación (DPC).
c. Informar al suscriptor de los certificados que expide, su nivel de confiabilidad, los límites de responsabilidad, y las obligaciones que el suscriptor asume como usuario del servicio de certificación.
d. Garantizar la prestación permanente e ininterrumpida de los servicios autorizados.
e. Informar a la Superintendencia de manera inmediata la ocurrencia de cualquiera de los eventos establecidos en el literal d de los requisitos de la declaración de las practicas de certificación.
f. Abstenerse de acceder o almacenar la llave privada del suscriptor.
g. Mantener registrados los certificados revocados de forma actualizada. Las entidades de certificación serán responsables de los perjuicios que se causen a terceros por incumplimiento de esta obligación.
h. Garantizar acceso permanente de los usuarios y de terceros al Repositorio de la entidad.
i. Disponer de una línea telefónica de atención permanente a usuarios y terceros, que permita las consultas y la pronta solicitud de revocación de certificados por los suscriptores.
j. Garantizar la confidencialidad de la información que no figure en el certificado.
k. Conservar la documentación que respalda los certificados emitidos, por el término previsto en la Ley para los papeles de los comerciantes y tomar las medidas necesarias para garantizar la integridad y la confidencialidad que le sean propias.
l. Informar al suscriptor dentro de las 24 horas siguientes, la suspensión del servicio o revocación de sus certificados.
m. Capacitar y advertir a los usuarios de firmas y certificados digitales sobre las medidas de seguridad que deben observar para la utilización de estos mecanismos.
n. Mantener el control exclusivo de su clave privada e implementar las seguridades necesarias para que no se divulgue o comprometa.
o. Remitir oportunamente a Superintendencia de Industria y Comercio la información periódica y esporádica prevista en este decreto.
p. Remover en el menor término que el procedimiento legal permita, a los administradores o representantes que se encontraran incursos en las causales establecidas en el literal c del artículo 29 de la ley 527 de 1999.
q. Las demás que establezca la Superintendencia de Industria y Comercio.
Sección III
Responsabilidad de las Entidades de Certificación
Artículo 7. Responsabilidad.- Las entidades de certificación responderán por todos los perjuicios que causen en el ejercicio de sus actividades, si se derivan del incumplimiento de las obligaciones consagradas en la Ley 527 de 1999, el presente decreto y las normas que los desarrollen y complementen.
Las entidades de certificación no serán responsables frente a los suscriptores o terceros que confíen en los certificados por los daños y perjuicios ocasionados por la utilización de firmas digitales de sus suscriptores, salvo que éstos se deriven del incumplimiento de las obligaciones establecidas en la Ley 527 de 1999, el presente decreto y las normas que los desarrollen y complementen.
Artículo 8. De la cesación de actividades sin la autorización de la Superintendencia de Industria y Comercio.- La cesación de actividades de una entidad de certificación sin la autorización de la Superintendencia de Industria y Comercio o la continuación de actividades después de producida ésta, la hará responsable de todos los perjuicios que cause a sus suscriptores y a terceros y la hará acreedora a las sanciones que imponga la Superintendencia.
CAPITULO III
De los certificados
Sección IV
De los aspectos generales
Artículo 9. Certificaciones reciprocas.- El reconocimiento de los certificados de firmas digitales emitidos por entidades de certificación extranjeras, que conforme al artículo 43 de la ley 527 de 1999 hagan entidades de certificación autorizadas para operar en Colombia, se hará constar en un certificado que expedirá la entidad de certificación autorizada. En dicho certificado deberá precisarse la fecha de vencimiento, la clave pública de la entidad reconocida y señalará inequívocamente los certificados reconocidos y el tipo de certificados a los cuales debe remitirse para efecto de determinar el alcance de la garantía que se otorga con el reconocimiento. En todo caso el efecto del reconocimiento tendrá validez hasta que dichos certificados expiren. Se deberá garantizar a los suscriptores de los certificados reconocidos, idénticos derechos a los reconocidos a los suscriptores de certificados a los cuales se remite el reconocimiento.
El reconocimiento de los certificados expedidos por entidades de certificación extranjeras, deberá ser expresamente autorizado por la Superintendencia de Industria y Comercio.
En la solicitud de autorización la entidad certificadora deberá informar a la Superintendencia de Industria y Comercio el nombre de la entidad reconocida, los certificados reconocidos, la vigencia y los términos del reconocimiento.
La entidad que pretenda otorgar el reconocimiento deberá acreditar la cobertura de las garantías requeridas en este decreto para los perjuicios que puedan causar los certificados reconocidos.
En virtud de tal reconocimiento, los certificados serán legalmente reconocidos en los mismos términos que los que expidan las entidades de certificación autorizadas en Colombia. Tal reconocimiento le acarreará a la entidad que reconoce las mismas responsabilidades respecto de la regularidad de los detalles, validez y vigencia del certificado reconocido que las que le generan los certificados que expida.
Artículo 10. Los requisitos previstos en el artículo 35 de la ley 527 de 1999 deberán cumplirse siempre en los certificados relacionados con firmas digitales de acuerdo con lo definido en este decreto. Para otros tipo de certificados serán obligatorios en la medida en que se requiera para efecto de lo que se certifica.
Sección V
De la revocación de certificados
Artículo 11. Revocación.- Sin perjuicio de lo previsto en el artículo 33 de la ley 527 de 1999, la entidad de certificación está obligada a prever un mecanismo de ejecución inmediata para revocar los certificados digitales expedidos a los suscriptores, a petición de estos o cuando tenga indicios de que ha ocurrido alguno de los eventos previstos en el artículo 37 de la ley 527 de 1999. Una vez cumplidos las formalidades previstas en dicho procedimiento la entidad será responsable por los perjuicios que cause la no revocación.
Cada certificado revocado debe indicar si el motivo de revocación incluye la pérdida de control de la llave privada, evento en el cual las firmas generadas con dicha clave privada carecerán del atributo previsto en el numeral 1 del parágrafo del artículo 28 de la ley 527 de 1999, salvo que se demuestre, mediante un mecanismo de certificación adicional generado por una entidad certificadora autorizada, que la expedición del documento es previa a la fecha de revocación del certificado.
Las revocaciones, deberán ser publicadas de manera inmediata en los repositorios correspondientes y notificadas al suscriptor dentro de las 24 horas siguientes. Si dichos repositorios no existen al momento de la publicación del aviso, ésta se efectuará en un repositorio que designe la Superintendencia de Industria y Comercio.
Artículo 12. Registro de certificados.- Toda entidad de certificación autorizada deberá llevar un registro de público acceso de todos los certificados emitidos, el cual debe indicar las fechas de emisión, expiración o revocación de los mismos.
Sección VI
Información
Artículo 13. Carácter de la información.- Las entidades de certificación estarán obligadas a respetar las condiciones de confidencialidad y seguridad de acuerdo con las normas vigentes respectivas.
Salvo la información del certificado, la información suministrada por los suscriptores a las entidades de certificación se considerará privada y confidencial.
Sección VII
Repositorios
Artículo 14. Responsabilidad derivada de la administración de los repositorios.- Cuando las entidades de certificación contraten los servicios de repositorio, serán responsables frente a sus suscriptores, usuarios y terceros, por la actualización y manejo del mismo.
PARTE II
Facultades de la Superintendencia de Industria y Comercio
Artículo 15. Suspensión y revocación de autorización: Cuando quiera que la Superintendencia de Industria y Comercio ejerza la facultad contenida en el literal 4 del artículo 41 de la ley 527 de 1999, ordenará a la entidad de certificación la ejecución de medidas tendientes a garantizar la integridad, seguridad y conservación de los certificados expedidos, así como la compensación económica que pudiera generar la cesación de actividades.
Artículo 16. Estándares .- La Superintendencia de Industria y Comercio determinará los estándares admisibles respecto de los cuales las entidades de certificación deberán acreditar el cumplimiento de los requisitos técnicos relativos a la generación de pares de claves, la generación de firmas digitales, los certificados, los sistemas de cifrado, comunicaciones, seguridades de los sistemas de información y de las instalaciones o en general de aquellos aspectos que redunden en la confiabilidad y seguridad de los certificados de firma digital o de otro tipo o de la información que repose en la entidad de certificación.
No obstante lo anterior, los estándares desarrollados por el organismo nacional de normalización para estos efectos, serán admisibles desde el momento en que se adopten.
Para la determinación de los estándares admisibles, la Superintendencia de Industria y Comercio deberá adoptar preferiblemente aquellos que tengan carácter internacional y que estén vigentes tecnológicamente. En caso de no existir estándar internacional o de resultar obsoleto el existente, podrá adoptar estándares que sean ampliamente reconocidos para los propósitos perseguidos. En todo caso, deberá tener en cuenta su aplicabilidad a la luz de la legislación vigente.
La Superintendencia podrá eliminar la admisibilidad de un estándar cuando hayan dejado de cumplir con alguno de los requisitos precisados en este artículo.
Artículo 17. Las entidades que siguieran el estándar no admisible, deberán presentar dentro del mes siguiente a la expedición del acto que elimina la admisibilidad a la Superintendencia de Industria y Comercio, un plan de adecuación en un término no superior al que determine la Superintendencia de Industria y Comercio.

AFILIESE